Obdelave osebnih podatkov in poročanja učiteljev ter vodenja evidenc o izvedbi pouka in pomoči učencem na daljavo

Glede na aktualno dogajanja po svetu in pri nas vam z vidika prisotnosti Koronavirusa COVID-19 v branje posredujemo nekaj aktualnih vprašanj, na katere je odgovoril Informacijski pooblaščenec in jih objavil na svoji spletni strani Upravljavec.si.

Mnenje IP glede obdelave osebnih podatkov in poročanja učiteljev ter vodenja evidenc o izvedbi pouka in pomoči učencem na daljavo

Dileme, na katere opozarjate z vidika varstva osebnih podatkov so:

1. Nekateri starši na vaš službeni elektronski naslov niso odzivni, vi pa morate obvezno od njih pridobiti povratno informacijo o njihovem delu za šolo. Zato ste jih prisiljeni klicati iz svoje zasebne telefonske številke na njihovo zasebno številko (ki so jo sicer posredovali v šolsko evidenco). Zaradi oddaljenosti in ovir pri povračilu stroškov v danih razmerah bi bilo kontaktiranje iz šolskega službenega telefona težko izvedljivo oz. neizvedljivo.

2. Tedensko morate oddajati evidenco vaše komunikacije s starši in otroki. Sprašujete, katere podatke lahko ta evidenca vsebuje? Po vaši presoji bi lahko vsebovala podatek o tem, da ste komunicirali s starši (da/ne), datum in uro komunikacije, trajanje komunikacije in način komunikacije (internet, telefon, drugo). Menite pa, da brez pisnega privoljenja staršev ne bi smeli enostavno posredovati vsebine osebne korespondence vključno s slikami in videoposnetki otrok.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati, prav tako ne moremo presojati in komentirati konkretnega načina izvajanja in organizacije izobraževanja dela na daljavo z vidika ustreznosti in varnosti obdelave osebnih podatkov. V nadaljevanju vam tako posredujemo splošno mnenje glede podlag za obdelavo osebnih podatkov ter varnosti podatkov, ki smo ga z vidika uporabe različnih aplikacij naslovili tudi na Ministrstvo za izobraževanje, znanost in šport. Mnenje zajema tako obdelavo osebnih podatkov učiteljev kot učencev. Glede delovnopravnih vidikov obveznosti in organizacije dela učiteljev v teh časih epidemije pa IP ne sme podajati mnenj.

Obdelava osebnih podatkov učiteljev

Uvodoma pojasnjujemo, da lahko IP poda mnenje zgolj z vidika obdelave osebnih podatkov, ne pa tudi z drugih vidikov posegov v zasebnost, avtorskega prava, organizacije šolskega dela, delovnopravnih obveznosti učiteljev ipd., ki se lahko pojavljajo v zvezi z izvajanjem učenja na daljavo.

Za vsako obdelavo osebnih podatkov je treba imeti ustrezno in zakonito pravno podlago. Te so določene v členu 6(1) Splošne uredbe in so za javni sektor, kamor sodijo izobraževalne institucije, kot so osnovne in srednje šole, naslednje:

privolitev, kadar ne gre za izvajanje javnih nalog (točka (a)),
sklenitev ali izvajanje pogodbe (točka (b)),
zakon (točka (c)),
izvajanje javne naloge (točka (e) v zvezi s četrtim odstavkom 9. člena ZVOP-1).

Po mnenju IP samo vodenje evidence in s tem povezana obdelava osebnih podatkov pedagoškega delavca, kot so zbiranje, objava in hramba video posnetkov njegovih učnih ur lahko dopustna na podlagi določbe 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, s spremembami in dopolnitvami) pod pogojem, da gre za obdelavo, ki je potrebna za izvrševanje pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Delodajalec je v takšnem primeru dolžan izkazati, da gre za takšne delavčeve osebne podatke, ki jih potrebuje v okviru delovnega razmerja. Vsekakor zaposleni ni dolžan za delo uporabljati osebnega telefona, razen če se o tem z delodajalcem dogovorita (v tem primeru ZDR-1 predvideva tudi ustrezno nadomestilo za uporabo svojih sredstev za delo na domu).

V situaciji, ko vladajo izredne razmere zaradi epidemije korona virusa (COVID-19), je uporaba novih tehnologij, tehnik in metod, ki so povezane tudi z delom učiteljev na domu, neizogibna. Informacijski pooblaščenec uporabi informacijske tehnologije v izobraževalnem procesu vsekakor ne nasprotuje in meni, da je posebej v trenutnih razmerah pametna in sorazmerna uporaba informacijske tehnologije nujno potrebna za izvajanje kvalitetnega in stimulativnega izobraževalnega procesa ter za zagotavljanje učinkovitega izvrševanja delovnih obveznosti učiteljev.

Po vedenju Informacijskega pooblaščenca mnogo učiteljev takšen način poučevanja že uporablja. Vendar pa IP meni, da način izobraževanja s snemanjem učiteljev ne bi smel temeljiti na njihovi morebitni privolitvi, saj to ne bi zagotavljalo primerne kontinuitete in kvalitete dela, poleg tega bi lahko učitelji zavrnili uporabo tehnoloških rešitev, ki dejansko omogočajo izobraževanje na daljavo. Nenazadnje bi lahko učitelji glede na člen 7(3) Splošne uredbe v vsakem trenutku tudi preklicali svojo privolitev in bi bilo treba posnetke nemudoma izbrisati ne glede na morebitne posledice za izobraževalni proces in enako obravnavo učencev. Tudi iz tega razloga menimo, da je treba razumeti uporabo snemanja pri izvajanju izobraževanja na daljavo kot izpolnjevanje delovne obveznosti po 48. členu ZDR-1.

Ob vsem navedenem pa je nujno, da upravljavci osebnih podatkov (torej šole) uredijo primerne roke hrambe, poskrbijo za ustrezno varnost obdelave osebnih podatkov, seznanijo posameznike z določenimi obveznimi informacijami iz člena 13 Splošne uredbe in naslovijo tudi morebitno vprašanje avtorskih pravic (slednje sicer ne sodi v pristojnost Informacijskega pooblaščenca).

V zvezi z informacijami za posameznike skladno s členom 13 Splošne uredbe naj poudarimo, da mora upravljavec osebnih podatkov na jasen in pregleden način zagotoviti temeljne informacije v zvezi z obdelavo osebnih podatkov, na primer informacije o tem, kdo obdeluje osebne podatke, kontaktni podatki upravljavca, v kakšne namene obdeluje podatke, koliko časa jih hrani in druge informacije, ki jih navedena določba predpisuje.

Obdelava osebnih podatkov učencev/dijakov

Proces izobraževanja na daljavo so nekateri učitelji zasnovali na način, da od učencev zahtevajo uporabo sodobnih informacijskih tehnologij, pri čemer pogosto prihaja tudi do obdelave osebnih podatkov. Otroci naj bi pri izobraževanju na daljavo uporabljali različna orodja za spletno komuniciranje, med drugim tudi orodja s funkcijo video klica in sorodne oblike sodelovanja, ali pa morajo učenci/dijaki po navodilu učitelja posneti izpolnjevanje dane naloge in posnetek posredovati učitelju.

IP pri obdelavi osebnih podatkov otrok za namene izvajanja izobraževanja na daljavo poudarja, da klasična privolitev posameznika (oziroma zakonitega zastopnika otroka) ni ustrezna oziroma primerna pravna podlaga, po kateri naj bi takšna obdelava osebnih podatkov potekala. Bistveno je namreč, da gre pri izobraževanju na daljavo za izvajanje javnopravne naloge izobraževalne ustanove in ne za aktivnosti, za katere lahko starši kot zakoniti zastopniki otrok podajo svobodno privolitev – kot jo že tradicionalno podajo na začetku šolskega leta na pripravljenem obrazcu (denimo za objavo fotografij v šolskem almanahu ipd.). Povsem posebna situacija pa je seveda zbiranje osebnih podatkov, za katere že sam zakon npr. Zakon o osnovni šoli (95. člen) določa, da se ti osebni podatki zbirajo zgolj v soglasju s starši učencev (v določenih primerih, razen v primeru, ko je učenec v družini ogrožen in ga je potrebno zavarovati). Taki so npr. podatki o gibalnih sposobnostih in morfoloških značilnostih učencev ali podatki učencih, ki potrebujejo pomoč in svetovanje. Prav tako že zakon (95. člen Zakona o osnovni šoli) določa, da so svetovalni delavci te podatke dolžni varovati kot poklicno skrivnost. Kot poklicno skrivnost so te podatke dolžni varovati tudi drugi strokovni delavci, ki so jim podatki posredovani zaradi narave njihovega dela.

Za obdelavo osebnih podatkov otrok v spletnem okolju v trenutnih izrednih razmerah, ko poteka izobraževanje na daljavo, je po mnenju IP v okviru zgoraj navedenega (izjema so torej podatki, kjer je poleg zakona že z zakonom zahtevana tudi privolitev) edina ustrezna pravna podlaga 6(1)(c) Splošne uredbe, saj je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca. Zakonsko obveznost sicer široko opredeljujejo zakoni s področja osnovnošolskega in srednješolskega izobraževanja, med drugim Zakon o osnovni šoli (Uradni list RS, št. 81/06 – UPB, s sprem. in dop.), Zakon o gimnazijah (Uradni list RS, št. 1/07 – UPB, s sprem. in dop.) ter Zakon o poklicnem in strokovnem izobraževanju (Uradni list RS, št. 79/06, s sprem. in dop.), ki določajo obveznost šol, da zagotavljajo predvidene oblike izobraževanja, ter dolžnost učencev in dijakov, da izpolnjujejo svoje šolske obveznosti. Delovne obveznosti učiteljev so nadalje opredeljene v Zakonu o organizaciji in financiranju vzgoje in izobraževanja (Uradni list RS, št. 16/07– UPB, s sprem. in dop.), ki v 119. členu določa tudi »zbiranje in obdelavo podatkov v zvezi z opravljanjem vzgojno-izobraževalnega in drugega dela«.

Zaradi izjemnih okoliščinah, v katerih se nahajamo zaradi ukrepov za preprečevanje širjenja virusa COVID-19, ki so začasno spremenila tudi izobraževalni proces, je Informacijski pooblaščenec mnenja, da bi moralo Ministrstvo za izobraževanje, znanost in šport to pravno podlago ustrezno konkretizirati z enotnimi navodili šolam. IP je ministrstvo k temu že pozval.

Pri tem je treba upoštevati oziroma nasloviti tudi pomisleke glede varnosti osebnih podatkov in iznosa v tretje države (do česar se opredeljujemo v nadaljevanju). Poleg tega bi morale biti šole oziroma učitelji opozorjeni na načelo najmanjšega obsega podatkov, po katerem se ne sme obdelovati več osebnih podatkov, kot je nujno potrebno za izvedbo izobraževalnega procesa (načelo minimizacije osebnih podatkov).

Vaša ocena je, glede na to kar navajate, torej povsem točna in pravilna, in sicer da bi v primeru poročanja o delu z učenci, ki potrebujejo pomoč in svetovanje (ko gre za zbiranje podatkov iz 4. točke 1. odstavka 95. člena Zakona o osnovni šoli) za tedensko poročanje o vaši komunikaciji s starši in otroki moralo zadoščati poročanje npr. o tem, da ste komunicirali s starši (da/ne), o datumu in uri komunikacije, trajanju komunikacije in načinu komunikacije (internet, telefon, drugo). Šola pa mora v danih razmerah opredeliti, kako se hrani dokumentacija o delu z učenci in na kakšen način izvajate delo na daljavo. Pri tem mora šola upoštevati, da se določeni podatki zbirajo le ob soglasju staršev, kot so npr. družinska in socialna anamneza; razvojna anamneza; strokovno interpretirani rezultati diagnostičnih postopkov; podatki o postopkih strokovne pomoči oziroma svetovanja; dokumentacijo v zvezi s postopkom usmerjanja učenca s posebnimi potrebami (sem sodi nedvomno tudi vaša korespondenca in druga gradiva, ki jih pridobivate v danih razmerah dela na daljavo); strokovna mnenja drugih inštitucij: centrov za socialno delo, zdravstvenih inštitucij, svetovalnih centrov oziroma vzgojnih posvetovalnic. Vsekakor se v zvezi s tem delom tudi z vidika varstva tajnosti korespondence ne zdi primerno avtomatično in vsakotedensko posredovanje celotne osebne korespondence vključno s slikami in videoposnetki otrok brez privolitve staršev oz. ustrezne strokovne utemeljitve in druge pravne podlage. Šola oziroma posamezen učitelj mora namreč izpolnjevanje nalog preverjati na način, ki najmanj poseže v pravico do varstva osebnih podatkov in zasebnosti otroka. Stvar zavarovanja podatkov in načina obdelave v nastalih razmerah pa je, kako šola poskrbi za to, da so vsi osebni podatki (še posebej občutljivi) ustrezno zavarovani in da se z njimi ne seznanijo nepooblaščene osebe. Konkretnih navodil, kako to izvesti IP v mnenju ne more podati.

Posebej glede varnosti obdelave osebnih podatkov in iznosa v tretje države

Glede varnosti osebni podatkov IP posebej poudarja, da mora upravljavec osebnih podatkov le-te ustrezno varovati v vseh fazah obdelave. Prvi odstavek člena 32 Splošne uredbe določa, da morata upravljavec in obdelovalec ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotoviti ustrezno raven varnosti glede na tveganje.

Zagotavljanje varnosti osebnih podatkov je lahko posebej problematično pri uporabi spletnih orodij, ki jih učitelji uporabljajo po lastni presoji in po možnosti brez vnaprejšnega preudarka o zagotavljanju varnosti osebnih podatkov. Tudi zato menimo, da bi bilo treba uporabo posameznih orodij ustrezno premisliti in – če je le mogoče – do izbire orodij pristopiti poenoteno. IP pa posameznih orodij z vidika ustreznosti in predvsem varnosti obdelave v mnenju ne more in ne sme presojati.

Večina najbolj uveljavljenih orodij za spletno komuniciranje, omogoča t.i. šifriranje od vira do ponora komunikacije (angl. »end-to-end encryption«), ne pa nujno v vseh primerih (to najverjetneje npr. ne bo zagotovljeno, če je klic (deloma) opravljen preko navadne telefonske linije in ne preko podatkovnega prenosa) in ne nujno kot privzeto nastavitev, razlike med aplikacijami pa obstajajo tudi glede drugih vidikov varnosti in zasebnosti. Zato IP priporoča, da se glede teh vidikov pred uporabo upravljavec osebnih podatkov (ali celo vaše ministrstvo pri pripravi ustreznih priporočil) posvetuje s svojimi sodelavci s področja informacijskih tehnologij.

Pregled različnih vidikov varnosti in zasebnosti pri aplikacijah za spletno komuniciranje je med drugim dostopen tu: https://www.securemessagingapps.com/

Pozornost je treba nameniti tudi morebitnemu prenosu osebnih podatkov v tretje države, saj številni ponudniki tovrstnih rešitev prihajajo iz ZDA. Priporočamo, da preverite, ali je ponudnik rešitve na seznamu certificiranih organizacij po dogovoru Privacy Shield med EU in ZDA: https://www.privacyshield.gov/welcome. Več o iznosu podatkov v tretje države si lahko preberete na naši spletni strani https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-drzave-in-mednarodne-organizacije/iznos-osebnih-podatkov-v-zda/ ter na splošno v infografiki Informacijskega pooblaščenca: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Prenos_osebnih_podatkov_po_Uredbi_v_dveh_korakih.pdf.

Aktualna mnenja in stališča IP v zvezi z varstvom osebnih podatkov v času epidemije koronavirusa (COVID-19) so dostopna na spletni strani: https://www.ip-rs.si/index.php?id=897. Do iskalnika mnenj, kjer so javno objavljena vsa mnenja IP, pa lahko dostopate prek povezave: https://www.ip-rs.si/vop/.

Vir: Upravljavec.si