Informacijski pooblaščenec (v nadaljevanju IP) je prejel dopis, v katerem prosilec sprašuje, ali sme svet zavoda vpogledati v zapisnike pedagoških sestankov učiteljskega zbora, kjer so po navedbi prosilca zapisani tudi občutljivi osebni podatki učencev in delavcev šole in delavcev šole.
***************
Upravljavec mora opredeliti, kdaj in pod katerimi pogoji sme obdelovati osebne podatke ter kdo znotraj njegove organizacije je v katerih primerih pooblaščen za obdelavo osebnih podatkov. Pri tem mora izhajati iz zakonsko opredeljenih pristojnosti posameznega organa zavoda, kot so določene v Zakonu o organizaciji in financiranju vzgoje in izobraževanja. Naloge oziroma pristojnosti sveta zavoda so opredeljene v prvem odstavku 48. člena ZOFVI. Če torej svet zavoda potrebuje osebne podatke iz zapisnikov pedagoških sestankov učiteljskega zbora in je to mogoče utemeljiti in dokazati, lahko člani sveta zavoda po mnenju IP v takšne zapisnike vpogledajo. Tudi če se člani sveta zavoda smejo seznaniti z osebnimi podatki iz zapisnikov, jih seveda zavezuje dolžnost varovanja tajnosti osebnih podatkov.
O b r a z l o ž i t e v:
IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.
Za vsako obdelavo osebnih podatkov je treba imeti ustrezno in zakonito pravno podlago. Te so določene v prvem odstavku 6. člena Splošne uredbe in so sledeče:
Za vsako obdelavo osebnih podatkov mora torej obstajati ustrezna pravna podlaga, ki jo mora že pred obdelavo osebnih podatkov natančno razčistiti upravljavec osebnih podatkov, ki mora biti zmožen tudi dokazati zakonitost obdelave osebnih podatkov
Svet zavoda je organ šole, njegove naloge in pristojnosti pa ureja Zakon o organizaciji in financiranju vzgoje in izobraževanja (Uradni list RS, št. 16/07 – UPB, s sprem. in dop., v nadaljevanju ZOFVI). Naloge sveta šole so javne naloge, ki se izvajajo v okviru javnega zavoda, ki sodi v javni sektor, zato je obdelava osebnih podatkov v večini primerov zakonita, če poteka na podlagi točke c) ali e) prvega odstavka 6. člena Splošne uredbe, torej zaradi izpolnitve zakonske obveznosti upravljavca (točka c) ali zaradi opravljanja naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu (točka e).
Upravljavec (šola, katere poslovodni organ in odgovorna oseba je ravnatelj) mora opredeliti, kdaj in pod katerimi pogoji sme obdelovati osebne podatke ter kdo znotraj njegove organizacije je v katerih primerih pooblaščen za obdelavo osebnih podatkov (torej tudi, kateri organi šole smejo vpogledati v zapisnike pedagoških sestankov učiteljskega zbora). Pri tem mora upravljavec izhajati iz zakonsko opredeljenih pristojnosti posameznega organa, v vašem primeru sveta zavoda, ki so opredeljene v 48. členu ZOFVI.
Prvi odstavek 48. člena ZOFVI določa, da svet javnega vrtca oziroma šole imenuje in razrešuje ravnatelja vrtca oziroma šole, sprejema program razvoja vrtca oziroma šole, letni delovni načrt in poročilo o njegovi uresničitvi, sprejme letno poročilo o samoevalvaciji šole oziroma vrtca, odloča o uvedbi nadstandardnih in drugih programov, obravnava poročila o vzgojni oziroma izobraževalni problematiki, odloča o pritožbah v zvezi s statusom vajenca, dijaka, študenta višje šole in odraslega kot drugostopenjski organ, če z zakonom ni določeno drugače, o pritožbah v zvezi s pravicami, obveznostmi in odgovornostmi delavcev iz delovnega razmerja, obravnava zadeve, ki mu jih predloži vzgojiteljski, učiteljski, andragoški oziroma predavateljski zbor, šolska inšpekcija, reprezentativni sindikat zaposlenih, svet staršev, skupnost učencev, vajencev, dijakov ali študentov in opravlja druge naloge, določene z zakonom in aktom o ustanovitvi.
Upravljavec (ki ga zastopa ravnatelj in obenem tudi nosi odgovornost) mora presoditi, ali je vpogled članov sveta v zapisnike pedagoških sestankov učiteljskega zbora, vključno z osebnimi podatki otrok in zaposlenih, potreben za izvrševanje nalog oziroma pristojnosti sveta iz 48. člena ZOFVI oziroma drugih relevantnih določb zakonodaje, morda v povezavi z internimi akti zavoda.
Prosilec v dopisu omenja tudi osebne podatke zaposlenih v zapisnikih pedagoških sestankov, pri čemer lahko IP omeni določbo prvega odstavka 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, s sprem. in dop.; v nadaljevanju ZDR-1). Slednja določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to »potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.« Nadalje omenjajo še določbo tretjega odstavka 6. člena Zakona o dostopu do informacij javnega značaja (Uradni list RS, št. 51/06 – UPB, s sprem. in dop.; v nadaljevanju ZDIJZ), po kateri štejejo nekateri osebni podatki javnih uslužbencev celo za prosto dostopne informacije javnega značaja, in sicer, če gre za podatke, povezane z opravljanjem delovnega razmerja javnega uslužbenca.
Obdelava osebnih podatkov mora biti torej v prvi vrsti zakonita. V okviru ukrepov varnosti obdelave pa mora vsak upravljavec v skladu s prvim odstavkom 32. člena Splošne uredbe sprejeti ustrezne tehnične in organizacijske ukrepe, med drugim, da se prepreči nepooblaščena obdelava osebnih podatkov. Organizacijski ukrepi bi med drugim bili, da upravljavec bodisi v svojih aktih bodisi na drug ustrezen način predpiše oz. določi osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke. Iz četrtega odstavka 32. člena Splošne uredbe izhaja obveznost upravljavca, da zagotovi, da katera koli fizična oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije ali pravo države članice. Tudi zaradi reference četrtega odstavka 32. člena Splošne uredbe na »pravo države članice« je treba obseg dovoljene obdelave osebnih podatkov s strani članov sveta zavoda tolmačiti v smislu določbe 48. člena ZOFVI in drugih.
Vsak funkcionar, zaposleni in drug posameznik, ki opravlja dela ali naloge pri osebah, ki obdelujejo osebne podatke, pa je dolžan varovati tajnost osebnih podatkov, s katerimi se seznani pri opravljanju njegovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov ga obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave.
Celotno mnenje je na voljo TUKAJ.