Jak wprowadzić nowy wzór upoważnienia do przetwarzania danych?
Ostatnio otrzymałam takie pytanie od Pani Samanty i uświadomiłam sobie, że nie jest to banalny problem, bo sama musiałam się z nim zmierzyć na początku mojej przygody w roli ABI. Wtedy niestety nie wyszło mi to najlepiej…
Zasady nadawania/zmiany/odwołania upoważnień są istotnym elementem, którego nie powinno zabraknąć w polityce bezpieczeństwa (jest to jeden ze stosowanych przez administratora danych środków organizacyjnych mających na celu zapewnienie poufności informacji). Ja w mojej ówczesnej polityce nie miałam przewidzianej sytuacji zmiany wzoru upoważnienia. Dlatego za pierwszym razem odwoływałam wszystkie upoważnienia i nadawałam wszystkim nowe. Wyobraźcie sobie ile było z tym pracy i zamieszania przy ponad 100 osobowej organizacji i ponad 20 zbiorach danych, gdzie stosowałam zasadę nadawania upoważnienia do każdego zbioru. Koszmar. W dodatku ciągle mi czegoś brakowało, nie zgadzało się, itd. Nie wiedziałam co zrobić ze starymi upoważnieniami (niszczyć, czy trzymać?) oraz jak wpisać zmianę do ewidencji upoważnień. To doświadczenie nauczyło mnie, że najpierw należy zastanowić się nad przebiegiem procesu, następnie zacząć działać.
Dla ABI istotne jest działanie zgodnie z procedurami. Zatem należy zacząć proces od dobrego opisania zasad zmiany i odwołania upoważnień. Gdy kolejny raz doszło do konieczności zmiany upoważnień, najpierw zaktualizowałam politykę bezpieczeństwa w zakresie procedury zmiany i odwołania upoważnień. Przede wszystkim w zakresie zmieniania/odowływania upoważnień określiłam:
- każde nowe upoważnienie zastępuje stare
- upoważnienie obowiązuje aż do momentu nadania nowego, jego odwołania lub wygaśnięcia
- upoważnienie wygasa automatycznie z w dniu zakończenia umowy/współpracy
Rozwiązało to prawie wszystkie moje problemy. Po pierwsze łatwiej jest nadać ludziom nowe upoważnienia, niż najpierw je odwołać, a potem nadać. Po drugie zgodnie z tą zasadą, stare wzory upoważnień obowiązują, aż do momentu nadania nowych. Warto tutaj dodać, że popełniłam błąd już na samym początku, zakładając że muszę wszystkim wymieniać upoważnienia. Przecież stare upoważnienie zostało nadane zgodnie z ówczesną polityką i zmiana jego wzoru nie powoduje konieczności jego zmiany (chyba, że istotnie zmienia się sam zakres upoważnienia w stosowanym wzorze). Co do zasady, zamiast zmieniać wszystkim od razu upoważnienia na nowe, lepiej najpierw przeprowadzić kontrolę zakresów upoważnień (sprawdzenie ABI) i po niej dokonać niezbędnych zmian. Wówczas nie będziemy wykonywać dwa razy tej samej pracy. A zapis o automatycznym wygaśnięciu upoważnienia, to wisienka na torcie. Przyznam szczerze, że w dużych podmiotach odwoływanie upoważnień, jest bardzo czasochłonne i trochę mija się z celem (zwłaszcza przy dużej rotacji pracowników). Dzięki temu zapisowi, odnotowuję jedynie na upoważnieniu datę zakończenia współpracy, którą otrzymuję z działu kadr. I przekazuję informację do informatyków o konieczności odcięcia wszelkich dostępów i odzyskania sprzętu informatycznego.
Ps. Stare upoważnienia trzymamy – to dowód, że w tamtym okresie było ono nadane i obowiązywało (czyli taka historia upoważniania do przetwarzania danych).
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!