Skupne dostopne pravice

Datum

10.06.2024

Številka

07121-1/2024/668

Kategorije

Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede ustreznosti zavarovanja osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP izven konkretnih nadzornih ali drugih upravnih postopkov ne sme preverjati zakonitosti in primernosti obdelave osebnih podatkov v konkretnem primeru.

Primerne ukrepe za zavarovanje konkretnih osebnih podatkov določi upravljavec. Ta mora med drugim ustrezno urediti tudi dostopne pravice uporabnikov (zaposlenih). Prepovedana mora biti uporaba skupnih dostopnih pravic, saj tal način omogoča zlorabe oziroma nepooblaščen dostop do osebnih podatkov, onemogoča pa naknadno ugotavljanje kdo, kdaj in do katerih osebnih podatkov je dostopal oziroma jih obdeloval.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati zakonitosti in primernosti obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru neobvezujočega mnenja tako ne more presojati skladnosti rešitve, ki ste jo na kratko opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov. Dokončno presojo zakonitosti in primernosti obdelave osebnih podatkov lahko IP poda le v konkretnem nadzornem ali drugem upravnem postopku.

IP tako splošno pojasnjuje, da mora upravljavec (v konkretnem primeru vaš delodajalec in upravljavec portala e-vem) pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe. Glede zavarovanja osebnih podatkov je treba upoštevati zlasti 24., 25. in 32. člen Splošne uredbe, ki primeroma določajo tehnično-organizacijske ukrepe za zavarovanje osebnih podatkov, oziroma merila in tveganja, ki se naj upoštevajo pri njihovi določitvi. Primeren ukrep oziroma ukrepe za zavarovanje konkretnih osebnih podatkov torej določi upravljavec in pri tem skladno s prvim odstavkom 32. člena Splošne uredbe upošteva: najnovejši tehnološki razvoj in stroške izvajanja ter naravo, obseg, okoliščine in namene obdelave, pa tudi tveganja za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti. Pri izvedbi posameznih postopkov in ukrepov je treba vedno upoštevati tudi načela iz 5. člena Splošne uredbe, med drugim tudi načelo celovitosti in zaupnosti, v skladu s katerim se osebni podatki obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi. Upravljavec mora poskrbeti za to, da bodo podatki varni, kar pomeni, da ne smejo biti na voljo nepooblaščenim osebam (zaupnost), da se jih ne sme izgubiti, javno objaviti ali nepooblaščeno spreminjati (celovitost) in da morajo biti na voljo takrat, ko so res potrebni (razpoložljivost).

Upravljavec mora med drugim ustrezno urediti tudi dostopne pravice uporabnikov (zaposlenih). Te morajo biti jasne in skladne z nalogami, ki jih opravljajo uporabniki, predvsem pa morajo biti ažurno upravljane (ažurno dodeljevanje, spreminjanje in ukinjanje), hierarhične in dokumentirane. Prepovedana mora biti uporaba skupnih dostopnih pravic, saj tal način omogoča zlorabe oziroma nepooblaščen dostop do osebnih podatkov, onemogoča pa naknadno ugotavljanje kdo, kdaj in do katerih osebnih podatkov je dostopal oziroma jih obdeloval. Prav tako mora biti izrecno prepovedano kakršnokoli posojanje ali medsebojna izmenjava sredstev za avtentikacijo in avtorizacijo uporabnikov, kot so uporabniška imena in gesla, kartice ipd., razen izjemoma, iz razloga nujnosti.

Obdelava osebnih podatkov in njihovo zavarovanje znotraj upravljavca je torej načeloma stvar odločitve vodstva ter posledično notranje organizacije upravljavca in ureditve v internih aktih. IP ponavlja, da v okviru neobvezujočega mnenja ne more presojati ustreznosti notranje ureditve upravljavca, ampak to lahko presoja le v okviru konkretnega nadzornega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. Presoja glede zakonitosti obdelave in ustreznih postopkov in ukrepov za njeno zagotovitev je primarno vedno na upravljavcu osebnih podatkov, ki je za to presojo tudi odgovoren.

IP ponavlja, da v okviru neobvezujočega mnenja tako ne more presojati skladnosti posamezne rešitve s predpisi s področja varstva osebnih podatkov, je pa glede na navedbe v vašem zaprosilu za mnenje zelo verjetno, da vaš delodajalec dostopnih pravic nima urejen na ustrezen način.

V kolikor menite, da so vam bile kršene vaše pravice v zvezi z varstvom osebnih podatkov, lahko pri IP vložite prijavo po elektronski pošti na naslov gp.ip@ip-rs.si, oz. po navadni pošti na naslov: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana. To lahko storite tudi preko obrazca, ki je dostopen na spletni strani IP:

https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlozitev-prijave

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka