Posredovanje gesel delodajalcu
+ -Številka: 07121-1/2023/62
Kategorije: Delovna razmerja, Zavarovanje osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše vprašanje, ali lahko delodajalec od delavca, ki mu preneha delovno razmerje zahteva, da mu le-ta pred odhodom preda gesla za aplikacije, ki se nanašajo na osebno ime odhajajočega delava ter ali lahko delavec spremeni gesla, ko ni več zaposlen v organizaciji.
***
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 76. členom Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju ZVOPOKD), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
Delodajalec nima pravice vedeti, niti zahtevati gesel delavcev. Delavci naj z lastnimi osebnimi podatki (tudi gesli) ravnajo skrbno in preudarno, v primeru suma o zlorabi gesel pa le te spremenijo in račune ustrezno zaščitijo.
O b r a z l o ž i t e v:
V zvezi s prenehanjem delovnega razmerja delavcu, je IP splošnega stališča, da mora delodajalec ob prenehanju delovnega razmerja z delavcem deaktivirati račune, vezane na posameznega delavca, ki jih je delavec uporabljal pri opravljanju svojega dela (elektronska pošta, programska oprema ipd.), saj s prekinitvijo delovnega razmerja v večini primerov preneha tudi pravna podlaga za obdelavo tovrstnih osebnih podatkov delavca (na konkretnega delavca vezani računi).
Namreč glede na 48. člen Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmIS-A, 202/21 – odl. US, 15/22 in 54/22 – ZUPŠ-1) se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. V kolikor torej delodajalec za obdelavo tovrstnih osebnih podatkov (na konkretnega posameznika vezane račune) ne izkaže druge ustrezne pravne podlage, takšnih podatkov ne sme več obdelovati ter jih mora deaktivirati. Toliko strožja pa so pravila glede obdelave, hrambe in posredovanja gesel delodajalcu s strani delavca. Namreč gesla, še zlasti, če so jih določili delavci sami oziroma če so jih imeli pravico sami spremeniti, so osebni podatki, ki omogočajo dostop do nadaljnjih osebnih podatkov delavca, ki so dosegljivi skozi informacijsko sredstvo (računalnik, e-poštni račun, idr.), zavarovano z geslom. Tudi določila mednarodno veljavnih standardov na področju varovanja informacij in uveljavljene dobre prakse (kot so ISO/IEC 27002:2013, COBiT, PCI DSSipd.) prepovedujejo hrambo kopij surovih gesel in zahtevajo, da se gesla v podatkovnih bazah hranijo v takšni obliki, da jih nihče ne more prebrati, razkriti ali posredovati naprej, ne glede na njegova pooblastila. Z drugimi besedami to pomeni, da delodajalec nima pravice niti zahtevati, niti vedeti gesel svojih delavcev.
Glede na navedene usmeritve IP tudi v siceršnji inšpekcijski praksi ne dopušča hrambe, izmenjave ali posredovanja gesel med zaposlenimi ali med zaposlenim in delodajalcem.
Več o varstvu osebnih podatkov v delovnih razmerjih si lahko preberete tudi v smernicah IP, ki so dostopne na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf
V zvezi z vašim vprašanjem, ali lahko delavec gesla po prenehanju delovnega razmerja spremeni, pa IP pojasnjuje, da za odgovor na tovrstno vprašanje ni pristojen. IP namreč ni pristojen, da bi podajal navodila, usmeritve ali zapovedi posameznikom, kaj lahko in kaj ne smejo početi s svojimi osebnimi podatki. Gre namreč za popolnoma prosto presojo in ravnanje vsakega posameznika, kaj bo počel s svojimi gesli (jih spremenil, račune izbrisal ipd). Predlagamo vam lahko le, da s svojimi gesli ravnate kar se da previdno in skrbno, le te pa ustrezno zavarujete pred dostopom drugih oseb. V kolikor menite, da kdorkoli neupravičeno dostopa do vaših računov pa vsekakor predlagamo, da si gesla spremenite oz. račune ustrezno zaščitite (npr. z dvo-faktorsko avtentikacijo v kolikor je mogoča).
IP na koncu še pojasnjuje, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja nikakor ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.
Poudarjamo še, da se zakonska ureditev na predstavljenem področju, tudi po 26. 1. 2023, ko stopi v veljavo nov Zakon o varstvu osebnih podatkov (ZVOP-2), v bistvenem ne spreminja, saj ostaja v veljavi področna ureditev in Splošna uredba.
Lepo vas pozdravljamo.
Pripravil:
Grega Rudolf,
asistent svetovalca pri IP
Mojca Prelesnik, univ. dipl. prav.,
informacijska pooblaščenka