Obdelava elektronskega naslova dijaka

Datum

11.01.2024

Številka

07121-1/2024/20

Kategorije

Definicija OP, Elektronska pošta, Šolstvo

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave elektronskih naslovov dijakov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP v okviru neobvezujočega mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za obdelavo osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava podatkov zakonita.

Osebni podatki prijavljenih oziroma vpisanih dijakov iz evidenc iz 86. člena ZPSI-1 se zbirajo, obdelujejo, shranjujejo in posredujejo za potrebe šole, dijaških domov, ministrstva, pristojnega za šolstvo, v drugih primerih pa le v skladu s posebnimi predpisi.

Šola kot upravljavec osebnih podatkov mora zagotoviti zakonitost obdelave osebnih podatkov o dijakih s strani zaposlenih.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne more pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage, namenov in obsega obdelave osebnih podatkov v konkretnem primeru. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem nadzornem ali drugem upravnem postopku

IP pojasnjuje, da mora imeti upravljavec za vsako obdelavo osebnih podatkov zakonito in ustrezno pravno podlago. Prvi odstavek 6. člena ZVOP-2 določa, da se osebni podatki lahko obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe. Ta v prvem odstavku 6. člena določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

ZVOP-2 v četrtem odstavku 6. člena določa tudi, da se ne glede na določbe drugega odstavka tega člena za izvrševanje točke e) prvega odstavka 6. člena Splošne uredbe lahko v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.

IP je že večkrat izrazil mnenje, da se elektronski naslov, ki pripada točno določenemu posamezniku, v skladu s Splošno uredbo šteje za osebni podatek. Njegova obdelava je tako dopustna le, če je podana zakonita in ustrezna pravna podlaga iz zgoraj navedenega prvega odstavka 6. člena Splošne uredbe.

IP pojasnjuje, da je obdelava osebnih podatkov dijakov urejena v področni zakonodaji, zlasti v Zakonu o gimnazijah (Uradni list RS, št. 1/07 – UPB, 68/17, 6/18 – ZIO-1, 46/19) in Zakonu o poklicnem in strokovnem izobraževanju (Uradni list RS, št. 79/06, 68/17, 46/19; v nadaljevanju: ZPSI-1) ter natančneje razdelana v posameznih pravilnikih (npr. Pravilnik o šolski dokumentaciji v srednješolskem izobraževanju). Tovrstni predpisi načeloma vsebujejo določbe o zbiranju in varstvu osebnih podatkov, kjer so tudi podrobneje določena pravila obdelav osebnih podatkov.

ZPSI tako v 86. členu določa evidence z osebnimi podatki dijakov, ki jih vodijo šole, ter njihovo vsebino. Med temi evidencami je tudi evidenca vpisanih dijakov, ki v skladu s tretjim odstavkom 86. člena ZPSI-1 vsebuje: osebno ime dijaka in osebe, vpisane v izredno izobraževanje, enotno matično številko občana, e-naslov, telefonsko številko, davčno številko, spol, datum, kraj, občino in državo rojstva, stalno in začasno bivališče, državljanstvo ter predhodno pridobljeno izobrazbo. Poleg teh podatkov vsebuje tudi podatke iz četrtega odstavka istega člena. Med naštetimi kategorijami osebnih podatkov je torej naveden tudi elektronski naslov dijaka. V 87. členu ZPSI-1 je določeno, da se osebni podatki prijavljenih oziroma vpisanih dijakov iz evidenc iz 86. člena tega zakona zbirajo, obdelujejo, shranjujejo in posredujejo za potrebe šole, dijaških domov, ministrstva, pristojnega za šolstvo, v drugih primerih pa le v skladu s posebnimi predpisi.

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave (v konkretnem primeru izvajanje učnega procesa).

IP ob tem dodaja, da mora šola osebne podatke dijakov obdelovati na način, ki najmanj poseže v njihovo pravico do varstva osebnih podatkov in zasebnosti. IP tako opozarja na možnost, da se v primeru sodelovanja dijakov v spletnih učilnicah oziroma programih prijava izvede z uporabniškim imenom in geslom, ki nista enaka naslovu elektronske pošte, in da datoteke (šolsko gradivo) iz spletne učilnice oziroma programa prenašajo na svoje elektronske naprave dijaki sami. V tem primeru morebitne težave z obdelavo naslovov elektronske pošte dijakov odpadejo, saj v tem primeru sploh ne pride do takšne obdelave, primarni cilj (torej sodelovanje v spletnih učilnicah oziroma spletnih programih ter s tem sodelovanje pri izvajanju učnega procesa) pa je kljub temu dosežen.

IP pojasnjuje tudi, da je treba dijake ob dodelitvi elektronskega naslova oziroma ob njihovi vključitvi v spletno učilnico oziroma spletni program seznaniti s to rešitvijo, načinom njenega delovanja, nameni, za katere bodo osebni podatki uporabljeni, ter o ostalih pomembnih vidikih obdelave osebnih podatkov, ki so določeni v 13. in 14. členu Splošne uredbe.

IP ponavlja, da v konkretnem primeru sicer ne more dokončno presojati niti zakonitosti ravnanja šole niti ustreznosti konkretne rešitve oziroma spletnega programa, opisanega v vašem zaprosilu za mnenje, opozarja pa, da je treba vselej zagotoviti ustrezno pravno podlago za obdelavo osebnih podatkov dijakov. Bistveno je, da šola kot upravljavec osebnih podatkov zagotovi zakonitost obdelave osebnih podatkov o dijakih s strani zaposlenih. Prav tako je treba zagotoviti varnost osebnih podatkov dijakov ter preveriti, ali ob uporabi konkretne rešitve morda prihaja tudi do prenosa podatkov v tretje države. V kolikor do tega pride, je treba izpolniti zahteve V. poglavja Splošne uredbe.

IP sklepno ponovno poudarja, da v okviru neobvezujočega mnenja ne more odločati o tem, ali so v konkretnem primeru podani pogoji za obdelavo osebnih podatkov, temveč lahko zgolj opozori na relevantno pravno podlago ter pogoje, ki morajo biti izpolnjeni, da je določena obdelava osebnih podatkov zakonita. Konkretno presojo pa lahko oziroma mora opraviti izključno upravljavec osebnih podatkov (v konkretnem primeru vaša šola), ki nosi tudi odgovornost za tovrstno opravljeno presojo.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav.

Informacijska pooblaščenka