Poradnik Przedsiębiorcy

Nieprawidłowe przechowywanie haseł w firmie - konsekwencje

Zabezpieczenie hasłem dostępu do komputera, programów oraz aplikacji użytkowanych w firmie, które służą do przetwarzania danych osobowych jest obowiązkiem wynikającym z ustawy o ochronie danych osobowych. Nieprawidłowe przechowywanie haseł w firmie zdarza się w praktyce często. Jak powinno wyglądać hasło, by było zgodne z przepisami o ochronie danych osobowych? Czy należy je zmieniać? Jak musi przebiegać przechowywanie haseł w firmie? Wyjaśniamy poniżej!

Polityka haseł w przedsiębiorstwie

Zgodnie z przepisami o ochronie danych osobowych rozróżnia się dwa rodzaje haseł dostępu - hasła do systemów informatycznych przetwarzających zwykłe dane osobowe oraz hasła do systemów przetwarzających tzw. dane wrażliwe.

Prawidłowe hasło powinno składać się z 6-8 znaków. Sześć znaków to minimum dla systemów przetwarzających zwykłe dane osobowe. Natomiast minimum osiem znaków dotyczy systemów informatycznych, w których przetwarzane są dane wrażliwe. Co ważne hasła te powinny zawierać:

  • duże i małe litery oraz

  • znaki specjalne.  

Ważne!

Hasła do systemów informatycznych użytkowanych w firmie należy zmieniać co 30 dni!

W treści polityki haseł warto zamieścić informację o bezwzględnym zakazie zapisywania haseł na karteczkach czy też zakazie przekazywania ich osobom nieupoważnionym itp.

Hasła w systemie informatycznym trzeba przechowywać w postaci zaszyfrowanej. Co ważne należy w dokumentacji wskazać sposób przechowywania haseł użytkowników posiadających uprawnienia administratorów systemów informatycznych oraz sposób odnotowania ich awaryjnego użycia.

Konsekwencje prawne za nieprawidłowe przechowywanie haseł w firmie 

Nieprawidłowe przechowywanie haseł w firmie rodzi konsekwencje prawne, które reguluje art. 269b § 1 kodeksu karnego:  

Art. 269b § Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Do przestępstw, o których mowa w wyżej przytoczonym przepisie, zalicza się:

  • sprowadzanie niebezpieczeństwa dla życia lub zdrowia wielu osób albo dla mienia w wielkich rozmiarach, zakłócając, uniemożliwiając lub w inny sposób wpływając na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych;

  • zakładanie lub posługiwanie się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem w celu uzyskania informacji, do której nie jest uprawniony;

  • niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych albo w istotnym stopniu zakłócanie lub uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywania takich danych przez osoby nieuprawnione;

  • wyrządzenie znacznej szkody majątkowej przez niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych albo w istotnym stopniu zakłócanie lub uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywania takich danych przez osoby nieuprawnione;

  • niszczenie albo wymienianie informatycznych nośników danych lub niszczenie albo uszkodzenie urządzeń służących do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego;

  • transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych przez osoby nieuprawnione, w istotnym stopniu zakłócające pracę systemu komputerowego lub sieci teleinformatycznej.

Reasumując, w tej kwestii należy zachować szczególną ostrożność. Bowiem nieprawidłowe przechowywanie haseł w firmie może wiązać z karą pozbawiania wolności - nawet do 3 lat.

Możesz ocenić ten artykuł