Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 17.05.2017
Naslov: Podlaga za shranjevanje preteklih gesel
Številka: 0712-1/2017/1042
Vsebina: Moderne tehnologije, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Spoštovani,

 

dne 15. 5. 2017 ste se obrnili na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje glede obdelave osebnih podatkov zaposlenih v šoli. Pojasnjujete, da za vodenje dnevnika šolskega dela uporabljate spletno aplikacijo eAsistent (po vašem pojasnilu, gre za elektronski dnevnik, ki je nadomestil klasičen šolski dnevnik in redovalnico). Spletno aplikacijo ponuja podjetje eŠola, d. o. o., Cerkvena ulica 11, Tržič. Spletna aplikacija zahteva, da vsake 3 mesece zamenjate svoje geslo, ki pa ne sme biti podobno prejšnjemu. Zanima vas ali je v skladu z varstvom osebnih podatkov, da podjetje obdeluje vsa vaša pretekla gesla.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter  2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Podlaga za obdelavo preteklih gesel uporabnikov aplikacije eAsistent (ob njihovem ustreznem zavarovanju) predstavlja 48. člen Zakona o delovnih razmerjih, ki omogoča delodajalcu obdelavo osebnih podatkov zaposlenih brez njihove privolitve, če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Podjetje, ki nudi tehnično podporo za aplikacijo, pa nastopa zgolj v vlogi pogodbenega obdelovalca. Obdelava je skladna tudi z načelom sorazmernosti po 3. členu ZVOP-1, če so ta hranjena v šifrirani obliki in na način, da niti administrator aplikacije ne more dostopati do preteklih gesel, ki so shranjena v sistemu. Potreba po menjavi gesel z različnimi znaki ustreza tudi zahtevi po zavarovanju zbirk osebnih podatkov (24. člen ZVOP-1), ki sodi med ukrepe za zaščito osebnih podatkov, pri čemer neustrezno zavarovanje zbirk predstavlja prekršek upravljavca.

 

O b r a z l o ž i t e v:

 

IP uvodoma poudarja, da redno spreminjanje gesel, ki se ne podvajajo oziroma si niso podobna, predstavlja bistven varnostni ukrep za informacijsko varnost. Glede na to, da v aplikaciji eAsistent dostopate do osebnih podatkov učencev (večinoma mladoletnih oseb), kjer se obdelujejo podatki o njihovi dnevni pristnosti in šolskem uspehu, je potreba po varstvu teh podatkov še toliko večja. Informacijska varnost terja spoštovanje določenih standardov (npr. ISO 270001), ki zagotavljajo varnejšo uporabo informacijskih sistemov. Potreba je še toliko večja, ko se te storitve zagotavljajo prek pogodbene obdelave in prek spleta. Ob tem IP dodaja, da sistemi, ki zahtevajo periodično spreminjanje gesel (kjer si morajo biti posamezna gesla različna) načeloma ne omogočajo dostopa do teh gesel uporabnikom sistema (niti administratorju, ki nosi vse pravice za dostop). Pretekla gesla sistem hrani v šifrirani obliki in avtomatsko javi uporabniku (učitelju), kdaj njegovo geslo ni ustrezno. V nasprotnem primeru, če bi administrator lahko dostopal do vaših preteklih gesel (če bi bila ta torej hranjena v nešifrirani obliki in/ali na način, da bi vanje lahko administrator vpogledoval), bi to predstavljalo kršitev obveznosti upravljavca po 24. členu ZVOP-1 glede zavarovanja vaših osebnih podatkov.

 

V nadaljevanju podajamo odgovor glede podlage za obdelavo vaših osebnih podatkov (preteklih shranjenih gesel).

 

Za obdelavo osebnih podatkov v javnem sektorju (kamor sodijo tudi javni izobraževalni zavodi – šole) po prvem odstavku 9. člena ZVOP-1 velja, da obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Z zakonom se lahko določi, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika. Specialno zakonsko podlago za obdelavo osebnih podatkov v delovnih razmerjih predstavlja 48. člen Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., s sprem. in dop.; v nadaljevanju ZDR-1) po katerem se lahko osebne podlage delavcev zbira, obdeluje, uporablja in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Vsaka obdelava osebnih podatkov mora biti skladna tudi z načelom sorazmernosti po 3. členu ZVOP-1, ki določa, da morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo.

 

Opisujete, da se vaša pretekla gesla shranjujejo v spletno aplikacijo eAsistent, ki jo učitelji uporabljate pri svojem delu. Hramba preteklih gesel predstavlja obdelavo vaših osebnih podatkov, ki pa je po mnenju IP glede na prej naveden 48. člen ZDR-1, dopustna (upoštevajoč seveda zgoraj omenjene zahteve glede zavarovanja teh osebnih podatkov). Gre namreč za obdelavo osebnih podatkov, ki je lahko potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Delodajalec (šola) je namreč kot upravljavec zbirk osebnih podatkov učencev dolžan zagotoviti zavarovanje njihovih osebnih podatkov v skladu s 24. členom ZVOP-1. Zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov. Posebej je določeno tudi varovanje sistemske programske opreme, vključno z vhodno-izhodnimi enotami. Ker evidenca dnevne prisotnosti učencev in redovalnica predstavljata pomembni zbirki osebnih podatkov učencev, so zahteve po zavarovanju teh zbirk še toliko bolj pomembne in jih (pri inšpekcijskem nadzoru) inšpektorji presojajo strogo. Iz obveznosti zavarovanja zbirk po 24. členu ZVOP-1 torej izhaja dolžnost delodajalca, da za varnost osebnih podatkov učencev poskrbi za ukrepe, ki to varnost zagotavljajo. Slednje se uresničuje tudi prek informacijskega sistema, ki zahteva periodično spreminjanje gesel brez podvajanja (a nikakor ne na način, da bi bilo mogoče vpogledovanje v gesla s strani kogarkoli niti administratorja ne).

 

Glede na navedeno torej ugotavljamo, da se zaradi zavarovanja osebnih podatkov učencev, obdelujejo osebni podatki učiteljev (pretekla gesla), kar pa je glede na namen obdelave zakonito in sorazmerno, pod pogojem, da so gesla hranjena v ustrezno šifrirani obliki in do preteklih gesel učiteljev ne more dostopati niti administrator sistema. Za zavarovanje osebnih podatkov namreč delodajalca veže 24. člen ZVOP-1, tako glede osebnih podatkov učencev, kot tudi glede osebnih podatkov učiteljev. Sistem, ki bi omogočal administratorju prikaz preteklih gesel uporabnikov sistema, pa bi bil po mnenju IP v nasprotju z zahtevami po zavarovanju osebnih podatkov učiteljev in zato tak ukrep (zahteva po periodičnem spreminjanju gesel) verjetno ne bi predstavljal zakonite in sorazmerne obdelave osebnih podatkov.

 

Ob zgoraj navedenem še dodajamo, da na zakonitost obdelave vaših osebnih podatkov ne vpliva dejstvo, da šola storitve elektronskega dnevnika in redovalnice ne zagotavlja sama, temveč prek zunanjega izvajalca. Če šola za storitev uporablja zunanjega izvajalca, mora za obdelavo obstajati ustrezna pogodba, pri čemer morata pogodbeni obdelovalec in upravljavec spoštovati pravila glede pogodbene obdelave osebnih podatkov (11. člen ZVOP-1).

 

Več o ustreznem zavarovanju osebnih podatkov pa si lahko preberete v smernicah IP na to temo na: www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

 

Upamo da smo vam z našimi pojasnili uspeli pomagati.

 

Lep pozdrav,

 

Pripravil:       
Anže Novak, univ. dipl. prav.       
asistent svetovalca       



Mojca Prelesnik
informacijska pooblaščenka