Informacijski pooblaščenec (v nadaljevanju IP) je prejel dopis, v katerem prosilec pojasnjuje, da se kot šola želijo priključiti programu financiranja za otroke iz socialno ogroženih družin, vendar bi želeli, da posredovanje osebnih podatkov otrok poteka zakonito in na ustrezni pravni podlagi. Organizacije želijo, da šola naredi predlog in izbor otrok, ki bodo deležni sofinanciranja (na primer letovanja ipd.) in jim posreduje osebne podatke otrok. Težava je v tem, ker naj bi šola posredovala OP brez zakonske podlage in ker naj bi šola sama naredila izbor otrok brez kakršnih koli izbirnih kriterijev, ki bi jih sestavile organizacije.

Na podlagi informacij v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) IP posreduje neobvezno mnenje.

IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati, zato se vsekakor ne morejo opredeliti do vprašanja, ali je posredovanje osebnih podatkov otrok dobrodelnim organizacijam na opisani način zakonit ali ne. Razlog za to je med drugim v tem, da ne razpolagajo z vso relevantno dokumentacijo v konkretnih primerih, zaradi česar bi lahko podali povsem napačno stališče. Presoja zakonitosti posameznih obdelav oziroma spoštovanje izvajanja zakonodaje s področja varstva osebnih podatkov se opravlja v postopku inšpekcijskega nadzora, v katerem so zagotovljene tudi vse varovalke in procesne pravice udeležencem postopka. Neobvezna mnenja IP torej niso namenjena presoji zakonitosti posameznih obdelav in ravnanj konkretnih upravljavcev, temveč podaji načelnih in splošnih stališč glede interpretacije določb zakonov, ki se nanašajo na varstvo osebnih podatkov.

Vsekakor je treba uvodoma poudariti, da je obdelava osebnih podatkov dopustna le, če zanjo obstaja ustrezna pravna podlaga. V 6. členu Splošne uredbe so tako določene pravne podlage, in sicer:

• posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
• obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
• obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
• obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
• obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
• obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Vsak upravljavec mora zagotoviti, da obdelava osebnih podatkov temelji na eni od zgoraj navedenih pravnih podlag.

Pravne podlage za obdelavo osebnih podatkov v javnem sektorju, kamor spadajo tudi šole, so nadalje določene v 9. členu ZVOP-1, ki v tem delu še vedno ostaja v veljavi. Ta v prvem odstavku določa, da se osebni podatki v javnem sektorju lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Z zakonom pa se lahko določi, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika. Ne glede na navedeno določilo se lahko v skladu s četrtim odstavkom 9. člena ZVOP-1 v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.

1. člen Zakona o osnovni šoli opredeljuje zbirke osebnih podatkov, ki jih vodi osnovna šola, in sicer je v 4. točki predvidena »zbirka podatkov o učencih, ki potrebujejo pomoč oziroma svetovanje«, ki poleg podatkov iz 1. in 2. točke prvega odstavka tega člena obsega še:

• družinsko in socialno anamnezo;
• razvojno anamnezo;
• strokovno interpretirane rezultate diagnostičnih postopkov;
• podatke o postopkih strokovne pomoči oziroma svetovanja;
• dokumentacijo v zvezi s postopkom usmerjanja učenca s posebnimi potrebami;
• strokovna mnenja drugih inštitucij: centrov za socialno delo, zdravstvenih inštitucij, svetovalnih centrov oziroma vzgojnih posvetovalnic.

Osebni podatki iz 4. točke se zbirajo v soglasju s starši učencev, razen v primeru, ko je učenec v družini ogrožen in ga je potrebno zavarovati.

Znotraj omenjene zbirke se torej vodi tudi socialna anamneza učenca, iz katere lahko izhaja šibkejše finančno stanje družine.

IP ne more komentirati načina izbora otrok, ki bi bili lahko upravičeni do udeležbe v socialnih programih sofinanciranja humanitarnih organizacij, saj to ne sodi v pristojnost IP-ja. Gledano z vidika varstva osebnih podatkov pa lahko poudarijo, da v kolikor izbor opravi šola, je potrebna pravna podlaga za dva procesa obdelave:

1. za izbor otrok (bodisi po kriterijih, ki jih določijo humanitarne organizacije, bodisi po lastnem izboru, denimo glede na socialno anamnezo);
2. za posredovanje osebnih podatkov humanitarni organizaciji.

Glede prve točke (pravna podlaga za izbor otrok) bi morda lahko izhajali iz določbe četrtega odstavka 9. člena ZVOP-1, ki določa, da se v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika. Poslanstvo šole, zapisano v 2. členu ZOsn, je med drugim »spodbujanje skladnega telesnega, spoznavnega, čustvenega, moralnega, duhovnega in socialnega razvoja posameznika z upoštevanjem razvojnih zakonitosti.« IP glede na navedeno meni, da bi lahko sam izbor otrok, ki bi jih želela šola predlagati za sofinanciranje socialnih programov, utemeljili z določbo četrtega odstavka 9. člena ZVOP-1, seveda če lahko obrazložijo obstoj pogojev iz omenjenega člena (nujnost za izvrševanje zakonitih pristojnosti, nalog ali obveznosti šole).

V zvezi z drugo točko (pravna podlaga za posredovanje osebnih podatkov otrok) pa pri IP-ju menijo, da bi bilo treba posredovanje izvesti ob soglasju staršev, saj druge pravne podlage ne vidijo. Vsekakor je treba zagotoviti tudi načelo transparentnosti obdelave osebnih podatkov in šola mora obvestiti starše mladoletnih otrok, da bo obdelovala njihove osebne podatke za predstavljeni namen. Pri tem IŠ šolo napotujejo na določbo 14. člena Splošne uredbe, ki določa nabor informacij, ki jih mora upravljavec zagotoviti posamezniku (v tem primeru zakonitim zastopnikom otrok), kadar osebnih podatkov ni prejel od njih samih. Sporočiti mora med drugim identiteto in kontaktne podatke upravljavca; kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja; namene in pravno podlago za obdelavo; vrste zadevnih osebnih podatkov; uporabnike ali kategorije uporabnikov osebnih podatkov ter nadalje tudi obdobje hrambe osebnih podatkov; obstoj pravic posameznika; obstoj pravice do preklica privolitve; pravico do vložitve pritožbe pri nadzornem organu.

Tretji odstavek 14. člena določa, da zagotovi upravljavec omenjene informacije:

(a) v razumnem roku po prejemu osebnih podatkov, vendar najpozneje v enem mesecu, pri čemer se upoštevajo posebne okoliščine, v katerih se obdelujejo osebni podatki;

(b) če se bodo osebni podatki uporabili za komuniciranje s posameznikom, na katerega se nanašajo osebni podatki, najpozneje ob prvem komuniciranju s tem posameznikom, ali

(c) če je predvideno razkritje drugemu uporabniku, najpozneje ob prvem razkritju osebnih podatkov.

Celotno mnenje najdete TUKAJ.