Poslodavac za pristup svojim informacijskim sustavima, na temelju analize rizika, može zatražiti korištenje dvofaktorske autentifikacije i to temeljem jednog od mogućih pravnih temelja iz članka 6. stavka 1. GDPR-a:
- točka (b) (ugovorna obveza) ili
- točka (e) (službena ovlast ili javni interes)) ili
- točka (f) (legitimni interes).
Tada nije potrebna posebna suglasnost pojedinaca za obradu osobnih podataka putem službenog mobilnog telefona.
Međutim, za korištenje privatnog mobilnog telefona u svrhe potvrđivanja 2FA autentifikacije, takva se obrada osobnih podataka može odvijati samo na temelju privole pojedinca, koja mora ispunjavati uvjete u pogledu valjanosti privole, odnosno, da mora biti:
- dobrovoljna,
- informirana,
- konkretna ili specificirana,
- dokaziva i
- dana jasnom aktivnošću pojedinca, nikako prešutno.
Stajalište je to slovenskog nadzornog tijela za zaštitu osobnih podataka (Informacijski Pooblaščenec), koje je javno objavilo svoje stajalište:
https://www.ip-rs.si/mnenja-gdpr/zahteva-delodajalca-za-uvedbo-dvofaktorskega-potrjevanja-za-vstop-v-delovno-okolje-1666263737
Image by Gustavo Wandalen Corrêa from Pixabay
#gdprcroatia