Informacijski pooblaščenec Republika Slovenija
| sl | Iskalnik po spletni strani   Priredbe v znakovni jezik  
dekorativna slika

Zahteva delodajalca po razkritju gesla v internem obrazcu

+ -
Datum: 22.05.2025
Številka: 07121-1/2025/628
Kategorije: Delovna razmerja, Varnost osebnih podatkov

pri Informacijskem pooblaščencu (IP) smo 8. 5. 2025 prejeli vaše zaprosilo za mnenje glede internega obrazca, ki ste ga zaposleni prejeli za namen nadomeščanja med letnim dopustom. Zaposleni naj bi v obrazcu razkrili svoja gesla za dostop do dokumentov na službenih računalnikih, ki bi bila posredovana več osebam. 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Delodajalec nima pravice zahtevati gesel delavcev, zato je zahteva delodajalca po razkritju gesel zaposlenih povsem neprimerna in bi lahko predstavljala kršitev varstva osebnih podatkov.

Če je zahteva resnično prišla od vašega delodajalca in ne za poskus zlorabe s strani tretjih oseb, lahko na IP podate prijavo zaradi kršitve varstva osebnih podatkov.

O b r a z l o ž i t e v:

Uvodoma pojasnjujemo, da so gesla osebni podatki, posebej, če so jih določili delavci sami oziroma če so jih imeli pravico sami spremeniti, poleg tega lahko omogočajo dostop do nadaljnjih osebnih podatkov delavca, ki so zavarovana z geslom. Določila mednarodno veljavnih standardov na področju varovanja informacij in uveljavljene dobre prakse prepovedujejo hrambo kopij surovih gesel in zahtevajo, da se gesla v podatkovnih bazah hranijo v takšni obliki, da jih nihče ne more prebrati, razkriti ali posredovati naprej, ne glede na njegova pooblastila.

Delodajalec nima pravice vedeti, niti zahtevati gesel delavcev. Zahteva delodajalca po razkritju gesel zaposlenih je torej povsem neprimerna zahteva, ki bi lahko predstavljala kršitev varstva osebnih podatkov. Svetujemo vam, da se najprej prepričate, da je zahteva resnično prišla od vašega delodajalca in da ne gre za poskus »phishinga« s strani tretjih oseb, ki želijo zlorabiti podatke delodajalca in v njegovem imenu zahtevajo osebne podatke.

V kolikor ugotovite, da gre za dejansko zahtevo delodajalca in ne za poskus zlorabe s strani tretjih oseb, pa vam svetujemo, da na IP podate prijavo zaradi kršitve varstva osebnih podatkov.

 

Lepo vas pozdravljamo.

 

dr. Jelena Virant Burnik,
informacijska pooblaščenka