Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Uporaba določene rešitve za izvedbo izpitov na daljavo

+ -
Datum: 29.01.2021
Številka: 07120-1/2020/683
Kategorije:Mediji, Ocene učinkov v zvezi z varstvom podatkov , Šolstvo

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje, v katerem pojasnjujete, da se na vas obračajo številni ravnatelji in postavljajo vprašanja glede uporabe platforme exam.net pri ocenjevanju dijakov na daljavo. Kot ste pojasnili jo nekatere srednje šole uporabljajo, drugi ravnatelji pa izpostavljajo vprašanje varstva zasebnih podatkov pri uporabi te aplikacije.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Informacijski pooblaščenec (v nadaljevanju IP) glede na pojasnila s spletne strani ponudnika rešitve ugotavlja, da naj bi platforma po njihovih navedbah izpolnjevala zahteve, ki jih je postavila Nacionalna agencija za šolstvo na Švedskem glede upravljanja, anonimizacije in dopustnih orodij, iz česar je moč sklepati, da je bila rešitev v omenjeni državi deležna predhodnega pregleda kakor tudi da so verjetno uporabili sistemski pristop, kjer centralna pristojna agencija izda določene zahteve oziroma priporočila glede uporabe informacijskih rešitev v izobraževanju. S tem, kakšne konkretno so bile zahteve in postopek ter ali so zahteve delno ali v celoti vključevale tudi skladnost s predpisi glede varovanja osebnih podatkov nismo seznanjeni, verjetno pa te informacije lahko pridobite s strani vaših švedskih kolegov. Menimo, da je takšen sistemski pristop na nacionalni ravni ustrezen in priporočljiv, saj zagotavlja večjo predvidljivost, večjo enovitost pri uporabi tehnoloških rešitev ter posledično manj tveganj za neskladnost z zahtevami zakonodaje, ki jih lahko prinese parcialna in razpršena raba rešitev, katerih izbira je prepuščena posameznim izobraževanim ustanovam, ki morda nimajo zadostnih kadrov za kakovostne vnaprejšnje presoje in odločitve.

Glede na to, da uporaba informacijskih rešitev za izvedbo izpitov oziroma testov na daljavo po naravi stvari implicira obsežno obdelavo osebnih podatkov z uporabo (relativno) novih tehnoloških rešitev, je zelo verjetno, da je obvezna izvedba predhodne ocene učinka glede varstva osebnih podatkov, s katero se pred uporabo rešitve naslovi vsa tveganja glede varstva osebnih podatkov in se jih pravočasno obravnava. Glede na večje število potencialnih upravljavcev podatkov (izobraževalnih ustanov), ni smiselno za isto rešitev delati več (ločenih) ocen učinka, temveč je priporočljivo, da oceno učinka izvede primeren organ - resorno ministrstvo ali drugi ustrezen organ – seveda glede na svoje pristojnosti in naloge ter v sodelovanju z bodočimi uporabniki (upravljavci).

Najbolj učinkovit pristop bi bil po naši oceni, da oceno učinka izdela ustrezna strokovna skupina, sestavljena iz predstavnikov resornega ministrstva, izobraževalnih ustanov ter ostalih primernih organov po vaši presoji. Tudi sicer menimo, da bi na področju izobraževanja za druge informacijske rešitve in sisteme, v katerih se obdelujejo osebni podatki, s takšnim pristopom zmanjšali pritisk na posamezne ustanove in negotovost na njihovi strani, zagotovili višjo kakovost ocenjevanja in izbire posameznih rešitev ter tako zagotovili višjo raven skladnosti z zakonodajo oziroma morda celo preprečili večje število kršitev. IP namreč kot nadzorni organ ne more namesto upravljavcev izvajati ocen učinka ali se do konkretnih informacijskih rešitev opredeljevati v okviru nezavezujočih mnenj, temveč lahko zakonitost obdelave osebnih podatkov presoja le v okviru inšpekcijskega postopka. Vsekakor pa je vsem v interesu, da se skladnost zagotovi že pred pričetkom uporabe določene rešitve in ne z ukrepi, izrečenimi v inšpekcijskih oziroma prekrškovnih postopkih, zato so pravočasne ocene učinka primerno oziroma v določnih primerih celo obvezno orodje za to.  

Vse informacije o tem, kaj so ocene učinka, kdaj je njihova izvedba obvezna in kako se jih izvede, vključno s smernicami na to temo, so dostopne na povezavi:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/ocena-ucinka-v-zvezi-z-varstvom-podatkov/

Splošna uredba določa tudi vlogo nadzornega organa za varstvo podatkov glede ocen učinka. Skladno s priporočili Evropskega odbora za varstvo podatkov (ang. EDPB), kot so navedena v smernicah o ocenah učinka[1] velja, da če je upravljavec podatkov štel, da so tveganja zadosti zmanjšana, se lahko glede na razlago člena 36(1) Splošne uredbe ter uvodnih izjav (84) in (94) obdelava nadaljuje brez posvetovanja z nadzornim organom. Upravljavec podatkov se mora z nadzornim organom posvetovati v primerih, ko opredeljenih tveganj ne more ustrezno obravnavati (tj. preostala tveganja ostajajo velika). 

Kot je pojasnjeno v smernicah EDPB med nesprejemljivo veliko preostalo tveganje spadajo primeri, ko lahko posameznika, na katerega se nanašajo osebni podatki, doletijo pomembne ali celo nepopravljive posledice, ki jih ta ne more odpraviti (na primer nezakonit dostop do podatkov, zaradi katerega je ogroženo življenje posameznikov, na katere se nanašajo osebni podatki, ali zaradi katerega je lahko posameznik odpuščen ali v finančnih težavah), in/ali kadar se zdi očitno, da se bo navedeno tveganje uresničilo (na primer ker ne bo mogoče zmanjšati števila oseb, ki imajo dostop do podatkov, zaradi načinov njihove izmenjave, uporabe ali razširjanja, ali kadar znana ranljivost ni odpravljena).

Upravljavec podatkov se mora posvetovati z nadzornim organom vedno, kadar ne najde zadostnih ukrepov za zmanjšanje tveganj na sprejemljivo raven (tj. so preostala tveganja še vedno visoka). Poleg tega se mora upravljavec posvetovati z nadzornim organom vedno, kadar je to potrebno v skladu s pravom države članice in/ali kadar mora v skladu z njim pridobiti predhodno dovoljenje nadzornega organa.

***

V nadaljevanju podajamo dodatne informacije in opozorila, ki jih je treba upoštevati pri izdelavi ocene učinka.

Pomemben sestavni del ocene učinka je presoja ustrezne pravne podlage ter upoštevanje ostalih temeljnih načel varstva osebnih podatkov, kot je npr. minimizacija in točnost in varnost, kjer se vnaprej oceni možna tveganja in opredeli primerne ukrepe za njihovo obvladovanje. 

Kolikor bi se odločili za storitev zunanjega izvajalca, je treba upoštevati zahteve glede pogodbene obdelave osebnih podatkov, saj je treba upoštevati, da bo prišlo do obdelave osebnih podatkov pri zunanjemu izvajalcu. Pojem obdelava osebnih podatkov namreč vključuje vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (2. točka člena 4 Splošne uredbe). Vse informacije o pogodbeni obdelavi osebnih podatkov, vključno s smernicami na to temo in vzorčno pogodbo o pogodbeni obdelavi, so dostopne na povezavi:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pogodbena-obdelava/

Če bi se odločili za storitev ponudnika iz tretje države gre lahko za prenos podatkov v tretje države in v tem primeru je treba upoštevati določbe Splošne uredbe glede prenosa osebnih podatkov v tretje države. Posebej opozarjamo, da je treba preveriti tudi, ali morda slovenski ponudnik uporablja storitve podizvajalcev iz tretjih držav (npr. gostovanje podatkov na strežnikih ponudnikov, ki se nahajajo v tretjih državah). Več informacij o prenosih v tretje države, vključno s smernicami in infografiko, je na voljo na:

https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-drzave-in-mednarodne-organizacije/

Pri obdelavi osebnih podatkov je treba izvajati tudi ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti podatkov skladno z zahtevami člena 32 Splošne uredbe ter 24. in 25. člena ZVOP-1. Posebno pozornost je treba nameniti tudi varnemu prenosu posebnih vrst osebnih podatkov oziroma občutljivih osebnih podatkov, ki vključujejo ustrezno šifriranje pri prenosu prek telekomunikacijskih omrežij (14. člen ZVOP-1). V pomoč so vam lahko informacije na naši spletni strani, vključno s smernicami na to temo:

https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov/

S spoštovanjem,

Mojca Prelesnik, univ.dipl.prav.,                                                                                                   

informacijska pooblaščenka

Pripravil:                                                                                                                              

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke