Według przepisów prawa, przedsiębiorca jest zobowiązany do zabezpieczenia hasłem dostępu do komputera, programów czy aplikacji użytkowych, które wykorzystywane są w danej firmie i służą do przetwarzania danych osobowych. Jeżeli przechowywanie haseł w firmie odbywa się w nieprawidłowy sposób niesie to za sobą konsekwencje.
Jakie istnieją rodzaje haseł?
Według przepisów o ochronie danych osobowych istnieją dwa rodzaje haseł dostępu – hasła do systemów informatycznych przetwarzających zwykłe dane osobowe oraz hasła do systemów przetwarzających tzw. dane wrażliwe.
Jakie są kryteria dla prawidłowego ustalania hasła?
- Przede wszystkim hasło nie może być krótkie, powinno składać się z 6-8 znaków. Oczywiście 6 znaków jest kryterium minimalnym, dla systemów, które przetwarzają zwykłe dane osobowe. Jednakże osiem znaków przypisane jest do systemów informatycznych, w których przetwarzane są dane wrażliwe.
- I co ważne, hasła do systemów informatycznych, należy zmieniać co 30 dni!
- Wszelkie hasła powinny być przechowywane w zaszyfrowanej formie.
- Hasła te powinny zawierać:
- duże i małe litery oraz
- znaki specjalne.
Czego nie wolno robić i co zabronić w polityce przechowywania haseł w firmie?
Bardzo ważnym aspektem jest poinformowanie swoich pracowników, aby nie zapisywali swoich haseł na karteczkach oraz nie przekazywali ich osobom nieupoważnionym itp.
Dane te są poufne, udostępnione tylko dla nich i do ich pracy własnej, w związku z czym muszą pilnować swoje dane odpowiednio, tak aby nie dostały się w niepowołane ręcę.
Jakie wynikają konsekwencje z niedopilnowania?
Wszelkie konsekwencje prawne z tytułu nieprawidłowego przechowywania hasęł w firmie wynikające z braku dopilnowania i kontroli, reguluje art. 269 § 1 kodeksu karnego:
„Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.”
Do przestępstw, o których mowa w wyżej przytoczonym przepisie, zalicza się:
- sprowadzanie niebezpieczeństwa dla życia lub zdrowia wielu osób albo dla mienia w wielkich rozmiarach, zakłócając, uniemożliwiając lub w inny sposób wpływając na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych;
- zakładanie lub posługiwanie się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem w celu uzyskania informacji, do której nie jest uprawniony;
- niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych albo w istotnym stopniu zakłócanie lub uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywania takich danych przez osoby nieuprawnione;
- wyrządzenie znacznej szkody majątkowej przez niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych albo w istotnym stopniu zakłócanie lub uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywania takich danych przez osoby nieuprawnione;
- niszczenie albo wymienianie informatycznych nośników danych lub niszczenie albo uszkodzenie urządzeń służących do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego;
- transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych przez osoby nieuprawnione, w istotnym stopniu zakłócające pracę systemu komputerowego lub sieci teleinformatycznej.
Podsumowując zamieszczone powyżej informacje, należy zachować szczególną ostrożność przy przechowywaniu ważnych haseł w firmie, bowiem nie przestrzeganie praw rodzi konsekwencje. W tym wypadku nieprawidłowe dysponowanie może wiązać się nawet z karą pozbawienia wolności – nawet do 3 lat!