znak drogowy stop

Zasada privacy by default a prawa dostępu do informacji

Zasada privacy by default jest jedną z naczelnych zasad determinujących przetwarzanie danych osobowych. W dużym skrócie, chodzi o to, aby zapewnić jak najwęższy dostęp do informacji identyfikujących osobę. Często przy jednoczesnym zabezpieczeniu interesów własnych i praw osób, które dane dotyczą. Można powiedzieć, że administrator powinien udzielać dostępu do informacji zgodnie z zasadą wiedzy koniecznej. Czyli zablokować dostęp wszędzie tam, gdzie nie są nam one potrzebne do realizacji obowiązków służbowych vel celu. Mam wrażenie, że większość pracodawców zamiast stosować ww. podejście hołduje zasadzie „Privacy by simplicity”. Jednak czy takie podejście warte jest ryzyka?

Upoważnienie do przetwarzania danych osobowych

Zgodnie z § 29 RODO, każda osoba posiadająca dostęp do danych osobowych powinna przetwarzać je na polecenie administratora lub podmiotu przetwarzającego. Takim poleceniem dla większości jest po prostu „upoważnienie” w formie dowolnej. Sprawa niby prosta i oczywista ale czy oczywista jest treść takiego upoważnienia? Dla mnie osobiście, nie. Ogólnie przyjętą praktyką jest upoważnienie o treści: „Upoważniam imię nazwisko do przetwarzania danych osobowych w nazwa organizacji.”. Koniec. No może jeszcze kilka akapitów o poufności. Koniec. Oznacza to, że pracownik nabywa upoważnienie do przetwarzania danych osobowych bez względu na to czy są to dane kadrowe, dane klientów lub dane z innych rejestrów. W moim przekonaniu tak sformułowany zapis, kiedy każdy ma dostęp do wszystkiego, nawet nie ociera się o prywatność. Na jakiej podstawie później wyciągnąć konsekwencje i powołać się na nieuprawniony dostęp do danych?

Uprawnienia w aplikacjach

Odpowiecie, że „upoważnienia” są tylko ogólne a szczegółowy zakres znajduje się we wnioskach o nadanie uprawnień do aplikacji”. Co od razu przynosi na myśl pytanie, czy jeden dokument nie może wynikać z drugiego, ale mniejsza o to. Wracając do meritum, ilu z was stosuje w miarę szczegółowy wniosek o nadanie uprawnień? Ile z waszych aplikacji posiada magiczny guzik wyłączający dostęp do danych osobowych dla konkretnego użytkownika lub grupy użytkowników? A ile z waszych aplikacji posiada funkcjonalność anonimizacji danych? Nie mówię tu o szyfrowaniu bazy danych jak tylko o prezentacji wyników. No właśnie, ale nie obawiajcie się nie jesteście sami. Co odważniejszy odpowie, „ale nie mamy na to wpływu, ponieważ nie wytwarzamy oprogramowania i korzystamy z gotowych rozwiązań. I tutaj moglibyśmy wejść w temat, który opisuje norma ISO 27002 w punkcie 14 „Pozyskiwanie, rozwój i utrzymanie systemów”. Usprawiedliwieni mogą być jedynie Ci, którzy zdani są na łaskę monopolistów.

Poziom uprawnień

Jeżeli nasz dostawca oprogramowania nie zapewnił nam takich funkcji pozostaje żonglowanie poziomami uprawnień. A to z kolei realizowane jest na kilka sposobów, mniej lub bardziej wydajnych. Mój ulubiony to polecenie telefoniczne. Zero papierologii, zero rozliczalności, zero pamięci o tym fakcie. Kolejny sposób to wiadomość mailowa. „Proszę, nadać uprawnienia dla pani Zosi takie jak ma pani Halinka”. Najśmieszniejsze gdy Pani Halinka miała nadawane uprawnienia sposobem pierwszym. Poza tym osoba na helpdesku realizująca zlecenia nadania uprawnień nie musi wcale wiedzieć czym zajmuje się pani Zosia i Halinka. Może pracują w zupełnie innych departamentach a stanowisko nie wymaga dostępu do informacji identyfikujących osobę. Po takich modyfikacjach można być pewnym, że prędzej czy później, choć pewnie prędzej pozostawimy gdzieś nadmiarowe uprawnienia a to zemści się w najmniej oczekiwanym momencie.

Zasada privacy by default vs simplicity.

Wszyscy chcielibyśmy jak najbardziej uprościć procesy i procedury aby te zamiast przeszkadzać wspierały nas w codziennych obowiązkach. Nie możemy jednak zapominać, że zasada privacy by default powinna obowiązywać na każdym etapie przetwarzania informacji. Podchodząc do tematu z myślą: „tak będzie łatwiej”, „po co sobie utrudniać”, „kto to będzie obsługiwał” robimy kuku samym sobie. Zwłaszcza, że obecnie w materii dostępu do danych osobowych jesteśmy kontrolowani jak nigdy dotąd. Przez osoby, których dane dotyczą, przez instytucje do tego powołane, przez „życzliwych” pracowników, a najbardziej przez przestępców. Dziwi to tym bardziej, że przecież większość organizacji na etapie przygotowywania się do RODO musiała zidentyfikować swoje aktywa informacyjne, prześwietlić dostawców oprogramowania oraz tak zorganizować system ochrony danych aby był dostatecznie przejrzysty dla wszystkich zainteresowanych stron. Widocznie ktoś musi nam dobitnie uzmysłowić, że nie zawsze prościej wypada lepiej.

Spodobał Ci się ten wpis? Zajrzyj i polub nasz profil na Facebook’u, Twitterze lub LinkedIn aby otrzymywać najświeższe informacje. A jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa informacji, skontaktuj się z nami. Przygotujemy ofertę dostosowaną do potrzeb Twojej organizacji. Auditownia świadczy usługi w zakresie przeprowadzania audytów, analizy ryzyka, przygotowania polityk, doradztwa i wsparcia w obszarze bezpieczeństwa informacji.