Številka: 07101-17/2023/14
Datum: 19. 10. 2023
Informacijski pooblaščenec (v nadaljevanju IP) po nadzorni osebi izdaja na podlagi 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07; v nadaljevanju ZInfP), 55., 57. in 77. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 34. člena v zvezi z 2. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2) v postopku prijave prijavitelja s posebnim položajem: ….., z dne 22. 8. 2023, v nadzornem postopku zaradi kršitve pravice dostopa do osebnih podatkov s strani upravljavca: …osnovna šola…., naslednjo
O D L O Č B O:
1. Ugotovi se, da je upravljavec, ….., v trenutku vložitve prijave prijavitelja ….. dne 22. 8. 2023 kršil 15. člen Splošne uredbe v zvezi s tretjim odstavkom 12. člena Splošne uredbe ter 12. in 14. členom ZVOP-2.
2. Upravljavcu ….. se ne odredijo ukrepi glede obdelave osebnih podatkov, ki se nanašajo na prijavitelja.
3. Prijavitelju ….. se v celoti dovoli pregled spisa zadeve, ki se vodi pod št. 07101-17/2023.
4. V tem postopku organu posebni stroški niso nastali, vsaka stranka pa krije svoje stroške postopka.
O b r a z l o ž i t e v:
Dosedanji potek postopka in relevantne navedbe
IP je 22. 8. 2023 prejel pritožbo/prijavo prijavitelja s posebnim položajem zaradi kršitve pravice dostopa do osebnih podatkov, ki se nanašajo na njegovo hči …... To prijavo je IP obravnaval v postopku, ki se vodi na zahtevo prijavitelja s posebnim položajem (30. člen ZVOP-2), s čimer se zagotavlja pravica do pritožbe po 77. členu Splošne uredbe. Iz prijave izhaja, da je vložena zaradi molka upravljavca, saj mu na zahtevo za dostop do osebnih podatkov in informacij o obdelavi z dne 13. 7. 2023 v predpisanem roku ni odgovoril. Prijavitelj je nato 24. 8. 2023 IP sporočil, da je z zamudo prejel odgovor upravljavca o obdelavi osebnih podatkov z dne 23. 8. 2023 in zapisnik, vendar je navedel, da po njegovem mnenju z osebnimi podatki učencev upravljavec ne ravna ustrezno. Na poziv IP je 30. 8. 2023 prijavo dopolnil in natančneje pojasnil, da upravljavec osebnih podatkov njegove hčere ni:
- odgovoril na njegovo zahtevo v delu: »...na kakšen način jih obdeluje in za kakšne namene jih je uporabljal oziroma jih uporablja.«
- posredoval izpisa osebnih podatkov, ki jih hrani, temveč jih je samo navedel v dopisu.
Upravljavec je po pozivu IP izdal odločbo št. ….. z dne 12. 9. 2023, s katero je delno ugodil prijaviteljevi zahtevi za dostop do osebnih podatkov, ki se nanašajo na njegovo hči.
Prijavitelj je 19. 9. 2023 sporočil IP, da pri uveljavljanju kršitve vztraja, saj naj bi poleg poslanih kopij evidenc upravljavec vodil še evidenco prisotnosti in zapise v dnevnik. Navedel je še, da iz e-maila ravnateljice izhaja, da obstaja zapisnik sestanka z dne 11. 11. 2022, da mu je upravljavec poslal le povzetek zapisnika z neresnično vsebino ter da je napačna tudi lista prisotnosti. Pojasnil je, da so se na sestanku pogovarjali o nasilju učenke ….. in še treh učenk, ki so združile in izvajale nasilje nad njegovo hčerjo ….., česar ni v poslanem zapisniku, zato je prosil za zapisnik. Dodal je, da upravljavec nima ustaljenih postopkov ravnanja z osebnimi podatki, zato je prosil, da IP opravi temeljit inšpekcijski nadzor.
Na poziv IP je upravljavec IP 4. 10. 2023 obvestil, da je prijavitelju poslal še zahtevane kopije iz evidenc prisotnosti in zapisov iz dnevnika, in sicer odsotnosti po mesecih in po predmetnih za vseh devet let šolanja ter kopijo dnevnika z opombami, iz katere je razvidno, da zapisov pod opombami ni. Prav tako je prijavitelju sporočil, da ne razpolaga z nobenimi drugimi zapisi v povezavi z njegovo hčerjo.
IP je 5. 10. 2023 prijavitelju in upravljavcu poslal zapis ugotovitev, v katerem je pojasnil, da je upravljavec naknadno odpravil kršitve in prijavitelju posredoval kopijo vseh osebnih podatkov njegove hčere, s katerimi razpolaga, ter izrecno potrdil, da drugih osebnih podatkov, ki bi se nanašali nanjo, ne obdeluje, zato upravljavcu najverjetneje ne bodo odrejeni nobeni ukrepi glede obdelave osebnih podatkov. Dodal je, da 15. člen Splošne uredbe ne omogoča, da bi lahko posameznik ali nadzorni organ od katerega koli upravljavca zahteval, da ustvari določen dokument z osebnimi podatki v točno določeni obliki, niti ni pristojen presojati ustreznosti vsebine samih dokumentov.
Kljub temu je prijavitelj prosil za nadaljevanje postopka in inšpekcijski nadzor. Navedel je, da mu je upravljalec poslal samo izpis ur, ne pa odločbe, v kateri bi sporočil, da z drugimi osebnimi podatki ne razpolaga, prav tako ni poslal zapisnika, niti ni napisal, da ga nima. Nadalje je navedel, da upravljavec ni podal informacije, koliko časa hrani podatke, kdo lahko do njih dostopa in za kakšne namene jih uporablja po končanem šolanju. Prosil je tudi za pravilnik o ravnanju z osebnimi podatki, ki mu ga upravljavec ga ni poslal niti z odločbo obrazloženo zavrnil njegove zahteve. Dodal je, da osnovno šolo obiskuje približno 1200 učencev ter da skupaj s preteklimi generacijami hranijo podatke za ogromno število mladoletnih oseb. Dejstvo, da dostopa in upravljanja z osebnimi podatki nimajo urejenega, bi moral biti zadosten razlog za podroben inšpekcijski nadzor.
Splošno o pravici dostopa posameznika, na katerega se nanašajo osebni podatki
Pravica posameznika do seznanitve z lastnimi osebnimi podatki je temeljna človekova pravica, določena v tretjem odstavku 38. člena Ustave, ki predpisuje, da se ima vsakdo pravico seznaniti z zbranimi osebnimi podatki, ki se nanašajo nanj. Ta pravica, poimenovana kot pravica dostopa posameznika, na katerega se nanašajo osebni podatki, je konkretizirana v 15. členu Splošne uredbe, ki določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in do njihove kopije ter nekatere informacije v zvezi z obdelavo in pravicami, ki jih nato našteva Splošna uredba. Postopkovna pravila so urejena v 11. in 12. členu te uredbe, nekatere postopkovne določbe pa vsebuje tudi ZVOP-2 v členih od 12 do 21. Predpisan rok za odgovor upravljavca je en mesec po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev, upravljavec pa je dolžan obvestiti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo (tretji odstavek 12. člena Splošne uredbe).
Obliko odločitve o zahtevi za dostop in njene sestavine za upravljavca, ki je osnovna šola, določa 14. člen ZVOP-2. Skladno s to določbo upravljavec, ki ni državni organ ali samoupravna lokalna skupnost, obravnava zahtevke posameznika iz 15. do 22. člena Splošne uredbe in druge zahtevke posameznika s področja varstva osebnih podatkov, dostopa do osebnih podatkov, njihovega pridobivanja in obdelave po tem ali drugem zakonu, posameznika seznani z odločitvijo in, če je to predmet zahteve, z osebnimi podatki, ki se nanašajo nanj, v roku, določenem s Splošno uredbo. Če posameznik to zahteva, ga lahko z osebnimi podatki seznani tudi ustno. Odločitev mora vsebovati razloge in informacijo o pravici do pritožbe pri nadzornem organu v roku 15 dni od seznanitve z odločitvijo po določbah točke f) prvega odstavka 15. člena Splošne uredbe. Odločitev ima lahko obliko uradnega zaznamka, ki se pošlje posamezniku na način, ki omogoča seznanitev z odločitvijo in dokazovanje njenega prejema.
Presoja prijaviteljevih navedb
IP ugotavlja, da upravljavec v trenutku vložitve prijave, tj. 22. 8. 2023, ni ustrezno odločil o prijaviteljevi zahtevi za dostop do osebnih podatkov in informacij o obdelavi z dne 13. 7. 2023, zaradi česar je kršil 15. člen Splošne uredbe v zvezi s tretjim odstavkom 12. člena Splošne uredbe ter 12. in 14. členom ZVOP-2. Upravljavec je prijavitelju 23. 8. 2023 sicer odgovoril in mu poslal zapisnik sestanka z dne 11. 11. 2022, vendar mu ni poslal tudi drugih zahtevanih osebnih podatkov ter informacij o obdelavi. Po pozivu IP je upravljavec prijavitelju izdal odločbo št. ….. z dne 12. 9. 2023, s katero je delno ugodil njegovi zahtevi za dostop ter posredoval kopije osebnih podatkov (kopije iz matične knjige, kopije 6 matičnih listov, kopijo iz osebne mape za nadarjene učence) ter informacije v zvezi z obdelavo (osebne podatke obdeluje na podlagi Zakona o osnovni šoli (Uradni list RS, št. 81/06 – uradno prečiščeno besedilo, 102/07, 107/10, 87/11, 40/12 – ZUJF, 63/13, 46/16 – ZOFVI-K in 76/23; v nadaljevanju ZOsn) za namene osnovnošolskega izobraževanja; namen je opredeljen v 97. členu tega zakona) in pravici do pritožbe. Pojasnil je, da mu je zapis/zapisnik/zaznamek sestanka z dne 11. 11. 2022 posredoval že s prejšnjim odgovorom. Zahtevo pa je zavrnil v delu, ki se nanaša na informacijo o načinu obdelave, saj Splošna uredba te informacije ne določa. Naknadno je upravljavec prijavitelju poslal še kopije iz evidenc prisotnosti in zapisov iz dnevnika ter mu sporočil, da ne razpolaga z nobenimi drugimi zapisi v povezavi z njegovo hčerjo. IP ugotavlja, da je s tem upravljavec v celoti izpolnil obveznosti, ki se nanašajo na prijaviteljevo zahtevo za dostop do osebnih podatkov z dne 13. 7. 2023.
Glede prijaviteljevih navedb, na podlagi katerih vztraja pri uveljavljanju kršitve pravice do dostopa, IP pojasnjuje naslednje. Upravljavec je v odgovoru z dne 4. 10. 2023 izrecno navedel, da z drugimi osebnimi podatki, ki se nanašajo na prijaviteljevo hči, kot tistimi, ki jih je prijavitelju že posredoval, ne razpolaga. Na tak način je po izdaji odločbe posameznika dodatno seznanil in potrdil, da drugih zahtevanih osebnih podatkov ne obdeluje. Skladno s 14. členom ZVOP-2 mu o tem ni bilo potrebno izdati odločbe, pri čemer vztraja prijavitelj. Zato so njegove navedbe v tem delu neutemeljene.
Prav tako niso utemeljene prijaviteljeve navedbe, da mu upravitelj ni poslal zapisnika niti ni napisal, da ga nima. To je namreč upravljavec storil že z odgovorom z dne 23. 8. 2023, prav tako pa je prijavitelju izrecno pojasnil, da drugega zapisnika nima. Kot je IP že izpostavil, je obstoj osebnih podatkov predpogoj za dostop do njih, 15. člen Splošne uredbe pa ne omogoča, da bi lahko posameznik ali nadzorni organ od katerega koli upravljavca zahteval, da ustvari določen dokument z osebnimi podatki v točno določeni obliki (npr. zapisnik določenega sestanka).
Zmotne so tudi navedbe prijavitelja, da mu upravljavec ni podal informacij o tem, kdo lahko do njih dostopa in za kakšne namene jih uporablja po končanem šolanju, saj je to storil v obrazložitvi odločbe št. …... Kot je navedel upravljavec in kot izhaja iz 97. člena ZOsn, se osebni podatki učencev iz zbirk podatkov iz 95. člena tega zakona zbirajo, obdelujejo, shranjujejo in uporabljajo za potrebe obveznega izobraževanja in posredujejo ministrstvu, pristojnemu za šolstvo, za izvajanje z zakonom določenih nalog ter Državnemu izpitnemu centru za izvajanje nacionalnega preverjanja znanja. Za potrebe znanstveno-raziskovalnega dela in pri izdelavi statističnih analiz se smejo osebni podatki uporabljati in objavljati tako, da identiteta učenca ni razvidna. Glede očitka o opustitvi posredovanja informacije o roku hrambe pa IP dodaja, da prijavitelj tega sploh ni zahteval.
Drugačne odločitve prijavitelj ne more doseči niti s trditvijo, da je prosil za pravilnik o ravnanju z osebnimi podatki, ki mu ga upravljavec ni poslal niti v tem delu z odločbo zavrnil njegove zahteve. Posredovanje takšnega dokumenta namreč ne sodi v okvir zahteve za osebne podatke, temveč bi lahko to kršitev uveljavljal kvečjemu s pritožbo zaradi kršitve dostopa do informacij javnega značaja. Ob tem pa IP izpostavlja, da takšna zahteva v elektronskem sporočilu prijavitelja z dne 13. 7. 2023 ni vsebovana.
Ker je upravljavec torej po pozivih IP kršitev pravice dostopa do osebnih podatkov naknadno odpravil in prijavitelju posredoval vse zahtevane osebne podatke in informacije o obdelavi, IP upravljavcu posebnih ukrepov v zvezi z obdelavo osebnih podatkov prijavitelja ni odredil.
V zvezi s pobudo za uvedbo inšpekcijskega postopka pa IP dodaja, da na podlagi prijaviteljevih navedb ne bo uvedel postopka inšpekcijskega nadzora po uradni dolžnosti na podlagi Zakona o inšpekcijskem nadzoru. Tak postopek je namreč namenjen odpravi sistemskih kršitev varstva osebnih podatkov, ko je za porabo javnih sredstev za izvedbo tega postopka podan tudi javni interes, česar pa prijavitelj ni izkazal. Zgolj pavšalne navedbe o tem, da upravljavec hrani ogromno število osebnih podatkov ter da nima urejenega dostopa in upravljanja z osebnimi podatki, namreč ne zadostujejo za uvedbo tovrstnega postopka.
Dovoljen obseg pregleda spisa
V 3. točki prvega odstavka 34. člena ZVOP-2 je določeno, da odločba v postopku nadzora po določbah tega oddelka poleg sestavin, ki jih določa zakon, ki ureja splošni upravni postopek, vsebuje tudi dovoljen obseg pregleda spisa zadeve za prijavitelja s posebnim položajem. IP je glede tega odločil, da se prijavitelju v celoti dovoli pregled spisa zadeve, ki se vodi pod št. 07101-17/2023.
Stroški
Po prvem odstavku 118. člena ZUP organ v odločbi odloči o stroških postopka, kdo trpi stroške postopka, koliko znašajo ter komu in v katerem roku jih je treba plačati. Organu posebni stroški v tem nadzornem postopku niso nastali. Prijavitelj in upravljavec sama nosita svoje stroške.
Ta odločba je v skladu z določbami Zakona o upravnih taksah (Uradni list RS, št. 106/10 – uradno prečiščeno besedilo, s spremembami in dopolnitvami) oproščena plačila upravne takse.
Pouk o pravnem sredstvu:
Zoper to odločbo ni dovoljena pritožba, pač pa je dopustno sprožiti upravni spor. Upravni spor se sproži z vložitvijo tožbe pri Upravnem sodišču, Fajfarjeva 33, 1000 Ljubljana. Tožbo je treba vložiti v tridesetih dneh od vročitve te odločbe, pisno neposredno pri navedenem sodišču ali priporočeno po pošti ali ustno na zapisnik. Če je tožba poslana priporočeno po pošti, se šteje, da je prispela pravočasno, če je bila oddana na pošto zadnji dan roka za vložitev tožbe. Tožbi je treba poleg izvirnika, prepisa ali kopije te odločbe priložiti tudi po en prepis ali kopijo tožbe in prilog za toženca, če je kdo prizadet z odločbo, pa tudi zanj.
….,
državna nadzornica za varstvo osebnih podatkov
Vročiti:
- ….. (osebno po ZUP),
- ….. (osebno po ZUP).
