Informacijski pooblaščenec (IP) je prejel zaprosilo za mnenje glede posredovanja osebnih podatkov kandidatov za ravnatelja članom Sveta zavoda. Prosilec je član sveta zavoda ene izmed osnovnih šol, ki bo letos volil novega ravnatelja. Predsednico Sveta zavoda je prosilec prosil, če vam lahko po elektronski pošti ali pisno posreduje dve vlogi prijavljenih kandidatov, in sicer »pisno predstavitev« in »program dela«. Odgovorila vam je, da vam tega ne more posredovati kot članom Sveta Zavoda, ker je to potem kršitev varstva osebnih podatkov in da zahtevana dokumenta za vas kot člana sveta zavoda ne moreta biti javna. Prosilca zanima, če je njen odgovor utemeljen.

Na podlagi informacij IP posreduje neobvezno mnenje v zvezi z vašim vprašanjem.

Za vsako obdelavo osebnih podatkov je treba imeti ustrezno in zakonito pravno podlago. Te so določene v členu 6(1) Splošne uredbe o varstvu podatkov in so za javni sektor, kamor sodijo tudi šole kot javni zavodi, naslednje:

• privolitev, kadar ne gre za izvajanje javnih nalog (točka (a)),
• sklenitev ali izvajanje pogodbe (točka (b)),
• zakon (točka (c)),
• zaščita življenjskih interesov (točka (d)),
• izvajanje javne naloge (točka (e) v zvezi s četrtim odstavkom 9. člena ZVOP-1).

V zvezi s tem IP pojasnjuje, da Splošno pravno podlago za obdelavo osebnih podatkov ureja člen 6 Splošne uredbe o varstvu podatkov. Prav tako so, kljub uporabi Splošne uredbe o varstvu podatkov, veljavne tudi določbe prvega, drugega in četrtega odstavka 9. člen ZVOP-1, ki ureja pravne podlage v javnem sektorju. Tako se lahko osebni podatki v javnem sektorju obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Z zakonom se lahko določi, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika.

Opisana obdelava osebnih podatkov je obdelava v okviru upravljavca, saj je svet zavoda del šole in so se njegovi člani kot taki upravičeni seznaniti z vsemi podatki, ki jih potrebujejo za opravljanje svojega dela. Teh podatkov pa člani sveta zavoda ne smejo posredovati naprej brez ustrezne pravne podlage. Glede na to, da posamezniki, ki so člani sveta zavoda, v tem organu ne zastopajo svojih osebnih interesov, temveč delujejo v imenu in za račun organa (sveta zavoda), kot posamezniki opravljajo neke vrste javno funkcijo tega organa. Pravna podlaga za obdelave osebnih podatkov za namene izvajanja teh funkcij (zgolj za namene njihovega izvajanja nalog oziroma sodelovanja v svetu zavoda) bi tako lahko, v povezavi s področnim zakonom, ki ureja delo sveta zavoda, izhajala bodisi iz četrti odstavka 9. člena ZVOP-1 (nujnost obdelave za izvrševanje zakonitih nalog, obveznosti oz. pristojnosti javnega sektorja) bodisi iz točke (e) prvega odstavka 6 člena Splošne uredbe o varstvu podatkov v povezavi z Zakonom o organizaciji in financiranju vzgoje in izobraževanja (ZOFVI) in drugimi predpisi, ki urejajo pristojnosti in naloge sveta zavoda ter postopek imenovanja ravnatelja.

Zakonsko podlago za obdelavo osebnih podatkov v primeru posredovanja podatkov javnosti (torej vsem ne glede na članstvo v zavodu ali ne), ki so v povezavi z delovnim razmerjem javnih uslužbencev ali porabo javnih sredstev, upoštevajoč točko c člena 6(1) Splošne uredbe o varstvu podatkov, pa lahko predstavlja Zakon o dostopu do informacij javnega značaja (Uradni list RS, št. 51/06 – UPB, 117/06 – ZDavP-2, 23/14, 50/14, 19/15 – odl. US, 102/15 in 7/18, v nadaljnjem besedilu ZDIJZ). ZDIJZ vsakomur omogoča prost dostop in ponovno uporabo informacij javnega značaja, s katerimi razpolagajo državni organi, organi lokalnih skupnosti, javne agencije, javni skladi in druge osebe javnega prava, nosilci javnih pooblastil in izvajalci javnih služb (1. člen). Na podlagi ZDIJZ lahko vsak posameznik dostopa do tistih informacij, ki ne pomenijo ene od taksativno naštetih izjem, na podlagi katerih je, če so seveda podane in utemeljene, mogoče zavrniti pravico posameznika do dostopa do informacij javnega značaja (prvi odstavek 6. člena). Podatki, ki so povezani s porabo javnih sredstev ali z opravljanjem delovnega razmerja javnega uslužbenca po tretjem odstavku 6. člena ZDIJZ ne sodijo med varovane osebne podatke. Če gre torej za informacije, povezane s porabo javnih sredstev ali z opravljanjem javne funkcije ali delovnega razmerja javnega uslužbenca, govorimo o prosto dostopnih informacijah javnega značaja.

Pri tem pojasnjujemo, da IP kot pritožbeni organ na področju dostopa do informacij javnega značaja žal izven konkretnega pritožbenega postopka ne more dajati mnenj glede vprašanj, ali so določeni konkretni dokumenti (»pisno predstavitev« in »program dela) kandidatov za ravnatelja javnega zavoda informacije javnega značaja. Je pa IP o dostopu do osebnih podatkov kandidatov že večkrat odločal. Tako je npr. v odločbah, št. 090-38/2011, 090-46/20013 in 090-62/2017, da podlaga za razkritje osebnih podatkov kandidatov za sklenitev delovnega razmerja v javnem sektorju ne more tretji odstavek 6. člena ZDIJZ, ker v primeru kandidatov še ne gre za javne uslužbence, funkcionarje oziroma še ne moremo ne moramo govoriti o podatkih, ki bi bili v povezavi s porabo javnih sredstev.

Poleg tega pa IP poudarja, da mora upravljavec (ali obdelovalec), torej javni zavod, za ohranitev varnosti osebnih podatkov kandidatov in preprečitev obdelave, ki bi pomenila kršitev Splošne uredbe o varstvu podatkov, oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja (tako tudi uvodna izjava št. 83 Splošne uredbe o varstvu podatkov).

Te ukrepe, ki morajo zagotavljati ustrezno raven varnosti, vključno z zaupnostjo, IP lahko preverja zgolj v konkretnem inšpekcijskem postopku.

Po členu 32 Splošne uredbe o varstvu podatkov, ki ureja »varnost obdelave«, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

(a)    psevdonimizacijo in šifriranjem osebnih podatkov;
(b)    zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
(c)    zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
(d)    postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

Če Splošna uredba o varstvu podatkov primeroma navaja ukrepe, s katerimi se zagotavlja varnost osebnih podatkov, ZVOP-1 v prvem odstavku 24. člena določa predmet zavarovanja osebnih podatkov. Tako zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov na način, da se:

1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

Za izvajanje ustreznega in učinkovitega načina seznanitve članov sveta zavoda s gradivom, ki bo obravnavano na seji sveta zavoda, je torej izključno pristojen in odgovoren upravljavec, torej javni zavod. Ta pa mora biti v okviru morebitnega inšpekcijskega postopka zmožen dokazati tudi skladnost dejavnosti obdelave tako s Splošno uredbo o varstvu podatkov kot ZVOP-1.