Jak RODO wpływa na kontrolę dostępu?

Z dniem 25. maja bieżącego roku zostało wprowadzone rozporządzenie Unii Europejskiej względem ochrony danych osobowych. To nowe prawo powszechnie zwykło się określać mianem RODO. Rozporządzenie to wnosi szereg regulacji w kontekście danych osobowych, a także zachowania  i zabezpieczenia ciągłości działania w przedsiębiorstwach.

Jaka jest rola kontroli dostępu w aspekcie  RODO?

Nowe regulacje kładą duży nacisk na ochronę danych osobowych zarówno Klientów jak i pracowników w firmach. Stąd też należy zapewnić optymalne wdrożenie systemu kontroli dostępu w przedsiębiorstwie. Wymaganym jest, by tylko określone osoby, mające odpowiednie upoważnienia i uprawnienia, miały dostęp do dokumentów zawierających dane osobowe. Kontrola dostępu jest więc wymagana zarówno w rozumieniu ograniczania dostępu do pomieszczeń, gdzie przechowywane są informacje wrażliwe w formie papierowej, jak i zapewnienie odpowiedniej polityki bezpieczeństwa do wszelkich zbiorów w formie elektronicznej. Dla dokumentów i danych przechowywanych w formie elektronicznej istotną kwestią będzie zapewnienie należytego bezpieczeństwa dla wszystkich systemów, z których korzystają pracownicy.

Co można zrobić dla zachowania ciągłości  działania firmy?

W tym aspekcie kluczowe będzie przygotowanie odpowiednich procedur na wypadek wystąpienia incydentu. Niewątpliwie kluczowe będą 2 kwestie:

Jakie działania realizujemy na wypadek awarii sprzętu/oprogramowania?

Za każdym razem realizowane zabiegi mogą różnić się swym zasięgiem w zależności od tego, jak bardzo dana awaria naruszyła zwyczajną pracę w przedsiębiorstwie. Drobna awaria (np. dysk twardy komputera) może wymagać jego wymiany i powtórnego zainstalowania niezbędnego oprogramowania i systemu operacyjnego. Awaria krytyczna to np. zarażenie komputerów w całej sieci LAN groźnym wirusem komputerowym, gdzie skutki mogą być znaczne. Stąd też niezwykle istotne jest tworzenie kopii zapasowych najważniejszych informacji, gdzie będzie można w krótkim czasie przywrócić te dane. Zwykle sugeruje się, żeby możliwy przestój nie trwał dłużej niż 3h.

Awariom związanym z systemem kontroli dostępu zawsze należy się przyjrzeć pod kątem ochrony danych osobowych.

Jakie działania wykonujemy gdy nastąpi wyciek danych osobowych?

O ujawnionych wyciekach informacji musi być poinformowany Inspektor Danych Osobowych (jeśli jest powołany w firmie) lub Administrator. Osoba taka zapoznaje się ze szczegółami incydentu i na podstawie rozmiaru, skutków bieżących i możliwych w przyszłości wykorzystuje różne narzędzia, w tym poinformowanie odpowiednich osób o wykrytym wycieku. Ważną sprawą jest również zadziałanie w obszarze wystąpienia w taki sposób, by wykluczyć taką możliwość w przyszłości lub znacznie ją ograniczyć.