Zabezpieczenie hasłem dostępu do komputera, programów oraz aplikacji użytkowanych w firmie, które służą do przetwarzania danych osobowych jest obowiązkiem wynikającym z ustawy o ochronie danych osobowych. Nieprawidłowe przechowywanie haseł w firmie zdarza się w praktyce często. Jak powinno wyglądać hasło, by było zgodne z przepisami o ochronie danych osobowych? Czy należy je zmieniać? Jak musi przebiegać przechowywanie haseł w firmie? Wyjaśniamy poniżej!
Polityka haseł w przedsiębiorstwie
Zgodnie z przepisami o ochronie danych osobowych rozróżnia się dwa rodzaje haseł dostępu - hasła do systemów informatycznych przetwarzających zwykłe dane osobowe oraz hasła do systemów przetwarzających tzw. dane wrażliwe.
Prawidłowe hasło powinno składać się z 6-8 znaków. Sześć znaków to minimum dla systemów przetwarzających zwykłe dane osobowe. Natomiast minimum osiem znaków dotyczy systemów informatycznych, w których przetwarzane są dane wrażliwe. Co ważne hasła te powinny zawierać:
-
duże i małe litery oraz
-
znaki specjalne.
Ważne! Hasła do systemów informatycznych użytkowanych w firmie należy zmieniać co 30 dni! |
W treści polityki haseł warto zamieścić informację o bezwzględnym zakazie zapisywania haseł na karteczkach czy też zakazie przekazywania ich osobom nieupoważnionym itp.
Hasła w systemie informatycznym trzeba przechowywać w postaci zaszyfrowanej. Co ważne należy w dokumentacji wskazać sposób przechowywania haseł użytkowników posiadających uprawnienia administratorów systemów informatycznych oraz sposób odnotowania ich awaryjnego użycia.
Konsekwencje prawne za nieprawidłowe przechowywanie haseł w firmie
Nieprawidłowe przechowywanie haseł w firmie rodzi konsekwencje prawne, które reguluje art. 269b § 1 kodeksu karnego:
Art. 269b § Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. |
Do przestępstw, o których mowa w wyżej przytoczonym przepisie, zalicza się:
-
sprowadzanie niebezpieczeństwa dla życia lub zdrowia wielu osób albo dla mienia w wielkich rozmiarach, zakłócając, uniemożliwiając lub w inny sposób wpływając na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych;
-
zakładanie lub posługiwanie się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem w celu uzyskania informacji, do której nie jest uprawniony;
-
niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych albo w istotnym stopniu zakłócanie lub uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywania takich danych przez osoby nieuprawnione;
-
wyrządzenie znacznej szkody majątkowej przez niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych albo w istotnym stopniu zakłócanie lub uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywania takich danych przez osoby nieuprawnione;
-
niszczenie albo wymienianie informatycznych nośników danych lub niszczenie albo uszkodzenie urządzeń służących do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego;
-
transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych przez osoby nieuprawnione, w istotnym stopniu zakłócające pracę systemu komputerowego lub sieci teleinformatycznej.
Reasumując, w tej kwestii należy zachować szczególną ostrożność. Bowiem nieprawidłowe przechowywanie haseł w firmie może wiązać z karą pozbawiania wolności - nawet do 3 lat.