Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 03.10.2019
Naslov: Zbirke Športno vzgojni karton in SLOfit
Številka: 0712-1/2019/2251
Vsebina: Šolstvo, Zbirke osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede zbirk Športno vzgojni karton in SLOfit.

 

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

a) Ali pridobi ministrstvo na podlagi izvedenega javnega naročila status upravljavca zbirke osebnih podatkov v ŠVK, za namen izdelave znanstveno-raziskovalnega poročila, ne glede na to, da teh osebnih podatkov ne poseduje in jih šole posredujejo neposredno izbranemu izvajalcu (npr. FŠ)?

 

Izvedeno javno naročilo samo po sebi še ne pomeni, da je naročnik s tem pridobil status upravljavca zbirke osebnih podatkov. Po določbi 7. točke člena 4 Splošne uredbe „upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice. Status upravljavca v javnem sektorju se praviloma pridobi z zakonom in ne z izvedbo javnega naročila. Področni predpisi določajo namen vodenja zbirk podatkov o gibalnih sposobnostih in morfoloških značilnostih učencev oz. evidenc podatkov o gibalnih sposobnostih in morfoloških značilnostih oz. evidenc podatkov o gibalnih sposobnostih in morfoloških značilnostih vpisanih, ki jih vodijo šole na podlagi zakona in soglasja staršev oz. dijakov (v skladu s 95. členom ZOsn, 42. členom ZGim oz. 86. člen ZPSI-1). Uporabo in posredovanje osebnih podatkov iz evidenc o gibalnih sposobnostih in morfoloških značilnostih šolajočih urejajo 43. člen ZGim, 97. člen ZOsn šoli ter 87. člen ZPSI-1, ki določajo, da se osebni podatki zbirajo, obdelujejo, shranjujejo in posredujejo za potrebe gimnazij, ministrstva, pristojnega za šolstvo, v drugih primerih pa le v skladu s posebnimi predpisi. Šole in MIZŠ ima torej pravno podlago za pridobitev osebnih podatkov na podlagi omenjenih zakonov ob podanem soglasju staršev oz. dijakov in ne na podlagi izvedenega javnega naročila.

b) Ali se na podlagi veljavne zakonodaje (95. člena ZOsn, 42. člena ZGim in 86. člena ZPSI) lahko za namen zbiranja podatkov, priprave podatkov za analizo, analizo podatkov, izdelavo znanstveno-raziskovalnega poročila in posredovanja podatkov ŠVK obdelujejo »živi« osebni podatki ali je dovolj, da so psevdonimizirani ali bi morali biti le-ti anonimizirani?

 

Najprej je treba poudariti, da se tako »živi« oz. »surovi« osebni podatki kot psevdonimizirani osebni podatki štejejo in obravnavajo kot osebni podatki. Na podlagi omenjenih določb imajo šole, njihovi pogodbeni obdelovalci in ministrstvo, pristojno za šolstvo, pravico obdelovati osebne podatke, ne glede na njihovo obliko, torej tudi v surovi obliki. Moramo pa poudariti, da iz omenjenih določb ni jasno razvidno, ali ministrstvo dejansko tudi potrebuje surove osebne podatke ali bi za namene ministrstva zadoščali psevdonimizirani ali anonimizirani podatki. Če zakonodaja glede tega ni jasna, potem je treba upoštevati načelo minimizacije obdelave po katerem je treba uporabiti anonimizirane podatke, če je z njimi mogoče doseči zakonite namene obdelave. Opozarjamo pa, da zgolj brisanje identikacijskih podatkov otrok, kot so ime in priimek, naslov ali vpisna številka, še ni anonimizacija podatkov, temveč zgolj psevodnimizacija in je treba preostale podatke (npr. o gibalnih sposobnostih) šteti za osebne podatke, čeprav niso opremljeni z imeni in priimki. Prav tako je treba upoštevati, da anonimizacije osebnih podatkov ni mogoče doseči brez obdelave osebnih podatkov, saj je tudi za anonimnost podatkov treba izvesti določene operacije nad surovimi osebnimi podatki (npr. združevanje, povprečenje, druge statistične metode in tehnike). Anonimni podatki so namreč povprečja, deleži, trendi in podobni podatki, ki se ne nanašajo na posamezno osebo. Menimo, da omenjeni zakoni nekoliko nerodno uporabijo izraz »da se smejo pri izdelavi statističnih in drugih analiz osebni podatki uporabiti in objaviti tako, da identiteta dijaka ni razvidna.« Menimo, da je jasno, da navedeno smiselno velja samo za objavo in nadaljnjo uporabo podatkov, za izdelavo statističnih in drugih analiz pa je po naravi stvari nujno uporabiti v izhodišču osebne podatke. Upravljavci zbirk osebnih podatkov imajo na podlagi določb 17. člena ZVOP-1 podlago, da »interno« osebne podatke nadalje obdelujejo za zgodovinsko, statistično in znanstveno-raziskovalne namene, posredovanje drugim uporabnikom ali javno objavo pa lahko izvedejo le v anonimizirani obliki:

 

(1) Ne glede na prvotni namen zbiranja se lahko osebni podatki nadalje obdelujejo za zgodovinsko, statistično in znanstveno-raziskovalne namene.

(2) Osebni podatki se posredujejo uporabniku osebnih podatkov za namen obdelave iz prejšnjega odstavka v anonimizirani obliki, če zakon ne določa drugače ali če posameznik, na katerega se nanašajo osebni podatki, ni predhodno podal pisne privolitve, da se lahko obdelujejo brez anonimiziranja.

(3) Osebni podatki, ki so bili posredovani uporabniku osebnih podatkov v skladu s prejšnjim odstavkom, se ob zaključku obdelave uničijo, če zakon ne določa drugače. Uporabnik osebnih podatkov mora upravljavca osebnih podatkov, ki mu je posredoval osebne podatke, brez odlašanja po njihovem uničenju pisno obvestiti, kdaj in na kakšen način jih je uničil.

(4) Rezultati obdelave iz prvega odstavka tega člena se objavijo v anonimizirani obliki, razen če zakon določa drugače ali če je posameznik, na katerega se nanašajo osebni podatki, za objavo v neanonimizirani obliki podal pisno privolitev ali če je za takšno objavo podano pisno soglasje dedičev umrle osebe po tem zakonu.

 

 

c) Ali morajo šole, kot upravljavci osebnih podatkov v zbirki ŠVK z izvajalcem javnega naročila (pogodbeno razmerje MIZŠ : izvajalec javnega naročila (npr. FŠ)) skleniti pogodbo o obdelavi osebnih podatkov?

 

Upravljalci zbirk osebnih podatkov niso dolžni obdelave poverjati pogodbenim obdelovalcem, ne glede na to, ali so bili izbrani ali ne na razpisu ministrstva, temveč se o tem prostovoljno odločajo, t.j. ali bodo določene obdelave izvajali sami ali jih bodo poverili zunanjim, pogodbenim obdelovalcem. Izvedba javnega naročila nima na to nobenega vpliva. »Obveznost« uporabe določenega pogodbenega obdelovalca lahko določi le zakon. Splošna uredba v 8. točki člena 4 definira pojem „obdelovalec“, ki pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca. Jasno je torej, da je lahko (pogodbeni) obdelovalec subjekt javnega sektorja, prav tako, kot so to lahko ponudniki obdelave osebnih podatkov iz zasebnega sektorja, kakršne že imajo nekatere šole za vodenje elektronskih redovalnic in drugih obdelav podatkov. Ne glede na status obdelovalca morajo biti izpolnjeni pogoji, kot jih določa člen 28 Splošne uredbe glede ureditve pogodbene obdelave. Poudarjamo še, da načeloma s sprejemom Splošne uredbe sploh ni prišlo do bistveno drugačne ureditve – že prej bi načeloma šole ob odsotnosti izrecne pravne podlage lahko poverile osebne podatke v (pogodbeno) obdelavo na podlagi ustrezne pogodbe, le pogoji glede ureditve medsebojnega razmerja so obširnejši glede na prejšnji 11. člen ZVOP-1.

 

Pogodbeni obdelovalec pa podatkov ne sme obdelovati za lastne namene, ampak zgolj v skladu z naročilom upravljavca. Če pogodbeni obdelovalec osebne podatke obdeluje v lastne namene postane upravljavec in mora imeti za konkreten namen obdelave konkretnih podatkov ustrezno pravno podlago.

 

Fakulteta za šport je tako lahko izbrani pogodbeni obdelovalec osebnih podatkov v zbirki ŠVK na podlagi odločitve šole in ob ustrezno urejeni pogodbeni obdelavi iz člena 28 Splošne uredbe, ne pomeni pa to, da sme šola ali Fakulteta za šport iz ŠVK podatke prenašati v druge zbirke, kot je SLOfit ali druge zbirka osebnih podatkov, če za to ni podlaga v privolitvi staršev.

 

 

d) Ali lahko na podlagi izvedenega javnega naročila kot povratna informacija nastaja nov osebni podatek, ki ga 95. člen ZOsn, 42. člen ZGim oziroma  86. člen ZPSI ne določajo?

 

Izvedeno javno naročilo kot omenjeno ne more predstavljati pravne podlage za zbiranje osebnih podatkov. Pravne podlage so podane v omenjenih zakonih, nabor podatkov je opredeljen, glej npr. 7. odstavek 42. člena ZGim, ki določa:

 

Evidenca podatkov iz 5. točke prvega odstavka tega člena poleg podatkov iz tretjega odstavka tega člena obsega še podatke o: gibalnih sposobnostih in morfoloških značilnostih dijaka, ki se nanašajo na telesno višino, voluminoznost telesa, hitrost alternativnih gibov, eksplozivno moč, koordinacijo gibanja telesa, fizično vzdržljivost trupa, gibljivost, mišično vzdržljivost ramenskega obroča in rok, sprintersko hitrost in vzdržljivost v submaksimalnem kontinuiranem naprezanju.

 

e) Ali je pravilno razumevanje FŠ, da dopis IP, št. 0712-1/2019/1764 z dne 30. 7. 2019, predstavlja pozitivno mnenje IP k sklepanju pogodbenega razmerja med šolami in FŠ, in sicer tako za ŠVK kot tudi za SLOfit ter pozitivno mnenje za pošiljanje podatkov o gibalnih sposobnostih v obdelavo iz šolskega leta 2018/2019 kot je to razbrati iz zgoraj navedenega sporočila FŠ šolam? Ministrstvo namreč citirani dopis razume v smislu obrazložitve pojma obdelovalca in pogodbene obdelave ter pojmov biometričnih podatkov in profiliranje, kot jih to določajo sedaj veljavni predpisi. Prav tako pa je IP glede pogodbe le opozoril na 28. člen GDPR, o ustreznosti same pogodbe pa se ni opredelil.

 

 

Informacijski pooblaščenec ne podaja pozitivnih ali negativnih mnenj, temveč nezavezujoča stališča glede vprašanj o obdelavi osebnih podatkov, kot je jasno navedeno v vsakem našem mnenju. Kako določeni subjekti interpretirajo naša mnenja, je nekaj na kar nimamo vpliva. Zavezujoče odločitve, zoper katere so možna pravna sredstva, lahko izdajamo le v inšpekcijskih in prekrškovnih postopkih. O ustreznosti pogodb se tako v nezavezujočih mnenjih ne opredeljujemo, kar smo jasno zapisali tudi v našem predhodnem mnenju. Poleg tega opozarjamo, da so udeleženi subjekti dobili tako vprašanja, ki so nam bila zastavljena, kot naše odgovore nanje, zato si lahko sami ustvarijo svojo interpretacijo in je jasno razvidno, kaj smo zapisali in česa ne.  

 

 

 

f) Ali lahko FŠ kot javni zavod vodi evidenco osebnih podatkov, ki temelji le na privolitvi? Na usklajevalnem sestanki na Ministrstvu za pravosodje v zvezi z novim ZVOP-2 so, ob predstavljeni dilemi, predstavniki MP poudarili, da se lahko v javnem sektorju osebni podatki obdelujejo samo, če je za to podana zakonska podlaga.

 

 

Javni zavodi lahko obdelujejo osebne podatke na podlagi osebne privolitve, če tako določa zakon. 2. odstavek 9. člena ZVOP-1 je glede tega jasen, saj določa, da nosilci javnih pooblastil lahko obdelujejo osebne podatke tudi na podlagi osebne privolitve posameznika brez podlage v zakonu, kadar ne gre za izvrševanje njihovih nalog kot nosilcev javnih pooblastil. Zbirke osebnih podatkov, ki nastanejo na tej podlagi, morajo biti ločene od zbirk osebnih podatkov, ki nastanejo na podlagi izvrševanja nalog nosilca javnih pooblastil. Ne drži stališče, da mora vsako obdelavo v javnem sektorju določati zakon in da je to edina možna podlaga za javni sektor. Če bi temu bilo tako, potem šole ne bi smele zbirati elektronskih naslovov staršev, saj to ni opredeljeno v nobenem zakonu. Omenjeni trije zakoni tudi jasno določajo, da se podatki o gibalnih sposobnostih in morfoloških značilnostih zbirajo na podlagi soglasja/

privolitve polnoletne osebe oz. zakonitega  zastopnika mladoletne osebe/s soglasjem staršev oziroma skrbnikov otrok.

 

g) Menimo, da je pri vnosu in obdelavi osebnih podatkov v SLOfit vzpostavljeno razmerje med starši oziroma polnoletnimi dijaki in FŠ in ne med FŠ ter šolami, zaradi česar je navodilo FŠ, da naj (nekatere) šole vnašajo podatke neposredno v aplikacijo SLOfit vsaj zavajajoče, saj se lahko v SLOfit vnašajo samo osebni podatki tistih otrok, katerih starši so v ta namen podali izrecno privolitev. Ali razumemo prav?

 

Treba je postaviti jasno ločnico med zbirkama ŠVK in SLOfit. V ŠVK se podatki zbirajo na podlagi določb omenjenih treh zakonov ob privolitvi polnoletne osebe oz. zakonitega  zastopnika mladoletne osebe/s soglasjem staršev oziroma skrbnikov otrok. ŠVK lahko šole vodijo samostojno ali s pomočjo izbranega zunanjega izvajalca ob izpolnjenih zahtevah glede pogodbene obdelave po členu 28 Splošne uredbe. Zbirka ŠVK ne sme biti povezana z drugimi zbirkami osebnih podatkov. Privolitev za zbiranje podatkov v ŠVK pa ne pomeni avtomatsko tudi privolitve za zbiranje osebnih podatkov za zbirko SLOfit. Upravljavec zbirke ŠVK je šola.

 

Upravljavec zbirke SLOfit je Fakulteta za šport in starši se lahko samostojno odločijo, ali bodo zaupali osebne podatke svojih otrok temu upravljavcu na podlagi (od ŠVK) ločene privolitve. Gre za ločeno zbirko osebnih podatkov za katero mora biti podana ločena privolitev. Starši lahko šoli dajo pooblastilo, da osebne podatke svojih otrok posredujejo upravljavcu zbirke SLOfit (Fakulteti za šport). Pri tem opozarjamo, da šola tega ni dolžna storiti; to lahko stori ali ne, je pa dolžna staršem dati osebne podatke otrok, s katerimi upravlja, na podlagi njihove pravice do seznanitve z lastnimi osebnimi podatki.

 

 

h) Ali lahko FŠ zahteva/naroči šolam, da vnašajo osebne podatke neposredno v aplikacijo SLOfit?

 

Poleg odgovora na prejšnje vprašanje menimo, da Fakulteta za šport ne more postavljati zahtev do šol.

 

 

i) Ali pravilno razumemo navajanje IP, da upravljavci ne morejo določati, omejevati ali predpisovati posamezniku ali naj le ta uveljavlja pravico do dostopa (člen 15 Splošne uredbe), kot tudi ne ali naj uveljavlja pravico do prenosljivosti podatkov (člen 20 splošne uredbe)? Sprašujemo, ali je lahko (v konkretnem primeru šola) upravljavec tisti, ki predlaga posamezniku (staršem in učencem), da se njihovi osebni podatki posredujejo drugemu upravljavcu ali pa mora pravico do prenosljivosti oziroma posredovanja podati posameznik upravljavcu?  Iz vprašanja, ki ga je FŠ zastavil IP pod točko 2. a in b namreč izhaja (in to se potrjuje tudi v dopisih FŠ šolam in ministrstvu), da naj šola »pozove« starše, da pooblastijo šolo za posredovanje njihovih oziroma otrokovih osebnih podatkov v SLOfit oziroma, da naj ministrstvo pozove šole, da bi kot upravljavci podatkov zbirke ŠVK posredovali osebne podatke v SLOfit?

 

 

O uveljavljanju svojih pravic glede osebnih podatkov se odloča posameznik sam, upravljavci mu teh odločitev ne morejo določati, omejevati ali predpisovati; omejitev teh pravic je lahko določena kvečjemu z zakonom. Starš torej lahko pooblasti šolo, da posreduje osebne podatke njegovega otroka drugemu upravljavcu, glede ravnanja in obveznosti šole pa je treba razjasniti, za katero od podlag gre:

 

  1. pooblastilo posameznika upravljavcu podatkov, da podatke posreduje drugemu upravljavcu;
  2. zahtevo posameznika za seznanitev z lastnimi osebnimi podatki;
  3. zahtevo posameznika za prenosljivost podatkov.

 

V primeru pooblastila staršev za posredovanje podatkov drugemu upravljavcu (npr. Fakulteti za šport), šola ni dolžna posredovati podatkov, lahko pa jih posreduje.

V primeru zahteve posameznika za seznanitev z lastnimi osebnimi podatki mora šola posamezniku posredovati njegove osebne podatke skladno z določbami člena 15 Splošne uredbe in 30. člena ZVOP-1; kaj bo posameznik počel s temi podatki, pa je njegova stvar, ni jih pa šola dolžna posredovati drugim upravljavcem.

V primeru zahteve posameznika za prenosljivost podatkov je najprej treba preveriti, ali je posameznik upravičen do te pravice na primeru podatkov iz zbirke ŠVK. Člen 20 Splošne uredbe določa:

Pravica do prenosljivosti podatkov

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posedoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, kadar:

(a) | obdelava temelji na privolitvi v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2) ali na pogodbi v skladu s točko (b) člena 6(1), in

(b) | se obdelava izvaja z avtomatiziranimi sredstvi.

2.   Pri uresničevanju pravice do prenosljivosti podatkov v skladu z odstavkom 1 ima posameznik, na katerega se nanašajo osebni podatki, pravico, da se osebni podatki neposredno prenesejo od enega upravljavca k drugemu, kadar je to tehnično izvedljivo.

3.   Uresničevanje pravice iz odstavka 1 tega člena ne posega v člen 17. Ta pravica se ne uporablja za obdelavo, potrebno za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

4.   Pravica iz odstavka 1 ne vpliva negativno na pravice in svoboščine drugih.

Če torej obdelava osebnih podatkov temelji na privolitvi in se obdelava izvaja z avtomatiziranimi sredstvi, potem posameznik lahko zahteva izvrševanje te pravice in ga pri tem upravljavec ne sme ovirati. V zadevnem primeru obdelava osebnih podatkov temelji na privolitvi in kolikor se obdelava izvaja z avtomatiziranimi sredstvi, ima posameznik pravico zahtevati prenosljivost osebnih podatkov k drugemu upravljavcu. V tem primeru šola mora osebne podatke posredovati drugemu upravljavcu skladno z določbami člena 20 Splošne uredbe.

 

***

 

Zaključno pojasnjujemo, da Informacijski pooblaščenec na omenjeno temo ne bo dajal nadaljnjih nezavezujočih mnenj, saj se očitno različno razumejo in interpretirajo, zato pozivamo ministrstvo, da podrobno preuči problematiko in pripravi ustrezne sistemske rešitve ter zanje prevzame odgovornost.

 

S spoštovanjem,

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

 

 

Pripravil:                                                                                                                                

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke