Razkrivanje gesel delodajalcu

Datum

23.11.2023

Številka

07120-1/2023/502

Kategorije

Delovna razmerja

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše vprašanje, ali lahko delodajalec hrani gesla zaposlenih ter ali lahko od zaposlenega zahteva, da mu razkrije svoja gesla, s katerimi bi ob njegovi odsotnosti do njegovih službenih računov dostopal delavec, ki odsotnega delavca nadomešča?

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 76. členom Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju ZVOPOKD), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše nezavezujoče mnenje v zvezi z vašim vprašanjem.

Delodajalec nima pravice vedeti, niti zahtevati gesel delavcev. Delavci naj z lastnimi osebnimi podatki (tudi gesli) ravnajo skrbno in preudarno, v primeru suma o zlorabi gesel pa le te spremenijo in račune ustrezno zaščitijo.

Določila mednarodno veljavnih standardov na področju varovanja informacij in uveljavljene dobre prakse (kot so ISO/IEC 27002:2013, COBiT, PCI DSSipd.) prepovedujejo hrambo kopij surovih gesel in zahtevajo, da se gesla v podatkovnih bazah hranijo v takšni obliki, da jih nihče ne more prebrati, razkriti ali posredovati naprej, ne glede na njegova pooblastila.

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more, niti ne sme podati, saj lahko IP posamezne primere obdelave osebnih podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka. Kljub temu vas napotujemo na številna naša že objavljena nezavezujoča mnenja, v katerih je IP že odgovarjal na vprašanja podobna vašemu:

·Mnenje št. 07121-1/2023/62 z dne 20. 1. 2023

·Mnenje št. 07121-1/2021/697 z dne 9. 4. 2021

·Mnenje št. 0712-1/2019/2931 z dne 19. 12. 2019

Svetujemo vam tudi, da si več o varstvu osebnih podatkov v delovnih razmerjih preberete v smernicah IP Kako so moji podatki varovani v delovnem razmerju oz. v že objavljenih mnenjih IP, ki so dostopna na naši spletni strani: https://www.ip-rs.si/vop/, kjer si lahko poiščete in preberete mnenja glede na konkretno ključno besedo, ki vas zanima (npr. “delodajalec”).

Lepo vas pozdravljamo.

Pripravil

Grega Rudolf, asistent svetovalca pri IP

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka