Krzysztof
W.
adiunkt, Uniwersytet
Wrocławski
Temat: Upoważnienia dla wszystkich, czy tylko tym co mają dostęp...
Panie Grzegorzu generalnie ma Pan rację z tymi strefami i słusznie kładzie nacisk na ogląd całości systemu zabezpieczeń (co jednak wymaga jego posiadania i przestrzegania oraz stosowania odwołań w polityce bezpieczeństwa i instrukcji zarządzania systemem - co niestety czasem przerasta możliwości/umiejętności przeciętnego ABI z łapanki o ADO nie wspominając) oraz całkiem ciekawe poglądy na obszar przetwarzania (warte upowszechnienia bo dość nieortodoksyjne a dające ciekawe możliwości praktyczne) tyle tylko, że zazwyczaj nasza szara rzeczywistość jakoś nie pasuje mi to do tego modelowego ujęcia funkcjonowania organizacji. Spośród spotykanych od ponad 15 lat firm/urzędów itd. niewiele spełnia te standardy (w grupie małych i średnich prawie żaden) a choć sytuacja ulega poprawie idzie to jakoś wolno.To co pisałem o osobach sprzątających jako mających dostęp do pomieszczeń i papierów oraz urządzeń (nie wyłączonych z sieci ;)) wynika więc z obserwacji dnia codziennego ;(( i reakcji nań.
Wśród wypowiadających się wyżej panuje tendencja do eliminacji pewnych grup osób z obowiązków nakładanych przez uodo a ja proponuję zazwyczaj coś odwrotnego - uczynienie z nich kolejnej linii obrony przed utratą/wyciekiem danych. Uważam, iż lepiej jest przykroić ich obowiązki (na podstawie upoważnienia) do tego co robią w rzeczywistości i uświadomić znaczenie tego, niż potem zastanawiać się kto jest winny przypadkom gdy przez "roztargnienie" kogoś zajmującego się "typowym przetwarzaniem" dane zostaną utracone lub dostaną się tam gdzie nie powinny. Zwłaszcza, że odpowiedzialność może dotyczyć samego ADO czy ABi jako osoby nie mającej wystarczającej kontroli nad systemem przetwarzania danych opisanym w polityce i instrukcji.
A tak na marginesie być może niedługo sprzątaniem zajmować się będą u nas ludzie po studiach więc perspektywy nawiązania dialogu w ramach potencjalnych szkoleń są obiecujące ;)).
p.s.
Panie Leszku a nie wydaje się Panu że jak "może" bo np. zabezpieczenia (w tym organizacyjne) są słabe / żadne to lekko zalatuje to odpowiedzialnością z 51 / 52 uodo.