Agencija za zaštitu osobnih podataka
Prikupljanje osobnih podataka učenika od strane škola u vrijeme epidemije COVID-19

11.11.2020.

Agencija za zaštitu osobnih podataka zaprimila je brojne upite roditelja vezano uz prikupljanje osobnih podataka učenika od strane škola zbog epidemije COVID-19, odnosno je li prikupljanje i obrada osobnih podataka zakonski utemeljena. Roditelje se traži da dostave osobne podatke djeteta (ime i prezime, OIB, adresu te podatke o obiteljskom liječniku/pedijatru), kao i ime i prezime oba roditelja/zakonskih zastupnika te njihove email adrese i telefonski kontakti. Slijedom zaprimljenih upita Agencija je zatražila očitovanje škola i nadležnih institucija te na temelju prikupljenih informacija s aspekta propisa o zaštiti osobnih podataka iznosimo sljedeće:

Sukladno članku 6. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (dalje u tekstu: Opća uredba o zaštiti podataka) SLEU119 obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade ili izvršavanje zadaće od javnog interesa/službene ovlasti voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade ili, u pogledu obrade iz stavka 1. točke e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade.

Vezano za obradu osobnih podataka koju u konkretnom slučaju provodi škola, u primjeni je Zakon o odgoju i obrazovanju u osnovnoj i srednjoj školi („Narodne novine“, broj:  87/08 do 64/20). Člankom 67. stavkom 1. točkom 5.  navedenog Zakona propisano je da je školska ustanova dužna brinuti se o zdravstvenom stanju učenika i o tome obavještavati liječnike primarne zdravstvene zaštite i roditelje.

Također, u konkretnom slučaju u primjeni je i Zakon o zaštiti pučanstva od zaraznih bolesti („Narodne  novine“, broj: 79/07 do 47/20) kojim je propisano da je člankom 4. stavkom 1. Zakona propisano da su Republika Hrvatska, županije, odnosno Grad Zagreb, općine i gradovi obvezni osigurati provođenje mjera za zaštitu pučanstva od zaraznih bolesti propisane ovim Zakonom te sredstva za njihovo provođenje kao i stručni nadzor nad provođenjem tih mjera. Isto tako, člankom 12. predmetnog Zakona propisane su posebne mjere za sprječavanje i suzbijanje zaraznih bolesti. Jedna od posebnih mjera je rano otkrivanje izvora zaraze i putova prenošenja zaraze te je člankom 13. stavkom 1. točkom 2) pod točkom a) propisano da se radi ranog otkrivanja izvora zaraze i putova prenošenja zaraze obavlja epidemiološko ispitivanje, uključujući anketiranje pri pojavi bolesti COVID – 19. Stavkom 2. navedenog članka propisano je da radi ranog otkrivanja izvora zaraze i putova prenošenja zaraze poslove iz stavka 1. točke 1. – 5. ovoga članka obavljaju nadležni uredi za javno zdravstvo, koji moraju osigurati trajnu pripravnost doktora medicine, specijalista epidemiologije, kao i sredstva za materijalne rashode i naknadu za obavljanje pripravnosti.

Prema dostupnim informacijama proizlazi da je Nastavni zavod za javno zdravstvo „Dr. Andrija Štampar“ (dalje u tekstu: Zavod) zatražio  podatke  zbog  sigurnijeg  odvijanja nastave  u osnovnim i srednjim školama grada Zagreba tijekom trajanja epidemije COVID-19, a sve sukladno preporukama Hrvatskog zavoda za javno zdravstvo. Prema navodima Zavoda traženi podaci su podaci koji se ne šalju izvan škole do trenutka saznanja  da je u školi COVID pozitivan učenik. U slučaju pojave COVID pozitivne osobe liječnici Zavoda traže listu kako bi se kontaktirali roditelji  i kako bi se ostalima koji su bili u kontaktu izrekla mjera samoizolacije.

Dakle, Zavod u konkretnom slučaju ima pravni temelj za obradu osobnih podataka ispitanika sukladno članku 6. stavku 1. točki e) Opće uredbe budući da je isto propisano Zakonom.

Načela obrade osobnih podataka, sukladno članku 5. Opće uredbe o zaštiti podataka, traže da osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (načelo zakonitosti, poštenosti i transparentnosti); prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (načelo ograničavanja svrhe); primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (načelo smanjenja količine podataka); točni i prema potrebi ažurni (načelo točnosti); čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (načelo ograničenja pohrane); i obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti).

Izvršenim uvidom u način prikupljanja osobnih podataka učenika od strane škole kao voditelja obrade evidentno je kako se pomoću razredne liste, čije ispunjavanje se traži od roditelja/ zakonskih zastupnika učenika, prikupljaju sljedeći osobni podaci: ime i prezime djeteta, datum rođenja, OIB, privatna adresa, telefonski kontakti oba roditelja, e-mail oba roditelja te naziv škole, razred, ime i prezime razrednika i broj mobitela razrednika. U drugoj verziji tablice koju ste nam dostavili, osim navedenih rubrika, razredna lista sadrži i  dodatnu rubriku „obiteljski liječnik“.

S obzirom na svrhu obrade osobnih podataka utvrđenu Zakonom, mišljenje je Agencije da se u konkretnom slučaju (neovisno o tome sadrži li razredna lista i rubriku „obiteljski liječnik“ ili ne) radi o obradi nužnih osobnih podataka koji su školama potrebni za izvršavanje zadaće od javnog  interesa i poštovanje pravnih obveza koje proizlaze iz posebnih propisa.

Slijedom navedenog bitno je ukazati kako su škole kao voditelji obrade osobnih podataka učenika bile dužne postupati u skladu sa načelom transparentnosti u obradi osobnih podataka te sukladno čl. 13. Opće uredbe o zaštiti podataka  na jednostavan i lako dostupan način (primjerice: putem spornog obrasca ili kroz objavu politika privatnosti) informirati roditelje/zakonske zastupnike učenika osobito o svrsi prikupljanja navedenog opsega osobnih podataka i pravnoj osnovi te primateljima osobnih podataka.

Naposljetku, navodimo da u konkretnom slučaju privola nije primjenjiv pravni temelj za zakonitost obrade. Ujedno napominjemo da je školska ustanova, kao javno tijelo, dužna temeljem članka 37. stavka 1. točke a) Opće uredbe o zaštiti podataka imenovati službenika za zaštitu podataka. Stoga Vas upućujemo da se vezano za sva pitanja zaštite osobnih podataka koje škola obrađuje kao voditelj obrade prvenstveno obratite imenovanom službeniku za zaštitu podataka, a u slučaju daljnjih nedoumica Agenciji.

AZOP