Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 30.07.2019
Naslov: Zbirke Športno vzgojni karton in SLOfit
Številka: 0712-1/2019/1764
Vsebina: Pogodbena obdelava podatkov, Pridobivanje OP iz zbirk, Profiliranje in avtomatizirano odločanje, Šolstvo, Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede zbirk Športno vzgojni karton in SLOfit.

 

Kot pojasnjujete, osnovne in srednje šole na podlagi Zakona o osnovnih šolah (ZOsn), Zakona o gimnazijah (ZGim) in Zakona o poklicnem in strokovnem izobraževanju (ZPSI-1) vodijo zbirko osebnih podatkov Športno vzgojni karton (ŠVK) ter posebej zbirko osebnih podatkov SLOfit. Namen slednje je učencem in dijakom ter njihovim staršem ponuditi podatke o njihovih gibalnih sposobnostih in morfoloških značilnostih.

 

1) Zbirka ŠVK temelji na zakonskih podlagah, meritve izvajajo vse slovenske osnovne in srednje šole, rezultate meritev pa že dobrih dvajset let obdeluje Fakulteta za šport (FŠ). Do šolskega leta 2018/19 je obdelava osebnih podatkov potekala tako, da so šole opravile meritve in podatke po navodilih pristojnega ministrstva (MIZŠ), posredovale v analizo FŠ. MIZŠ je za analizo podatkov vsako leto s FŠ sklenilo pogodbo, pri čemer se je za upravičenost pridobitve podatkov od šol sklicevalo na 97/I. člen ZOsn, 43/I. člen ZGim in 87. člen ZPSI. FŠ je prejete podatke anonimno analizirala in jih vrnila posamezni šoli.

 

Kot razumemo, se je MIZŠ letos pred podpisom pogodbe umaknilo, prav tako pa niso bili realizirani načrti glede ureditve drugačne zakonske podlage. Kot pojasnjujete, je analiza šolam dragocena in potrebna za delo športnih pedagogov, prav tako pa podatke cenijo starši. Obenem je raziskava prepoznana v Evropi kot primer najboljše prakse na tem področju.

 

Pripravljena naj bi bila pogodba, ki ustreza zahtevam 28. člena Splošne uredbe o varstvu podatkov, po kateri bi FŠ v imenu in za račun osnovnih in srednjih šol, kot upravljavcev zbirk ŠVK, pridobljene podatke obdelala kot pogodbeni obdelovalec. Velika večina šol naj bi podpisala omenjeno pogodbo, pri nekaterih pa so se pojavili zdržki, ki so, kot pojasnjujete:

 

  • konceptualni – da FŠ na nek način sili v obdelavo osebnih podatkov in nanje prenaša odgovornost, ko jih poimenuje za upravljavca, čeprav da se podatki zbirajo samo za FŠ.
  • vsebinski - da gre za posredovanje posebnih vrst osebnih podatkov, kot je telesna teža in bi bilo podatke treba kriptirati, da gre za biometrične podatke in da gre za profiliranje učencev, za kar bi bila potrebna posebna privolitev.

 

Nekatere šole tako menijo, da obstajajo zadržki pravne narave in da jih lahko odpravi le eventualno mnenje IP.

 

Gleda na opisano, nas prosite za mnenje glede naslednjih vprašanj:

 

  1. Ali je FŠ lahko pogodbeni obdelovalec za podatke iz zbirke ŠVK?
  2. Ali so utemeljeni pomisleki o tem, da gre za posebne vrste osebnih podatkov, ali gre za biometrične podatke in ali gre za profiliranje?
  3. Ali so v pogodbi, ki je bila posredovana v podpis, kakšne bistvene pomanjkljivosti?

 

2) Glede zbirke SLOfit ste pojasnili, da se je s časom pokazalo, da bi starši učencev in dijaki želeli podatke, ki so vodeni v ŠVK, deliti z otrokovim pediatrom, trenerjem ipd, ter da bi podatke lahko dobili v elektronski obliki, jih nadgrajevali, dopolnjevali z drugimi podatki in jih imeli tudi za sebe. Zbirka podatkov SLOfit tako temelji na privolitvi starša učenca oz. dijaka in po podani privolitvi se podatki iz zbirke ŠVK prenesejo v zbirko SLOfit, katere upravljavec je FŠ. Starši oz. dijaki iz zbirke SLOfit prejmejo vabilo k registraciji SLOfit, kjer se jim po registraciji dodelijo ustrezne dostopne pravice. Glede na navedeno nas prosite za naše mnenje o tem:

 

  1. Ali bi morala FŠ s šolami skleniti pogodbo o pogodbeni obdelavi za dejavnosti, ki jih šole izvedejo za SLOfit (pridobitev privolitev staršev/dijakov, in posredovanje e-naslova staršev/dijakov FŠ za uporabniško ime v aplikaciji), ali zadošča pooblastilo, saj gre za enkratno dejanje?
  2. Ali bi morali v privolitvi staršev/dijakov za vključitev/prenos podatkov njihovega otroka oziroma njihovih podatkov iz zbirk ŠVK v zbirko SLOfit vključiti tudi zahtevo za izvršitev pravice do prenosljivosti v smislu 20/II. člena Splošne uredbe o varstvu podatkov?

 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

 

Ad 1.a

 

Splošna uredba v 8. točki člena 4 definira pojem „obdelovalec“, ki pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca. Jasno je torej, da je lahko (pogodbeni) obdelovalec tudi subjekt javnega sektorja, prav tako, kot so to lahko ponudniki obdelave osebnih podatkov iz zasebnega sektorja, kakršne že imajo nekatere šole za vodenje redovalnic in drugih obdelav podatkov. Ne glede na status obdelovalca morajo biti izpolnjeni pogoji, kot jih določa člen 28 Splošne uredbe glede ureditve pogodbene obdelave. Poudarjamo še, da načeloma s sprejemom Splošne uredbe sploh ni prišlo do bistveno drugačne ureditve – že prej bi načeloma šole ob odsotnosti izrecne pravne podlage lahko poverile osebne podatke v (pogodbeno) obdelavo na podlagi ustrezne pogodbe, le pogoji glede ureditve medsebojnega razmerja so obširnejši glede na prejšnji 11. člen ZVOP-1.

 

Pogodbeni obdelovalec pa podatkov ne sme obdelovati za lastne namene, ampak zgolj v skladu z naročilom upravljavca. Če pogodbeni obdelovalec osebne podatke obdeluje v lastne namene postane upravljavec in mora imeti za konkreten namen obdelave konkretnih podatkov ustrezno pravno podlago.

 

Področni predpisi določajo namen vodenja zbirk podatkov o gibalnih sposobnostih in morfoloških značilnostih učencev oz. evidenc podatkov o gibalnih sposobnostih in morfoloških značilnostih oz. evidenc podatkov o gibalnih sposobnostih in morfoloških značilnostih vpisanih, ki jo vodijo šole na podlagi zakona in soglasja staršev oz. dijakov (v skladu s 95. členom ZOsn, 42. členom ZGim oz. 86. člen ZPSI-1). Vsekakor bi bilo smiselno področje ustrezno zakonsko urediti tudi v delu, ki ga opisujete, da ne bi v praksi prihajalo do nejasnosti.

 

Ad 1.b

 

Splošna uredba vsebuje natančne definicije izrazov posebne vrste osebnih podatkov in biometričnih podatkov. Po 4. točki člena 4 Splošne uredbe pomeni „oblikovanje profilov“ vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika.

 

IP tako meni, da v primeru merjenja gibalnih sposobnosti in morfoloških značilnosti, na način kot to že več let poteka pri nas v okviru ŠVK, ni mogoče govoriti o profiliranju v smislu Splošne uredbe, v delu, ko se podatki zgolj zbirajo. Lahko pa bi nadaljnje analize pomenile profiliranje, če se na podlagi tako pridobljenih podatkov ocenjujejo osebni vidiki v zvezi s posameznikom, na katerega se nanašajo osebni podatki. O vprašanju ali lahko v primerih takšnih analiz govorimo tudi o avtomatiziranem sprejemanju odločitev, za katerega je zahtevano izpolnjevanje pogojev po členu 22 Splošne uredbe, pa lahko IP odloča zgolj v okviru inšpekcijskega postopka. Podrobnejšo razlago tega pojma (torej avtomatiziranega sprejemanja odločitev) je podal Evropski odbor za varstvo osebnih podatkov (EDPB), ki združuje nadzorne organe za varstvo podatkov v članicah EU, in sicer, kot je jasno opredeljeno v smernicah EDPB ter v uvodni izjavi Splošne uredbe št. 71, pomeni avtomatizirano sprejemanje odločitev, vključno s profiliranjem,  avtomatizirane obdelave osebnih podatkov, na podlagi katerih se ocenjujejo osebni vidiki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa ali interesov, zanesljivosti ali vedenja, lokacije ali gibanja, kadar ustvarja pravne učinke v zvezi z njim ali nanj podobno znatno vpliva. Podatki, ki se zbirajo v ŠVK sami po sebi ne ustvarjajo pravnih učinkov v zvezi s šolajočimi, prav tako nanje ne vplivajo podobno znatno. Lahko pa bi bilo temu tako, če bi na podlagi analiz teh podatkov posameznike uvrstili v različne 'profile' in bi glede na to vezalo določene posledice za posameznike oz. pravne učinke. Glede pravnih učinkov smernice EDPB podajajo primere, kot so razveljavitev pogodbe; pravica do določenega socialnega prejemka, podeljenega v skladu z zakonom, kot je otroški ali stanovanjski dodatek, ali njegova zavrnitev ali zavrnjen vstop v državo ali zavrnitev državljanstva. Glede znatnosti vpliva smernice EDPB pojasnjujejo, da so to npr. odločitve, ki vplivajo na finančni položaj posameznika, kot je upravičenost do posojila; odločitve, ki vplivajo na dostop posameznika do zdravstvenih storitev; odločitve, ki posamezniku ne dopuščajo možnosti zaposlitve ali ga postavljajo v zelo slab položaj;  odločitve, ki vplivajo na dostop posameznika do izobraževanja, na primer sprejem na univerzo; v uvodni izjavi št. 71 so navedeni naslednji značilni primeri: „avtomatska zavrnitev spletne prošnje za posojilo“ ali prakse zaposlovanja prek spleta brez človekovega posredovanja“.  

 

Prav tako menimo, da v tem primeru ne gre za biometrične podatke. Po določbi 14. točke člena 4 Splošne uredbe izraz „biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki. Niso torej vsi podatki, ki so ali izhajajo iz telesnih in vedenjskih značilnosti posameznika že hkrati biometrični podatki v smislu Splošne uredbe, temveč (samo) tisti, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, torej v smislu avtentikacije ali identifikacije posameznika. Podatki o opravljenih meritvah v sklopu ŠVK (kot je npr. maščobna sestava telesa ali čas držanja vese v zgibi) tako niso biometrični podatki v smislu Splošne uredbe.

 

Glede zahteve po kriptiranju posebnih vrst osebnih podatkov ne gre za zahtevo Splošne uredbe, temveč za zahtevo 14. člena  ZVOP-1. Ta določa, da se prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom. Ker bi se iz zbranih podatkov dalo sklepati na zdravstveno stanje posameznika, čeprav to ni nujno, menimo, da bi šlo lahko za občutljive osebne podatke oziroma po Splošni uredbi za posebne vrste osebnih podatkov, zato bi moralo biti elektronsko posredovanje podatkov kriptirano, torej zagotovljen  varen elektronski kanal, pri čemer je sama izvedbena možnost prepuščena dogovoru med udeleženimi subjekti (npr. z ustreznim kriptiranjem priponk v e-pošti ali z varnim spletnim kanalom ali na drug ustrezen način). Ne pomeni pa to, da je posredovanje teh podatkov kot tako nedovoljeno, če za to seveda obstaja ustrezna pravna podlaga.

 

 

AD 1.c

 

IP izven uradnih inšpekcijskih postopkov ne more ocenjevati ali potrjevati ter ugotavljati zakonske skladnosti postopkov ali aktov zavezancev, zato vam odgovora, ali je priložena pogodba ustrezna, v okviru nezavezujočega mnenja ne moremo podati. Pojasnimo lahko, da mora vsebovati vse zahteve, ki jih določa člen 28 Splošne uredbe, torej mora predvsem opredeljevati obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, obveznosti in pravice upravljavca ter ostale zahteve (točke a) do h)) 3. odstavka člena 28.

 

Ad.2

 

Uvodoma je treba poudariti, da imajo posamezniki pravico pridobiti svoje osebne podatke in z njimi naprej razpolagati in opisani primer pridobitve podatkov iz ŠVK in prenosa podatkov v drugo zbirko ali k sebi je takšne narave.

 

Ad 2.a

 

Ker gre za neke vrste pooblastilo posameznika do upravljavca zbirk osebnih podatkov, da njegove osebne podatke posreduje na podlagi njegove privolitve drugemu upravljavcu, med tema dvema pravnima osebama ne gre za razmerje upravljavec-obdelovalec, temveč za posredovanje osebnih podatkov od enega upravljavca k drugemu, na željo oziroma s pooblastilom posameznika. Če šole za namen posredovanja podatkov FŠ ne zbirajo dodatnih podatkov (torej zgolj tiste, ki so jih pooblaščene zbirati na podlagi zakona: 95. člena ZOsn, 42. člena ZGim oz. 86. člena ZPSI-1) potem glede na navedeno šolam ni potrebno skleniti pogodbe o pogodbeni obdelavi s FŠ za ta namen, t.j. za posredovanje podatkov FŠ na podlagi privolitve posameznika. Morajo pa se seveda prepričati, da posredujejo osebne podatke pravih oseb, torej tistih, ki so izrazili željo, da šole posredujejo njihove podatke FŠ za namen uporabe svojih podatkov v SLOfit.

 

Ad 2.b

 

Glede vprašanja, ki se nanaša na potrebnost vključitve zahteve za izvršitev pravice do prenosljivosti v privolitvi staršev/dijakov pojasnjujemo, da sta tako pravica do dostopa (člen 15 Splošne uredbe) kot pravica do prenosljivosti podatkov (člen 20 Splošne uredbe) imanentni posamezniku in da jih upravljalci ne morejo določati, omejevati ali predpisovati. Izven oziroma v nasprotju z določbami Splošne uredbe. Z vidika upravljavca (v tem primeru so to šole), mora biti šoli zgolj dovolj jasno, kateri posameznik želi od nje katere podatke. Če nedvoumno dovoli šoli, da njegov naslov posreduje upravljavcu zbirke SLOfit (torej FŠ), potem šola gleda tega ne bi smela imeti zadržkov; zaradi transparentnosti, za katero pravico posameznika gre in kakšna pravna sredstva ima na voljo posameznik v primeru zavrnitve pravice, ne bi bilo odveč, če iz vsebine privolitve jasno izhaja, da je njena podstat izvrševanje pravice do prenosljivosti, ni pa to nujno, če je iz privolitve popolnoma jasno, da si posameznik želi, da se njegov e-naslov posreduje drugemu upravljavcu. Formalno gledano seveda so razlike, ali gre za zahtevo za dostop do lastnih podatkov ali za zahtevo za prenosljivost podatkov. V primeru prve namreč upravljavec podatek posreduje posamezniku in ne drugim osebam – torej ni dolžan poslati podatkov posameznika na kateri koli naslov, temveč praviloma na njegov naslov, torej na tistega, katerega verodostojnost lahko preveri v svojih zbirkah. Pri uresničevanju zahteve za prenosljivost pa bi načeloma moral posredovati osebne podatke tudi neposredno drugemu upravljavcu - ob pogojih za njeno dopustnost in kadar je to tehnično izvedljivo (1. in 2. odstavek člena 20 Splošne uredbe, ki so po našem mnenju v tem primeru izpolnjeni).

 

 

***

 

 

Zaključno pojasnjujemo, da je to mnenje prosto dostopna informacija javnega značaja in da ga lahko posredujete javnosti oziroma zainteresiranim šolam. Ob tem dodajamo, da upamo, da se bo omenjena raziskava, ki tudi glede na naše raziskave ob pripravi tega mnenja, uživa velik ugled v strokovni javnosti tako v Evropi kot po svetu in je primer najboljše prakse, uspešno izvajala še naprej. Pri tem je seveda treba pravilno interpretirati in spoštovati določbe zakonodaje o varstvu osebnih podatkov.

 

 

S spoštovanjem,

 

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

 

Pripravil:                                                                                                                                

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke