Temat: identyfikacja użytkownika w systemie informatycznym
Piotrek G.:
Witam.
Mam pytanie. W mojej firmie właśnie pojawiła się kwestia identyfikacji. Z pewnych względów szef zażyczył sobie, żeby niektórzy użytkownicy mieli po dwa identyfikatory do tego samego systemu i zasobu informatycznego. Tu moje pytanie. Czy to jest zgodne z przepisami, również GIODO, żeby jeden użytkownik miał dwa identyfikatory do tego samego systemu i zasobu?
Będę wdzięczny za przytoczenie jakichś konkretnych przepisów, bo jestem w tym temacie zielony.
W uodo art. 39.1.3. wyraźnie wskazuje na identyfikator w l.p. RODO nie reguluje tej materii w sposób jednoznaczny. Art. 29 stanowi ogólnie o upoważnieniu do przetwarzania d.o. W połączeniu z art. 24.1. można wysnuć tezę, że ADO ma dowolność w kształtowaniu sposobów ochrony d.o., o ile przyczyni to się do utrzymania ochrony danych osobowych na akceptowalnym poziomie ryzyka.
Jeśli identyfikator definiujemy jako element uwierzytelnienia dostępu do ściśle określonego, różnego zakresu d.o., to moim zdaniem, jest dopuszczalne posługiwanie się różnymi identyfikatorami. Jeśli jednak mają być nadane dwa różne identyfikatory z dostępem do dwóch identycznych zbiorów d.o. w tym samym celu, to zwiększa się ryzyko naruszenia art. 5.1.f. rodo.
Posiadanie więcej niż jednego identyfikatora rodzi nowe ryzyka. Wewnętrzna dokumentacja winna opisywać (rozliczalność art.5.2. rodo) w jakich sytuacjach osoba może posługiwać się jednym, a w jakich winna posługiwać się drugim identyfikatorem. (uwaga, nawet przypadkowe złamanie tych zasad powinno być uznane jako incydent naruszający ochronę d.o.)