Posredovanje gesel delodajalcu

16. 09. 2024

Objavljeno: Portal FinD-INFO, 30. 8. 2024, www.findinfo.si, Avtor: Grega Rudolf, asistent svetovalca pri IP

Informacijski pooblaščenec (IP) je prejel vprašanje, ali lahko delodajalec od delavca, ki mu preneha delovno razmerje zahteva, da mu le-ta pred odhodom preda gesla za aplikacije, ki se nanašajo na osebno ime odhajajočega delava ter ali lahko delavec spremeni gesla, ko ni več zaposlen v organizaciji.

Na podlagi posredovanih informacij IP skladno z 58. členom Uredbe (EU) 2016/679 (Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (UZInfP) posreduje neobvezujoče mnenje v zvezi z omenjenim vprašanjem.

Delodajalec nima pravice vedeti, niti zahtevati gesel delavcev. Delavci naj z lastnimi osebnimi podatki (tudi gesli) ravnajo skrbno in preudarno, v primeru suma o zlorabi gesel pa le te spremenijo in račune ustrezno zaščitijo.
Obrazložitev:

V zvezi s prenehanjem delovnega razmerja delavcu, je IP splošnega stališča, da mora delodajalec ob prenehanju delovnega razmerja z delavcem deaktivirati račune, vezane na posameznega delavca, ki jih je delavec uporabljal pri opravljanju svojega dela (elektronska pošta, programska oprema ipd.), saj s prekinitvijo delovnega razmerja v večini primerov preneha tudi pravna podlaga za obdelavo tovrstnih osebnih podatkov delavca (na konkretnega delavca vezani računi).

Namreč glede na 48. člen Zakona o delovnih razmerjih (ZDR-1) se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. V kolikor torej delodajalec za obdelavo tovrstnih osebnih podatkov (na konkretnega posameznika vezane račune) ne izkaže druge ustrezne pravne podlage, takšnih podatkov ne sme več obdelovati ter jih mora deaktivirati. Toliko strožja pa so pravila glede obdelave, hrambe in posredovanja gesel delodajalcu s strani delavca. Namreč gesla, še zlasti, če so jih določili delavci sami oziroma če so jih imeli pravico sami spremeniti, so osebni podatki, ki omogočajo dostop do nadaljnjih osebnih podatkov delavca, ki so dosegljivi skozi informacijsko sredstvo (računalnik, e-poštni račun, idr.), zavarovano z geslom. Tudi določila mednarodno veljavnih standardov na področju varovanja informacij in uveljavljene dobre prakse (kot so ISO/IEC 27002:2013, COBiT, PCI DSSipd.) prepovedujejo hrambo kopij surovih gesel in zahtevajo, da se gesla v podatkovnih bazah hranijo v takšni obliki, da jih nihče ne more prebrati, razkriti ali posredovati naprej, ne glede na njegova pooblastila. Z drugimi besedami to pomeni, da delodajalec nima pravice niti zahtevati, niti vedeti gesel svojih delavcev.

Glede na navedene usmeritve IP tudi v siceršnji inšpekcijski praksi ne dopušča hrambe, izmenjave ali posredovanja gesel med zaposlenimi ali med zaposlenim in delodajalcem.

Več o varstvu osebnih podatkov v delovnih razmerjih si lahko preberete tudi v smernicah IP, ki so dostopne na povezavi.

V zvezi z vprašanjem, ali lahko delavec gesla po prenehanju delovnega razmerja spremeni, pa IP pojasnjuje, da za odgovor na tovrstno vprašanje ni pristojen. IP namreč ni pristojen, da bi podajal navodila, usmeritve ali zapovedi posameznikom, kaj lahko in kaj ne smejo početi s svojimi osebnimi podatki. Gre namreč za popolnoma prosto presojo in ravnanje vsakega posameznika, kaj bo počel s svojimi gesli (jih spremenil, račune izbrisal ipd). Predlagajo vam lahko le, da s svojimi gesli ravnate kar se da previdno in skrbno, le te pa ustrezno zavarujete pred dostopom drugih oseb. V kolikor menite, da kdorkoli neupravičeno dostopa do vaših računov pa vsekakor predlagajo, da si gesla spremenite oz. račune ustrezno zaščitite (npr. z dvo-faktorsko avtentikacijo v kolikor je mogoča).

IP na koncu še pojasnjuje, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja nikakor ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Zakonska ureditev se na predstavljenem področju, tudi po 26. 1. 2023, ko stopi v veljavo nov Zakon o varstvu osebnih podatkov (ZVOP-2), v bistvenem ne spreminja, saj ostaja v veljavi področna ureditev in Splošna uredba.

Vir: Informacijski pooblaščenec, Grega Rudolf, asistent svetovalca pri IP

***

Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala FinD-INFO.