Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 31.12.2018
Naslov: Varovanje OP v postopkih usmerjanja otrok s posebnimi potrebami
Številka: 0712-3/2018/2655
Vsebina: Rok hrambe OP
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje. Navajate, da Zavod Republike Slovenije X (v nadaljevanju X) na podlagi Zakona o usmerjanju otrok s posebnimi potrebami vodi postopke usmerjanja otrok s posebnimi potrebami. Odločba se izda na podlagi strokovnega mnenja komisije za usmerjanje otrok s posebnimi potrebami. Komisije delujejo v okviru X in jo sestavljajo člani (zdravniki, psihologi, specialni in rehabilitacijski pedagogi, socialni pedagogi, logopedi, ipd.), ki niso zaposleni pri X.

 

Vaše vprašanje se nanaša na obdobje hrambe osebnih podatkov, ki so del specifične strokovne dokumentacije članov komisije. Pojasnjujete, da člani komisije na varen način prejmejo od uradne osebe po e-pošti dokumente, na podlagi katerih pripravijo strokovno mnenje. V kolikor je dokumentacija pomanjkljiva in član komisije presodi, da bi bil potreben pregled otroka, se tovrsten pregled po odobritvi uradne osebe tudi opravi. Preglede izvajajo zlasti psihologi ter specialni in rehabilitacijski pedagogi, ki pri tem uporabljajo standardizirane teste. V postopku izvedbe testiranja strokovnjak uporabi standardizirani ocenjevalni list, na podlagi katerega pripravi strokovno poročilo za potrebe komisije in sodeluje pri pripravi strokovnega mnenja. Član komisije je strokovno poročilo dolžan oddati X, medtem ko ocenjevalni list ostane v njegovem tako imenovanem psihološkem dosjeju, ki je del varovanega psihološkega arhiva. Član komisije je lahko kasneje za interpretacijo rezultatov (za kakšen drug  namen in ob vašem soglasju) zaprošen s strani drugega strokovnjaka iste stroke (npr. pri delu svetovalne službe na šoli, v vrtcu, itd). Izpostavljate, da roka hrambe pripomočkov in ocenjevalnih listov ne ureja niti Kodeks poklicne etike psihologov, ne Mednarodne smernice uporabe testov niti Kodeks etike specialnih in rehabilitacijskih pedagogov. Menite, da bi bilo smotrno, da v navodilih o obdelavi osebnih podatkov določite smiselni rok hrambe teh dokumentov, v katerih so vsebovani osebni podatki otrok s posebnimi potrebami in hkrati določite postopek uničenja teh dokumentov po preteku roka hrambe. Sprašujete, ali lahko X sam določi časovni rok hrambe tovrstnih dokumentov glede na to, da stroka sama nima jasnega odgovora na to vprašanje.

 

Vzporedno pa se vam postavlja vprašanje, kdo je upravljavec osebnih podatkov, ki so nastali pri izpolnjevanju ocenjevalnih listov: X, obdelovalec (npr. psiholog), ali morda celo oba?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Glede pojma upravljavca

 

IP najprej pojasnjuje pomen osnovnih pojmov. “Upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice (člen 4(7) Splošne uredbe). „Obdelovalec“ pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (člen 4(8) Splošne uredbe). Obdelovalci so torej tiste organizacije oziroma posamezniki, ki po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določeno nalogo oziroma namen zanj obdelujejo osebne podatke. Pri določanju, kdo je upravljavec in kdo obdelovalec osebnih podatkov, je ključno, kakšna je vloga določenega subjekta pri pridobivanju podatkov, izvrševanju pravic do vpogleda, brisanja posameznikov, nabora osebnih podatkov, določanja namenov in sredstev obdelave, dejanskega dostopa do baze osebnih podatkov, ki se obdelujejo. Če ima subjekt dostop do osebnih podatkov, ki se obdelujejo, določa namene in sredstva obdelave ter izvršuje pravice uporabnikov, potem ima ta subjekt odgovornosti upravljavca osebnih podatkov in ne le (pogodbenega) obdelovalca. Kadar o namenih in sredstvih obdelave odloča več entitet, lahko govorimo tudi o več upravljavcih oziroma o skupnem upravljavcu. Pogodbeni obdelovalec pa pravzaprav le izvaja določene naloge v imenu in na račun upravljavca, ki bi jih drugače izvajal sam upravljavec osebnih podatkov, pa se je ta odločil, da za to pooblasti pogodbenega partnerja.

 

Zgolj na podlagi razpoložljivih informacij ter upoštevaje, da IP konkretnih obdelav osebnih podatkov izven postopka inšpekcijskega nadzora ali drugega upravnega postopka ne more dokončno presojati, vam IP ne more podati dokončnega odgovora na vaše vprašanje, kdo je upravljavec osebnih podatkov iz ocenjevalnega lista (X, član komisije ali oba). Glede na vaš opis pa se zdi bolj verjetno, da tako X kot tudi posamezni član komisije nastopata kot samostojna upravljavca upoštevajoč, da posamezni član komisije deluje v okviru X (čeprav tam ni zaposlen), torej najverjetneje ne zgolj kot vaš obdelovalec, temveč na podlagi svojih lastnih pristojnosti oziroma nalog. Pri tem je lahko pomembno tudi vprašanje, kakšno je razmerje med članom komisije in njegovim morebitnim primarnim delodajalcem ter tem delodajalcem in X (ali je torej v komisijo posamezni član napoten kot zaposleni oz. predstavnik javnega zdravstvenega zavoda in predstavlja članstvo v komisiji del posameznikovih  delovnih nalog, gradivo pa morda hkrati tudi gradivo tega subjekta).

 

Za lažje razumevanje pojmov upravljavca in obdelovalca vam priporočamo, da si preberete smernice IP

o (pogodbeni) obdelavi osebnih podatkov: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf ter mnenje, ki so ga izdali evropski nadzorni organi (dostopno le v angleščini): http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_en.pdf. Mnenje bodo nadzorni organi v prihajajočih mesecih prenovili, zato vam priporočamo, da spremljate spletno stran IP, kjer redno objavljamo vse novosti s tega področja. Več o pogodbeni obdelavi po Splošni uredbi pa si lahko preberete tudi na povezavi: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pogodbena-obdelava/.

 

IP pa ob tem še izpostavlja, da tako X kot člane komisije zavezujejo določbe o zavarovanju osebnih podatkov (24. člen ZVOP-1 in člen 32 Splošne uredbe o varstvu podatkov; za občutljive osebne podatke je v 14. členu ZVOP-1 predpisano posebno varstvo) ter načelo omejitve namena, skladno s katerim se osebni podatki ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (člen 5(1)(b) Splošne uredbe).

 

Glede roka hrambe

 

Splošna uredba v zvezi s shranjevanjem osebnih podatkov v členu 5(1)(e) določa, da morajo biti osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo (za kar je treba upoštevati vse področne predpise); za daljše obdobje pa se lahko shranjujejo le, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko-raziskovalne namene ali statistične namene v skladu s členom 89(1) Splošne uredbe, pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki (»omejitev shranjevanja«). IP pojasnjuje, da velja to splošno načelo, če ni s posameznimi specialnimi predpisi o rokih hrambe določeno drugače. Takšen predpis bi lahko bil Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih (v nadaljevanju ZVDAGA), ki ureja hrambo dokumentarnega in arhivskega gradiva. Glede interpretaciji ZVDAGA vam IP svetuje, da se obrnete na Arhiv RS, ki je pristojen za njegovo interpretacijo.

 

Pri določitvi roka hrambe osebnih podatkov je torej potrebno upoštevati tako načela in določbe Splošne uredbe kot določbe področnih zakonov, ki to materijo podrobneje urejajo. Javni organi (kot je X) osebne podatke praviloma obdelujejo in s tem tudi hranijo na zakonski podlagi, ki pogosto določa tudi roke hrambe. V kolikor pa rok hrambe za posamezno področje v specialnem zakonu ni posebej urejen, rok določi upravljavec sam, pri čemer mora prav tako upoštevati načela in določbe Splošne uredbe. Hramba osebnih podatkov je v splošnem upravičena in hkrati tudi obvezna toliko časa, dokler ni dosežen namen, za katerega so bili ti podatki zbrani ali dokler to za posamezne zbirke oziroma dokumentacijo zahtevajo področni predpisi.

 

 

Lep pozdrav,

 

 

                                                                                                     Mojca Prelesnik, univ. dipl. prav.,                                                

                                                                                                           informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Tina Ivanc, univ. dipl. prav.,
svetovalka IP za varstvo osebnih podatkov