Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Misure Relative Agli Amministratori Di Sistema
1. Misure relative agli amministratori di sistema Provvedimento del Garante Privacy – 27/11/2008
2. Le Norme 16/12/2009 Roberto Mozzillo 2 Provv. Garante 27/11/2008 (GU n. 300 del 24/12/2008) Provv. Garante 21/04/2009 (Avvio consultazione pubblica con richiesta di osservazioni e commenti entro il 31/05/2009) Provv. Garante 25/06/2009 (Modifiche al Provv. originario e proroga dei termini dal 30/06/2009 al 15/12/2009)
3. Chi è soggetto? 03/04/2009 Roberto Mozzillo 3 Alle nuove misure devono attenersi tutti i Titolari dei trattamenti effettuati con strumenti elettronici, salvo quelli coinvolti nelle misure di semplificazione
4. Chi non è soggetto? 03/04/2009 Roberto Mozzillo 4 I titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto delle misure di semplificazione: art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133 art. 34 del Codice Provv. Garante 27 novembre 2008 Le PMI come definite nel Decreto MSE del 18 Aprile 2005 Art. 2. La categoria delle microimprese, delle piccole imprese e delle medie imprese (complessivamente definita PMI) e' costituita da imprese che: hanno meno di 250 occupati hanno un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro.
5. Chi sono gli AdS? 03/04/2009 Roberto Mozzillo 5 Amministratore di sistema Amministratore di basi di dati Amministratore di rete Amministratore di apparati di sicurezza Amministratore di sistemi software complessi (ERP)
6. Chi sono gli AdS? 03/04/2009 Roberto Mozzillo 6 Ѐ nominato amministratore sistema, di database, di rete o di software complessi chi, in ragione delle proprie mansioni, riceve attributi, privilegi o accessi che sono associati ad un sistema di elaborazione o alle sue componenti; tali privilegi o accessi sono richiesti per svolgere attività di system support o di manutenzione; chi possiede l’autorità di sistema potrebbe, in astratto, operare impropriamente in modo da alterare i sistemi di elaborazione affidatigli o accedere, senza la necessaria autorizzazione, a dati ed informazioni dell’azienda al di fuori del proprio ambito di competenza; le attività che competono all’amministratore di sistema, di database, di rete o di software complessi devono essere esplicitamente autorizzate dal Titolare o dal Responsabile dei Sistemi Informatici
7.
8.
9. Occorre dettagliare l’ambito di azione consentito in base al profilo di autorizzazione assegnatoIn caso di incauta o inidonea designazione si potrebbe andare incontro a responsabilità di ordine penale e civile (violazione delle misure minime di sicurezza, responsabilità civile da trattamento dati personali)
10. Quali gli adempimenti? 03/04/2009 Roberto Mozzillo 9 Tenuta dell’elenco nominativo degli AdS Elenco annotato nel DPS o in un documento interno Conoscibilità degli amministratori di sistema addetti a trattamento di dati del personale (Amministratori che gestiscono servizi o sistemi che trattano informazioni di carattere personale dei lavoratori: ad es. sistemi per il controllo dei dati di navigazione, sistemi di gestione delle paghe) Obbligo di informativa ai lavoratori ai sensi dell’art. 13 del Codice (D.L. 196/03) Utilizzo di bollettini, Intranet, procedure formalizzate
11. 03/04/2009 Roberto Mozzillo 10 Quali gli adempimenti? Servizi in Outsourcing Se i servizi di amministrazione di sistema sono eseguiti in outsourcing, il titolare chiede al responsabile esterno di formare e rendere disponibile l’elenco degli amministratori di sistema addetti ai trattamenti di sua pertinenza Regolamentazione dell’adempimento nel quadro del contratto di servizio o della nomina a Responsabile
12.
13. Si deve verificare che l’operato sia conforme alle misure tecniche, organizzative e di sicurezza previste dalla normativa, nonché alle istruzioni ricevute