Informacijski pooblaščenec IP je po elektronski pošti prejel dopis, v katerem prosilec pojasnjuje, da so kot vrtec na CSD poslali zapis o nasilju nad otrokom v skladu s Pravilnikom o obravnavi nasilja v družini za vzgojno-izobraževalne zavode. Starši otroka so od vrtca zahtevali posredovanje zapisa. Postopek seznanitve ureja (poleg Splošne uredbe in ZVOP-2) Pravilnik o zbiranju in varstvu osebnih podatkov na področju predšolske vzgoje. Prosilca zanima mnenje IP-ja, ali staršem omogočiti seznanitev z zapisom ali ne.
Na podlagi informacij IP v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posreduje neobvezujoče mnenje v zvezi z vprašanjem.
O vlogi staršev za dostop do zapisa o nasilju nad otrokom, ki vsebuje osebne podatke, mora vrtec odločiti upoštevajoč koristi otroka po postopku iz 14. člena ZVOP-2 ter 12. člena Splošne uredbe, upoštevaje pri tem 20. člen ZVOP-2 in določbe ZPND ter Pravilnika o zbiranju in varstvu osebnih podatkov na področju predšolske vzgoje.
Glede vsebine odločitve vam IP lahko da zgolj usmeritve na pomembne elemente in zakonske določbe, ki jih vrtec mora upoštevati, pri čemer je glavno vodilo zagotavljanje in varstvo koristi otroka.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.
IP pojasnjuje, da ima vsak posameznik skladno z določbami Splošne uredbe pravico pridobiti v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku določene informacije o obdelavi osebnih podatkov ter dostop do samih osebnih podatkov.
Prvi odstavek 15. člena Splošne uredbe tako posamezniku daje pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in med drugim naslednje informacije: namen obdelave; vrste zadevnih osebnih podatkov; uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, predvideno obdobje hrambe osebnih podatkov; obstoj pravic posameznika; informacije o virih idr.
Pravica do seznanitve do lastnih osebnih podatkov se lahko iz utemeljenih razlogov tudi zavrne, in sicer je potrebno izpostaviti zavrnitev zaradi varstva pravic in svoboščin drugih (četrti odstavek 15. člena Splošne uredbe) ter zaradi omejitev, ki jih opredeljuje nacionalna ali evropska zakonodaja.
Prvi odstavek 23. člena Splošne uredbe tako določa, da lahko pravo Unije ali pravo države članice, ki velja za upravljavca ali obdelovalca podatkov, z zakonodajnim ukrepom omeji obseg obveznosti in pravic iz členov 12 do 22 in člena 34, pa tudi člena 5, kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 12 do 22, če taka omejitev spoštuje bistvo temeljnih pravic in svoboščin ter je potreben in sorazmeren ukrep v demokratični družbi za zagotavljanje, med drugim, »pravic in svoboščin drugih« (točka (i) prvega odstavka 23. člena Splošne uredbe). Medtem ko daje citirani člen podlago za sprejem omejitev pravice posameznika do dostopa do lastnih osebnih podatkov, mora zakonodajalec na ravni države ali Evropske unije omejitve še podrobno in vsebinsko predpisati.
Na tem mestu moramo izpostaviti omejitev oziroma izjemo iz 20. člena ZVOP-2, ki določa, da lahko upravljavec osebnih podatkov izjemoma zavrne zahtevo posameznika (npr. za dostop do osebnih podatkov), vložen prek zakonitega zastopnika, če obstajajo konkretne in objektivne okoliščine, zaradi katerih bi bilo utemeljeno sklepati, da bi bile zaradi seznanitve z določenimi osebnimi podatki neposredno ali posredno prizadete koristi, pravice ali upravičeni interesi mladoletnih oseb (…), ter če te pravice in interesi pretehtajo nad interesi zakonitega zastopnika za seznanitev. V tem primeru so razlogi za zavrnitev dostopni nadzornemu organu, Varuhu človekovih pravic, kolizijskemu skrbniku (…).
O vlogi staršev za dostop do zapisa, ki vsebuje osebne podatke, mora vrtec torej odločiti po postopku iz 14. člena ZVOP-2 ter 12. člena Splošne uredbe, upoštevaje seveda določbe Pravilnika o zbiranju in varstvu osebnih podatkov na področju predšolske vzgoje.
Glede vsebinskih premislekov pri odločanju o omejitvi pravice do dostopa do osebnih podatkov IP navaja sledeče:
Zakon o preprečevanju nasilja v družini (Uradni list RS, št. 16/08, s sprem. in dop.; v nadaljevanju ZPND) v 5. členu določa, da so organi in organizacije »dolžni izvesti vse postopke in ukrepe, ki so potrebni za zaščito žrtve glede na stopnjo njene ogroženosti in zaščito njenih koristi in pri tem zagotoviti spoštovanje integritete žrtve. Če je žrtev nasilja otrok, imajo koristi in pravice otroka prednost pred koristmi in pravicami drugih udeleženk oziroma udeležencev postopka.« 9.a istega zakona določa, da »organi in organizacije ter nevladne organizacije kot poklicno skrivnost varujejo podatke o nastanitvi žrtve in njenih otrok ali drugih ukrepih za njihovo zaščito.« Pravilnik o sodelovanju organov ter o delovanju centrov za socialno delo, multidisciplinarnih timov in regijskih služb pri obravnavi nasilja v družini (Uradni list RS, št. 31/09 in 42/17; v nadaljevanju Pravilnik o sodelovanju) v drugem odstavku 9. člena glede zapisnikov multidisciplinarnih timov določa, da »organi, organizacije in nevladne organizacije kot poklicno skrivnost varujejo podatke o nastanitvi žrtve in njenih otrok ali drugih ukrepih za njihovo zaščito,« kar je enako določbi 9.a člena ZPND. Pravilnik o sodelovanju pa v 12. členu določa tudi, da morajo člani tima vse podatke, ki jih pridobijo pri obravnavanju posameznega primera, varovati kot zaupne. Tudi Pravilnik o obravnavi nasilja v družini za vzgojno-izobraževalne zavode (Uradni list RS, št. 104/09; v nadaljevanju Pravilnik o obravnavi nasilja) določa obveznost varovanja zaupnosti, in sicer drugi odstavek 8. člena določa, da je zapisnik sestanka internega tima uradni dokument, varovan v skladu s predpisi, ki urejajo zbiranje in varstvo osebnih podatkov ter vodenje in hrambo dokumentacije, tretji odstavek istega člena pa, da morajo člani internega tima vse podatke, ki jih pridobijo na sestankih tima, varovati kot zaupne, tudi po koncu delovanja internega tima. IP poleg tega ugotavlja, da tudi Zakon o socialnem varstvu (Uradni list RS, št. 3/07 – UPB, s sprem. in dop.; v nadaljevanju ZSV) v 93. členu določa obveznost varovanja kot poklicne skrivnosti glede podatkov o materialnih in socialnih stiskah posameznika in o vzrokih, okoliščinah in posledicah tega stanja, tako s strani strokovnih delavcev CSD kot s strani oseb, ki so jim ti podatki dosegljivi zaradi narave njihovega dela.
Nadalje IP navaja še, da krovni zakon na področju družinskih zadev, Družinski zakonik (Uradni list RS, št. 15/17, s sprem. in dop.; v nadaljevanju DZ) v četrtem odstavku 7. člena (načelo otrokove koristi) določa, da morajo državni organi, izvajalci javnih služb, nosilci javnih pooblastil, organi lokalnih skupnosti ter druge fizične in pravne osebe v vseh dejavnostih in postopkih v zvezi z otrokom skrbeti za korist otroka. Podobno tudi Konvencija o otrokovih pravicah, ki jo je ratificirala tudi Republika Slovenija, v prvem odstavku 3. člena določa, da morajo biti pri vseh dejavnostih v zvezi z otroki, bodisi da jih vodijo državne bodisi zasebne ustanove za socialno varstvo, sodišča, upravni organi ali zakonodajna telesa, otrokove koristi glavno vodilo.
Otrokova korist se v primerih, kot je obravnavani, ko gre za vprašanje dostopa staršev, ki so morebiti povzročitelji nasilja (IP-ju to seveda ni znano in navajamo zgolj hipotetično) do osebnih podatkov ter izjav otrok, med drugim zagotavlja z ustreznim tehtanjem med pravicami staršev in pravico otroka do osebne integritete, duševne celovitosti, njegove zasebnosti ter osebnostnih pravic. Tako je pri presoji pravice do dostopa do osebnih podatkov otrok treba upoštevati tudi določbo 35. člena Ustave Republike Slovenije, ki določa, da je zagotovljena nedotakljivost človekove telesne in duševne celovitosti, njegove zasebnosti ter osebnostnih pravic. 16. člen Konvencije o pravicah otrok pa v prvem odstavku določa tudi, da noben otrok ne sme biti izpostavljen samovoljnemu ali nezakonitemu vmešavanju v njegovo zasebno življenje, družino, dom ali dopisovanje, niti nezakonitim napadom za njegovo čast in ugled.
Iz navedenega jasno izhaja, da je potrebno v primeru konflikta med dvema človekovima pravicama (v konkretnem primeru pravice staršev do seznanitve z lastnimi osebnimi podatki ter pravicami in koristmi otroka) pretehtati, v kolikšni meri se sme dopustiti izvrševanje ene pravice na račun oziroma v škodo druge pravice.
Tehtanje morate v prvi vrsti opraviti sami, po eni strani ker ste upravljavec osebnih podatkov in je to tudi formalno pravilno (IP se ne more do tega opredeljevati v mnenju, saj je tudi vsebina zapisa zaenkrat znana le vam), po drugi strani pa tudi zato, ker ste kot vzgojno-izobraževalna ustanova tudi v strokovnem smislu podkovani in je nenazadnje to tudi eno od vaših poslanstev, da opravite tehtanje med pravicami in koristmi otrok (ki jih morate ustrezno zaščititi) ter pravicami staršev.
Če boste zahtevo staršev zavrnili, se bosta imela starša pravico pritožiti k Informacijskemu pooblaščencu.ž
Celotno mnenje je na voljo TUKAJ.