Objavljeno: 10.4.2025.
Nastavno na Vaš dopis od 26. ožujka 2025. u kojemu u bitnome pitate može li roditelj bivšeg učenika ostvariti uvid u pedagošku dokumentaciju, Agencija za zaštitu osobnih podataka ističe sljedeće:
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) je u cijelosti obvezujuća i izravno se primjenjuje u Republici Hrvatskoj od 25. svibnja 2018. godine.
Sukladno članku 4. stavku 1. Opće uredbe o zaštiti podataka „osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Sukladno članku 4. stavku 1. točki 2. Opće uredbe o zaštiti podataka „obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje.
Načela obrade osobnih podataka, sukladno članku 5. Opće uredbe o zaštiti podataka, traže da osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (načelo zakonitosti, poštenosti i transparentnosti); prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (načelo ograničavanja svrhe); primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (načelo smanjenja količine podataka); točni i prema potrebi ažurni (načelo točnosti); čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (načelo ograničenja pohrane); i obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti).
Voditelj obrade odgovara za usklađenost s ovdje navedenim načelima Opće uredbe o zaštiti podataka te je mora biti u mogućnosti dokazati (načelo pouzdanosti).
Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Točka (f) se ne odnosi na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.
Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade ili izvršavanje zadaće od javnog interesa/službene ovlasti voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade ili, u pogledu obrade iz stavka 1. točke e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade.
Dakle, za svaku obradu osobnih podataka mora postojati svrha i pravni temelj, a u slučaju obrade posebnih kategorija osobnih podataka (kao što su podaci koji se odnose na zdravlje), mora postojati i jedno od izuzeća načelne zabrane obrade posebnih kategorija osobnih podataka iz članka 9. stavka 2. točaka a) do j) Opće uredbe o zaštiti podataka.
Međutim, naglašavamo da, sukladno članku 15. Opće uredbe o zaštiti podataka, ispitanik (ovdje bivši učenik) ima pravo dobiti od voditelja obrade (ovdje škole) potvrdu obrađuju li se osobni podaci koji se na njega odnose te ako se takvi podaci obrađuju, pristup osobnim podacima i sljedećim informacijama:
- svrsi obrade;
- kategorijama osobnih podataka o kojima je riječ;
- primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama;
- ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;
- postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu
- pravu na podnošenje pritužbe nadzornom tijelu;
- ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru;
- postojanju automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislenim informacijama o tome o kojoj je logici riječ, kao i važnosti i predviđenim posljedicama takve obrade za ispitanika.
Temeljem stavka 3. istoga članka, voditelj obrade osigurava kopiju osobnih podataka koji se obrađuju. Sukladno stavku 4. istoga članka, propisano je da pravo na dobivanje takve kopije ne smije negativno utjecati na prava i slobode drugih.
Europski odbor za zaštitu podataka u Smjernicama 01/2022 o pravima ispitanika – pravo na pristup (dalje u tekstu: Smjernice), dodatno naglašava kako se pravo na pristup podacima odnosi samo na osobne podatke ispitanika, a ne i na osobne podatke druge osobe. Kada voditelj obrade procjenjuje hoće li ispunjenje zahtjeva negativno utjecati na prava i slobode drugih, mora razmotriti interese svih sudionika, uzimajući u obzir specifične okolnosti slučaja te posebice vjerojatnost i ozbiljnost rizika koji proizlaze iz pružanja osobnih podataka. Navedene Smjernice su dostupne na sljedećoj poveznici: https://www.edpb.europa.eu/system/files/2024-04/edpb_guidelines_202201_data_subject_rights_access_v2_hr.pdf.
U slučaju sukoba između, s jedne strane, ostvarivanja prava na potpun i cjelovit pristup osobnim podacima i, s druge strane, prava i sloboda drugih, treba odvagnuti prava i slobode o kojima je riječ. Ako je to moguće, potrebno je odabrati načine priopćavanja osobnih podataka kojima se ne povređuju prava i slobode drugih, uzimajući u obzir, kao što to proizlazi iz uvodne izjave 63. Opće uredbe o zaštiti podataka, da rezultat tih razmatranja ne bi smjelo biti „odbijanje pružanja svih informacija ispitaniku” (vidjeti presudu Suda EU od 4. svibnja 2023. godine u predmetu C-487/21, t. 44.).
Eventualna daljnja ograničenja prava na pristup vlastitim osobnim podacima, izvan onih propisanih člankom 15. stavkom 4. Opće uredbe o zaštiti podataka, moraju biti propisana pravom države članice ili pravom Unije, ali takva ograničenja trebaju biti sukladna članku 23. Opće uredbe o zaštiti podataka, odnosno poštovati bit temeljnih prava i sloboda te predstavljati nužnu i razmjernu mjeru u demokratskom društvu za zaštitu taksativno navedenih interesa u istom članku Opće uredbe o zaštiti podataka, kao što je zaštita ispitanika ili prava i sloboda drugih (članak 23. stavak 1. točka i) Opće uredbe o zaštiti podataka).
Voditelj obrade je na zahtjev ispitanika, sukladno presudi Suda EU u predmetu C-307/22 od 26. listopada 2023. godine, dužan prvu kopiju osobnih podataka osigurati bez naknade.
Za sve dodatne kopije koje zatraži ispitanik, voditelj obrade može naplatiti razumnu naknadu na temelju administrativnih troškova, Ako ispitanik podnese zahtjev elektroničkim putem te osim ako ispitanik zatraži drugačije, informacije se pružaju u uobičajenom elektroničkom obliku.
Temeljem članka 12. stavka 3. Opće uredbe o zaštiti podataka, voditelj obrade je, u načelu, dužan postupiti po zahtjevu ispitanika u roku od mjesec dana.
Dakle, ispitanik (bivši učenik) odnosno njegov zakonski zastupnik tj. roditelj ima pravo na uvid u osobne podatke učenika te na dobivanje kopije dokumentacije koja sadrži njegove osobne podatke. Pri tome voditelj obrade mora osigurati da dobivanje kopije, ali i samo obavljanje uvida, negativno ne utječe na prava i slobode drugih tako da, primjerice, osobne podatke drugih osoba zacrni.
Agencija pritom ističe da je svaka škola dužna, temeljem članka 37. stavka 1. točke a) Opće uredbe o zaštiti podataka, imenovati službenika za zaštitu podataka. Upravo je jedna od zadaća službenika za zaštitu podataka, između ostalih zadaća, informiranje i savjetovanje voditelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz ove Uredbe te drugim odredbama Unije ili države članice o zaštiti podataka.
Dodatno Vas upućujemo na Preporuku Agencije o primjeni Opće uredbe o zaštiti podataka u školskim ustanovama, a koja je dostupna na sljedećoj poveznici: https://azop.hr/primjena-opce-uredbe-o-zastiti-podataka-u-skolskim-ustanovama/.
