Przygotowanie obiektu do wymagań przepisów RODO dzięki zaawansowanym systemom kontroli dostępu

Kontrola dostępu a RODO – na czym polega potencjalny problem?

Wyżej wspomniane rozporządzenie dotyczy danych osobowych rozumianych jako zbiór informacji, przy użyciu których można zidentyfikować konkretną jednostkę. Mowa tu przede wszystkim o imieniu i nazwisku (i adresie mailowym, który je zawiera), PESEL-u czy adresie..

Jak to się wiąże z systemami kontroli dostępu? Zazwyczaj przy drzwiach spotkać możemy czytniki, odpowiedzialne za odczyt danych zapisanych na kartach, którymi posługuje się użytkownik. Ten przesyła odczytane informację do kontrolera, aby zweryfikować autoryzację dostępu posiadacza karty. Gdy ten ma dostęp, wówczas element wykonawczy np.. Elektrozaczep jest zwalniany, co umożliwia przejście użytkownikowi

Jeżeli karta nie jest przypisana do konkretnego użytkownika (posiadacza karty), lecz do danej grupy dostępowej wówczas kradzież czy zagubienie karty może naruszyć bezpieczeństwo budynku, ale nie zapewnia dostępu do danych osobowych konkretnego użytkownika. Nie ma tu zatem pola do naruszenia przepisów RODO.

Celem systemów kontroli dostępu jest jednak maksymalne uszczelnienie budynku przed dostępem niepowołanych osób. Stąd też karty są zwykle imienne, a zatem przypisane do konkretnej jednostki. Zawierają więc informacje o posiadaczu, które (przy odpowiedniej determinacji) można rozkodować. Te same dane znajdują się również w oprogramowaniu służącym do obsługi systemu, które także może być narażone ataki – czy to hakerskie, czy też fizyczne na pomieszczenie, w którym znajduje się sprzęt służący do zarządzania dostępami.

Jak zminimalizować ryzyko nieuprawnionego przetwarzania danych?

Jeśli system do kontroli dostępu wymaga wprowadzenia danych osobowych, konieczne jest zdobycie zgody osób, które w nim uczestniczą. Podpisanie upoważnień do przetwarzania danych to pierwszy krok do uporządkowania prawnego aspektu implementacji takiego rozwiązania.

Drugim krokiem powinno być zadbanie o to, by dostęp do wrażliwych informacji miały tylko osoby, które są do tego uprawnione. W przypadku systemów kontroli służących podniesieniu poziomu bezpieczeństwa budynku będzie to najpewniej osoba odpowiadająca za jego ochronę. Jeśli system dodatkowo monitoruje czas pracy, może to być również upoważniona do tego kadrowa.

Kolejnym krokiem powinno być wyznaczenie określonego pomieszczenia, w którym stanie sprzęt z oprogramowaniem do zarządzania systemem kontroli. Nawet jeśli jest to możliwe z każdego komputera z dostępem do Internetu, warto wydzielić na to osobne miejsce w budynku, w którym zadbanie o właściwe zabezpieczenie przed włamaniem i kradzieżą będzie prostsze.

W kontekście ochrony przed fizycznym dostępem do komputera z danymi osobowymi najistotniejszą rolę odgrywa wybór solidnych drzwi o wysokiej klasie ochrony przeciwwłamaniowej, których sforsowaniu nie sprosta przypadkowy włamywacz – a i ten doświadczony oraz wyposażony w profesjonalny sprzęt będzie mieć z tym problem. Dodatkowe zabezpieczenia przeciwkradzieżowe również są w cenie, podobnie jak system monitoringu wizyjnego oraz system wykrywający próbę włamania.

Należy też zadbać o przygotowanie procedur dotyczących postępowania w razie wycieku lub kradzieży danych personalnych osób, które są uwzględnione w systemie kontroli dostępu. To sposób nie tylko na zminimalizowanie powstałych szkód, lecz również ograniczenie konsekwencji prawnych wynikających z takiej sytuacji.

Unikalne rozwiązania z zakresu kontroli dostępu od ASSA ABLOY

Chcąc uniknąć wyżej wymienionych problemów, można postawić na pewnego rodzaju kompromis. Stanowią go systemy kontroli dostępu, które wykorzystują dane osobowe w znacznie bardziej ograniczonym stopniu, a tym samym oznaczają konieczność podjęcia mniejszej liczby działań związanych z ich ochroną. Z drugiej strony, nadzór nad bezpieczeństwem budynku będzie nieco słabszy niż w przypadku bardziej spersonalizowanych systemów.

Jakie rozwiązania są godne rozważenia? Chociażby system Code Handle, na który składa się innowacyjna klamka otwierana kodem. Do jednej z nich może być przypisanych nawet 9 kodów użytkowników i 1 kod administratora, co pozwala na utworzenie hierarchii dostępów. Z drugiej strony, wejście w posiadanie hasła do drzwi nie daje żadnych informacji o użytkownikach, którzy z nich korzystają. Nie zachodzi tu zatem ryzyko złamania przepisów prawnych wynikających z RODO.

Na uwagę zasługuje również system Master Key, który – jak sama nazwa wskazuje – zakłada wykorzystanie kluczy. Każdy z nich zostaje stworzony w taki sposób, by otwierał określony zestaw drzwi w budynku. Przydzielając je zgodnie z uprawnieniami poszczególnych osób, można zatem stworzyć w pełni funkcjonalny system kontroli dostępu. Co więcej, jeden klucz wystarczy do otworzenia drzwi w różnych częściach obiektu, co zmniejsza liczbę kluczy wymagających monitorowania.

Dane o tym, jakimi dostępami dysponuje dana jednostka, są zapisane w oprogramowaniu, które służy do planowania systemu bezpieczeństwa budynku. Aby nie wpadły w niepowołane ręce, należy zabezpieczyć pomieszczenie, w którym się znajduje przed fizycznym wtargnięciem oraz atakiem hakerskim. Samo zgubienie klucza bez posiadania danych z programu nie stanowi jednak zagrożenia złamania przepisów RODO.