Izobraževanje na daljavo in video konference

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem nas sprašujete, ali lahko učitelj od učenca zahteva, da se udeleži video konference, ki ga podpira določeno popularno orodje, glede na to, da na spletu najdemo objave o mnogih spodrsljajih pri uporabi konkretnega orodja.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati, prav tako ne moremo presojati in komentirati konkretnega orodja za izvajanje izobraževanja na daljavo z vidika ustreznosti in varnosti obdelave osebnih podatkov. V nadaljevanju vam tako posredujemo splošno mnenje glede podlag za obdelavo osebnih podatkov ter varnosti podatkov, ki smo ga naslovili tudi na Ministrstvo za izobraževanje, znanost in šport.

Proces izobraževanja na daljavo so nekateri učitelji zasnovali na način, da od učencev zahtevajo uporabo sodobnih informacijskih tehnologij, pri čemer pogosto prihaja tudi do obdelave osebnih podatkov. Otroci naj bi pri izobraževanju na daljavo uporabljali različna orodja za spletno komuniciranje, med drugim tudi orodja s funkcijo video klica in sorodne oblike sodelovanja, ali pa morajo učenci / dijaki po navodilu učitelja posneti izpolnjevanje dane naloge in posnetek posredovati učitelju.

IP pri obdelavi osebnih podatkov otrok za namene izvajanja izobraževanja na daljavo poudarja, da privolitev posameznika (oziroma zakonitega zastopnika otroka) ni ustrezna oziroma primerna pravna podlaga, po kateri naj bi takšna obdelava osebnih podatkov potekala. Bistveno je namreč, da gre pri izobraževanju na daljavo za izvajanje javnopravne naloge izobraževalne ustanove in ne za aktivnosti, za katere lahko starši kot zakoniti zastopniki otrok podajo svobodno privolitev – kot jo že tradicionalno podajo na začetku šolskega leta na pripravljenem obrazcu (denimo za objavo fotografij v šolskem almanahu ipd.).

Za obdelavo osebnih podatkov otrok v spletnem okolju v trenutnih izrednih razmerah, ko poteka izobraževanje na daljavo, je po mnenju IP edina ustrezna pravna podlaga 6(1)(c) Splošne uredbe, saj je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca. Zakonsko obveznost sicer široko opredeljujejo zakoni s področja osnovnošolskega in srednješolskega izobraževanja, med drugim Zakon o osnovni šoli (Uradni list RS, št. 81/06 – UPB, s sprem. in dop.), Zakon o gimnazijah (Uradni list RS, št. 1/07 – UPB, s sprem. in dop.) ter Zakon o poklicnem in strokovnem izobraževanju (Uradni list RS, št. 79/06, s sprem. in dop.), ki določajo obveznost šol, da zagotavljajo predvidene oblike izobraževanja, ter dolžnost učencev in dijakov, da izpolnjujejo svoje šolske obveznosti. Delovne obveznosti učiteljev so nadalje opredeljene v Zakonu o organizaciji in financiranju vzgoje in izobraževanja (Uradni list RS, št. 16/07– UPB, s sprem. in dop.), ki v 119. členu določa tudi "zbiranje in obdelavo podatkov v zvezi z opravljanjem vzgojno-izobraževalnega in drugega dela".

Zaradi izjemnih okoliščinah, v katerih se nahajamo zaradi ukrepov za preprečevanje širjenja virusa COVID-19, ki so začasno spremenila tudi izobraževalni proces, je Informacijski pooblaščenec mnenja, da bi moralo Ministrstvo za izobraževanje, znanost in šport to pravno podlago ustrezno konkretizirati z enotnimi navodili šolam. IP je ministrstvo k temu že pozval.

Pri tem je treba upoštevati oziroma nasloviti tudi pomisleke glede varnosti osebnih podatkov in iznosa v tretje države (do česar se opredeljujemo v nadaljevanju). Poleg tega bi morale biti šole oziroma učitelji opozorjeni na načelo najmanjšega obsega podatkov, po katerem se ne sme obdelovati več osebnih podatkov, kot je nujno potrebno za izvedbo izobraževalnega procesa (načelo minimizacije osebnih podatkov). Šola oziroma posamezen učitelj mora namreč izpolnjevanje nalog preverjati na način, ki najmanj poseže v pravico do varstva osebnih podatkov in zasebnosti otroka.

Posebej glede varnosti obdelave osebnih podatkov in iznosa v tretje države

Glede varnosti osebni podatkov IP posebej poudarja, da mora upravljavec osebnih podatkov le-te ustrezno varovati v vseh fazah obdelave. Prvi odstavek člena 32 Splošne uredbe določa, da morata upravljavec in obdelovalec ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotoviti ustrezno raven varnosti glede na tveganje.

Zagotavljanje varnosti osebnih podatkov je lahko posebej problematično pri uporabi spletnih orodij, ki jih učitelji uporabljajo po lastni presoji in po možnosti brez vnaprejšnega preudarka o zagotavljanju varnosti osebnih podatkov. Tudi zato menimo, da bi bilo treba uporabo posameznih orodij ustrezno premisliti in - če je le mogoče - do izbire orodij pristopiti poenoteno. IP pa posameznih orodij z vidika ustreznosti in predvsem varnosti obdelave v mnenju ne more in ne sme presojati.

Večina najbolj uveljavljenih orodij za spletno komuniciranje, omogoča t.i. šifriranje od vira do ponora komunikacije (angl. »end-to-end encryption«), ne pa nujno v vseh primerih (to najverjetneje npr. ne bo zagotovljeno, če je klic (deloma) opravljen preko navadne telefonske linije in ne preko podatkovnega prenosa) in ne nujno kot privzeto nastavitev, razlike med aplikacijami pa obstajajo tudi glede drugih vidikov varnosti in zasebnosti. Zato IP priporoča, da se glede teh vidikov pred uporabo upravljavec osebnih podatkov (ali celo vaše ministrstvo pri pripravi ustreznih priporočil) posvetuje s svojimi sodelavci s področja informacijskih tehnologij.

Pregled različnih vidikov varnosti in zasebnosti pri aplikacijah za spletno komuniciranje je med drugim dostopen tu: https://www.securemessagingapps.com/

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

Pripravila:                                                                                                                              

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov