Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 01.02.2019
Naslov: Uporaba e-naslovov za obveščanje o delu Sveta staršev
Številka: 0712-3/2018/2815
Vsebina: Šolstvo
Pravni akt: Mnenje

obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje, glede uporabe elektronskih naslovov in list prisotnosti za izvajanje dela Sveta staršev. Zanima vas:

(1) Ali je dopustno uporabiti elektronske naslove članov sveta staršev, za komunikacijo v zvezi z delom sveta staršev, brez njihove privolitve.

(2) Ali je treba zbrati privolitve od staršev, za obveščanje o delu sveta staršev?

(3) Ali je treba zaradi nevarnosti zlorab podpisov na listah prisotnosti preprečiti »pošiljanje naokrog«?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Ad. (1)

Svet staršev je organ šole, njegove naloge in pristojnosti pa ureja zakon – Zakon o organizaciji in financiranju vzgoje in izobraževanja (ZOFVI). Naloge sveta staršev so javne naloge, ki se izvajajo v okviru javnega zavoda, ki sodi v javni sektor.1 Komunikacija s člani sveta staršev je po mnenju IP neločljiv in nujni del izvajanja funkcije članstva v svetu staršev, pri čemer je komunikacija po elektronski pošti ena od možnosti. Iz navedenega sledi, tudi ko gre za komunikacijo s člani sveta staršev, gre za oblastno delovanje javnega sektorja, kjer privolitev ne pride v poštev kot podlaga za obdelavo osebnih podatkov. IP pa ni pristojen presojati o tem, kakšne (npr. možnost izbire komunikacije po klasični ali e-pošti ali s prevzemom gradiv za sestanke sveta osebno v šoli) načine komunikacije svet staršev določi s svojimi internimi pravili delovanja. Z vidika pravic posameznika pa morajo biti v skladu s 13. oz. 14. členom Splošne uredbe starši ob zbiranju seznanjeni z vsemi informacijami o obdelavi. Če gre torej za obveščanje članov sveta po elektronski pošti v zvezi z njihovih izvajanjem funkcije članstva v svetu, gre za obdelavo, ki je nujna za izvrševanje zakonitih pristojnosti javnega sektorja (člen 6 (1) (e) v povezavi z četrtim odstavkom 9. člena ZVOP-1), kar je tudi samostojna pravna podlaga za obdelavo osebnih podatkov. Pri tem pa opozarjamo, da je pogoj nujnosti za izvajanje zakonite pristojnosti javnega sektorja treba upoštevati pri vsaki posamezni uporabi elektronskega naslova. Iz tega sledi, da obdelava na tej podlagi ne bi bila dopustna, če bi zbrane elektronske naslove uporabili za drug namen.

 

Ad. (2)

Ko se o delu sveta staršev obvešča vse ostale starše (ki niso člani sveta), pa je treba upoštevati, da starši ne izvajajo javne naloge (funkcije v svetu staršev). Iz navedena razloga je privolitev v smislu člena 6 (1) (a) Splošne uredbe (kot ste tudi sami ugotovili v svojem vprašanju), dopustna pravna podlaga za obdelavo osebnih podatkov. Veljavna privolitev po Splošni uredbi mora izpolnjevati določene(strožje) standarde, kot je doslej veljalo po ZVOP-1. Pogoje za veljavno privolitev po Splošni uredbi je IP opisal na svoji spletni strani.

 

Ad. (3)

 

Iz vašega vprašanja sicer ni povsem jasno razvidno, ali ste s »pošiljanjem naokrog« imeli v mislih posredovanje list prisotnosti prek elektronske pošte članom Sveta staršev, ostalim staršem oziroma zbiranja podpisov na sejah na način, da se list prisotnosti pošlje naokrog po sejni sobi. V vseh navedenih primerih je namreč tveganje za zlorabe lahko različno.

 

Splošna uredba v 32. členu zahteva, da se »ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje…«. V nadaljevanju istega člena Splošna uredba še poudari, da se »pri določanju ustrezne ravni varnosti upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

 

Glede na navedeno opredelitev iz Splošne uredbe je treba torej pri določanju ustreznih varnostnih ukrepov upoštevati tveganja za pravice in svoboščine posameznikov. Glede na to, kako visoko stopnjo tveganja ocenjujete posamezno obdelavo osebnih podatkov, je treba prilagoditi tudi ustrezne varnostne ukrepe za zmanjševanje teh tveganj. Za zmanjšanje tveganj je treba upoštevati naravo podatkov (v konkretnem primeru gre za podatke o sodelovanju na seji, kar je nedvomno podatek v zvezi z delom Sveta staršev); možnosti za izrabo podatkov (ali gre za elektronsko ali fizično pošiljanje), itd.

 

 

 

Lep pozdrav,

 

Pripravil:

 

 

Anže Novak, univ. dipl. prav.

 

Mojca Prelesnik

Asistent svetovalca IP

 

informacijska pooblaščenka