Celostne pravne reštive in strateško poslovno svetovanje.

Smernice IP za skladno uporabo informacijskih rešitev v šolstvu (deloma uporabno tudi za vrtce)

Smernice so namenjene zagotavljanju skladnosti na področju varstva osebnih podatkov pri uporabi IT rešitev v šolstvu. Njihova uporaba se je povečala zlasti v času Covid-19 krize, ko se je z uporabo komunikacijske informacijske tehnologije uvedel pouk na daljavo, organiziralo delovni proces in delo učiteljev in omogočilo komunikacijo učitelj-učenec-starš.

Klasične učilnice so zamenjale videokonference. Če se je za ta namen uporabljalo spletne storitve, kot npr. Zoom, Google, Microsoft, je lahko prišlo tudi do prenosa osebnih podatkov v tretje države (gre za ponudnike, ki imajo svoje strežnike pogosto v ZDA – državi, ki sodi med tretje države). V praksi se je zaradi potrebe po izkazovanju opravljenih šolskih obveznosti, zahtevalo posredovanje fotografij ali posnetkov opravljenih dejavnosti ali izdelkov. Postavilo se je tudi vprašanje digitalne identitete prek uporabe elektronskih naslovov oziroma ustvarjanja uporabniških profilov in elektronskih naslovov za učitelje in učence, ki bi omogočili elektronsko komunikacijo. Vse več se uporabljajo tudi druge IT rešitve, ki omogočajo preverjanje znanja, hrambo izdelkov ali dokumentov (v Google Drive-u itd.), komunikacijo in podobno (npr. Arnes učilnica). Vsi takšni procesi, pri katerih pride do obdelave osebnih podatkov z uporabo IT rešitev, so predmet obravnave obravnavanih smernic.

Namen smernic je tako zagotoviti orodje, s pomočjo katerega bodo lahko vzgojno izobraževalni zavodi preverili ali je izbrana IT rešitev v skladu s pravili varstva osebnih podatkov. Smernice so primerne za šole in v delu, ki se nanaša na organizacijo delovnega procesa, tudi za vrtce.

Kdaj se uporabljajo te smernice o varstvu osebnih podatkov

Te smernice se uporabljajo, ko se:

  • osebni podatki obdelujejo z avtomatiziranimi sredstvi, kot je na primer prenos podatkov po elektronskih omrežjih;
  • podatke obdeluje v elektronsko podprti zbirki osebnih podatkov, kot sta na eAsistent ali Lo.Polis;
  • uporablja IT rešiteve, ki prenašajo sliko posameznika, shranjujejo in predvajajo posnetke, prikazujejo profil posameznika, omogočajo ocenjevanje, oblačno hrambo podatkov, merijo telesne aktivnosti itd. To so primeri, ko bodisi nastaja zbirka osebnih podatkov, kot je to na primer zbirka posnetkov učencev, bodisi se osebni podatki obdelujejo z avtomatiziranimi sredstvi kot je to v primeru videokonference v živo.

Ko se prek IT rešitve obdelujejo osebni podatki učencev in učiteljev, kot upravljavec osebnih podatkov nastopa šola. Ta je v odnosu do učencev izobraževalna institucija, v odnosu do zaposlenih pa delodajalec. Ker je upravljavec osebnih podatkov šola, se šteje, da učitelji delujejo v imenu šole in po navodilih svojih nadrejenih. Slednje velja praviloma tudi v primeru, ko učitelj brez navodil nadrejenega namesti, uporablja in zahteva od učencev uporabo določene IT rešitve pri izvajanju pouka.

Pri uporabi IT rešitve, ki omogoča elektronsko komunikacijo (npr. videokonferenca), pride do posredovanja osebnih podatkov preko strežnika, ki ga običajno zagotavlja ponudnik te storitve (npr. Arnes). Ker mora ponudnik za zagotavljanje svoje storitve shraniti in posredovati naprej podatke od sporočevalca do naslovnika, pri tem nujno pride do obdelave osebnih podatkov, ki jo izvede ponudnik. Pravila varstva osebnih podatkov pa zahtevajo, da se obdelava izvaja pod vodstvom in po dokumentiranih navodilih upravljavca ter da ima upravljavec nadzor tudi nad tem, kdo in pod kakšnimi pogoji podatke v njegovem imenu obdela. Zato mora upravljavec s ponudnikom, ki zanj obdeluje osebne podatke, skleniti pisno pogodbo o obdelavi podatkov, v kateri se zapiše pogoje obdelave (npr. kakšno varnost bo ponudnik zagotavljal, kje bo podatke hranil ipd.). Ponudnik namreč v tem primeru nastopa v vlogi obdelovalca osebnih podatkov, ki sme delovati samo v imenu upravljavca in le po njegovih navodilih, ki so zapisana v obvezni pisni pogodbi o obdelavi osebnih podatkov. Dejansko pa je pogosto tako, da imajo upravljavci lahko majhen vpliv na to, pod kakšnimi pogoji bo svetovni tehnološki velikan (npr. Zoom, Microsoft, Google) ponudil svojo storitev, da pri tem ne bo prišlo do prenosa osebnih podatkov v tretje države (svetovni tehnološki velikani so načeloma ponudniki, ki imajo svoje strežnike pogosto v ZDA – državi, ki sodi med tretje države), in da bo ponujena rešitev skladna z evropsko in slovensko zakonodajo.

Kljub temu pa je za izbiro ponudnika odgovoren upravljavec. Če šola ali vrtec uporablja spletne storitve svetovnih tehnoloških podjetij, se mora zavedati, da s tem nase prevzema tveganja za neskladne pogodbe, neskladne pogoje za prenose v tretje države ipd.

Temeljni pojmi

Obdelava – pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov, ki so del zbirke ali namenjeni vključitvi vanjo, z avtomatiziranimi sredstvi ali brez njih.

Osebni podatek – pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Podatki, ki so psevdonimizirani so še vedno osebni, medtem ko anonimizirani to niso.

Posebne kategorije podatkov – pomeni osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

Upravljavec – pomeni fizično ali pravno osebo, ki določa namene in sredstva obdelave.

Obdelovalec – pomeni fizično ali pravno osebo, ki obdeluje osebne podatke v imenu upravljavca.

Osnovna načela

Na področju obdelave osebnih podatkov je prepovedano vse, razen kar je z (GDPR ali) zakonom izrecno dovoljeno, obdelava pa mora potekati v skladu z naslednjimi načeli:

  • Načelo omejitve namena: namen obdelave mora biti določen, izrecen in zakonit. Pri vsaki obdelavi osebnih podatkov je naprej potrebno opredeliti namen: kaj se želi s konkretno obdelavo doseči.
  • Načelo najmanjšega obsega podatkov: osebni podatki morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo, če njihov obseg ni predpisan z zakonom.
  • Načelo točnosti: osebni podatki morajo biti točni in, kadar je to potrebno, posodobljeni. Sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo.
  • Načelo omejitve shranjevanja: osebni podatki morajo biti hranjeni v obliki, ki omogoča identifikacijo le toliko časa, kolikor je potrebno za dosego namena, nato se izbrišejo. Izjeme so dovoljene le na področju arhiviranja v javnem interesu, znanstveno- ali zgodovinsko- raziskovalne ali statistične namene.
  • Načelo celovitosti in zaupnosti: osebni podatki se morajo obdelovati na način, ki zagotavlja ustrezno varnost osebnih podatkov z ustreznimi tehničnimi ali organizacijskimi ukrepi. In sicer, ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja, narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotovita ustrezno raven varnosti.
  • Načelo zakonitosti: obdelava osebnih podatkov mora imeti eno izmed veljavnih pravnih podlag:
  • Privolitev posameznika (izrecna, prostovoljna, nepogojena, nedvoumna izjava dana na jasnem, preprostem, razumljivem in dostopnem obrazcu, dokazljiva, možnost kadarkoli preklicati, od 15/16 let jo lahko otrok načeloma da sam). Privolitev na področju VIZ pride v poštev predvsem, ko ne gre za obdelavo podatkov, ki je predpisana z zakonom. Ko torej ne gre za obvezni program izobraževanja, kot je to na primer javna objava slik, izdelkov ali dosežkov otrok, nameščanje raznovrstnih aplikacij ipd.
  • Izvedba pogodbe ali aktivnosti za sklenitev pogodbe, kot je to na primer za sklenitev in izvajanje pogodbe o zaposlitvi.
  • Izvajanje zakonske obveznosti, kot je to na primer obdelava podatkov, ki jo določa in ureja Zakon o osnovni šoli, Zakon o organiziranju in financiranju vzgoje in izobraževanja, Zakon o javnih uslužbencih ipd.
  • Zaradi zaščite življenjskih interesov.
  • Zaradi izvajanja javne oblasti ali naloge v javnem interesu (v javnem sektorju), ko šola kot izvajalec javne službe, in zato v določenem delu tudi izvajalec javnih pooblastil, obdeluje podatke za namene izvajanja svojih zakonskih pristojnosti; za potrebne obveznega izobraževanja. V teh primerih ima načeloma posameznik možnost obdelavi podatkov tudi ugovarjati.
  • Zaradi zakonitih interesov družbe (v zasebnem sektorju).

Še nekoliko bolj strožji režim pa velja glede pravne podlage za obdelavo posebnih vrst osebnih podatkov, katerih obdelava je le izjemoma dopustna če:

  • posameznik sam objavi podatke;
  • za izvajanje pravnih zahtevkov ali pristojnost sodišč;
  • za zakonite dejavnosti ustanov za svoje člane;
  • zaradi bistvenega javnega interesa;
  • zaradi javnega interesa, na področju zdravja in je zagotovljeno varovanje poklicne skrivnosti;
  • za arhiviranje in znanstveno ali zgodovinsko-raziskovalne ali statistične namene.
  • Načelo odgovornosti: upravljavec je odgovoren za skladnost obdelave osebnih podatkov z zakonodajo in je to skladnost tudi zmožen dokazati.

Za zakonitost obdelave osebnih podatkov so tako v prvi vrsti odgovorni prav vzgojno izobraževalni zavodi, saj morajo kot upravljavci osebnih podatkov preveriti, ali se zadevna IT rešitev (aplikacija, program, itd.) sme uporabljati, in za kateri namen. Upravljavec mora torej zagotoviti, da je obdelava osebnih podatkov, ki jo izvaja z uporabo določene IT rešitve poštena, pregledna in tudi varna, in do izbire teh IT rešitev pristopiti poenoteno. Zaposleni naj ne uporabljajo IT rešitev po lastni presoji in brez vnaprejšnjega preudarka o informacijski varnosti.

Obdelovalec je odgovoren le, če deluje izven dokumentiranih navodil upravljavca. Zato je zelo pomembno, kaj določa pogodba o obdelavi osebnih podatkov. Ni pa odgovoren razvijalec programske opreme ali druge tehnične rešitve za skladno obdelavo osebnih podatkov z uporabo »njegove« IT rešitve.

Glede ustreznosti in varne uporabe posamezne IT rešitve naj bi se zato upravljavec posvetoval tudi s svojimi pooblaščenimi osebami za varstvo osebnih podatkov in strokovnjaki na področju informacijskih tehnologij, in nato oblikoval ustrezna navodila:

  • katere IT rešitve naj se uporabljajo za posamezen namen uporabe;
  • kako morajo uporabniki (učitelji, učenci) prilagoditi pogoje uporabe (npr. nastavitve zasebnosti, nastavitve šifriranja med prenosom, itd.) posamezne IT rešitve, da bo zagotovljena zahtevana raven varnosti osebnih podatkov.

To pomeni da mora upravljavec upravljati oziroma imeti nadzor nad vsemi sredstvi, s katerimi obdeluje osebne podatke (spletni obrazci, računalniški programi, organizacijski postopki, itd.) v vseh fazah obdelave osebnih podatkov. Tudi ko obdelavo izvaja pogodbeni obdelovalec.

Ko upravljavec obdelavo izvaja sam, mora sprejeti ustrezna interna pravila in preverjati ali se ta pravila spoštujejo. Ko upravljavec obdelavo zaupa pogodbenemu obdelovalcu, je upravljavec odgovoren za izbiro ustreznega obdelovalca, za sklenitev ustrezne pogodbe o obdelavi osebnih podatkov in za nadzor nad izvajanjem te pogodbe. Vse navedeno mora upravljavec izvajati tako, da sledi temeljnim načelom varstva osebnih podatkov.

Pogodbena obdelava

Pogodbena obdelava osebnih podatkov pomeni, da upravljavec (šola ali vrtec) za določeno dejanje obdelave osebnih podatkov »najame« zunanjega izvajalca. Obdelovalec deluje po navodilih upravljavca in v njegovem imenu obdela osebne podatke. Primer je oblačna hramba osebnih podatkov pri izbranem ponudniku (npr. Arnes, Logitus, SAOP). Šola je upravljavec osebnih podatkov, ponudnik storitve oblačne hrambe pa obdelovalec osebnih podatkov.

Med upravljavcem in obdelovalcem mora biti sklenjena pisna pogodba o obdelavi osebnih podatkov, ki mora obvezno vsebovati vse elemente, ki jih predpisuje GDPR, in zagotoviti zadostna jamstva za izvedbo zaščitnih ukrepov. Pisna pogodba mora biti sklenjena tudi v primeru, ko je IT rešitev, ki jo uporablja upravljavec, brezplačna (npr. Google drive).

Obdelovalec lahko osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca. To za upravljavca pomeni, da mora v pogodbi natančno opredeliti, kako naj obdelovalec obdeluje osebne podatke, na primer tako, da opredeli dovoljeno in nedovoljeno ravnanje z osebnimi podatki, natančnejše postopke, način zavarovanja osebnih podatkov ipd.

Če upravljavec dovoli, lahko obdelovalec za obdelavo osebnih podatkov najame »pod-obdelovalca«, ki je v neposrednem pogodbenem razmerju z obdelovalcem. Dovoljenje je lahko splošno (za kateregakoli pod-obdelovalca) ali posebno (le za določene pod-obdelovalce ali le za določene dejavnosti obdelave). Upravljavec pa je v vsakem primeru dolžan izkazati, da je obdelovalcu podal dovoljenje za najem pod-obdelovalca (običajno je takšno dovoljenje priloga pogodbi o obdelavi). Če je dovoljenje splošno, mora biti upravljavec obveščen o vseh nameravanih spremembah pod-obdelovalcev in hkrati mora imeti možnost nasprotovati izbiri.

Prenos podatkov v tretje države ali mednarodne organizacije

O prenosu osebnih podatkov v tretje države ali mednarodne organizacije govorimo takrat, ko:

  • upravljavec ali obdelovalec iz Slovenije ali druge države članice Evropske unije osebne podatke posreduje v države izven Evropskega gospodarskega prostora (EGP; sem sodijo poleg držav EU tudi Islandija, Norveška in Lihtenštajn) ali mednarodni organizaciji;
  • je dostop do osebnih podatkov omogočen organizacijam, podjetjem, posameznikom ali drugim subjektom iz tretjih držav izven EGP, pa čeprav so podatki hranjeni znotraj EGP.

Namen določb o prenosu podatkov v tretje države in mednarodne organizacije je zagotavljanje enake ravni varstva osebnih podatkov za podatke, ki se obdelujejo znotraj Evropske unije, in tiste, ki so posredovani v tretje države, ter tudi tiste, ki so nadalje posredovani iz tretje države ali mednarodne organizacije v druge tretje države in v druge mednarodne organizacije. Zato mora za zakonito obdelavo osebnih podatkov, ki se prenašajo v tretjo državo obstajati ustrezna pravna podlaga, zagotovljena pa mora biti ustrezna raven varstva podatkov.

Ker so pogoji za zakonit prenos pravno in tehnološko zahtevni, bo v praksi nujno, da se glede uporabe posameznih IT rešitev, pristopi enotno, ob ustrezni strokovni podpori tako pooblaščene osebe za varstvo podatkov oziroma pravne kot tudi informacijsko-tehnološke stroke. V vsakem primeru je odsvetovano »samostojno« ravnanje učiteljev pri izbiri IT rešitev, saj so tveganja za nezakonito obdelavo osebnih podatkov v teh primerih visoka, za skladno obdelavo pa je odgovoren upravljavec osebnih podatkov – šola.

Informiranje posameznikov

Potrebno je poudariti, da mora upravljavec zagotoviti tudi, da se tudi pri uporabi aplikacij in IT rešitev posameznikom posreduje ustrezne informacije v enostavno dostopni in razumljivi obliki ob upoštevanju posebnih okoliščin tipičnega posameznika, ki so mu informacije namenjene, ne glede na to v kašnem razmerju nastopa do upravljavca (zaposleni, otroci ali njihovi starši, ko so otroci mlajši od 15 let).

Posameznik se mora namreč zavedati obdelave njegovih osebnih podatkov, da lahko svojo pravico do varstva osebnih podatkov uresničuje. Zato GDPR upravljalcem nalaga obveznost, da se posamezniku zagotovi osnovne informacije v zvezi z obdelavo podatkov:

  • kdo je upravljavec (naziv, sedež, kontaktni podatki):
  • zakaj se bo osebne podatke obdelovalo (namen in pravna podlaga);
  • komu se bo podatke posredovalo (morebitnim obdelovalcem, drugi upravljalcem ali uporabnikom in če bo podatke posredovalo v tretje države);
  • koliko časa se bo podatke hranilo;
  • katere pravice ima posameznik (pravica do seznanitve z lastnimi osebnimi podatki, do popravka, do izbrisa, do prenosljivosti, do omejitve obdelave, do ugovora);
  • ali se namerava zbrane podatke uporabiti še za drug namen, kot za osnovnega.

Ko se osebne podatke zbira neposredno od posameznika, je informacije treba podati najkasneje ob zbiranju. Če pa upravljavec pridobi podatke iz drugih virov, torej ne neposredno od posameznika, pa na splošno velja, da mora upravljavec informacije posredovati v razumnem roku po prejemu osebnih podatkov, vendar najpozneje v enem mesecu. Splošni enomesečni rok se skrajša, če se osebni podatki uporabijo za komuniciranje s posameznikom, na katerega se nanašajo osebni podatki. V tem primeru je treba informacije zagotoviti najpozneje ob prvem komuniciranju s posameznikom, ne pa kasneje.

Izjema od obveznosti informiranja je po GDPR dovoljena le v primeru, ko se osebne podatke zbira neposredno od posameznika, na katerega se osebni podatki nanašajo, in ta posameznik te informacije že ima. Zgolj dejstvo, da je obdelava predpisana z zakonom še ne pomeni, da posameznik že ima informacije o obdelavi osebnih podatkov in ga zato ne bi bilo treba obveščati. Tudi, ko se podatke zbira na podlagi zakona, mora upravljavec informacije posredovati, razen kadar zakon izrecno določa, da informiranje ni potrebno.

Evidence dejavnosti obdelave

Gre za sistematičen popis zbirk osebnih podatkov in postopkov, po katerih se obdeluje osebne podatke. Evidenca dejavnosti mora vsebovati vse z GDPR predpisane informacije o obdelavi podatkov, saj so kazalo za pregled po obdelavah osebnih podatkov, ki jih izvaja zavod. Na zahtevo nadzornega organa za varstvo osebnih podatkov morajo biti evidence dejavnosti v celoti na voljo. Zato so tudi pogosto v središču inšpekcijskih pregledov, saj služijo za izhodišče pri nadaljnji presoji skladnosti obdelave osebnih podatkov.

Z evidentiranjem dejavnosti obdelav osebnih podatkov se omogoča pregled nad zbirkami osebnih podatkov in obdelavami, ki jih šola izvaja z avtomatiziranimi sredstvi. Evidentiranje je način izkazovanja skladnosti, hkrati pa pomaga zavodu, da bolje pozna svoje procese in zato tudi lažje odreagira na zahteve posameznikov in nadzornega organa, ko pride do vprašanj varstva osebnih podatkov.

Obveznost ustvarjanja evidenc o dejavnostih obdelave ni naložena le upravljavcu in njegovemu predstavniku, temveč tudi neposredno obdelovalcu.

Ocena učinkov na varstvo osebnih podatkov

Ocena učinkov je orodje za pravočasno analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki. Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, morajo upravljavci pred obdelavo, izvesti oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov.

Obdelava osebnih podatkov otrok in zaposlenih šteje za obdelavo z višjim tveganjem, zlasti zaradi nesorazmerja moči med upravljavcem in posameznikom. Posebno tveganje predstavlja tudi uporaba novih tehnologij, kot tudi možnost prenosa osebnih podatkov v tretje države. Vse navedeno je treba upoštevati pri oceni, ali je za konkretno predvideno obdelavo obvezno izvesti oceno učinkov.

Ko je na primer v šolstvu vpeljava IT rešitev namenjena za podporo vodenju zakonskih zbirk, kjer se praviloma obdelujejo tudi posebne vrste osebni podatki (gibalne sposobnostih in morfološke značilnostih učencev, podatki za pomoč oziroma svetovanje) in glede na velik obseg obdelovanih osebnih podatkov ranljive skupine otrok – takšna obdelava osebnih podatkov predstavlja veliko tveganje, za pravice in svoboščine posameznikov in je zato predhodna ocena učinkov obvezna.

Ali bi bilo treba za posamezne obdelave osebnih podatkov v šolstvu predhodno izvesti oceno učinkov na varstvo osebnih podatkov pa je treba ugotavljati v konkretnem primeru, ob ustrezni strokovni podpori pooblaščene osebe za varstvo osebnih podatkov oziroma tako pravne kot tudi informacijsko-tehnološke stroke. Verjetnost je, da bo glede na vrsto visoko tveganih dejavnikov pri obdelavi osebnih podatkov v šolstvu (velik obseg podatkov, osebni podatki otrok, zaposlenih, posebne vrste osebnih podatkov) izvedba predhodne ocene učinkov pogosto obvezna.

Kršitev varnosti osebnih podatkov

Kršitev varnosti osebnih podatkov pomeni kršitev, ki vodi do nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja oziroma dostopa do osebnih podatkov. Kršitev je lahko storjena nehote, vključno iz malomarnosti, ali pa je načrtovana oziroma naklepna.

Ob nastanku kršitve varnosti osebnih podatkov je potrebno ukrepati takoj, najbolje se ob ustrezni strokovni podpori pooblaščene osebe za varstvo osebnih podatkov.

Vloga pooblaščene osebe za varstvo osebnih podatkov

Pooblaščena oseba za varstvo podatkov, ki deluje pri upravljavcu (ali za upravljavca) izvaja svetovalne in nadzorne naloge na področju varstva osebnih podatkov, vzgojno izobraževalni zavodi pa po GDPR sodijo med tiste pravne osebe, ki so jo dolžne imenovati.

Pooblaščena oseba za varstvo podatkov ima več nalog, in sicer:

  • obveščanje ter svetovanje o GDPR, določbami prava Unije ali prava države članice o varstvu podatkov;
  • spremljanje skladnosti z GDPR, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;
  • svetovanje, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja;
  • sodelovanje z nadzornim organom;
  • delovanje kot kontaktna točka za nadzorni organ, ipd.

Prav institut pooblaščene osebe za varstvo osebnih podatkov je namenjen temu, da se zagotovi nujno potrebna podpora vzgojno izobraževalnim zavodom za izpolnjevanje obveznosti zakonodaje.

Skladnost uporabe IT rešitve s predpisi

Koraki za splošno presojanje skladnosti uporabe IT rešitve s predpisi za varstvo osebnih podatkov:

  • Ali gre za osebne podatke?
  • Ali je podana zveza z zbirko osebnih podatkov?
  • Ali obstaja pravna podlaga za obdelavo osebnih podatkov (načelo zakonitosti)?
  • Ali so osebni podatki in njihova obdelava v skladu z načelom omejitve namena, točnosti in načelom omejitve shranjevanja?
  • Ali je zagotovljena varnost z ustreznimi tehničnimi ali organizacijskimi ukrepi (načelo celovitosti in zaupnosti)?
  • Ali imate popisane evidence dejavnosti obdelav?
  • Ali imate imenovano pooblaščeno osebno za varstvo osebnih podatkov?
  • Ali imate urejene postopke za uveljavljanje pravic posameznika?
  • Ali imate pregledne in enostavno dostopne informacije o obdelavi osebnih podatkov?
  • Ali mate urejena pogodbena razmerja med obdelovalci in upravljalci?
  • Ali imate urejen postopek poročanja v primeru varnostnih incidentov?
  • Ali imate področje varstva osebnih podatkov urejeno tudi z internimi akti?
  • Ali boste morali izvajati oceno učinkov v zvezi z varstvom osebnih podatkov?

Bolj podroben kontrolni seznami za skladnost, vključno s primeri, pa je del obravnavalih smernic, ki so, skupaj s preostalimi informacijami, dosegljive in jih lahko preberete na tej povezavi.

Ravno zato, ker je prva skrb vsake šole učinkovito izvajanje izobraževanja, je namen smernic šolam omogočiti uporabo učinkovitih in varnih IT rešitev, ki zagotavljajo tudi skladnost s pravili varstva osebnih podatkov, po pomoč za njihovo uporabo pa se lahko obrnete tudi na vašo pooblaščeno osebo za varstvo osebnih podatkov. V vseh primerih jenamreč upravljavec odgovoren, da zagotovi pogoje za skladno obdelavo osebnih podatkov, ki jih pridobiva od samih posameznikov ali iz drugih virov, vključno:

  • s pravno podlago za določen in izrecno opredeljen namen;
  • z varno obdelavo;
  • z informiranjem posameznikov in uresničevanjem njihovih pravic;
  • s pogoji za pogodbeno obdelavo;
  • s pogoji za prenose v tretje države (če pri obdelavi pride do tega);
  • z evidentiranjem dejavnosti obdelave;
  • z izvedbo ocene učinkov na varstvo osebnih podatkov;
  • z obveščanjem o kršitvah varnosti, če pride do varnostnega incidenta.