Ažurirano 9.9.2024.
Zaštita osobnih podataka djece u odgojno-obrazovnim ustanovama izuzetno je važna radi očuvanja privatnosti, sigurnosti i integriteta djece. Uvodno ističemo kako sukladno propisima iz područja zaštite osobnih podataka djeca zaslužuju posebnu zaštitu u pogledu obrade njihovih osobnih podataka budući da mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom njihovih osobnih podataka.
Opća uredba o zaštiti podataka – uvodna izjava 38.
Djeca zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka budući mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka. Takvo pravo na posebnu zaštitu trebalo bi se posebno odnositi na upotrebu osobnih podataka djece u svrhu marketinga ili stvaranja osobnih ili korisničkih profila te prikupljanje osobnih podataka o djeci prilikom upotrebe usluga koje se izravno nude djetetu. Privola nositelja roditeljske odgovornosti ne bi trebala biti nužna u kontekstu preventivnih usluga ili usluga savjetovanja koje su ponuđene izravno djetetu.
Također, Konvencija o pravima djeteta, u svojem članku 3. propisuje da u svim akcijama koje se odnose na djecu, bilo da ih poduzimaju javne ili privatne ustanove socijalne skrbi, sudovi, državna uprava ili zakonodavna tijela, najbolji interes djeteta mora imati prednost.
U spomenutom članku navodi se sljedeće:
„U svim radnjama koje se odnose na djecu, bez obzira na to poduzimaju li ih javne ili privatne ustanove socijalne skrbi, sudovi, upravna tijela ili zakonodavna tijela, primarni je cilj najbolji interes djeteta.”
O najboljem interesu djeteta prvenstveno bi trebali brinuti njegovi roditelji/skrbnici ali i nadležne institucije i ostali subjekti, kao i društvo u cjelini.
Ova preporuka namijenjena je prije svega osnovnim i srednjim školama koje imaju za cilj osigurati kvalitetno obrazovanje i cjelovit razvoj učenika. Navedeno podrazumijeva i obradu osobnih podataka učenika u velikom opsegu, primjerice:
- Prijem i upis učenika: Škole prikupljaju osobne podatke pri upisu, kao što su ime, prezime, datum rođenja, adresa i kontakt informacije.
- Evidencija o napretku: Škole obrađuju podatke o akademskom uspjehu učenika, uključujući ocjene, prisutnost i sudjelovanje u aktivnostima.
- Zdravstveni podaci: Škole često prikupljaju informacije o zdravstvenom stanju učenika, posebno ako je potrebno prilagoditi nastavu ili osigurati odgovarajuću podršku.
- Komunikacija s roditeljima: Obrada osobnih podataka roditelja ili skrbnika je također važna za komunikaciju o napretku, obavijestima i sudjelovanju u školskim aktivnostima.
- Državne i lokalne vlasti: Škole mogu biti obvezne izvještavati o određenim podacima za potrebe obrazovnih statistika, financiranja ili usklađenosti s propisima.
- Zdravstvene ustanove: U slučaju potrebe za medicinskom pomoći ili kada je zdravlje učenika ugroženo, škole mogu dijeliti informacije sa zdravstvenim stručnjacima.
- Pravne institucije: U slučajevima kada je to zakonski potrebno, škole mogu proslijediti podatke nadležnim tijelima ili pravnim institucijama.
- Treće strane: primjerice pružatelji informatičkih ili administrativnih usluga.
Odgojitelji/učitelji/ nastavnici, stručni suradnici, čelnik ustanove te ostali zaposlenici u odgojno-obrazovnim ustanovama imaju vrlo važnu zadaću kad govorimo o zaštiti osobnih podataka djece, a ista uključuje:
- Educirati se o važnosti zaštite osobnih podataka i obvezama proizašlim iz pravnog okvira za zaštitu podataka
- Podizati razinu svijesti o važnosti zakonitog postupanja s osobnim podacima i zaštite osobnih podataka u virtualnom i fizičkom okruženju među svim zaposlenicima i djecom
- Doprinositi stvaranju kulture zaštite osobnih podataka i privatnosti unutar ustanove u kojoj rade i prenositi znanje o zaštiti osobnih podataka djeci
- Poduzimati odgovarajuće tehničke i organizacijske mjera kako bi se osigurala sigurnost osobnih podataka
Škole kao voditelji obrade su u obvezi postupati u skladu s propisima o zaštiti osobnih podataka, osiguravajući da se osobni podaci svih ispitanika prikupljaju, pohranjuju i obrađuju na siguran način, te da su dostupni samo ovlaštenim osobama. Uzimajući u obzir da su djeca najranjivija skupina društva kojoj je potrebno posvetiti posebnu pažnju i pozornost kad je u pitanju zaštita njihovih osobnih podataka i privatnosti, Agencija je u okviru projekta Europskog odbora za zaštitu podataka izradila sveobuhvatnu prezentaciju i trening za službenike za zaštitu podataka.
Edukativni materijali namijenjeni službenicima za zaštitu podataka u odgojno-obrazovnim ustanovama dostupni su na poveznici: https://azop.hr/wp-content/uploads/2024/09/zastita-podataka-u-obrazovanju.pptx te upućujemo sve službenike za zaštitu podataka iz odgojno-obrazovnih ustanova da istu koriste u svrhu stjecanja osnovnih i naprednih znanja iz područja zaštite osobnih podataka. Također, Agencija kontinuirano održava edukacije za službenike za zaštitu podataka te upućujemo sve škole i ostale odgojno-obrazovne institucije da upute svoje službenike za zaštitu podataka na besplatne edukacije/webinare/treninge koje održava tijelo koje nadzire provedbu zakonskih propisa o zaštiti podataka na području Republike Hrvatske- Agencija za zaštitu osobnih podataka. Sve informacije o edukativnim aktivnostima Agencije dostupne su na poveznici: https://azop.hr/edukativne-aktivnosti-azop-a/.
Sva djeca imaju svoja zakonska prava ,a ista uključuju i pravo na zaštitu osobnih podataka i privatnosti. Djeca također imaju pravo biti saslušana u svim pitanjima koja utječu na njih u skladu s njihovim razvojnim sposobnostima. Osim toga, sve donesene odluke koje se odnose na obradu osobnih podataka djece moraju u prvom redu uzeti u obzir ono što je u najboljem interesu djeteta („načelo najboljeg interesa”).
Ako dijete nema sposobnost ostvarivanja svojeg prava na zaštitu podataka samostalno ili zajedno sa zastupnikom, tada njegov zakonski zastupnik može ostvariti pravo na zaštitu osobnih podataka u ime djeteta.
Ostvarivanje tog prava roditelji/zakonski zastupnici trebali bi se poduzeti u najboljem interesu djeteta i u korist djeteta, a ne radi ostvarivanja vlastitih osobnih ciljeva.
S obzirom na primjenu Opće uredbe o zaštiti podataka skrećemo pozornost na sljedeće temeljne obveze škole kao voditelja obrade: pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava (članci 12. do 22. Opće uredbe o zaštiti podataka), provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite osobnih podataka (članci 25. i 32. Opće uredbe o zaštiti podataka), vođenje evidencija aktivnosti obrade (članak 30. Opće uredbe o zaštiti podataka), imenovanje službenika za zaštitu podataka (članak 37. Opće uredbe o zaštiti podataka).
Važno je napomenuti da su sve škole u obvezi imenovati službenika za zaštitu podataka čija je glavna zadaća savjetovati sve zaposlenike škole vezano za sva pitanja iz područja zaštite osobnih podataka i voditi brigu da su aktivnosti obrade koje provodi škola u skladu s zakonskim propisima o zaštiti podataka. Također, službenik za zaštitu podataka dužan je pružati odgovore na upite ispitanika (pojedinaca čije osobne podatke škola obrađuje- učenika, učitelja, roditelja itd.) u vezi obrade njihovih osobnih podataka. Najčešća pogreška koju je Agencija uočila kod škola kao voditelja obrade je da škole imenuju za službenika osobu koja nema adekvatna znanja iz područja zaštite osobnih podataka te nije u mogućnosti voditelju obrade (školi) pružati savjete iz područja zaštite osobnih podataka niti je u mogućnosti educirati zaposlenike škole o tome kako obrađivati osobne podatke u skladu s zakonskim propisima o zašititi osobnih podataka.
Službenik za zaštitu podataka je osoba imenovana od strane škole kao voditelja obrade koja vodi brigu o zakonitosti obrade osobnih podataka i ostvarivanju prava na zaštitu osobnih podataka. Važno je istaknuti kako službenik za zaštitu podataka može biti zaposlenik škole ili vanjski suradnik (osoba koja nije zaposlenik škole) koji ima stručne kvalifikacije osobito stručno znanje o pravu i praksama u području zaštite osobnih podataka te sposobnosti izvršavanja zadaća iz članka 39. Opće uredbe o zaštiti podataka.
Prilikom imenovanja službenika potrebno je voditi računa da ne postoji sukob interesa (voditi računa da takva osoba ne sudjeluje u donošenju odluka kojima se utvrđuje svrha i način obrade osobnih podataka).
Škola je dužna donijeti Odluku o imenovanju službenika sukladno Općoj uredbi o zaštiti podataka vodeći računa o stručnim kvalifikacijama (stručnom znanju i praksi iz područja zaštite osobnih podataka) te je dužan objaviti kontaktne podatke službenika za zaštitu podataka (npr. generička e-mail adresa, službeni broj telefona, nema obveze navođenja imena i prezimena službenika) i priopćiti ih nadzornom tijelu.
Imajući na umu da živimo u digitalno doba u kojem su naši osobni podaci izloženi mnogobrojnim rizicima te na sve veću svijest roditelja i učenika o važnosti zaštite podataka i privatnosti, škole ne bi smjele zanemariti važnost uloge službenika za zaštitu podataka. Pravo na zaštitu podataka i privatnosti temeljna su prava svakog čovjeka, a svatko tko smatra da mu je povrijeđeno pravo na zaštitu osobnih podataka može se obratiti Agenciji sa zahtjevom za utvrđivanje povrede prava. Opća uredba o zaštiti podatka predviđa za prekršitelje različite korektivne mjere, među kojima su i visoke novčane kazne.
Ističemo da se Agencija u svom radu vrlo često susreće sa situacijama u kojima škole imenuju službenike za zaštitu podataka samo kako bi zadovoljile formu, ne uvažavajući pritom činjenicu da je službenik za zaštitu podataka središnja točka pravnog okvira za zaštitu podataka, odnosno da je njegova glavna dužnost olakšati školi usklađivanje s Općom uredbom o zaštiti podataka provodeći instrumente za osiguranje pouzdanosti (kao što su izrada evidencije aktivnosti obrade, izrada politike privatnosti/izjave o obradi osobnih podataka i internih akata za usklađivanje s Općom uredbom o zaštiti podataka).
Stoga je prva i najbitnija preporuka Agencije svim školama imenovati službenika za zaštitu podataka koji posjeduje odgovarajuća znanja iz područja zaštite osobnih podataka, omogućiti službeniku za zaštitu podataka kontinuiranu edukaciju i odgovarajuće resurse za obavljanje zadaća iz članka 39. Opće uredbe o zaštiti podataka, a od iznimne je važnosti i da čelnik institucije pruži potporu službeniku za zaštitu podataka u njegovom radu.
Naime, u slučaju izostanka potpore čelnika insititucije, vrlo često se događa da se savjeti službenika ne uvažavaju i ne provode u praksi odnosno da se savjeti službenika doživljavaju kao nepotrebno otežavanje obavljanja općih, administrativno-analitičkih i ostalih poslova u školskim ustanovama.
Prije imenovanja službenika za zaštitu podataka, ključno je razmotriti hoće li radno mjesto koje službenik obavlja dovesti službenika za zaštitu podataka u sukob interesa: to su uvijek rukovodeća mjesta kao što je ravnatelj i gotovo uvijek radna mjesta kao što su voditelji odjela, ureda i sl. Također, bitno je razmotriti posjeduje li službenik odgovarajuća znanja iz područja zaštite osobnih podataka jer glavna zadaća službenika je savjetovati sve zaposlenike organizacije u kojoj je imenovan za službenika za zaštitu podataka vezano za sva pitanja iz područja zaštite osobnih podataka te održavati edukacije i podizati razinu znanja i svijesti o zaštiti osobnih podataka kod zaposlenika. Imenovanja koja nisu u skladu s čl. 37. st. 5. Opće uredbe o zaštiti podataka i čl. 38. st. 6. Opće uredbe o zaštiti podataka smatrat će se kršenjem Opće uredbe o zaštiti podataka. Više o zadaćama, položaju i imenovanju službenika dostupno je na poveznicI: https://azop.hr/obrazac-za-imenovanje-sluzbenika-za-zastitu-podataka/.
- KLJUČNI POJMOVI IZ OPĆE UREDBE O ZAŠTITI PODATAKA
- Voditelj obrade osobnih podataka
Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka (članak 4. Opće uredbe o zaštiti podataka).
U odgojno-obrazovnom sektoru to su: vrtići, osnovne škole, srednje škole, fakulteti, visoke škole, sveučilišta, znanstveni instituti, ustanove za obrazovanje odraslih, Ministarstvo znanosti i obrazovanja, jedinica lokalne ili područne (regionalne) samouprave itd.
PRIMJER VODITELJA OBRADE: Škola koja obrađuje osobne podatke učenika, njihovih roditelja, zaposlenika škole, posjetitelja škole itd. Važno je napomenuti da je voditelj obrade škola, a ne primjerice ravnatelj škole, tajnik ili neka druga osoba koja je zaposlenik škole.
- Izvršitelj obrade
Izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom (članak 4. i 28. Opće uredbe o zaštiti osobnih podataka).
PRIMJERI IZVRŠITELJA OBRADE: CARNet, SRCE, računovodstveni servisi, putničke agencije, catering kompanije, pružatelji informatičkih usluga
- Ovisi o obradi, svaki izvršitelj je ujedno i voditelj u kontekstu drugih obrada koje provodi
- Ponekad djeluju i kao zajednički voditelji
- Podaci se prenose i trećim stranama – HZJZ, HZZO, ministarstva nadležna za rad, mirovinsko i zdravstveno osiguranje koje nisu izvršitelji obrade itd.
NAPOMENA!
Škola kao voditelj obrade NIJE U OBVEZI imati izvršitelja obrade. Opća uredba o zaštiti podataka daje mogućnost školi kao voditelju obrade da povjeri izvršitelju obrade obavljanje samo nekih točno ugovorenih poslova u ime i za račun škole kao voditelja obrade. Ugovorom ili drugim pravnim aktom potrebno je detaljno regulirati međusobna prava i obveze između voditelja obrade (škole) i izvršitelja obrade (članak 28. Opće uredbe o zaštiti podataka).
Izvršitelj obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka te provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu sa Općom uredbom o zaštiti podataka.
- Ispitanik
Ispitanik je fizička osoba čiji se identitet može utvrditi izravno ili neizravno, posebno na osnovi jednog ili više obilježja specifičnih za njegov fizički, psihološki, mentalni, gospodarski, kulturni ili socijalni identitet.
Ispitanici su:
- Učenici, studenti, djeca u predškolskoj ustanovi
- Djeca, maloljetnici, stariji maloljetnici
- Zaposlenici obrazovnih institucija
- Osobe angažirane putem ugovora (autorski ugovor, ugovor o djelu)
- Zaposlenici poslovnih partnera obrazovnih institucija, zaposlenici ministarstava, državnih agencija
- Studenti, znanstvenici i nastavnici na privremenom boravku putem programa razmjene kao što su Erasmus/Erasmus plus programi
- Posjetitelji javnih događaja koji se organiziraju u prostoru odgojno-obrazovnih institucija
- Osobni podatakOsobni podaci jesu sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Različite informacije, koje zajedno prikupljene mogu rezultirati utvrđivanjem identiteta određene osobe, također čine osobne podatke.Primjeri osobnih podataka:
- ime i prezime;
- kućna adresa;
- adresu elektroničke pošte, primjerice ime.prezime@društvo.com;
- broj osobne iskaznice; OIB;
- podaci o lokaciji (primjer: funkcija podataka o lokaciji na mobilnom telefonu);
- adresa internetskog protokola (IP);
- identifikacijski broj kolačića;
- oglašavački identifikator mobilnog telefona;
- fotografija;
- videozapis na kojem se nalazi fizička osoba;
- audiozapis glasa fizičke osobe;
- podaci o zdravlju itd.
Osobni podatak može biti čak i informacija o tome što pojedinac pretražuje putem interneta ili objave na drušvenim mrežama koje označava sa “sviđa mi se”. Također, važno je naglasiti i da je snimanje videonadzornim kamerama u školskim ustanovama predstavlja obradu osobnih podataka te snimka na kojoj se nalazi fizička osoba predstavlja njezin osobni podatak.
- Primjeri kategorija i vrste osobnih podataka koji se obrađuju u odgojno obrazovnim institucijama
Osobni podaci potrebni za utvrđivanje identiteta (datum rođenja, OIB), kontakt podaci (adresa, telefon, e-mail), podaci u svrhu ostvarivanja specifičnih usluge u okviru obrazovnih institucija (npr. knjižnice) podaci o obrazovanju, zaporka za korisnički račun u knjižnici, povijest posudbe, povijest ulogiravanja u korisnički račun, podaci o obavljenim novčanim transakcijama, podaci o dugovanjima.
- Posebne kategorije osobnih podataka
Ako odgojno-obrazovna ustanova obrađuje posebne kategorije osobnih podataka, kao što su zdravstveni podaci, tada je uz zakonitu osnovu za obradu u skladu s člankom 6., potrebno utvrditi i iznimku iz članka 9. stavka 2. Opće uredbe o zaštiti podataka. To je zato što se člankom 9. stavkom 1. Opće uredbe o zaštiti podataka zabranjuje obrada posebnih kategorija osobnih podataka, osim u slučajevima kad su ispunjeni posebni uvjeti.
- Primjer: biometrijski podaci zaposlenika škole (npr. otisci prstiju za evidenciju radnog vremena), vjerska uvjerenja (npr. odluka učenika da pohađa vjeronauk), zdravlje (npr. alergije) ili prehrambeni zahtjevi (koji mogu ukazati na njihovu vjeru ili zdravlje)
- Zdravstveni podaci (liječnička dokumentacija, subjektivni opis trenutnog zdravstvenog stanja)
2. Načela obrade osobnih podataka kojih se škola kao voditelj obrade mora pridržavati prilikom obrade osobnih podataka (članak 5. Opće uredbe o zaštiti podataka)
Škola kao voditelj obrade osobnih podataka mora poštivati standarde i načela iz Opće uredbe o zaštiti podataka, vodeći računa da svrha u koju se osobni podaci obrađuju bude zakonita i opravdana te da za obradu osobnih podataka postoji pravna osnova (članak 5. i 6. Opće uredbe o zaštiti podataka).
A) načelo zakonitosti, poštenosti i transparentnosti;
B) načelo ograničavanja svrhe;
C) načelo smanjenje količine podataka;
D) načelo točnosti;
E) načelo ograničenja pohrane;
F) načelo cjelovitosti i povjerljivosti.
Svaka obrada osobnih podataka od stane škole, kao voditelja obrade treba biti zakonita i poštena. Poštujući načelo transparentnosti škola ima obvezu pružiti informacije roditeljima (a tako i svim drugim osobama čije osobne podatke na bilo koji način obrađuje) na lako dostupan i razumljiv način uz upotrebu jasnog i razumljivog jezika kako se osobni podaci prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju. Prilikom obrade osobnih podataka škola je dužna osigurati voditi računa da podaci koje obrađuje budu primjereni, bitni/relevantni i ograničeni na ono što je nužno za svrhe u koje se podaci obrađuju (ukoliko neki osobni podatak nije nužno potreban nemojte ga prikupljati). Također, škola je dužna voditi računa da osobni podaci budi točni i ažurni, a da se netočni osobni podaci isprave ili izbrišu.
Vezano za čuvanje osobnih podataka navodimo kako je škola dužna čuvati podatke u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhu radi kojih se osobni podaci obrađuju (ako postoji zakonska obveza koja propisuje rok čuvanja osobnih podataka potrebno je pridržavati se roka koji je propisan posebnim zakonom). Osobne podatke trebalo bi obrađivati uz odgovarajuće poštovanje sigurnosti i povjerljivosti osobnih podataka, što obuhvaća i sprečavanje neovlaštenog pristupa osobnim podacima i opremi kojom se koristi pri obradi podataka ili njihove neovlaštene upotrebe.
3. Pravni temelji za obradu osobnih podataka u odgojno-obrazovnim ustanovama
Prije početka obrade osobnih podataka, svi voditelji obrade pa tako i odgojno-obrazovne ustanove moraju identificirati odgovarajuću pravnu osnovu za obradu osobnih podataka. Moguće zakonite osnove za obradu navedene su u članku 6. Opće uredbe o zaštiti podataka.
Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha (članak 7. Opće uredbe o zaštiti podataka);
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (primjerice: ugovor škole sa roditeljima vezano za prehranu/cjelodnevni boravak njihove djece u školi);
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade (primjerice: obrada podataka roditelja i učenika sukladno Zakonu o odgoju i obrazovanju u osnovnim i srednjim školama, obrada podataka o radnicima u svrhu izvršavanja obveze poslodavca koje proizlaze iz Zakona o radu, Zakona o zdravstvenom osiguranju, Zakona o mirovinskom osiguranju i sl.);
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti (primjerice: obrada osobnih podataka u svrhu izdavanja svjedodžbi, obrada podataka u svrhu upisa u e-maticu dr.);
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete (primjerice: obrada osobnih podataka putem videonadzornog sustava).
Za svaku obradu osobnih podataka odgojno-obrazovna ustanova kao voditelj obrade treba imati zakonitu osnovu i svrhu obrade osobnih podataka. Za zakonitu obradu osobnih podataka potrebno je da bude ispunjena JEDNA od taksativno navedenih pravnih osnova iz članka 6. Opće uredbe o zaštiti podataka.
- Pravna obveza voditelja obrade
Ako se odgojno-obrazovna ustanova oslanja na pravnu obvezu kao osnovu za obradu osobnih podataka djeteta, dužna je utvrditi pravnu obvezu na kojoj se temelji obrada (primjerice, izričita zakonska ili podzakonska obveza) i zatim utvrditi da je obrada potrebna za ispunjavanje te obveze.
Škola je obveznik primjene odredbi posebnih zakona (primjerice; Zakona o odgoju i obrazovanju u osnovnim i srednjim školama, Zakon o stručno-pedagoškom nadzoru), i drugih podzakonskih akata koji su doneseni temeljem zakona (primjerice; Pravilnik o sadržaju i obliku svjedodžbi i drugih javnih isprava te pedagoškoj dokumentaciji i evidenciji u školskim ustanovama; Pravilnik o izradbi i obrani završnoga rada) te Nacionalni kurikulum Republike Hrvatske za predškolski, osnovnoškolski i srednjoškolski odgoj i obrazovanje .
Važno je napomenuti da ako škola prikuplja i obrađuje osobne podatke temeljem posebnih propisa, odnosno ako je takva obrada nužna radi poštovanja pravnih obveza škole kao voditelja obrade, u tom slučaju privola kao jedna od mogućih pravnih osnova za obradu nije primjenjiva.
PRIMJER: Člankom 138. stavkom 1. Zakona o odgoju i obrazovanju u osnovnim i srednjim školama propisano je kako se u školskim se ustanovama vodi pedagoška dokumentacija i evidencija o učenicima, praćenju nastave i drugih oblika odgojno-obrazovnog rada, upisu i ispisu učenika, ocjenjivanju i uspjehu učenika, pedagoškim mjerama i ispitima (obavijest o ostvarenim rezultatima na kraju prvog polugodišta, svjedodžba, prijepis ocjena kada učenik prelazi iz jedne škole u drugu, matična knjiga, dnevnik rada, imenik učenika i spomenica škole).
Nadalje, odredbama Obiteljskog zakona propisana dužnost/obveza roditelja skrbiti o djetetovim osobnim i imovinskim pravima te voditi računa o njegovoj dobrobiti u skladu s razvojnim potrebama i mogućnostima djeteta (članak 91. Obiteljskog zakona).
Obiteljskim zakonom, između ostaloga, propisano je kako roditelji imaju dužnost brinuti se o svestranom, redovitom, a prema svojim mogućnostima i daljnjem obrazovanju svojeg djeteta i poticati njegove umjetničke, tehničke, sportske i druge interese. Isto tako propisano je da su roditelji su dužni i odgovorni odzivati se sastancima ili pozivu odgojno-obrazovne ustanove u vezi s odgojem i obrazovanjem djeteta (članak 94. Zakona).
Sukladno članku 290. gore citiranog Zakona, roditelji su dužni uzdržavati punoljetno dijete koje se školuje u srednjoj školi, odnosno polazi sveučilišni ili stručni studij u skladu s posebnim propisima, odnosno program za osnovno obrazovanje ili program srednjoškolskog obrazovanja odraslih te redovito i uredno ispunjava svoje obveze, a najdulje do navršene dvadeset šeste godine života djeteta te roditelji u tom slučaju imaju pravo od djeteta, nadležnih tijela i pravnih osoba tražiti i dobiti podatke o djetetovu obrazovanju, odnosno zaposlenju.
- Roditelji/zakonski zastupnici su dužni i odgovorni odazivati se sastancima ili pozivu odgojno-obrazovne ustanove u vezi s odgojem i obrazovanjem djeteta (članak 94. Zakona).
- Roditelji/zakonski zastupnici imaju pravo od djeteta, nadležnih tijela i pravnih osoba tražiti i dobiti podatke o djetetovu obrazovanju, odnosno zaposlenju pod uvjetima navedenim u zakonu
Obiteljski zakon (čl. 290.) – roditelji su dužni uzdržavati punoljetno dijete koje se školuje u srednjoj školi, odnosno polazi sveučilišni ili stručni studij u skladu s posebnim propisima, odnosno program za osnovno obrazovanje ili program srednjoškolskog obrazovanje odraslih te redovito I uredno ispunjava svoje obveze, a najdulje do navršene dvadeset šeste godine života djeteta te roditelji u tom slučaju imaju pravo od djeteta, nadležnih tijela i pravnih osoba tražiti i dobiti podatke o djetetovu obrazovanje, odnosno zaposlenju.
Također, Zakonom o odgoju i obrazovanju u osnovnoj i srednjoj školi („Narodne novine“, broj: 87/08, 86/09, 92/10, 105/10, 90/11, 5/12, 16/12, 86/12, 126/12, 94/13, 152/14, 07/17, 68/18, 156/23) između ostaloga, uređuje se djelatnost osnovnog i srednjeg odgoja i obrazovanja u javnim ustanovama.
Odgoj i obrazovanje u osnovnim i srednjim školama ostvaruje se na temelju nacionalnog kurikuluma, nastavnih planova i programa i školskog kurikuluma. Nacionalni kurikulumi donose se za pojedine razine i vrste odgoja i obrazovanja sukladno okvirnom nacionalnom kurikularnom dokumentu koji na općoj razini određuje elemente kurikularnog sustava za sve razine i vrste osnovnoškolskog i srednjoškolskog odgoja i obrazovanja. Nacionalne kurikulume i okvirni nacionalni kurikularni dokument donosi ministar nadležan za obrazovanje odlukom.
Kurikulumom nastavnih predmeta određuju se svrha i ciljevi učenja i poučavanja nastavnog predmeta, struktura pojedinog predmeta u cijeloj odgojno-obrazovnoj vertikali, odgojno-obrazovni ishod i/ili sadržaji, pripadajuća razrada i opisi razina usvojenosti ishoda, učenje i poučavanje te vrednovanje u pojedinom nastavnom predmetu, a može se utvrditi i popis potrebnih kvalifikacija učitelja i nastavnika za izvođenje kurikuluma. Nastavnim planom određuje se oblik izvođenja kurikuluma (obvezno, izborno, fakultativno, međupredmetno i/ili interdisciplinarno), godišnji broj nastavnih sati i njihov raspored po razredima. Nastavni plan može biti zajednički za razinu, odnosno vrstu na pojedinoj razini obrazovanja, a iznimno se može donijeti i uz kurikulum određenoga nastavnog predmeta. Kurikulume nastavnih predmeta i nastavne planove donosi ministar nadležan za obrazovanje odlukom.
Isto tako, pri razmatranju je li obrada proporcionalan način postizanja usklađenosti (i stoga je li potrebna) ono što je proporcionalno u odnosu na odrasle i djecu moglo bi se razlikovati. To morate procijeniti u okolnostima obrade, uzimajući u obzir najbolje interese djeteta.
Ako odgojno-obrazovna ustanova ima obvezu obrađivati osobne podatke djece kako bi ispunila zahtjeve propisane zakonima i podzakonskim aktima, u tom slučaju nije potrebno tražiti privolu od roditelja/zakonskih zastupnika.
- UGOVOR
U slučajevima kad odgojno-obrazovna ustanova želi temeljiti obradu osobnih podataka na ugovoru s roditeljem/zakonskim zastupnikom djeteta, obrada osobnih podataka mora biti nužna u odnosu na svrhu te roditelj/zakonski zastupnik djeteta mora biti stranka ugovora.
Ako škola prikuplja i obrađuje osobne podatke radi sklapanja ugovora između škole i roditelja djeteta (učenika), odnosno ako je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora, u tom slučaju privola kao jedna od mogućih pravnih osnova za obradu nije primjenjiva.
PRIMJER: Školska ustanova obrađuje osobne podatke djece u svrhu izvršavanja ugovora o prehrani djece u školi, koji je sklopljen između roditelja/zakonskih zastupnika i školske ustanove.
- LEGITIMNI INTERES
Legitimni interes je moguća prikladna pravna osnova u slučajevima kada voditelji obrade obrađuju osobne podatke ispitanika na način koji bi oni razumno očekivali i koji bi imao minimalan utjecaj na njihovu privatnost, na temelju same prirode obrade ili uvedenih zaštitnih mjera.
Ističemo da članak Članak 6. stavak 1. Opće uredbe o zaštiti podataka izričito ograničava javna tijela da se oslanjaju na legitimni interes ako obrađuju osobne podatke „u obavljanju svojih zadaća”. Međutim, to ostavlja otvorenu mogućnost javnim tijelima da se oslone na ovu pravnu osnovu iz nekog legitimnog razloga osim izvršavanja svojih zadaća kao tijela javne vlasti.
Kada se koristi legitimni interese kao zakonita osnova za obradu osobnih podataka djece, odgojno-obrazovna ustanova je u obvezi zaštiti djecu od rizika koje možda neće u potpunosti razumijeti i od posljedica koje možda neće predvidjeti.
Voditelji obrade moraju biti u mogućnosti dokazati da su u dovoljnoj mjeri zaštitili prava i temeljne slobode djeteta te da su, kada je to potrebno, dali prednost interesima djeteta nad vlastitim interesima.
U članku 6. stavku 1. točki (f) Opće uredbe o zaštiti podataka poseban naglasak stavlja se na potrebu zaštite interesa i temeljnih sloboda ispitanika kada su ispitanici djeca.
Korištenje legitimnih interesa kao zakonite osnove za obradu osobnih podataka djeteta stavlja odgovornost na voditelja obrade, a ne na dijete (ili odraslu osobu koja djeluje u njegovo ime), kako bi se osiguralo da su njihovi interesi zaštite podataka adekvatno zaštićeni. Velik dio testa ravnoteže koji su dužni provesti voditelji obrade ukoliko se žele osloniti na legitimni interes kao pravnu osnovu za obradu osobnih podataka, treba se temeljiti na zdravom razumu i očekivanjima ispitanika: ako ispitanik ne bi razumno očekivao ovu vrstu obrade svojih osobnih podataka ili ako bi to prouzročilo neopravdanu štetu njihovim interesima, pravima ili slobodama, njihovi interesi će vjerojatno nadjačati legitimne interese na koje se voditelj obrade želi osloniti. Slično tome, što je veći utjecaj određene aktivnosti obrade u prava pojedinca na zaštitu podataka, to je veće potrebno veće opravdanje za takvu obradu osobnih podataka
Uvjeti:
- obrada mora biti nužna i ne smije na bilo koji način štetiti djeci
- ako voditelj obrade može razumno postići isti rezultat na manje invazivan način, voditelj obrade se ne može osloniti na legitimni intres kao pravnu osnovu za obradu osobnih podataka
Ako se ustanova želi osloniti se na legitimni interes kao zakoniti temelj za obradu podataka, nužno je provesti procjenu legitimnih interesa što znači:
- identificirati legitimni interes;
- dokazati da je obrada nužna za postizanje istog; i
- usporediti ga s interesima, pravima i slobodama djeteta.
Primjer 1: Školska ustanova održava priredbu koja se odvija na javnom mjestu te fotografira djecu koja nastupa te skupne fotografije objavljuje na službenoj web stranici škole. Obradu temelji na legitimnom interesu.
Primjer 2: Školska ustanova želi objaviti monografiju školske ustanove, a obradu osobnih podataka temelji na legitimnom interesu.
Primjer 3: Školska ustanova koristi sustav videonadzora na temelju legitimnog interesa, a u svrhu zaštite osoba i imovine.
Kad odgojno-obrazovna ustanova razmatra obradu osobnih podataka na temelju legitimnog interesa, u obvezi je provesti test ravnoteže i mora biti u mogućnosti dokazati da interesi ispitanika ne nadjačavaju legitimne interese odgojno-obrazovne ustanove i da se osobni podaci koriste samo na načine koje bi ispitanik razumno očekivao.
Nadalje, odgojno-obrazovne ustanove su dužne posvetiti posebnu pažnju zaštiti interesa djece kada se obrađuju njihovi osobni podaci. Voditelji obrade bi također trebali biti sigurni da su uzeli u obzir odgovarajuće zaštitne mjere za smanjenje bilo kakvog negativnog utjecaja na prava djece.
Obrazac testa razmjernosti dostupan je na poveznici: https://azop.hr/wp-content/uploads/2021/04/Test-razmjernosti.docx.
- Privola
Postoje okolnosti u kojima se odgojno-obrazovne ustanove mogu osloniti na privolu kao pravnu osnovu za obradu osobnih podataka djeteta. Privola može biti odgovarajući pravni temelj samo ako škola (odgojno-obrazovna ustanova) može roditeljima/zakonskim zastupnicima ili u određenim slučajevima samoj djeci omogućiti informiran izbor i kontrolu nad načinom na koji upotrebljava njihove osobne podatke. Međutim, privola se ne bi trebala upotrebljavati kao način izbjegavanja vlastite odgovornosti za procjenu rizika svojstvenih određenoj obradi. Iako je privola zakonita osnova za obradu osobnih podataka djece, njezina upotreba ne jamči nužno da je obrada poštena i nije uvijek najprikladnija osnova.
Prilikom prikupljanja osobnih podataka potrebo je razlikovati PRIVOLU od INFORMIRANJA/PRUŽANJA OBAVIJESTI ispitaniku.
PRUŽANJE INFORMACIJA ispitanicima o obradi njihovih osobnih podataka jedna je od temeljnih obveza škole, kao voditelja obrade neovisno o pravnoj osnovi prikupljanja i daljnje obrade osobnih podataka te je isto potrebno u svakom slučaju obrade osobnih podataka. Informiranje/obavještavanje roditelja djece (učenika) o svrsi i pravnoj osnovi obrade osobnih podataka je obveza svake škole kao voditelja obrade prilikom prikupljanja i daljnje obrade osobnih podataka djece (učenika) a sve u skladu sa transparentnosti obrade osobnih podataka. Škola je dužna razgraničiti koji osobni podaci i informacije se prikupljaju temeljem njihove zakonske obveze, odnosno koji su obvezni osobni podaci, a koji fakultativni podaci.
ISTIČEMO:
- PRIVOLA je samo jedna od zakonitih pravnih osnova za obradu osobnih podataka, međutim ako se osobni podaci prikupljaju i dalje obrađuju temeljem neke druge pravne osnove iz članka 6. Opće uredbe o zaštiti podataka, privolu nije potrebno tražiti
- PRIVOLA bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave.
- PRIVOLA se u svakom trenutku može povući-OPOZVATI (povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja). Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.
- PRIVOLA bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za svaku od njih posebno (primjerice; jedna svrha je objava podataka u časopisu škole, druga je svrha objava podataka u medijima, sudjelovanje u TV/RADIO emisijama). Ističemo kako nije potrebno prikupljati više obrazaca privole u slučajevima kada se privola daje za više različitih svrha. Dakle, na istom obrascu moguće je zatražiti privolu za različite svrhe obrade osobnih podataka pod uvjetom da su svrhe jasno naznačene i razgraničene. Također jednom dana privola u točno određenu svrhu vrijedi do opoziva, nije ju potrebno davati roditeljima svake školske godine ako se opseg podataka i svrha u koju se prikupljaju privole nije promijenila, međutim Radna skupina iz članka 29. preporučuje, kao najbolju praksu, da bi se privola trebala obnavljati u odgovarajućim vremenskim razmacima više u Smjernici o privoli u skladu s Uredbom 2016/679
PRIVOLA je jedna od mogućih zakonitih osnova za obradu osobnih podataka i nije primjenjiva ukoliko se osobni podaci obrađuju temeljem neke druge zakonite osnove.
Privola je samo jedna od zakonitih pravnih osnova za obradu osobnih podataka – ako se podaci prikupljaju i dalje obrađuju temeljem neke druge pravne osnove iz članka 6. Opće uredbe o zaštiti podataka (npr. ugovor, pravna obveza, javne ovlasti/interes, legitimni interes voditelja obrade) ne tražiti privolu!
Prilikom traženja škole (odgojno-obrazovne ustanove) trebaju utvrditi:
- Je li privola uopće najprikladnija pravna osnova?
- Osigurati da se može povući bez negativnih posljedica
- Da nije preduvjet za pružanje usluge
- Tražiti izravan, afirmativan pristanak (da, pristajem…/dajem privolu)
- Ne koristiti unaprijed označene kućice ili slične uvjetovane privole
- Komunicirati na jednostavan, izravan i jasan način
- Specificirati zašto su podaci potrebni i kako će se koristiti
- Identificirati voditelja obrade i treće strane
- Obavijestiti ispitanika o pravu na povlačenje privole
Primjer 1: Škola objavljuje školski časopis i/ili novine te traži od roditelja/zakonskih zastupnika privolu za dostavu istog/istih na adresu e-pošte.
Primjer 2: Škola želi objaviti fotografije najboljih učenika pojedinačno (ne u grupi) na službenoj web stranici s njihovim imenom i prezimenom te naznakom razreda i traži od roditelja/zakonskih zastupnika privolu za takvu objavu.
- Privola u odnosu na usluge informacijskog društva
Sve informacije koje su posebno namijenjene djetetu trebale bi biti prilagođene kako bi bile lako dostupne, uz uporabu jasnog i jednostavnog jezika.
Za većinu internetskih usluga potrebna je privola roditelja ili zakonskih zastupnika za obradu osobnih podataka djeteta na temelju privole do određene dobi. To se primjenjuje na stranice za društveno umrežavanje, kao i na platforme za preuzimanje glazbe i platforme za igranje igrica.
Svaka država članica EU utvrđuje dobnu granicu za dobivanje roditeljske privole razlikuje se te ona iznosi između 13 i 16 godina. U Republici Hrvatskoj je ta dobna granica 16 godina.
Sve organizacije koje obrađuju osobne podatke djece i maloljetnika moraju uložiti razumne napore, uzimajući u obzir dostupnu tehnologiju, kako bi provjerila je li dana privola zaista u skladu sa pravnim okvirom. To može uključivati provedbu mjera potvrde dobi kao što je pitanje na koje prosječno dijete ne bi moglo odgovoriti ili zahtjev da maloljetnik navede adresu elektroničke pošte roditelja kako bi se dobila pisana privola i sl.
Primjer 1: Potrebna je roditeljska privola
Učitelj u školskoj ustanovi želi organizirati zajedničko ponavljanje za ispit putem online platforme za komuniciranje na daljinu za učenike petog razreda. Školska ustanova je odobrila takvo postupanje. Roditelj/zakonski zastupnik bi trebao dati svoju privolu ukoliko se slaže s time da se dijete pridruži platformi u svrhu ponavljanja na daljinu.
Primjer 2: Roditeljska privola nije potrebna
Maturanti se dobrovoljno uključuju u sudjelovanje u istraživanju o tome koji faktori u učionici utječu na njihovu bolju koncentraciju prilikom slušanja predavanja. Istraživanje se vrši putem internetskog obrasca za prikupljanje odgovora.
Preporučamo odgojno-obrazovnim ustanovama da koriste obrazac privole koje je izradila Agencija, a nalazi se na poveznici: https://azop.hr/wp-content/uploads/2021/06/Obrazac-privole.docx
4. PRUŽANJE INFORMACIJA ISPITANICIMA U SVRHU OSTVARIVANJA NJIHOVIH PRAVA (ČLANAK 13. I 14. OPĆE UREDBE O ZAŠTITI PODATAKA)
Vezano za pružanje informacija ispitanicima (primjerice; roditeljima djece (učenika) i sl.) u svrhu ostvarivanja njihovih prava navodimo kako je poštujući načelo transparentnosti škola dužna ispitaniku pružiti sve informacije o obradi osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi o zaštiti podataka, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Također, ukoliko osobni podaci nisu dobiveni od ispitanika škola je dužna ispitaniku pružiti osim gore navedenih informacija i informacije o izvoru osobnih podataka (članak 14. Opće uredbe o zaštiti podataka).
Osim toga, navodimo kako je u svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka, a time i ostvarivanja prava ispitanika: pravo pristupa podacima, prava na ispravak netočnih podataka, prava na brisanje podataka, prava na ograničenje obrade podataka, prava na prenosivost podataka i prava na ulaganje prigovora na obradu osobnih podataka škola dužna detaljno objasniti koje vrste osobnih podataka prikuplja, u koju svrhu i po kojoj pravnoj osnovi, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje mjere zaštite osobnih podataka se poduzimaju.
Najčešće će te informacije odgojno-obrazovne ustanove pružiti ispitanicima putem politike privatnosti/izjave o obradi osobnih podataka ili putem dokumenta sličnog naziva koji će biti javno dostupan ispitanicima na službenoj web stranici škole. Ukoliko škola nema web stranicu, navedeni dokument moguće je učiniti javno dostupnim na oglasnoj ploči u odgojno-obrazovnoj ustanovi. Obrazac politike privatnosti moguće je preuzeti na poveznici te prilagoditi konkretnim aktivnostima obrade osobnih podataka u odgojno obrazovnoj ustanovi: https://azop.hr/wp-content/uploads/2024/03/2-politika-privatnosti_obrazac.docx.
Isto tako ukazujemo kako je potrebno usklađivanje internih akata vezanih uz radno-pravne odnose, odnosno uskladiti odredbe internih akata koje se odnose na zaštitu osobnih podataka u kojima će na sveobuhvatan i jasan način biti ugrađene informacije koje škola u trenutku prikupljanja osobnih podataka obvezna ispitaniku pružiti (standardi iz članka 13. i članka 14. Opće uredbe o zaštiti podataka).
5. PROVOĐENJE ODGOVARAJUĆIH TEHNIČKIH I ORGANIZACIJSKIH MJERA ZAŠTITE OSOBNIH PODATAKA (ČLANCI 25. I 32. OPĆE UREDBE O ZAŠTITI PODATAKA)
Škola je dužna poduzimati i provoditi odgovarajuće tehničke i organizacijske mjere zaštite koje imaju za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka, odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koristi.
Mjere zaštite
– dokumentaciju u papirnatom obliku koja sadrži osobne podatke pohraniti, primjerice u ormare ili ladice pod ključem koja će biti pod nadzorom ovlaštenih osoba,
– pristup osobnim podacima pohranjenim u elektroničkom obliku trebao bi biti omogućen uporabom korisničkog imena i lozinke,
– izrada sigurnosnih kopija od strane ovlaštenih osoba, bilježenje pristupa podacima,
– potpisivanje izjava o povjerljivosti osoba koje sudjeluju u obradi osobnih podataka (obrazac izjave o povjerljivosti možete pronaći na internet stranici ove Agencije: https://azop.hr/wp-content/uploads/2020/12/6-izjava_o_povjerljivosti_obrazac-1.docx
– pseudonimizacija ili enkripcija osobnih podataka-osobito ako se radi o posebnim kategorijama (primjerice: podataka o zdravlju).
6. EVIDENCIJA AKTIVNOSTI OBRADE (ČLANAK 30. OPĆE UREDBE O ZAŠTITI PODATAKA)
Evidencija aktivnosti obrade je obrazac,najčešće excel tablica, odnosno informativni katalog informacija koji služi kao svojevrstan pregled/presjek svake pojedine obrade osobnih podataka kao i dokaz da je obrada osobnih podataka zakonita, tj. sukladna odredbama Opće uredbe o zaštiti podataka.
Evidencija aktivnosti obrade mora sadržavati informacije iz članka 30. Opće uredbe o zaštiti podataka te mora biti u pisanom obliku, uključujući elektronički oblik. Podaci sadržani u evidenciji obrade trebali bi biti na odgovarajući način zaštićeni (primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa). Obveza vođenja evidencije aktivnosti obrade obveza je i onih voditelja obrade, koji zapošljavaju manje od 250 osoba, pa tako i škole ako je obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika, ako obrada nije povremena ili obrada uključuje posebne kategorije podataka iz članka 9. stavka 1. ili je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.
Primjer evidencije aktivnosti obrade koju odgojno-obrazovne ustanove mogu preuzeti i koristiti u svom radu dostupan je na poveznici: https://azop.hr/wp-content/uploads/2024/09/Primjer-EAO-osnovna-ili-srednja-skola.xlsx.
7. OBRADA OSOBNIH PODATAKA PUTEM KOLAČIĆA
Važno je napomenuti da ukoliko odgojno-obrazovna ustanova na web stranicama koristi kolačiće, prikuplja i obrađuje osobne podatke posjetitelja stranice. Takva obrada mora biti usklađena s zakonskim propisima o zaštiti podataka. Više o obradi osobnih podataka putem kolačića dostupno je na poveznici: https://azop.hr/obrada-osobnih-podataka-kolacici/.
8. OBRADA OSOBNIH PODATAKA PUTEM VIDEONADZORA
Važno je napomenuti da ukoliko odgojno-obrazovna ustanova planira instalirati videonadzorne kamere, navedeno predstavlja obradu osobnih podataka ispitanika te je takvu obradu potrebno uskladiti s zakonskim propisima o zaštiti osobih podataka. Više možete saznati u preporuci Agencije: https://azop.hr/obrada-osobnih-podataka-putem-sustava-videonadzora/
NAJČEŠĆA PITANJA I ODGOVORI U SVEZI PRIKUPLJANJA I DALJNJE OBRADE OSOBNIH PODATAKA U ŠKOLAMA
1. Pravo uvida u e-dnevnik i ostale informacije vezane uz obrazovanje za dijete bez njegove suglasnosti/privole od strane roditelja/zakonskog zastupnika djeteta?
Ne postoje zakonske prepreke za uvid u ocjene djece neovisno o njihovoj dobi koje su sadržane u e-dnevniku od strane njihovih roditelja/zakonskih zastupnika, odnosno isti će i dalje moći dobiti na uvid (bez nužne privole) njegove ocjene, izostanke, ponašanja, kao i druge informacije vezano uz njihovo obrazovanje. U konkretnom slučaju radi se ne samo o pravu već i obvezi roditelja/zakonskog zastupnika da se brine o svome djetetu sukladno odredbama posebnog propisa (Obiteljski zakon).
2. Privola djeteta koja se isključivo odnosi u slučaju nuđenja usluga informacijskog društva?
Vezano za privolu djeteta u slučaju nuđenja usluga informacijskog društva – svaka usluga koja se obično pruža uz naknadu na daljinu, elektroničkim sredstvima te na osobni zahtjev primatelja (Direktiva EU 2015/1535 Europskog parlamenta i Vijeća) kao što su primjerice, internet prodaja robe i usluga, nuđenje podataka na internetu, pristup društvenim mrežama i sl.. obrada je zakonita ako dijete ima najmanje 16 godina. Ako je dijete ispod dobne granice od 16 godina takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom (zakonski zastupnik djeteta).
3. Može li tajnik škole biti imenovan na funkciju službenika za zaštitu podataka?
Tajnik škole može biti imenovan na funkciju službenika za zaštitu podataka pod uvjetom da ta osoba ne dođe u sukob interesa te da kao službenik za zaštitu podataka bude u mogućnosti obavljati svoje dužnosti i zadaće na neovisan i stručan način.
Može li službenik za informiranje u školi biti službenik za zaštitu osobnih podataka?
Može, ne postoji prepreka da jedna osoba obavlja dvije funkcije, ako ne postoje neke druge zapreke primjerice sukob interesa.
PREPORUKA!
• škola, kao voditelj obrade odlučuje o mogućem postojanju sukoba interesa u svakom pojedinom slučaju, pritom posebno uzimajući u obzir obilježja organizacijske strukture škole
4. Smije li škola objaviti osobne podatke zaposlenika na mrežnim stranicama?
Kod objave osobnih podataka zaposlenika škole trebalo bi primjenom načela razmjernosti i ograničenja obrade osobnih podataka voditi brigu da se objavljuju samo oni podaci koji su nužni da bi postigla utvrđena svrha (informiranje radnika, roditelja).
Također škola ima zakonsku obvezu (Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi) objaviti Godišnji plan i program na svojoj web stranici koji sadrži podatke o izvršiteljima poslova. Budući da posebnim zakonom nije propisan opseg osobnih podataka koji se trebaju objaviti dovoljno je objaviti imena i prezimena radnika i nazive radnih mjesta te eventualno njihovu stručnu spremu, dok bi sve ostale osobne podatke (primjerice: datum i godinu rođenja radnika, mjesto rođenja, privatnu adresu) koji se odnose na privatnu sferu zaposlenika trebalo zaštititi odnosno ne objavljivati javno na mrežnim stranicama škole.
5. Fotografiranje djece u školi?
Vezano za fotografiranje djece na školskim priredbama nije potrebna prethodna privola roditelja djece već bi se ukoliko se radi o javnim događajima isto bi se smatralo legitimnim interesom škole kao voditelja obrade. Međutim, isto podrazumijeva se da su roditelji djece bili prethodno informirani da će njihova djeca biti fotografirana. Ako se radi o pojedinačnim fotografijama potrebno je razmotriti gdje su iste sačinjene primjerice: ako su sačinjene na natjecanju, u učionici i sl. pa je ovisno o tome od slučaja do slučaja potrebno utvrditi pravnu osnovu za isto (privola roditelja ili legitimni interes škole), a roditelje prethodno informirati o svrsi u koju se učenici tj. djeca fotografiraju
Vezano za fotografiranje djeteta od strane roditelja u učionici škole, kada se vrlo često na fotografiji nalaze i druga djeca navodimo kako se Opća uredba o zaštiti podataka ne primjenjuje na obradu osobnih podataka koju fizičke osobe obavljaju u okviru isključivo osobne ili kućne aktivnosti te stoga nije povezana s profesionalnom ili komercijalnom djelatnošću. Pritom je potrebno voditi računa da se fotografije ne objavljuju na Internet stranicama, društvenim mrežama i sl. već da se koriste samo za vlastitu potrebu stvaranje privatnog foto albuma i sl.
6. Davanje osobnih podataka policiji (primjerice: u svrhu otkrivanja vršnjačkog nasilja i sl.)?
Policija ima pravo tražiti osobne podatke učenika kako bi mogla izvršavati svoje ovlasti temeljem posebnih propisa. U tom slučaju ne bi bila potrebna suglasnost roditelja za davanje podataka ako su isti nužni policiji za izvršavanje njihovih ovlasti, tj. potrebni za daljnje postupanje i razjašnjavanje konkretnog slučaja. Dovoljno je samo roditelje prethodno informirati o davanju takvih osobnih podataka (članak 25. Zakona o policijskim poslovima i ovlastima policija)
7. Prikupljanje uvjerenja o nekažnjavanju od kandidata prilikom zapošljavanja?
Smatramo kako škola mora prikupljati i obrađivati osobne podatke koji se odnose na kandidate za zaposlenje u mjeri u kojoj je prikupljanje tih podataka nužno i relevantno za obavljanje poslova za koji se kandidat prijavljuje, a u tom slučaju pritom za isto nije potrebna privola osoba/kandidata natječajnog postupka (primjena članka 106. Zakona o odgoju i obrazovanju u osnovnom i srednjim školama). Dakle, škola kao voditelj obrade ima ovlast prilikom provedbe natječaja za zapošljavanje tražiti uvjerenje o nekažnjavanju a sve kako bi škola voditelj obrade odnosno poslodavac mogla ispuniti pravnu obvezu propisanu posebnim zakonom-Zakonom o odgoju i obrazovanju u osnovnim i srednjim školama.
8. Objava godišnjeg plana i programa škole i kurikuluma škole?
Zakonom o odgoju i obrazovanju o osnovnoj i srednjoj školi propisano je da se školski kurikulum i godišnji plan i program škole objavljuju na mrežnim stranicama škole u skladu sa propisa vezanim uz zaštitu osobnih podataka. Godišnjim planom i program rada školske ustanove utvrđuje se mjesto, vrijeme, način i izvršitelji poslova, a sadrži između ostalog i podatke o izvršiteljima poslova. Godišnji plan i program rada donosi se na osnovi nastavnog plana i programa i školskog kurikuluma.
Međutim, prilikom objave osobnih podataka na mrežnim stranicama i mora se voditi briga da se objavljuju samo oni podaci koji su nužni da bi postigla utvrđena svrha (informiranje roditelja, učenika škole) odnosno dovoljno je objaviti imena i prezimena radnika (izvršitelja poslova) s obzirom da posebnim zakonom nije izričito propisano koje sve podatke o radnicima škole, školski kurikulum i godišnji plan i program rada mora sadržavati.
9. Davanje osobnih podataka učenika i roditelja od strane škole drugim primateljima odnosno nositeljima projekta u svrhu provođenja projekta od strane škole?
Podaci o učenicima i roditeljima mogu se dati nositeljima projekta pod uvjetom da za isto postoji najmanje jedna od pravnih osnova iz članka 6. Opće uredbe o zaštiti podataka i da je dostava osobnih podataka neophodna i nužna za provedbu projekta i izvršavanje obveza prema tijelu koje projekt financira.
10. Davanje podataka (ime i prezime) kandidata za zapošljavanje članovima školskog odbora u pozivu za sjednicu?
Ako je poziv za sjednicu primjerice objavljen na web stranici škole ili oglasnoj ploči škole i kao takav dostupan svim posjetiteljima web stranice škole s aspekta propisa o zaštiti osobnih podataka ne nalazimo uporište za objavu punog imena i prezimena kandidata o kojem će se raspravljati na sjednici. Članovi školskog odbora imaju pravo znati osobne podatke kandidata za zapošljavanje, ali je dovoljno otkrivanje osobnih podataka (identiteta potencijalnih kandidata za zapošljavanje) na sjednici školskog odbora odnosno dostavom materijala za sjednicu, kako je navedeno u Statutu škole. U pozivu za sjednicu dovoljno je navesti kao točku dnevnog reda samo raspravu o davanju suglasnosti za predloženog kandidata. Škola kao voditelj obrade mora voditi brigu o opsegu osobnih podataka te bi školskom odboru trebali biti dostupni samo nužni podaci koji su potrebni za donošenje stajališta/suglasnosti o predloženom kandidatu. Preporuka je da se članovima školskog odbora kao jedna od mjera zaštite dade na potpis i izjava o povjerljivosti.
11. Objava osobnih podataka u monografiji?
Zakonitu pravnu osnovu za objavu monografije škole nalazimo u članku 6. Opće uredbe o zaštiti podataka i legitimnom interesu škole (voditelja obrade) te stoga posebna privola svakog pojedinog bivšeg učenika ili djelatnika za objavu njihovih osobnih podataka nije potrebna.
Također, potrebno je prethodno informirati ispitanike (bivše učenike ili djelatnike) o prikupljanju i obradi njegovih osobnih podataka pod uvjetom da za obradu osobnih podataka škola ima odgovarajući pravni temelj iz članka 6. Opće uredbe o zaštiti podataka.
Opća uredba o zaštiti podataka ne odnosi na umrle osobe iz razloga što se umrle osobe više ne smatraju fizičkim osobama u smislu odredbi Opće uredbe o zaštiti podataka. Podaci o umrlim osoba mogu se prikupljati i dalje obrađivati uz strogo uvažavanje njihovog pijeteta te zaštite osobnih podataka članova njihovih obitelji. Ukoliko se obitelj ili nasljednici izričito protive objavi podataka o umrlim osobama takvi podaci ne bi mogli biti predmetom daljnje obrade.
12. Može li škola na traženje resornog Ministarstva provjeriti diplome svojih zaposlenika?
Za svaku obradu osobnih podataka mora postojati najmanje jedna od pravnih osnova iz članka 6. Opće uredbe o zaštiti podataka. Vezano uz provjeru vjerodostojnosti isprava kojima radnici u ustanovi dokazuju odgovarajući stupanj obrazovanja sukladno posebnom zakonu navedeno se može temeljiti na legitimnom interesu voditelja obrade u smislu članka 6. stavka 1. točke f) Opće uredbe o zaštiti podataka. Dodatno napominjemo kako je uvijek prilikom korištenja legitimnog interesa kao pravne osnove za pojedinu obradu osobnih podataka potrebno provesti test ravnoteže tj. utvrditi i dokazati pretežu li interesi voditelja obrade nad interesima ispitanika.
S obzirom na postojanje gore navedenog pravne osnove iz članka 6. Opće uredbe o zaštiti podataka te podudarnost svrhe prikupljanja navedenih osobnih podataka čija se provjera traži, privola/suglasnost zaposlenika za traženje i dobivanje navedene informacije nije nužna niti potrebna te se ista može tražiti i dati bez njegova pristanka.