Informacijski pooblaščenec je obravnaval kršitev varstva osebnih podatkov, do katere je prišlo, ker kršiteljica uporabniškega imena in osebnega gesla za dostop do osebnih podatkov preko računalniške in aplikativne programske ni namestila ter uporabljala v skladu s Pravilnikom o obdelavi osebnih podatkov. S čimer je omogočila, da je neznana oseba z uporabo njenih dostopnih pravic v šolskem informacijskem sistemu nepooblaščeno in nezakonito obdelovala (priklicala, vpogledala, vpisala oz. spremenila) osebne podatke devetih učencev.

Gre za odločbo o prekršku  številka 0603-15/2023/6, z dne 25. 5. 2023. Vse odločbe Informacijskega pooblaščenca so na voljo na tej povezavi.

Na tem mestu izpostavljamo, da mora delodajalec sprejeti notranja pravila glede obdelave osebnih podatkov v organizaciji, npr. sprejeti Pravilnik o varstvu osebnih podatkov ali drug ustrezen akt. Ta lahko glede generiranja gesel vsebuje naslednja določila:

• ­gesla morajo imeti minimalno 8 znakov ali več, v kolikor je to določeno za posamezno uporabniško rešitev;
• ­gesla ne smejo vsebovati smiselnih alfanumeričnih zaporedij znakov (npr. 123456, abcdefg…);
• ­gesla morajo biti kvalitetna (ustrezne dolžine, velike in male črke, številke, lahko tudi posebni znaki);
• ­gesla naj ne bodo ciklična in naj se ne ponavljajo iz predhodnih obdobij;
• ­uveljavljeno mora biti obvezno redno spreminjanje gesel (najmanj na 6 mesecev);
• ­začetna gesla se ob prvi prijavi spremenijo;
• ­gesla, ki jih je generiral zunanji dobavitelj, je potrebno takoj spremeniti ob prvi uporabi v produkcijskem okolju;
• ­uporabniško ime ne sme kazati posebnih pooblastil uporabnika.

Pravila na področju varstva osebnih podatkov moramo kot zaposleni dosledno upoštevati, pri ravnanju z gesli je treba obvezno spoštovat naslednje napotke:

• ­pooblaščena oseba, ki dodeljuje gesla, jih mora obravnavati zaupno, preprečiti mora možnost nepooblaščenega vpogleda in jih posredovati na varen način;
• ­uporabnikom mora biti omogočeno, da kadarkoli spremenijo svoje uporabniško geslo;
• geslo ne sme biti nikdar prikazano na zaslonu;
• ­gesla morajo biti obvezno shranjena v šifrirani obliki; 
• ­gesla se ne smejo lepiti na monitor ali shranjevati pod tipkovnico;
• ­vsak uporabnik mora imeti svoje uporabniško ime in geslo izključno za osebno rabo;
• ­geslo je potrebno hraniti na način, ki drugi osebi popolnoma onemogoči možnost vpogleda;
• ­vsak uporabnik je odgovoren za zaupnost gesla in ga ne sme v nobenem primeru zaupati drugi osebi;
• ­v nobenem primeru uporabnik ne sme izdati gesla nadrejenemu, podrejenemu ali osebi, ki ga nadomešča, ali IT osebju;
• ­v primeru razkritja gesla ali suma razkritja gesla mora to nemudoma sporočiti pooblaščeni osebi za dodeljevanje gesel.