70 Didakta 201 Slovenske šole in vrtci obdelujejo 1 osebne podatke številnih posamezni- kov – od otrok, vključenih v vzgojno izobraževalne zavode, njihovih staršev, zaposlenih na zavodu in pogodbenih partnerjev. Čeprav je Zakon o varstvu osebnih podatkov (ZVOP-1) že doslej zelo učinkovito zasledoval cilj preprečitve neustav- nih, nezakonitih in neupravičenih posegov v zasebnost in dostojanstvo posameznika pri obdelavi oseb- nih podatkov, gre Splošna uredba o varstvu podatkov – General Data Protection Regulation (v nadalje- vanju: GDPR) 2 še dlje in zahteva od upravljavcev 3 osebnih podatkov (vrtci in šole), kot tudi od obdeloval- cev osebnih podatkov (npr. zunanje računovodstvo, IKT storitve, video- 1 Obdelava pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z av- tomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, struk- turiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, pri- lagajanje ali kombiniranje, omejevanje, izbris ali uničenje – 2. točka 4. člena GDPR. 2 Uredba (EU) 2016/679 Evropskega Par- lamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direk- tive 95/46/ES (Splošna uredba o varstvu podatkov). 3 Upravljavec osebnih podatkov pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali sku- paj z drugimi določa namene in sred- stva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom drža- ve članice. nadzor, varnost in zdravje pri delu, itd) dolžnost, da se zagotavlja ustrezna raven varnosti, glede na tveganje (npr. psevdonimizacija in šifriranje osebnih podatkov, zagota- vljanje stalne zaupnosti, celovitosti, dostopnosti, itd). ZBIRANJE OSEBNIH PODATKOV GDPR od 25. maja 2018 dalje določa, da je obdelava osebnih podatkov za- konita le v naslednjih primerih: • če je dana osebna privolitev za enega ali več določenih namenov, • če je obdelava potrebna za izva- janje pogodbe ali za izvajanje ukrepov na zahtevo posameznika pred sklenitvijo pogodbe, • če je obdelava potrebna za iz- polnitev zakonske obveznosti upravljavca, • če je potrebna za zaščito življenj- skih interesov posameznika ali druge fizične osebe oziroma • če je potrebna za opravljanje na- loge v javnem interesu ali • pri opravljanju javne oblasti, do- deljene upravljavcu. Zbiranje in varstvo osebnih podatkov na osnovnošolski ravni urejajo členi od 94 do 99 Zakona o osnovni šoli. Osnovna šola vodi naslednje zbirke podatkov: zbirko podatkov o učen- cih, vpisanih v osnovno šolo, in njihovih starših, zbirko podatkov o napredovanju učencev, izdanih spričevalih, vzgojnih opominih in drugih listinah, na podlagi soglas- ja s straši oziroma skrbniki učencev pa tudi zbirko podatkov o gibal- nih sposobnostih in morfoloških značilnostih učencev ter zbirko podatkov o učencih, ki potrebu- jejo pomoč oziroma svetovanje – slednje lahko tudi brez soglasja, kadar je učenec v družini ogrožen in ga je potrebno zavarovati. Zakon o vrtcih pa v členih od 42 do 51 določa, da vrtci vodijo naslednje zbirke podatkov: evidenco vpisanih otrok, evidenco vključenih otrok, evidenco plačil staršev, evidenco otrok, ki potrebujejo svetovanje oziroma pomoč in evidenco upra- vičencev do sofinanciranja plačil staršev iz državnega proračuna. Za obdelovanje teh podatkov imata osnovna šola oziroma vrtec torej za- konito podlago. Prav takšna podlaga obstoji tudi v primerih urejanja de- lovnih razmerij znotraj posameznega vzgojno-izobraževalnega zavoda 4 . Za obdelavo osebnih podatkov, ki se zbirajo na podlagi soglasja staršev oziroma zaposlenih, pa se priporoča, da se dosedanja soglasja uskladijo z določbami GDPR in dajo v podpis vsem tistim, katerih osebne podat- ke se obdeluje. Po GDPR se namreč šteje, da privolitev posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, izrec- no, informirano in nedvoumno izjavo volje posameznika, na kate- rega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje za obdela- vo osebnih podatkov, ki se nanašajo nanj. Privolitev se lahko kadarkoli prekliče. Nova soglasja morajo zato biti bolj 4 Zakon o delovnih razmerjih, Zakon o evidencah na področju dela in socialne varnosti, Zakon o varnost in zdravju pri delu, itd. ŠOLSTVO IN PRAVO V razdelku Šolstvo in pravo nadaljujemo z objavo prispevkov mag. Domna Petelina, univ. dipl. pravnika, ki bo skušal odgovoriti na številna odprta vprašanja s področja šolskega prava, zato se lahko glede želenih vsebin prihodnjih prispevkov ali dilem vsakokratnega aktualnega prispevka obrnete nanj na e-naslov petelin.domen@gmail.com. VARSTVO OSEBNIH PODATKOV V VZGOJNO-IZOBRAŽEVALNIH ZAVODIH PO GDPR Mag. Domen Petelin, univ. dipl. pravnik Didakta 201 71 konkretizirana, kot so bile prejšnja, izrecno morajo informirati dajalca soglasja, za katere namene se bodo podatki obdelovali, izrecno mora biti v samem soglasju tudi navedeno, da je preklic privolitve za obdelovanje osebnih podatkov mogoč kadarkoli in našteti morajo biti možni načini preklica. Za osebne podatke, za kate- re se starši otrok s pisno privolitvijo strinjajo, da so javno dostopni, ker po naravi, vsebini ali namenu ne pose- gajo v zasebnost otrok (npr. razstave izdelkov otrok, skupinski posnetki otrok na fotografijah, videoposnet- ki, zvočni ali filmski posnetki javnih nastopov otrok na prireditvah, ipd.), zavod pridobi pisno soglasje staršev za celo šolsko leto. Iz soglasja mora biti razvidno, za kakšne fotografi- je, snemanja in intervjuje gre, na kakšen način oziroma za kakšne namene se bodo le-ti uporabljali in koliko časa se bodo shranjevali. Šola lahko na podlagi pisnega soglas- ja staršev zbira tudi osebne podatke, ki niso vsebovani v področnih zako- nih, so pa potrebni za uveljavljanje oziroma priznavanje posameznih pravic učencu (pravica do subven- cionirane šolske prehrane, pravica do brezplačnih učbenikov, pravica do subvencioniranja šole v naravi, pridobitev različnih statusov v skla- du z drugimi predpisi, itd.). Podatki iz dokumentacije, ki jo v ta namen predložijo starši, so zaupne narave. S temi podatki so lahko seznanjeni rav- natelj, razrednik in šolski svetovalni delavec oziroma organi, pristojni za odločanje o posameznih pravicah. Vsak vzgojno-izobraževalni zavod mora v začetku vsakega šolskega leta preveriti, ali ostajajo osebni podatki o otrocih in njihovih star- ših nespremenjeni. Te podatke se preveri oziroma spremenjene po- datke zbere na način, kot to določi zavod v internem pravilniku o var- stvu osebnih podatkov. Zavod starše posebej opozori, da so dolžni vsako spremembo podatkov, vsebovanih v zbirkah osebnih podatkov, zavodu sporočiti najkasneje v sedmih dneh od nastale spremembe. Osebni podatki o otrocih in njihovih starših se smejo zbirati, uporabljati, shranjevati in posredovati samo za namene, določene v zakonu, oziro- ma za namene, razvidne iz privolitve posameznika, in ne smejo biti upo- rabljeni na način, ki ni združljiv s temi nameni. POGODBENA OBDELAVA OSEBNIH PODATKOV Vzgojno-izobraževalni zavod je skla- dno z določbami GDPR opredeljen kot upravljavec osebnih podatkov, pogodbeni partnerji (npr. zunanje računovodstvo, IT podjetje, itd.) pa kot obdelovalci osebnih podatkov. Če pogodba med upravljavcem in obdelovalcem osebnih podatkov ni sklenjena, upravljavec nosi od- govornost, kadar osebne podatke posreduje ali preda v hrambo, zato v tovrstnih primerih upravljavec oseb- nih podatkov nosi tudi odgovornost v primeru neustreznega ravnanja z osebnimi podatki s strani obdelo- valca, zato se pisna pogodba med zavodom in obdelovalci osebnih podatkov vsekakor priporoča. Tudi iz Smernic Informacijskega poo- blaščenca o (pogodbeni) obdelavi osebnih podatkov izhaja, da kadar obdelavo osebnih podatkov v ime- nu upravljavca izvaja obdelovalec, mora za to obstajati pogodba ali drug ustrezen akt. GDPR zahteva, da so pogodbe v pisni obliki, 28. člen pa določa tudi minimalni obseg sesta- vin pogodbe o pogodbeni obdelavi 5 . Pogodba o obdelavi podatkov mora natančno določati, čigave in katere podatke, za kakšen namen in koliko časa jih bo obdelovalec obdeloval v imenu upravljavca. Iz pogodbe mora biti razviden tudi domet pra- vic in obveznosti upravljavca v zvezi 5 Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države člani- ce, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vse- bina in trajanje obdelave, narava in na- men obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca (3. odstavek člena 28 GDPR). z osebnimi podatki, saj upravljavec ne more prenesti na obdelovalca več pravic, kot jih ima sam, hkrati pa omejitve za upravljavca predstavljajo tudi omejitve za obdelovalca. Ob- stoječe pogodbe je po mnenju Informacijskega pooblaščenca nujno potrebno dopolniti oz. skleniti nove, ali pa predpisane sestavine dogo- voriti v aneksu k splošni pogodbi o uporabi storitev zunanjih izvajalcev. VARSTVO OSEBNIH PODATKOV Za uresničevanje predpisov, ki ure- jajo varstvo osebnih podatkov na področju vzgoje in izobraževanja, je odgovoren ravnatelj vzgojno-iz- obraževalnega zavoda. Strokovni delavci zavoda in drugi zaposleni so odgovorni za uresničevanje določb, ki urejajo varstvo osebnih podatkov v okviru pooblastil in nalog, ki jih za njihovo delovno mesto določa pravilnik o notranji organizaciji in sistemizaciji delovnih mest oziroma letni delovni načrt. Vsak zavod mora sprejeti interni pra- vilnik o varstvu osebnih podatkov na zavodu, s katerim se določi poobla- ščene delavce za ravnanje z osebnimi podatki, prostore, v katerih se hrani dokumentacija z osebnimi podat- ki, naprave, postopke in ukrepe za zavarovanje osebnih podatkov, na- čin varovanja osebnih podatkov ter način uresničevanja pravic staršev oziroma polnoletnih dijakov v zvezi z zbirkami osebnih podatkov. Vsak izmed vzgojno-izobraževalnih zavodov mora pri varstvu osebnih podatkov tako zagotoviti, da se: • varujejo prostori, oprema in sis- temsko programska oprema, • varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki, • preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih omrežjih, • omogoča poznejše ugotavljan- je, kdaj so bili posamezni osebni podatki uporabljeni ali vneseni v zbirke osebnih podatkov oziro- ma v predpisano dokumentacijo 72 Didakta 201 in kdo je to storil, in sicer za ob- dobje, ko je mogoče zakonsko varstvo pravice posameznika za- radi nedopustnega posredovanja osebnih podatkov. Osebne podatke o otrocih lahko v zavodu zbirajo, uporabljajo, shranju- jejo in posredujejo samo tisti delavci, ki jih za to pooblasti ravnatelj. Ti po- oblaščeni delavci so dolžni: • poskrbeti, da se pri zbiranju, obdelovanju, shranjevanju, po- sredovanju in uporabi osebnih podatkov z osebnimi podatki ne more seznaniti nepooblaščena oseba, • po končani izdelavi dokumentov z osebnimi podatki uničiti pomo- žno gradivo (izračune, poskusne oziroma neuspešne izpise ipd.), ki so ga uporabili oziroma je nastalo pri izdelavi dokumenta, • v primeru nepravilne ali nepoo- blaščene uporabe, spreminjanja ali poškodovanja osebnih podat- kov iz zbirk podatkov oziroma o poskusu takšnega ravnanja takoj obvestiti ravnatelja, sami pa tako ravnanje preprečiti, • zaklepati pisalne mize, omare, blagajne in pisarne, v katerih hranijo osebne podatke, kadar zapuščajo delovne prostore med delovnim časom oziroma kadar odidejo domov, • izklopiti in fizično ali program- sko zakleniti računalnik in drugo strojno opremo. Pooblaščeni delavci morajo vsebino osebnih podatkov, s katerimi se se- znanijo pri svojem delu, varovati kot poklicno skrivnost. Kršenje varstva osebnih podatkov se šteje za hujšo kršitev delovne obveznosti in dol- žnosti. Dolžnost varovanja poklicne skrivnosti traja tudi po prenehanju delovnega razmerja na zavodu. Ne glede na dolžnost varovanja poklicne skrivnosti so ravnatelj ozi- roma pooblaščeni delavci, ki pri svojem delu ugotovijo ogroženost otroka, dolžni o tem obvestiti center za socialno delo. Zavod je tako dol- žan zaščititi otrokove koristi in v ta namen pristojne organe kazenskega pregona (policija oziroma državno tožilstvo) obveščati o primerih, ko strokovni delavci izvedo za prime- re telesnega ali duševnega nasilja, poškodb ali zlorab, zanemarjanja ali malomarnega ravnanja, trpinče- nja, izkoriščanja ali spolnih zlorab. Ravnatelj je dolžan poskrbeti, da je vsak delavec, ki je po vsebini dela, ki ga opravlja, pooblaščen za delo z otroki, seznanjen s postopanjem ob sumu, da je otrok zaradi zlorabljanja ali zanemarjanja ogrožen. Dokumentacija z zbirkami osebnih podatkov v papirni obliki se hrani tako, da je razvrščena pregledno in po posameznih vsebinskih sklopih. Shranjena mora biti tako, da do nje nimajo dostopa nepooblaščene osebe. Dokumentacija z zbirkami osebnih podatkov se v šoli hrani v zbornici, tajništvu, kabinetih ali drugem prostoru. Način in mesto hrambe se podrobneje določi v in- ternem pravilniku o varstvu osebnih podatkov. Dokumentacija z zbirkami osebnih podatkov se ne sme odnaša- ti iz šolskih prostorov. Za nadzor je odgovoren ravnatelj zavoda. Dokumentacija v elektronski obliki se hrani s pomočjo informa- cijsko-telekomunikacijske opreme, ki zagotavlja, da so podatki dosegljivi in primerni za kasnejšo uporabo,in shranjeni v obliki, v kateri so bili oblikovani, poslani ali prejeti, ali v kakšni drugi obliki, ki verodostojno predstavlja oblikovane, poslane ali prejete podatke. POSREDOVANJE OSEBNIH PODATKOV DRUGIM Osebne podatke o otrocih, njihovih starših in zaposlenih sme zavod po- sredovati drugim uporabnikom (npr. centrom za socialno delo, Zavodu RS za šolstvo, sodiščem, zdravstve- nim zavodom, svetovalnim centrom) le v primerih in za namen, ki ga določa zakon. Uporabnik, ki želi pridobiti osebne podatke, je dolžan navesti pravno podlago za pridobi- tev osebnih podatkov. Zavod mora preveriti ustreznost pravne podlage za posredovanje osebnih podatkov in zavrniti vsak zahtevek ali prošnjo, kjer pravna podlaga ni izkazana 6 . Pridobljene podatke sme uporabiti samo za namen, za katerega jim je podatek posredovan. Vrtci in šole nemalokrat pozabijo, da so dolžni vsako posredovanje osebnih podatkov iz zbirk podatkov označiti, in sicer tako, da se navede, kateri osebni podatki so bili posredo- vani, komu in na kakšni podlagi ter kdaj in za kakšne namene so bili po- sredovani. Zavod posreduje osebne podatke drugim uporabnikom z in- formacijskimi, telekomunikacijskimi in drugimi sredstvi, ki zagotavlja- jo varnost in zaupnost podatkov. Prenos osebnih podatkov preko ele- ktronske pošte je treba zavarovati z geslom za identifikacijo, osebni podatki, ki se prosilcem posredujejo v fizični obliki (po pošti), se morajo posredovati s priporočeno poštno pošiljko in oznako "zaupno". 6 V enem od primerov, ki jih je obravna- val Informacijski pooblaščenec (mnenje z dne 21. 11. 2016), je delodajalec opra- vljal nadzor zaradi suma zlorabe dopu- sta za nego otroka, kar je lahko razlog za izredno odpoved pogodbe o zaposli- tvi. Otrok delavke, ki je na dopustu za nego otroka, naj bi namreč bil prisoten v vrtcu. Delodajalec je od vrtca zahteval podatek o tem, ali je bil otrok v dolo- čenem obdobju v vrtcu. Podatek o tem, ali je točno določen otrok v vrtcu ali ne, se nanaša na otroka in tako predstavlja njegov osebni podatek. V 50. členu Za- kona o vrtcih, je določeno, da vrtec lah- ko posreduje podatke iz zbirk podatkov ministrstvu za izobraževanje, znanosti in šport, za izvajanje njegovih z zako- nom določenih nalog, podatke iz evi- denc pa sme vrtec (in lokalna skupnost) posredovati tudi drugemu upravnemu organu oziroma drugi organizaciji, če je za njihovo uporabo pooblaščena z zakonom. Obdelava podatka o prisotno- sti otroka v vrtcu v druge namene, kot tiste, ki jih taksativno našteva Zakon o vrtcih, bi bilo tako v nasprotju z veljavni- mi predpisi. Prav tako delodajalec starša ni med subjekti, katerim na podlagi že navedene določbe Zakona o vrtcih vrtec lahko posreduje podatek o prisotnosti otroka v vrtcu v določenem obdobju. Vrtec torej nima pravne podlage za po- sredovanje podatka o prisotnosti otroka v vrtcu delodajalcu starša za namene nadzora nad izvajanje dopusta za nego, zato bi bilo takšno posredovanje nedo- pustno. Enako bi veljalo tudi za šolo. Didakta 201 73 DRUGE NOVOSTI PO GDPR Obveznost samoprijave ob kršitvi varstva osebnih podatkov V primeru kršitve varstva osebnih podatkov upravljavec brez nepo- trebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej uradno obvesti In- formacijskega pooblaščenca, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov. Kadar uradno obvestilo Informacij- skemu pooblaščencu ni podano v 72 urah, se mu priloži navedbo ra- zlogov za zamudo. O prijavi presoja in odloča upravljavec! Kadar gre za kršitev varstva osebnih podatkov pri pogodbenem obdelovalcu osebnih podatkov, mora obdelovalec o tem nemudoma obvestiti upravljavca, ki presodi o prijavi Informacijskemu pooblaščencu. Pooblaščena oseba za varstvo osebnih podatkov Pooblaščena oseba za varstvo podat- kov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog. Pooblaščena oseba za varstvo podatkov je lahko zaposlena v zavodu ali pa naloge opravlja na podlagi pogodbe o sto- ritvah. Posamezniki, na katere se nanašajo osebni podatki, lahko s pooblaščeno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov in uresničevanjem njihovih pravic na podlagi te uredbe. Pooblaščena oseba za varstvo podatkov spre- mlja skladnost z GDPR in drugimi predpisi o varstvu podatkov in poli- tikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, oza- veščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami, hkrati pa deluje kot kontaktna točka za nad- zorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem, in, kjer je ustrezno, posvetovanjem glede katerekoli dru- ge zadeve. KONKRETNI PRIMERI IZ PRETEKLIH LET IN MNENJA INFORMACIJSKEGA POOBLAŠČENCA Informacijski pooblaščenec je v Sloveniji organ, ki je pristojen za nadzor nad izvajanjem zakona in drugih predpisov, ki urejajo var- stvo ali obdelavo osebnih podatkov. Je organ, ki dela odlično in zaradi strokovnih odločitev, podkrepljeni- mi z ustrezno argumentacijo, uživa široko podporo in veliko zaupanje javnosti. V preteklih letih so pri tem organu obravnavali številne primere s področja vzgoje in izobraževanja, ki so dostopni na njihovi spletni stra- ni 7 , sam sem za zaključek prispevka izbral le najbolj zanimive oziroma aktualne. Je dopustno fotografiranje otrok in odraslih oseb na javnih prireditvah in uporaba tega foto materiala za objavo reklame na plakatu za naslednjo javno prireditev? Informacijski pooblaščenec meni 8 , da glede na javnost prireditve ni treba pridobiti posebnih osebnih privoli- tev udeležencev za fotografiranje, če so bili udeleženci na ustrezen način seznanjeni, da se prireditev fotogra- fira. Vsak posameznik, ki se udeleži javne prireditve (kot nastopajoči ali pa zgolj kot gledalec) se mora zave- dati, da na takšni prireditvi obstaja večja verjetnost, da bo posnet. Zato je na njem, da se, v kolikor je bilo ustrezno obvestilo o fotografiranju podano, pozanima o tem, kaj bo or- ganizator dogodka s fotografijami storil (kako in kje jih bo uporabil) ter se na podlagi teh informacij odloči, ali se bo dogodka sploh udeležil. Ka- dar se javne prireditve udeleži otrok, je ta odločitev na strani njegovih staršev. Uporaba fotografij na način, ki omogoča enostavno prepoznavo upodobljenega posameznika, je do- 7 Prim. https://www.ip-rs.si/. 8 Mnenje IP z dne 31. 5. 2016. pustna, če se za takšno obdelavo osebnih podatkov vnaprej pridobi osebna privolitev upodobljenega po- sameznika oz. njegovih staršev, pri čemer se že udeležba na javni pri- reditvi, ki se fotografira (upoštevajoč navedeno), praviloma šteje kot pri- volitev (prav tako se kot privolitev praviloma šteje tudi dejstvo, da se posameznik, ki nedvomno vidi, da bo fotografiran, temu ne upira oz. ne poskuša izogniti). Lahko vzgojiteljica na elektronske na- slove staršev, ki so jih dali prostovoljno, pošilja fotografije otrok in njihovih de- javnosti? Informacijski pooblaščenec pou- darja 9 , da je v primeru neobstoja zakonske podlage za obdelavo oseb- nih podatkov otrok od avtonomne volje staršev odvisno, ali bodo so- glašali z obdelavo osebnih podatkov svojih mladoletnih otrok. Vrtec ne more in ne sme obdelovati osebnih podatkov otroka (pošiljati fotogra- fij po e-pošti) brez vnaprejšnjega prostovoljnega soglasja staršev. V ko- likor je soglasje staršev podano zgolj za določene namene, pa je s tem dopustnost obdelave omejena zgolj na namene, za katere je bilo soglasje podano. Ali se lahko objavijo fotografije otrok, ki obiskujejo vrtec, na spletni strani vrtca, in sicer na način, da bi do foto- grafij otrok posamezne skupine lahko dostopali le otroci oziroma njihovi starši. Kako bi v tem primeru morali zavarovati fotografije in kako bi pre- prečili morebitno nadaljnjo obdelavo fotografij otrok s strani njihovih star- šev oziroma drugih uporabnikov, ki bi imeli možnost dostopa do zavarovane spletne (pod)strani? Fotografiranje otrok v okviru dejav- nosti vrtca je načeloma dopustno, če so starši otrok podali izrecno oseb- no privolitev za takšno obdelavo, saj to ne sodi med izvajanje nalog jav- ne službe (in je privolitev primerna 9 Mnenje IP z dne 3. 10. 2014. 74 Didakta 201 pravna podlaga) 10 . Pisna privolitev je za zavezanca koristna tudi zato, ker v primeru spora omogoča dokazo- vanje, da je bila izjava za obdelavo osebnih podatkov dejansko podana. V primeru, če določeni starši ne bi podali privolitve, pa fotografij posa- meznih otrok ne bi smeli objaviti, oziroma bi bilo potrebno, če gre za skupinske fotografije, identite- to posameznih (tistih, za katere ni privolitve) otrok prikriti, npr. z za- meglitvijo obrazov. Če so fotografije vendarle dostopne širokemu krogu uporabnikov (vendar ne javnosti neposredno), je po mnenju Informa- cijskega pooblaščenca priporočljivo, da se jasno opredeli vprašanje (ne) odgovornosti v primeru, če se foto- grafije znajdejo v drugih medijih (npr. na Facebooku). Lahko se zgodi, da bodo starši ali otroci, ki bodo z ustreznim uporabniškim imenom in geslom vstopili v zaklenjeno poddomeno na spletni strani vrtca, fotografije shranili in jih posredova- li naprej. Tega ni mogoče preprečiti (vsaj ne v primeru, ko se želi, da so fotografije dostopne otrokom in star- šem), se pa lahko vrtec ogradi od morebitnega prevzemanja odgovor- nosti v teh primerih, in sicer tako, da v pravilnikih in v sami izjavi, ki jo podpišejo starši, zagotovi ustre- zno varnost osebnih podatkov, tudi z dodatno izjavo, da do fotografij lahko dostopajo zgolj starši in otro- ci z uporabniškimi imeni in gesli, vendar pa ne prevzema odgovorno- 10 Mnenje IP z dne 19. 12. 2011. sti za nadaljnjo obdelavo fotografij s strani uporabnikov zavarovane pod- domene na spletni strani, kjer so shranjene fotografije. Ali lahko vrtec daje informacije o otro- ku ločenih staršev očetu, ki ne živi z otrokom, sodišče pa je ob razvezi star- šev otroka dodelilo materi? Zakon o zakonski zvezi in družin- skih razmerjih v 4. členu določa, da imajo starši pravico in dolžnost, da z neposredno skrbjo, s svojim delom in dejavnostjo zagotavljajo uspe- šen telesni in duševni razvoj svojih otrok. Zaradi zdrave rasti, skladnega osebnostnega razvoja in usposobitve za samostojno življenje in delo imajo starši pravice in dolžnosti, da skrbi- jo za življenje, osebnostni razvoj, pravice in koristi svojih mladoletnih otrok. Te pravice in dolžnosti sesta- vljajo roditeljsko pravico. Iz tega člena tudi izhaja, da roditeljska pra- vica pripada skupaj očetu in materi. Če torej kateremu od staršev rodi- teljska pravica ni bila odvzeta, mora obema biti omogočeno, da lahko iz- vajata svoje pravice in dolžnosti, kar pomeni, da lahko tudi oče zahteva seznanitev z osebnimi podatki otro- ka, četudi ne živi več z otrokom in otrokovo materjo 11 . SKLEPNI PREMISLEK Kompleksno in občutljivo podro- čje varstva osebnih podatkov bi se moralo v vsakem izmed vzgojno- 11 Mnenje IP z dne 13. 1. 2015. -izobraževalnih zavodov urediti na zakonit način, saj se je ponekod to področje v preteklih letih zanemari- lo, nekateri zavodi nimajo internih pravilnikov o varstvu osebnih podat- kov, zbirajo se osebni podatki, ki se jih ne bi smelo zbirati 12 , evidence posameznih zbirk so vodene po- manjkljivo, soglasja so neusklajena z določbami GDPR, prav tako ni tudi ustreznih izjav o varstvu osebnih podatkov članov sveta zavoda, sveta staršev, članov upravnega odbora šolskega sklada. Zato vsekakor pripo- ročam, da se vrtci in šole odločijo za sklenitev pogodb z zunanjimi stro- kovnjaki s področja varstva osebnih podatkov, vendar nikar ne nasedajte "strokovnjakom", ki grozijo z visoki- mi kaznimi, ali "strokovnjakom", ki ne poznajo (specifičnega) vzgojno-iz- obraževalnega področja 13 . Pripravil: Mag. Domen Petelin, univ. dipl. pravnik 12 Nekateri vrtci zbirajo zdravstvene podat- ke otrok, ki se želijo vpisati v vrtec, že v fazi vpisa otrok v vrtec, četudi imajo omejitev vpisa in se v tej fazi še ne ve, ali bo otrok sploh vključen v vrtec ali ne. Zdravstveni podatki otroka se lahko zbirajo in obdelujejo šele po podpisu po- godbe med vrtcem in starši. V kolikor se zbirajo zdravstveni podatkov otrok pred tem, gre za kršitev načela minimalizaci- je obdelave osebnih podatkov po GDPR. 13 Če želite nasvet s področja varstva oseb- nih podatkov, mi kar sporočite.