La registrazione dei log di Sistema

Nonostante la figura di Amministratore di Sistema non sia menzionata dal GDPR è comunque consigliato adottare le misure prescritte dal Garante della Privacy (G.U. n. 300 del 24 dicembre 2008) e succ. modif.

Gli Amministratori di Sistema sono soggetti interni e/o esterni all'azienda preposti alla sicurezza, gestione e manutenzione di banche date, sistemi, reti e infrastrutture informatiche.
Gli Amministratori di Sistema hanno la possibilità di accedere alle banche dati aziendali con lo scopo di applicare processi e gestire strumenti in grado di proteggere patrimonio informativo (es. per effettuare un backup o il test di un recovery).
Il Titolare del Trattamento deve in primis designare individualmente i singoli Amministratori di Sistema tramite un atto che elenchi le singole attività e in modo analitico il perimetro di azione.
In secondo luogo il Titolare del Trattamento deve riportare in un registro gli estremi identificativi di ogni AdS.
Infine il Titolare deve adottare strumenti software e hardware con cui registrare i Log degli accessi a sistema e ai dati da parte dell'Amministratore di Sistema.
I log devono essere in qualche modo validati con data certa per poi essere archiviati per un periodo di 6 mesi con caratteristiche di completezza, integrità ed inalterabilità.
Ogni Log deve comprendere la data, l'evento, l'identificativo del sistema e qualsiasi informazione per tracciare l'attività dell'AdS.

Fonte: infogdpr.eu