Systemy do zarządzania dostępem i uprawnieniami w pierwszym skojarzeniu zupełnie nie wiążą się z RODO i pracą Inspektorów Ochrony Danych Osobowych. I rzeczywiście IDM nie jest receptą na zgodność z RODO, jednak stanowić może całkiem użyteczne narzędzie w rękach IODO.

Zespół SimplySec zajmuje się zagadnieniami IDM od czasów kiedy premierem był Jerzy Buzek, a Aleksander Kwaśniewski kończył swoją pierwszą kadencję prezydencką. Piszemy to nie po to żeby się pochwalić, ale żeby lepiej zobrazować fakt, że w tym obszarze naprawdę wiemy o czym mówimy.

Przechodząc do głównego wątku, czyli RODO, IODO i IDM, na początek warto rozpoznać największą bolączkę z punktu widzenia Inspektora Ochrony Danych Osobowych w każdej organizacji. Jest nią z pewnością aktualność zgód na dostęp do danych osobowych. Firmę tworzą ludzie, a co za tym idzie „żywy organizm”, gdzie wszystko stale się zmienia. Im większa liczba pracowników tym i „ruch” jest większy.

 

Zatem bez pełnego oglądu w czasie rzeczywistym kto i do czego ma dostęp, bez identyfikacji systemów przechowujących i przetwarzających dane osobowe niezwykle trudno sprostać wymogom prawnym. Czasem ciężko jest ustalić, które spośród wielu aplikacji i systemów w rzeczywistości ma dostęp do danych osobowych.

Dodatkowo często bywa tak, że organizacje stosują zarządzanie półautomatyczne. To znaczy najpierw wszystkie wnioski o dostęp zatwierdza biznes, a dopiero później trafiają one do IODO. Dochodzi do tego konieczność okresowych przeglądów legitymizacji dostępów, które w tej sytuacji nie zawsze mogą odzwierciedlać rzeczywistość.

IDM, jako narzędzie dla IODO

Wdrożenie IDM, o czym pisaliśmy w poprzednich artykułach, wiąże się z kompleksowym przeglądem uprawnień do wszystkich funkcjonujących w organizacji systemów. Dzięki temu, z punktu widzenia IODO, minimalizuje się ryzyko pominięcia, któregoś z systemów i nie objęcia go nadzorem.

Jednak IDM przede wszystkim może być narzędziem włączającym IODO w aktywny sposób w proces wydawania zgód na dostęp do danych osobowych. Jednocześnie, z uwagi na to, że IDM jest narzędziem elektronicznym przeprowadzanie przeglądów jest możliwe tak często jak to konieczne.

IDM nie zastąpi wymaganych prawem, „odręcznych” rejestrów zgód, jednak z całą pewnością może być ich cyfrowym odwzorowaniem, dając jednocześnie faktyczny ogląd całości organizacji w czasie rzeczywistym. Będzie bardzo użyteczny również w aspekcie przedłużania wygasających uprawnień i ich ewaluacji. Z IDM całość można przeprowadzić zdecydowanie szybciej, co w niektórych przypadkach może mieć pozytywny wpływ na zapewnienie ciągłości biznesu.

Podsumowanie

Systemy klasy IDM z całą pewnością mogą stanowić narzędzie wspierające działania Inspektora Ochrony Danych Osobowych. Ich podstawową funkcją jest oczywiście zapewnienie wyższego poziomu bezpieczeństwa, jednak jak udowodniliśmy powyższym artykułem funkcjonalności IDM mogą zostać wykorzystane również w obszarze ochrony danych osobowych.

Jeśli zainteresował Cię ten artykuł i chciałbyś dowiedzieć się więcej zapraszamy do kontaktu. W SimplySec z dużą przyjemnością dzielimy się naszą wiedzą i staramy się wspierać naszych klientów. Być może również Ty dołączysz do tego grona? Mamy nadzieję, że tak. Do usłyszenia!