Digitalizacija šolske dokumentacije
+ -Številka: 07120-1/2023/108
Kategorije: Šolstvo, Varnost osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede ustreznosti vaše nameravane rešitve (digitalizacija šolske dokumentacije) z vidika varstva osebnih podatkov.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. IP ustreznosti določenih rešitev v okviru neobvezujočega mnenja torej ne more presojati, niti ne more vnaprej priporočati ali celo potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo.
Šola mora poskrbeti za ustrezno uporabo ukrepov in postopkov za zavarovanje osebnih podatkov.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi.
IP pojasnjuje, da mora upravljavec (v konkretnem primeru vaša šola) pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:
(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.
Zakon o Osnovni šoli (Uradni list RS, št. 102/07, 107/10, 87/11, 40/12 – ZUJF, 63/13, 46/16 – ZOFVI-K; v nadaljevanju ZOsn) v 94. členu določa, da osnovna šola zbira, obdeluje, shranjuje, posreduje in uporablja podatke, vsebovane v zbirkah podatkov, ki jih vodi v skladu s predpisi o varstvu osebnih podatkov, če s tem zakonom ni drugače določeno. Nadalje 99. člen ZOsn določa, da podrobnejša navodila o načinu zbiranja podatkov, o delavcih šole, ki so pooblaščeni za uporabo podatkov, vsebovanih v posameznih zbirkah, o načinu evidentiranja uporabe in posredovanja osebnih podatkov, o načinu njihovega uničenja po poteku roka uporabe in druge postopke in ukrepe zavarovanja podatkov predpiše minister. Sprejet je bil Pravilnik o zbiranju in varstvu osebnih podatkov na področju osnovnošolskega izobraževanja (Uradni list RS, št. 80/04, 76/08; v nadaljevanju: pravilnik), ki v četrtem odstavku 20. člena določa, da se dokumentacija v elektronski obliki hrani s pomočjo informacijsko telekomunikacijske opreme, ki zagotavlja, da so podatki dosegljivi in primerni za kasnejšo uporabo, in shranjeni v obliki, v kateri so bili oblikovani, poslani ali prejeti, ali v kakšni drugi obliki, ki verodostojno predstavlja oblikovane, poslane ali prejete podatke. Ukrepi in postopki za zavarovanje osebnih podatkov so določeni v IX. poglavju pravilnika (29.-32. člen), z njihovo uporabo pa se v šolah zagotavljata varnost in zaupnost podatkov, ki jih vsebujejo zbirke podatkov oziroma dokumentacija z OP. Šola te postopke navadno predpiše oziroma opredeli s svojim internim aktom.
Šola je tako dolžna zagotoviti, da se varujejo prostori, oprema in sistemsko programska oprema; varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki; preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih omrežjih; omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki uporabljeni ali vnešeni v zbirke osebnih podatkov oziroma v predpisano dokumentacijo in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov. V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega omrežja, mora strojna, sistemska in aplikativno-programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.
IP pojasnjuje, da je bilo nanj v preteklosti naslovljeno že veliko vprašanj glede uporabe aplikacije eAsistent. Nekatera pojasnila glede obdelave osebnih podatkov v okviru te rešitve boste našli v mnenjih, objavljenih na spletnih straneh IP. Najlažje do teh informacij pridete tako, da v Iskalniku po odločbah in mnenjih (https://www.ip-rs.si/mnenja-gdpr/) izberete vsebinsko področje Šolstvo. V zvezi s konkretno rešitvijo, ki jo navajate v vašem zaprosilu za mnenje, je treba posebno pozornost nameniti tudi izpolnjevanju zahtev 28. in 29. člena Splošne uredbe, ki urejata pogodbeno obdelavo osebnih podatkov.
IP splošno pojasnjuje, da je treba v primeru uporabe navedene ali druge rešitve poskrbeti za ustrezno zavarovanje zbirk osebnih podatkov, ki bi nastale na podlagi uporabe rešitve. Gre za organizacijske in tehnične ukrepe, ki jih določa Splošna uredba v 24., 25. in 32. členu. Dodatne informacije v zvezi z zavarovanjem osebnih podatkov so na voljo v smernicah IP, ki so dostopne na spletni strani IP:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf
Usmeritve in napotila omenjenih smernic so zelo koristne tako pri razvoju in nastavitvah kot tudi pri uporabi posameznih rešitev, ki so povezane z obdelavo osebnih podatkov. Prav tako je treba zagotoviti izpolnjevanje zgoraj navedenih zahtev ZOsn oziroma pravilnika.
IP sklepno ponavlja, da v okviru mnenja ne more presojati ustreznosti posameznih rešitev oziroma ravnanja posameznih zavezancev, ampak to lahko presoja le v okviru konkretnega inšpekcijskega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. IP ustreznosti določenih rešitev v okviru mnenja torej ne more presojati, niti ne more vnaprej priporočati ali celo potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo. Presoja glede ustreznosti posameznih primerov obdelave osebnih podatkov oziroma posameznih rešitev je vedno na posameznem upravljavcu.
Lepo vas pozdravljamo.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca
za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka