Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 09.08.2019
Naslov: E-privolitev v šolah
Številka: 0712-1/2019/1864
Vsebina: Privolitev, Šolstvo, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje. Pojasnjujete, da ste na pobudo in ob sodelovanju pooblaščenih oseb za varstvo podatkov nekaterih srednjih in osnovnih šol, pričeli z vzpostavljanjem sistema elektronskega zbiranja privolitev za obdelavo osebnih podatkov za osnovne in srednje šole. V zaprosilu pojasnjujete tehnično rešitev za potrjevanje identitete in način upravljanja s privolitvami znotraj sistema. Sistem po vašem omogoča šoli oziroma njeni odgovorni osebi (ravnatelj, pooblaščenca oseba), da lahko preko vmesnika pregleduje stanje podanih privolitev. Zanima vas, ali se zbrane privolitve v elektronski obliki lahko štejejo za veljavne in kot nadomestilo za dosedanja pisno potrjena soglasja, če je zagotovljena in predhodno preverjena in potrjena identiteta posameznika z njegovo osebno navzočnostjo pred odgovorno osebo šole?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP pojasnjuje, da v skladu s svojimi pristojnostmi ne svetuje ali potrjuje skladnosti dokumentacije ali konkretnih tehničnih rešitev. IP lahko odloča o skladnosti obrazcev in tehničnih rešitev z vidika varstva osebnih podatkov le v okviru konkretnega inšpekcijskega postopka.

 

Glede vašega vprašanja IP na splošno pojasnjuje, da Splošna uredba o varstvu podatkov dopušča zbiranje privolitev za obdelavo osebnih podatkov v elektronski obliki. Elektronska privolitev za obdelavo osebnih podatkov je enako veljavna kot fizična privolitev, če so izpolnjeni pogoji po Splošni uredbi. Pogoje privolitve po Splošni uredbi je IP opisal na podstrani Privolitev.

 

IP dodaja, da je vprašanje identifikacije posameznika oziroma njegovega zakonitega zastopnika povezano z zagotavljanjem varne obdelave osebnih podatkov. V zvezi s tem Splošna uredba zahteva, da ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje. Slednje pomeni, da je na upravljavcu oziroma obdelovalcu odgovornost, da oceni tveganje in sprejme ustrezne tehnične in organizacijske ukrepe, ki ustrezajo konkretnim okoliščinam obdelave osebnih podatkov. IP tega tehtanja ne more opraviti namesto upravljavca oziroma obdelovalca, saj je ocena odvisna od presoje vseh konkretnih okoliščin, slednje pa, kot navedeno uvodoma, IP lahko ocenjuje le v konkretnem inšpekcijskem postopku. Kadar je po presoji upravljavca tveganje za obdelavo veliko, potem je upravljavec pred obdelavo dolžan izvesti oceno učenka v zvezi z varstvom osebnih podatkov. Več o ocenah učinkov si lahko preberete na spletni strani IP (Ocena učinka v zvezi z varstvom podatkov) oziroma v Smernicah o ocenah učinkov na varstvo podatkov.

 

IP posebej opozarja, da je zanesljivost identifikacije posameznika, kateremu se izdaja sredstvo elektronske identifikacije, le eno od meril, ki določajo raven zanesljivosti sredstva elektronske identifikacije – zlasti, ker gre za potencialno čezmejno storitev javnega sektorja – kjer zakonodajni okvir določa Uredba (EU) št. 910/2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu (Uredba eIDAS). Iz navedene uredbe izhajajo merila za določanje ravni zanesljivosti sredstev elektronske identifikacije, pri čemer nacionalna področna zakonodaja lahko predpiše minimalno raven zanesljivosti sredstev elektronske identifikacije za dostop do posameznih tipov storitev (npr. identifikacija uporabnika za zbiranje elektronskih privolitev v šolstvu). Ker morajo biti standardi za dostop do posameznih storitev poenoteni (upoštevaje tveganje, ki ga prinaša obdelava podatkov, do katerih se dostopa), je po mnenju IP treba predlagano rešitev uskladiti z resornim ministrstvom, ki skrbi za usklajenost področne zakonodaje z evropskimi standardi - to je Ministrstvo za izobraževanje, znanost in šport. IP zato predlaga, da se za mnenje glede ustreznosti tehnične rešitve za identifikacijo uporabnikov, ki bodo podali privolitve, obrnete tudi na navedeno ministrstvo. 

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

 

 

Pripravil:                                                         

Anže Novak, univ. dipl. prav.                                           

Svetovalec Pooblaščenca za preventivo