Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 20.11.2019
Naslov: Obdelava OP v svetu staršev
Številka: 0712-1/2019/2661
Vsebina: Pravne podlage, Privolitev, Vrtec
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje glede obdelave podatkov v svetu staršev.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Uvodoma pojasnjujemo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov oziroma ustreznosti konkretnega ravnanja upravljavca ne more presojati. Zato vam v nadaljevanju podajamo splošna pojasnila ter pravna izhodišča in pogoje za zakonito obdelavo osebnih podatkov.

 

Za vsako obdelavo osebnih podatkov je treba imeti zakonito in ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe in so za javni sektor, kamor spadajo javni zavodi, naslednje:

- zakon (točka (c)),

- privolitev, kadar ne gre za izvajanje javnih nalog (točka (a)),

- sklenitev ali izvajanje pogodbe (točka (b)),

- izvajanje javne naloge (točka (e)).

 

IP je za enostavnejši in razumljivejši prikaz dopustnih pravnih podlag obdelave osebnih podatkov v javnem sektorju izdelal infografiko, ki je dostopna na naslednji povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/pravne_podlage_javni_sektor.pdf.

 

  • Zanima vas, kakšen je pravilen način pridobivanja elektronskih naslovov staršev otrok, vključenih v vrtec, za namen medsebojnega obveščanja pri delu sveta staršev. Sprašujete, ali mora član sveta staršev pridobiti elektronske naslove staršev neposredno od staršev ali jih lahko pridobi od vodstva vzgojno izobraževalnega zavoda. Prav tako sprašujete, ali bi moral vrtec v takšnem primeru soglasje staršev pridobiti tudi za namen medsebojne komunikacije za potrebe sveta staršev.

 

Svet staršev je organ vrtca oziroma šole, njegove naloge in pristojnosti pa ureja Zakon o organizaciji in financiranju vzgoje in izobraževanja (Uradni list RS, št. 16/07 – uradno prečiščeno besedilo, s spremembami in dopolnitvami, v nadaljevanju ZOFVI). Naloge sveta staršev so javne naloge, ki se izvajajo v okviru javnega zavoda, ki sodi v javni sektor.

 

Ko se o delu sveta staršev obvešča ostale starše, ki niso člani sveta, pa je treba upoštevati, da te starši ne izvajajo javne naloge, torej funkcije v svetu staršev. Zato je v takem primeru ustrezna pravna podlaga za obdelavo njihovih osebnih podatkov privolitev po členu 6(1)(a) Splošne uredbe. Veljavna privolitev mora zadostiti štirim zahtevam, in sicer mora biti prostovoljna, specifična, informirana in nedvoumna.

 

Glede na to, da je svet staršev organ vrtca, bi lahko elektronske naslove za namen medsebojne komunikacije med vsemi starši pridobival neposredno od vrtca. Vrtec je namreč upravljavec osebnih podatkov (tudi elektronskih naslovov) staršev, zato bi šlo v bistvu za posredovanje osebnih podatkov znotraj istega upravljavca. Kot že pojasnjeno, pa bi vrtec za to potreboval privolitev staršev, podano prav za tak konkretno opredeljen namen.

 

Pogoje za veljavno privolitev po Splošni uredbi je IP opisal tudi na svoji spletni strani: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/.

 

  • Zanima vas tudi, ali lahko član sveta staršev od vrtca pridobi elektronske naslove drugih članov sveta staršev. Sprašujete še, ali lahko vrtec uporabi elektronski naslov, ki ga je starš navedel ob vpisu otroka, četudi gre za čisto drug namen, in sploh ne bi terjal soglasja od staršev, ki so člani sveta staršev.

 

Komunikacija med člani sveta staršev je po mnenju IP neločljiv in nujni del izvajanja funkcije članstva v svetu staršev, pri čemer pa je komunikacija po elektronski pošti le ena od možnosti. Zato bi bilo po mnenju IP smiselno, da se staršu tudi kot članu sveta omogoči, da sam izbere način komunikacije (razen na primer če bi vrtec staršem, ki so člani sveta, posebej za ta namen vzpostavil elektronske naslove). 

 

Pri komunikaciji med člani sveta staršev gre torej za oblastno delovanje javnega sektorja, kjer privolitev kot podlaga za obdelavo osebnih podatkov ne pride v poštev. Če gre torej za obveščanje članov sveta v zvezi z izvajanjem funkcije članstva v svetu, gre za obdelavo, ki je nujna za izvrševanje zakonitih pristojnosti javnega sektorja skladno s členom 6(1)(e) Splošne uredbe, kar je samostojna pravna podlaga za obdelavo osebnih podatkov. V takšnem primeru bi član sveta staršev elektronske naslove drugih članov lahko pridobil od vrtca pod pogojem, da je starš izbral tak način komunikacije oziroma da je tak način komunikacije predpisan z internimi pravili. Ob tem pa opozarjamo, da je pri vsaki posamezni uporabi elektronskega naslova treba upoštevati pogoj nujnosti za izvajanje zakonite pristojnosti javnega sektorja. Obdelava na tej podlagi tako ne bi bila dopustna, če bi zbrane elektronske naslove članov sveta staršev uporabili za drug namen.

 

Ker gre v primeru uporabe elektronskih naslovov članov sveta staršev v zvezi z izvajanjem funkcije članstva za obdelavo, ki je nujna za izvrševanje zakonitih pristojnosti javnega sektorja (pod pogojem, da je to izbran oziroma predpisan način komunikacije), vrtec v takšnem primeru njihove privolitve ne potrebuje. Z vidika pravic posameznika pa morajo biti v skladu s 13. oziroma 14. členom Splošne uredbe starši ob zbiranju seznanjeni z vsemi informacijami o obdelavi.

 

  • Navajate, da je vrtec novoimenovane člane sveta staršev zaprosil za soglasje, da so izbrali način, po kateri poti naj bodo obveščeni o sklicih sveta staršev (na naslov bivališča ali po elektronski pošti), pri čemer so bili starši obveščeni, da se pridobljeni osebni podatki lahko shranjujejo ter uporabljajo izključno za namen pošiljanja vabil in obvestil ter gradiv za potrebe dela sveta staršev ter obveščanje o srečanjih, izobraževanjih in sestankih. Hkrati je bilo potrebno podpisati tudi izjavo, s katero se člani sveta staršev zavezujejo, da se bo pri izvajanju funkcije člana sveta staršev in v primerih seznanitve z osebnimi podatki tretjih oseb (otrok, postopek izbire ravnatelja, itd.), do katerih se bo dostopalo pri opravljanju funkcije člana sveta staršev, ravnalo v skladu s predpisi s področja varstva osebnih podatkov. Sprašujete, ali sta tovrstno soglasje in izjava obligatorna. Zanima vas tudi, ali lahko član sveta staršev odkloni podpis izjave in vseeno opravlja funkcijo člana sveta staršev.

 

IP ni pristojen presojati, kakšne načine komunikacije svet staršev določi s svojimi internimi pravili delovanja in kako člani izberejo določen način. Prav tako ne more odgovoriti, kakšne so posledice odklonitve podpisa izjave o varovanju podatkov, saj je tudi to predmet internih pravil sveta staršev. Pojasnjujemo pa, da izjava o varovanju osebnih podatkov z vidika pravil, ki urejajo varstvo osebnih podatkov, ni obvezna. Dolžnost ravnanja skladno s predpisi s področja osebnih podatkov v primeru seznanitve z osebnimi podatki tretjih oseb namreč izhaja že iz zavezujočih predpisov (Splošne uredba, še veljavne določbe ZVOP-1, področni zakoni in podzakonski predpisi). Četrti odstavek še veljavnega 24. člena ZVOP-1 izrecno predpisuje, da so funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave.

 

Izjava o varovanju osebnih podatkov pa je po mnenju IP nedvomno koristna ter zmanjšuje tveganje za kršitve in zlorabo osebnih podatkov. Splošna uredba v 32. členu namreč zahteva, da se ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje…. V nadaljevanju istega člena Splošna uredba še določa, da se pri določanju ustrezne ravni varnosti upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

 

Iz navedenega torej izhaja, da je treba pri določanju ustreznih varnostnih ukrepov upoštevati tveganja za pravice in svoboščine posameznikov. Upoštevajoč oceno stopnje tveganja za posamezno obdelavo osebnih podatkov je treba prilagoditi tudi ustrezne varnostne ukrepe za zmanjševanje teh tveganj, med te pa sodi tudi izjava o varovanju osebnih podatkov.

 

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.,                                               

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov