Spremljanje dogajanja pri izvajanju predmeta na fakulteti

Datum

29.03.2023

Številka

07121-1/2023/420

Kategorije

Šolstvo

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Kot ste pojasnili imajo na vaši univerzi posamezne fakultete različne sisteme, ki podpirajo študijski proces; sistem, ki ga uporabljate na vaši fakulteti ima različne funkcionalnosti. Med najbolj osnovnimi je spletna stran predmeta. Med naprednimi pa je med drugim tudi elektronska komunikacija med pedagogom in študenti pri njegovem predmetu.

Zanima vas, ali je pravno dopustno, da dogajanje na spletni strani posameznega predmeta ter elektronsko komunikacijo med pedagogom in študenti v okviru zadevnega sistema spremljajo osebe, ki niso vključene v pedagoški proces pri danem predmetu ter dela pri tem predmetu tudi ne podpirajo po administrativni plati? Konkretno: ali je pravno dopustno, da dogajanje pri nekem predmetu (objave pedagoga, e-komunikacijo med pedagogom in študenti, korake v procesu preverjanja znanja ... ) spremljajo vodje strokovnih služb (tudi tistih, ki nimajo nobene neposredne povezave s pedagoškim procesom, npr. vodja Službe za kakovost) ter člani vodstva fakultete?

Zanima vas tudi, ali je pravno dopustno, da kot pedagoginja niste formalno obveščeni o tem, kdo vse od sodelavcev spremlja dogajanje pri posameznem predmetu in za kakšen namen?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Dostopne pravice znotraj upravljavca ali obdelovalca osebnih podatkov, torej kateri izmed zaposlenih oziroma notranje organizacijske enote imajo pravice do katerih osebnih podatkov, določa vodstvo, pri čemer pa mora upoštevati načelo potrebe po vedenju oziroma minimizacije obdelave osebnih podatkov (5 in 25. člen Splošne uredbe) ob upoštevanju morebitne specifične zakonodaje na posameznem področju. Dostopne pravice bi morale biti pregledne, vzdrževane in nadzorovane.

Z vidika načela varnosti osebnih podatkov bilo primerno, da bi bil predavatelj seznanjen s tem, kdo vse lahko pri uporabi določene informacijske rešitve dostopa do vsebine, ki se prek nje deli, in s tem povezanimi osebnimi podatki.

Dodatno opozarjamo, da pa gre pa lahko za drugačno situacijo, npr. če gre za izvajanje strokovnega nadzora, kot ga določajo členi 88.-90. ZVOP-2, kjer je treba upoštevati določbe omenjenih členov ZVOP-, ki se med drugim dotikajo tudi dostopa do osebnih podatkov.

Obrazložitev

IP uvodoma pojasnjuje, da lahko podaj pojasnilo na vaše vprašanje zgolj z vidika varstva osebnih podatkov, torej v okviru svojih pristojnosti. Če govorimo o osebnih podatkih velja načelo, da dostopne pravice, torej kateri izmed zaposlenih imajo pravice do katerih osebnih podatkov določa vodstvo, pri čemer pa mora upoštevati načelo potrebe po vedenju oziroma minimizacije obdelave osebnih podatkov (5 in 25. člen Splošne uredbe). Dostopne pravice bi morale biti pregledne, vzdrževane in nadzorovane. Glede samega vprašanja, ali je vodstvo ustrezno opredelilo dostopne pravice v posameznem primeru in ali so bile ob tem upoštevane morebitne določbe področne zakonodaje, se lahko IP opredeljuje zgolj v primeru inšpekcijskega postopka, kjer se preverijo vsa dejstva in okoliščine, in se do tega ne more opredeljevati v okviru nezavezujočih mnenj.

Kar lahko v okviru mnenja pojasnimo je, da bi, kot rečeno dostopne pravice morale biti pregledne, vzdrževane in nadzorovane med drugim za zagotavljanje ustrezne varnosti osebnih podatkov. Natančneje v konkretnem primeru menimo, da bi z vidika načela varnosti osebnih podatkov bilo primerno, da bi bil predavatelj seznanjen s tem, kdo vse lahko pri uporabi določene informacijske rešitve dostopa do vsebine, ki se prek nje deli, in s tem povezanimi osebnimi podatki. Na tak način se lahko potencialno tudi preprečijo nesorazmerna deljenja in uporaba osebnih podatkov, do same upravičenosti morebitnega dostopa Službe za kakovost pa se v okviru nezavezujočega mnenje ne moremo opredeljevati. Dodatno opozarjamo še, da je treba pri ureditvi dostopov upoštevati poleg varstva osebnih podatkov tudi pravico do komunikacijske zasebnosti, kot jo ureja 37. člen Ustave.

Dodatno opozarjamo, da pa gre lahko za drugačno situacijo, npr. če gre za izvajanje strokovnega nadzora, kot ga določajo členi 88.-90. ZVOP-2, kjer je treba upoštevati določbe omenjenih členov ZVOP-2, ki se med drugim dotikajo tudi dostopa do osebnih podatkov.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravil

mag. Andrej Tomšič, namestnik informacijske pooblaščenke