Uvodno ističemo da djeca, sukladno propisima iz područja zaštite osobnih podataka, zaslužuju posebnu zaštitu u pogledu obrade svojih osobnih podataka, budući da mogu biti manje svjesna rizika, posljedica obrade, primjenjivih zaštitnih mjera i svojih prava.

O najboljem interesu djeteta prvenstveno su dužni brinuti roditelji odnosno skrbnici, ali i nadležne institucije, odgojno-obrazovne ustanove te društvo u cjelini. U tom smislu, dječji vrtići kao ustanove ranog i predškolskog odgoja imaju osobitu odgovornost osigurati da se osobni podaci djece, roditelja, zaposlenika i drugih osoba obrađuju zakonito, pošteno, transparentno i sigurno.

Obiteljski zakon propisuje dužnost roditelja da skrbe o osobnim i imovinskim pravima djeteta te vode računa o njegovoj dobrobiti u skladu s razvojnim potrebama i mogućnostima djeteta. Nadalje, Zakon o predškolskom odgoju i obrazovanju uređuje djelatnost predškolskog odgoja i obrazovanja te obveze dječjih vrtića u pogledu vođenja odgovarajuće dokumentacije i evidencija.

Voditelj obrade i izvršitelj obrade

U smislu članka 4. Opće uredbe o zaštiti podataka, voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka.

U kontekstu ove preporuke, dječji vrtić u pravilu je voditelj obrade osobnih podataka djece koja pohađaju vrtić, njihovih roditelja odnosno skrbnika, zaposlenika vrtića te drugih osoba čiji se osobni podaci obrađuju u okviru djelatnosti dječjeg vrtića.

Izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade. Primjeri izvršitelja obrade mogu biti knjigovodstveni servis koji obrađuje podatke o plaćama zaposlenika dječjeg vrtića ili pružatelj usluge koji održava informacijski sustav, aplikaciju, sustav videonadzora ili drugu tehničku infrastrukturu u ime dječjeg vrtića.

Dječji vrtić nije obvezan imati izvršitelja obrade. Međutim, ako određene poslove povjeri vanjskom pružatelju usluge koji u ime dječjeg vrtića obrađuje osobne podatke, takav odnos mora biti uređen ugovorom ili drugim pravnim aktom sukladno članku 28. Opće uredbe o zaštiti podataka. Ugovorom je potrebno jasno urediti predmet i trajanje obrade, prirodu i svrhu obrade, vrste osobnih podataka, kategorije ispitanika, obveze i prava dječjeg vrtića kao voditelja obrade te obveze izvršitelja obrade, uključujući povjerljivost, sigurnost obrade i postupanje s podizvršiteljima.

Temeljna načela obrade osobnih podataka

Dječji vrtić kao voditelj obrade dužan je poštovati načela iz članka 5. Opće uredbe o zaštiti podataka. To znači da svaka obrada osobnih podataka mora biti:

• zakonita, poštena i transparentna;
• ograničena na određenu, izričitu i legitimnu svrhu;
• primjerena, relevantna i ograničena na ono što je nužno;
• točna i prema potrebi ažurna;
• vremenski ograničena, odnosno podaci se ne smiju čuvati dulje nego što je potrebno;
• sigurna, uz odgovarajuću zaštitu od neovlaštenog pristupa, gubitka, uništenja ili zlouporabe.

Dječji vrtić dužan je roditeljima, skrbnicima, zaposlenicima i drugim ispitanicima pružiti jasne, razumljive i lako dostupne informacije o tome koji se osobni podaci prikupljaju, u koju svrhu, na kojoj pravnoj osnovi, tko ih koristi, koliko se dugo čuvaju, kome se mogu dostaviti te koja prava ispitanici imaju.

Posebno je važno poštovati načelo smanjenja količine podataka. Dječji vrtić ne bi trebao prikupljati osobne podatke koji nisu nužni za konkretnu svrhu. Ako se svrha može postići uvidom u dokument, bez zadržavanja preslike, tada je u pravilu potrebno odabrati manje invazivan način obrade.

Pravna osnova obrade

Svaka obrada osobnih podataka mora imati odgovarajuću pravnu osnovu iz članka 6. Opće uredbe o zaštiti podataka.

U praksi dječjih vrtića najčešće pravne osnove bit će:

• izvršavanje ugovora, primjerice kod sklapanja i izvršavanja ugovora između dječjeg vrtića i roditelja odnosno skrbnika;
• poštovanje pravne obveze dječjeg vrtića, primjerice vođenje pedagoške, zdravstvene i druge propisane dokumentacije;
• izvršavanje zadaće od javnog interesa ili službene ovlasti, osobito kod vrtića koji obavljaju javne ovlasti;
• legitimni interes, primjerice kod određenih sigurnosnih mjera, pod uvjetom da interesi ili temeljna prava i slobode djeteta ili druge osobe nisu jači od tog interesa;
• privola, ali samo kada je obrada stvarno dobrovoljna i kada ne postoji druga primjenjiva pravna osnova.

Privola je samo jedna od mogućih pravnih osnova. Ako se osobni podaci obrađuju na temelju zakona, ugovora ili druge pravne osnove iz članka 6. Opće uredbe o zaštiti podataka, tada se privola ne bi trebala tražiti. Posebno je važno razlikovati privolu od informiranja. Informiranje ispitanika obveza je dječjeg vrtića neovisno o tome na kojoj se pravnoj osnovi osobni podaci obrađuju.

Ako dječji vrtić obrađuje osobne podatke na temelju posebnih propisa, primjerice Zakona o predškolskom odgoju i obrazovanju, privola roditelja nije odgovarajuća pravna osnova. Primjerice, dječji vrtić vodi pedagošku i zdravstvenu dokumentaciju te evidenciju o djeci na temelju zakonske obveze, a ne na temelju privole.

Privola može biti relevantna za dodatne, neobvezne aktivnosti, primjerice za određene oblike objave fotografija, objavu radova djece s imenom i prezimenom ili druge aktivnosti koje nisu nužne za ostvarivanje zakonske ili ugovorne obveze dječjeg vrtića. U takvim slučajevima privola mora biti dobrovoljna, posebna, informirana i nedvosmislena te se može u svakom trenutku povući.

Upisi, prednost pri upisu i olakšice u plaćanju

Dječji vrtić smije prikupljati osobne podatke potrebne za provedbu postupka upisa djeteta u dječji vrtić, ostvarivanje prednosti pri upisu i određivanje kriterija za naplatu usluga, ako za takvu obradu postoji odgovarajuća pravna osnova.

Ako roditelj odnosno skrbnik traži ostvarivanje prednosti pri upisu ili olakšice u plaćanju, dječji vrtić može zatražiti dokaze o činjenicama koje su relevantne za ostvarivanje tog prava. Međutim, dječji vrtić mora jasno razlikovati podatke koji su obvezni od podataka koji se dostavljaju samo ako roditelj traži ostvarivanje određenog dodatnog prava ili olakšice.

Roditelji odnosno skrbnici moraju biti jasno informirani o tome koji se podaci prikupljaju, zašto se prikupljaju, koja je pravna osnova obrade, kome se podaci mogu dostaviti, koliko se dugo čuvaju i koja prava imaju.

Informiranje ispitanika

Dječji vrtić dužan je ispitanicima pružiti informacije sukladno člancima 13. i 14. Opće uredbe o zaštiti podataka. Informacije moraju biti dane u sažetom, razumljivom i lako dostupnom obliku, jasnim i jednostavnim jezikom.

Politika privatnosti ili drugi odgovarajući dokument treba sadržavati osobito informacije o:

• voditelju obrade i njegovim kontaktnim podacima;
• službeniku za zaštitu podataka, ako je imenovan;
• svrhama obrade i pravnim osnovama;
• kategorijama osobnih podataka;
• primateljima ili kategorijama primatelja;
• rokovima čuvanja;
• pravima ispitanika;
• pravu na podnošenje prigovora Agenciji;
• mogućem prijenosu podataka u treće zemlje, ako postoji;
• izvoru podataka, ako podaci nisu prikupljeni izravno od ispitanika.

Tehničke i organizacijske mjere zaštite

Dječji vrtić dužan je provoditi odgovarajuće tehničke i organizacijske mjere radi zaštite osobnih podataka. To osobito uključuje zaštitu od neovlaštenog pristupa, neovlaštene uporabe, gubitka, uništenja, izmjene ili otkrivanja osobnih podataka.

Primjeri mjera uključuju:

• čuvanje dokumentacije u papirnatom obliku u zaključanim ormarima ili prostorijama;
• ograničenje pristupa osobnim podacima samo ovlaštenim osobama;
• korištenje korisničkih imena i lozinki za pristup elektroničkim sustavima;
• vođenje evidencija pristupa, kada je primjenjivo;
• izradu sigurnosnih kopija;
• potpisivanje izjava o povjerljivosti;
• enkripciju ili pseudonimizaciju osobnih podataka, osobito kada se obrađuju posebne kategorije osobnih podataka, primjerice podaci o zdravlju;
• redovitu edukaciju zaposlenika;
• donošenje internih pravila o obradi i zaštiti osobnih podataka.

Evidencija aktivnosti obrade

Dječji vrtić dužan je voditi evidenciju aktivnosti obrade sukladno članku 30. Opće uredbe o zaštiti podataka. Evidencija aktivnosti obrade predstavlja pregled obrada osobnih podataka koje dječji vrtić provodi i važan je dokaz usklađenosti s Općom uredbom o zaštiti podataka.

Evidencija mora biti u pisanom obliku, uključujući elektronički oblik, i mora sadržavati informacije propisane člankom 30. Opće uredbe o zaštiti podataka. Podaci sadržani u evidenciji trebaju biti primjereno zaštićeni.

Službenik za zaštitu podataka

Dječji vrtić dužan je imenovati službenika za zaštitu podataka kada su ispunjeni uvjeti iz članka 37. Opće uredbe o zaštiti podataka. Službenik za zaštitu podataka može biti zaposlenik dječjeg vrtića ili vanjski suradnik.

Prilikom imenovanja službenika potrebno je voditi računa o njegovim stručnim kvalifikacijama, znanju i praksi iz područja zaštite osobnih podataka te o tome da ne postoji sukob interesa. Osoba koja kao službenik za zaštitu podataka nadzire usklađenost ne bi smjela istodobno odlučivati o svrhama i sredstvima obrade osobnih podataka.

Dječji vrtić dužan je objaviti kontaktne podatke službenika za zaštitu podataka i priopćiti ih Agenciji. Nije nužno objaviti ime i prezime službenika; dovoljno je objaviti funkcionalne kontaktne podatke, primjerice generičku adresu elektroničke pošte i službeni telefonski broj.

Najčešća pitanja i preporuke

1. Smije li dječji vrtić tražiti knjižicu o cijepljenju ili cjepni karton?

Obveza cijepljenja djece propisana je posebnim propisima i drugim podzakonskim aktima (primjerice: Zakon o predškolskom odgoju i obrazovanju, Zakonom o zaštiti pučanstva od zaraznih bolesti, Pravilnik o obrascima i sadržaju pedagoške dokumentacije i evidencije o djeci u dječjem vrtiću i sl) koji obvezuju dječji vrtić, kao voditelja obrade. Stoga su roditelji/zakonski zastupnici dužni dostaviti knjižicu o cijepljenju/cjepni karton svojeg djeteta u svrhu ostvarivanja upisa u dječji vrtić. Međutim, ističemo kako je dužnost dječjeg vrtića pružiti sve potrebne informacije/obavijesti roditeljima u svezi dostave knjižice/kartona radi upisa djeteta u dječji vrtić.

2. Smije li dječji vrtić objaviti popis upisane djece?

Rješenje o upisu djece s pripadajućim popisom upisane djece bi se moglo učiniti dostupnim na mrežnim stranicama ili oglasnoj ploči dječjeg vrtića ako je isto uređeno pravilnikom o upisu djece dječjeg vrtića ili odlukom jedinice lokalne samouprave o upisima djece u dječji vrtić utemeljenim na zakonu. Ukoliko isto nije propisano navedenim podzakonskim aktima tada je potrebna privola roditelja kao zakonskih zastupnika djece. Potrebno je razmotriti  postoje li drugi načini obavješćivanja roditelja djece ili dodjeljivanjem posebnih šifriranih lozinki koje pseudonimiziraju identitet djeteta (ime i prezime), ulaskom u objavljene liste putem dodijeljenih korisničkih imena i lozinki koji su dostupni samo roditeljima (navedenim postupanjem bi bila ostvarena transparentnost vođenja posebnog postupka upisa djece u određeni dječji vrtić te bi se na taj način zakonskim zastupnicima adekvatno omogućilo ostvarivanje njihovih prava vezano za upis djece u pojedini dječji vrtić).

3. Smije li dječji vrtić tražiti presliku osobne iskaznice osobe koja dolazi po dijete?

Prilikom upisa u vrtić roditelji djece daju osobne podatke trećih osoba (ime, prezime, adresu stanovanja, broj osobne iskaznice) koje osim njih mogu doći u vrtić preuzeti dijete, što nije upitno. Međutim samo prikupljanje preslika osobnih iskaznica trećih osoba, smatralo bi se prekomjernom i ne praktičnom iz razloga što dolazi do nepotrebnog prikupljanja preslika osobnih dokumenata, a samim time i do veće mogućnosti zlouporabe ili neovlaštenog korištenja osobnih podataka čime postoji mogućnost narušavanja načela zaštite osobnih podataka. Potrebno je pronaći manje invazivnu metodu u svrhu ostvarivanje sigurnosti (zaštite) djece na način da djelatnik vrtića izvrši samo uvid u osobni dokument (osobnu iskaznicu) treće osobe koja dolazi u vrtić po dijete.

4. Smije li dječji vrtić istaknuti ime i prezime djeteta na ormariću?

Dječji vrtić bi mogao objaviti osobne podatke djece na ormarićima u svrhu lakše organizacije i identifikacije pojedinog korisnika ormarića, ali bi morao voditi računa o opsegu osobnih podataka koji se ističu na ormarićima, te na istima navesti ime i prezime ili inicijale prezimena.

5. Je li videonadzor u dječjim vrtićima dopušten?

Dječji vrtić može uvesti videonadzor ako je to nužno i razmjerno radi zaštite osoba i imovine, osobito sigurnosti djece. Prije uvođenja videonadzora potrebno je procijeniti postoji li opravdana svrha, može li se ista svrha postići manje invazivnim mjerama te koje prostore je nužno obuhvatiti.

Videonadzor se ne smije provoditi u prostorijama za odmor zaposlenika, garderobama, sanitarnim prostorijama, prostorima za osobnu higijenu niti u prostorima u kojima djeca kontinuirano borave i igraju se, osim ako za to postoje iznimno opravdani razlozi i strogo razmjerne mjere.

Dječji vrtić treba istaknuti jasnu i vidljivu obavijest o videonadzoru te internim aktom urediti svrhu videonadzora, prostore koji se snimaju, osobe koje imaju pravo pristupa snimkama, rokove čuvanja, sigurnosne mjere i prava ispitanika.

Također, potrebno je donošenje Pravilnika o postavljanju sustava videonadzora u kojemu su  detaljno regulirana sva pitanja glede njegovog postavljanja. U Pravilniku bi trebalo, između ostalog, upoznati zaposlenike vrtića s postavljanjem sustava videonadzora, odrediti zaposlenike koji će imati pravo pristupa snimkama videonadzora, propisati koliko dugo se čuvaju snimke videonadzora, te koja su prava ispitanika, a sve sukladno Općoj uredbi o zaštiti podataka i Zakonu o provedbi Opće uredbe o zaštiti podataka

6. Smije li dječji vrtić objaviti podatke izabranog kandidata u natječajnom postupku?

Dječji vrtić koji je u svojstvu tijela javne vlasti dužan je sukladno posebnom zakonu (Zakon o pravu na pristup informacijama) objavljivati informacije o ishodu natječajnog postupka na mrežnim stranicama (web stranici), a sve u svrhu transparentnosti provođenja natječajnog postupka. Prilikom objave osobnih podataka izabranog kandidata provedenog natječajnog postupka  potrebno je voditi brigu o opsegu objave osobnih podataka. Tako je dječji vrtić dužan objaviti podatke o kvalifikacijama izabranog kandidata (naziv radnog mjesta, stručne kvalifikacije te ime i prezime izabranog kandidata, dok se svi ostali osobni podaci (primjerice; adresa stanovanja,OIB, kontakt podaci) moraju na odgovarajući način zaštititi.

7. Smije li dječji vrtić objaviti podatke zaposlenika na mrežnoj stranici?

Kod objave osobnih podataka zaposlenika dječjeg vrtića trebalo bi voditi brigu da se objavljuju samo oni podaci koji su nužni da bi postigla utvrđena svrha (informiranje radnika, roditelja polaznika dječjeg vrtića) odnosno dovoljno je objaviti imena i prezimena radnika i nazive radnih mjesta te eventualno njihovu stručnu spremu, dok bi sve ostale osobne podatke (primjerice: datum i godinu rođenja radnika, mjesto rođenja,  privatnu adresu) koji se odnose na privatnu sferu zaposlenika trebalo zaštititi odnosno ne objavljivati javno na mrežnim stranicama vrtića.

8. Može li tajnik dječjeg vrtića biti službenik za zaštitu podataka?

Tajnik dječjeg vrtića može biti imenovan na funkciju službenika za zaštitu podataka pod uvjetom da ta osoba ne dođe u sukob interesa te da kao službenik za zaštitu podataka bude u mogućnosti obavljati svoje dužnosti i zadaće na neovisan način. Dječji vrtić, kao voditelj obrade odlučuje o mogućem postojanju sukoba interesa u svakom pojedinom slučaju, pritom posebno uzimajući u obzir obilježja organizacijske strukture dječjeg vrtića.

9. Smije li dječji vrtić objaviti ime i prezime djeteta uz literarni ili likovni rad?

Dječji vrtić može objaviti imena i prezimena djece u literarnim radovima isključivo ukoliko je to propisano pravilnikom dječjeg vrtića utemeljenom na zakonu, odnosno ukoliko je objava propisana kurikulumom ili godišnjim planom i programom rada dječjeg vrtića. Ako objava nije propisana tim propisima, tada je potrebna privola roditelja malodobne djece. Kod objave imena i prezimena djece uz literarne radove je potrebno voditi računa o opsegu podataka koji se objavljuje, te po mogućnosti objaviti samo ime djeteta, bez navođenja prezimena, a sve u svrhu da se onemogući njihova identifikacija i prepoznavanje, te osigura zaštita osobnih podataka.

10. Smije li dječji vrtić objavljivati fotografije djece na mrežnoj stranici?

Dječji vrtić treba biti osobito oprezan pri objavi fotografija djece. Skupne fotografije s odgojno-obrazovnih manifestacija mogu se objaviti samo ako postoji odgovarajuća pravna osnova i ako su roditelji prethodno jasno informirani o fotografiranju i objavi.

Objava pojedinačnih fotografija djece predstavlja veći rizik jer se pojedino dijete ciljano izdvaja i lakše identificira. Za takvu objavu mora postojati jasno opravdana svrha i odgovarajuća pravna osnova, a u pravilu i privola roditelja odnosno skrbnika ako objava nije nužna za zakonom propisanu djelatnost.

Dječji vrtić u svakom slučaju treba voditi računa o načelu smanjenja količine podataka, dostojanstvu djeteta, kontekstu fotografije i mogućim posljedicama njezine javne dostupnosti.

11. Smije li dječji vrtić objavljivati fotografije djece na društvenim mrežama?

Agencija savjetuje poseban oprez te ne preporučuje objavu fotografija djece na društvenim mrežama, osobito kada su profili javno dostupni. Društvene mreže omogućuju široku i teško kontroliranu dostupnost sadržaja, daljnje dijeljenje, preuzimanje i moguće zlouporabe fotografija djece.

Budući da su djeca posebno ranjiva skupina, dječji vrtić treba izbjegavati objavu fotografija djece na društvenim mrežama, osim ako postoji jasno opravdana svrha, odgovarajuća pravna osnova, prethodna informiranost roditelja i provedene mjere za smanjenje rizika. U svakom slučaju, objava mora biti ograničena, razmjerna i u najboljem interesu djeteta.

Više o objavi osobnih podataka djece odnosno o dijeljenju sadržaja na internetu i društvenim mrežama pročitajte ovdje.