Uslužbencu danske občine Lolland so ukradli službeni mobilni telefon. Telefon je bil povezan z uradnim (službenim) elektronskim naslovom, ki je vseboval veliko osebnih podatkov o posameznikih (imena in priimke, številke zavarovanja, zdravstvene podatke, …). Uslužbenec na telefonu ni imel nastavljeno zaščitno geslo (npr. PIN ali prstni odtis ipd.), kar pomeni, da se je lahko vsakdo, ki je imel dostop do telefona neupravičeno seznanil z osebnimi podatki. Občina je priznala, da je bilo njenim zaposlenim že dalj časa dovoljeno, da lahko službene telefone uporabljajo nezaščitene, torej brez vstopnega gesla, kar je neustrezno. Zaradi nezadostnega zaščitnih ukrepov varovanja osebnih podatkov je bila občini izrečena globa v višini 6.721 €.
Več informacij je dostopnih na tej povezavi.
Spomnimo, da morate kot delodajalec poskrbeti za ustrezne zaščitne ukrepe varstva osebnih podatkov. Svojim zaposlenim morate dati navodila na kak način morajo uporabljati delovna sredstva, npr. ali lahko delovna sredstva uporabljajo tudi za zasebno rabo, ali lahko za delo uporabljajo zasebne naprave, da morajo biti pazljivi pri odpiranju sumljive elektronske pošte, da lahko službene elektronske naslove uporabljajo samo za službene namene (in da je za službene namene obvezna uporaba službene elektronske pošte), kdaj je dovoljen oddaljeni dostop do informacijskega sistema organizacije, da morajo za vstop v delovne naprave in informacijske sisteme vedno uporabljati geslo (določijo se tudi pravila ustvarjanja varnih gesel), …
Tako na primer naš vzorec Pravilnika o varstvu osebnih podatkov določa:
“Dostop do podatkov in uporaba sistemske in aplikativno programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programske opreme in podatkov. Vsak uporabnik ima svoje geslo za dostopanje do posameznih elektronskih storitev. Posojanje gesel in uporaba skupinskih gesel je prepovedana.”
“Pri generiranju oziroma določanju gesel je treba spoštovati naslednja pravila:
- gesla morajo biti dolžine minimalno 8 znakov ali ustrezno daljša, v kolikor je to določeno za posamezno uporabniško rešitev;
- gesla ne smejo vsebovati smiselnih alfanumeričnih zaporedij znakov (npr. 123456, abcdefg…);
- gesla morajo biti kvalitetna (ustrezne dolžine, velike in male črke, številke, lahko tudi posebni znaki);
- gesla naj ne bodo ciklična in naj se ne ponavljajo iz predhodnih obdobij;
- uveljavljeno mora biti obvezno redno spreminjanje gesel (najmanj na 6 mesecev);
- začetna gesla se ob prvi prijavi spremenijo;
- gesla, ki jih je generiral zunanji dobavitelj, je potrebno takoj spremeniti ob prvi uporabi v produkcijskem okolju;uporabniško ime ne sme kazati posebnih pooblastil uporabnika.”
Opomnik za naše stranke: vsi naši vzorci z s področja varstva osebnih podatkov so vam vedno na voljo na našem portalu.
Ob upoštevanju obsežnosti obdelave osebnih podatkov, vrst osebnih podatkov, ki so predmet obdelave ter tveganj za pravice posameznikov, pa se mora izbrati tudi ustrezna programska rešitev, ki delodajalcu omogoča upravljanje nastavitev delovnih naprav. Navezujoče se na prej predstavljeno kršitev zaradi nezaklenjenega telefona, bi bilo ustrezno, da bi delodajalec zaposlenim dal navodila, da morajo vedno uporabljati (varna) gesla ter da bi uporabil sistemsko rešitev, ki bi vsem zaposlenim (dejansko) onemogočila odstranitev zaščitnega gesla.