- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Uporaba službenega kvalificiranega digitalnega potrdila
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Uporaba službenega kvalificiranega digitalnega potrdila
Datum
21.03.2023
Številka
07121-1/2023/384
Kategorije
Delovna razmerja, Moderne tehnologije, Varnost osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da posamezniki osebna kvalificirana digitalna potrdila uporabljate za vstop v številne aplikacije, kjer se hranijo vaši najbolj občutljivi osebni podatki (zVEM, naročaje v zdravstvenih domovih, itd.). Ugotovili ste, da je dostop do omenjenih podatkov mogoč ne le z zasebnim kvalificiranim digitalnim potrdilom, ki ga ima posameznik kot fizična oseba, ampak tudi z digitalnim potrdilom, ki ga ima posameznik kot zaposleni pri delodajalcu, saj sta obe digitalni potrdili vezani na isto davčno številko posameznika.
Menite, da gre lahko za hudo zlorabo službenega digitalnega potrdila. Pri mnogih delodajalcih so službena digitalna potrdila nameščena na računalnikih, do katerih dostopa več oseb in je mogoč vpogled v najbolj občutljive osebne podatke. Prav tako zaposleni nima vedno nadzora, ali odgovorni dostopajo do njegovega osebnega računalnika. Menite, da se s službenim digitalnim potrdilom ne bi smelo dostopati do teh podatkov in nas prosite za naše stališče.
* * *
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP načeloma ne vidi razloga, da zaposleni ne bi smel uporabljati službenega digitalnega potrdila, ki je izdano na njegovo ime, za vstop v aplikacije v zasebne namene. Delodajalec lahko seveda v svojih notranjih aktih omeji uporabo spletnih strani, ki niso potrebne za službene namene.
Delodajalec mora, upoštevajoč konkretne okoliščine sprejeti primerne ukrepe za zavarovanje osebnih podatkov, tako dostopa do računalnika, npr. uporaba uporabniškega imena in gesla, kakor tudi za varnost druge opreme, npr. digitalnega potrdila (npr. potrdilo naj bo shranjeno na nosilcu, npr. na kartici, za varnost katere je odgovoren vsak zaposleni). Primerne ukrepe bi moral upravljavec sprejeti in izvajati v vsakem primeru, ne zgolj tedaj, ko gre za vstopanje v aplikacije, ki jih lahko uporabljajo fizične osebe, npr. v zvezi z zdravjem, saj se digitalni podpis posameznika ne sme v nobenem primeru zlorabiti.
Obrazložitev
Pri tem IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.
Pojasnjujemo, da mora delodajalec kot upravljavec sprejeti določene ukrepe za zavarovanje osebnih podatkov, pri tem pa upošteva skladno s prvim odstavkom 32. člena Splošne uredbe: najnovejši tehnološki razvoj in stroške izvajanja ter naravo, obseg, okoliščine in namene obdelave, pa tudi tveganja za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti. Določba nadalje primeroma določa nekatere ukrepe za zavarovanje osebnih podatkov, med drugim npr.:
-psevdonimizacijo in šifriranje osebnih podatkov;
-zmožnost zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
-zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
-postopek rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.
Delodajalec mora torej upoštevajoč konkretne okoliščine sprejeti primerne ukrepe za zavarovanje osebnih podatkov, tako pri dostopu do računalnika, npr. določitev uporabniškega imena in gesla, kakor tudi za varnost druge opreme, npr. samega digitalnega potrdila (potrdilo naj bo shranjeno na nosilcu, npr. na kartici, za varnost katere poskrbi vsak zaposleni, uporaba je mogoča le z geslom, itd.). Ob tem vas napotujemo na pravila glede namestitve in uporabe digitalnih potrdil na spletni strani https://www.si-trust.gov.si/sl/. Tako je npr. za potrdila SIGOVCA, ki jih uporabljajo državni organi določeno, da se spletna in posebna kvalificirana digitalna potrdila SIGOV-CA praviloma izdajo kot potrdila z obvezno uporabo pametnih kartic in so na podlagi odobrenega zahtevka prevzeta na imetnikovo pametno kartico na infrastrukturi izdajatelja SIGOV-CA. Primerne ukrepe za zavarovanje osebnih podatkov bi moral upravljavec sprejeti in izvajati v vsakem primeru, ne zgolj tedaj, ko gre za vstopanje v aplikacije, ki jih uporabljajo fizične osebe, npr. v zvezi z zdravjem, saj se digitalni podpis posameznika ne sme v nobenem primeru zlorabiti.
Pojasnjujemo tudi, da je IP vodil inšpekcijsko zadevo v zvezi z uporabo službenih digitalnih potrdil z namenom ugotovitve, ali upravljavec portala zVEM zagotavlja ustrezne ukrepe zavarovanja v okviru aplikacije zVEM pri identifikaciji posameznika s kvalificiranim digitalnim potrdilom, v primeru, ko posameznik nastopa v vlogi fizične osebe, ki opravlja dejavnost in posameznika, zaposlenega pri fizični osebi, ki opravlja dejavnost. Med drugim je bilo ugotovljeno, da se ob prijavi v zVEM oziroma v vse storitve, ki uporabljajo sistem SI-PASS za prijavo posameznikov, uporabi davčna številka posameznika, ki je imetnik kvalificiranega potrdila, in ne davčna številka poslovnega subjekta. V postopku IP ni ugotovil kršitve 32. člena Splošne uredbe pri zagotavljanju nepooblaščenega dostopa do storitev zVEM.
IP tako načeloma ne vidi razloga, da bi bila uporaba kvalificiranega potrdila, ki ga je prejel zaposleni pri delodajalcu, nedopustna za vstop v aplikacije, ki jih zaposleni rabi v zasebne namene (ključno pri uporabi kvalificiranega digitalnega potrdila je imetništvo, ki je vedno vezano na fizično osebo in davčno številko te osebe). IP je že večkrat poudaril, da ima zaposleni tudi na delovnem mestu pravico do zasebnosti (v razumnih mejah). Kot pa smo pojasnili v smernicah Varstvo osebnih podatkov v delovnih razmerjih, ki so dostopne na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf pa lahko delodajalec omeji uporabo opreme, katere lastnik je (računalnika in omrežne opreme, ki naj bi jo delavec primarno uporabljal v službene namene), na način, da dostop do določenih spletnih strani, ki jih zaposleni ne potrebuje za svoje delo, blokira. V smernicah lahko tudi preberete, na kak način lahko delodajalec izvaja nadzor nad uporabo delovnih sredstev, npr. računalnika, e-pošte, itd.
IP bi lahko o primernosti ukrepov za zavarovanje osebnih podatkov odločal zgolj v inšpekcijskem postopku. Več informacij o zavarovanju osebnih podatkov lahko preberete na povezavi: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov.
V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.
Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka
Pripravila
Barbara Žurej, univ. dipl. prav.
svetovalka pooblaščenca za preventivo