Primjena Opće uredbe o zaštiti podataka u školskim ustanovama


Primjena Opće uredbe o zaštiti podataka u školskim ustanovama


6.11. 2019.

Uvodno ističemo kako sukladno propisima iz područja zaštite osobnih podataka djeca  zaslužuju posebnu zaštitu u pogledu obrade njihovih osobnih podataka budući da mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom njihovih osobnih podataka.

O najboljem interesu djeteta prvenstveno bi trebali brinuti njegovi roditelji/skrbnici ali i nadležne institucije i ostali subjekti, kao i društvo u cjelini. 

Tako je primjerice odredbama Obiteljskog zakona propisana dužnost/obveza roditelja skrbiti o djetetovim osobnim i imovinskim pravima te voditi računa o njegovoj dobrobiti u skladu s razvojnim potrebama i mogućnostima djeteta (članak 91. Obiteljskog zakona).

Obiteljskim zakonom, između ostaloga, propisano je kako roditelji imaju dužnost brinuti se o svestranom, redovitom, a prema svojim mogućnostima i daljnjem obrazovanju svojeg djeteta i poticati njegove umjetničke, tehničke, sportske i druge interese. Isto tako propisano je da su roditelji su dužni i odgovorni odzivati se sastancima ili pozivu odgojno-obrazovne ustanove u vezi s odgojem i obrazovanjem djeteta (članak 94. Zakona).

Sukladno članku 290. gore citiranog Zakona, roditelji su dužni uzdržavati punoljetno dijete koje se školuje u srednjoj školi, odnosno polazi sveučilišni ili stručni studij u skladu s posebnim propisima, odnosno program za osnovno obrazovanje ili program srednjoškolskog obrazovanja odraslih te redovito i uredno ispunjava svoje obveze, a najdulje do navršene dvadeset šeste godine života djeteta te roditelji u tom slučaju imaju pravo od djeteta, nadležnih tijela i pravnih osoba tražiti i dobiti podatke o djetetovu obrazovanju, odnosno zaposlenju.

Također, Zakonom o odgoju i obrazovanju u osnovnoj i srednjoj školi („Narodne novine“, broj: 87/08, 86/09, 92/10, 105/10, 90/11, 5/12, 16/12, 86/12, 126/12, 94/13, 152/14, 07/17, 68/18) između ostaloga, uređuje se djelatnost osnovnog i srednjeg odgoja i obrazovanja u javnim ustanovama.

Odgoj i obrazovanje u osnovnim i srednjim školama ostvaruje se na temelju nacionalnog kurikuluma, nastavnih planova i programa i školskog kurikuluma. Nacionalni kurikulumi donose se za pojedine razine i vrste odgoja i obrazovanja sukladno okvirnom nacionalnom kurikularnom dokumentu koji na općoj razini određuje elemente kurikularnog sustava za sve razine i vrste osnovnoškolskog i srednjoškolskog odgoja i obrazovanja. Nacionalne kurikulume i okvirni nacionalni kurikularni dokument donosi ministar nadležan za obrazovanje odlukom.
Kurikulumom nastavnih predmeta određuju se svrha i ciljevi učenja i poučavanja nastavnog predmeta, struktura pojedinog predmeta u cijeloj odgojno-obrazovnoj vertikali, odgojno-obrazovni ishod i/ili sadržaji, pripadajuća razrada i opisi razina usvojenosti ishoda, učenje i poučavanje te vrednovanje u pojedinom nastavnom predmetu, a može se utvrditi i popis potrebnih kvalifikacija učitelja i nastavnika za izvođenje kurikuluma. Nastavnim planom određuje se oblik izvođenja kurikuluma (obvezno, izborno, fakultativno, međupredmetno i/ili interdisciplinarno), godišnji broj nastavnih sati i njihov raspored po razredima. Nastavni plan može biti zajednički za razinu, odnosno vrstu na pojedinoj razini obrazovanja, a iznimno se može donijeti i uz kurikulum određenoga nastavnog predmeta. Kurikulume nastavnih predmeta i nastavne planove donosi ministar nadležan za obrazovanje odlukom.

• Tko je  voditelj obrade osobnih podataka?

Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka (članak 4. Opće uredbe o zaštiti podataka).

U konkretnom slučaju je to ŠKOLA koja obrađuje osobne podatke učenika, njihovih roditelja, zaposlenika škole kao i svih drugih osoba koje posjećuju školu.

• Tko je izvršitelj obrade?

Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo  koje obrađuje osobne podatke u ime voditelja obrade. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom (članak 4. i 28. Opće uredbe o zaštiti osobnih podataka).

Primjer: knjigovodstveni servis koji obrađuje podatke o plaćama radnika škole; trgovačka društva koji obavljaju poslove privatne zaštite i postavili su videonadzorni sustav u školi te ujedno imaju uvid u snimke sačinjene videonadzornom kamerom.

Napomene!

Škola kao voditelj obrade NIJE U OBVEZI imati izvršitelja obrade. Opća uredba o zaštiti podataka daje mogućnost školi kao voditelju obrade da povjeri izvršitelju obrade obavljanje samo nekih točno ugovorenih poslova u ime i za račun škole kao voditelja obrade. Ugovorom ili drugim pravnim aktom potrebno je detaljno regulirati međusobna prava i obveze između voditelja obrade (škole) i izvršitelja obrade (članak 28. Opće uredbe o zaštiti podataka).

Izvršitelj obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka te provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu sa Općom uredbom o zaštiti podataka.

ISTIČEMO!

Škola kao voditelj obrade osobnih podataka mora poštivati standarde i načela iz Opće uredbe o zaštiti podataka, vodeći računa da svrha u koju se osobni podaci obrađuju bude zakonita i opravdana te da za obradu osobnih podataka postoji pravna osnova (članak 5. i 6. Opće uredbe o zaštiti podataka).

• Koja su načela obrade osobnih podataka kojih se škola kao voditelj obrade mora pridržavati prilikom obrade osobnih podataka (članak 5. Opće uredbe o zaštiti podataka)?

A) načelo zakonitosti, poštenosti i transparentnosti;
B) načelo ograničavanja svrhe;
C) načelo smanjenje količine podataka;
D) načelo točnosti;
E) načelo ograničenja pohrane;
F) načelo cjelovitosti i povjerljivosti.
Svaka obrada osobnih podataka od stane škole, kao voditelja obrade treba  biti zakonita i poštena. Poštujući načelo transparentnosti škola  ima obvezu pružiti informacije roditeljima (a tako i svim drugim osobama čije osobne podatke na bilo koji način obrađuje) na lako dostupan i razumljiv način uz upotrebu jasnog i razumljivog jezika kako se osobni podaci prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju. Prilikom obrade osobnih podataka škola je dužna osigurati voditi računa da podaci koje obrađuje budu primjereni, bitni/relevantni i ograničeni na ono što je nužno za svrhe u koje se podaci obrađuju (ukoliko neki osobni podatak nije nužno potreban nemojte ga prikupljati). Također, škola je dužna voditi računa da osobni podaci budi točni i ažurni, a da se netočni osobni podaci isprave ili izbrišu.

Vezano za čuvanje osobnih podataka navodimo kako je škola dužna čuvati podatke u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhu radi kojih se osobni podaci obrađuju  (ako postoji zakonska obveza koja propisuje rok čuvanja osobnih podataka potrebno je pridržavati se roka koji je propisan posebnim zakonom). Osobne podatke trebalo bi obrađivati uz odgovarajuće poštovanje sigurnosti i povjerljivosti osobnih podataka, što obuhvaća i sprečavanje neovlaštenog pristupa osobnim podacima i opremi kojom se koristi pri obradi podataka ili njihove neovlaštene upotrebe.

• Što znači da za obradu osobnih podataka mora postojati zakonita osnova (članak 6. Opće uredbe o zaštiti podataka)?

Člankom 6., stavkom 1. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha (članak 7. Opće uredbe o zaštiti podataka);
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (primjerice: ugovor škole sa roditeljima vezano za prehranu/cjelodnevni boravak  njihove djece u školi);
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade (primjerice: obrada podataka roditelja i učenika sukladno Zakonu o odgoju i obrazovanju u osnovnim i srednjim školama, obrada podataka o radnicima u svrhu izvršavanja obveze poslodavca koje proizlaze iz Zakona o radu, Zakona o zdravstvenom osiguranju, Zakona o mirovinskom osiguranju i sl.);
(d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti (primjerice:  obrada osobnih podataka u svrhu izdavanja svjedodžbi, obrada podataka u svrhu upisa u e-maticu dr.);
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete (primjerice: obrada osobnih podataka putem videonadzornog sustava).

Napomene!

S obzirom na veliki broj pristiglih upita zaprimljenih od strane škola, a tako i roditelja djece (učenika) koja pohađaju ili se upisuju u škole, a vezano uz zakonitost prikupljanja i daljnje obrade njihovih osobnih podataka, osobnih podataka njihove djece (učenika), kao i opsega prikupljanja podataka ukazujemo na sljedeće:

 Kako je već gore navedeno za svaku obradu osobnih podataka škola kao voditelj obrade mora imati zakonitu osnovu i svrhu.

 Za zakonitu obradu osobnih podataka potrebno je da bude ispunjena JEDNA od taksativno  navedenih pravnih osnova iz članka 6. Opće uredbe o zaštiti podataka.

 PRIVOLA je samo jedna od zakonitih pravnih osnova za obradu osobnih podataka, međutim ako se osobni podaci prikupljaju i dalje obrađuju temeljem neke druge pravne osnove iz članka 6. Opće uredbe o zaštiti podataka,  privolu nije potrebno tražiti

 PRIVOLA bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave.

 PRIVOLA se u svakom trenutku može povući-OPOZVATI (povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja). Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.

 PRIVOLA bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za svaku od njih posebno (primjerice; jedna svrha je objava podataka u časopisu škole, druga je svrha objava podataka u medijima, sudjelovanje u TV/RADIO emisijama). Ističemo kako nije potrebno prikupljati više obrazaca privole u slučajevima kada se privola daje za više različitih svrha. Dakle, na istom obrascu moguće je zatražiti privolu za različite svrhe obrade osobnih podataka pod uvjetom da su svrhe jasno naznačene i razgraničene. Također jednom dana privola  u točno određenu svrhu vrijedi do opoziva, nije ju potrebno  davati roditeljima svake školske godine ako se opseg podataka i svrha u koju se prikupljaju privole nije promijenila, međutim  Radna skupina iz članka 29. preporučuje, kao najbolju praksu, da bi se privola trebala obnavljati u odgovarajućim vremenskim razmacima više u Smjernici o privoli u skladu s Uredbom 2016/679

 Škola je obveznik primjene odredbi posebnih zakona (primjerice; Zakona o odgoju i obrazovanju u osnovnim i srednjim školama,  Zakon o stručno-pedagoškom nadzoru),  i drugih podzakonskih akata koji su doneseni temeljem zakona (primjerice; Pravilnik o sadržaju i obliku svjedodžbi i drugih javnih isprava te pedagoškoj dokumentaciji i evidenciji u školskim ustanovama;  Pravilnik o izradbi i obrani završnoga rada) te Nacionalni kurikulum Republike Hrvatske za predškolski, osnovnoškolski i srednjoškolski odgoj i obrazovanje .

Važno!

Ako škola prikuplja i obrađuje osobne podatke temeljem posebnih propisa, odnosno ako je takva obrada nužna radi poštovanja pravnih obveza škole kao voditelja obrade, u tom slučaju privola kao jedna od mogućih pravnih osnova za obradu ne bi bila primjenjiva.

Primjerice: Člankom 138. stavkom 1. Zakona o odgoju i obrazovanju u osnovnim i srednjim školama propisano je kako se u školskim se ustanovama vodi pedagoška dokumentacija i evidencija o učenicima, praćenju nastave i drugih oblika odgojno-obrazovnog rada, upisu i ispisu učenika, ocjenjivanju i uspjehu učenika, pedagoškim mjerama i ispitima (obavijest o ostvarenim rezultatima na kraju prvog polugodišta, svjedodžba, prijepis ocjena kada učenik prelazi iz jedne škole u drugu, matična knjiga, dnevnik rada, imenik učenika i spomenica škole).

 Isto tako, ako škola prikuplja i obrađuje osobne podatke  radi sklapanja ugovora između škole i roditelja djeteta (učenika),  odnosno ako je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (primjerice: ugovor o prehrani učenika), u tom slučaju privola kao jedna od mogućih pravnih osnova za obradu ne bi bila primjenjiva.

 Informiranje/obavještavanje roditelja djece (učenika) o svrsi i pravnoj osnovi obrade osobnih podataka je obveza svake škole kao voditelja obrade prilikom prikupljanja i daljnje obrade osobnih podataka djece (učenika) a sve u skladu sa transparentnosti obrade osobnih podataka.  Škola je dužna razgraničiti koji osobni podaci i informacije se prikupljaju temeljem njihove zakonske obveze, odnosno koji su obvezni osobni podaci, a koji fakultativni podaci.
Napomena!

Prilikom prikupljanja osobnih podataka potrebo je razlikovati PRIVOLU od INFORMIRANJA/PRUŽANJA OBAVIJESTI ispitaniku.
PRUŽANJE INFORMACIJA jedna je od temeljnih obveza škole, kao voditelja obrade neovisno o pravnoj osnovi prikupljanja i daljnje obrade osobnih podataka te je isto potrebno u svakom slučaju obrade osobnih podataka.
PRIVOLA je jedna od mogućih zakonitih osnova za obradu osobnih podataka i  nije primjenjiva ukoliko se osobni podaci obrađuju temeljem neke druge zakonite osnove.

S obzirom na primjenu Opće uredbe skrećemo pozornost na sljedeće temeljne obveze škole kao voditelja obrade: pružanje informacija  ispitanicima u svrhu ostvarivanja  njihovih prava (članci 12. do 22. Opće uredbe o zaštiti podataka), provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite  osobnih podataka (članci  25. i 32. Opće uredbe o zaštiti podataka), vođenje evidencija aktivnosti obrade (članak 30. Opće uredbe o zaštiti podataka), imenovanje službenika za zaštitu podataka (članak 37. Opće uredbe o zaštiti podataka).


• Pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava (članak 13. i 14. Opće uredbe o zaštiti podataka)

Vezano za pružanje informacija  ispitanicima (primjerice; roditeljima djece (učenika) i sl.)  u svrhu ostvarivanja  njihovih prava navodimo kako je poštujući načelo transparentnosti škola dužna ispitaniku pružiti sve informacije o obradi  osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi o zaštiti podataka, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Također, ukoliko osobni podaci nisu dobiveni od ispitanika škola je dužna ispitaniku pružiti  osim gore navedenih informacija i informacije o izvoru osobnih podataka (članak 14. Opće uredbe o zaštiti podataka).

Osim toga, navodimo kako je u svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka, a time i ostvarivanja  prava ispitanika: pravo pristupa podacima, prava na ispravak netočnih podataka, prava na brisanje podataka, prava na ograničenje obrade podataka, prava na prenosivost podataka i prava na ulaganje prigovora na obradu osobnih podataka škola dužna detaljno objasniti koje vrste osobnih podataka  prikuplja, u koju svrhu i po kojoj pravnoj osnovi, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje mjere zaštite osobnih podataka se poduzimaju (izrada politika privatnosti). 

Isto tako ukazujemo kako je potrebno usklađivanje internih akata vezanih uz radno-pravne odnose, odnosno uskladiti odredbe internih akata koje se odnose na zaštitu osobnih podataka u kojima će na sveobuhvatan i jasan način biti ugrađene informacije koje škola u trenutku prikupljanja osobnih podataka obvezna ispitaniku pružiti (standardi iz članka 13. i članka 14. Opće uredbe o zaštiti podataka).

• Provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite  osobnih podataka (članci 25. i 32. Opće uredbe o zaštiti podataka)

Škola je dužna poduzimati i provoditi odgovarajuće tehničke i organizacijske mjere zaštite koje imaju za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka, odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koristi.

Mjere zaštite
 dokumentaciju u papirnatom obliku koja sadrži osobne podatke pohraniti, primjerice u ormare ili ladice pod ključem koja će biti pod nadzorom ovlaštenih osoba,
 pristup osobnim podacima pohranjenim u elektroničkom obliku trebao bi biti omogućen uporabom korisničkog imena i lozinke,
 izrada sigurnosnih kopija od strane ovlaštenih osoba, bilježenje pristupa podacima,
 potpisivanje izjava o povjerljivosti osoba koje su u obradi osobnih podataka (Izjave o povjerljivosti možete pronaći na internet stranici ove Agencije http://azop.hr/info-servis/detaljnije/izjava-o-povjerljivosti),
 pseudonimizacija ili enkripcija osobnih podataka-osobito ako se radi o posebnim  kategorijama (primjerice: podataka o zdravlju).

• Evidencija aktivnosti obrade (članak 30. Opće uredbe o zaštiti podataka)
Evidencija aktivnosti obrade je formular, odnosno informativni katalog informacija koji služi kao svojevrstan pregled/presjek svake pojedine obrade osobnih podataka kao i dokaz da je obrada osobnih podataka zakonita, tj. sukladna odredbama Opće uredbe o zaštiti podataka.   
Evidencija aktivnosti obrade mora sadržavati informacije iz članka 30. Opće uredbe o zaštiti podataka te mora biti u pisanom obliku, uključujući elektronički oblik. Podaci sadržani u evidenciji obrade trebali bi biti na odgovarajući način zaštićeni (primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa). Obveza  vođenja evidencije aktivnosti obrade obveza  je i onih voditelja obrade, koji zapošljavaju  manje od 250  osoba, pa tako i škole ako je obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika, ako obrada nije povremena ili obrada uključuje posebne kategorije podataka iz članka 9. stavka 1. ili je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.

• Službenik za zaštitu podataka (članci 37.-39. Opće uredbe o zaštiti podataka)
Službenik za zaštitu podataka je osoba imenovana od strane škole kao voditelja obrade koja vodi brigu o zakonitosti obrade osobnih podataka i ostvarivanju prava na zaštitu osobnih podataka. Važno je istaknuti kako službenik za zaštitu podataka može biti zaposlenik škole ili vanjski suradnik (osoba koja nije zaposlenik škole) koji ima stručne kvalifikacije osobito stručno znanje o pravu i praksama u području zaštite osobnih podataka te sposobnosti izvršavanja  zadaća iz članka 39. Opće uredbe o zaštiti podataka.
Prilikom imenovanja službenika potrebno je voditi  računa da ne postoji sukob interesa (voditi računa da takva osoba ne sudjeluje u donošenju odluka kojima se utvrđuje svrha i način obrade osobnih podataka).
Škola je dužna donijeti Odluku o imenovanju službenika sukladno Općoj uredbi o zaštiti podataka vodeći računa o stručnim kvalifikacijama (stručnom znanju i praksi iz područja zaštite osobnih podataka) te je dužan objaviti kontaktne podatke službenika za zaštitu podataka (npr. generička e-mail adresa, službeni broj telefona, nema obveze navođenja imena i prezimena službenika) i priopćiti ih nadzornom tijelu.

NAJČEŠĆA PITANJA I ODGOVORI U SVEZI PRIKUPLJANJA I DALJNJE OBRADE OSOBNIH  PODATAKA U ŠKOLAMA

1. Pravo uvida u e-dnevnik i ostale informacije vezane uz obrazovanje za dijete bez njegove suglasnosti/privole od strane roditelja/zakonskog zastupnika djeteta?

Ne postoje zakonske prepreke za uvid u ocjene djece neovisno o njihovoj dobi koje su sadržane u e-dnevniku od strane njihovih roditelja/zakonskih zastupnika, odnosno isti će i dalje moći dobiti na uvid (bez nužne privole) njegove ocjene, izostanke, ponašanja, kao i druge informacije vezano uz njihovo obrazovanje. U konkretnom slučaju radi se ne samo o pravu već i obvezi roditelja/zakonskog zastupnika da se brine o svome djetetu sukladno odredbama posebnog propisa (Obiteljski zakon).

2. Privola djeteta koja se isključivo odnosi  u slučaju nuđenja usluga informacijskog društva?

Vezano za privolu djeteta u slučaju nuđenja usluga informacijskog društva - svaka usluga  koja se obično pruža uz naknadu na daljinu, elektroničkim sredstvima te na osobni zahtjev primatelja (Direktiva EU 2015/1535  Europskog parlamenta i Vijeća) kao što su primjerice, internet prodaja robe i usluga, nuđenje podataka na internetu, pristup društvenim mrežama i sl..  obrada je zakonita ako dijete ima najmanje 16 godina. Ako je dijete ispod dobne granice od 16 godina takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom (zakonski zastupnik djeteta). 

3. Može li tajnik škole biti imenovan na funkciju službenika za zaštitu podataka?

Tajnik škole može biti imenovan na funkciju službenika za zaštitu podataka pod uvjetom da ta osoba ne dođe u sukob interesa te da kao službenik za zaštitu podataka bude u mogućnosti obavljati svoje dužnosti i zadaće na neovisan i stručan način.

Može li službenik za informiranje u školi biti službenik za zaštitu osobnih podataka?
Može, ne postoji prepreka da jedna osoba obavlja dvije funkcije, ako ne postoje neke druge zapreke primjerice sukob interesa.

PREPORUKA!
• škola, kao voditelj obrade odlučuje o mogućem postojanju sukoba interesa u svakom pojedinom slučaju, pritom posebno uzimajući u obzir obilježja organizacijske strukture škole

4. Smije li škola objaviti osobne podatke zaposlenika na mrežnim stranicama?

Kod objave osobnih podataka zaposlenika škole trebalo bi primjenom načela razmjernosti i ograničenja obrade osobnih podataka voditi brigu da se objavljuju samo oni podaci koji su nužni da bi postigla utvrđena svrha (informiranje radnika, roditelja).
Također škola ima zakonsku obvezu (Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi) objaviti Godišnji plan i program na svojoj  web stranici koji sadrži podatke o izvršiteljima poslova. Budući da  posebnim zakonom nije  propisan opseg osobnih podataka koji se trebaju objaviti dovoljno je objaviti imena i prezimena radnika i nazive radnih mjesta te eventualno njihovu stručnu spremu, dok bi sve ostale osobne podatke (primjerice: datum i godinu rođenja radnika, mjesto rođenja,  privatnu adresu) koji se odnose na privatnu sferu zaposlenika trebalo zaštititi odnosno ne objavljivati javno na mrežnim stranicama škole.

5. Fotografiranje djece u školi?

Vezano za fotografiranje djece na školskim priredbama nije potrebna prethodna privola roditelja djece već bi se  ukoliko se radi o javnim događajima isto bi se smatralo legitimnim interesom škole kao voditelja obrade. Međutim, isto podrazumijeva se da su roditelji djece bili prethodno informirani da će njihova djeca biti fotografirana. Ako se radi o pojedinačnim fotografijama potrebno je razmotriti gdje su iste sačinjene primjerice: ako su sačinjene na  natjecanju, u učionici i sl.  pa je ovisno o tome od slučaja do slučaja potrebno utvrditi pravnu osnovu za isto (privola roditelja ili legitimni interes škole), a roditelje  prethodno informirati o svrsi u koju se učenici tj. djeca fotografiraju

Vezano za fotografiranje djeteta od strane roditelja u učionici škole, kada se vrlo često na fotografiji nalaze i druga djeca navodimo kako se Opća uredba o zaštiti podataka ne primjenjuje na obradu osobnih podataka koju fizičke osobe obavljaju u okviru isključivo osobne ili kućne aktivnosti te stoga nije povezana s profesionalnom ili komercijalnom djelatnošću. Pritom je  potrebno voditi računa da se fotografije ne objavljuju na Internet stranicama, društvenim mrežama i sl. već da se koriste samo za vlastitu potrebu stvaranje privatnog foto albuma i sl.

6. Davanje osobnih podataka policiji (primjerice: u svrhu otkrivanja vršnjačkog nasilja i sl.)?

Policija ima pravo tražiti osobne podatke učenika kako bi mogla izvršavati svoje ovlasti temeljem posebnih propisa. U tom slučaju ne bi bila potrebna suglasnost roditelja za davanje podataka  ako su isti  nužni  policiji za izvršavanje njihovih ovlasti, tj. potrebni za daljnje postupanje i razjašnjavanje konkretnog slučaja. Dovoljno je samo roditelje prethodno informirati o davanju takvih osobnih podataka (članak 25. Zakona o policijskim poslovima i ovlastima policija)

7. Prikupljanje uvjerenja o  nekažnjavanju  od kandidata prilikom zapošljavanja?
Smatramo kako škola mora prikupljati i obrađivati osobne podatke koji se odnose na kandidate za zaposlenje u mjeri u kojoj je prikupljanje tih podataka nužno i relevantno za obavljanje poslova za koji se kandidat prijavljuje, a u tom slučaju  pritom za isto nije potrebna privola osoba/kandidata natječajnog postupka (primjena članka 106. Zakona o odgoju i obrazovanju u osnovnom i srednjim školama). Dakle, škola kao voditelj obrade ima ovlast prilikom provedbe natječaja za zapošljavanje tražiti uvjerenje o nekažnjavanju   a sve kako bi škola  voditelj obrade odnosno poslodavac mogla ispuniti pravnu obvezu propisanu posebnim zakonom-Zakonom o odgoju i obrazovanju u osnovnim i srednjim školama.

8. Objava godišnjeg plana i programa škole i kurikuluma škole?
Zakonom o odgoju i obrazovanju o osnovnoj i srednjoj školi propisano je da se školski kurikulum i godišnji plan i program škole objavljuju na mrežnim stranicama škole u skladu sa  propisa  vezanim uz zaštitu osobnih podataka. Godišnjim planom i program rada školske ustanove utvrđuje se  mjesto, vrijeme, način i izvršitelji poslova, a sadrži  između ostalog i podatke o izvršiteljima poslova. Godišnji plan i program rada donosi se na osnovi nastavnog plana i programa i školskog kurikuluma.

Međutim, prilikom objave osobnih podataka  na mrežnim stranicama i mora se voditi briga da se objavljuju samo oni podaci koji su nužni da bi postigla utvrđena svrha (informiranje roditelja, učenika škole) odnosno dovoljno je objaviti imena i prezimena radnika (izvršitelja poslova) s obzirom da posebnim zakonom nije izričito propisano koje sve podatke o radnicima škole, školski kurikulum i godišnji plan i program  rada mora sadržavati.

9. Davanje osobnih podataka učenika i roditelja od strane škole drugim primateljima odnosno  nositeljima projekta  u svrhu provođenja projekta od strane škole?

Podaci o učenicima i roditeljima mogu se dati  nositeljima projekta pod uvjetom da za isto  postoji najmanje  jedna od  pravnih osnova  iz članka 6. Opće uredbe o zaštiti podataka i da je dostava  osobnih podataka neophodna i nužna za provedbu i pravdanje projekta.

10. Davanje podataka (ime i prezime) kandidata za zapošljavanje članovima školskog odbora u pozivu za sjednicu?
Ako je poziv za sjednicu primjerice objavljen na web stranici škole ili oglasnoj ploči škole i kao takav dostupan svim posjetiteljima web stranice škole s aspekta propisa o zaštiti osobnih podataka ne nalazimo uporište za objavu punog imena i prezimena kandidata o kojem će se raspravljati na sjednici. Članovi školskog odbora imaju pravo znati osobne podatke kandidata za zapošljavanje, ali je dovoljno otkrivanje osobnih podataka (identiteta potencijalnih kandidata za zapošljavanje) na sjednici školskog odbora odnosno dostavom materijala za sjednicu, kako je navedeno u Statutu škole. U  pozivu za sjednicu dovoljno je navesti kao točku dnevnog reda samo raspravu o davanju suglasnosti za predloženog kandidata. Škola kao voditelj obrade mora voditi brigu o  opsegu osobnih podataka te bi školskom odboru trebali biti dostupni samo nužni podaci koji su potrebni za donošenje stajališta/suglasnosti o predloženom kandidatu. Preporuka je da se članovima školskog odbora kao jedna od mjera zaštite dade na potpis i izjava o povjerljivosti. 

11. Objava osobnih podataka u monografiji?

Zakonitu pravnu osnovu za objavu monografije škole nalazimo u članku 6. Opće uredbe o zaštiti podataka i legitimnom interesu škole (voditelja obrade) te stoga posebna privola svakog pojedinog bivšeg učenika ili djelatnika za objavu njihovih osobnih podataka nije potrebna.

Također, potrebno je prethodno informirati ispitanike (bivše učenike ili djelatnike) o prikupljanju i obradi njegovih osobnih podataka pod uvjetom da za obradu osobnih podataka škola ima odgovarajući pravni temelj iz članka 6. Opće uredbe o zaštiti podataka.

Opća uredba o zaštiti podataka ne odnosi na umrle osobe iz razloga što se umrle osobe više ne smatraju fizičkim osobama u smislu odredbi Opće uredbe o zaštiti podataka. Podaci o umrlim osoba mogu se prikupljati i dalje obrađivati uz strogo uvažavanje njihovog pijeteta te zaštite osobnih podataka članova njihovih obitelji. Ukoliko se obitelj ili nasljednici izričito protive objavi podataka o umrlim osobama takvi podaci ne bi mogli biti predmetom daljnje obrade.

12. Može li škola na traženje resornog Ministarstva provjeriti diplome svojih zaposlenika?

Za svaku obradu osobnih podataka mora postojati  najmanje jedna od pravnih osnova iz članka 6. Opće uredbe o zaštiti podataka. Vezano uz provjeru vjerodostojnosti isprava  kojima radnici u ustanovi dokazuju odgovarajući stupanj obrazovanja sukladno posebnom zakonu  navedeno se može temeljiti na  legitimnom interesu voditelja obrade u smislu članka 6. stavka 1. točke f) Opće uredbe o zaštiti podataka. Dodatno napominjemo kako je uvijek prilikom korištenja legitimnog interesa kao pravne osnove za pojedinu obradu osobnih podataka potrebno provesti test ravnoteže tj. utvrditi  i dokazati pretežu li interesi voditelja obrade nad interesima ispitanika.
S obzirom na postojanje gore navedenog pravne osnove iz članka 6. Opće uredbe o zaštiti podataka te podudarnost svrhe prikupljanja navedenih osobnih podataka čija se provjera traži, privola/suglasnost zaposlenika za traženje i dobivanje navedene informacije nije nužna niti potrebna te se ista može tražiti i dati bez njegova pristanka.

 
 
  Natrag