Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Posredovanje gesla delodajalcu

+ -
Datum: 09.04.2021
Številka: 07121-1/2021/697
Kategorije:Delovna razmerja, Telekomunikacije in pošta, Zavarovanje osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaš dopis, v katerem pojasnjujete, da je delodajalec zahteval, da sporočite določenemu zaposlenemu svoje geslo. Zanima vas, ali lahko delodajalec od vas zahteva, da sporočite geslo za računalnik, razna geslo za dostop do podatkovnih baz itd.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP pojasnjuje, da je upravljavec (delodajalec) odgovoren za zagotovitev varne obdelave osebnih podatkov, kot to določata člen 32 Splošne uredbe in 24. člen ZVOP-1. V ta okvir sodi tudi vzpostavitev ustrezne politike dostopov do osebnih podatkov, ki jih upravljavec vodi in obdeluje v svoji zbirki.

Glede gesel je IP v smernicah o varstvu osebnih podatkov v delovnih razmerjih (str. 25, dostopne na povezavi: https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/varstvo-osebnih-podatkov-v-delovnih-razmerjih) navedel: »Gesla še zlasti, če so jih določili delavci sami oziroma če so jih imeli pravico sami spremeniti, so osebni podatki, poleg tega omogočajo dostop do nadaljnjih osebnih podatkov delavca, ki so dosegljivi skozi informacijsko sredstvo (računalnik, e-poštni račun, idr.), zavarovano z geslom. Določila mednarodno veljavnih standardov na področju varovanja informacij in uveljavljene dobre prakse (kot so ISO/IEC 27002:2013, COBiT, PCI DSSipd.) prepovedujejo hrambo kopij surovih gesel in zahtevajo, da se gesla v podatkovnih bazah hranijo v takšni obliki, da jih nihče ne more prebrati, razkriti ali posredovati naprej, ne glede na njegova  pooblastila. Mogoče je zgolj preveriti, ali določeno geslo, ki ga je vnesel uporabnik, ustreza tistemu, ki je shranjeno v podatkovni bazi, in  sicer  tako,  da  se  to  geslo  spusti  skozi  isti  kriptografski  algoritem  in  potem  primerja  s  shranjenim  geslom.  V  primeru pozabljenega ali izgubljenega gesla lahko pooblaščena oseba (npr. sistemski administrator ali administrator podatkovne baze) obstoječe geslo spremeni in uporabniku dodeli novega, ne sme pa imeti možnosti pozabljenega gesla prebrati v bazi in ga posredovati uporabniku. Zapomnite si: vaše osebno geslo je samo vaše. Lahko vam ga spremenijo in dodelijo novega, ki si ga morate zamenjati, nihče pa nima pravice ne videti, ne zahtevati vašega gesla.«

Glede na navedene usmeritve s področja informacijske varnosti IP tudi v siceršnji inšpekcijski praksi ne dopušča hrambe, izmenjave ali posredovanja gesel med zaposlenimi ali med zaposlenim in delodajalcem. V tovrstnih primerih je IP odrejal (kot izhaja tudi iz smernic), da pooblaščena oseba (npr. sistemski administrator ali administrator podatkovne baze) uredi dostop brez prepoznave ali »deljenja gesla« med uporabniki.

Ob navedenem IP še dodaja, da lahko le v konkretnem inšpekcijskem postopku in upoštevaje vse okoliščine primera presoja skladnost obdelave osebnih podatkov.

 

Prijazen pozdrav,

 

 

Mojca Prelesnik, univ.dipl.prav.,         

informacijska pooblaščenka               

 

Pripravila:                                                                                                                              

Neja Domnik, mag. prav.,

asistentka svetovalca pri IP