IP: Vpogled v vrednost glukoze učenca
Informacijski pooblaščenec je v mnenju poudaril, da mora šola za zakonit vpogled v podatke o vrednosti glukoze v krvi učenca v aplikaciji pridobiti privolitev staršev.
Mnenje je bilo objavljeno 26.6.2025
Vsak upravljavec (v konkretnem primeru je IP sklepal, da gre za osnovno šolo) mora imeti za obdelavo osebnih podatkov, kot so vpogled, zbiranje ali uporaba, zakonito in ustrezno pravno podlago. Po prvem odstavku 6. člena ZVOP-2 se lahko osebni podatki obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami iz prvega odstavka 6. in 9. člena Splošne uredbe (privolitev, pogodba, zakonska obveznost, zakoniti interesi itn.). Kadar gre za posebno vrsto osebnih podatkov, kot so podatki o zdravstvenem stanju posameznika (na primer vrednosti glukoze v krvi), pa veljajo še dodatne omejitve iz 9. člena Splošne uredbe, saj je njihova obdelava praviloma prepovedana, razen če je podana ena od izjem iz drugega odstavka tega člena.
Na področju šolstva pravne podlage za obdelavo osebnih podatkov učencev praviloma izhajajo iz področne zakonodaje. Zakon o osnovni šoli (Uradni list RS, št. 81/06 - v nadaljevanju ZOsn) v 95. členu določa zbirke podatkov, ki jih vodi osnovna šola. Zbirka podatkov iz prve alineje prvega odstavka tega člena vsebuje tudi podatke o zdravstvenih posebnostih učenca, če je njihovo poznavanje nujno za učenčevo varnost in za delo z njim (npr. alergije, kronične bolezni). To pomeni, da lahko osnovna šola na tej zakonski podlagi obdeluje določene osebne podatke posebne vrste, če je to objektivno utemeljeno glede na potrebe učenca. Kateri podatki sodijo v ta okvir, pa je vedno odvisno od okoliščin posameznega primera.
Skladno s 96. členom ZOsn se osebni podatki iz 95. člena tega zakona pridobivajo iz obstoječih zbirk pristojnih upravljavcev. Če se teh podatkov ne da pridobiti iz obstoječih zbirk, se podatki pridobijo neposredno od posameznika, na katerega se nanašajo, oziroma od staršev učenca. Upravljavec mora pri tem upoštevati vsa načela iz 5. člena Splošne uredbe, zlasti načelo omejitve namena in načelo najmanjšega obsega podatkov.
Osnovna šola lahko torej načeloma zakonito obdeluje podatke o bolezni učenca, kot je sladkorna bolezen, če je to nujno za njegovo varnost in delo z njim. To pa še ne pomeni, da je avtomatično dopustno zbiranje ali druga obdelava vseh podatkov, povezanih s to boleznijo. Ali podatki o nihanju ravni glukoze v krvi v konkretnem primeru sodi med zdravstvene posebnosti, ki jih mora šola poznati, IP v okviru mnenja ne more presojati. Vpogled v aplikacijo, v okviru katere se obdelujejo ti zdravstveni podatki, pa lahko presega ta namen in pomeni dodatno obdelavo, za katero je potrebna posebna pravna podlaga.
Iz opisa primera izhaja, da ima otrokova spremljevalka dostop do aplikacije za spremljanje vrednosti glukoze, ravnatelj pa naj bi vanjo vpogledal z namenom predstavitve širšega konteksta nihanj vrednosti. IP ocenjuje, da bi morala imeti šola za takšen vpogled v aplikacijo načeloma izrecno privolitev zakonitih zastopnikov otroka skladno s točko a) drugega odstavka 9. člena Splošne uredbe. Gre namreč za dostop do specifičnih podatkov o zdravstvenem stanju otroka (v tem primeru do podatkov o ravni glukoze, tudi izven časa pouka), ki lahko presegajo tisto, kar je nujno za izvajanje nalog šole. Čeprav ima šola zakonsko podlago za obdelavo določenih zdravstvenih podatkov, kadar je to potrebno zaradi otrokove varnosti in za delo z njim, pa za širši oziroma poglobljen vpogled, kot je dostop do aplikacije za sprotno spremljanje stanja, najverjetneje ne bo zadostovala zakonska podlaga iz 95. člena ZOsn, temveč bi bila praviloma potrebna dodatna, izrecna privolitev staršev. Takšna privolitev mora biti dana šoli kot upravljavcu osebnih podatkov, ne posameznim zaposlenim.
IP poudarja, da mora šola kot upravljavec zagotoviti, da so zbiranje in dostopi do osebnih podatkov utemeljeni, omejeni na pooblaščene osebe ter urejeni z notranjimi akti, ki jasno določajo, v katerih primerih, kdo in pod kakšnimi pogoji lahko obdeluje osebne podatke. Ti mehanizmi morajo učinkovito preprečevati nezakonito obdelavo osebnih podatkov, zlasti kadar gre za občutljive podatke o zdravju učenca.
Celotno mnenje je dostopno tukaj
Vir: IP RS
Naslovna slika: Shutterstock
