Zagotavljanje varnosti pri internem dostopu do osebnih podatkov in programske opreme

Datum

22.07.2025

Številka

07121-1/2025/911

Kategorije

Varnost osebnih podatkov, Delovna razmerja

pri Informacijskem pooblaščencu (IP) smo dne 19. 5. 2025 in 1. 7. 2025 prejeli vaše zaprosilo za mnenje o tem:

1.ali je upravljavčeva praksa z univerzalnimi in predvidljivimi gesli, odsotnostjo sledljivosti in nadzorom nad računalnikom brez vednosti uporabnika v nasprotju s pravili o varstvu osebnih podatkov;

2.ali je upravičeno, da informatik pri upravljavcu pozna vsa uporabniška gesla in jih tudi sam nastavlja.

Pojasnjujete, da je bila pri delodajalcu v službeni e-pošti (domnevno namerno) izbrisana vsa poslana pošta za čas po poslanem zahtevku za uvrstitev v višji plačni razred. Prav tako ni možno samostojno spremeniti gesla, pač pa le prek informatika, ki sam določi novo geslo. To velja za spreminjanje gesla za dostop do službenega računalnika in za dostop do aplikacij za opravljanje dela.

Nadalje pojasnjujete, da so gesla pri delodajalcu sestavljena po predvidljivem vzorcu, pri čemer se za različne notranje uporabnike spremeni le (zadnja zaporedna) številka. Ob zaprosilu za namestitev določenega programa na službeni računalnik, se informatik brez vednosti in potrditve zaposlenega na daljavo priklopi na uporabniški profil oziroma na računalnik z vsemi odprtimi aplikacijami in podatki.

Dodatno vas še zanima, ali še drži stališče, da urgentni zdravnik po zaključku obravnave ni več upravičen do vpogleda v pacientove osebne podatke. Sprašujete, ali je možno vložiti tudi anonimno prijavo pri IP.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Splošne uredbe (EU) o varstvu podatkov (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Pojasnjujemo še, da se IP lahko dokončno opredeljuje do obdelav osebnih podatkov le v nadzornih postopkih.

Po mnenju IP bi moral delodajalec kot upravljavec, v skladu z načelom varnosti osebnih podatkov iz 5. in 32. člena Splošne uredbe, zagotoviti:

-da si zaposleni sami določajo računalniška gesla in gesla za dostop do programskih aplikacij, - da notranja politika in informacijski sistem ne bi dopuščala določanja enostavnih in predvidljivih gesel in

-da se oddaljeni dostop informatika do računalnika zaposlenega (informacijska podpora) ne izvaja brez delavčeve vednosti in soglasja.

Mnenja IP št. 07120-1/2022/332, št. 07120-1/2024/260 in št. 07121-1/2024/323 glede omejitve vpogleda urgentnega zdravnika v CRPP po zaključku zdravstvene obravnave, še vedno veljajo.

Obrazložitev

Zgornje mnenje temelji na:

-smernicah IP za varstvo osebnih podatkov v delovnih razmerjih, ki so dostopne na spletni strani IP,

-priročniku IP »Zavarujmo osebne podatke«, ki je dostopen na spletni strani IP,

-priporočilih https://www.varninainternetu.si/article/zavarujte-geslo/ in

-javno objavljenih mnenjih IP s področja varnosti osebnih podatkov ter delovnih razmerij, na primer št. 07121-1/2025/628, 07121-1/2023/62, 07121-1/2025/549, 07121-1/2024/668, 0712-1/2019/2124 in 07121-1/2020/1052 ter

-smernicah o VOP v delovnih razmerjih:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf.

Če bi šlo za nadzor delodajalca nad računalnikom zaposlenega (tj. izven informacijske podpore zaposlenemu), bi bilo treba predhodno oceniti tveganja in pravila glede nadzora nad računalnikom zaposlenega vnaprej določiti z internimi akti, ukrepi bi morali biti sorazmerni in bi morali upoštevati tudi pravico do širše zasebnosti. V izjemnih primerih je možen tudi nadzor brez sodelovanja zaposlenega.

Glede zagotavljanja sledljivosti (dnevnika obdelav) za notranjo obdelavo podatkov velja 22. člen ZVOP-2, ki določa, da zaradi učinkovitejšega izvajanja 2. in 3. oddelka IV. poglavja Splošne uredbe upravljavci po tem zakonu vodijo dnevnik obdelave, kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali kadar gre za redno in sistematično spremljanje posameznikov, ali kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave. To pomeni, da notranje sledljivosti ni potrebno izvajati za vse zbirke osebnih podatkov oziroma je niso dolžni zagotavljati vsi upravljavci.

Če menite, da je pri določenem upravljavcu (delodajalcu) prišlo do kršitve varstva osebnih podatkov, lahko pri IP vložite prijavo. Prijava je sicer lahko tudi anonimna, vendar je v takem primeru pogosto zelo težko uspešno in učinkovito voditi inšpekcijski postopek. Poleg tega prijavitelj v takem primeru ne more biti obveščen o rezultatih postopka.

Prijazen pozdrav.

Pripravil:

dr. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

dr. Jelena Virant Burnik

informacijska pooblaščenka