11 lut

O upoważnianiu słów kilka

Uważam, że upoważnianie ma fundamentalne znaczenie dla zapewniania zgodności przetwarzania z RODO. Jednakże większość przeprowadzanych przeze mnie audytów oraz moje doświadczenia we współpracy z różnymi administratorami, prowadzą do wniosku, że nie przykłada się zbyt dużej wagi do upoważnień. Bardzo często są one nadawane hurtem, tzn. wszystkim do wszystkiego, nie są odwoływane, nie są aktualizowane. Jest to błąd, bo w przypadku naruszenia przez pracownika wewnętrznych procedur, w szczególności kradzież lub udostępnienie danych, nienadane, niewłaściwie nadane lub nieodwołane upoważnienie może utrudnić lub uniemożliwić, że pracownik działał niezgodnie z wolą administratora.

Upoważnienie do wszystkiego lub w zbyt szerokim zakresie

Tak jest najłatwiej, szczególnie gdy firma jest mała, praktyką jest nadawanie upoważnienień do „przetwarzania danych osobowych”. Czasami określa się, że zakres upoważnienia jest „bez ograniczeń”. Bywa że upoważnienie jest trochę bardziej szczegółowe i zapisano w nim, że jest to przetwarzanie danych związanych z zatrudnieniem. W takim wypadku osoba upoważniona może uzurpować, że jest uprawniona także do dostępu do danych płacowych, czy bazy marketingowej, pomimo że jej obowiązki nie są z tym związane. Nie ograniczając uprawnień osoby upoważnionej administrator podcina gałąź, na której siedzi, dając wyraźny sygnał „ufam Ci, w mojej firmie możesz robić wszystko”. Czy pracownicy faktycznie tak do tego podchodzą? Zdecydowanie tak, szczególnie jeżeli otrzymają dostęp do danych związanych z zatrudnieniem lub klientami firmy. Na przykład osoby biorące udział w procesach rekrutacji (np. pracownicy HR, czy kierownicy działów) otrzymując upoważnienie do „przetwarzania danych związanych z zatrudnieniem”, dość często powołując się na to upoważnienie żądają od kadr informacji o umowach innych pracowników, w szczególności na podobnych stanowiskach. Czasami chcą też dostęp do historii umów zawartych z klientami, których znają (czytaj znajomych, których lubią lub nie), by zaspokoić swoją ciekawość. Ich żądania i oczekiwania są spowodowane tym, że otrzymali upoważnienie w zbyt szerokim zakresie.

Wystarczyłoby dając upoważninie do czynności związanych z zatrudnieniem dookreślić zakres, np. w zakresie niezbędnym do rozliczenia składek, w zakresie niezbędnym do przeprowadzenia procesu rekrutracji, itd.

Podobnie upoważniając do danych związanych z realizacją umów na rzecz klienta, można byłoby dookreślić, że dotyczy to danych powierzonych przez klientów w związku z realizacją umów, danych kontkatowych przedstawicieli klientów, danych związanych z zawaraciem i ralizacją umowy, itd.

Upoważnienie zgodnie z zakresem obowiązków

Nie chcę mówić, że jest to absolutnie zły pomysł, bo nie jest. Jednakże, jeżeli adminsitrator nadaje upoważnienia do przetwarzania danych zgodnie z zakresem obowiązków, to powinien zadbać o to, aby ten zakres został określony precyzyjnie. Na przykład problematyczne mogą być kwestie zastępst lub zdania wytrychu, tzn. „realizowanie poleceń przełożonego”, sugerujące że przełożony wydając dodatkowe polecenie, wymagające przetwrzania danych poza zakresem wynikającym z zakresu obowiązków, daje niejako upoważnienie do przetwrzania tych danych. W takim wypadku powstaje pytanie na jakiej zasadzie powinny być nadawane dodatkowe uprawnienia do systemów informatycznych, a także jak dokumentować fakt, że w danym okresie zakres upoważnienia pracownika zwiększył się ze względu na wydane przez przełożonego polecenie. Być może zastosowanie udokumentowanej formy wydawania poleceń, np. pisemnej lub przez system informatyczny, zapewniłoby odpowiedni poziom rozliczalności. Jak wspomniałam nie jestem fanką tego rozwiązania, ale wiem, że wielu administratorów je stosuje i że u nich sprawdza się w praktyce.

Dawanie uprawnień na zapas

Serio, ludzie tak robią. Dają pracownikom uprawnienia na zapas lub w szerszym zakresie, bo „mogą się przydać”. Na przykład po to, aby każdy pracownik mógł zastąpić każdego. Bardzo często upoważniany na zapas jest…. inspektor ochrony danych 🙂 To nie żart. Ponieważ jego praca polega na przeprowadzaniu audytów, więc na wszelki wypadek już na wstępie dostaje upoważnienie do przetwarzania danych w ramach wszystkich czynności, aby mógł sobie swobodnie audytować. Nie mogę zgodzić się z takim podejściem. Inspektor, mimo że jest świetnym ekspertem, a RODO obliguje do zachowania tajemnicy, nie powinien być świętą krową, której wszystko zawsze wolno. Można upoważnić go w zakresie zgody z jego codziennymi obowiązkami, tzn. do czynności związanych z realizowaniem żądań osób, których dane dotyczą; do czynności niezbędnych do pełnienia roli punktu kontaktowego dla Prezesa UODO, do czynności niezbędnych do udzielania wspracia dla administratora i pracowników w stosowaniu przepisów RODO, w tym przeprowadzania szkolen. Jeżeli IOD planuje audyt, który wymaga dostępu do danych, pownien wraz z planej audytu wystąpić do administratora o odpowiednie upoważnienie do przetwarzania danych na czas audytu. Wiem, że to niepopularne rozwiązanie, bo jesteśmy leniuszkami, ale tutaj nie chodzi o to, aby było łatwo i przyjemnie (chociaż do tego dążymy), tylko żeby zapewnić rozliczalność na odpowiednim poziomie.

Brak procedury upoważniania

To jest jedna z kluczowych w organizacji kwestii. Nie może być tak, że nie ma oficjalnych zasad nadawania/zmiany/odwołania upoważnienia, bo wtedy na pewno nie będzie to poprawnie działać. Po pierwsze każdy będzie robił jak chce, po drugie bardzo szybko się okaże, że liczba świętych krów bez upoważnień sprawia, że zaczynamy się czuć jak w Indiach 🙂 Procedura powinna być jednym z elementów naszej polityki ochrony danych. Nie musi być skomplikowana, ani długa, tylko skuteczna. I określać kto jest za co odpowiedzialny.

Upoważnienie a uprawnienia do systemów informatycznych

Jeden z grzechów głównych większości organizacji. Upoważnienia sobie, a uprawnienia sobie. Uprawnienia admnistrator najczęściej nadaje na podstawie jakiejś wiadomości e-mail lub (o zgrozo!) ustnego polecenia jednego z pracowników. To oczywiście bardzo szybko prowadzi do rozbieżności pomiędzy upoważnieniem do przetwarzania danych, a uprawnieniami do systemów. Tak samo jak istotna jest proceudra upoważniania, powinna zostać wdrożona procedura nadawania/zmiany/odbierania uprawnień do systemów. Może być częścią procedury upoważniania. Dość popularną praktyką jest umieszczanie na upoważnieniach od razu informacji o systemach, do których osoba upoważniania otrzyma uprawnienia. To pozwala administratorowi właściwie te uprawnienia określić. Nie wiem, czy już zapaliły Wam się odpowiednie lampki w głowie… Tak, administrator systemu musi mieć dostęp do treści upoważnienia. Można także wprowadzić wraz z upoważnieniem, tzw. „kartę uprawnień do sytemów informatycznych”. Jest to wygodne, gdy systemów jest dużo, a uprawnienia muszą  być nadawane dość szczegółowo. Wówczas karta uprawnień stanowi podstawę do nadania uprawnień użytkownikowi przez administratora systemu. I szczerze – to jest bardzo, bardzo ważne, bo w systemach informatycznych firmy znajduje się w zasadzie wszystko. Nie tylko dane osobowe, ale też inne tajemnicy, których utratra lub kradzież może sprawić, że dalsze funkcjonowanie organizacji straci sens. Chciałabym histeryzować, ale jak to się mówi, jest dobrze, dopóki jest dobrze.

Zmiana nawyków

Możecie zrobić najlepszą procedurę, ale to nie wystarczy. Ważne jest też jej wprowadzenie, a także przestrzeganie. Punktem wyjścia może być jakieś zarządzenie lub uchwała, ale powinen iść za nią publiczny komunikat do pracowników i na przykład szkolenie. Warto także wyjaśnić osobom, które będą odpowiedzialne za realizowanie tej procedury, że ona ma im pomóc zmniejszyć ich własną odpowiedzialność, za dopuszcenie osobowy nieuprawnionej do zasobów chronionych. Nie ukrywajmy, jeżeli administrator systemu nadaje uprawnienia do systemów na tak zwaną gębę, to on zostanie uznany za odpowiedzialnego tego, że użytkownik mógł wysadzić w kosmos całą bazę danych lub wyniósł sobie do domu dane klientów, do których w ogóle nie powinien mieć dostępu. Bardzo ważne jest, aby pracownicy zdawali sobie sprawę, że procedura ma im pomagać, a nie utrudniać życie.

A jak już uda się wdrożyć dobre procedury, trzeba monitorować ich przestrzeganie 🙂

I jeszcze na koniec, jak ważne jest właściwe upoważnienie możecie przekonać się zapoznając się z tym orzeczeniem w sprawie Pani, która w pracy korzystała z bazy danych pracodawcy, aby realizować zlecenia dla swoich własnych klientów.  Jeden z wniosków SN daje dużo do myślenia: Pracownik, który przetwarza dane osobowe poza zakresem upoważnienia udzielonego przez administratora, dopuszcza się ciężkiego naruszenia podstawowych obowiązków pracowniczych, nawet gdy zachowuje poufność danych


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


 

Data aktualizacji: 11 lutego 2020