Informacijski pooblaščenec (v nadaljevanju: IP) je prejel zaprosilo za mnenje, v katerem prosilec pojasnjuje, da se nanj obračajo številni ravnatelji in postavljajo vprašanja glede uporabe platforme exam.net pri ocenjevanju dijakov na daljavo. Nekatere srednje šole jo uporabljajo, drugi ravnatelji pa izpostavljajo vprašanje varstva zasebnih podatkov pri uporabi te aplikacije.
Na podlagi informacij IPRS v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posreduje neobvezno mnenje v zvezi z vašim vprašanjem.
Informacijski pooblaščenec (v nadaljevanju IP) glede na pojasnila s spletne strani ponudnika rešitve ugotavlja, da naj bi platforma po njihovih navedbah izpolnjevala zahteve, ki jih je postavila Nacionalna agencija za šolstvo na Švedskem glede upravljanja, anonimizacije in dopustnih orodij, iz česar je moč sklepati, da je bila rešitev v omenjeni državi deležna predhodnega pregleda kakor tudi da so verjetno uporabili sistemski pristop, kjer centralna pristojna agencija izda določene zahteve oziroma priporočila glede uporabe informacijskih rešitev v izobraževanju. S tem, kakšne konkretno so bile zahteve in postopek ter ali so zahteve delno ali v celoti vključevale tudi skladnost s predpisi glede varovanja osebnih podatkov nismo seznanjeni, verjetno pa te informacije lahko pridobite s strani vaših švedskih kolegov. IPRS meni, da je takšen sistemski pristop na nacionalni ravni ustrezen in priporočljiv, saj zagotavlja večjo predvidljivost, večjo enovitost pri uporabi tehnoloških rešitev ter posledično manj tveganj za neskladnost z zahtevami zakonodaje, ki jih lahko prinese parcialna in razpršena raba rešitev, katerih izbira je prepuščena posameznim izobraževanim ustanovam, ki morda nimajo zadostnih kadrov za kakovostne vnaprejšnje presoje in odločitve.
Glede na to, da uporaba informacijskih rešitev za izvedbo izpitov oziroma testov na daljavo po naravi stvari implicira obsežno obdelavo osebnih podatkov z uporabo (relativno) novih tehnoloških rešitev, je zelo verjetno, da je obvezna izvedba predhodne ocene učinka glede varstva osebnih podatkov, s katero se pred uporabo rešitve naslovi vsa tveganja glede varstva osebnih podatkov in se jih pravočasno obravnava. Glede na večje število potencialnih upravljavcev podatkov (izobraževalnih ustanov), ni smiselno za isto rešitev delati več (ločenih) ocen učinka, temveč je priporočljivo, da oceno učinka izvede primeren organ - resorno ministrstvo ali drugi ustrezen organ – seveda glede na svoje pristojnosti in naloge ter v sodelovanju z bodočimi uporabniki (upravljavci).
Najbolj učinkovit pristop bi bil, da oceno učinka izdela ustrezna strokovna skupina, sestavljena iz predstavnikov resornega ministrstva, izobraževalnih ustanov ter ostalih primernih organov po vaši presoji. Tudi sicer pri IPRS menijo, da bi na področju izobraževanja za druge informacijske rešitve in sisteme, v katerih se obdelujejo osebni podatki, s takšnim pristopom zmanjšali pritisk na posamezne ustanove in negotovost na njihovi strani, zagotovili višjo kakovost ocenjevanja in izbire posameznih rešitev ter tako zagotovili višjo raven skladnosti z zakonodajo oziroma morda celo preprečili večje število kršitev. IP namreč kot nadzorni organ ne more namesto upravljavcev izvajati ocen učinka ali se do konkretnih informacijskih rešitev opredeljevati v okviru nezavezujočih mnenj, temveč lahko zakonitost obdelave osebnih podatkov presoja le v okviru inšpekcijskega postopka. Vsekakor pa je vsem v interesu, da se skladnost zagotovi že pred pričetkom uporabe določene rešitve in ne z ukrepi, izrečenimi v inšpekcijskih oziroma prekrškovnih postopkih, zato so pravočasne ocene učinka primerno oziroma v določnih primerih celo obvezno orodje za to.
Vse informacije o tem, kaj so ocene učinka, kdaj je njihova izvedba obvezna in kako se jih izvede, vključno s smernicami na to temo, so dostopne na povezavi:
Splošna uredba določa tudi vlogo nadzornega organa za varstvo podatkov glede ocen učinka. Skladno s priporočili Evropskega odbora za varstvo podatkov (ang. EDPB), kot so navedena v smernicah o ocenah učinka[1] velja, da če je upravljavec podatkov štel, da so tveganja zadosti zmanjšana, se lahko glede na razlago člena 36(1) Splošne uredbe ter uvodnih izjav (84) in (94) obdelava nadaljuje brez posvetovanja z nadzornim organom. Upravljavec podatkov se mora z nadzornim organom posvetovati v primerih, ko opredeljenih tveganj ne more ustrezno obravnavati (tj. preostala tveganja ostajajo velika).
Kot je pojasnjeno v smernicah EDPB med nesprejemljivo veliko preostalo tveganje spadajo primeri, ko lahko posameznika, na katerega se nanašajo osebni podatki, doletijo pomembne ali celo nepopravljive posledice, ki jih ta ne more odpraviti (na primer nezakonit dostop do podatkov, zaradi katerega je ogroženo življenje posameznikov, na katere se nanašajo osebni podatki, ali zaradi katerega je lahko posameznik odpuščen ali v finančnih težavah), in/ali kadar se zdi očitno, da se bo navedeno tveganje uresničilo (na primer ker ne bo mogoče zmanjšati števila oseb, ki imajo dostop do podatkov, zaradi načinov njihove izmenjave, uporabe ali razširjanja, ali kadar znana ranljivost ni odpravljena).
Upravljavec podatkov se mora posvetovati z nadzornim organom vedno, kadar ne najde zadostnih ukrepov za zmanjšanje tveganj na sprejemljivo raven (tj. so preostala tveganja še vedno visoka). Poleg tega se mora upravljavec posvetovati z nadzornim organom vedno, kadar je to potrebno v skladu s pravom države članice in/ali kadar mora v skladu z njim pridobiti predhodno dovoljenje nadzornega organa.
Celotno mnenje najdete TUKAJ.