Termy Maltańskie

Kto Cię podgląda na basenie, czyli o kulturze bezpieczeństwa

Incydenty bezpieczeństwa, Ochrona danych, Zarządzanie bezpieczeństwem

Kultura bezpieczeństwa

Wydawać by się mogło, że w czasach, w których nasze dane i prywatność stają się przedmiotem szczególnej troski i poświęca się im sporo uwagi w mediach, do rzadkości należeć będą przykłady karygodnego podejścia do ich ochrony. Życie pokazuje jednak, że nawet przepisy prawa i restrykcyjne kary za niestosowanie się do ich zaleceń nie są w stanie zmusić, a przynajmniej nie wszystkich, do rzetelnej ochrony naszej prywatności. Kultura bezpieczeństwa jest czymś, na co powinniśmy zwracać szczególną uwagę nie tylko jako osoby prywatne, ale również jako pracownicy organizacji przetwarzających dane innych osób. O ile w pierwszym przypadku brak świadomości stanowi szkodę wyłącznie dla nas samych, o tyle w drugim nieodpowiedzialne postępowanie może już prowadzić do dużo poważniejszych incydentów.

Poniżej dwa przykłady pokazujące, że w krzewieniu kultury bezpieczeństwa danych i prywatności wciąż mamy jeszcze sporo do zdziałania.

Kamery w przebieralni?

Jednym z wymogów, które należ spełnić prowadząc monitoring wizyjny obiektu jest zadbanie o to, aby kamery nie naruszały prywatności osób znajdujących się w ich zasięgu. W związku z tym kamer nie instaluje się m.in. w pomieszczeniach socjalnych, szatniach, łazienkach, toaletach. W uzasadnionych przypadkach (np. zarejestrowane wcześniej przypadki kradzieży) dopuszcza się instalację kamer w szatniach, ale zaleca się wówczas takie ich umiejscowienie, aby zapewnić maksymalne poczucie prywatności. Umieszczenie kamer w szatni basenu można by zatem zrozumieć gdyby były to kamery skierowane na szafki, w których pozostawiamy nie tylko odzież, ale też dokumenty, telefony czy kluczyki od samochodów. Na Termach Maltańskich w Poznaniu możemy jednak spotkać kamery, które nie tylko nie są kamerami kierunkowymi o ograniczonym kadrze, ale w dodatku zainstalowano je centralnie nad boksami przebieralni. Nie udało mi się rozpoznać dokładnie modelu zainstalowanych urządzeń, jednak kamery tego typu dają często operatorowi możliwość zdalnego sterowania oraz przybliżania obrazu.

kamery na basenie
Fot. Kamery nad przebieralniami – Termy Maltańskie w Poznaniu

Osobiście nie mieści mi się w głowie kto i dlaczego mógł wpaść na tak nieodpowiedzialny pomysł. Wysłałem prośbę o komentarz w tej sprawie na adresy kontaktowe podane na stronie obiektu. Jeżeli uda mi się uzyskać jakąś odpowiedź, podzielę się nią w aktualizacji tego tekstu. (UWAGA: odpowiedź już otrzymałem, aktualizacja na końcu artykułu).

Pesel przez telefon

O ile kamery w szatniach nie są (na szczęście) popularnym rozwiązaniem, o tyle drugi z przykładów należy już do bardzo często spotykanych. Chodzi o procedurę uwierzytelniania klienta przez pracownika infolinii dzwoniącego w imieniu usługodawcy. Najprostszym, a zatem najczęściej stosowanym rozwiązaniem jest zapytanie klienta o jakieś dane, które instytucja posiada na jego temat. Dzwoni więc do nas pan/pani konsultant i prosi np. o numer PESEL. Tylko skąd osoba odbierająca połączenie ma mieć pewność, że dzwoni do niej pracownik banku, a nie np. złodziej chcący wyłudzić dane, na które później zaciągnie pożyczkę lub dokona zakupu ratalnego. Warto sobie zadać takie pytanie zanim przekażemy anonimowemu rozmówcy jakieś poufne informacje na swój temat. Poniżej umieściłem nagranie z rozmowy, którą odbyłem z panią konsultantką chcącą mnie zweryfikować poprzez część numeru PESEL.

Co ciekawe, w wyniku rozmowy okazało się, że ktoś w banku projektując procedury uwierzytelniania zadał sobie trud przewidując możliwość zdefiniowania przez klienta specjalnego hasła. Dzięki temu klient ma możliwość odpytać osobę dzwoniącą o to hasło i stwierdzić jednoznacznie, czy jest ona pracownikiem banku. Tylko dlaczego aby się o tym dowiedzieć musiałem odbyć długą rozmowę z konsultantką i uświadamiać ją jak nieodpowiedzialnie postępuje bank ucząc swoich klientów złych nawyków?

Podobne przykłady nieodpowiedzialnego podejścia do bezpieczeństwa danych i prywatności można niestety mnożyć. O kulturę bezpieczeństwa musimy dbać wszyscy. Przepisy prawa i restrykcyjne kary nie przynoszą jak widać oczekiwanych efektów, o czym pisałem niedawno w artykule „Ryzyko by default, podatność by design, czyli zarządzanie bezpieczeństwem danych„.

Aktualizacja

Otrzymałem odpowiedź od Term Maltańskich w kwestii kamer. Spodziewałem się, że może ona być wymijająca i tak też się stało. Poniżej jej treść:

Szanowny Panie,

Ze względów bezpieczeństwa nie mogę udzielać żadnych informacji na temat kamer zainstalowanych w Kompleksie.

Jedyną informację jaką mogę udzielić jest to, że w listopadzie 2015 roku odbyła się kontrola GIODO w sprawie kamer zainstalowanych w Kompleksie (m. in. w szatniach), która nie wykryła żadnych nieprawidłowości.

Rozumiem, że kwestie związane z zapewnieniem bezpieczeństwa fizycznego obiektu mogą podlegać pewnym ograniczeniom i zrozumiałe jest, że właściciel obiektu może nie chcieć ich ujawniać. Dlatego nie wypytując się już o dalsze szczegóły zadałem jeszcze tylko jedno pytanie – przed jakimi zagrożeniami chroni monitoring boksów, do których klienci wchodzą jedynie z ręcznikiem w celu zmiany bielizny i czy zasłonięcie ich od góry spowodowałoby jakieś zagrożenia. Niestety odpowiedź znowu była wymijająca:

Jak już pisałem wcześniej – kwestia rozmieszczenia kamer w Kompleksie, obszaru monitorowanego jak i wszelkie inne dane nie są jawne.

Wszystkie odpowiedzi zostały udzielone urzędnikom GIODO, którzy przeprowadzili kontrolę w Kompleksie i nie stwierdzili żadnych nieprawidłowości.

W międzyczasie dowiedziałem się, że już w 2014 roku rozmieszczenie kamer w obiekcie było przedmiotem badania Fundacji Panoptykon. Również wtedy fundacja nie doczekała się wyjaśnień, a nawet jakiejkolwiek odpowiedzi.

Gdzie tkwi problem?

Dlaczego odpowiedź, którą otrzymałem od Term Maltańskich nie jest dla mnie satysfakcjonująca i nie uspokaja mnie jako klienta obiektu? Pozwolę sobie wypunktować:

  1. Kontrola GIODO ma na celu zbadanie zgodności przetwarzania danych osobowych z wymogami Ustawy o Ochronie Danych Osobowych. Stara ustawa nie regulowała precyzyjnie kwestii związanych z monitoringiem wizyjnym. Najczęściej był on prowadzony na mocy tzw. „prawnie uzasadnionego interesu”. W interesie właściciela obiektu jest bowiem dbanie o jego i jego użytkowników bezpieczeństwo. Czy jednak bezpieczeństwo obiektu wymaga, by operator monitoringu mógł nam, za przeproszeniem, zaglądać w majtki?
  2. Kontrola ze strony dawniejszego GIODO i obecnego UODO jest kontrolą zapowiedzianą, o której urząd informuje z wyprzedzeniem. Zatem w sytuacji, gdy podmiot badany spodziewa się jakiś nieprawidłowości ma możliwość odpowiednio się przygotować. Nie stanowi więc problemu np. wyłączenie kamer na czas kontroli i poinformowanie urzędnika, że są one nieużywane i mają jedynie pełnić funkcję odstraszającą.
  3. Od 2015 roku przepisy „trochę” się jednak zmieniły. Trudno chyba przeoczyć fakt, że w maju ubiegłego roku weszło w życie Rozporządzenie o Ochronie Danych, zwane popularnie RODO. RODO kładzie wyraźny i zasadniczy nacisk na kwestię ochrony praw i wolności osób, których dane przetwarza administrator. Każdy proces przetwarzania danych osobowych (czyli również wizerunku), który może budzić wątpliwość powinien zostać poddany ocenie skutków przetwarzania. W ocenie tej administrator musi wziąć pod uwagę ewentualne szkody, które może wyrządzić swoim działaniem (o tym wspomnę w kolejnym punkcie). Ponadto RODO kładzie duży nacisk na adekwatność zakresu przetwarzanych danych do celu ich przetwarzania. Czy monitoring kabin w przebieralniach jest niezbędny do zapewnienia bezpieczeństwa obiektu? Mam spore wątpliwości co do tego, czy kontrola przeprowadzona pod kątem zgodności z aktualnymi przepisami również nie wykazałaby nieprawidłowości.
  4. Ochrona danych osobowych to jednak nie wszystko. Co z naszym prawem do prywatności i zwykłą, ludzką godnością? Osobiście mogę się pogodzić z faktem, że ktoś ogląda mój tyłek przez kamerę. Przepraszam za kolokwializm, ale nie trudno sobie uzmysłowić, że dla przeciętnego operatora takiego monitoringu to nic innego jak „gołe tyłki i cycki”. Ale to jednak nie wszystko. Do przebieralni wchodzimy też z naszymi dziećmi. Zgoda na filmowanie rozebranego dziecka przekracza już zdecydowanie granice mojej wyrozumiałości.
  5. Niezależnie od środków bezpieczeństwa, które wdrożył administrator obiektu trudno byłoby się spodziewać, że jego systemy są odporne na wszelkie zagrożenia. Systemy bezpieczne w 100% nie istnieją. Zawsze występuje mniejsze lub większe ryzyko wystąpienia incydentu, w wyniku którego intruz uzyska dostęp do systemów informatycznych i dojdzie do wycieku danych (lub nagrań z monitoringu przebieralni).

Najsmutniejsze jest w tym wszystkim jednak to, że wszyscy doskonale wiemy, iż zasłonięcie kabin od góry nie wymaga ani ponoszenia dużych kosztów, ani w żaden sposób nie wypływa na obniżenie poziomu bezpieczeństwa użytkowników obiektu. Mimo to jego właściciel woli upierać się przy swoim, zasłaniać tajemnicą, bezpieczeństwem i kontrolą z 2015 roku.

Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

facebookObserwuj
TwitterObserwuj

One comment

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.