Pri Informacijskem pooblaščencu (IP) so prejeli elektronsko sporočilo z vprašanjem, ali lahko šola sama od sebe spremeni otrokovo geslo, brez da bi o tem prej obvestila starše oziroma ne da bi to prosili sami starši. Prosilec navaja, da je šola v namen e-izobraževanja (v zadevi je sicer omenjena e-pošta) sama od sebe sinu spremenila geslo. Prosilec meni, da bi šola starše morala obvestiti, da bodo rabili dotične podatke za prijavo in bi jih otroku napisali starši.
***
Na podlagi informacij IP v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posreduje neobvezujoče mnenje v zvezi z vprašanjem.
Kadar si gesla informacijskih sredstev šole določijo uporabniki sami (učenci in/ali njihovi starši) oziroma jih imajo pravico sami spremeniti, so že sama po sebi osebni podatki, sicer pa v primerih, ko omogočajo pridobitev dostopa do ostalih informacij v zvezi z določenim ali določljivim posameznikom, ki ga je mogoče (ne)posredno določiti. Varna hramba gesel in vzpostavitev ustreznih politik dostopov do njih in prek njih do osebnih podatkov, ki jih upravljavci vodijo in obdelujejo v svojih zbirkah ter beleženja dostopov v dnevnikih obdelave je odgovornost šol kot upravljavcev.
Upravljavec zaradi zagotavljanja ukrepov varnosti ali na zahtevo uporabnika geslo lahko spremeni in dodeli novega ter omogoča ali pa tudi zahteva, da ga uporabnik v / po določenem času spremeni skladno z določenimi navodili varnih in močnih gesel, nihče pa ga nima pravice ne videti, ne zahtevati od uporabnika, da ga v surovi (nekriptirani) obliki kamorkoli zapiše, da ga ne bi pozabil. Tudi ne šola ali učitelj, ki bi z učenci prek izbranega informacijskega sredstva, zavarovanega z uporabniškim imenom in geslom izvajal obvezen program vzgoje in izobraževanja. Če je uporaba gesla ali celo njegova sprememba bila načrtovana, bi bilo ustrezneje, da bi bili o tem vnaprej obveščeni, vendar pa si novo dodeljeno geslo uporabnik lahko zopet zamenja, bodisi sami, bodisi na zahtevo zaradi njegove izgube ali pozabe.
O b r a z l o ž i t e v:
Ker iz vprašanja ne izhajajo konkretni podatki o tem, za spreminjanje katerih gesel točno je šlo (npr. zasebnih ali dodeljenih in potem spremenjenih) in v kakšnih okoliščinah (npr. pri uporabi zasebnih informacijskih sredstev ali informacijskih sredstev, ki jih je otrokom oz. njihovim staršem dala v uporabo šola za nemoteno izvajanje obveznega izobraževanja), komu je s tem bil omogočen dostop (npr. otrokom ali učiteljem oz. drugim strokovnim delavcem) ter s kakšnim namenom (npr. z namenom vpogleda v komunikacijo v e-poštnem računu ali z namenom uporabe določene IT rešitve (aplikacije, programa itd.) za izvajanje obveznega e-izobraževanja v določenem uporabniškem profilu), lahko IP poda zgolj splošno mnenje v zvezi z vprašanjem.
Kadar informacijska sredstva, zavarovana z uporabniškim imenom in geslom, za namene izvajanja obveznih programov vzgoje in izobraževanja učencem (in njihovim staršem) zagotovijo šole, so te praviloma tudi upravljavci osebnih podatkov, ki se v okvirih izbranih sredstev in določenih namenov obdelujejo pod njihovim vodstvom, torej tudi kadar jih v njihovem imenu obdelujejo druge (pravne ali fizične) osebe. Uporabniška imena in gesla so v teh primerih uporabnikom najpogosteje dodeljena (npr. jih ustvari aplikacija in jih uporabniki ne ustvarijo sami), zato inherentno ne vsebujejo informativne vrednosti o uporabniku kot posamezniku, da bi že sama po sebi predstavljala tudi osebni podatek, lahko pa ta gesla omogočajo pridobitev dostopa do nadaljnjih osebnih podatkov, ki se nanašajo na uporabnika in so dosegljivi prek informacijskega sredstva (npr. e-poštni račun, telemetrični in diagnostični podatki ipd.), ki je zavarovan z dodeljenim geslom. Gesla, še zlasti, kadar jih uporabniki informacijskih sredstev (učenci in/ali njihovi starši) določijo sami oziroma jih imajo pravico sami spremeniti, so osebni podatki, ki se hranijo v določeni zbirki informacijskega sredstva. Kot upravljavci so šole odgovorne ne le za zakonitost obdelave osebnih podatkov, pač pa tudi za zagotovitev zadostnih, ustreznih in sorazmernih ukrepov varne obdelave osebnih podatkov, kot to določajo 24., 25. in 32. člen Splošne uredbe. V ta okvir sodi tudi vzpostavitev ustreznih (ocenjenim tveganjem primernih) politik dostopov do osebnih podatkov, ki jih upravljavci vodijo in obdelujejo v svojih zbirkah ter njihovega beleženja v dnevnikih obdelave.
Določila mednarodno veljavnih standardov na področju varovanja informacij in uveljavljene dobre prakse (kot so ISO/IEC 27002:2013, COBiT, PCI DSS ipd.) prepovedujejo hrambo kopij surovih gesel in zahtevajo, da se gesla v podatkovnih zbirkah hranijo v takšni obliki, da jih nihče ne more prebrati, razkriti ali posredovati naprej, ne glede na njegova pooblastila. Mogoče je zgolj preveriti, ali določeno geslo, ki ga je vnesel uporabnik, ustreza tistemu, ki je shranjeno v podatkovni zbirki, in sicer tako, da se to geslo spusti skozi isti kriptografski algoritem in potem primerja s shranjenim geslom. V primeru pozabljenega ali izgubljenega gesla lahko pooblaščena oseba (npr. sistemski administrator ali administrator podatkovne baze) obstoječe geslo spremeni in uporabniku dodeli novega, ne sme pa imeti možnosti pozabljenega gesla prebrati v zbirki in ga posredovati uporabniku.
Vaše osebno geslo je samo vaše. Upravljavec vam ga lahko spremeni in dodeli novega (zaradi zagotavljanja ukrepov varnosti ali na zahtevo zaradi izgube oz. pozabe) ter omogoča ali pa tudi zahteva, da si ga v / po določenem času spremenite skladno z določenimi navodili varnih in močnih gesel, nihče pa ga nima pravice ne videti, ne zahtevati od vas, niti da ga kamorkoli zapišete svojemu otroku in mu dovolite uporabo, kar bi lahko povzročilo dodatna tveganja njegove obdelave (uporabe, (ne)namernega razkritja tretjim osebam ipd.) še po zaključku uporabe. Tudi ne šola ali učitelj, ki bi z učenci prek izbranega informacijskega sredstva, zavarovanega z uporabniškim imenom in geslom izvajal obvezen program vzgoje in izobraževanja. Če je uporaba gesla ali celo njegova sprememba bila načrtovana, bi bilo ustrezneje, da bi bili o tem vnaprej obveščeni, vendar pa si novo dodeljeno geslo lahko zopet spremenite, bodisi sami, bodisi na zahtevo zaradi njegove izgube ali pozabe.
Celotno mnenje je na voljo TUKAJ.