La registrazione dei log di Sistema
Nonostante la figura di Amministratore di Sistema non sia menzionata dal GDPR è comunque consigliato adottare le misure prescritte dal Garante della Privacy (G.U. n. 300 del 24 dicembre 2008) e succ. modif.
Gli Amministratori di Sistema sono soggetti interni e/o esterni
all'azienda preposti alla sicurezza, gestione e manutenzione di banche
date, sistemi, reti e infrastrutture informatiche.
Gli Amministratori di Sistema hanno la possibilità di accedere alle
banche dati aziendali con lo scopo di applicare processi e gestire
strumenti in grado di proteggere patrimonio informativo (es. per
effettuare un backup o il test di un recovery).
Il Titolare del Trattamento deve in primis designare individualmente i singoli Amministratori di Sistema tramite un atto che elenchi le singole attività e in modo analitico il perimetro di azione.
In secondo luogo il Titolare del Trattamento deve riportare in un registro gli estremi identificativi di ogni AdS.
Infine il Titolare deve adottare strumenti software e hardware con cui registrare i Log degli accessi a sistema e ai dati da parte dell'Amministratore di Sistema.
I log devono essere in qualche modo validati con data certa per poi
essere archiviati per un periodo di 6 mesi con caratteristiche di
completezza, integrità ed inalterabilità.
Ogni Log deve comprendere la data, l'evento, l'identificativo del
sistema e qualsiasi informazione per tracciare l'attività dell'AdS.
Fonte: infogdpr.eu