W dobie cyfrowych zagrożeń tradycyjne metody ochrony kont, oparte wyłącznie na haśle, stają się niewystarczające. W odpowiedzi na nowe ryzyka CNIL – francuska Krajowa Komisja Informatyki i Wolności – opublikowała w marcu 2025 roku nowe zalecenia dotyczące uwierzytelniania wieloskładnikowego (MFA- Multi-Factor Authentication). Dokument ten stanowi kompleksowy przewodnik dla firm, instytucji publicznych oraz dostawców usług, jak poprawnie i zgodnie z RODO wdrażać MFA.
Czym jest uwierzytelnianie wieloskładnikowe?
MFA polega na weryfikacji tożsamości użytkownika za pomocą co najmniej dwóch niezależnych czynników spośród trzech kategorii:
Czynnik wiedzy (coś, co użytkownik wie) – np. hasło lub PIN,
Czynnik posiadania (coś, co użytkownik posiada) – np. karta inteligentna, klucz USB lub aplikacja OTP (One-Time Password- to program, który generuje jednorazowe hasła, używane do weryfikacji tożsamości przy logowaniu lub transakcjach)
Czynnik biometryczny – np. odcisk palca czy rozpoznawanie twarzy.
Przykład? Płatność kartą w sklepie: masz kartę (czynnik posiadania) i musisz podać PIN (czynnik wiedzy).
Dzięki temu nawet jeśli jeden z elementów zostanie skompromitowany (czyli został „przełamany” i nie działa już prawidłowo), dostęp do konta nadal jest chroniony.
Dlaczego MFA jest tak ważne?
Według CNIL, MFA znacznie redukuje ryzyko nieautoryzowanego dostępu do zasobów informatycznych i danych osobowych. Chroni nie tylko użytkowników prywatnych, ale przede wszystkim organizacje – od administracji publicznej po sektor zdrowia czy finansów.
Kluczowe zalecenia CNIL
1. Ocena ryzyka przed wdrożeniem MFA
Nie każda usługa wymaga MFA. CNIL zaleca przeprowadzenie analizy ryzyka:
Czy mamy do czynienia z przetwarzaniem danych wrażliwych (np. danych zdrowotnych)?
Czy usługi dostępne są spoza sieci organizacji?
Czy niepowodzenie ochrony może mieć istotny wpływ na osoby fizyczne?
Jeśli odpowiedź brzmi „tak” – MFA jest koniecznością.
2. Minimalizacja gromadzonych danych
Zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO) oznacza, że należy gromadzić tylko niezbędne informacje. Przykład:
Wysyłanie OTP SMS wymaga znajomości numeru telefonu użytkownika.
Aplikacja TOTP nie wymaga numeru telefonu – lepsze rozwiązanie pod kątem prywatności.
3. Bezpieczeństwo danych od samego projektu
Wybierając system MFA, musimy myśleć o:
Bezpieczeństwie przesyłanych danych,
Odporności na podsłuch i ataki typu man-in-the-middle,
Zapewnieniu, by prywatne urządzenia użytkownika nie stały się „słabym ogniwem”.
4. Ostrożność przy stosowaniu biometrii
Biometria (np. odcisk palca) jest klasyfikowana jako przetwarzanie danych wrażliwych. CNIL podkreśla:
Konieczność uzyskania wyraźnej zgody użytkownika,
Zapewnienie alternatywy (np. klucz fizyczny zamiast odcisku palca),
Preferencję dla lokalnego przechowywania danych biometrycznych (np. na smartfonie użytkownika).
Czy MFA zawsze jest wymagane?
Choć MFA znacznie podnosi bezpieczeństwo, CNIL podkreśla, że nie zawsze musi być ono obowiązkowe. W przypadku systemów o niskim ryzyku (np. na platformach rezerwacyjnych) można pozostawić użytkownikom wybór, by nie nadużywać mechanizmów ochronnych i unikać tzw. zmęczenia MFA.
Najczęstsze pytania o MFA i ochronę danych
Czy MFA jest obowiązkowe według RODO?
Nie, samo RODO nie nakłada obowiązku stosowania MFA. Jednak artykuły 5 i 32 RODO wymagają zapewnienia odpowiednich środków bezpieczeństwa. W wielu przypadkach MFA jest najlepszym sposobem na spełnienie tych wymogów.
Czy mogę używać SMS-ów do uwierzytelniania?
Tak, ale CNIL przypomina, że OTP przez SMS są mniej bezpieczne (narażone np. na przechwycenie). Warto traktować SMS jako minimum, a nie standard – lepiej używać dedykowanych aplikacji lub sprzętowych tokenów.
Czy muszę uzyskać zgodę użytkownika na MFA?
Zgoda nie zawsze jest potrzebna. Jeśli MFA jest wdrażane jako środek bezpieczeństwa (na podstawie uzasadnionego interesu organizacji), zgoda nie jest wymagana – poza wyjątkami, np. przetwarzaniem danych biometrycznych.
Czy zawsze muszę stosować biometrię jako czynnik MFA?
Nie. Biometria powinna być stosowana ostrożnie, z zapewnieniem alternatywy dla użytkowników. Jeśli nie jest to absolutnie konieczne, lepiej unikać zbierania danych biometrycznych.
Checklista: Jak wdrożyć MFA zgodnie z RODO
1. Oceń ryzyko Określ, czy dla danego systemu MFA jest rzeczywiście potrzebne (dane wrażliwe, krytyczne usługi, zdalny dostęp).
2. Wybierz właściwe czynniki MFA Preferuj kombinację „wiedza + posiadanie”. Biometria tylko jeśli naprawdę konieczna.
3. Minimalizuj dane Wybieraj takie rozwiązania MFA, które zbierają jak najmniej danych osobowych.
4. Zapewnij bezpieczeństwo od projektu Stosuj szyfrowanie, bezpieczne kanały przesyłania danych, solidne protokoły.
5. Informuj użytkowników Przygotuj przejrzystą politykę ochrony danych osobowych dotyczącą MFA – kto, co i jak długo przetwarza.
6. Zapewnij alternatywy Jeżeli używasz biometrii lub prywatnych urządzeń użytkownika, zapewnij inną opcję uwierzytelniania.
7. Ustal zasady retencji danych Nie przechowuj danych uwierzytelniających dłużej niż to konieczne.
8. Dokumentuj i nadzoruj transfery danych Zwłaszcza gdy korzystasz z rozwiązań SaaS – sprawdzaj, gdzie trafiają dane i na jakich warunkach.
9. Regularnie testuj bezpieczeństwo MFA Audytuj wdrożone systemy, aby reagować na nowe zagrożenia.
10. Chroń MFA przed atakami Wprowadzaj zabezpieczenia przed zmęczeniem MFA (np. limit powiadomień, weryfikacja lokalizacji próby logowania).
Podsumowanie
W 2025 roku MFA nie jest już luksusem – to podstawowy element polityki bezpieczeństwa w każdej organizacji. Nowe zalecenia CNIL pomagają wdrożyć tę technologię w zgodzie z przepisami RODO i z troską o prawa użytkowników. Choć niewiążące zalecenia wydał CNIL- francuski organ, to jednak wytyczne powinny być brane pod uwagę we wszystkich krajach UE.
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.
Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej
Polityce prywatności. AKCEPTUJ
