Rozporządzenie o ochronie danych osobowych zwane w skrócie RODO obowiązuje od 26 maja 2018 roku. Wprowadziło ono wiele zmian w krajowych przepisach o ochronie danych osobowych. Nie wszystkie jednak kwestie RODO określa równie precyzyjnie. Nie ma na przykład żadnych przepisów, które nakazywałyby administratorom danym w firmach kontrolowanie zmiany haseł. Nie oznacza to jednak, że skoro takich przepisów nie ma, polityka zmiany haseł może odejść do lamusa. Warto ją prowadzić tak, aby mimo wszystko była zgodna z przepisami RODO.
Polityka haseł w danej firmie a RODO
Jeśli chodzi o politykę haseł do systemów, to RODO kładzie największy nacisk na zakres obowiązków znajdujących się w gestii administratorów danych. Zapewnienie odpowiedniego bezpieczeństwa danych osobowych należy do najważniejszych obowiązków administratora danych. Tak ta kwestia została ujęta w przepisach RODO. Minimalna długość hasła i częstotliwość jego zmiany zależy więc wyłącznie od tego, co ustali administrator. Przeprowadzenie przez administratora oceny ryzyka ułatwi mu podjęcie odpowiednich decyzji.
Dobre praktyki, które warto stosować
Jak wspomnieliśmy, RODO nie określa zasad ani terminów zmiany hasła. Aby dane osobowe chronić zgodnie z RODO, warto stosować dobre praktyki rynkowe. Ich korzenie tkwią w standardach ISO27001. Oczywiście nie są to żadne przepisy, które ujęte są w RODO, ale mimo to stosują się do nich firmy na całym świecie. Zgodnie z tą normą zmiana haseł powinna odbywać się co najmniej co 30 dni. Można oczywiście zmieniać hasła częściej, nie powinno to być dokonywane jednak rzadziej jak raz w miesiącu. Jeśli raz przypisane hasła nie są zmieniane, świadczy to o tym, że administrator nie wypełnia należycie swoich obowiązków. Hasło powinno składać się z minimum ośmiu liter. Zaleca się też tworzenie haseł z różnych typów znaków. Może to być na przykład hasło składające się z kombinacji dużych i małych liter, cyfr i znaków specjalnych. Są pewne praktyki, których pracownicy nie powinni się dopuszczać. Administrator powinien uczulić ich, aby hasła nie zapisywali na karteczkach i nie umieszczali karteczek z zapisanym hasłem pod blatem biurka, pod klawiaturą czy na ekranie monitora. Jako hasła pracownicy nie powinni też wykorzystywać swojego imienia i nazwiska ani też imion bliskich sobie osób. Oczywiście przekazywanie hasła osobom nieupoważnionym także jest niedopuszczalne.
Wiele danych osobowych wycieka na skutek niefrasobliwości pracowników. Takich sytuacji, jak zapisywanie hasła do systemu na karteczkach można uniknąć jedynie szkoląc pracowników. Wysoka świadomość pracowników to najlepszy sposób, aby hasła te nie trafiły w niepowołane ręce.
Monika Zygmunt - Jakuć (Inspektor ochrony Danych)