Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 12.02.2019
Naslov: Zasebna mednarodna šola, obdelava OP
Številka: 0712-3/2018/2821
Vsebina: Šolstvo
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše elektronsko sporočilo, v katerem navajate, da zasebna mednarodna šola, ki v Republiki Sloveniji izvaja vzgojno-izobraževalni program, akreditiran v tujini, po vaši oceni praviloma ne spada v kategorijo subjektov, ki bi glede na določbe Splošne uredbe o varstvu podatkov morali imenovati odgovorno osebo za varstvo osebnih podatkov, pripraviti oceno učinka v zvezi z varstvom podatkov ali zagotoviti sledljivost obdelav. Sprašujete pa o ustreznosti roka hrambe osebnih podatkov, ki jih šola obdeluje, glede na to, da po vaši oceni zanjo ne veljajo določbe, ki to področje urejajo za javne šole.

 

Šola hkrati pri svojem delovanju do določene mere obdeluje tudi nekatere vrste posebnih vrst osebnih podatkov zaposlenih (npr. podatek o nekaznovanosti, določene podatke o zdravstvenih omejitvah v zvezi z delom ipd.) ter otrok (npr. podatek o cepljenju otroka za določene bolezni za preprečevanje nalezljivih bolezni / varstvo ostalih  otrok, podatke o morebitnem zdravstvenem stanju otrok, ki bi zahtevalo posebno obravnavo oz. prilagoditve za potrebe prilagoditve prostorov, zagotovitev spremstva, jemanje zdravil, zagotovitev ustrezne prehrane itd.). V zvezi s tem sprašujete: o ustrezni pravni podlagi šole za zbiranje teh podatkov; o tem, ali bi morala šola glede na to imenovati pooblaščeno osebo za varstvo podatkov, v tem delu izvesti oceno učinka v zvezi z varstvom podatkov ter zagotoviti evidenco dejavnosti obdelave v skladu s 30. členom uredbe?

 

Nadalje prosite za dodatna pojasnila v zvezi z obveznostmi šole glede prenosa osebnih podatkov v tretje države glede na to, da so zaposleni pretežno državljani tretjih držav in se v svojo primarno državo vračajo ter pogosto opravljajo tudi službene poti v države izven EU, pri čemer tudi v času potovanja dostopajo do baz osebnih podatkov, kadar je to potrebno za opravljanje njihovega dela.

 

Uvodoma poudarjamo, da IP v okviru mnenja ne more dokončno presojati zakonitosti obdelav osebnih podatkov, to lahko stori le v okviru inšpekcijskega ali drugega upravnega postopka. Prav tako IP ne more namesto upravljavca sprejemati odločitev o procesih obdelav in načinu organizacije dela.

 

Na podlagi informacij, ki ste nam jih posredovali, vam zato v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji in nekatera splošna pojasnila. Dokončno odločitev pa bo moral sprejeti upravljavec, saj je to njegova naloga in odgovornost.

 

Splošna uredba o varstvu podatkov v 6. členu določa, da je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

V dopisu navajate, da šola, poleg členov 6 (b), (c), (d) in (f) Splošne uredbe o varstvu podatkov za zbiranje podatkov pridobi tudi izrecno soglasje posameznikov. V zvezi s tem nas sprašujete, ali navedeno predstavlja ustrezno pravno podlago za obdelavo osebnih podatkov. IP pojasnjuje, da 6. člen Splošne uredbe o varstvu podatkov določa, da je obdelava osebnih podatkov zakonita le kolikor je izpolnjen vsaj eden od pogojev, naštetih v tem členu. Izpolnjenost pogojev v vsakokratnem primeru IP preverja v okviru pritožbe oziroma inšpekcijskega postopka, zato vam konkretnega odgovora glede dopustnosti in predvsem ustreznosti pravne podlage, v okviru mnenja, žal ne more podati. Izpostavljamo pa, da upravljavec ne more določenih osebnih podatkov za isti namen obdelovati hkrati na več pravnih podlagah. Šola mora torej glede na posamezne namene za posamezne vrste osebnih podatkov opredeliti, katere podatke in za katere namene obdeluje na podlagi posamezne pravne podlage.

 

V zvezi z imenovanjem pooblaščene osebe za varstvo osebnih podatkov IP pojasnjuje, da obveznost imenovanja pooblaščene osebe ni npr. vezana na število zaposlenih v podjetju, temveč Splošna uredba o varstvu podatkov določa kriterije, po katerih morate sami oceniti, ali ste takšno podjetje ali institucija, ki mora imeti pooblaščeno osebo. Več o pooblaščeni osebi za varstvo osebnih podatkov si lahko preberete na spletni strani IP, in sicer na tej povezavi: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pooblascena-oseba-za-varstvo-podatkov/, kjer se boste lahko seznanili tudi z vsebino Smernic o pooblaščenih osebah za varstvo podatkov in Priporočili IP glede delovanja pooblaščene osebe za varstvo osebnih podatkov.

 

Glede izvedbe ocene učinka v zvezi z varstvom podatkov IP pojasnjuje, da ta ni obvezna splošno za vse upravljavce in za vse obdelave osebnih podatkov, temveč takrat, ko obstaja verjetnost, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. Več o oceni učinka v zvezi z varstvom podatkov si lahko preberete na tej povezavi: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/ocena-ucinka-v-zvezi-z-varstvom-podatkov/, kjer boste našli tudi »Konkreten seznam obdelav, kdaj je ocena učinkov obvezna«, ki ga sprejme posamezen nadzorni organ in ga posreduje Evropskemu odboru za varstvo podatkov.

 

V zvezi z obveznostjo voditi »Evidenco dejavnosti obdelave« IP opozarja na peti odstavek 30. člena Splošne uredbe o varstvu podatkov. Ta določa, da se obveznosti iz odstavkov 1 in 2 ne uporabljajo za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10. Več o tem ključnem področju Splošne uredbe o varstvu podatkov si lahko preberete tukaj: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/evidenca-dejavnosti-obdelave/.

 

V vašem dopisu ste izpostavili tudi vprašanje glede prenosa podatkov izven območja EU. Splošna uredba o varstvu podatkov prenos osebnih podatkov v tretje države ureja v poglavju V, načini zagotavljanja prenosov v tretjo državo ali mednarodno organizacijo v primerih, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe ter pogoji, pod katerimi je takšen prenos dopusten, pa so določeni v 46. členu omenjenega poglavja. Ni povsem jasno ali gre v opisanih primerih, dejansko za prenos osebnih podatkov v tretje države. Kot navajate, gre za primere, ko zaposleni potujejo ali opravljajo službene poti v države izven EU in v tem času (torej izven EU) opravljajo svoje delo in dostopajo do baz osebnih podatkov, kadar je to potrebno za opravljanje njihovega dela. Navedeno ne pomeni, da gre avtomatično za prenos osebnih podatkov v tretje države. To je odvisno od samih postopkov obdelav. Če ostane v opisanem primeru upravljavec osebnih podatkov isti subjekt in se osebni podatki dejansko ne prenašajo npr. na strežnike izven EU, verjetno ne gre za prenos podatkov izven območja EU. IP pa tega v mnenju ne more ugotavljati. Več o prenosu osebnih podatkov izven EU in Evropskega gospodarskega prostora na: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/iznos-osebnih-podatkov-v-tretje-drzave/ .

 

Glede rokov hrambe pa IP pojasnjuje, da v kolikor ni s posameznimi specialnimi predpisi urejeno področje rokov hrambe (npr. Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih), je potrebno glede določitve roka hrambe osebnih podatkov upoštevati načela Splošne uredbe o varstvi podatkov. Ta so urejena v 5. členu in med drugim določajo, da so osebni podatki shranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko raziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki („omejitev shranjevanja“). Osebne podatke je treba hraniti torej v skladu z veljavnimi predpisi, ki veljajo v konkretnem primeru in glede na roke povezane s konkretnimi nameni zbiranja in obdelave osebnih podatkov (npr. roke zastaranja posameznih postopkov, roke uveljavljanja pravic ipd.). Teh rokov pa IP konkretno v mnenju ne more določati.

 

V upanju, da smo odgovorili na vaše vprašanje vas lepo pozdravljamo.

 

 

 

 

Mojca Prelesnik, univ.dipl.prav.,

Informacijska pooblaščenka