Elektronisko pakalpojumu pieprasīšana un saņemšana ir nozīmīga ne tikai cilvēku ikdienas dzīvē, bet arī dažādu uzņēmumu un iestāžu darbībā. Bieži vien darba tiesisko attiecību ietvaros cilvēkiem var rasties nepieciešamība apliecināt savu identitāti veidā, kas pielīdzināms personu apliecinoša dokumenta (pases vai personas apliecības) uzrādīšanai klātienē. Tāpat darba pienākumi var būt saistīti ar tīmekļvietnēm, kuru izmantošanai nepieciešama lietotāja autentifikācija, piemēram, izmantojot sociālos tīklus vai citur tiešsaistē izveidotus kontus.
Autentifikācija ar kvalificētiem identifikācijas līdzekļiem
Elektroniskās identitātes apliecināšanai Latvijā ir pieejami vairāki kvalificēti identifikācijas līdzekļi - gan nacionālie līdzekļi eID karte un lietotne eParaksts mobile, gan Smart-ID. Minētie līdzekļi ir droši un atbilst eIDAS[1] regulas prasībām.
Tā kā šāda identitātes apliecināšana bieži vien ir būtisks priekšnosacījums elektronisko pakalpojumu saņemšanai, un tam nav iespējams piemeklēt alternatīvu risinājumu, kas paredz darbinieka personas datu izmantošanu mazākā apjomā, darba devējs var lūgt darbiniekam apliecināt savu elektronisko identitāti darba vajadzībām un tas nav uzskatāms par darbinieka tiesību ierobežojumu.
Piemērs: Uzņēmumam ir nepieciešams saņemt valsts pārvaldes pakalpojumu elektroniski, izmantojot portālu www.latvija.lv. Darbinieks, kurš pilnvarots uzņēmuma vārdā veikt darbības portālā, autentificējas, izmantojot Smart-ID rīku.
Tāpat kā ikdienas lietošanā, arī darba vidē minēto identifikācijas līdzekļu lietošanā gan darbiniekam, gan darba devējam jāievēro piesardzība. Darbiniekam jārūpējas par PIN kodu neizpaušanu un to nepieejamību citām personām, bet darba devējam jānodrošina, lai darbinieka lietošanā nodotās ierīces un darba vide ir piemērota šo līdzekļu izmantošanai. Piemēram, ja darbinieks autentifikācijai izmanto eID karti, jānodrošina, lai datoram ir aktīva antivīrusu programmatūra, kā arī jāpārliecinās, lai tam nav instalēta tastatūras darbības reģistrējoša programmatūra vai ierīces.
Jāatceras, ka identifikācijas rīki- Smart-ID un eParaksts mobile - tiek piesaistīti katras personas individuālajai ierīcei, tas nozīmē, ka, lai veiktu autentifikāciju ar šiem rīkiem, darbiniekam nepieciešams izmantot savu personisko tālruni. Par labo praksi būtu uzskatāms, ka darba devējs jau darba līguma noslēgšanas laikā darbinieku informē par to, ka tiešo pienākumu izpildei būs jāizmanto kvalificētos vai cita veida identifikācijas līdzekļus, kā arī jāiepazīstina ar kārtību identifikācijas līdzekļu izmantošanā.
Autentifikācija ar lietotāja kontu (Google, Facebook u.c.)
Gadījumos, kad tīmekļvietne nepieprasa kvalificētu identifikācijas līdzekļu izmantošanu, lietotāja autentifikācijai var tikt izmantoti tādi līdzekļi kā lietotājvārds un parole vai autentificēšanās ar lietotāja iepriekš izveidotiem tiešsaistes kontiem. Šādas autentifikācijas gadījumā minētie rīki var tikt uzskatīti par katras personas privātiem līdzekļiem, kas derīgi savas identitātes apliecināšanai digitālajā vidē, ja nodarbinātais izmanto autentifikācijai privātu tiešsaistes kontu. Uzņēmuma paļaušanās uz šādu risinājumu izmantošanu rada draudus pakalpojuma ilgtspējai, jo darbiniekam mainoties, uzņēmējs var zaudēt piekļuvi datiem. Turklāt šādas autentifikācijas nodrošināšanai tiktu izmantota darbinieka privātā digitālā identitāte.
Labā prakse: Ja autentifikācija ir iespējama tikai ar tiešsaistes kontu, uzņēmumam būtu jāizveido atsevišķs lietotāja konts attiecīgajā tīmekļvietnē vai uzņēmuma Google konts, kuru darbinieki izmanto darba pienākumu veikšanai, tostarp autorizācijai digitālajā vidē.
Sliktā prakse: Darbiniekam tiešo pienākumu veikšanai nepieciešams piekļūt informācijai, kura pieejama tikai tīmekļvietnes autorizētiem lietotājiem. Vietnē var autorizēties ar Google kontu, taču uzņēmumam, kurā persona ir nodarbināta, šāds konts nav izveidots, tāpēc darba devējs mudina darbinieku autorizēties, izmantojot darbinieka personisko Google kontu. Šādi autentificējoties, tīmekļvietne izmanto konkrētā darbinieka Google konta datus (vārdu, uzvārdu, e-pastu un profila attēlu).
[1] Eiropas Parlamenta un Padomes 2014.gada 23.jūlija Regula (ES) Nr.910/2014 par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū un ar ko atceļ Direktīvu 1999/93/EK