Preverjanje prisotnosti diplomskih nalog
+ -Opozorilo: Mnenje je bilo izdano na podlagi določb Zakona o varstvu osebnih podatkov (ZVOP-1, Uradni list RS, št. 94/07 - uradno prečiščeno besedilo), ki je z dnem 26. 1. 2023 prenehal veljati in ga je nadomestil nov Zakon o varstvu osebnih podatkov (ZVOP-2, Uradni list RS, št. 163/22), zato mnenje ni več nujno aktualno. Mnenja po ZVOP-2 so na voljo tukaj.
Datum: 14.04.2014Številka: 0712-1/2014/1509
Kategorije: Šolstvo Prejeli smo vaš dopis, v kateri nas sprašujete, ali lahko obdelujete osebne podatke študentov za namene preverjanja pristnosti njihovih diplomskih nalog. Na vaši univerzi ste dobili priložnost za testiranje aplikacije tujega proizvajalca (iz ZDA), ki omogoča preverjanje pristnosti zaključnih del študentov (ali gre za plagiat). Za ta namen bi morali vsa zaključna dela, ki so že objavljena na portalu Digitalne knjižnice Univerze v Mariboru (DKUM) prenesti (v pdf obliki) v testno bazo (aplikacijo) tujega proizvajalca, v kateri bi se izvajalo testiranje preverjanja njihove pristnosti. V aplikacijo bi se poleg že obstoječih zaključnih del prenašala tudi vsa novonastala zaključna dela, objavljena v DKUM. Do baze podatkov v navedeni aplikaciji bi imeli dostop administratorji aplikacije ter druge pooblaščene osebe.
Ker lahko avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji:
Univerza v Mariboru ima pravno podlago, da obdeluje osebne podatke študentov za namene preverjanja pristnosti njihovih diplomskih nalog. Pri tem pa mora univerza upoštevati načelo sorazmernosti in za preverjanje pristnosti diplomskih nalog uporabiti sredstva, ki bodo čim manj posegla v zasebnost študentov.
Pooblaščenec pa meni, da testiranje opreme za preverjanje pristnosti zaključnih del ne predstavlja izvrševanja naloge univerze, zaradi česar meni, da obdelava podatkov študentov za te namene ni dopustna. Univerza pa lahko podjetju v ZDA posreduje tiste diplomske naloge, ki so že javno objavljene na njeni spletni strani na podlagi veljavne zakonodaje oz. ustrezne privolitve diplomantov. Pri tem lahko posreduje le tiste osebne podatke iz diplomskih nalog, ki so že javno objavljeni.
Če ima univerza s podjetjem iz ZDA že sklenjeno pogodbo o preverjanju pristnosti diplomskih nalog in je testiranje opreme nujno potrebno za izvedbo pogodbe, bi lahko za te namene obdelovala tudi osebne podatke tistih diplomantov, katerih diplomske naloge še niso prosto dostopne na spletu. Vendar pa bi tudi v takem primeru univerza morala upoštevati načelo sorazmernosti in skušati testiranje opreme izvesti brez posredovanja podatkov podjetju v ZDA. V nasprotnem primeru bi morala univerza s podjetjem iz ZDA skleniti pogodbo o pogodbeni obdelavi in nadzorovati zaščito osebnih podatkov s strani tega podjetja, prav tako pa mora upoštevati pravila o iznosu osebnih podatkov v tretje države.
O b r a z l o ž i t e v:
Pravno podlago za obdelavo osebnih podatkov v javnem sektorju, kamor kot visokošolski zavod sodi tudi vaša univerza, določa ZVOP-1 v 9. členu, po katerem se osebni podatki v javnem sektorju lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Z zakonom se lahko določi, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika. V javnem sektorju pa se lahko obdelujejo osebni podatki posameznikov, ki so z javnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe.
Zakonsko pravno podlago v konkretnem primeru predstavlja Zakon o visokem šolstvu (Ur. l. RS, št. 32/12 uradno prečiščeno besedilo, v nadaljevanju ZViS), ki v X. poglavju določa, katere evidence lahko vodijo visokošolski zavodi in katere osebne podatke lahko te evidence vsebujejo. ZVis v 81. členu določa, katere evidence z osebnimi podatki študentov lahko visokošolski zavodi vodijo in katere osebne podatke te evidence lahko vsebujejo. Glede na določbe 82. člena ZVis se osebni podatki študentov iz evidenc iz 81. člena ZVis zbirajo, obdelujejo, shranjujejo in posredujejo za potrebe visokošolske dejavnosti visokošolskih zavodov, za potrebe državnih organov, organov lokalne skupnosti, nosilcev javnega pooblastila in študentskih organizacij, povezane z uresničevanjem pravic študentov po posebnih predpisih. Glede na navedeno, ima Univerza v Mariboru nedvomno podlago za obdelavo osebnih podatkov za namene izvajanja svojih visokošolskih dejavnosti.
Pooblaščenec meni, da je preverjanje pristnosti diplomske naloge pred izdajo diplome nedvomno sodi med dejavnosti visokošolskega zavoda. Kot določa ZViS v 32.a členu je diploma javna listina, ki jo podeli visokošolski zavod, ko posameznik opravi vse obveznosti po študijskem programu za pridobitev izobrazbe. Preverjanje pristnosti diplomske naloge je zato nedvomno naloga univerze oz. tiste njene članice, ki izda diplomo kot javno listino in potrdilo o tem, da je študent izpolnil svoje obveznosti po študijskem programu. Zaradi tega je dejansko dolžnost institucije, ki javno listino izda, da preveri, ali je študent pri opravljanju svojih nalog iz študijskega programa kršil določbe veljavne zakonodaje s področja avtorskega prava. Pooblaščenec zato meni, da je dopustna obdelava osebnih podatkov študenta s strani visokošolskega zavoda, ki je oz. bo študentu izdal diplomo za namene preverjanja pristnosti diplomske naloge študenta.
Poleg tega je v konkretnem primeru treba upoštevati tudi določbe Pravilnik Univerze v Mariboru o postopku priprave in zagovora diplomskega dela na dodiplomskem študiju (sprejet dne 4. 9. 2008 s spremembami in dopolnitvami). Navedeni pravilnik namreč v 12. členu določa, da študent odda diplomsko delo v sistem DKUM, kjer po vnosu dela v sistem zahteva izdelavo poročila o preverjanju podobnosti z drugimi deli. Študent ob oddaji zahteve vnese svoj in mentorjev ter somentorjev e-naslov, kamor bo poročilo poslano. Študent ustrezno število izvodov diplomskega dela (v obliki, kot ga opredeljujejo pravila članice) ter poročilo o preverjanju podobnosti z drugimi deli odda v pristojni referat na matični fakulteti skupaj s podpisano izjavo mentorja in somentorja o ustreznosti zaključnega dela (Priloga 3). Glede tehnične izvedbe preverjanja podobnosti z drugimi deli lahko fakulteta predpiše tudi druge rešitve. Pristojni referat članice prejeto diplomsko delo evidentira ter preveri izpolnjevanje pogojev za njegov zagovor. Ko je študent opravil vse ostale s študijskim programom predpisane študijske obveznosti razen zagovora diplomskega dela, referat v roku 5 delovnih dni od prejema diplomskega dela o tem obvesti dekana članice. Po imenovanju komisije za zagovor diplomskega dela, referat izvode skupaj s kopijo poročila o preverjanju podobnosti z drugimi deli posreduje ostalim članom komisije. Glede na navedeno, je torej tudi v predpisu Univerze v Mariboru izrecno navedeno, da se ob oddaji diplomskega dela preverja njegova ustreznost z oddajo diplomskega dela v sistem DKUM. Navedeni pravilnik Univerze v Mariboru je javno dostopen in se z njim lahko seznani vsak študent katerekoli članice Univerze v Mariboru. Zato se šteje, da je študent ob oddaji diplomske naloge seznanjen z navedenim predpisom, pri čemer z oddajo diplomske naloge privoli v opisan način preverjanja pristnosti diplome. Glede na vse navedeno, Pooblaščenec meni, da ni potrebna posebna izjava študenta, da se strinja s postopkom preverjanja pristnosti njegove diplomske naloge.
Pooblaščenec pa meni, da testiranje opreme za preverjanje pristnosti diplomskih nalog ne predstavlja izvrševanja naloge univerze, zaradi česar meni, da obdelava podatkov študentov za te namene ni dopustna. Pri tem pa Pooblaščenec dodaja, da so naloge, katerih pristnost želi vaša univerza testirati, že prosto dostopne preko DKUM. Posledično Pooblaščenec meni, da je tudi za namene testiranja opreme dopustna obdelava podatkov iz diplomskih nalog, ki so prosto dostopne na spletu na podlagi veljavne zakonodaje oz. ustrezne privolitve diplomantov. Pri tem je Pooblaščenec upošteval tudi dejstvo, da ZVOP-1 v 13. členu dopušča obdelavo občutljivih osebnih podatkov tudi v primeru, če je posameznik, na katerega se nanašajo občutljivi osebni podatki, te javno objavil brez očitnega ali izrecnega namena, da omeji namen njihove uporabe. Še toliko bolj je torej dopustna obdelava osebnih podatkov, ki niso občutljivi osebni podatki, vendar so na spletu prosto dostopni na podlagi privolitve posameznika, na katerega se nanašajo, pri čemer le-ta ni posebej omejil namena obdelave podatkov. Podatki o imenu, priimku, letnici in kraju rojstva diplomanta ne predstavljajo občutljivih osebnih podatkov, hkrati pa preverjanje, ali je diplomska naloga plagiat ali ne, lahko celo predstavlja enega od namenov objave diplomske naloge s strani visokošolskega zavoda. Pooblaščenec zato meni, da je dopustno posredovati podjetju iz ZDA tiste diplomske naloge, ki so že prosto dostopne na vaši spletni strani, seveda le s tistimi podatki, ki so že javno objavljeni.
Drugače pa Pooblaščenec meni glede diplomskih nalog oz. podatkov iz diplomskih nalog, ki niso prosto dostopni oz. javno objavljeni. Iz zgoraj navedenih zakonskih določb pravna podlaga za obdelavo podatkov diplomantov za testiranje računalniškega programja ni razvidna. Pooblaščenec meni, da bi bilo tovrstno posredovanje osebnih podatkov pogojno dopustno le, če bi šlo za t.i. pogodbeno obdelavo osebnih podatkov – če bi torej podjetje iz ZDA že bilo vaš pogodbeni partner za preverjanje plagiatorstva in bi bilo za izvedbo pogodbe nujno potrebno, da jim podatke posredujete. V takem primeru bi morali v skladu z določbami 11. člena ZVOP-1 skleniti pogodbo o pogodbeni obdelavi osebnih podatkov, ki bi morala vsebovati tudi dogovor o postopkih in ukrepih za zaščito osebnih podatkov iz 24. člena ZVOP-1. Hkrati bi morala univerza kot upravljavec osebnih podatkov nadzorovati podjetje iz ZDA pri izvajanju postopkov in ukrepov za zaščito osebnih podatkov. Če bi prišlo do zlorabe osebnih podatkov zaradi nezadostne zaščite s strani podjetja iz ZDA, bi za to odgovarjala tudi univerza.
Poleg tega Pooblaščenec opozarja še na načelo sorazmernosti iz 3. člena ZVOP-1, po katerem morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo. Posredovanje osebnih podatkov podjetjem v ZDA z namenom preverjanja pristnosti diplomskih nalog ali testiranja računalniškega programja je zagotovo prekomeren poseg v zasebnost diplomantov. Zagotovo je mogoče testiranje opreme opraviti s posredovanjem nalog brez osebnih podatkov v preverjanje oz. s preverjanjem diplomskih nalog znotraj univerze (da pristnost nalog preverjajo zaposleni na univerzi).
Pri tem Pooblaščenec izpostavlja tudi dejstvo, da bi šlo v primeru posredovanja osebnih podatkov diplomantov za iznos osebnih podatkov v tretje države, kot ga določa ZVOP-1 v 63. členu. V takem primeru bi bil iznos podatkov dopusten le, če predmetno podjetje deluje po načelih varnega pristana. Več o tem si lahko preberete na naši spletni strani na povezavi: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/iznos-osebnih-podatkov-v-tretje-drzave/safe-harbor/.
S spoštovanjem,
INFORMACIJSKI POOBLAŠČENEC
Nataša Pirc Musar, univ. dipl. prav.,
Pooblaščenka