Na eni izmed vrtcev v širši okolici Ljubljane so z začetkom letošnjega šolskega leta z garderobe umaknili imena otrok, s katerimi so označevali obešalnike otrok. Za spremembe so se na izobraževalni ustanovi odločili po uveljavitvi določb, ki jih je v evropski prostor vpeljala 25. maja splošna uredba EU o varstvu podatkov (GDPR), v skladu s katerimi mora biti posameznik seznanjen s točnim namenom zbiranja in obdelave teh podatkov.
A zahteve, ki jo omenjamo, po besedah Mojce Prelesnik, informacijske pooblaščenke, ni moč zaslediti nikjer v splošni uredbi, je pa res, da mora vrtec enako kot vsi ostali upravljavci zbirk osebnih podatkov paziti, da se z osebnimi podatki ne seznanijo nepoklicani. "Zakonodajo o varstvu osebnih podatkov je vendarle treba interpretirati z določeno mejo razuma in ne črkobralsko – varovanje podatkov zgolj zaradi varovanja, brez vidnih tveganj za posameznike, ni smiselno," je komentirala informacijska pooblaščenka, ki ugotavlja, da se v zadnjem času velikokrat dogaja, da se zadeve "urejajo" s sklicevanjem na GDPR. Spremembe, ki jih organizacije uvajajo, - tako Prelesnik - velikokrat sploh nimajo povezave z GDPR ali pa gre za situacije, ki so povsem iste, kot jih je že doslej vrsto let urejal zakon o varstvu osebnih podatkov (ZVOP-1) in torej GDPR ne pomeni prav nobene spremembe.
Podobno pritrjujejo tudi na ministrstvu za izobraževanje, kjer dodajajo, da osnovna pravila varstva oziroma obdelave osebnih podatkov ostajajo enaka: osnovno pravilo je bilo prej in je tudi sedaj, da je za obdelavo osebnih podatkov v javnem sektorju potrebna ustrezna zakonska podlaga.
Podobnih umikov javnih podatkov in sprememb v šolah in vrtcih smo na Žurnalu24 opazili še nekaj - v nadaljevanju jih objavljamo skupaj s komentarjem informacijske pooblaščenke -, a v več primerih se je izkazalo, da so v želji po upoštevanju predpisov nekatere izobraževalne institucije šle (pre)daleč.
Brez bistvenih sprememb ...
Ravnateljica vrhniškega vrtca Anita Čretnik, ki je sicer z julijem šele nastopila mandat, je pritrdila, da pri njih drastičnih sprememb ob uveljavitvi uredbe GDPR ni bilo, saj so že pred tem upoštevali določila zakona o varstvu osebnih podatkov. Na primer tudi najave izostankov otrok, ki so jih ponekod ali jih tudi še starši kar zapišejo na list papirja pred igralnici, so že pred časom uredili s pomočjo elektronskega sistema. Najave nato pregleda vzgojiteljica. Tudi starše o pomembnejših dogodkih obveščajo posamično.
... pa do velikih organizacijskih težav, ker niso mogli objaviti poimenskega seznama
Več težav s spreminjanjem svojih praks, ki zadevajo varstvo osebnih podatkov, so imeli na Ekonomski šoli Celje, saj so prilagodili vse svoje obrazce uredbi GDPR, ki zahteva nedvoumno soglasje v privolitev v zbiranje in obdelavo svojih osebnih podatkov. Če takšnega soglasja niso imeli oziroma ni bilo dokazljivo, za na primer elektronske naslove staršev in učiteljev, so podatke morali izbrisati.
Simona Sever Punčoh, pomočnica ravnateljice na Ekonomski šoli Celje, je pojasnila, da jim je poleg soglasji več časa vzela tudi vzpostavitev novega sistema, v skladu, s katerim bo vsak dijak dobil svojo šifro, saj bodo le tako lahko objavljali sezname dijakov in dijakov. "Prvi šolski dan smo imeli grozne težave, ker nismo mogli obesiti, kdo je v katerem razredu. Pri novincih pa je prav to problem. Tako smo imeli osebo, h kateri je posameznik lahko prišel vprašat, v katerem razredu je. To so bile velike organizacijske težave," je pojasnila še Simona Sever Punčoh.
Dijakov, ki bi oporekali posredovanju podatkov staršem, le malo
Dodatno obremenitev srednjim šola pa je prinesla novost - ki to ponovno sploh ni - v skladu, s katero morajo srednje šole od polnoletnih dijakov pridobiti soglasje o vpogledu v ocene in izostanke. Na Ekonomski šoli Celje sicer pravijo, da soglasja ni podalo zelo, zelo malo polnoletnih dijakov. "Peščica, morda en odstotek," je povedala pomočnica ravnateljice.
Soglasja za posredovanje informacij naj bi po pojasnilih ministrstva šole potrebovale že doslej, a pri tem, priznavajo, da je res, da morajo biti privolitve od uveljavitve uredbe GDPR ločene ter prostovoljne, specifične, informirane in nedvoumne. Dodatno pa so soglasja polnoletnih dijakov opredelili na ministrstvu tudi znotraj pravilnikov: "Spremembe pravilnikov je narekovala spremenjena zakonodaja, ki ureja področje srednjega šolstva, pa tudi druga zakonodaja, ki posredno zadeva področje srednjega šolstva. Te spremembe so bile med drugim potrebne tudi zaradi uveljavitve Evropske uredbe o varstvu osebnih podatkov (GDPR). Ena od novosti, ki se nanaša na pravice in dolžnosti dijakov, je, da mora biti razmerje med polnoletnimi dijaki in starši bolj jasno izpostavljeno."
Bodoči minister Jernej Pikalo, ki se vrača na izobraževalni resor, je napovedal, da rešitev nastale situacije vidi v podaljšanju starševske pravice. V skladu z zakon o zakonski zvezi in družinskih razmerjih (ZZZDR) imajo starši iz naslova roditeljske pravice pravico in dolžnost skrbeti za razvoj, zdravje, vzgojo, šolanje in preživljanje svojih otrok. Po polnoletnosti, do dopolnjenega šestindvajsetega leta starosti, pa so starši dolžni otroka, če se redno šola, le še preživljati. A kot izpostavljajo na ministrstvu, kamor prihaja Pikalo, gre za vprašanje, ki zadeva tudi druge resorje in družbo nasploh.
Še pred obsežnimi načrti pa bi nova vlada lahko izobraževalnim ustanovam, pa tudi drugim organizacijam olajšala delo s čimprejšnjim sprejemom novega zakona o varstvu osebnih podatkov (ZVOP-2), saj GDPR državam članicam vendarle dopušča, da določena vprašanja uredijo samostojno. Slovenija bi zakonodajo morala sprejeti že do od 25. maja, a je tudi zaradi odstopa vlada ta rok zamudila.
Mojca Prelesnik, informacijska pooblaščenka o posameznih primerih, ki smo jih zaznali ob novem šolskem in vrtčevskem letu:
- Starši na srednji šoli so morali vnovič podpisati soglasje, za e-naslove, ki so jih šoli že dali sami, da jim nanje lahko pošiljajo obvestila.
Glede privolitev velja določba iz 171. uvodne določbe Splošne uredbe o varstvu podatkov (GDPR), ki v primeru, da stare privolitve niso bile ustrezne glede na Splošno uredbo (npr. zato ker niso bili navedeni nameni uporabe podatkov, ker privolitev ni bila prostovoljna, ker ni bila dokazljiva ipd.), potem morajo upravljavci osebnih podatkov, med katere sodijo tudi šole, ponovno pridobiti veljavne privolitve. Ni nujno, da stare privolitve niso ustrezne, če pa ne ustrezajo zahtevam Splošne uredbe, jih morajo upravljavci ponovno pridobiti. Ponovna pridobitev privolitev sicer lahko predstavlja obremenitev za upravljavce, za posameznike pa je po drugi strani priložnost, da so bolje informirani o tem, komu in za katere namene dajejo svoje podatke in se tako lahko tudi odločajo o svojih podatkih. V praksi velikokrat zasledimo tudi, da upravljavci privolitve sploh ne potrebujejo, ker pravna podlaga za obdelavo osebnega podatka izhaja npr. iz zakona ali pogodbenega razmerja.
- Srednja šola je starše obvestila, da jih ne morejo več poklicati na roditeljske sestanke, če njihovi polnoletni otroci k temu ne podajo soglasja.
Ta zahteva srednje šole je neutemeljena. Šole lahko vabijo starše na roditeljske sestanke, je pa treba upoštevati voljo polnoletnih podatkov glede razkrivanja osebnih podatkov, če resorno ministrstvo ne bo pripravilo sprememb zakonodaje.
- Vrtec je umaknil list, ki je visel na vratih igralnice, na katerega so starši poimensko in datumsko napovedovali izostanek otrok.
Namen Splošne uredbe seveda ni v popolnosti omejiti ali prepovedati prav vsakršno uporabo osebnih podatkov. Če gre za večletne prakse, ki niso vodile v zlorabe osebnih podatkov, ki lahko temeljijo tudi na zakonitih interesih ali na podlagi opravljanja javne oblasti, potem ne moremo govoriti o kršitvi uredbe. Tudi če se starši strinjajo z določenim načinom obdelave osebnih podatkov njihovih otrok, je seveda njihova privolitev lahko tudi ustrezna pravna podlaga.Ključno je, da podatki niso na voljo javnosti, temveč je dostop do njih vendarle omejen.
- Univerza je sklenila, da lahko fotograf na delavnici, ki jo prirejajo in na katero so se študenti prijavili, udeležence lahko fotografira le v hrbet, saj bi sicer potrebovali soglasje vsakega od udeležencev.
Menimo, da bi univerza lahko pridobila ustrezno privolitev posameznikov - glede na to, da so se študenti na delavnico morali prijaviti, bi lahko ob prijavi pridobili njihovo ustrezno informirano privolitev, študenti, ki pa ne bi želeli biti prisotni na slikah, pa bi bili o fotografiranju tako obveščeni in bi se mu lahko izognili. Možno je tudi, da privolitev sploh ni potrebne, kolikor gre za dogodek javnega - odprtega značaja, kjer so posamezniki z javnostjo dogodka seznanjeni in zato lahko pričakujejo, da bodo posneti - seveda nimamo dovolj informacij, da bi presojali, ali gre za takšno delavnico, a ne glede na navedeno, bi lahko univerza zbrala ustrezne privolitve brez nesorazmernih naporov.
Nikoli nismo imeli v vrtcu poimenskih obesalnikov. gdpr gor ali dol. vrtci se morajo predvsem noramlizirati. anonimnost otrok je njihova …
Najbolje da vsi začnemo nosit burke, da sploh ne bomo vedeli kdo je do.... Aja, saj to se pospešeno načrtuje....
Čedalje bolj postajamo butalska država z butalskimi zakoni in ravno takimi prebivalci, ki pa ob vseh strahovih z veseljem na …