Informacijski pooblaščenec (v nadaljevanju: IP) je prejel zaprosilo za mnenje glede ustreznosti vaše nameravane rešitve (objava učencev, ki praznujejo rojstni dan) z vidika varstva osebnih podatkov.
************************
Na podlagi informacij IP v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posreduje neobvezujoče mnenje v zvezi z vprašanjem.
Osebni podatki o učencih in njihovih starših se smejo zbirati, uporabljati, shranjevati in posredovati samo za namene, določene v zakonu, oziroma za namene, razvidne iz privolitve posameznika, in ne smejo biti uporabljeni na način, ki ni združljiv s temi nameni.
Osnovna šola po mnenju IP brez privolitve posameznikov, na katere se nanašajo osebni podatki (oziroma v konkretnem primeru njihovih staršev), nima pravne podlage, da bi obdelovala osebne podatke učencev za namen, ki ni naveden v zakonu.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih obrazcev, storitev, aplikacij ali drugih rešitev, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi.
IP pojasnjuje, da mora upravljavec (v konkretnem primeru vaša šola) pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:
(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.
Zakon o Osnovni šoli (Uradni list RS, št. 102/07, 107/10, 87/11, 40/12 – ZUJF, 63/13, 46/16 – ZOFVI-K, 76/23, 16/24; v nadaljevanju ZOsn) v 94. členu določa, da osnovna šola zbira, obdeluje, shranjuje, posreduje in uporablja podatke, vsebovane v zbirkah podatkov, ki jih vodi v skladu s predpisi o varstvu osebnih podatkov, če s tem zakonom ni drugače določeno. ZOsn nadalje v 95. členu določa, katere zbirke osebnih podatkov vodi osnovna šola. Osebni podatki iz teh zbirk se lahko zbirajo, obdelujejo, shranjujejo in uporabljajo za potrebe obveznega izobraževanja in posredujejo ministrstvu, pristojnemu za šolstvo, za izvajanje z zakonom določenih nalog ter Državnemu izpitnemu centru za izvajanje nacionalnega preverjanja znanja (97. člen ZOsn).
Nadalje 99. člen ZOsn določa, da podrobnejša navodila o načinu zbiranja podatkov, o delavcih šole, ki so pooblaščeni za uporabo podatkov, vsebovanih v posameznih zbirkah, o načinu evidentiranja uporabe in posredovanja osebnih podatkov, o načinu njihovega uničenja po poteku roka uporabe in druge postopke in ukrepe zavarovanja podatkov predpiše minister. Sprejet je bil Pravilnik o zbiranju in varstvu osebnih podatkov na področju osnovnošolskega izobraževanja (Uradni list RS, št. 80/04, 76/08; v nadaljevanju: pravilnik), ki v 5. členu določa, da se osebni podatki o učencih in njihovih starših smejo zbirati, uporabljati, shranjevati in posredovati samo za namene, določene v zakonu, oziroma za namene, razvidne iz privolitve posameznika, in ne smejo biti uporabljeni na način, ki ni združljiv s temi nameni. V 6. členu pravilnik določa, da šola na podlagi pisnega soglasja staršev lahko zbira tudi osebne podatke, ki niso vsebovani v zakonu o osnovni šoli, so pa potrebni za uveljavljanje oziroma priznavanje posameznih pravic učencu (pravica do subvencionirane šolske prehrane, pravica do brezplačnih učbenikov, pravica do subvencioniranja šole v naravi, pridobitev različnih statusov v skladu z drugimi predpisi, ipd.).
IP pojasnjuje, da zgoraj navedene določbe natančno določajo, za katere namene lahko osnovna šola obdeluje osebne podatke učencev. Osnovna šola tako po mnenju IP brez privolitve posameznikov, na katere se nanašajo osebni podatki (oziroma v konkretnem primeru njihovih staršev), nima pravne podlage, da bi obdelovala osebne podatke učencev za namen, ki ni naveden v zakonu (npr. za namen, ki ga je opisal prosilec v zaprosilu za mnenje).
Pravno podlago za tovrstno obdelavo osebnih podatkov otroka bi tako lahko predstavljala pisna privolitev otrokovih staršev v smislu točke (a) 6. člena Splošne uredbe. Pri tem je treba upoštevati podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v 7. členu Splošne uredbe. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. IP poudarja, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen posebej. Upravljavec mora pridobiti več ločenih privolitev za vsako obdelavo posebej (granularnost oziroma razčlenjenost privolitev). Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.
Predhodna informiranost posameznika o obdelavi njegovih podatkov je torej ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik (v konkretnem primeru starš) svobodno odloči, ali bo to storil ali ne.
V konkretnem primeru je torej po mnenju IP za obdelavo osebnih podatkov otrok treba pridobiti privolitev staršev, pri tem pa je treba poskrbeti, da bodo ob podaji privolitve staršem zagotovljene tudi v 13. členu Splošne uredbe navedene informacije. Skladno z omenjeno določbo je namreč dolžan upravljavec v primeru, kadar so bili osebni podatki pridobljeni od posameznika, na katerega se ti nanašajo, le-temu takrat, ko pridobi osebne podatke, zagotoviti naslednje informacije:
(a) identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
(b) kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
(c) namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
(d) kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
(e) uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
(f) kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
(g) tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena, in sicer:
- obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
- obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejite obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;
- obstoj pravice, da se lahko privolitev kadarkoli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
- pravico do vložitve pritožbe pri nadzornem organu.
Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru.
IP sklepno ponavlja, da v okviru mnenja ne more presojati ustreznosti posameznih rešitev oziroma ravnanja posameznih zavezancev, ampak to lahko presoja le v okviru konkretnega nadzornega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. IP ustreznosti določenih rešitev v okviru mnenja torej ne more presojati, niti ne more vnaprej priporočati ali celo potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo. Presoja glede ustreznosti posameznih primerov obdelave osebnih podatkov oziroma posameznih rešitev je vedno na posameznem upravljavcu.
Celotno mnenje je na voljo TUKAJ.