Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 18.09.2019
Naslov: Zakonitost razkrivanja podatkov o starših v imeniku rešitve eAsistent za starše
Številka: 0712-1/2019/2093
Vsebina: Pravne podlage, Šolstvo
Pravni akt: Mnenje

Informacijskemu pooblaščencu (v nadaljevanju: IP) ste dne 12. 9. 2019 poslali elektronsko sporočilo v katerem navajate, da ste v šoli prejeli kodo za dostop do storitve eAsistent za starše in ob prijavi ugotovili, da lahko pri pošiljanju zasebnih sporočil vidite kdo so sošolci vašega otroka in kdo njihovi starši. Do te informacije ste prišli tako, da ste pod sporočili izbrali imenik – starši, kliknili na razred vašega otroka in prikazal se vam je seznam vseh otrok v razredu in njihovih staršev. Pojasnil glede obdelave osebnih podatkov pri opisani funkcionalnosti niste našli ne v Splošnih pogojih, ne v Politiki zasebnosti rešitve eAsistent za starše. Zanima vas, ali je to zakonito.

 

V nadaljevanju vam na podlagi informacij, ki ste nam jih posredovali, ter na podlagi člena 57(e) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. 4. 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1; v nadaljevanju ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/05 in 51/07-ZUstS) posredujemo odgovor na vaše vprašanje.

 

Načela, ki morajo biti spoštovana pri obdelavi osebnih podatkov, so opredeljena v členu 5 Splošne uredbe. Upravljavec osebnih podatkov je odgovoren za skladnost obdelave s temi načeli in mora biti to skladnost tudi zmožen dokazati.

 

Osebni podatki morajo biti

  1. obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, pravičnost in preglednost“);
  2. zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) ne velja za nezdružljivo s prvotnimi nameni („omejitev namena“);
  3. ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“);
  4. točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“);
  5. hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki („omejitev shranjevanja“);
  6. obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

 

Temeljna zahteva pri obdelavi osebnih podatkov je, da za vsako obdelavo obstaja ustrezna pravna podlaga. Pravne podlage so urejene v členu 6 (1) Splošne uredbe. Ta določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Podatke, ki so potrebni za naročilo in izvajanje storitve eAsistent za starše obdeluje eŠola d. o. o. kot ponudnik storitve na podlagi privolitve staršev. Pogoji za pridobivanje veljavnih privolitev so podrobneje opisani na spletnih straneh IP (https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/).

 

IP pojasnjuje, da v skladu s svojimi pristojnostmi ne svetuje ali potrjuje skladnosti dokumentacije ali konkretnih tehničnih rešitev. IP lahko odloča o skladnosti obrazcev in tehničnih rešitev z vidika varstva osebnih podatkov le v okviru konkretnega inšpekcijskega postopka. V zvezi z obdelavo osebnih podatkov ob vključitvi novih funkcionalnosti v rešitev eAsistent za starše je IP na podlagi prejetih informacij in po preučitvi razpoložljive dokumentacije po uradni dolžnosti že uvedel postopek inšpekcijskega nadzora zoper zavezanca eŠola d. o. o.

 

Na IP je bilo v preteklosti naslovljeno že veliko vprašanj glede uporabe aplikacije eAsistent. Nekatere odgovore na morebitna vaša dodatna vprašanja glede obdelave osebnih podatkov učencev boste našli v mnenjih, objavljenih na spletnih straneh IP. Najlažje do teh informacij pridete tako, da v Iskalniku po odločbah in mnenjih VOP (https://www.ip-rs.si/vop/)  izberete vsebinsko področje Šolstvo.

 

Mnenje, ki se nanaša na aplikacijo eAsistent in je bilo izdano po uveljavitvi Splošne uredbe (25. 5. 2018), je mnenje:

  • Pooblastila za dostop do storitve eAsistent, št. 0712-3/2018/2726 z dne 7. 1. 2019.

 

Med mnenji, ki jih je IP izdal pred začetkom uporabe Splošne uredbe, pa bodo za vas morda zanimiva še naslednja mnenja: