HR | EN

logo
header pozadina-min
Fotografiranje i objava fotografija djeteta u vrtiću

Objavljeno: 28.11.2023.

Nastavno na dopis, Agencija za zaštitu osobnih podataka u nastavku iznosi sljedeće:

Napominjemo da je vrtić voditelj obrade u smislu članka 4. stavka 1. točke 4. Opće uredbe o zaštiti podataka.

Ističemo kako je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom o zaštiti podataka potrebno postojanje pravnog temelja iz članka 6. stavka 1. Opće uredbe o zaštiti podataka kojim je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Vezano uz fotografiranje djece, napominjemo kako, sukladno uvodnoj izjavi 38 Opće uredbe o zaštiti podataka, djeca zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka budući mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka.

Imajući u vidu da su osobni podaci djeteta osobito osjetljivi, smatramo kako se fotografiranje (i objava fotografija djeteta) ne može temeljiti na legitimnom interesu ukoliko se određenom fotografijom pojedino dijete ciljano izdvaja iz mase te je fokus upravo na njemu.

Pravni temelj za navedenu obradu bi se mogao pronaći u privoli ispitanika u smislu članka 6. stavka 1. točke a) Opće uredbe o zaštiti podataka, a s obzirom da je riječ o djetetu, navedeni osobni podaci se mogu obrađivati samo uz pribavljanje privole od strane nositelja roditeljske odgovornosti.

Pri tome roditeljima mora biti potpuno jasno za što točno daju privolu: fotografiranje djeteta u svrhu slanja fotografija roditeljima radi njihove informiranosti, fotografiranje djeteta u svrhu objave na web stranici vrtića u promidžbene svrhe i slično.

Za detalje Vas upućujemo na Preporuke Agencije o primjeni Opće uredbe o zaštiti podataka u predškolskim ustanovama“, dostupne na poveznici: https://azop.hr/primjena-opce-uredbe-o-zastiti-podataka-u-predskolskim-ustanovama/.

Sveučilišno izdanje objave imena i fotografije djece (Downov sindrom)

Objavljeno: 23.10.2023.

Nastavno na Vaš upit o Sveučilišnom izdanju objave fotografije djece (Downov sindrom) s imenima, Agencija za zaštitu osobnih podataka se očituje kako slijedi:

Prvenstveno ističemo kako je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom o zaštiti podataka potrebno postojanje pravnog temelja iz članka 6. stavka 1. Opće uredbe o zaštiti podataka kojim je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

 Nadalje, vezano uz fotografiranje djece, napominjemo kako je uvodnom odredbom 38 Opće uredbe propisano da ista zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka budući mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka. Takvo pravo na posebnu zaštitu trebalo bi se posebno odnositi na upotrebu osobnih podataka djece u svrhu marketinga ili stvaranja osobnih ili korisničkih profila te prikupljanje osobnih podataka o djeci prilikom upotrebe usluga koje se izravno nude djetetu.

Pravni temelj za navedenu obradu bi se mogao pronaći u privoli ispitanika u smislu članka 6. stavka 1. točke a) Opće uredbe o zaštiti podataka, a s obzirom da je riječ o djetetu, navedeni osobni podaci se mogu obrađivati samo uz pribavljanje privole od strane nositelja roditeljske odgovornosti, odnosno zastupnika/skrbnika pojedinog djeteta koji će zastupati djetetove interese.

Zaključno, iz Vašeg upita može se razabrati  kako je prethodno pribavljena suglasnost roditelja (privola), te napominjemo kako u privoli mora biti specificirano u koju svrhu roditelj daje pristanak na obradu osobnih podataka njegovog djeteta.

Objava imena i prezimena djelatnika u Godišnjem planu i programu škole i u Kurikulumu

Objavljeno: 19.12.2022.

Nastavno na Vaš upit u vezi objave imena i prezimena djelatnika u Godišnjem planu i programu škole i u Kurikulumu koji škola objavljuje na svojim mrežnim stranicama te s tim u vezi objave imena i prezimena djelatnika koji rade u školi na internet stranici, obzirom je osnovnoj školi Prosvjetna inspekcija naložila da se imena i prezimena djelatnika, uključujući i njihove inicijale, moraju zacrniti zbog poštivanja mjerodavnih propisa o zaštiti podataka, Agencija za zaštitu osobnih podataka se očituje kako slijedi:

Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi (NN 87/08, 86/09, 92/10, 105/10, 90/11, 5/12, 16/12, 86/12, 126/12, 94/13, 152/14, 07/17, 68/18, 98/19, 94/20; dalje u tekstu: ZOOUOS) u odredbi članka 28. propisuje sadržaj školskog kurikuluma i godišnjeg plana i programa rada školske ustanove te obvezu škole za objavom navedenih dokumenata na mrežnim stranicama škole.

Temeljem odredbe članka 28. stavka 1. i 2. ZOOUOS-a, škola radi na temelju školskog kurikuluma i godišnjeg plana i programa rada, pri čemu školski kurikulum utvrđuje dugoročni i kratkoročni plan i program škole s izvannastavnim i izvanškolskim aktivnostima, a donosi se na temelju nacionalnog kurikuluma i nastavnog plana i programa.

Temeljem odredbe članka 28. stavka 3. ZOOUOS-a, školski kurikulum određuje nastavni plan izbornih i fakultativnih predmeta, izvannastavne i izvanškolske aktivnosti, izborni dio međupredmetnih i/ili interdisciplinarnih tema i/ili modula i druge odgojno-obrazovne aktivnosti, programe i projekte te njihove kurikulume, ako nisu određeni nacionalnim kurikulumom.

Temeljem odredbe članka 28. stavka 4. i 5. ZOOUOS-a, školskim kurikulumom se utvrđuje:

 • strategija razvoja škole
 • aktivnost, program i /ili projekt
 • namjena aktivnosti, programa i/ili projekta
 • nositelji aktivnosti, programa i/ili projekta i njihova odgovornost
 • način realizacije aktivnosti, programa i/ili projekta
 • vremenik aktivnosti, programa i/ili projekta
 • okvirni troškovnik aktivnosti, programa i/ili projekta
 • način njegova praćenja,

a školskim kurikulumom mogu se utvrditi i druge odrednice sukladno kurikularnim dokumentima.

Temeljem odredbe članka 28. stavka 8. ZOOUOS-a, godišnji plan i program rada donosi se na osnovi nastavnog plana i programa i školskog kurikuluma, a donosi ga školski, odnosno domski odbor do 7. listopada tekuće godine.

Temeljem odredbe članka 28. stavka 9. ZOOUOS-a, godišnjim planom i programom rada školske ustanove utvrđuje se mjesto, vrijeme, način i izvršitelji poslova, a sadrži u pravilu:

 • podatke o uvjetima rada
 • podatke o izvršiteljima poslova
 • godišnji kalendar rada
 • podatke o dnevnoj i tjednoj organizaciji rada
 • tjedni i godišnji broj sati po razredima i oblicima odgojno-obrazovnog rada
 • planove rada ravnatelja, učitelja, odnosno nastavnika te stručnih suradnika
 • planove rada školskog, odnosno domskog odbora i stručnih tijela
 • plan stručnog osposobljavanja i usavršavanja, u skladu s potrebama škole
 • podatke o ostalim aktivnostima u funkciji odgojno-obrazovnog rada i poslovanja školske ustanove.

Temeljem odredbe članka 28. stavka 10. ZOOUOS-a, škola je dužna elektroničkim putem Ministarstvu dostaviti godišnji plan i program te školski kurikulum do 15. listopada tekuće godine.

 

Temeljem odredbe članka 28. stavka 11. ZOOUOS-a, školski kurikulum i godišnji plan i program objavljuju se na mrežnim stranicama škole u skladu s propisima vezanima uz zaštitu osobnih podataka.

Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka  propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

 

Sukladno članku 6. stavku 3. Opće uredbe o zaštiti podataka, ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade ili izvršavanje zadaće od javnog interesa/službene ovlasti voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade ili, u pogledu obrade iz stavka 1. točke e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade.

U vezi naprijed navedenog ističemo kako temeljem odredbe članka 1. stavka 1. toč. (b) osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama, a temeljem toč. (c) osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.

Sukladno naprijed citiranoj odredbi članka 28. stavka 11. ZOOUOS-a, škola ima zakonsku obvezu na mrežnim stranicama objaviti školski kurikulum i godišnji plan i program, a koji sadrži, među ostalim, i podatke o izvršiteljima poslova (nastavnicima – zaposlenicima škole) te  podatke o nositeljima aktivnosti, programima i/ili projekta i njihove odgovornosti.

Kod objave osobnih podataka zaposlenika škole trebalo bi u konkretnom slučaju primjenom načela razmjernosti i ograničenja obrade osobnih podataka voditi brigu da se objavljuju samo oni podaci koji su nužni da bi se postigla određena svrha (informiranje radnika, roditelja). Stoga smo mišljenja kako je objava imena i prezimena izvršitelja poslova u školskom kurikulumu i godišnjem planu i programu, u skladu s zakonitom svrhom koja se ogleda prije svega u informiranju roditelja, a sve temeljem propisane zakonske obveze iz članka 28. stavka 11. ZOOUOS-a.

 

Objava imena i prezimena učitelja/rehabilitatora u Godišnjem planu i programu škole i u Kurikulumu koji škola objavljuje na svojim mrežnim stranicama te s tim u vezi objave imena i prezimena djelatnika koji rade u školi na internet stranici

Objavljeno: 19.12.2022.

Nastavno na Vaš upit u vezi objave imena i prezimena učitelja/rehabilitatora u Godišnjem planu i programu škole i u Kurikulumu koji škola objavljuje na svojim mrežnim stranicama te s tim u vezi objave imena i prezimena djelatnika koji rade u školi na internet stranici, Agencija za zaštitu osobnih podataka se očituje kako slijedi:

Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi (NN 87/08, 86/09, 92/10, 105/10, 90/11, 5/12, 16/12, 86/12, 126/12, 94/13, 152/14, 07/17, 68/18, 98/19, 94/20; dalje u tekstu: ZOOUOS) u odredbi članka 28. propisuje sadržaj školskog kurikuluma i godišnjeg plana i programa rada školske ustanove te obvezu škole za objavom navedenih dokumenata na mrežnim stranicama škole.

Temeljem odredbe članka 28. stavka 1. i 2. ZOOUOS-a, škola radi na temelju školskog kurikuluma i godišnjeg plana i programa rada, pri čemu školski kurikulum utvrđuje dugoročni i kratkoročni plan i program škole s izvannastavnim i izvanškolskim aktivnostima, a donosi se na temelju nacionalnog kurikuluma i nastavnog plana i programa.

Temeljem odredbe članka 28. stavka 3. ZOOUOS-a, školski kurikulum određuje nastavni plan izbornih i fakultativnih predmeta, izvannastavne i izvanškolske aktivnosti, izborni dio međupredmetnih i/ili interdisciplinarnih tema i/ili modula i druge odgojno-obrazovne aktivnosti, programe i projekte te njihove kurikulume, ako nisu određeni nacionalnim kurikulumom.

Temeljem odredbe članka 28. stavka 4. i 5. ZOOUOS-a, školskim kurikulumom se utvrđuje:

 • strategija razvoja škole
 • aktivnost, program i /ili projekt
 • namjena aktivnosti, programa i/ili projekta
 • nositelji aktivnosti, programa i/ili projekta i njihova odgovornost
 • način realizacije aktivnosti, programa i/ili projekta
 • vremenik aktivnosti, programa i/ili projekta
 • okvirni troškovnik aktivnosti, programa i/ili projekta
 • način njegova praćenja, a školskim kurikulumom mogu se utvrditi i druge odrednice sukladno kurikularnim dokumentima.

Temeljem odredbe članka 28. stavka 8. ZOOUOS-a, godišnji plan i program rada donosi se na osnovi nastavnog plana i programa i školskog kurikuluma, a donosi ga školski, odnosno domski odbor do 7. listopada tekuće godine.

 Temeljem odredbe članka 28. stavka 9. ZOOUOS-a, godišnjim planom i programom rada školske ustanove utvrđuje se mjesto, vrijeme, način i izvršitelji poslova, a sadrži u pravilu:

 • podatke o uvjetima rada
 • podatke o izvršiteljima poslova
 • godišnji kalendar rada
 • podatke o dnevnoj i tjednoj organizaciji rada
 • tjedni i godišnji broj sati po razredima i oblicima odgojno-obrazovnog rada
 • planove rada ravnatelja, učitelja, odnosno nastavnika te stručnih suradnika
 • planove rada školskog, odnosno domskog odbora i stručnih tijela
 • plan stručnog osposobljavanja i usavršavanja, u skladu s potrebama škole
 • podatke o ostalim aktivnostima u funkciji odgojno-obrazovnog rada i poslovanja školske ustanove.

Temeljem odredbe članka 28. stavka 10. ZOOUOS-a, škola je dužna elektroničkim putem Ministarstvu dostaviti godišnji plan i program te školski kurikulum do 15. listopada tekuće godine.

Temeljem odredbe članka 28. stavka 11. ZOOUOS-a, školski kurikulum i godišnji plan i program objavljuju se na mrežnim stranicama škole u skladu s propisima vezanima uz zaštitu osobnih podataka.

Sukladno članku 5. stavak 1. toč. 1. Opće uredne o zaštiti osobnih podataka, osobni podaci su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik“); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet pojedinca.

Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka  propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Sukladno članku 6. stavku 3. Opće uredbe o zaštiti podataka, ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade ili izvršavanje zadaće od javnog interesa/službene ovlasti voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade ili, u pogledu obrade iz stavka 1. točke c), mora biti nužna radi poštivanja pravnih obveza voditelja obrade..

U vezi naprijed navedenog ističemo kako temeljem odredbe članka 5. stavka 1. toč. (b) Opće uredbe o zaštiti podataka osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama, a temeljem toč. (c) osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.

Sukladno naprijed citiranoj odredbi članka 28. stavka 11. ZOOUOS-a, škola ima zakonsku obvezu na mrežnim stranicama objaviti školski kurikulum i godišnji plan i program, a koji sadrži, među ostalim, i podatke o izvršiteljima poslova (nastavnicima – zaposlenicima škole).

Kod objave osobnih podataka zaposlenika škole trebalo bi u konkretnom slučaju primjenom načela obrade osobnih podataka voditi brigu da se objavljuju samo oni podaci koji su nužni da bi se postigla određena svrha (informiranje radnika, roditelja).

Zaključno,  navedena obrada osobnih podataka može imati utemeljenje u  članku 28. stavcima 4., 9. i 11. ZOOUOS-a, a što može predstavljati pravni temelj u smislu članka 6. stavka 1. točke (c.) Opće uredbe o zaštiti podataka, pod uvjetom poštovanja navedenih načela obrade osobnih podataka.

Primjena Opće uredbe o zaštiti podataka u školskim ustanovama

6.11. 2019.

Uvodno ističemo kako sukladno propisima iz područja zaštite osobnih podataka djeca  zaslužuju posebnu zaštitu u pogledu obrade njihovih osobnih podataka budući da mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom njihovih osobnih podataka.

O najboljem interesu djeteta prvenstveno bi trebali brinuti njegovi roditelji/skrbnici ali i nadležne institucije i ostali subjekti, kao i društvo u cjelini. 

Tako je primjerice odredbama Obiteljskog zakona propisana dužnost/obveza roditelja skrbiti o djetetovim osobnim i imovinskim pravima te voditi računa o njegovoj dobrobiti u skladu s razvojnim potrebama i mogućnostima djeteta (članak 91. Obiteljskog zakona).

Obiteljskim zakonom, između ostaloga, propisano je kako roditelji imaju dužnost brinuti se o svestranom, redovitom, a prema svojim mogućnostima i daljnjem obrazovanju svojeg djeteta i poticati njegove umjetničke, tehničke, sportske i druge interese. Isto tako propisano je da su roditelji su dužni i odgovorni odzivati se sastancima ili pozivu odgojno-obrazovne ustanove u vezi s odgojem i obrazovanjem djeteta (članak 94. Zakona).

Sukladno članku 290. gore citiranog Zakona, roditelji su dužni uzdržavati punoljetno dijete koje se školuje u srednjoj školi, odnosno polazi sveučilišni ili stručni studij u skladu s posebnim propisima, odnosno program za osnovno obrazovanje ili program srednjoškolskog obrazovanja odraslih te redovito i uredno ispunjava svoje obveze, a najdulje do navršene dvadeset šeste godine života djeteta te roditelji u tom slučaju imaju pravo od djeteta, nadležnih tijela i pravnih osoba tražiti i dobiti podatke o djetetovu obrazovanju, odnosno zaposlenju.

Također, Zakonom o odgoju i obrazovanju u osnovnoj i srednjoj školi („Narodne novine“, broj: 87/08, 86/09, 92/10, 105/10, 90/11, 5/12, 16/12, 86/12, 126/12, 94/13, 152/14, 07/17, 68/18) između ostaloga, uređuje se djelatnost osnovnog i srednjeg odgoja i obrazovanja u javnim ustanovama.

Odgoj i obrazovanje u osnovnim i srednjim školama ostvaruje se na temelju nacionalnog kurikuluma, nastavnih planova i programa i školskog kurikuluma. Nacionalni kurikulumi donose se za pojedine razine i vrste odgoja i obrazovanja sukladno okvirnom nacionalnom kurikularnom dokumentu koji na općoj razini određuje elemente kurikularnog sustava za sve razine i vrste osnovnoškolskog i srednjoškolskog odgoja i obrazovanja. Nacionalne kurikulume i okvirni nacionalni kurikularni dokument donosi ministar nadležan za obrazovanje odlukom.
Kurikulumom nastavnih predmeta određuju se svrha i ciljevi učenja i poučavanja nastavnog predmeta, struktura pojedinog predmeta u cijeloj odgojno-obrazovnoj vertikali, odgojno-obrazovni ishod i/ili sadržaji, pripadajuća razrada i opisi razina usvojenosti ishoda, učenje i poučavanje te vrednovanje u pojedinom nastavnom predmetu, a može se utvrditi i popis potrebnih kvalifikacija učitelja i nastavnika za izvođenje kurikuluma. Nastavnim planom određuje se oblik izvođenja kurikuluma (obvezno, izborno, fakultativno, međupredmetno i/ili interdisciplinarno), godišnji broj nastavnih sati i njihov raspored po razredima. Nastavni plan može biti zajednički za razinu, odnosno vrstu na pojedinoj razini obrazovanja, a iznimno se može donijeti i uz kurikulum određenoga nastavnog predmeta. Kurikulume nastavnih predmeta i nastavne planove donosi ministar nadležan za obrazovanje odlukom.

• Tko je  voditelj obrade osobnih podataka?

Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka (članak 4. Opće uredbe o zaštiti podataka).

U konkretnom slučaju je to ŠKOLA koja obrađuje osobne podatke učenika, njihovih roditelja, zaposlenika škole kao i svih drugih osoba koje posjećuju školu.

• Tko je izvršitelj obrade?

Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo  koje obrađuje osobne podatke u ime voditelja obrade. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom (članak 4. i 28. Opće uredbe o zaštiti osobnih podataka).

Primjer: knjigovodstveni servis koji obrađuje podatke o plaćama radnika škole; trgovačka društva koji obavljaju poslove privatne zaštite i postavili su videonadzorni sustav u školi te ujedno imaju uvid u snimke sačinjene videonadzornom kamerom.

Napomene!

Škola kao voditelj obrade NIJE U OBVEZI imati izvršitelja obrade. Opća uredba o zaštiti podataka daje mogućnost školi kao voditelju obrade da povjeri izvršitelju obrade obavljanje samo nekih točno ugovorenih poslova u ime i za račun škole kao voditelja obrade. Ugovorom ili drugim pravnim aktom potrebno je detaljno regulirati međusobna prava i obveze između voditelja obrade (škole) i izvršitelja obrade (članak 28. Opće uredbe o zaštiti podataka).

Izvršitelj obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka te provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu sa Općom uredbom o zaštiti podataka.

ISTIČEMO!

Škola kao voditelj obrade osobnih podataka mora poštivati standarde i načela iz Opće uredbe o zaštiti podataka, vodeći računa da svrha u koju se osobni podaci obrađuju bude zakonita i opravdana te da za obradu osobnih podataka postoji pravna osnova (članak 5. i 6. Opće uredbe o zaštiti podataka).

• Koja su načela obrade osobnih podataka kojih se škola kao voditelj obrade mora pridržavati prilikom obrade osobnih podataka (članak 5. Opće uredbe o zaštiti podataka)?

A) načelo zakonitosti, poštenosti i transparentnosti;
B) načelo ograničavanja svrhe;
C) načelo smanjenje količine podataka;
D) načelo točnosti;
E) načelo ograničenja pohrane;
F) načelo cjelovitosti i povjerljivosti.
Svaka obrada osobnih podataka od stane škole, kao voditelja obrade treba  biti zakonita i poštena. Poštujući načelo transparentnosti škola  ima obvezu pružiti informacije roditeljima (a tako i svim drugim osobama čije osobne podatke na bilo koji način obrađuje) na lako dostupan i razumljiv način uz upotrebu jasnog i razumljivog jezika kako se osobni podaci prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju. Prilikom obrade osobnih podataka škola je dužna osigurati voditi računa da podaci koje obrađuje budu primjereni, bitni/relevantni i ograničeni na ono što je nužno za svrhe u koje se podaci obrađuju (ukoliko neki osobni podatak nije nužno potreban nemojte ga prikupljati). Također, škola je dužna voditi računa da osobni podaci budi točni i ažurni, a da se netočni osobni podaci isprave ili izbrišu.

Vezano za čuvanje osobnih podataka navodimo kako je škola dužna čuvati podatke u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhu radi kojih se osobni podaci obrađuju  (ako postoji zakonska obveza koja propisuje rok čuvanja osobnih podataka potrebno je pridržavati se roka koji je propisan posebnim zakonom). Osobne podatke trebalo bi obrađivati uz odgovarajuće poštovanje sigurnosti i povjerljivosti osobnih podataka, što obuhvaća i sprečavanje neovlaštenog pristupa osobnim podacima i opremi kojom se koristi pri obradi podataka ili njihove neovlaštene upotrebe.

• Što znači da za obradu osobnih podataka mora postojati zakonita osnova (članak 6. Opće uredbe o zaštiti podataka)?

Člankom 6., stavkom 1. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha (članak 7. Opće uredbe o zaštiti podataka);
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (primjerice: ugovor škole sa roditeljima vezano za prehranu/cjelodnevni boravak  njihove djece u školi);
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade (primjerice: obrada podataka roditelja i učenika sukladno Zakonu o odgoju i obrazovanju u osnovnim i srednjim školama, obrada podataka o radnicima u svrhu izvršavanja obveze poslodavca koje proizlaze iz Zakona o radu, Zakona o zdravstvenom osiguranju, Zakona o mirovinskom osiguranju i sl.);
(d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti (primjerice:  obrada osobnih podataka u svrhu izdavanja svjedodžbi, obrada podataka u svrhu upisa u e-maticu dr.);
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete (primjerice: obrada osobnih podataka putem videonadzornog sustava).

Napomene!

S obzirom na veliki broj pristiglih upita zaprimljenih od strane škola, a tako i roditelja djece (učenika) koja pohađaju ili se upisuju u škole, a vezano uz zakonitost prikupljanja i daljnje obrade njihovih osobnih podataka, osobnih podataka njihove djece (učenika), kao i opsega prikupljanja podataka ukazujemo na sljedeće:

 Kako je već gore navedeno za svaku obradu osobnih podataka škola kao voditelj obrade mora imati zakonitu osnovu i svrhu.

 Za zakonitu obradu osobnih podataka potrebno je da bude ispunjena JEDNA od taksativno  navedenih pravnih osnova iz članka 6. Opće uredbe o zaštiti podataka.

 PRIVOLA je samo jedna od zakonitih pravnih osnova za obradu osobnih podataka, međutim ako se osobni podaci prikupljaju i dalje obrađuju temeljem neke druge pravne osnove iz članka 6. Opće uredbe o zaštiti podataka,  privolu nije potrebno tražiti

 PRIVOLA bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave.

 PRIVOLA se u svakom trenutku može povući-OPOZVATI (povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja). Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.

 PRIVOLA bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za svaku od njih posebno (primjerice; jedna svrha je objava podataka u časopisu škole, druga je svrha objava podataka u medijima, sudjelovanje u TV/RADIO emisijama). Ističemo kako nije potrebno prikupljati više obrazaca privole u slučajevima kada se privola daje za više različitih svrha. Dakle, na istom obrascu moguće je zatražiti privolu za različite svrhe obrade osobnih podataka pod uvjetom da su svrhe jasno naznačene i razgraničene. Također jednom dana privola  u točno određenu svrhu vrijedi do opoziva, nije ju potrebno  davati roditeljima svake školske godine ako se opseg podataka i svrha u koju se prikupljaju privole nije promijenila, međutim  Radna skupina iz članka 29. preporučuje, kao najbolju praksu, da bi se privola trebala obnavljati u odgovarajućim vremenskim razmacima više u Smjernici o privoli u skladu s Uredbom 2016/679

 Škola je obveznik primjene odredbi posebnih zakona (primjerice; Zakona o odgoju i obrazovanju u osnovnim i srednjim školama,  Zakon o stručno-pedagoškom nadzoru),  i drugih podzakonskih akata koji su doneseni temeljem zakona (primjerice; Pravilnik o sadržaju i obliku svjedodžbi i drugih javnih isprava te pedagoškoj dokumentaciji i evidenciji u školskim ustanovama;  Pravilnik o izradbi i obrani završnoga rada) te Nacionalni kurikulum Republike Hrvatske za predškolski, osnovnoškolski i srednjoškolski odgoj i obrazovanje .

Važno!

Ako škola prikuplja i obrađuje osobne podatke temeljem posebnih propisa, odnosno ako je takva obrada nužna radi poštovanja pravnih obveza škole kao voditelja obrade, u tom slučaju privola kao jedna od mogućih pravnih osnova za obradu ne bi bila primjenjiva.

Primjerice: Člankom 138. stavkom 1. Zakona o odgoju i obrazovanju u osnovnim i srednjim školama propisano je kako se u školskim se ustanovama vodi pedagoška dokumentacija i evidencija o učenicima, praćenju nastave i drugih oblika odgojno-obrazovnog rada, upisu i ispisu učenika, ocjenjivanju i uspjehu učenika, pedagoškim mjerama i ispitima (obavijest o ostvarenim rezultatima na kraju prvog polugodišta, svjedodžba, prijepis ocjena kada učenik prelazi iz jedne škole u drugu, matična knjiga, dnevnik rada, imenik učenika i spomenica škole).

 Isto tako, ako škola prikuplja i obrađuje osobne podatke  radi sklapanja ugovora između škole i roditelja djeteta (učenika),  odnosno ako je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (primjerice: ugovor o prehrani učenika), u tom slučaju privola kao jedna od mogućih pravnih osnova za obradu ne bi bila primjenjiva.

 Informiranje/obavještavanje roditelja djece (učenika) o svrsi i pravnoj osnovi obrade osobnih podataka je obveza svake škole kao voditelja obrade prilikom prikupljanja i daljnje obrade osobnih podataka djece (učenika) a sve u skladu sa transparentnosti obrade osobnih podataka.  Škola je dužna razgraničiti koji osobni podaci i informacije se prikupljaju temeljem njihove zakonske obveze, odnosno koji su obvezni osobni podaci, a koji fakultativni podaci.
Napomena!

Prilikom prikupljanja osobnih podataka potrebo je razlikovati PRIVOLU od INFORMIRANJA/PRUŽANJA OBAVIJESTI ispitaniku.
PRUŽANJE INFORMACIJA jedna je od temeljnih obveza škole, kao voditelja obrade neovisno o pravnoj osnovi prikupljanja i daljnje obrade osobnih podataka te je isto potrebno u svakom slučaju obrade osobnih podataka.
PRIVOLA je jedna od mogućih zakonitih osnova za obradu osobnih podataka i  nije primjenjiva ukoliko se osobni podaci obrađuju temeljem neke druge zakonite osnove.

S obzirom na primjenu Opće uredbe skrećemo pozornost na sljedeće temeljne obveze škole kao voditelja obrade: pružanje informacija  ispitanicima u svrhu ostvarivanja  njihovih prava (članci 12. do 22. Opće uredbe o zaštiti podataka), provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite  osobnih podataka (članci  25. i 32. Opće uredbe o zaštiti podataka), vođenje evidencija aktivnosti obrade (članak 30. Opće uredbe o zaštiti podataka), imenovanje službenika za zaštitu podataka (članak 37. Opće uredbe o zaštiti podataka).

• Pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava (članak 13. i 14. Opće uredbe o zaštiti podataka)

Vezano za pružanje informacija  ispitanicima (primjerice; roditeljima djece (učenika) i sl.)  u svrhu ostvarivanja  njihovih prava navodimo kako je poštujući načelo transparentnosti škola dužna ispitaniku pružiti sve informacije o obradi  osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi o zaštiti podataka, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Također, ukoliko osobni podaci nisu dobiveni od ispitanika škola je dužna ispitaniku pružiti  osim gore navedenih informacija i informacije o izvoru osobnih podataka (članak 14. Opće uredbe o zaštiti podataka).

Osim toga, navodimo kako je u svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka, a time i ostvarivanja  prava ispitanika: pravo pristupa podacima, prava na ispravak netočnih podataka, prava na brisanje podataka, prava na ograničenje obrade podataka, prava na prenosivost podataka i prava na ulaganje prigovora na obradu osobnih podataka škola dužna detaljno objasniti koje vrste osobnih podataka  prikuplja, u koju svrhu i po kojoj pravnoj osnovi, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje mjere zaštite osobnih podataka se poduzimaju (izrada politika privatnosti). 

Isto tako ukazujemo kako je potrebno usklađivanje internih akata vezanih uz radno-pravne odnose, odnosno uskladiti odredbe internih akata koje se odnose na zaštitu osobnih podataka u kojima će na sveobuhvatan i jasan način biti ugrađene informacije koje škola u trenutku prikupljanja osobnih podataka obvezna ispitaniku pružiti (standardi iz članka 13. i članka 14. Opće uredbe o zaštiti podataka).

• Provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite  osobnih podataka (članci 25. i 32. Opće uredbe o zaštiti podataka)

Škola je dužna poduzimati i provoditi odgovarajuće tehničke i organizacijske mjere zaštite koje imaju za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka, odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koristi.

Mjere zaštite
 dokumentaciju u papirnatom obliku koja sadrži osobne podatke pohraniti, primjerice u ormare ili ladice pod ključem koja će biti pod nadzorom ovlaštenih osoba,
 pristup osobnim podacima pohranjenim u elektroničkom obliku trebao bi biti omogućen uporabom korisničkog imena i lozinke,
 izrada sigurnosnih kopija od strane ovlaštenih osoba, bilježenje pristupa podacima,
 potpisivanje izjava o povjerljivosti osoba koje su u obradi osobnih podataka (Izjave o povjerljivosti možete pronaći na internet stranici ove Agencije https://azop.hr/info-servis/detaljnije/izjava-o-povjerljivosti),
 pseudonimizacija ili enkripcija osobnih podataka-osobito ako se radi o posebnim  kategorijama (primjerice: podataka o zdravlju).

• Evidencija aktivnosti obrade (članak 30. Opće uredbe o zaštiti podataka)
Evidencija aktivnosti obrade je formular, odnosno informativni katalog informacija koji služi kao svojevrstan pregled/presjek svake pojedine obrade osobnih podataka kao i dokaz da je obrada osobnih podataka zakonita, tj. sukladna odredbama Opće uredbe o zaštiti podataka.   
Evidencija aktivnosti obrade mora sadržavati informacije iz članka 30. Opće uredbe o zaštiti podataka te mora biti u pisanom obliku, uključujući elektronički oblik. Podaci sadržani u evidenciji obrade trebali bi biti na odgovarajući način zaštićeni (primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa). Obveza  vođenja evidencije aktivnosti obrade obveza  je i onih voditelja obrade, koji zapošljavaju  manje od 250  osoba, pa tako i škole ako je obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika, ako obrada nije povremena ili obrada uključuje posebne kategorije podataka iz članka 9. stavka 1. ili je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.

• Službenik za zaštitu podataka (članci 37.-39. Opće uredbe o zaštiti podataka)
Službenik za zaštitu podataka je osoba imenovana od strane škole kao voditelja obrade koja vodi brigu o zakonitosti obrade osobnih podataka i ostvarivanju prava na zaštitu osobnih podataka. Važno je istaknuti kako službenik za zaštitu podataka može biti zaposlenik škole ili vanjski suradnik (osoba koja nije zaposlenik škole) koji ima stručne kvalifikacije osobito stručno znanje o pravu i praksama u području zaštite osobnih podataka te sposobnosti izvršavanja  zadaća iz članka 39. Opće uredbe o zaštiti podataka.
Prilikom imenovanja službenika potrebno je voditi  računa da ne postoji sukob interesa (voditi računa da takva osoba ne sudjeluje u donošenju odluka kojima se utvrđuje svrha i način obrade osobnih podataka).
Škola je dužna donijeti Odluku o imenovanju službenika sukladno Općoj uredbi o zaštiti podataka vodeći računa o stručnim kvalifikacijama (stručnom znanju i praksi iz područja zaštite osobnih podataka) te je dužan objaviti kontaktne podatke službenika za zaštitu podataka (npr. generička e-mail adresa, službeni broj telefona, nema obveze navođenja imena i prezimena službenika) i priopćiti ih nadzornom tijelu.

NAJČEŠĆA PITANJA I ODGOVORI U SVEZI PRIKUPLJANJA I DALJNJE OBRADE OSOBNIH  PODATAKA U ŠKOLAMA

1. Pravo uvida u e-dnevnik i ostale informacije vezane uz obrazovanje za dijete bez njegove suglasnosti/privole od strane roditelja/zakonskog zastupnika djeteta?

Ne postoje zakonske prepreke za uvid u ocjene djece neovisno o njihovoj dobi koje su sadržane u e-dnevniku od strane njihovih roditelja/zakonskih zastupnika, odnosno isti će i dalje moći dobiti na uvid (bez nužne privole) njegove ocjene, izostanke, ponašanja, kao i druge informacije vezano uz njihovo obrazovanje. U konkretnom slučaju radi se ne samo o pravu već i obvezi roditelja/zakonskog zastupnika da se brine o svome djetetu sukladno odredbama posebnog propisa (Obiteljski zakon).

2. Privola djeteta koja se isključivo odnosi  u slučaju nuđenja usluga informacijskog društva?

Vezano za privolu djeteta u slučaju nuđenja usluga informacijskog društva – svaka usluga  koja se obično pruža uz naknadu na daljinu, elektroničkim sredstvima te na osobni zahtjev primatelja (Direktiva EU 2015/1535  Europskog parlamenta i Vijeća) kao što su primjerice, internet prodaja robe i usluga, nuđenje podataka na internetu, pristup društvenim mrežama i sl..  obrada je zakonita ako dijete ima najmanje 16 godina. Ako je dijete ispod dobne granice od 16 godina takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom (zakonski zastupnik djeteta). 

3. Može li tajnik škole biti imenovan na funkciju službenika za zaštitu podataka?

Tajnik škole može biti imenovan na funkciju službenika za zaštitu podataka pod uvjetom da ta osoba ne dođe u sukob interesa te da kao službenik za zaštitu podataka bude u mogućnosti obavljati svoje dužnosti i zadaće na neovisan i stručan način.

Može li službenik za informiranje u školi biti službenik za zaštitu osobnih podataka?
Može, ne postoji prepreka da jedna osoba obavlja dvije funkcije, ako ne postoje neke druge zapreke primjerice sukob interesa.

PREPORUKA!
• škola, kao voditelj obrade odlučuje o mogućem postojanju sukoba interesa u svakom pojedinom slučaju, pritom posebno uzimajući u obzir obilježja organizacijske strukture škole

4. Smije li škola objaviti osobne podatke zaposlenika na mrežnim stranicama?

Kod objave osobnih podataka zaposlenika škole trebalo bi primjenom načela razmjernosti i ograničenja obrade osobnih podataka voditi brigu da se objavljuju samo oni podaci koji su nužni da bi postigla utvrđena svrha (informiranje radnika, roditelja).
Također škola ima zakonsku obvezu (Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi) objaviti Godišnji plan i program na svojoj  web stranici koji sadrži podatke o izvršiteljima poslova. Budući da  posebnim zakonom nije  propisan opseg osobnih podataka koji se trebaju objaviti dovoljno je objaviti imena i prezimena radnika i nazive radnih mjesta te eventualno njihovu stručnu spremu, dok bi sve ostale osobne podatke (primjerice: datum i godinu rođenja radnika, mjesto rođenja,  privatnu adresu) koji se odnose na privatnu sferu zaposlenika trebalo zaštititi odnosno ne objavljivati javno na mrežnim stranicama škole.

5. Fotografiranje djece u školi?

Vezano za fotografiranje djece na školskim priredbama nije potrebna prethodna privola roditelja djece već bi se  ukoliko se radi o javnim događajima isto bi se smatralo legitimnim interesom škole kao voditelja obrade. Međutim, isto podrazumijeva se da su roditelji djece bili prethodno informirani da će njihova djeca biti fotografirana. Ako se radi o pojedinačnim fotografijama potrebno je razmotriti gdje su iste sačinjene primjerice: ako su sačinjene na  natjecanju, u učionici i sl.  pa je ovisno o tome od slučaja do slučaja potrebno utvrditi pravnu osnovu za isto (privola roditelja ili legitimni interes škole), a roditelje  prethodno informirati o svrsi u koju se učenici tj. djeca fotografiraju

Vezano za fotografiranje djeteta od strane roditelja u učionici škole, kada se vrlo često na fotografiji nalaze i druga djeca navodimo kako se Opća uredba o zaštiti podataka ne primjenjuje na obradu osobnih podataka koju fizičke osobe obavljaju u okviru isključivo osobne ili kućne aktivnosti te stoga nije povezana s profesionalnom ili komercijalnom djelatnošću. Pritom je  potrebno voditi računa da se fotografije ne objavljuju na Internet stranicama, društvenim mrežama i sl. već da se koriste samo za vlastitu potrebu stvaranje privatnog foto albuma i sl.

6. Davanje osobnih podataka policiji (primjerice: u svrhu otkrivanja vršnjačkog nasilja i sl.)?

Policija ima pravo tražiti osobne podatke učenika kako bi mogla izvršavati svoje ovlasti temeljem posebnih propisa. U tom slučaju ne bi bila potrebna suglasnost roditelja za davanje podataka  ako su isti  nužni  policiji za izvršavanje njihovih ovlasti, tj. potrebni za daljnje postupanje i razjašnjavanje konkretnog slučaja. Dovoljno je samo roditelje prethodno informirati o davanju takvih osobnih podataka (članak 25. Zakona o policijskim poslovima i ovlastima policija)

7. Prikupljanje uvjerenja o  nekažnjavanju  od kandidata prilikom zapošljavanja?
Smatramo kako škola mora prikupljati i obrađivati osobne podatke koji se odnose na kandidate za zaposlenje u mjeri u kojoj je prikupljanje tih podataka nužno i relevantno za obavljanje poslova za koji se kandidat prijavljuje, a u tom slučaju  pritom za isto nije potrebna privola osoba/kandidata natječajnog postupka (primjena članka 106. Zakona o odgoju i obrazovanju u osnovnom i srednjim školama). Dakle, škola kao voditelj obrade ima ovlast prilikom provedbe natječaja za zapošljavanje tražiti uvjerenje o nekažnjavanju   a sve kako bi škola  voditelj obrade odnosno poslodavac mogla ispuniti pravnu obvezu propisanu posebnim zakonom-Zakonom o odgoju i obrazovanju u osnovnim i srednjim školama.

8. Objava godišnjeg plana i programa škole i kurikuluma škole?
Zakonom o odgoju i obrazovanju o osnovnoj i srednjoj školi propisano je da se školski kurikulum i godišnji plan i program škole objavljuju na mrežnim stranicama škole u skladu sa  propisa  vezanim uz zaštitu osobnih podataka. Godišnjim planom i program rada školske ustanove utvrđuje se  mjesto, vrijeme, način i izvršitelji poslova, a sadrži  između ostalog i podatke o izvršiteljima poslova. Godišnji plan i program rada donosi se na osnovi nastavnog plana i programa i školskog kurikuluma.

Međutim, prilikom objave osobnih podataka  na mrežnim stranicama i mora se voditi briga da se objavljuju samo oni podaci koji su nužni da bi postigla utvrđena svrha (informiranje roditelja, učenika škole) odnosno dovoljno je objaviti imena i prezimena radnika (izvršitelja poslova) s obzirom da posebnim zakonom nije izričito propisano koje sve podatke o radnicima škole, školski kurikulum i godišnji plan i program  rada mora sadržavati.

9. Davanje osobnih podataka učenika i roditelja od strane škole drugim primateljima odnosno  nositeljima projekta  u svrhu provođenja projekta od strane škole?

Podaci o učenicima i roditeljima mogu se dati  nositeljima projekta pod uvjetom da za isto  postoji najmanje  jedna od  pravnih osnova  iz članka 6. Opće uredbe o zaštiti podataka i da je dostava  osobnih podataka neophodna i nužna za provedbu i pravdanje projekta.

10. Davanje podataka (ime i prezime) kandidata za zapošljavanje članovima školskog odbora u pozivu za sjednicu?
Ako je poziv za sjednicu primjerice objavljen na web stranici škole ili oglasnoj ploči škole i kao takav dostupan svim posjetiteljima web stranice škole s aspekta propisa o zaštiti osobnih podataka ne nalazimo uporište za objavu punog imena i prezimena kandidata o kojem će se raspravljati na sjednici. Članovi školskog odbora imaju pravo znati osobne podatke kandidata za zapošljavanje, ali je dovoljno otkrivanje osobnih podataka (identiteta potencijalnih kandidata za zapošljavanje) na sjednici školskog odbora odnosno dostavom materijala za sjednicu, kako je navedeno u Statutu škole. U  pozivu za sjednicu dovoljno je navesti kao točku dnevnog reda samo raspravu o davanju suglasnosti za predloženog kandidata. Škola kao voditelj obrade mora voditi brigu o  opsegu osobnih podataka te bi školskom odboru trebali biti dostupni samo nužni podaci koji su potrebni za donošenje stajališta/suglasnosti o predloženom kandidatu. Preporuka je da se članovima školskog odbora kao jedna od mjera zaštite dade na potpis i izjava o povjerljivosti. 

11. Objava osobnih podataka u monografiji?

Zakonitu pravnu osnovu za objavu monografije škole nalazimo u članku 6. Opće uredbe o zaštiti podataka i legitimnom interesu škole (voditelja obrade) te stoga posebna privola svakog pojedinog bivšeg učenika ili djelatnika za objavu njihovih osobnih podataka nije potrebna.

Također, potrebno je prethodno informirati ispitanike (bivše učenike ili djelatnike) o prikupljanju i obradi njegovih osobnih podataka pod uvjetom da za obradu osobnih podataka škola ima odgovarajući pravni temelj iz članka 6. Opće uredbe o zaštiti podataka.

Opća uredba o zaštiti podataka ne odnosi na umrle osobe iz razloga što se umrle osobe više ne smatraju fizičkim osobama u smislu odredbi Opće uredbe o zaštiti podataka. Podaci o umrlim osoba mogu se prikupljati i dalje obrađivati uz strogo uvažavanje njihovog pijeteta te zaštite osobnih podataka članova njihovih obitelji. Ukoliko se obitelj ili nasljednici izričito protive objavi podataka o umrlim osobama takvi podaci ne bi mogli biti predmetom daljnje obrade.

12. Može li škola na traženje resornog Ministarstva provjeriti diplome svojih zaposlenika?

Za svaku obradu osobnih podataka mora postojati  najmanje jedna od pravnih osnova iz članka 6. Opće uredbe o zaštiti podataka. Vezano uz provjeru vjerodostojnosti isprava  kojima radnici u ustanovi dokazuju odgovarajući stupanj obrazovanja sukladno posebnom zakonu  navedeno se može temeljiti na  legitimnom interesu voditelja obrade u smislu članka 6. stavka 1. točke f) Opće uredbe o zaštiti podataka. Dodatno napominjemo kako je uvijek prilikom korištenja legitimnog interesa kao pravne osnove za pojedinu obradu osobnih podataka potrebno provesti test ravnoteže tj. utvrditi  i dokazati pretežu li interesi voditelja obrade nad interesima ispitanika.
S obzirom na postojanje gore navedenog pravne osnove iz članka 6. Opće uredbe o zaštiti podataka te podudarnost svrhe prikupljanja navedenih osobnih podataka čija se provjera traži, privola/suglasnost zaposlenika za traženje i dobivanje navedene informacije nije nužna niti potrebna te se ista može tražiti i dati bez njegova pristanka.

Prosvjetna inspekcija i uvid u natječajnu dokumentaciju

12. 05. 2021.

 Agencija za zaštitu osobnih podataka je zaprimila upit u kojem se navodi da je u školi proveden nadzor prosvjetne inspekcije te se s tim u vezi, moli pojašnjenje ima li prosvjetna inspekcija u provedbi svog postupanja mogućnost uvida u dokumentaciju svih kandidata natječaja (ili primjerice samo kandidata koji je prijavio nepravilnost) odnosno, treba li se tražiti suglasnost sudionika natječaja.

Člankom 6., stavkom 1. Opće Uredbe o zaštiti podataka je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a)        ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih        svrha;

(b)       obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se            poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c)        obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d)       obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke        osobe;

(e)        obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene      ovlasti voditelja obrade;

(f)        obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim        kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji      zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

 

Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade ili izvršavanje zadaće od javnog interesa/službene ovlasti voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade ili, u pogledu obrade iz stavka 1. točke e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade.

U konkretnom slučaju, u primjeni je Zakon o prosvjetnoj inspekciji (NN 61/11, 16/12, 98/19), kojim se uređuje ustrojstvo, poslovi, način rada, prava, dužnosti i ovlasti prosvjetne inspekcije.

 Navedenim Zakonom je u čl. 11. propisano da u provedbi nadzora u ustanovama i drugim pravnim osobama koje podliježu nadzoru prosvjetne inspekcije inspektor utvrđuje stanje, a osobito, između ostalog, obavlja li se na osnovi propisanih standarda i normativa, u skladu sa zakonom, drugim propisom i općim aktom: utvrđivanje potrebe za radnikom, pribavljanje suglasnosti, objava oglasa, odnosno natječaja, izbor kandidata, zasnivanje radnog odnosa, raspored na poslove za koje je zasnovan radni odnos te zaduživanje radnim obvezama sukladno s ugovorom o radu,

Nadalje, čl. 14. Zakona o prosvjetnoj inspekciji je propisano da inspektor obavlja nadzor izravnim uvidom u opće i pojedinačne akte, te uvjete i način rada nadzirane ustanove. Inspektor ima pravo u inspekcijskom postupku pregledati pedagošku i drugu dokumentaciju i evidencije, radne i poslovne prostorije i spise, opremu i nastavna sredstva, isprave na temelju kojih može utvrditi identitet osoba zaposlenih u nadziranoj ustanovi te saslušati i uzeti izjave tih osoba.

Također, sukladno čl. 17. ravnatelj nadzirane ustanove dužan je inspektoru osigurati uvjete za provedbu nadzora u ustanovi te mu pružiti potrebne podatke i obavijesti, a osoba zaposlena u ustanovi uvjete za obavljanje nadzora na području na kojem radi te mu o tomu pružiti podatke i obavijesti.

Dakle, nadzirana ustanova je dužna omogućiti inspektoru uvid u potrebne dokumente, a samim time i u osobne podatke te suglasnost/privola sudionika u natječaju za davanje njihovih dokumenata koji sadrže osobne podatke, nije primjenjiva.

 

Privola roditelja u odnosu na obradu osobnih podataka njihove djece

6.6.2019.

S obzirom na upit koji je zaprimljen u ovoj Agenciji,  vezano uz privolu roditelja u odnosu na obradu osobnih podataka njihove djece, nastavno navodimo sljedeće:

Člankom 6. stavkom 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119  propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Sukladno članku 4. stavku 1. točki 11. Opće uredbe privola ispitanika, odnosno u konkretnom slučaju nositelja roditeljske odgovornosti znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.

Također, treba napomenuti i članak 7. Opće uredbe koji između ostalog navodi kako ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanika se o tome obavješćuje. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.

Vezano za pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava navodimo kako je poštujući načelo transparentnosti sukladno članku 13. Opće uredbe o zaštiti podataka voditelj obrade dužan ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Dakle, voditelj obrade u trenutku prikupljanja osobnih podataka obvezan je ispitaniku pružiti informacije:
– o svom identitetu,
-o službeniku za zaštitu podataka (kontakt podaci službenika),
-upoznati sa  svrhom i pravnom osnovom za obradu osobnih podataka,
-o primateljima ili kategorijama primatelja osobnih podataka,
-o prenošenju osobnih podataka trećoj zemlji ili međunarodnoj organizaciji (koje nisu članice EU),
-o legitimnom interesu,
-o vremenskom roku pohrane osobnih podataka te kriterijima kojima se utvrđuje razdoblje pohrane,
-o postojanju prava da se od voditelja obrade zatraži pristup osobnim podacima, ispravak, brisanje osobnih podataka ili ograničavanje obrade koja se na njega odnose, prava na ulaganje prigovora na obradu takvih podataka te na prenosivost njegovih podataka drugom voditelju obrade,
– o pravu da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena,
-o pravu na podnošenje prigovora nadzornom tijelu (Agenciji za zaštitu osobnih podataka)
-da li je pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže,
-o postojanju automatiziranog donošenja odluka, što uključuje izradu profila te smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

Također, ukoliko osobni podaci nisu dobiveni od ispitanika, voditelj obrade dužan je ispitaniku pružiti  osim gore navedenih informacija i informacije o izvoru osobnih podataka (članak 14. Opće uredbe).

Osim toga, navodimo kako je u svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka, a time i ostvarivanja  prava ispitanika: pravo pristupa podacima, prava na ispravak netočnih podataka, prava na brisanje podataka, prava na ograničenje obrade podataka, prava na prenosivost podataka i prava na ulaganje prigovora na obradu osobnih podataka voditelj obrade dužan detaljno objasniti koje vrste osobnih podataka se prikupljaju, u koju svrhu i po kojoj pravnoj osnovi, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje mjere zaštite osobnih podataka se poduzimaju (izrada politika privatnosti). 

U konkretnom slučaju smatramo kako bi privola roditelja trebala sadržavati sve gore navedene elemente, koji su propisani Općom uredbom o zaštiti podataka. Zbog lakšeg dokazivanja davanja privole od strane voditelja obrade uputno je da ista bude u pisanom obliku, te je može dati i samo jedan roditelj. Privola se može dati i na početku školske godine za cijelu školsku godinu, te vrijedi do opoziva. Međutim, važno je naglasiti da se privola za obradu osobnih podataka daje u točno određenu svrhu i vrijedi samo za obradu osobnih podataka u tu svrhu. Stoga, ako se u međuvremenu ukaže potreba za obradu u druge svrhe potrebno je od roditelja djece zatražiti novu privolu za te nove svrhe obrade osobnih podataka.

Nastavno na Vaš upit o potrebi davanja posebne suglasnosti roditelja u svrhu obrade osobnih podataka djece u sredstvima javnog priopćavanja (lokalni mediji) navodimo kako bi privola trebala obuhvaćati sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih. Ako se u jedinstvenom obrascu privole navodi više svrha u koju će se obrađivati osobni podaci djeteta (primjerice objava fotografija djece na web stranicama, u lokalnim tjednicima objava rezultata natjecanja,  i sl.) potrebno je svrhe jasno navesti, precizirati i razgraničiti, kako bi roditelj bio dovoljno informiran u koje se sve svrhe osobni podaci njegovog djeteta dalje obrađuju, te kako bi se mogao opredijeliti u koju  točno svrhu želi da se osobni podaci njegovog djeteta obrađuju.

Zaključno navodimo kako je moguće koristiti jedan obrazac u svrhu davanja privole roditelja, ali u njemu se moraju precizirati sve obrade pojedinačno, koje će jasno razgraničiti u koju svrhu će se točno obrađivati podaci djece.

Pravo uvida u e-dnevnik za dijete od 16 godina

6.6.2019.

Nastavno na upit koji je ova Agencija zaprimila, a vezano uz pravo uvida u e-dnevnik za dijete od 16 godina bez njegove suglasnosti/privole od strane roditelja/zakonskog zastupnika djeteta, iznosimo sljedeći odgovor:

Sukladno članku 6. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119 obrada osobnih podataka je zakonita, ako je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha ili je obrada nužna radi poštovanja pravnih obveza voditelja obrade, odnosno obrada je zakonita ako su ispunjeni drugi taksativno navedeni slučajevi.

U konkretnom slučaju u primjeni je Obiteljski zakon („Narodne novine“, broj: 103/15) kojim je, između ostaloga, propisano kako roditelji imaju dužnost brinuti se o svestranom, redovitom, a prema svojim mogućnostima i daljnjem obrazovanju svojeg djeteta i poticati njegove umjetničke, tehničke, sportske i druge interese. Isto tako propisano je da su roditelji su dužni i odgovorni odzivati se sastancima ili pozivu odgojno-obrazovne ustanove u vezi s odgojem i obrazovanjem djeteta (članak 94. Zakona).

Nadalje, sukladno članku 290. gore citiranog Zakona, roditelji su dužni uzdržavati punoljetno dijete koje se školuje u srednjoj školi, odnosno polazi sveučilišni ili stručni studij u skladu s posebnim propisima, odnosno program za osnovno obrazovanje ili program srednjoškolskog obrazovanja odraslih te redovito i uredno ispunjava svoje obveze, a najdulje do navršene dvadeset šeste godine života djeteta te roditelji u tom slučaju imaju pravo od djeteta, nadležnih tijela i pravnih osoba tražiti i dobiti podatke o djetetovu obrazovanju, odnosno zaposlenju.
Imajući u vidu gore citirane odredbe Obiteljskog zakona, te uzimajući u obzir odredbe Opće uredbe, s aspekta pravnog okvira zaštite osobnih podataka, navodimo kako se u opisanom slučaju sa jedne strane radi  o obradi osobnih podataka u svrhu izvršavanja roditeljskih prava i obveza, dok je sa druge strane, tj. od strane voditelja obrade (škole) isto nužno radi poštovanja njegovih pravnih obveza sukladno posebnom propisu.

Dakle, shodno iznesenom ne postoje zakonske prepreke za uvid u ocjene djece neovisno o njihovoj dobi koje su sadržene u e-dnevniku od strane njihovih roditelja/zakonskih zastupnika, odnosno isti će i dalje moći dobiti na uvid (bez nužne privole) njegove ocjene, izostanke, ponašanja, kao i druge informacije iz e-dnevnika. S tim u vezi ukazujemo kako se u konkretnom slučaju radi ne samo o pravu već i obvezi roditelja/zakonskog zastupnika da se brine o svome djetetu sukladno odredbama posebnog propisa (Obiteljski zakon).

Vezano za privolu djeteta propisanu člankom 19. Zakona o provedbi Opće uredbe o zaštiti podataka („Narodne novine“, broj 42/18) navodimo kako se predmetni članak odnosi isključivo u slučaju nuđenja usluga informacijskog društva – svaka usluga  koja se obično pruža uz naknadu na daljinu, elektroničkim sredstvima te na osobni zahtjev primatelja (Direktiva EU 2015/1535  Europskog parlamenta i Vijeća) kao što su primjerice, internet prodaja robe i usluga, nuđenje podataka na internetu, pristup društvenim mrežama i sl.. Navedeno se ne odnosi na prava i obveze roditelja/zakonskih zastupnika, a tako i na obveze voditelja obrade koje proizlaze iz posebnog propisa (Obiteljski zakon).

Objava osobnih podataka studenata koji dolaze na usmeni ispit

6.6.2019.

Ova Agencija zaprimila je upit vezan za objavu osobnih podataka studenata koji dolaze na usmeni ispit (raspored održavanja usmenog ispita), iznosimo sljedeći načelan odgovor:

Ističemo kako se od 25. svibnja 2018., u svim državama članicama Europske unije izravno primjenjuje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SLEU L119 (u daljnjem tekstu: Opća uredba) kojom se štite temeljna prava i slobode pojedinaca, a posebno njihovo pravo na zaštitu osobnih podataka, a koja u članku 4. stavak 1. točka 1. propisuje da su osobni podaci svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.

Načela obrade osobnih podataka, sukladno članku 5. Opće uredbe, traže da osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika; prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju; točni i prema potrebi ažurni; čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; i obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera. Voditelj obrade odgovara za usklađenost sa ovdje navedenim načelima Opće uredbe te je mora biti u mogućnosti dokazati.

Člankom 6., stavkom 1. Opće Uredbe je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; (d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Slijedom gore iznesenog, a vezano za objavu podataka studenata fakulteta na mrežnoj (web) stranici fakulteta, navodimo kako fakultet kao voditelj obrade, mora voditi brigu o opsegu obrade (objave) osobnih podataka. Svaki voditelj zbirke osobnih podataka mora primjenom načela razmjernosti obrađivati (objavljivati) podatke samo u opsegu koji je nužan za postizanje zakonite svrhe. Podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se podaci obrađuju. Isto tako, bitno je istaknuti obvezu fakulteta, kao voditelja obrade, da su dužni voditi brigu o dostupnosti podataka na internetu kao i o vremenskom razdoblju dostupnosti podataka. U tom smislu skrećemo pozornost na poduzimanje odgovarajućih mjera zaštite koje su propisane postojećim zakonodavstvom koji propisuje da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obraduju te čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo  koliko je potrebno u svrhe radi koje se osobni podaci obrađuju.

Stoga, Agencija za zaštitu osobnih podataka smatra uputnim od strane voditelja obrade upotrijebiti tehničku mjeru zaštite osobnih podataka – pseudonimizaciju, na način da se svakom studentu već prilikom upisa, odnosno prijave na ispit, dodijeli jedinstvena lozinka (koja predstavlja njegovo ime i prezime), a u svrhu javne objave održavanja usmenog dijela ispita.
U svrhu javne objave održavanja ispita može se koristiti, umjesto imena i prezimena, broj indeksa odnosno jedinstveni broj studenta. S tim u vezi smatramo kako bi se javnom objavom jedinstvene lozinke/broja indeksa/jedinstvenog broja studenta, umjesto njihovih imena i prezimena, bi se i dalje mogla postići svrha objave, a privatnost studenata bi bila narušena u manjoj mjeri.

Objava popisa diplomiranih studenata na mrežnim stranicama fakulteta

6.6.2019.

Ova Agencija zaprimila je upit vezan uz mogućnost objave popisa diplomiranih studenata na mrežnim stranicama fakulteta, nastavno navodimo sljedeći načelan odgovor:

Ističemo kako se od 25. svibnja 2018., u svim državama članicama Europske unije, pa tako i u Republici Hrvatskoj, izravno primjenjuje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119.

Sukladno članku 5. Opće uredbe o zaštiti podataka  osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju (načelo smanjenja količine podataka), točni i prema potrebi ažurni, obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti).

Nadalje, članak 6. stavak 1. Opće uredbe o zaštiti podataka propisuje kako je obrada osobnih podataka zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećeg: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;  obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili ključni interesi pravnih obveza voditelja obrade; obrada je nužna za izvršavanje zadaće od javnog interesa  ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane.

S obzirom da iz upita nije jasno koja bi bila svrha i temelj navedene objave, načelno smatramo kako je u svakom slučaju obrade osobnih podataka potrebno imati zakonitu svrhu i temelj za obradu osobnih podataka iz članka 6. stavka 1. Opće uredbe o zaštiti podataka. S obzirom da u se u upitu navodi kako je već prikupljena privola od studenata koji su diplomirali u zadnjih godinu dana, smatramo kako možete objaviti imena i prezimena samo u odnosu na studente od kojih ste dobili privolu. U tom kontekstu je također potrebno naglasiti kako privola treba biti specificirana, te točno i jasno naglasiti u koje svrhe će se obrađivati osobni podaci, odnosno koji opseg podataka će biti objavljen na mrežnim stranicama fakulteta.

U odnosu na studente koji Vam nisu dali privolu, smatramo kako je za objavu potrebno tražiti njihovu privolu kako bi se njihovi podaci mogli objaviti na mrežnim stranicama fakulteta.

Prilikom navedene objave potrebno je voditi računa o opsegu podataka koji se objavljuju, kako ne bi došlo do obrade osobnih podataka u prekomjernom opsegu, što bi posljedično moglo dovesti do zluporabe osobnih podataka. Dakle, držimo kako bi bilo moguće objaviti ime i prezime studenata, dok bi se primjerice objava njihovog datuma rođenja, adrese stanovanja i slično smatrala obradom u prekomjernom opsegu, za što ne bi postojala zakonita osnova i svrha.

Objava video zapisa na kojem se nalaze učenici škole na web stranicama Grada

6.6.2019.

Agencija za zaštitu osobnih podataka zaprimila je upit o objavi video zapisa na kojem se nalaze učenici škole na web stranicama Grada. Nastavno na navedeno, dajemo sljedeći odgovor:

Sukladno članku 5.1.a) Opće uredbe o zaštiti podataka, eng. skraćeno GDPR) osobni podaci moraju s obzirom na ispitanika biti obrađivani zakonito, pošteno i transparentno (načelo zakonitosti, poštenosti i transparentnosti). Također, prema članku 5.1.b) Opće uredbe o zaštiti podataka osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (načelo ograničavanja svrhe). Nadalje, sukladno članku 5.1. c) Opće uredbe o zaštiti podataka osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (načelo smanjenja količine podataka). Osim toga, osobni podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti prema članku 5.1.f) Opće uredbe o zaštiti podataka).

Kako proizlazi iz članka 6. 1. Opće uredbe o zaštiti podataka, obrada osobnih podataka je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećeg: a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane.

Nadalje, što se tiče obrade (objave) osobnih podataka djece, navodimo kako prema uvodnoj izjavi (38) Opće uredbe o zaštiti podataka djeca zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka budući mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka. Takvo pravo na posebnu zaštitu trebalo bi se posebno odnositi na upotrebu osobnih podataka djece u svrhu marketinga ili stvaranja osobnih ili korisničkih profila te prikupljanje osobnih podataka o djeci prilikom upotrebe usluga koje se izravno nude djetetu.

Osim toga, treba voditi računa u koju svrhu, na koji način i kome se čine dostupnima osobni podaci djece, da li je obrada osobnih podataka djece invazivna i da li predstavlja rizik, odnosno ugrozu privatnosti, koja može imati dalekosežne posljedice na razvoj djeteta i njegov integritet, te se može negativno odraziti na njegovu koncentraciju i učenje, kao i njegove svakodnevne odnose i interakciju  unutar obitelji, škole ali i cjelokupnog društva.  

U konkretnom slučaju načelno navodimo kako u smislu članka 5.1.b) Opće uredbe o zaštiti podataka ne nalazimo opravdanu (zakonitu) svrhu za objavu video zapisa na kojem se nalaze učenici, naročito imajući u vidu kontekst objave predmetnog video zapisa, odnosno naslov i sadržaj članka kojem prilaže predmetni video zapis.

Isto tako, držimo da u ovom slučaju nisu ispunjeni uvjeti za zakonitu obradu osobnih podataka iz članka 6.1. Opće uredbe o zaštiti podataka u smislu da postoje drugi interesi koji su prevladavajući u odnosu na interes zaštite privatnosti i osobnih podataka ispitanika (u ovom slučaju učenika navedene škole). Za objavu osobnih podataka učenika navedene škole ne postoji utemeljenje u smislu postojanja i poštivanja pravnih obveza Grada, niti je ispunjen uvjet postojanja javnog interesa, u kojem slučaju bi cjelokupnoj javnosti trebalo omogućiti dostupnost osobnim podacima pojedinaca (kao što je to učinjeno u konkretnom slučaju).

Zaključno, pri svakoj obradi (objavi) osobnih podataka treba voditi računa o svrsi obrade (objave) osobnih podataka, odnosno da li je obrada (objava) osobnih podataka opravdana (zakonita), da li postoji pravni temelj za obradu (objavu) osobnih podataka te u slučaju postojanja opravdane (zakonite) svrhe i pravnog temelja za obradu (objavu) osobnih podataka potrebno je rukovoditi se načelom razmjernosti i smanjenja količine podataka na način da je dopustivo objaviti samo najnužniji opseg osobnih podataka, ovisno o svrsi u koju se osobni podaci objavljuju. Isto tako, potrebno je voditi računa o kategoriji ispitanika (u ovom slučaju učenici navedene škole), budući da (u slučaju da se radi o maloljetnim učenicima) navedena kategorija ispitanika zaslužuje posebnu zaštitu u pogledu svojih osobnih podataka. To znači da u slučaju ako je privola pravni temelj za objavu osobnih podataka djece (članak 6.1.a) Opće uredbe o zaštiti podataka), takva privola mora biti pribavljena od nositelja roditeljske odgovornosti, odnosno zastupnika/skrbnika pojedinog djeteta koji će zastupati djetetove interese.

Konačno, svatko tko raspolaže te na bilo koji način obrađuje osobne podatke treba voditi računa o njihovoj sigurnosti a sve kako bi se osigurala njihova cjelovitost i povjerljivost (članak 5.1.f) Opće uredbe o zaštiti podataka).

Fotografiranje učenika škole

6.6.2019.

Agencija za zaštitu osobnih podataka zaprimila je upit vezan za obradu osobnih podataka učenika škole, točnije fotografiranje istih. U vezi s time, iznosimo, sljedeći načelan odgovor:

Od 25. svibnja 2018., u svim državama članicama Europske unije, pa tako i u Republici Hrvatskoj, izravno se primjenjuje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119  koja u članku 4. stavku 1. točci 1. propisuje da su osobni podaci svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, a pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.

Točkom 4. istog stavka i članka Opće uredbe o zaštiti podataka propisano je da je privola dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose. Člankom 7. Opće uredbe o zaštiti podataka propisani su uvjeti privole te u slučaju kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka. Ne može se smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica.

Sukladno članku 5. Opće uredbe o zaštiti podataka, osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju, točni i prema potrebi ažurni.
Članak 6. Opće uredbe o zaštiti podataka propisuje da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha, obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora, obrada je nužna radi poštovanja pravnih obveza voditelja obrade, obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe, obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade, obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Napominjemo kako su djeca posebno ranjiva dobna skupina čiji se osobni podaci posebno štite stoga ona zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka budući mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka (38. uvodna izjava Opće uredbe).
Kao poseban zakon u Vašem slučaju navodimo Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi („Narodne novine“, broj 87/08, 86/09, 92/10, 105/10, 90/11, 5/12, 16/12, 86/12, 126/12, 94/13, 136/14 – RUSRH, 152/14, 7/17 i 68/18) kojim se uređuje djelatnost osnovnog i srednjeg odgoja i obrazovanja u javnim ustanovama i kojim je propisano što se sve objavljuje na mrežnim stranicama škole. Osim navedenog Zakona, u primjeni su i svi ostali posebni propisi i podzakonski akti škole (godišnji plan i program rada škole) kojima se uređuje predmetna materija.
Navedeni Zakon u članku 28. propisuje kako škola radi na temelju školskog kurikuluma i godišnjeg plana i programa rada. Školski kurikulum određuje nastavni plan izbornih i fakultativnih predmeta, izvannastavne i izvanškolske aktivnosti, izborni dio međupredmetnih i/ili interdisciplinarnih tema i/ili modula i druge odgojno-obrazovne aktivnosti, programe i projekte te njihove kurikulume ako nisu određeni nacionalnim kurikulumom. Školskim kurikulumom se utvrđuje: strategija razvoja škole; aktivnost, program i/ili projekt; ciljevi aktivnosti, programa i/ili projekta; namjena aktivnosti, programa i/ili projekta; nositelji aktivnosti, programa i/ili projekta i njihova odgovornost; način realizacije aktivnosti, programa i/ili projekta; vremenik aktivnosti, programa i/ili projekta; okvirni troškovnik aktivnosti, programa i/ili projekta; način njegova praćenja. Godišnjim planom i programom rada školske ustanove utvrđuje se mjesto, vrijeme, način i izvršitelji poslova, a sadrži: podatke o uvjetima rada; podatke o izvršiteljima poslova; godišnji kalendar rada; podatke o dnevnoj i tjednoj organizaciji rada; tjedni i godišnji broj sati po razredima i oblicima odgojno-obrazovnog rada; planove rada ravnatelja, učitelja, odnosno nastavnika te stručnih suradnika; planove rada školskog, odnosno domskog odbora i stručnih tijela; plan stručnog osposobljavanja i usavršavanja, u skladu s potrebama škole; podatke o ostalim aktivnostima u funkciji odgojno-obrazovnog rada i poslovanja školske ustanove.
Nastavno na navedeno, ističemo kako je stavkom 6. predmetnog članka 28. propisano kako je za sudjelovanje učenika u izbornim i fakultativnim predmetima, aktivnostima, modulima, programima i projektima koji nisu obvezni potrebno informirati roditelje i pribaviti njihovu pisanu suglasnost, dok je stavkom 11. istog članka propisano kako se školski kurikulum i godišnji plan i program objavljuju na mrežnim stranicama škole u skladu s propisima vezanim uz zaštitu osobnih podataka.
Prema tome,  odgojno-obrazovna ustanova dužna je postupati u skladu sa posebnim propisima koji se tiču Vaše djelatnosti, a što se odnosi i na obradu određenih podataka.
Vezano za fotografiranje djeteta od strane roditelja u učionici škole, a pritom je neizbježno da fotografira i druge učenike koji se  nalaze u učionici, s tim u vezi, navodimo kako se ova se Uredba ne primjenjuje na obradu osobnih podataka koju fizičke osobe obavljaju u okviru isključivo osobne ili kućne aktivnosti te stoga nije povezana s profesionalnom ili komercijalnom djelatnošću. Stoga iz navedenog proizlazi kako se odredbe Opće uredbe o zaštiti podataka ne bi odnosile na opisanu obradu ukoliko roditelji koji fotografiraju djecu dalje ne obrađuje osobne podatke (primjerice objavljuju na Internet stranicama, društvenim mrežama i sl.) nego koriste samo za vlastitu potrebu (primjerice: stvaranje privatnog foto albuma i sl.).

Nadalje, vezano za fotografiranje djece na školskim priredbama za navedeno nije potrebna prethodna privola roditelja maloljetne djece budući da se radi o školskim manifestacijama i skupnim grupnim fotografijama međutim, podrazumijeva se da su roditelji maloljetne djece  bili prethodno informirani da će njihova djeca biti fotografirana.
Međutim, ako se radi o pojedinačnim fotografijama potrebno je roditelje maloljetne djece prethodno informirati o svrsi u koju se fotografira te  zatražiti njihovu izričitu privolu za slikanje, te eventualno objavljivanje. Uvjeti privole propisani su  člankom 7. Opće uredbe o zaštiti podataka.

Dakle, temeljem navedenog prije svega potrebno je jasno razgraničiti o kakvim se fotografijama radi  te ovisno o tome, postupiti sukladno čl.13. Opće uredbe o zaštiti podataka koji nalaže voditelju obrade da prije prikupljanja osobnih podataka prethodno informira ispitanika o prikupljanju i obradi osobnih podataka te za obradu osobnih podataka ima odgovarajući pravni temelj sukladno čl.6 Opće uredbe o zaštiti podataka.

Korištenje fotografija djece

12. 5.2021.

 

Agenciji se zahtjevom za stručnim mišljenjem obratila Općina vezano uz realizaciju projekta izgradnje reciklažnog dvorišta. kako navode, u sklopu realizacije navedenog projekta obvezani su izraditi i podijeliti promotivne letke, o čemu moraju imati i dokaz u vidu fotografije. Pitanje se u bitnome odnosi može li Općina koristiti fotografije djece koje su nastale tijekom podjele letaka u jednoj osnovnoj školi.

 S tim u vezi, Agencija prvenstveno ističe da načela obrade osobnih podataka, sukladno članku 5. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opće uredbe o zaštiti podataka), zahtijevaju da osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (načelo zakonitosti, poštenosti i transparentnosti); prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (načelo ograničavanja svrhe); primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (načelo smanjenja količine podataka); točni i prema potrebi ažurni (načelo točnosti); čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (načelo ograničenja pohrane); i obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti).

Opća uredba o zaštiti podataka izričito uvodi načelo odgovornosti, tj. propisuje da će voditelj obrade biti odgovoran i morati moći dokazati poštivanje načela koja se odnose na obradu osobnih podataka iz članka 5. Opće uredbe o zaštiti podataka („načelo odgovornosti“).

 Nadalje, člankom 6., stavkom 1. Opće Uredbe o zaštiti podataka je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a)        ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih        svrha;

(b)       obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se            poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c)        obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d)       obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke        osobe;

(e)        obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene      ovlasti voditelja obrade;

(f)        obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim        kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji      zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

U kontekstu predmetnog upita, Agencija razabire da je na aktivnost koja može, kako se navodi, „dokazati“ provedbu određenih projektnih aktivnosti u načelu primjenjiva točka (f) gore citiranog članka 6. Opće uredbe o zaštiti podataka odnosno, legitimni interes voditelja obrade.

Kako je dodatno pojašnjeno u uvodnoj izjavi (47) legitimni interesi voditelja obrade, među ostalim onih interesa voditelja obrade kojem se osobni podaci mogu otkriti ili treće strane, mogu predstavljati pravnu osnovu za obradu pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade. U svakom slučaju postojanje legitimnog interesa zahtijevalo bi pažljivu procjenu, među ostalim i toga može li ispitanik u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u dotičnu svrhu. Interesi i temeljna prava ispitanika posebno bi mogli nadvladati interes voditelja obrade ako se osobni podaci obrađuju u okolnostima u kojima ispitanici razumno ne očekuju daljnju obradu.

Prilikom razmatranja je li obrada nužna za potrebe legitimnih interesa voditelja obrade treba zapravo razmotriti može li se ista svrha ostvariti manje invazivnim sredstvima na privatnost ispitanika.

U svakom slučaju, da bi se voditelj obrade mogao pozvati na legitimni interes kao pravni temelj za obradu, ta obrada osobnih podataka mora biti nužna za postizanje legitimnog interesa, legitimni interes mora biti zakonit, stvaran i trenutačan te dovoljno jasno opisan odnosno specifičan kako bi se omogućila provedba testa ravnoteže u odnosu na  interese i temeljna prava osoba čiji se podaci obrađuju (ispitanika). I, naposljetku, test ravnoteže mora pokazati da su u konkretnom slučaju interesi voditelja obrade (ili treće strane) jači od temeljnih prava i sloboda ispitanika, osobito ako je ispitanik dijete.

 Bitno za ukazati je da sukladno propisima iz područja zaštite osobnih podataka djeca  zaslužuju posebnu zaštitu u pogledu obrade njihovih osobnih podataka budući da mogu biti manje svjesna rizika i posljedica obrade, ali i svojih prava u vezi s obradom njihovih osobnih podataka. 

Slijedom navedenog, u načelu, Agencija smatra upitnim da bi test ravnoteže u konkretnom slučaju, gdje je s jedne strane interes voditelja obrade za dokazivanjem provedbe projektne aktivnosti podjele promotivnih materijala o izgradnji reciklažnog dvorišta, a s druge strane interes zaštite maloljetne djece, pokazao da je interes voditelja obrade jači od interesa ili temeljnih prava i sloboda maloljetnih ispitanika koji zahtijevaju zaštitu osobnih podataka.

Da li tajnik odgojno-obrazovne ustanove može biti službenik za zaštitu podataka?

6.6.2019.

Agenciji za zaštitu osobnih podataka zaprimila je upit u svezi tumačenja sukoba interesa vezano za službenika za zaštitu osobnih podataka, kao i činjenice da li tajnik ustanove može biti imenovan službenikom za zaštitu podataka. S obzirom na navedeno iznosimo sljedeće:

U članku 37. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119  je navedeno u kojem slučaju voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu osobnih podataka, odnosno kada obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti, kada se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili kada se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. GDPR-a.

Nadalje, navedenom Općom uredbom su utvrđene i zadaće koje obavlja Službenik za zaštitu osobnih podataka u smislu informiranja i savjetovanja voditelja obrade ili izvršitelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz Opće uredbe te drugim odredbama Unije ili države članice o zaštiti podataka; praćenja poštovanja Opće uredbe te drugih odredaba Unije ili države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije; pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35.; suradnja s nadzornim tijelom; djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36. te savjetovanje, prema potrebi, o svim drugim pitanjima (članak 37. navedene Opće uredbe).

Naime, službenik za zaštitu podataka može ispunjavati i druge zadaće i dužnosti, a voditelj obrade ili izvršitelj obrade osigurava da takve zadaće i dužnosti ne dovedu do sukoba interesa. Nepostojanje sukoba interesa usko je povezano s obvezom djelovanja na neovisan način. Iako je službenicima za zaštitu podataka dopušteno obavljati druge dužnosti, te im druge zadaće i obveze mogu biti povjerene samo uz uvjet da ne dovode do sukoba interesa. Konkretno, to podrazumijeva da službenik za zaštitu podataka ne može biti djelatnik organizacije čiju svrhu i načine obrade osobnih podataka mora utvrditi. Možemo reći da je nepisano pravilo da radna mjesta koja mogu biti u sukobu interesa u okviru organizacije mogu biti položaji u višem rukovodstvu (kao što su predsjednik uprave, direktor poslovanja, direktor financija, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju), ali i niže uloge u hijerarhijskoj strukturi organizacije ako takvi položaji ili uloge kada podrazumijevaju utvrđivanje svrhe i načina obrade osobnih podataka koja se smatra odlučnom činjenicom za sukob interesa.

Ovisno o djelatnostima, veličini i strukturi organizacije, za voditelje obrade ili izvršitelje u praksi bi moglo biti dobro sljedeće:
• utvrditi funkcije koje su nespojive s funkcijom službenika za zaštitu podataka,  sastaviti interna pravila za tu svrhu kako bi se izbjegao sukob interesa,
• dodati i šire objašnjenje o sukobu interesa, 
• izjaviti da njihov službenik za zaštitu podataka nije u sukobu interesa s obzirom na njegovu dužnost službenika za zaštitu podataka, što će pridonijeti podizanju svijesti o postojanju te obveze, 
• u interna pravila organizacije uvrstiti zaštitne mjere i osigurati da je natječaj za radno mjesto službenika za zaštitu podataka ili ugovor o djelu dostatno precizan i iscrpan radi izbjegavanja sukoba interesa. U tom bi kontekstu trebalo imati na umu da se sukobi interesa mogu pojaviti u raznim oblicima, ovisno o tome je li službenik za zaštitu podataka već bio zaposlenik organizacije ili nije.

Vezano za imenovanje službenika za zaštitu osobnih podataka navodimo kako se funkcija službenika za zaštitu podataka može obavljati i na temelju ugovora o djelu sklopljenog s pojedincem ili organizacijom izvan organizacije voditelja obrade ili izvršitelja obrade. U potonjem slučaju vrlo je važno da svaki član organizacije koja izvršava funkcije službenika za zaštitu podataka ispunjava sve zahtjeve koji se primjenjuju na temelju odjeljka 4. Opće uredbe o zaštiti podataka (npr. osobito je važno da nitko ne bude u sukobu interesa). Jednako je važno da svaki član bude zaštićen odredbama Opće uredbe o zaštiti podataka (na primjer, da ne bude nepoštenog raskidanja ugovora za poslove službenika za zaštitu podataka, ali ni nepoštenog razrješenja dužnosti bilo kojeg pojedinog člana organizacije koji obavlja zadaće službenika za zaštitu podataka). Mogu se istodobno kombinirati osobne vještine i stručnost kako bi više pojedinaca koji djeluju kao jedinica mogli djelotvornije pružati usluge svojim klijentima. U tom kontekstu važno je naglasiti kako je tendencija imenovanja vanjskog službenika za zaštitu osobnih podataka imenovanje osobe koja može biti službenik u više društava, ali u slučaju kada govorimo o imenovanju službenika koji je zaposlenik drugog društva treba voditi brigu o mogućem sukobu interesa koji se može pojaviti u svakom pojedinom slučaju. Dakle tendencija prilikom imenovanja službenika za zaštitu osobnih podataka je, između ostalog, obavljanje dužnosti i zadaća na neovisan način te izravno odgovaranje najvišoj rukovodećoj razini, što bi u slučaju imenovanja zaposlenika drugog društva moglo predstavljati sukob interesa. Međutim, odgovornost i obveza imenovanja službenika proizlazi kao obveza voditelj ili izvršitelja obrade, koji kao i potencijalno imenovani službenik za zaštitu osobnih podataka moraju voditi brigu u sukobu interesa, osobito kada se radi o zaposleniku drugog društva koji nije u nikakvoj vezi, tj. nisu povezana društva  (primjerice ovisno i vladajuće društvo, društvo koncerna i sl.).

Nadalje, je potrebno napomenuti kako se službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća (članak 37. stavak 5.). Iako se ne navodi koje bi stručne kvalifikacije trebalo razmotriti prilikom imenovanja službenika za zaštitu podataka, neupitna je činjenica da službenici za zaštitu podataka moraju biti stručnjaci u području nacionalnog i europskog prava i prakse te dubinski razumjeti Opću uredbu o zaštiti podataka te da bi nužnu razinu stručnog znanja trebalo utvrditi u odnosu na postupke obrade podataka koji se provode te na obveznu zaštitu osobnih podataka koji se obrađuju.

Slijedom iznijetoga, u odnosu na upit može li tajnik škole biti imenovan službenikom za zaštitu podataka navodimo da je u slučaju ako isti ne utvrđuje svrhe i načina obrade osobnih podataka koja se smatra odlučnom činjenicom za sukob interesa ne nalazimo zapreke za obavljanjem navedene funkcije. Isto tako, navodimo kako službenik za informiranje ujedno može biti službenik za zaštitu podataka, odnosno s aspekta propisa o zaštiti osobnih podataka, uzimajući u obzir sve navedeno, ne vidimo ništa sporno da bi jedna osoba mogla obavljati obje navedene funkcije, dapače službenik za informiranje mora prilikom rješavanja zahtjeva za pristup informacijama biti u mogućnosti raspoznati traže li se u zahtjevu osobni podaci te da li je sukladno članku 15. Zakona o pravu na pristup informacijama („Narodne novine“ broj 25/13 i 85/15) potrebno ograničiti pristup istima tj. na adekvatan ih način zaštititi.
Naposljetku, ističemo kako se sve odluke o imenovanju službenika donesene na temelju Zakona o zaštiti osobnih podataka trebaju uskladiti sa Općom uredbom. Imenovanje službenika za zaštitu osobnih podataka mora biti u pisanom obliku i dostavljeno u izvorniku s potpisom i pečatom odgovorne osobe na sjedište Agencije: Martićeva 14, 10000 Zagreb. U vezi imenovanja službenika za zaštitu podataka navodimo kako detaljnije informacije možete pronaći i na internet stranici ove Agencije www.azop.hr

Obrada osobnih podataka učenika sukladno Općoj uredbi

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka – Opća uredba o zaštiti podataka – GDPR je u cijelosti obvezujuća i izravno se primjenjuje u Republici Hrvatskoj od 25. svibnja 2018. godine.

Uredbom se predviđaju specifikacije ili ograničenja njezinih pravila pravom države članice, te države članice mogu, u mjeri u kojoj je to potrebno radi usklađenosti i kako bi nacionalne odredbe bile razumljive osobama na koje se primjenjuju, elemente Uredbe uključiti u svoje nacionalno pravo. Tako je Opća uredba, sukladno njenom članku 8., stavku 1. dozvolila državama članicama da zakonom predvide najnižu dobnu granicu djeteta radi davanja privole u pogledu nuđenja usluga informacijskog društva izravno djetetu.

Republika Hrvatska je navedeno uredila Zakonom o provedbi Opće uredbe o zaštiti podataka (NN 42/2018).

Člankom 19., stavkom 1. Zakona o provedbi Opće uredbe o zaštiti podataka propisano je daje kod primjene članka 6., stavka 1., točke a) Opće uredbe o zaštiti podataka (privola kao zakoniti temelj za obradu), u pogledu nuđenja usluga informacijskog društva izravno djetetu, obrada osobnih podataka djeteta zakonita ako dijete ima najmanje 16 godina.

Ta odredba znači da dijete može dati svoju privolu za obradu njegovih osobnih podataka u kontekstu nuđenja usluga informacijskog društva ukoliko ima najmanje 16 godina, a do tada privolu mora dati njegov zakonski zastupnik odnosno nositelj roditeljske odgovornosti da bi ista predstavljala zakoniti pravni temelj za obradu.

Nadalje, člankom 18. Zakona o obveznim odnosima (NN 35/05, 41/08, 125/11, 78(15 i 29/18) propisano je da samo poslovno sposobna osoba može vlastitim očitovanjima volje stvarati pravne učinke (stavak 1.) te da poslovnu sposobnost fizička osoba stječe punoljetnošću (stavak 2.). Umjesto osobe koja nema poslovnu sposobnost očitovat će svoju volju njezin zakonski zastupnik ili skrbnik (stavak 4.).
Člankom 92., stavkom 3. Obiteljskog zakona (NN103/15) propisano je da u sadržaj roditeljske skrbi ulazi pravo i dužnost zastupanja djetetovih osobnih i imovinskih prava i interesa. Dakle, u slučaju da se radi o maloljetnom učeniku, privolu za obradu njegovih osobnih podataka potpisuje njegov zakonski zastupnik, odnosno roditelj. Ukoliko se radi o punoljetnom učeniku, tada privolu potpisuje on osobno.

Vezano za javnu objavu osobnih podataka učenika navodimo sljedeće:

Člankom 6., stavkom 1. Opće Uredbe je propisano daje obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; (c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; (d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; (f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Točka f) se ne odnosi na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.

Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.
U tom slučaju, ukoliko je posebnim pravnim propisom propisana obveza objave imena učenika npr. u brošuri škole, za takvu obradu nije potrebna i privola. U suprotnom, da bi navedena obrada bila zakonita, nužno je pribaviti drugi pravni temelj iz članka 6., stavka 1. Opće uredbe, što, u konkretnom slučaju, može biti jedino privola roditelja maloljetnih učenika, odnosno privola punoljetnih učenika.

Obrada osobnih podataka od strane učenika prilikom dežurstva u školskoj ustanovi

25. 7. 2019.

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka – Opća uredba o zaštiti podataka (dalje u tekstu: Opća uredba) je u cijelosti obvezujuća i izravno se primjenjuje u Republici Hrvatskoj od 25. svibnja 2018. godine.

Člankom 6. stavkom 1. Opće uredbe je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; (b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.

Agencija ističe kako se uvid u identifikacijsku ispravu može temeljiti na legitimnom interesu voditelja obrade u smislu članka 6. stavka 1. točke f) Opće uredbe jer postoji interes školske ustanove, kao voditelja obrade o saznanju posjetitelja iste, a u svrhu zaštite imovine i djece.

Ujedno napominjemo kako je uvijek prilikom korištenja legitimnog interesa kao pravnog temelja za pojedinu obradu osobnih podataka potrebno provesti test razmjernosti te utvrditi pretežu li interesi voditelja obrade nad interesima ispitanika.

Dodatno naglašavamo kako je sukladno članku 24. stavku 1. Opće uredbe obveza voditelja obrade da uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom.

Budući da je upravo školska ustanova voditelj obrade odgovorna za dokazivanje da se obrada provodi u skladu s Općom uredbom, naglašavamo kako nije uputno da obradu osobnih podataka provode maloljetnici, koji zbog svoje dobi i zrelosti ne mogu u potpunosti biti svjesni mogućih zlouporaba nastalih uslijed neovlaštenog korištenja podataka, za razliku od odraslih.

Člankom 58. stavkom 2.  Zakonom o odgoju i obrazovanju u osnovoj i srednjoj školi (NN 87/2008, 86/2009, 92/2010, 105/2010, 90/2011, 5/2012, 16/2012, 86/2012, 94/2013, 152/2014, 7/2017, 68/2018) određeno je da školski ili domski odbor donosi kućni red nakon provedene rasprave na učiteljskom/nastavničkom/odgajateljskom vijeću te vijeću roditelja i vijeću učenika.

Naime, odlukama o kućnom redu je određeno dežurstvo u školskoj ustanovi za vrijeme rada iste. Konkretno, u određenim ustanovama dežustvo obavlja dežurno tehničko osoblje, dok u drugim to provode učenici.

Uzimajući u obzir navedeno, potrebno je unificirati praksu školskih ustanova na način da se određene školske ustanove ne nađu u nepovoljnom položaju u odnosu na druge školske ustanove jer u njima obradu podataka vrše maloljetna djeca, čime nije udovoljeno obvezi voditelja obrade da provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Općom uredbom.

Zaključno napominjemo kako se svaka  obrada osobnih podataka mora provoditi sukladno načelima obrade osobnih podataka. Podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika; prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju; točni i prema potrebi ažurni; čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; i obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.

Obrada osobnih podataka studenata sukladno Općoj uredbi o zaštiti podataka

Prvenstveno ističemo da je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom potrebno postojanje pravnog temelja iz članka 6. Opće uredbe kojim je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Načela obrade osobnih podataka, sukladno članku 5. Opće uredbe, traže da osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika; prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju; točni i prema potrebi ažurni; čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; i obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera. Voditelj obrade odgovara za usklađenost s ovdje navedenim načelima Opće uredbe te je mora biti u mogućnosti dokazati.

Slijedom navedenog, a vezano za objavu podataka studenata fakulteta iste studijske godine putem elektroničke pošte, (podaci o objavi usmjenih ispita/rezultatima ispita) navodimo kako fakultet kao voditelj obrade, mora voditi brigu o opsegu obrade (objave) osobnih podataka. Svaki voditelj obrade mora razmjerno obrađivati (objavljivati) podatke samo u opsegu koji je nužan za postizanje zakonite svrhe. Podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se podaci obrađuju. U tom smislu skrećemo pozornost na poduzimanje odgovarajućih mjera zaštite koje su propisane postojećim zakonodavstvom koji propisuje da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju te čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo  koliko je potrebno u svrhe radi koje se osobni podaci obrađuju.

Stoga, Agencija za zaštitu osobnih podataka smatra uputnim od strane voditelja obrade upotrijebiti tehničku mjeru zaštite osobnih podataka – pseudonimizaciju, na način da se svakom studentu već prilikom upisa, odnosno prijave na ispit, dodijeli jedinstvena lozinka (koja predstavlja njegovo ime i prezime), a u svrhu javne objave održavanja usmenog dijela ispita, dostave rezultata kolokvija i slično.

U svrhu javne objave održavanja ispita može se koristiti, umjesto imena i prezimena, broj indeksa odnosno jedinstveni broj studenta. S tim u vezi smatramo kako bi se javnom objavom jedinstvene lozinke/broja indeksa/jedinstvenog broja studenta, umjesto njihovih imena i prezimena, bi se i dalje mogla postići svrha objave, a privatnost studenata bi bila narušena u manjoj mjeri.

X
Skip to content