Zaštita osobnih podataka unutar školskih ustanova i ustanova za visoko obrazovanje

U članku analiziramo reguliranje obrade osobnih podataka i zaštite prava privatnosti unutar ustanova koje obavljaju djelatnosti osnovnog i srednjeg odgoja i obrazovanja te ustanova za visoko obrazovanje, u svjetlu Opće uredbe za zaštitu podataka, kao i slučajeve kršenja zakonske obveze zaštite osobnih podataka od strane obrazovnih ustanova.

1. UVOD
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (Opća uredba o zaštiti osobnih podataka – u nastavku teksta: Opća uredba) u Republici Hrvatskoj u punoj je primjeni od 25. svibnja 2018., stavivši tako izvan snage Direktivu 95/46/EZ Europskog Parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (u nastavku teksta: Direktiva). Preambula Opće uredbe definira osobne podatke kao sve one »koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, a pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podatci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca”1

Nadalje, Opća uredba definira obradu osobnih podataka kao “svaki postupak ili skup postupaka koji se obavljaju na osobnim podatcima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;”2

Prema načelima obrade osobnih podataka koje propisuje članak 5. Opće uredbe, osobni podatci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika3, zatim moraju, u pravilu, biti prikupljeni u posebne, izričite i zakonite svrhe4 te primjereni, relevan-
tni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju5, točni i prema potrebi ažurni6, čuvani u obliku koji omogućava identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podatci obrađuju7 te obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade i od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera8.

Što se tiče pravnih osnova same obrade osobnih podataka, člankom 6. st. 1. Opće uredbe propisano je da je obrada zakonita u sljedećim slučajevima:

– ako je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha

– ako je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili da bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora

– ako je obrada nužna radi poštovanja pravnih obveza voditelja obrade

– ako je obrada nužna da bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe

– ako je obrada nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade
– ako je obrada nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

2. SUSTAV OBRAZOVANJA U REPUBLICI HRVATSKOJ

Sustav obrazovanja u Republici Hrvatskoj sastoji se od predškolskog odgoja, osnovnog i srednjeg odgoja i obrazovanja te visokog obrazovanja. Osnovno obrazovanje u Republici Hrvatskoj je obvezno, a izvodi se kroz redovite i posebne programe kojima se stječu znanja i sposobnosti za nastavak obrazovanja. S druge strane, srednje obrazovanje nije obvezno, ono omogućava stjecanje znanja i sposobnosti potrebnih za tržište rada i/ili daljnje obrazovanje. Ustanove koje provode srednjoškolsko obrazovanje u Republici Hrvatskoj dijele se na gimnazije, strukovne i umjetničke škole.

Djelatnost visokog obrazovanja provode ustanove za visoko obrazovanje, odnosno visoka učilišta – sveučilišta sa svojim sastavnicama – fakultetima i umjetničkim akademijama, zatim veleučilišta i visoke škole. Školske ustanove i ustanove za visoko obrazovanje u obavljanju svojih zakonom propisanih djelatnosti organizacije i izvođenja nastave i drugih oblika odgojno-obrazovnog rada (koji uključuju vrednovanje i ocjenjivanje učenika, odnosno studenta; izricanje i provođenje pedagoških mjera; organizaciju ispita; izdavanje javnih isprava i drugih potvrda) vode određenu zakonskim i podzakonskim aktima propisanu evidenciju i dokumentaciju, kako u pisanom, tako i elektroničkom obliku, pritom obrađujući osobne podatke različitih ispitanika. Stoga su školske ustanove i ustanove za visoko obrazovanje stupanjem na snagu Opće uredbe dobile zadatak sve svoje poslovne procese uskladiti s Općom uredbom i osigurati zakonitu obradu osobnih podataka koji se unutar odnosne ustanove obrađuju. Navedeno uključuje ne samo donošenje internih pravilnika o postupanju, već i osiguranje zaštite pristupa mjestima gdje se dokumentacija koja sadržava osobne podatke fizički pohranjuje (što podrazumijeva zaključavanje ormara s takvom dokumentacijom), postavljanje lozinki na računalima koja imaju pristup osobnim podatcima i dodjeljivanje lozinki samo osobama ovlaštenim za obradu osobnih podataka te konačno i izobrazbu svih zaposlenika školskih ustanova i ustanova za visoko obrazovanje o poduzetim mjerama, kao i informiranje njihovih korisnika usluga o njima.

Pravni temelj za obradu osobnih podataka u školskim ustanovama zakonski su i podzakonski propisi relevantni za obavljanje djelatnosti osnovnog i srednjeg obrazovanja kako slijedi:

– Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi (Nar. nov., br. 87/08, 86/09, 92/10, 105/10, 90/11, 5/12, 16/12, 86/12, 126/12, 94/13, 152/14, 7/17 i 68/18)

– Zakon o stručno-pedagoškom nadzoru (Nar. nov., br. 73/97)

– Zakon o prosvjetnoj inspekciji (Nar. nov., br. 61/11 i 16/12)

– Zakon o umjetničkom obrazovanju (Nar. nov., br. 130/11)

– Zakon o strukovnom obrazovanju (Nar. nov., br. 30/09, 24/10, 22/13 i 25/18)

– Pravilnik o pedagoškoj dokumentaciji i evidenciji te javnim ispravama u školskim ustanovama (Nar. nov., br. 47/17)

– Pravilnik o zajedničkome upisniku školskih ustanova uelektroničnome obliku – e-Matici (Nar. nov., br. 86/15)

– Pravilnik o osnovnom umjetničkom školovanju (Nar. nov., br. 53/93 i 130/11)

– Pravilnik o izvođenju izleta, ekskurzija i drugih odgojn-obrazovnih aktivnosti izvan škole (Nar. nov., br. 67/14 i 81/15). Pravni temelj za obradu osobnih podataka u ustanovama visokog obrazovanja zakonski su i podzakonski propisi kako slijedi:

– Zakon o znanstvenoj djelatnosti i visokom obrazovanju (Nar. nov., br. 123/03, 198/03, 105/04, 174/04, 2/07, 46/07, 45/09, 45/09, 63/11, 94/13, 139/13, 101/14, 60/15 i 131/17)

– Zakon o osiguravanju kvalitete u znanosti i visokom obrazovanju (Nar. nov., br. 45/09)

– Zakon o priznavanju inozemnih obrazovnih kvalifikacija (Nar. nov., br. 158/03, 198/03, 138/06, 124/09 i 45/11)

– Pravilnik o sadržaju diploma i dopunskih isprava o studiju (Nar. nov., br. 77/08 i 149/11)

– Pravilnik o uvjetima i načinu ostvarivanja prava na državnu stipendiju na temelju socio- ekonomskoga statusa (Nar. nov., br. 83/18)

– Pravilnik o studenskoj ispravi (Nar. nov., br. 90/14)

– Pravilnik o uvjetima i načinu ostvarivanja prava redovitih studenata na subvencionirano stanovanje (Nar. nov., br. 53/17)

– Pravilnik o vođenju evidencija o studentima visokih učilišta (Nar. nov., br. 9/05).

Osobni podatci pohranjeni u elektroničkom obliku na digitalnim platformama trebaju biti zaštićeni dodjeljivanjem korisničkog imena i lozinke koja je poznata samo zaposlenicima školske ustanove, odnosno ustanove za visoko obrazovanje zaduženim za obradu osobnih podataka ispitanika

3. KATEGORIJE ISPITANIKA ČIJE OSOBNE PODATKE OBRAĐUJU ŠKOLSKE USTANOVE I USTANOVE ZA VISOKO OBRAZOVANJE

Školske ustanove i ustanove za visoko obrazovanje obrađuju osobne podatke različitih kategorija ispitanika, ovisno o samoj svrsi prikupljanja i obrade takvih podataka, pa tako najčešće obrađuju osobne podatke korisnika svojih usluga, odnosno učenika, zatim zaposlenika školskih ustanova (možebitno i članova njihovih obitelji), roditelja, članova roditeljskog vijeća te vanjskih suradnika školske ustanove.

S druge strane, ustanove za visoko obrazovanje ponajprije obrađuju osobne podatke korisnika svojih usluga, odnosno studenata, zatim zaposlenika ustanova za visoko obrazovanje (možebitno i članova njihovih obitelji), odnosno nastavnika, znanstvenika te svojih vanjskih suradnika.

4. SVRHA OBRADE OSOBNIH PODATAKA U ŠKOLSKIM USTANOVAMA I USTANOVAMA ZA VISOKO OBRAZOVANJE

Svrha obrade osobnih podataka unutar školskih ustanova i ustanova za visoko obrazovanje vezana je uz kategorije ispitanika čiji se osobni podatci prikupljaju i obrađuju. Slijedom navedenog, školske ustanove prikupljaju i obrađuju osobne podatke svojih ispitanika u svrhu:

– provedbe postupka upisa učenika u program školskog odgoja i obrazovanja u školskoj ustanovi
– ostvarivanja prava i obveza ispitanika koji sudjeluju u programu školskog odgoja i obrazovanja u školskoj ustanovi
– organiziranja izvannastavnih aktivnosti koje su predviđene i planirane školskim kurikulumom i godišnjim planom i programom školske ustanove
– organiziranja izvanškolskih aktivnosti koje su predviđene i planirane školskim kurikulumom kao poludnevne, jednodnevne i višednevne odgojno-obrazovne aktivnosti u mjestu sjedišta školske ustanove ili izvan tog mjesta
– vođenja propisane pedagoške i zdravstvene dokumentacije ispitanika u školskoj ustanovi
– zasnivanja radnog odnosa
– izvršavanja legitimnih zadaća školske ustanove koje su od javnog interesa
– zaštite interesa ispitanika i/ili drugih fizičkih osoba
– ispunjenja pravnih obveza školske ustanove.

Ustanove za visoko obrazovanje prikupljaju i obrađuju osobne podatke svojih ispitanika ponajprije u svrhu:

– provedbe postupka upisa studenata u obrazovni program u ustanovi visokog obrazovanja
– ostvarivanja prava i obveza ispitanika koji sudjeluju u obrazovnom programu u ustanovi za visoko obrazovanje, odnosno u svrhu sklapanja i izvršenja ugovora o studiranju
– vođenja propisane pedagoške i zdravstvene dokumentacije ispitanika u ustanovi za visoko obrazovanje
– zasnivanja radnog odnosa
– izvršavanja legitimnih zadaća ustanove za visoko obrazovanje koje su od javnog interesa
– zaštite interesa ispitanika i/ili drugih fizičkih osoba
– ispunjenja pravnih obveza ustanove za visoko obrazovanje.

5. NAČINI PRIKUPLJANJA OSOBNIH PODATAKA ISPITANIKA

Školske ustanove i ustanove za visoko obrazovanja osobne podatke ispitanika prikupljaju usmenim i pisanim putem izravno od ispitanika, odnosno njihovih zakonskih zastupnika, javnih registara te od trećih osoba, i to primjerice:

– prilikom upisivanja učenika i studenata u program školskog odgoja i obrazovanja, odnosno u program visokog obrazovanja
– putem objavljenog natječaja za zasnivanje radnog odnosa
– prilikom zasnivanja radnog odnosa bez raspisivanja natječaja
– putem objavljenog natječaja za pružanje usluga outsourcinga
– prilikom sklapanja svih drugih pravnih poslova u kojima je školska ustanova, odnosno ustanova za visoko obrazovanje ugovorna strana
– putem video-nadzora.

6. VRSTE I NAČINI POHRANJIVANJA OSOBNIH PODATAKA KOJE ŠKOLSKE USTANOVE I USTANOVE ZA VISOKO OBRAZOVANJE OBRAĐUJU TE MJERE NJIHOVE ZAŠTITE

Školske ustanove i ustanove za visoko obrazovanje obrađuju različite vrste osobnih podataka svojih ispitanika, a najčešće: ime i prezime; datum i mjesto rođenja; osobni identifikacijski broj; adresu stanovanja i prijavljeno prebivalište/boravište; broj telefona, mobitela, e-mail adresa, zanimanje, stručnu spremu; samohranost roditelja; udomiteljstvo/neodgovarajuća roditeljska skrb, pravo na doplatak za djecu; specifične razvojne i/ili zdravstvene potrebe; teškoće u razvoju djeteta; socijalne i zdravstvene prilike u obitelji, zdravstveni status djeteta.

Osobni podatci u pisanom obliku, kao i druga pisana dokumentacija koja sadržava osobne podatke ispitanika koje školske ustanove i ustanove za visoko obrazovanje obrađuju, pohranjuje se fizički i u elektroničkom obliku.

Predmetna dokumentacija u pisanom obliku fizički se pohranjuje u registratore, koji se odlažu na za to predviđenim mjestima (u pravilu, u zaključanim ormarima) sukladno pravilnicima o zaštiti i obradi arhivskog i registraturnog gradiva koje donose same školske ustanove, odnosno ustanove za visoko obrazovanje, a kojim se uređuje uredsko poslovanje, prikupljanje, odlaganje, način, uvjeti i rokovi čuvanja, obrada, zaštita i uporaba arhivskog i registraturnog gradiva koje je nastalo, zaprimljeno ili se rabi u radu i poslovanju pojedine školske ustanove, odnosno ustanove za visoko obrazovanje. S druge strane, osobni podatci koji se pohranjuju na informatičkim medijima u elektroničkom obliku9 trebaju se pohranjivati uporabom metoda i sustava zaštite koje jamče sigurnost i tajnost tako pohranjenih metoda.

Osobni podatci pohranjeni u elektroničkom obliku na digitalnim platformama trebali bi biti zaštićeni dodjeljivanjem korisničkog imena i lozinke koja je poznata samo zaposlenicima školske ustanove, odnosno ustanove za visoko obrazovanje zaduženim za obradu osobnih podataka ispitanika. Da bi osigurale pošteno, transparentno i zakonito prikupljanje, obradu i čuvanje osobnih podataka svojih ispitanika, školske ustanove i ustanove za visoko obrazovanje trebaju od svakog zaposlenika i vanjskog partnera, koji u skladu s obvezama vezanim uz svoje radno mjesto ili u skladu s obvezama za pružanje usluga na bilo koji način sudjeluje u prikupljanju i obradi osobnih podataka ispitanika, zahtijevati da osobno potpiše obrazac izjave o povjerljivosti/izjave o zaštiti osobnih podataka.

7. OBRADA OSOBNIH PODATAKA PUTEM VIDEO-NADZORA

U posljednje vrijeme svjedoci smo činjenice da sve više javnih ustanova, pa tako i školskih ustanova i ustanova za visoko obrazovanje koriste sustav video-nadzora. Školske ustanove i ustanove za visoko obrazovanje trebale bi obradu osobnih podataka putem video-nadzora provoditi samo u svrhu koja je nužna i opravdana za zaštitu osoba i imovinei takav sustav video-nadzora mora biti zaštićen od pristupa neovlaštenih osoba.

Pravo pristupa osobnim podatcima prikupljenim putem video-nadzora treba imati samo službenik za zaštitu osobnih podataka i odgovorna osoba voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti.

Video-nadzorom u školskim ustanovama, odnosno ustanovama za visoko obrazovanje mogu biti obuhvaćene prostorije, dijelovi prostorija, vanjska površina objekta, kao i unutarnji prostor u sredstvima javnog prometa, a čiji je nadzor nužan radi postizanja propisane svrhe, a to je prije svega zaštita osoba i imovine. Video-nadzor radnih prostorija ne smije obuhvaćati prostorije za odmor, osobnu higijenu i presvlačenje.

Školska ustanova i ustanova za visoko obrazovanje koja koristi sustav video-nadzora ili izvršitelj obrade dužne su na vidljivom mjestu označiti da je objekt, odnosno pojedina prostorija u njemu te vanjska površina objekta pod video-nadzorom, uz naznaku da obavijest treba biti vidljiva najkasnije prilikom ulaska u prostor snimanja.

Obavijest treba sadržavati sve relevantne informacije sukladno odredbi iz članka 13. Opće uredbe, a posebno jednostavnu i lako razumljivu sliku uz tekst kojim se ispitanicima pružaju informacije da je prostor pod video-nadzorom, informacije o voditelju obrade te podatke za kontakt putem kojih ispitanik može ostvariti svoja prava. Obrada osobnih podataka zaposlenika školskih ustanova i ustanova za visoko obrazovanje putem sustava video-nadzora može se provoditi samo ako su uz uvjete utvrđene propisima koji reguliraju obradu osobnih podataka, ispunjeni i uvjeti utvrđeni propisima koji reguliraju zaštitu na radu i ako su zaposlenici bili pojedinačno unaprijed obaviješteni o takvoj mjeri i ako je poslodavac o tome prethodno informirao zaposlenike.

Školske ustanove i ustanove za visoko obrazovanje trebaju podatke prikupljene snimkama dobivenim putem video-nadzora pohranjivati što je kraće moguće. Prilikom određivanja tog razdoblja pohrane u obzir treba uzeti svrhu obrade osobnih podataka kao i sve pravne obveze čuvanja podataka. U svakom slučaju obvezne su utvrditi rok za brisanje ili preispitivanje pohranjenih podataka. Pritom moraju osigurati da su podatci koje čuvaju točni te ih moraju održavati ažurnima. Iznimno se osobni podatci mogu čuvati dulje vrijeme od propisanog u svrhe arhiviranja u javnom interesu ili u svrhe znanstvenog ili povijesnog istraživanja, pod uvjetom da su uspostavljene odgovarajuće tehničke i organizacijske mjere (poput anonimizacije, enkripcije itd.).

8. PRAVA ISPITANIKA

Opća uredba ispitanicima jamči određena prava, a njihovo su ostvarenje školske ustanove i ustanove za visoko obrazovanje obvezne osigurati.

Pravo na informiranje – ispitanici u svakom trenutku zadržavaju pravo od voditelja obrade ili imenovanog službenika za zaštitu osobnih podataka zatražiti i dobiti informacije koje se odnose na obradu njihovih osobnih podataka, i to podatke koji se odnose na sljedeće:

– naziv i kontaktne podatke voditelja obrade
– kontaktne podatke službenika za zaštitu osobnih podataka
– svrhe obrade radi kojih se koriste osobni podatci kao i pravnu osnovu za obradu
– legitimne interese
– primatelje ili kategorije primatelja osobnih podataka
– razdoblje pohrane podataka ili upućivanje na interne propise koji definiraju to razdoblje
– prava vezana uz privole.

Pravo na brisanje (»pravo na zaborav«) – ispitanici imaju pravo od školske ustanove, odnosno ustanove za visoko obrazovanje zatražiti brisanje osobnih podataka koji se na
njih odnose.

Pravo pristupa podatcima – ispitanici imaju pravo na uvid u svoje osobne podatke koje su učinili dostupnim školskoj ustanovi, odnosno ustanovi za visoko obrazovanje.

Pravo na informiranost -ispitanici imaju pravo primati jasne, transparentne i lako razumljive informacije o tome kako se koriste njihovi osobni podatci. Svaka informacija i komunikacija, u slučaju da je obrada usmjerena prema djetetu , treba biti na jasnom i jednostavnom jeziku koji dijete lako može razumjeti.

Pravo na ispravak – ispitanici imaju pravo bez nepotrebnog odgađanja ishoditi od školske ustanove, odnosno ustanove za visoko obrazovanje ispravak netočnih osobnih podataka koji se na njih odnose. Uzimajući u obzir svrhe obrade, ispitanici imaju pravo dopuniti nepotpune osobne podatke, između ostalog, i davanjem dodatne izjave.

Pravo na prijenos podataka – ispitanici imaju pravo zaprimiti osobne podatke koji se na njih odnose, a koje su pružili školskoj ustanovi, odnosno ustanovi za visoko obrazovanje u strukturiranom, uobičajeno korištenom i strojno čitljivom formatu te imaju pravo prenijeti te podatke drugom voditelju obrade.

Pravo na prigovor – ispitanici imaju pravo, na temelju svoje posebne situacije, u svakom trenutku (putem službenika za zaštitu osobnih podataka ili Agenciji za zaštitu osobnih podataka) uložiti prigovor na obradu osobnih podataka koji se na njih odnose. U takvom slučaju školska ustanova, odnosno ustanova za visoko obrazovanje više ne smije obrađivati osobne podatke osim ako dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

Pravo na ograničenje obrade – ispitanici imaju pravo od školske ustanove, odnosno ustanove za visoko obrazovanje tražiti pravo na ograničenje obrade u slučaju da osporavaju točnost osobnih podataka ili smatraju da je obrada nezakonita te se protivi brisanju osobnih podataka i umjesto toga tražiti ograničenje njihove uporabe

Što se tiče otkrivanja i dostavljanja osobnih podataka ispitanika vanjskim partnerima školske ustanove, odnosno ustanove za visoko obrazovanje, obrazovne bi ustanove prethodno, prije poduzimanja takvih radnji, trebale o tome obavijestiti ispitanika te zatražiti njegovu pisanu privolu

9. PRIMATELJI OSOBNIH PODATAKA

Školske ustanove i ustanove za visoko obrazovanje osobne podatke ispitanika otkrivaju drugim pravnim i fizičkim osobama (primateljima) kada je riječ o njihovoj zakonskoj obvezi i/ili legitimnom interesu primatelja, a prema istim osnovama osobni podatci dostavljaju se osnivaču te nadležnom ministarstvu i inspekciji na temelju njihova zahtjeva.

Što se tiče otkrivanja i dostavljanja osobnih podataka ispitanika vanjskim partnerima školske ustanove, odnosno ustanove za visoko obrazovanje, obrazovne ustanove prethodno bi, prije poduzimanja takvih radnji, trebale o tome obavijestiti ispitanika te zatražiti njegovu pisanu privolu. U slučaju dobivanja pisane privole od ispitanika, obrazovne ustanove dužne su strogo poštovati načelo ograničenja obrade osobnih podataka tako da otkrivaju ili dostavljaju samo minimalne količine osobnih podataka koji su potrebni u svrhu ispunjenja zakonskih obveza i/ili legitimnih interesa ustanove, ispitanika i drugih primatelja.

Pritom su obrazovne ustanove dužne od drugih primatelja zahtijevati minimalno jednaku razinu zaštite osobnih podataka kao i unutar njih samih.

10. SLUŽBENIK ZA ZAŠTITU OSOBNIH PODATAKA

Školske ustanove i ustanove za visoko obrazovanje, kao ustanove koje svoju zakonom propisanu djelatnost obavljaju kao javnu službu, obvezne su imenovati službenika za zaštitu osobnih podataka. Treba naglasiti da službenik za obradu osobnih podataka može biti i osoba koja nije zaposlenik voditelja obrade osobnih podataka, no u svakom slučaju bitno je da ga zadaće i dužnosti koje obavlja u okviru djelokruga poslova službenika za zaštitu osobnih podataka ne dovedu do sukoba interesa.

Članak 39. Opće uredbe propisuje minimalni djelokrug poslova i zadaća koje imenovani službenik za zaštitu osobnih podataka, sukladno odluci voditelja obrade zaštite osobnih podataka (ili izvršitelja obrade ako ga je voditelj imenovao) obavlja, a to su:

– informiranje i savjetovanje svih zaposlenika školske ustanove, odnosno ustanove za visoko obrazovanje koji obavljaju obradu o njihovim obvezama iz Opće uredbe te drugim odredbama Europske unije ili Republike Hrvatske o zaštiti osobnih podataka

– praćenje i nadziranje poštovanja propisa Opće uredbe te drugih odredaba Europske unije ili Republike Hrvatske o zaštiti osobnih podataka kao i politike voditelja obrade ili izvršitelja obrade o zaštiti osobnih podataka, uključujući raspodjelu odgovornosti

– podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade osobnih podataka ispitanika

– nadziranje implementacije politike o zaštiti osobnih podataka i odgovornost za provedbu internih pravila ustanove koja provede odnosnu politiku

– pružanje savjeta kada je to zatraženo glede procjene učinka na zaštitu podataka i praćenje njezina izvršenja

– suradnja i kontakt s nadzornim tijelom

– ostvarivanje kontakta s ispitanicima koji žele ostvariti svoja prava u svezi s obradom osobnih podataka i ostalih prava iz Opće uredbe

– zaprimanje upita i informacija vezanih uz zaštitu osobnih podataka te uz njihovu obradu

– zaprimanje prigovora i ostvarivanje ostalih prava vezanih uz zaštitu osobnih podataka.

Službenik za zaštitu osobnih podataka u svom radu mora biti samostalan i neovisan te obvezan povjerljivošću obavljati poslove iz svog djelokruga i djelovati u interesu zaštite prava ispitanika i njihovih osobnih podataka. Njegova je odgovornost da se unutar obrazovne ustanove primjenjuju interni akti koji definiraju politiku zaštite osobnih podataka te pravila postupanja prilikom prikupljanja i obrade osobnih podataka ispitanika. Kontakt podatci službenika za zaštitu osobnih podataka objavljuju se na službenoj mrežnoj stranici školske ustanove, odnosno ustanove za visoko obrazovanje, a u pravilu on je jedina osoba koja ima pravo pristupa osobnim podatcima pohranjenima u sustavu pohrane obrazovne ustanove.

11. NADZORNO TIJELO

Agencija za zaštitu osobnih podataka (u nastavku: Agencija) nadzorno je tijelo za praćenje i provedbu Opće uredbe sukladno članku 51. Zakona o provedbi Opće uredbe o zaštiti podataka (u nastavku teksta: Zakon)10 te samostalno i neovisno obavlja poslove u okviru djelokruga i nadležnosti utvrđenih Zakonom, promičući javnu svijest o rizicima, zaštitnim mjerama, pravilima i pravima u svezi s obradom osobnih podataka, kao i njihovo razumijevanje.

S obzirom na recentno stupanje na snagu Opće uredbe u Republici Hrvatskoj, još se uvijek nije počela razvijati praksa Agencije u području povreda, odnosno zloporaba osobnih podataka unutar školskih ustanova i/ili ustanova za visoko obrazovanje. Stoga analiziramo dva rješenja Agencije donesena primjenom odredaba Zakona o zaštiti osobnih podataka koji je prestao važiti stupanjem na snagu Zakona o provedbi Opće uredbe o zaštiti podataka (Nar. nov., br. 42/18).

Praksa stvorena predmetnim rješenjima Agencije svakako se treba smatrati relevantnom i primjenjivom na istovjetne ili slične slučajeve koji će se možebitno pojaviti u budućnosti u odnosu na obradu osobnih podataka unutar obrazovnih ustanova. Prvo rješenje od 25. travnja 2014., KLASA: UP/I-041-02/14- 01/31, URBROJ: 567-02/03-14 01 odnosi se na zloporabu osobnih podataka djece, koja se sastojala u nezakonitom prosljeđivanju njihovih osobnih podataka trećim osobama.

U predmetnom slučaju Agencija je našla osnovanim zahtjev podnositeljice i obradu osobnih podataka djece od strane školske ustanove, koja se sastojala od slanja obavijesti trećim osobama (u konkretnom slučaju roditeljima drugih učenika i autoprijevozniku) o tome da maloljetna djeca podnositeljice zahtjeva nemaju pravo na besplatan školski prijevoz, utvrdila protuzakonitom.

Kontakt podatci službenika za zaštitu osobnih podataka objavljuju se na službenoj mrežnoj stranici školske ustanove, odnosno ustanove za visoko obrazovanje, a u pravilu on je jedina osoba koja ima pravo pristupa osobnim podatcima pohranjenima u sustavu pohrane obrazovne ustanove

Svoju odluku Agencija je obrazložila na sljedeći način:
“… Člankom 7. stavak 1. podstavak 1. Zakona o zaštiti osobnih podataka propisano je da se osobni podaci smiju prikupljati i dalje obrađivati isključivo uz privolu ispitanika samo u svrhu za koju je ispitanik dao privolu. Člankom 7. stavak 3. Zakona o zaštiti osobnih podataka propisano je da se osobni podaci koji se odnose na maloljetne osobe smiju prikupljati i dalje obrađivati u skladu sa Zakonom i uz posebne mjere zaštite propisane posebnim zakonima, te isto razumijeva da je za obradu osobnih podataka maloljetne djece potrebna privola njihovih roditelja (zakonskih zastupnika). Nadalje, napominjemo kako je člankom 7. stavak 1. podstavak 7. citiranog Zakona propisano da se osobni podaci smiju prikupljati i dalje obrađivati ako je obrada podataka nužna u svrhu zakonitog interesa voditelja zbirke osobnih podataka ili treće strane kojoj se podaci otkrivaju. Stav je ove Agencije kako u opisanom slučaju navedeni roditelji nisu u smislu članka 4. Zakona o općem upravnom postupku (Narodne novine, br. 47/09.) stranke u upravnom postupku, jer se u istom postupku nije odlučivalo o ostvarivanju prava na besplatan školski prijevoz njihove djece, kao niti zainteresirana strana koja bi imala zakoniti interes za dostavu podataka sukladno članku 7. stavak 1. podstavak 7. Zakona o zaštiti osobnih podataka. Također, u postupku je utvrđeno da navedeni roditelji nisu podnijeli zahtjev za ostvarivanje prava na pristup informacijama, te stoga nije postojala pravna osnova u Zakonu o pravu na pristup informacijama za dostavu osobnih podataka, a u slučaju da je takav zahtjev postavljen, napominjemo kako je sukladno članku 15. stavku 2. točka 4. istoga Zakona propisano kako će tijela javne vlasti ograničiti pravo na pristup informacijama, između ostaloga ako je informacija zaštićena zakonom kojim se uređuje područje zaštite osobnih podataka.

Uvažavajući gore navedeno, u opisanom slučaju došlo je do povrede odredbi članka 7. Zakona o zaštiti osobnih podataka na štetu maloljetne djece podnositeljice zahtjeva11…”.

Drugo rješenje Agencije od 10. ožujka 2016., KLASA: UP/ I-041-02/16-01/11, URBROJ: 567-02/11-16-01 odnosi se na nezakonitu objavu osobnih podataka na internetskoj stranici škole, koja se sastojala od objave punog imena i prezimena suspendirane zaposlenice školske ustanove u kontekstu razloga raspisivanja natječaja za zapošljavanje na njezino radno mjesto. U predmetnom slučaju Agencija je našla osnovanim zahtjev podnositeljice i objavu osobnih podataka, koja se sastojala u objavi imena i prezimena zaposlenice školske ustanove na internetskoj stranici školske ustanove, utvrdila nezakonitom, dakle bez pravnog temelja i zakonite svrhe. Agencija je svoju odluku obrazložila na sljedeći način:

»… Slijedom navedenog, pravni temelj za prikupljanje i obradu osobnih podataka, odnosno u konkretnom slučaju za raspisivanje javnog natječaja za određeno radno mjesto i poziv za saziv sjednice Školskog odbora bio bi Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi (Nar. nov., br. 87/08, 86/09, 92/10, 105/10, 90/11, 5/12, 16/12, 86/12, 126/12, 94/13 i 152/14), kao poseban zakon.

Naime, navedenim Zakonom propisano je da se radni odnos u školskoj ustanovi zasniva ugovorom o radu na temelju natječaja, te da se natječaj objavljuje na mrežnim stranicama i oglasnim pločama Hrvatskog zavoda za zapošljavanje te na mrežnim stranicama i oglasnim pločama školskih ustanova (članka 107.).

Člankom 114. Zakona o odgoju i obrazovanju u osnovnoj i srednjoj školi propisano je da o zasnivanju i prestanku radnog odnosa odlučuje ravnatelj uz prethodnu suglasnost školskog odbora. Isto tako navedenim Zakonom propisano je da školska ustanova ima statut te da se statutom škole pobliže određuje ustrojstvo, ovlasti i način odlučivanja tijela školske ustanove te druga važna pitanja za obavljanje djelatnosti i poslovanja školske ustanove, sukladno zakonu i aktu osnivanja (članka 98.).

Statutom škole M. iz O. taksativno su navedene ovlasti Školskog odbora, između ostaloga, propisano je da Školski odbor daje ravnatelju prethodnu suglasnost za zasnivanje i prestanak radnog odnosa u Školi (članak 47. Statuta).

Naime, navedenim aktom je uređeno da Školski odbor radi na sjednicama te da se sjednice Školskog odbora mogu sazvati i održati elektronskim putem, dok se poziv na sjednicu članovima Školskog odbora, ravnatelju i drugim osobama koje se u svezi s dnevnim redom pozivaju na sjednicu dostavlja u pisanom obliku poštom ili e-mailom, a može se uputiti i usmeno telefonom (članaka 52. i 57 Statuta).

Međutim, na osnovu navedenog kao i uvidom u spomenuti Statut od strane ove Agencije utvrđeno je da Statutom nije izričito propisana javna objava poziva na sjednicu članovima Školskog odbora, osobito ne na internetu, a time niti opseg objave osobnih podataka koji sadržava sam poziv za sjednicu. Navedenim aktom propisana je mogućnost da se sjednica školskog odbora može sazvati i održati elektronskim putem, te da se poziv na sjednicu može dostaviti u pisanom obliku poštom ili e-mailom, a može se uputiti i usmeno telefonom. Slijedom svega iznijetog, u ovoj upravnoj stvari smatramo da je u opisanom slučaju do objave osobnih podataka podnositeljice zahtjeva (ime i prezime te razlog za zapošljavanje na njezino radno mjesto na određeno vrijeme) došlo bez postojanja valjanog pravnog temelja i zakonite svrhe, tj. utvrđeno je da su osobni podaci podnositeljice zahtjeva objavljeni u prekomjernom opsegu koji nije bio nužan za ispunjenje svrhe konkretno dostavljanje poziva za sjednicu Školskog odbora čime je došlo do povrede članka 6. i 7. Zakona o zaštiti osobnih podataka…12″.

U analiziranim slučajevima utvrđeno je nezakonito postupanje navedenih školskih ustanova glede primjene odredaba Zakona o zaštiti osobnih podataka. Stoga se školske ustanove, ali i ustanove za visoko obrazovanje, u svojim postupanjima, obrađujući osobne podatke svojih ispitanika, i to ponajprije učenika i studenata te svojih zaposlenika, trebaju voditi ustanovljenom praksom iz analiziranih rješenja Agencije, kao tijela nadležnog za provedbu Opće uredbe.

1 Članak 4. toč. 2. Opće uredbe.
2 Načelo »zakonitosti, poštenosti i transparentnosti«.
3 Načelo »ograničavanje svrhe«.
4 Načelo »smanjenja količine podataka«.
5 Načelo »točnosti«.
6 Načelo »ograničenja pohrane«.
7 Načelo »cjelovitosti i povjerljivosti«.
8 Školske ustanove putem svojih zaposlenika zaduženih za obradu osobnih podataka (najčešće je to imenovani službenik za zaštitu osobnih podataka) pohranjuju i obrađuju dokumentaciju koja sadržava osobne podatke ispitanika u elektroničkom obliku na sljedećim platformama: • web-aplikaciji CARNET - pod nazivom »e-dnevnik« • Matičnoj knjizi učenika • Registru učenika upisanih u matičnu knjigu • Matičnoj knjizi zaposlenika. Matična knjiga zaposlenika vodi se u pisanom i elektroničkom obliku. • Registru ispitanika.
9 Iz članka 8. u svezi s člankom 6. st. 1. toč. (a) Opće uredbe i članka 19. Zakona o provedbi Opće uredbe o zaštiti podataka (Nar. nov., br. 42/18) - proizlazi da se, u kontekstu pružanja usluga informacijskog društva, djetetom smatra osoba do dobne granice od 16 godina i čije je prebivalište na području Republike Hrvatske.
10Članak 4. Zakona.
11https://azop.hr/images/dokumenti/215/rjesenje- zlouporaba_osobnih_podataka_djece.pdf
12 https://azop.hr/images/dokumenti/209/javna_ objava_op.pdf

Maja Bilić Paulić, mag. iur.
Maja Bilić Paulić, mag. iur.

Pošaljite informativni upit

 Ispunite formular i pokušajte što preciznije opisati Vašu pravnu situaciju… 

Pošaljite informativni upit

 Ispunite formular i pokušajte što preciznije opisati Vašu pravnu situaciju 

Kontakt

info@ou-mbp.hr

Adresa

Adresa

Pošaljite svoj upit