W polskim prawie istnieje ponad 200 aktów prawnych, które dotyczą ochrony danych. Ustawa RODO została wprowadzona, by przetwarzanie i przechowywanie danych osobowych odbyło się na tyle bezpiecznie, by informacje te nie trafiały w niepowołane ręce, przynosząc szkodę osobie, której dane dotyczą. Ustawa RODO nie mówi dokładnie jak przechowywać hasła w firmie, które zabezpieczają dostęp do danych, jednak daje pewne wskazówki.

Jak przechowywać hasła w firmie – wskazówki RODO

Osobą odpowiedzialną za zgodnie z ustawą RODO za bezpieczeństwo przetwarzania danych osobowych jest administrator. To on powinien wiedzieć jak przechowywać hasła w firmie, które pozwalają na dostęp do danych osobowych. Zgodnie z RODO administrator ma obowiązek stosowania wszelkich środków, które mają zapewnić odpowiedni poziom bezpieczeństwa przechowywania danych, np. musi przeprowadzać analizę ryzyka, dbać o świadomość pracowników firmy na temat przetwarzania i przechowywania danych osobowych zgodnie z prawem i wprowadzić odpowiednią politykę haseł.

Jak informuje art. 32 ust. 1 RODO: „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”, co daje pewną dowolność w działaniu, jeśli chodzi o to, jak przechowywać hasła w firmie. Można użyć różnych metod szyfrowania, dbać o ich odpowiednio częstą zmianę i wykonać wszystkie inne czynności, które mogą zapobiegać dostania się danych w niepowołane ręce.

Analiza ryzyka i norma ISO/IEC 27001

Choć RODO nie określa dokładnie polityki haseł, to jednak wymaga od administratora przeprowadzania analizy ryzyka. Proces ten ma wskazać miejsca, które mogą wymagać pilnej reakcji administratora. Analizowaniu poddać można także zasady nadawania dostępu pracownikom do systemów i danych. Administrator, przeprowadzając analizę, powinien określić także uwarunkowania procesów biznesowych, rodzaje systemów, w których dochodzi do przetwarzania danych oraz rodzaj wymaganych haseł. Mając te wszystkie dane ustala, jaki jest poziom wprowadzonych zabezpieczeń, by móc dobrze zarządzać hasłami w firmie.

Szukając odpowiedzi na to, jak przechowywać hasła w firmie można zobaczyć, co proponuje norma ISO/IEC 27001 uznawana na całym świecie, dotycząca bezpieczeństwa informacji. Zgodnie z jej wytycznymi ochrona informacji powinna się cechować:

  • poufnością – dostęp do danych mają tylko osoby uprawnione,
  • integralnością – gwarantować kompletność i dokładność danych oraz metod przetwarzania tych informacji,
  • dostępność – dostęp do informacji mają upoważnieni i to w takim tylko zakresie, jaką mają potrzebę.

Podsumowując, w prawidłowym wdrożeniu zasad ustawy RODO, a tym samym ochronie haseł w firmie, może pomóc wprowadzenie w przedsiębiorstwie systemu zarządzania bezpieczeństwem informacji, zgodnym z międzynarodową normą ISO/IEC 27001, która spełnia wymagania tej ustawy.

Polecamy