#7 AKO NA TO: Používanie rodného čísla ako hesla

V praxi sa často stretávame s požiadavkou nastavenia rodného čísla ako hesla pre elektronické výplatné pásky, hesla do 24 hodinového personálneho asistenta (personálneho kiosku) či vo všeobecnosti do systému eHuman. Je však použitie rodného čísla na takýto účel v súlade s Nariadením o ochrane osobných údajov (ďalej ako „GDPR“)?

Rodné číslo je nepochybne osobným údajom, nakoľko ide o informáciu týkajúcu sa identifikovanej alebo identifikovateľnej fyzickej osoby, a to priamo alebo nepriamo (kedy určenie, či je informácia osobným údajom, bude závisieť od okolností vyplývajúcich z kontextu jej spracúvania). Kým podľa predchádzajúcej právnej úpravy, t.j. zákona 122/2013 Z.z., rodné číslo patrilo do osobitnej kategórie osobných údajov, nová právna úprava ho z tejto kategórie vyňala.

Naďalej však zostáva v platnosti, že spracúvanie rodného čísla, ako aj spracúvanie akýchkoľvek osobných údajov, je možné iba za účelom, za akým boli získané (čl. 5, ods. 1, písm. b) GDPR) a v rozsahu, ktorý je nevyhnutný na dosiahnutie daného účelu spracúvania (zásada minimalizácie údajov v zmysle čl. 5, ods. 1, písm. c) GDPR).

Zamestnávateľ ako prevádzkovateľ osobných údajov zamestnancov je povinný spracúvať rodné číslo zamestnanca za účelom plnenia svojich zákonných povinností, ako je napríklad prihlásenie zamestnanca do Sociálnej poisťovne. V tomto prípade ide o nevyhnutné spracúvanie rodného čísla pre dosiahnutie účelu, ktorým je plnenie zákonných povinností.

Ak však zamestnávateľ použije rodné číslo zamestnanca pre zabezpečenie elektronickej výplatnej pásky, či ako heslo do informačného systému, takéto použitie rodného čísla nie je zlučiteľné s účelom, pre ktorý bolo získané. Umelé rozšírenie účelu získania rodného čísla o jeho použitie ako hesla by zas nebolo v súlade so zásadou minimalizácie údajov. Použitie rodného čísla ako hesla teda predstavuje také spracúvanie osobného údaju, ktoré pre daný účel nie je nevyhnutné. Uvedené vyplynulo z našej konzultácie so zástupcami Úradu na ochranu osobných údajov (ďalej ako „Úrad“), ktorí zároveň uviedli, že Úrad, ako dozorný orgán, v prípade kontroly, vyhodnotí takéto spracúvanie ako porušenie GDPR.

Zamestnávateľ, ktorý na základe vlastného rozhodnutia svojim zamestnancom nastaví rodné číslo ako heslo, sa vystavuje zbytočnému riziku sankcie. Uvedené platí aj v prípade, že by malo ísť iba o nastavenie prvotného hesla, ktoré si môže zamestnanec neskôr sám zmeniť. Zároveň upozorňujeme, že praktický aspekt použitia rodného čísla na predmetný účel, ako najľahšie zapamätateľného hesla bez potreby jeho distribúcie zamestnancom, vzhľadom na vyššie uvedený nesúlad s GDPR, nezohráva žiadnu rolu.

Na základe uvedeného neodporúčame použitie rodného čísla ako hesla k výplatnej páske či pre prihlásenie do informačného systému.

Existujú situácie, kedy rodné číslo heslom byť môže

Ak zamestnanec sám požiada zamestnávateľa o nastavenie rodného čísla ako hesla k svojej výplatnej páske, zamestnávateľ mu môže vyhovieť. Dať zamestnancovi možnosť výberu medzi heslom, ktorým bude rodné číslo alebo iný, zamestnancom zvolený či zamestnávateľom vygenerovaný reťazec, môže byť taktiež vhodnou cestou. V takýchto prípadoch nejde o rozhodnutie zamestnávateľa, ale voľbu zamestnanca. Zamestnávateľ by však mal dbať na to, aby v prípade kontroly dozorného orgánu vedel preukázať, že išlo o voľbu zamestnanca.