Informacijski pooblaščenec Republika Slovenija
Iskalnik po spletni strani   Priredbe v znakovni jezik  
dekorativna slika

Videokonferenčni sistemi z vidika varstva osebnih podatkov

+ -
Datum: 14.04.2020
Številka: 07120-1/2020/299
Kategorije: Delovna razmerja, Pravne podlage, Šolstvo, Zavarovanje osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da se učitelji, ki se poslužujejo video konferenčnih sistemov za poučevanje na daljavo, sprašujejo, kako je z varnostjo omenjenih sistemov in varstvom osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati, prav tako ne moremo presojati in komentirati konkretnih orodij za izvajanje izobraževanja na daljavo z vidika ustreznosti in varnosti obdelave osebnih podatkov. V nadaljevanju vam tako posredujemo splošno mnenje glede podlag za obdelavo osebnih podatkov ter varnosti podatkov, ki smo ga naslovili tudi na Ministrstvo za izobraževanje, znanost in šport. Mnenje zajema tako obdelavo osebnih podatkov učiteljev kot učencev.

Obdelava osebnih podatkov učiteljev

Uvodoma pojasnjujemo, da lahko IP poda mnenje zgolj z vidika obdelave osebnih podatkov, ne pa tudi z drugih vidikov posegov v zasebnost, avtorskega prava ipd., ki so v primeru snemanja učiteljev pri pripravi učnih ur relevantni. Ob tem izpostavljamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Prav tako izven posameznega inšpekcijskega postopka IP ne sme preverjati primernosti izbrane pravne podlage, namenov in obsega obdelave osebnih podatkov v konkretnem primeru. Primarno pripada naloga identifikacije ustrezne pravne podlage, skrb za varnost podatkov, sklenitev ustreznih pogodb o obdelavi osebnih podatkov in spoštovanje vseh ostalih elementov varstva osebnih podatkov upravljavcu. Zato vam v nadaljevanju podajamo zgolj splošna pojasnila ter pravna izhodišča in pogoje za zakonito obdelavo osebnih podatkov.

Za vsako obdelavo osebnih podatkov je treba imeti ustrezno in zakonito pravno podlago. Te so določene v členu 6(1) Splošne uredbe in so za javni sektor, kamor sodijo izobraževalne institucije, kot so osnovne in srednje šole, naslednje:

  • privolitev, kadar ne gre za izvajanje javnih nalog (točka (a)),
  • sklenitev ali izvajanje pogodbe (točka (b)),
  • zakon (točka (c)),
  • izvajanje javne naloge (točka (e) v zvezi s četrtim odstavkom 9. člena ZVOP-1).

Po mnenju IP bi bila obdelava osebnih podatkov pedagoškega delavca, in sicer zbiranje, objava in hramba video posnetkov njegovih učnih ur na zavarovanem spletnem strežniku oziroma učnem e-okolju, lahko dopustna na podlagi določbe 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, s spremembami in dopolnitvami) pod pogojem, da gre za obdelavo, ki je potrebna za izvrševanje pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Delodajalec je v takšnem primeru dolžan izkazati, da gre za takšne delavčeve osebne podatke, ki jih potrebuje v okviru delovnega razmerja.

V situaciji, ko vladajo izredne razmere zaradi epidemije korona virusa (COVID-19), je uporaba novih tehnologij, tehnik in metod, ki so povezane tudi z delom učiteljev na domu, neizogibna. Informacijski pooblaščenec uporabi informacijske tehnologije v izobraževalnem procesu vsekakor ne nasprotuje in meni, da je posebej v trenutnih razmerah pametna in sorazmerna uporaba informacijske tehnologije nujno potrebna za izvajanje kvalitetnega in stimulativnega izobraževalnega procesa ter za zagotavljanje učinkovitega izvrševanja delovnih obveznosti učiteljev.

Po vedenju Informacijskega pooblaščenca mnogo učiteljev takšen način poučevanja že uporablja. Vendar pa IP meni, da način izobraževanja s snemanjem učiteljev ne bi smelo temeljiti na njihovi morebitni privolitvi, saj to ne bi zagotavljalo primerne kontinuitete in kvalitete dela, poleg tega bi lahko učitelji zavrnili uporabo tehnoloških rešitev, ki dejansko omogočajo izobraževanje na daljavo. Nenazadnje bi lahko učitelji glede na člen 7(3) Splošne uredbe v vsakem trenutku tudi preklicali svojo privolitev in bi bilo treba posnetke nemudoma izbrisati ne glede na morebitne posledice za izobraževalni proces in enako obravnavo učencev. Tudi iz tega razloga menimo, da je treba razumeti uporabo snemanja pri izvajanju izobraževanja na daljavo kot izpolnjevanje delovne obveznosti po 48. členu ZDR-1.

Ob vsem navedenem pa je nujno, da upravljavci osebnih podatkov (torej šole) uredijo primerne roke hrambe, poskrbijo za ustrezno varnost obdelave osebnih podatkov, seznanijo posameznike z določenimi obveznimi informacijami iz člena 13 Splošne uredbe in naslovijo tudi morebitno vprašanje avtorskih pravic (slednje sicer ne sodi v pristojnost Informacijskega pooblaščenca).

V zvezi z informacijami za posameznike skladno s členom 13 Splošne uredbe naj poudarimo, da mora upravljavec osebnih podatkov na jasen in pregleden način zagotoviti temeljne informacije v zvezi z obdelavo osebnih podatkov, na primer informacije o tem, kdo obdeluje osebne podatke, kontaktni podatki upravljavca, v kakšne namene obdeluje podatke, koliko časa jih hrani in druge informacije, ki jih navedena določba predpisuje.

Obdelava osebnih podatkov učencev / dijakov

Proces izobraževanja na daljavo so nekateri učitelji zasnovali na način, da od učencev zahtevajo uporabo sodobnih informacijskih tehnologij, pri čemer pogosto prihaja tudi do obdelave osebnih podatkov. Otroci naj bi pri izobraževanju na daljavo uporabljali različna orodja za spletno komuniciranje, med drugim tudi orodja s funkcijo video klica in sorodne oblike sodelovanja, ali pa morajo učenci / dijaki po navodilu učitelja posneti izpolnjevanje dane naloge in posnetek posredovati učitelju.

IP pri obdelavi osebnih podatkov otrok za namene izvajanja izobraževanja na daljavo poudarja, da privolitev posameznika (oziroma zakonitega zastopnika otroka) ni ustrezna oziroma primerna pravna podlaga, po kateri naj bi takšna obdelava osebnih podatkov potekala. Bistveno je namreč, da gre pri izobraževanju na daljavo za izvajanje javnopravne naloge izobraževalne ustanove in ne za aktivnosti, za katere lahko starši kot zakoniti zastopniki otrok podajo svobodno privolitev – kot jo že tradicionalno podajo na začetku šolskega leta na pripravljenem obrazcu (denimo za objavo fotografij v šolskem almanahu ipd.).

Za obdelavo osebnih podatkov otrok v spletnem okolju v trenutnih izrednih razmerah, ko poteka izobraževanje na daljavo, je po mnenju IP edina ustrezna pravna podlaga 6(1)(c) Splošne uredbe, saj je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca. Zakonsko obveznost sicer široko opredeljujejo zakoni s področja osnovnošolskega in srednješolskega izobraževanja, med drugim Zakon o osnovni šoli (Uradni list RS, št. 81/06 – UPB, s sprem. in dop.), Zakon o gimnazijah (Uradni list RS, št. 1/07 – UPB, s sprem. in dop.) ter Zakon o poklicnem in strokovnem izobraževanju (Uradni list RS, št. 79/06, s sprem. in dop.), ki določajo obveznost šol, da zagotavljajo predvidene oblike izobraževanja, ter dolžnost učencev in dijakov, da izpolnjujejo svoje šolske obveznosti. Delovne obveznosti učiteljev so nadalje opredeljene v Zakonu o organizaciji in financiranju vzgoje in izobraževanja (Uradni list RS, št. 16/07– UPB, s sprem. in dop.), ki v 119. členu določa tudi "zbiranje in obdelavo podatkov v zvezi z opravljanjem vzgojno-izobraževalnega in drugega dela".

Zaradi izjemnih okoliščinah, v katerih se nahajamo zaradi ukrepov za preprečevanje širjenja virusa COVID-19, ki so začasno spremenila tudi izobraževalni proces, je Informacijski pooblaščenec mnenja, da bi moralo Ministrstvo za izobraževanje, znanost in šport to pravno podlago ustrezno konkretizirati z enotnimi navodili šolam. IP je ministrstvo k temu že pozval.

Pri tem je treba upoštevati oziroma nasloviti tudi pomisleke glede varnosti osebnih podatkov in iznosa v tretje države (do česar se opredeljujemo v nadaljevanju). Poleg tega bi morale biti šole oziroma učitelji opozorjeni na načelo najmanjšega obsega podatkov, po katerem se ne sme obdelovati več osebnih podatkov, kot je nujno potrebno za izvedbo izobraževalnega procesa (načelo minimizacije osebnih podatkov). Šola oziroma posamezen učitelj mora namreč izpolnjevanje nalog preverjati na način, ki najmanj poseže v pravico do varstva osebnih podatkov in zasebnosti otroka.

Posebej glede varnosti obdelave osebnih podatkov in iznosa v tretje države

Glede varnosti osebni podatkov IP posebej poudarja, da mora upravljavec osebnih podatkov le-te ustrezno varovati v vseh fazah obdelave. Prvi odstavek člena 32 Splošne uredbe določa, da morata upravljavec in obdelovalec ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotoviti ustrezno raven varnosti glede na tveganje.

Zagotavljanje varnosti osebnih podatkov je lahko posebej problematično pri uporabi spletnih orodij, ki jih učitelji uporabljajo po lastni presoji in po možnosti brez vnaprejšnega preudarka o zagotavljanju varnosti osebnih podatkov. Tudi zato menimo, da bi bilo treba uporabo posameznih orodij ustrezno premisliti in - če je le mogoče - do izbire orodij pristopiti poenoteno. IP pa posameznih orodij z vidika ustreznosti in predvsem varnosti obdelave v mnenju ne more in ne sme presojati.

Večina najbolj uveljavljenih orodij za spletno komuniciranje, omogoča t.i. šifriranje od vira do ponora komunikacije (angl. »end-to-end encryption«), ne pa nujno v vseh primerih (to najverjetneje npr. ne bo zagotovljeno, če je klic (deloma) opravljen preko navadne telefonske linije in ne preko podatkovnega prenosa) in ne nujno kot privzeto nastavitev, razlike med aplikacijami pa obstajajo tudi glede drugih vidikov varnosti in zasebnosti. Zato IP priporoča, da se glede teh vidikov pred uporabo upravljavec osebnih podatkov (ali celo vaše ministrstvo pri pripravi ustreznih priporočil) posvetuje s svojimi sodelavci s področja informacijskih tehnologij.


Pregled različnih vidikov varnosti in zasebnosti pri aplikacijah za spletno komuniciranje je med drugim dostopen tu: https://www.securemessagingapps.com/


Pozornost je treba nameniti tudi morebitnemu prenosu osebnih podatkov v tretje države, saj številni ponudniki tovrstnih rešitev prihajajo iz ZDA. Priporočamo, da preverite, ali je ponudnik rešitve na seznamu certificiranih organizacij po dogovoru Privacy Shield med EU in ZDA: https://www.privacyshield.gov/welcome. Več  o iznosu podatkov v tretje države si lahko preberete na naši spletni strani https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-drzave-in-mednarodne-organizacije/iznos-osebnih-podatkov-v-zda/ ter na splošno v infografiki Informacijskega pooblaščenca: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Prenos_osebnih_podatkov_po_Uredbi_v_dveh_korakih.pdf.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

Pripravila:                                                                                                                              

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov