Sodišče pritrdilo Informacijskemu pooblaščencu: Šole morajo upoštevati načelo vgrajenega in privzetega varstva osebnih podatkov
+ -IP je izrekel prekršek šoli in njeni odgovorni osebi (ravnateljici) zaradi kršitve načela vgrajenega in privzetega varstva podatkov. Šola je namreč zunanjemu izvajalcu šolske prehrane omogočila dostop do celotne evidence dijakov v informacijskem sistemu, čeprav bi za evidentiranje obrokov zadoščal le podatek o imenu in priimku dijaka. Okrajno sodišče v Mariboru je IP pritrdilo in zavrnilo zahtevo za sodno varstvo zoper odločitev o prekršku. Sodišče je poudarilo, da bi s pravilno uporabo načela vgrajenega in privzetega varstva osebnih podatkov šola lahko preprečila naknadne zlorabe, vključno z nedovoljenim spreminjanjem podatkov s strani zunanjega izvajalca in celo možnim goljufijam.
IP je v postopku inšpekcijskega nadzora ugotovil, da je šola zunanjemu izvajalcu šolske prehrane (in obdelovalcu po pogodbi o obdelavi podatkov) omogočila dostop do celotne evidence dijakov v svojem informacijskem sistemu, vključno s podatki o višini subvencije, številu prevzetih obrokov, stanju dobroimetja in drugih osebnih podatkih - čeprav so bili za izvajanje naloge (evidentiranje prevzema obrokov) potrebni zgolj podatki o imenu in priimku dijaka. Takšno ravnanje tako po presoji IP kot po presoji sodišča predstavlja jasno kršitev načela vgrajenega in privzetega varstva podatkov.
Primer opozarja na specifičnost šolskega okolja, kjer obdelava osebnih podatkov otrok in dijakov zahteva posebno skrbnost. Informacijski sistemi se v šolah namreč pogosto uporabljajo za številne in raznovrstne namene (od vodenja šolske dokumentacije do organizacije prehrane). Ravno zaradi kompleksnosti teh rešitev je nujno, da šole že ob vzpostavitvi sodelovanja z zunanjimi izvajalci jasno določijo obseg podatkov, do katerih izvajalcem omogočijo dostop, in z izvajanjem ustreznih ukrepov zagotovijo strogo upoštevanje načela najmanjšega obsega podatkov ne glede na to, ali informacijski sistemi, ki jih uporabljajo, to privzeto (predhodno, vnaprej) omogočajo, ali pa jih je treba vgraditi (vključiti) v privzeto obdelavo oziroma zagotoviti, da so izklopljene funkcionalnosti, ki nimajo pravne podlage ali niso združljive z nameni obdelave.
IP je izdal posebne Smernice za skladno uporabo informacijskih rešitev v šolstvu. Te smernice predstavljajo praktično podporo šolam pri pravilni implementaciji tehničnih in organizacijskih ukrepov v skladu s pravili varstva osebnih podatkov. Na voljo so na spletni strani IP: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-za-skladno-uporabo-informacijskih-rešitev-v-šolstvu
Pravila varstva osebnih podatkov upravljavcem nalagajo, da osebne podatke obdelujejo zakonito, pošteno in pregledno. Eden ključnih temeljev varstva osebnih podatkov sta načeli vgrajenega in privzetega varstva podatkov, določeni v 25. členu Splošne uredbe o varstvu podatkov. Obe načeli poudarjata, da morajo upravljavci že ob zasnovi in izbiri sredstev za obdelavo podatkov predvideti in zagotoviti ustrezne tehnične in organizacijske ukrepe, ki posameznikom zagotavljajo visoko raven varstva osebnih podatkov.
Ključno pri vsaki obdelavi je spoštovanje načela najmanjšega obsega podatkov, ki določa, da se lahko obdelujejo zgolj tisti podatki, ki so nujno potrebni za določen in zakonit namen. Upravljavci osebnih podatkov morajo zato že v fazi načrtovanja kot zlasti v fazi uporabe storitve, aplikacije ali informacijskega sistema prepoznati in ustrezno nasloviti vsa tveganja za pravice posameznikov, saj le tako lahko zagotovijo skladnost z zahtevami varstva osebnih podatkov in preprečijo morebitne kršitve.