Pri Informacijskem pooblaščencu (IP) so prejeli zaprosilo za mnenje glede avtentikacije preko zasebnega telefona. Navajate, da Microsoft od 1. 1. 2023 za uporabo svojih komunikacijskih kanalov zahteva od uporabnikov dvostopenjsko avtentikacijo zaradi varnosti. Ta bo potekala na način, da bo vsak zaposleni na svoj mobilni telefon prejel kodo. Težava je, da določeni zaposleni nimajo službenih telefonov in bi tako kodo prejeli na svoj zasebni mobilni telefon. Rešitev, ki ste jo predlagali za ta primer, je izjava, ki bi jo podpisal vsak zaposleni, ki nima službenega telefona, da se strinja z obdelavo zasebne telefonske številke. Zanima vas, ali ste sprejeli pravo rešitev.

Na podlagi informacij, ki ste jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) IP posreduje neobvezujoče mnenje v zvezi z vašim vprašanjem.

Delodajalec nima podlage, da bi kot obvezno zahteval uporabo zasebnih sredstev v službene namene.

Za dostop do svojih informacijskih sistemov lahko delodajalec na podlagi analize tveganj zahteva uporabo dvostopenjske avtentikacije z uporabo službenih sredstev v okviru pravne podlage po 48. členu ZDR-1. V takem primeru posebna privolitev posameznikov za obdelavo osebnih podatkov ni potrebna. Če pa gre za zasebna sredstva (npr. zasebni mobilni telefon), pa lahko takšna obdelava poteka le na podlagi veljavne privolitve posameznika.

O b r a z l o ž i t e v:

IP uvodoma opozarja, da lahko posamezne primere obdelave osebnih podatkov konkretno presoja le v okviru inšpekcijskega ali drugega upravnega postopka. To pomeni, da v okviru mnenja ne more potrjevati ustreznosti konkretnih obrazcev ali presojati zakonitosti predvidenih rešitev, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava osebnih podatkov zakonita.

Upravljavec mora imeti za vsako obdelavo osebnih podatkov zakonito in ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe o varstvu podatkov (privolitev, pogodba, zakon itn.). Za obdelavo osebnih podatkov v delovnih razmerjih je relevanten predvsem 48. člen Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, s spremembami in dopolnitvami; v nadaljevanju ZDR-1), skladno s katerim se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Glede privolitve za obdelavo osebnih podatkov delavcev IP izpostavlja, da pride zaradi neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca šibkejša stranka, ta pravna podlaga v poštev zgolj izjemoma pod pogojem, da lahko posameznik resnično brez kakršnihkoli posledic za delovno razmerje privolitev odkloni.

Upravljavci osebnih podatkov morajo skladno s členom 32 Splošne uredbe o varstvu podatkov ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotoviti ustrezno raven varnosti glede na tveganja. Dvostopenjska avtentikacija se čedalje bolj uveljavlja kot učinkovit način za varno avtentikacijo posameznikov, ki dostopajo do različnih informacijskih sistemov, pri čemer pa je treba upoštevati, da delodajalec nima podlage, da bi kot obvezno zahteval uporabo zasebnih sredstev v službene namene.

Za dostop do svojih informacijskih sistemov lahko delodajalec na podlagi analize tveganj zahteva uporabo dvofaktorske avtentikacije z uporabo službenih sredstev v okviru pravne podlage po 48. členu ZDR-1. V takem primeru posebna privolitev posameznikov za obdelavo osebnih podatkov ni potrebna. Če pa gre za zasebna sredstva (npr. zasebni mobilni telefon), pa lahko takšna obdelava poteka le na podlagi privolitve posameznika, ki mora upoštevati zahteve glede veljavnosti privolitve. To pomeni, da mora biti privolitev prostovoljna, informirana, konkretna, dokazljiva in aktivno podana. Privolitev zaposlenega ne sme biti pogojevana ali izsiljena, posameznik je ni dolžan podati. Več informacij o veljavnosti privolitve je na voljo na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/privolitev.

Eden ključnih pogojev za veljavnost privolitve je tudi ustrezna informiranost posameznika, ki mora predvsem vedeti, kaj se bo dogajalo z njegovimi osebnimi podatki. Kaj vse mu mora biti predstavljeno, določata člena 13 in 14 Splošne uredbe o varstvu podatkov. Več informacij o informiranosti posameznika je na voljo na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/obve%C5%A1%C4%8Danje-posameznikov-o-obdelavi-osebnih-podatkov.

IP je sicer na podobno vprašanje že odgovarjal v mnenjih št. 07121-1/2022/1106 z dne 18. 10. 2022 in št. 07121-1/2021/2496 z dne 16. 12. 2021, ki sta dostopna na spletni strani IP: https://www.ip-rs.si/mnenja-gdpr/.