Informacijski pooblaščenec (v nadaljevanju IP) je prejel zaprosilo z mnenje, ali lahko predstavnik sveta staršev zahteva odgovore na vprašanja:
Na podlagi informacij IP v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posreduje neobvezno mnenje v zvezi z vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.
IP uvodoma pojasnjuje, da je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od pogojev, ki jih Splošna uredba o varstvu podatkov našteva v členu 6(1). Za obdelavo podatkov v delovnih razmerjih je relevanten predvsem 48. člen Zakon o delovnih razmerjih (Uradni list RS, št. 21/13 in naslednji), ki odloča, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju, Splošna uredba o varstvu podatkov v členu 4(15) sicer opredeljuje kot podatke o zdravstvenem stanju. Podatki v zvezi z zdravjem, kamor bi lahko uvrstili tudi podatki o cepljenju, se na podlagi člena 9(1) Splošne uredbe o varstvu podatkov uvrščajo med posebno vrsto osebnih podatkov, katerih obdelava je prepovedana, v kolikor ni podana katera od izjem, ki so navedene v točkah (a) do (j) člena 9(2) Splošne uredbe o varstvu podatkov. V zvezi z zaprosilom se torej primarno in ločeno od vprašanja v zaprosilu postavlja vprašanje, katere od osebnih podatkov zaposleni, ki jih prosilec navaja, sploh lahko šola zakonito obdeluje.
Skladno s členom 2(1) Splošne uredbe o varstvu podatkov se njene določbe uporabljajo za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvaja z avtomatiziranimi sredstvi. Splošna uredba o varstvu podatkov pojem osebni podatek v členu 4 opredeljuje kot katerokoli informacijo v zvezi z določenim ali določljivim; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Z drugimi besedami, načela varstva podatkov se uporabljajo za vse informacije v zvezi z določenim ali določljivim posameznikom, ne pa tudi za anonimizirane informacije, in sicer informacije, ki niso povezane z določenim ali določljivim posameznikom, ali osebne podatke, ki so bili anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni ali ni več določljiv, kot izhaja iz uvodnega recitala 27 Splošne uredbe o varstvu podatkov.
V kolikor bi torej svetu staršev posredovali informacije, ki niso povezane z določenim ali določljivim posameznikom, ali osebne podatke, ki so bili anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni ali ni več določljiv, se določbe Splošne uredbe o varstvu osebnih podatkov in ZVOP-1 sploh ne bi uporabljale. Ob tem velja opozoriti, da posameznik, na katerega se nanašajo osebni podatki, ne sme biti določljiv ne na podlagi informacij iz enega odgovora ne na podlagi kombinacije informacij iz vseh podanih odgovorov, ker bi sicer lahko govorili o obdelavi osebnih podatkov v smislu člena 2(1) Splošne uredbe o varstvu osebnih podatkov.
Svet staršev je po 66. členu Zakona o organizaciji in financiranju vzgoje in izobraževanja (Uradni list RS, št. 16/07 in naslednji; v nadaljevanju ZOFVI) eden od organov šole namenjen organiziranemu uresničevanju interesa staršev v javnem vrtcu oziroma šoli. Svet staršev predlaga nadstandardne programe; daje soglasje k predlogu ravnatelja o nadstandardnih storitvah; sodeluje pri nastajanju predloga programa razvoja vrtca oziroma šole, vzgojnega načrta, pri pravilih šolskega reda ter da mnenje o letnem delovnem načrtu; daje mnenje o kandidatih, ki izpolnjujejo pogoje za ravnatelja; razpravlja o poročilih ravnatelja o vzgojno-izobraževalni problematiki; obravnava pritožbe staršev v zvezi z vzgojno-izobraževalnim delom; voli predstavnike staršev v svet vrtca oziroma šole in druge organe šole; lahko sprejme svoj program dela sodelovanja s šolo, zlasti glede vključevanja v lokalno okolje; v dogovoru z vodstvom šole lahko ustanavlja oziroma oblikuje delovne skupine; opravlja druge naloge v skladu z zakonom in drugimi predpisi.
Glede na zgoraj navedeno se zaprosilo prosilca nanaša na vprašanje, komu znotraj upravljavca so lahko dostopni osebni podatki zaposlenih oziroma vprašanje ustreznosti zavarovanja osebnih podatkov, ki jih upravljavec zakonito obdeluje. V zvezi s tem je treba upoštevati določbo še veljavnega drugega odstavka 25. člena ZVOP-1, skladno s katero je upravljavec osebnih podatkov dolžan v svojih internih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov ter določiti osebe, ki so odgovorne za določene zbirke osebnih podatkov in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke. Bistveno je torej, da lahko znotraj upravljavca z osebnimi podatki zaposlenih praviloma razpolagajo le za to določene oziroma pooblaščene osebe v okviru svojih pristojnosti. Ob tem gre izpostaviti tudi načelo celovitosti in zaupnosti iz točke (f) člena 5 Splošne uredbe o varstvu podatkov skladno s katerim morajo biti osebni podatki obdelani na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno in nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi.
IP na koncu dodaja, da v okviru mnenja ne more dokončno odgovoriti ne o zakonitosti obdelave določenih osebnih podatkov ne o ustreznosti zavarovanja osebnih podatkov, ki jih upravljavec zakonito obdeluje.
Celotno mnenje najdete TUKAJ.