Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 23.06.2020
Naslov: Pisno ocenjevanje s snemanjem
Številka: 07120-1/2020/404
Vsebina: Pravne podlage, Snemanje sej in javnih dogodkov, Šolstvo
Pravni akt: Mnenje

Zahvaljujemo se vam za vaša vprašanja glede dopustnosti pisnega ocenjevanja celotnega razreda s snemanjem z video konferenčnim sistemom brez privolitve dijakov. Konkretno sprašujete, ali je možno, da učitelj brez privolitve dijakov, predhodno dijake samo obvesti, da se bo pisanje testa, ki ga piše celoten razred preko video konferenčnega sistema, snemalo, da se vidi vse posameznike, ki morajo nujno imeti priklopljene kamere na svojih računalnikih, z namenom, da bo učitelj lahko preko kamere preveril, ali so dijaki pisali test korektno (brez goljufanja).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more in ne sme presojati, zato tudi ne smemo presojati konkretnega načina izvajanja in organizacije izobraževanja dela na daljavo z vidika ustreznosti in varnosti obdelave osebnih podatkov. To pomeni, da vam v mnenju ne moremo podati odgovora na to, ali je predlagani način ustrezen z vidika varstva podatkov. V nadaljevanju vam posredujemo splošno mnenje glede podlag za obdelavo osebnih podatkov ter varnosti podatkov. Ob tem poudarjamo, da je snemanje učencev vsekakor resen poseg v zasebnost, zato predlagamo, da najprej preverite, če izvajanja pisnih preizkusov znanja ni mogoče organizirati na način, ki bi manj posegal v zasebnost posameznikov. Za konkretnejša navodila pa se obrnite na pristojno ministrstvo za izobraževanje, znanost in šport.

 

Za vsako obdelavo osebnih podatkov je treba imeti ustrezno in zakonito pravno podlago. Te so določene v členu 6(1) Splošne uredbe in so za javni sektor, kamor sodijo izobraževalne institucije, kot so osnovne in srednje šole, naslednje:

  • privolitev, kadar ne gre za izvajanje javnih nalog (točka (a)),
  • sklenitev ali izvajanje pogodbe (točka (b)),
  • zakon (točka (c)),
  • izvajanje javne naloge (točka (e) v zvezi s četrtim odstavkom 9. člena ZVOP-1).

 

V situaciji, ko vladajo izredne razmere zaradi epidemije korona virusa (COVID-19), je uporaba novih tehnologij, tehnik in metod, ki so povezane tudi z delom učiteljev na domu, neizogibna, biti pa mora premišljena, sorazmerna in varna. Informacijski pooblaščenec uporabi informacijske tehnologije v izobraževalnem procesu vsekakor ne nasprotuje in meni, da je posebej v trenutnih razmerah pametna in sorazmerna uporaba informacijske tehnologije nujno potrebna za izvajanje kvalitetnega in stimulativnega izobraževalnega procesa ter za zagotavljanje učinkovitega izvrševanja delovnih obveznosti učiteljev. Proces izobraževanja na daljavo so nekateri učitelji zasnovali na način, da od učencev zahtevajo uporabo sodobnih informacijskih tehnologij, pri čemer pogosto prihaja tudi do obdelave osebnih podatkov, zato mora biti izbira teh tehnologij, obsega zbiranja podatkov in načina izvajanja pouka skrbno premišljena in ne bi smela prekomerno posegati v zasebnost učencev.

 

Za obdelavo osebnih podatkov otrok v spletnem okolju v trenutnih izrednih razmerah, ko poteka izobraževanje na daljavo, je po mnenju IP v okviru zgoraj navedenega (izjema so podatki, kjer je poleg zakona že z zakonom zahtevana tudi privolitev) edina ustrezna pravna podlaga 6(1)(c) oz. 6(1)(e) Splošne uredbe, saj je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca oz. v zvezi z izvajanjem javnih nalog. Zakonsko obveznost in javne naloge sicer široko opredeljujejo zakoni s področja osnovnošolskega in srednješolskega izobraževanja, med drugim Zakon o osnovni šoli (Uradni list RS, št. 81/06 – UPB, s sprem. in dop.), Zakon o gimnazijah (Uradni list RS, št. 1/07 – UPB, s sprem. in dop.) ter Zakon o poklicnem in strokovnem izobraževanju (Uradni list RS, št. 79/06, s sprem. in dop.), ki določajo obveznost šol, da zagotavljajo predvidene oblike izobraževanja, ter dolžnost učencev in dijakov, da izpolnjujejo svoje šolske obveznosti. Delovne obveznosti učiteljev so nadalje opredeljene v Zakonu o organizaciji in financiranju vzgoje in izobraževanja (Uradni list RS, št. 16/07– UPB, s sprem. in dop.), ki v 119. členu določa tudi »zbiranje in obdelavo podatkov v zvezi z opravljanjem vzgojno-izobraževalnega in drugega dela«.

 

Zaradi izjemnih okoliščinah, v katerih se nahajamo zaradi ukrepov za preprečevanje širjenja virusa COVID-19, ki so začasno spremenila tudi izobraževalni proces, je Informacijski pooblaščenec mnenja, da bi moralo Ministrstvo za izobraževanje, znanost in šport to pravno podlago ustrezno konkretizirati z enotnimi navodili šolam. IP je ministrstvo k temu že pozval.

 

Pri tem je treba upoštevati oziroma nasloviti tudi pomisleke glede varnosti osebnih podatkov in iznosa v tretje države (do česar se opredeljujemo v nadaljevanju). Poleg tega bi morale biti šole oziroma učitelji opozorjeni na načelo najmanjšega obsega podatkov, po katerem se ne sme obdelovati več osebnih podatkov, kot je nujno potrebno za izvedbo izobraževalnega procesa (načelo minimizacije osebnih podatkov).

 

Glede varnosti osebni podatkov IP posebej poudarja, da mora upravljavec osebnih podatkov le-te ustrezno varovati v vseh fazah obdelave. Prvi odstavek člena 32 Splošne uredbe določa, da morata upravljavec in obdelovalec ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotoviti ustrezno raven varnosti glede na tveganje.

 

Zagotavljanje varnosti osebnih podatkov je lahko posebej problematično pri uporabi spletnih orodij, ki jih učitelji uporabljajo po lastni presoji in po možnosti brez vnaprejšnega preudarka o zagotavljanju varnosti osebnih podatkov. Tudi zato menimo, da bi bilo treba uporabo posameznih orodij ustrezno premisliti in - če je le mogoče - do izbire orodij pristopiti poenoteno. IP pa posameznih orodij z vidika ustreznosti in predvsem varnosti obdelave v mnenju ne more in ne sme presojati.

 

Večina najbolj uveljavljenih orodij za spletno komuniciranje, omogoča t.i. šifriranje od vira do ponora komunikacije (angl. »end-to-end encryption«), ne pa nujno v vseh primerih (to najverjetneje npr. ne bo zagotovljeno, če je klic (deloma) opravljen preko navadne telefonske linije in ne preko podatkovnega prenosa) in ne nujno kot privzeto nastavitev, razlike med aplikacijami pa obstajajo tudi glede drugih vidikov varnosti in zasebnosti. Zato IP priporoča, da se glede teh vidikov pred uporabo upravljavec osebnih podatkov (ali celo vaše ministrstvo pri pripravi ustreznih priporočil) posvetuje s svojimi sodelavci s področja informacijskih tehnologij.


Pregled različnih vidikov varnosti in zasebnosti pri aplikacijah za spletno komuniciranje je med drugim dostopen tu: https://www.securemessagingapps.com/


Pozornost je treba nameniti tudi morebitnemu prenosu osebnih podatkov v tretje države, saj številni ponudniki tovrstnih rešitev prihajajo iz ZDA. Priporočamo, da preverite, ali je ponudnik rešitve na seznamu certificiranih organizacij po dogovoru Privacy Shield med EU in ZDA: https://www.privacyshield.gov/welcome. Več  o iznosu podatkov v tretje države si lahko preberete na naši spletni strani https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-drzave-in-mednarodne-organizacije/iznos-osebnih-podatkov-v-zda/ ter na splošno v infografiki Informacijskega pooblaščenca: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Prenos_osebnih_podatkov_po_Uredbi_v_dveh_korakih.pdf

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka

 

 

Pripravila:

Alenka Jerše, univ. dipl. prav.

namestnica informacijske pooblaščenke