Nuovo adempimento – Amministratori di Sistema
Informazione Privacy
Riteniamo di fare cosa gradita richiamando la Vostra attenzione sugli adempimenti in materia di tutela dei dati personali, a seguito del Provvedimento 25/06/2009 del Garante.
Ricordiamo che gli adempimenti previsti, dovranno essere ottemperati entro il 15 dicembre 2009.
Per i Titolari dei trattamenti, sono previste nuove cautele da introdurre nella scelta e nomina degli Amministratori di sistema di un’Azienda.
Il Garante precisa, che gli Amministratori di sistema, devono essere sempre persone fisiche e che queste devono essere individuate all’interno del DPS, i loro nomi devono essere comunicati o comunque resi conoscibili a tutti i soggetti interessati.
Quest’obbligo riguarda il Titolare e/o il Responsabile ove nominato.
Ogni Titolare dovrà provvedere affinché tali nominativi vengano inseriti nel prossimo aggiornamento annuale del DPS (marzo 2010).
Nel caso di affidamento del servizio di Amministrazione di sistema in outsourcing, il Titolare ha l’obbligo di acquisire e conservare gli estremi identificativi delle persone fisiche preposte quali Amministratori di sistema.
Il Garante Privacy introduce un nuovo adempimento in materia di gestione e protezione dei dati personali trattati attraverso sistemi informatici.
Il provvedimento (“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”), ha introdotto l’obbligo per gli Amministratori di sistema, interno od esterno (compresi coloro che svolgono la mansione di Amministratore di rete, di data base o i manutentori), di conservare gli “access log” per almeno sei mesi in archivi immodificabili e inalterabili.
L’Amministratore di sistema deve, adottare sistemi idonei alla registrazione degli accessi logici, ai sistemi di elaborazione e agli archivi elettronici. Gli “access log” devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità. Le registrazioni devono, pertanto, contenere riferimenti temporali certi e la descrizione dell’evento, devono essere conservate per un periodo non inferiore a sei mesi.
Il Titolare del trattamento ha, l’obbligo di verifica annuale sull’operato degli Amministratori di sistema, per controllare la rispondenza o meno alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalla normativa vigente.
Alleghiamo alla presente il Provvedimento.
Siamo a Vostra disposizione per qualsiasi richiesta esplicativa.
Documento: Provvedimento Amministratore di sistema