Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Iskalnik po mnenjih GDPR

+ -
Datum: 25.09.2020
Naslov: Obdelava podatkov otrok šol
Številka: 07121-1/2020/1697
Vsebina: Pogodbena obdelava podatkov, Pravne podlage, Šolstvo
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje, v katerem pojasnjujete, da nekatere osnovne šole uporabljajo IT sisteme tretjih oseb/firm, kot npr. eAsistent, kamor vpisujejo podatke otrok kot so ocene, izostanki, ipd. in jih shranjujejo v bazah podatkov firm, ki niso pooblaščene s strani ministrstva za šolstvo, in posledično lahko zaposleni v teh firmah brskajo po podatkih otrok, zato menite, da je to protizakonito in skrajno nedopustno. Sprašujete, ali s tem kršijo Splošno uredbo o varstvu podatkov ter, ali bi kot starš šoli, ki jo otrok obiskuje lahko izrecno prepovedali vpis ocen, izostankov ipd. in bi šola posledično morala vpisovati te podatke nekam, kjer tretja oseba nima dostopa.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi člena 58 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašo vlogo.

 

IP uvodoma pojasnjuje, da Splošna uredba v členu 4 opredeljuje pojme obdelava, upravljavec in obdelovalec. »Obdelava« pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje (točka 2). »Upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice (točka 7). »Obdelovalec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca (točka 8).

 

Obdelovalec je torej tisti subjekt, ki po naročilu upravljavca, ki določi namene in sredstva obdelav osebnih podatkov in v skladu z njegovimi navodili, v njegovem imenu izvaja posamezna opravila v zvezi z obdelavo osebnih podatkov, ki mu jih skladno s členom 28 Splošne uredbe s pogodbo ali drugim pravnim aktom zaupa upravljavec. Bistvenega pomena je dejstvo, da lahko obdelovalec osebne podatke obdeluje zgolj za namene in s sredstvi, za katere je pooblaščen s strani upravljavca in torej osebnih podatkov ne sme obdelovati za lastne namene. Upravljavec bi moral dejavnosti obdelave zaupati samo tistim obdelovalcem, ki zagotavljajo zadostna jamstva, zlasti v smislu strokovnega znanja, zanesljivosti in virov za izvajanje tehničnih in organizacijskih ukrepov, ki izpolnjujejo zahteve iz Splošne uredbe, vključno za varnost obdelave. V vlogi obdelovalca tako nastopa zgolj tista pravna oziroma fizična oseba, ki obdelavo osebnih podatkov izvršuje izključno v imenu upravljavca osebnih podatkov in ukrepa pod njegovim vodstvom in nadzorom, pri tem črpa podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter je v zvezi s samimi dejanji obdelave vezana na dokumentirana navodila upravljavca. Eden od pogojev obdelave osebnih podatkov po pogodbi o obdelavi je tudi ta, da v skladu z odločitvijo upravljavca obdelovalec izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo osebnih podatkov ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov.

 

Podrobnejša pojasnila glede pogojev, ki morajo biti izpolnjeni, da se obdelava osebnih podatkov izvaja v imenu upravljavca skladno s Splošno uredbo so podana tudi v Smernicah o pogodbeni obdelavi (https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf).

 

Obdelava osebnih podatkov v vzgojno-izobraževalnih zavodih je predmet zakonskega urejanja. Šole, ki zbirajo in vodijo zbirke podatkov učencev po zakonu, ne smejo podatkov razkrivati tretjim za njihove lastne namene, saj za to nimajo pravne podlage. Smejo pa jih pod izpolnjenimi pogoji iz člena 28 Splošne uredbe zaupati v obdelavo obdelovalcu, ki osebne podatke obdeluje v njihovem imenu, vendar le v obsegu, ki je potreben za izvajanje podpore pri obdelavi in v takem primeru šolam ni mogoče prepovedati, da bi se obdelava osebnih podatkov učencev izvajala v okviru dejavnosti obdelovalca. Tega ne morejo prepovedati niti starši otrok, ki šolo obiskujejo.

 

V preteklosti je bilo na IP naslovljeno že veliko vprašanj glede obdelave osebnih podatkov otrok, katerih upravljavec je šola, tudi z vidika uporabe rešitve, ki jo omenjate. Odgovore na vaša morebitna nadaljnja vprašanja tako lahko poiščete tudi v že objavljenih mnenjih na spletnih straneh IP. Najlažje do teh informacij pridete tako, da v Iskalniku po odločbah in mnenjih VOP (https://www.ip-rs.si/vop/) izberete vsebinsko področje Šolstvo.

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka