e-Ravnatelj

O produktu | Naročnina

info@forum-media.si | 02 250 18 00

Brezplačna registracija

Prijava

Upravljanje in obdelava osebnih podatkov ter privolitev

Natisni

Kdo je upravljavec osebnih podatkov

Upravljavec osebnih podatkov – pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice (sedma točka 4. člena GDPR).

Upravljavec na področju vzgoje in izobraževanja je tako vrtec, glasbena šola, osnovna šola, srednja šola, gimnazija itd. Upravljavec ima na področju varstva osebnih podatkov številne dolžnosti. Za njihovo izvršitev je kot predstojnik odgovoren ravnatelj. Med drugim mora določiti zaposlene, ki za namene opravljanja svojih delovnih nalog lahko obdelujejo osebne podatke (otrok, njihovih staršev in skrbnikov ter zaposlenih), podrobneje so obveznosti upravljavca opisane v nadaljevanju.

Kdaj se smejo obdelovati osebni podatki

Obdelava osebnih podatkov pomeni kakršno koli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov; zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje. Obdelava je lahko ročna ali avtomatizirana.

Vse, kar lahko naredimo z osebnimi podatki, šteje za »obdelavo«. Gre torej za nekakšen vseobsegajoč pojem, s katerim zaobjamemo vse aktivnosti z osebnimi podatki. Dodati je treba še, da sta GDPR in ZVOP-2 tehnološko nevtralna. To pomeni, da se določbe navedenih predpisov enakovredno nanašajo tako na zbirke, ki jih upravljavec vodi v fizični obliki (t.i. ročna obdelava), kot tudi na zbirke osebnih podatkov, ki jih upravljavec vodi v informatizirani zbirki (t.i. avtomatizirana obdelava).

Osnovne pravne podlage določa GDPR v prvem odstavku 6. člena in sicer je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Države članice lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil GDPR v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odstavka 1, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave

ZVOP-2 tako v drugem odstavku 6. člena določa, da je obdelava osebnih podatkov v javnem sektorju in v zasebnem sektorju zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena GDPR zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon. Če je mogoče, se v zakonu določijo tudi uporabniki osebnih podatkov, posamezna dejanja obdelave in postopki obdelave ter drugi ukrepi za zagotovitev zakonite, poštene in pregledne obdelave.

Tretji odstavek dalje določa, da se v javnem sektorju lahko v skladu s prvim odstavkom tega člena obdelujejo osebni podatki posameznika, ki je dal privolitev za obdelavo svojih osebnih podatkov za enega ali več določenih namenov, če tako možnost določa zakon, sicer pa na podlagi privolitve, če ne gre za izvrševanje zakonskih pristojnosti, nalog ali oblastnih obveznosti javnega sektorja.

Četrti odstavek določa, da se ne glede na določbe drugega odstavka tega člena se za izvrševanje točke e) prvega odstavka 6. člena GDPR lahko v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.

Zakonski temelj

V javnem sektorju se praviloma osebne podatke lahko obdeluje le, če sta obdelava osebnih podatkov in namen njihove obdelave določena z zakonom. Z zakonom se lahko določi, da se določene osebne podatke obdeluje le na podlagi osebne privolitve posameznika.

Takšen primer zakonsko določene podlage v osebni privolitvi je dopusten način zbiranja osebnih podatkov o gibalnih sposobnostih in morfoloških značilnostih učencev . Podoben primer je tudi posredovanje osebne mape učenca, ki potrebuje pomoč oziroma svetovanje v primeru njegovega prešolanja.[1]

Kadar obdelavo osebnih podatkov določa zakon, privolitev posameznika ne le, da ni potrebna, temveč njegova volja glede obdelave osebnih podatkov ne vpliva na zakonsko dolžnost upravljavca. Povedano enostavno – kadar zakon zapoveduje obdelavo osebnih podatkov, posameznik z nestrinjanjem te obdelave ne more preprečiti.

Privolitev

V pravnih razmerjih, ki jih ureja javno pravo, torej v odnosu med posameznikom in oblastjo, ki jo v različnih razmerjih in v različni meri predstavljajo subjekti, ki jih ZVOP-2 uvršča v t.i. javni sektor, ni mogoče zagovarjati svobode posameznika pri privolitvi v obdelavo osebnih podatkov. Ta je namreč preprosto pogoj za uveljavitev določenih pravic ali izpolnitev obveznosti (na primer pogoj za vključitev v vrtec, pogoj za vključitev v izobraževanje), ki jih posamezniku omogoča ali nalaga zakon, zato je tudi obdelavo osebnih podatkov, ki je potrebna in smiselna za dosego namena, treba vnaprej jasno določiti z zakonom. Posameznik namreč pravnega interesa oziroma koristi, ki jo zasleduje, ne bo mogel doseči pri drugem »ponudniku« in/ali na drugačen način. Javno pravno priznano izobrazbo bo lahko dosegel le v izobraževalnem programu, ki ga država priznava.

Določbo lahko razumemo v smislu dopustnosti obdelave osebnih podatkov na podlagi osebne privolitve posameznika tudi v javnem sektorju, kadar ta ne izvaja z zakonom dodeljenih oblastnih nalog (t.i. »neoblastno delovanje«). Pri vrtcih in šolah so to primeri obdelave osebnih podatkov izven izvajanja javnega izobraževalnega programa – torej podatki, ki niso nujni in potrebni za vključitev v program ali za pridobitev javno veljavne izobrazbe. Praktično bo šlo najpogosteje za osebne podatke otrok in dijakov, kot so fotografije z izletov in šolskih dogodkov, za podatke o dosežkih na različnih natečajih, tekmovanjih ipd.

a) Pogoji za veljavnost in preklic osebne privolitve

Privolitev posameznika je ena od šestih zakonitih podlag za obdelavo osebnih podatkov, kot so navedene v prvem odstavku 6. člena GDPR. Pojem privolitve podrobno obravnavajo smernice [2], ki jih je sprejela Delovna skupina za varstvo podatkov iz člena 29 in jih je nato potrdil Evropski odbor za varstvo podatkov (EDPB). Na splošno je lahko privolitev ustrezna zakonita podlaga le, če sta posamezniku, na katerega se nanašajo osebni podatki, zagotovljena nadzor ter dejanska izbira med sprejetjem in zavrnitvijo pogojev ali njihova zavrnitev brez škode. Kadar upravljavec zaprosi za privolitev, mora oceniti, ali bo izpolnjeval vse zahteve za pridobitev veljavne privolitve. Prostovoljnost je torej eden ključnih elementov veljavne privolitve, zlasti pa je pomembno, da upravljavci razlikujejo med podlago v privolitvi in podlago v pogodbi s posameznikom, čemur do sedaj pogosto ni bilo tako.

Privolitev je v enajstem odstavku 4. člena GDPR opredeljena kot "vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj." Osnovni koncept privolitve ostaja podoben konceptu iz ZVOP-1, privolitev pa je ena od zakonitih podlag, na katerih mora v skladu s členom 6 Splošne uredbe temeljiti obdelava osebnih podatkov.

Omenjena določba GDPR določa, da privolitev posameznika, na katerega se nanašajo osebni podatki, pomeni vsako:

  • prostovoljno,
  • konkretno,
  • informirano in
  • nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj.

Pomembni so vsi elementi veljavne privolitve, zato jih podrobneje razdelamo v nadaljevanju.

Element »prostovoljno« pomeni dejansko izbiro in nadzor za posameznike, na katere se nanašajo osebni podatki. V Splošni uredbi je na splošno določeno, da privolitev ne bo veljavna, če posameznik, na katerega se nanašajo osebni podatki, nima dejanske izbire, če se čuti prisiljenega v privolitev ali če bo utrpel negativne posledice, če ne privoli. Če je privolitev združena z delom pogojev, o katerih se ni mogoče pogajati, se domneva, da ni bila dana prostovoljno. Privolitev se torej ne bo štela za prostovoljno, če je posameznik, na katerega se nanašajo osebni podatki, ne more zavrniti ali preklicati brez škode. Pomemben element je tudi pojem neravnotežja med upravljavcem in posameznikom, na katerega se nanašajo osebni podatki. Privolitev torej ne sme biti »prisilitev«.

Pri oceni, ali je privolitev dana prostovoljno, je treba upoštevati tudi poseben položaj vezave privolitve na pogodbe ali zagotovitev storitve. Na splošno je privolitev neveljavna v primeru kakršnega koli neustreznega pritiska ali vpliva na posameznika, na katerega se nanašajo osebni podatki, ki temu posamezniku preprečuje, da bi izrazil svojo svobodno voljo.

Glede neravnotežja moči je v uvodni izjavi 43 GDPR jasno navedeno, da se javni organi verjetno ne bodo mogli opreti na privolitev za obdelavo. Ko je upravljavec javni organ, pogosto obstaja očitno neravnotežje moči v razmerju med upravljavcem in posameznikom, na katerega se nanašajo osebni podatki, ker posameznik nima takšne pogajalske moči, da bi lahko vplival na nabor osebnih podatkov, ki se zahteva. V večini primerov je tudi jasno, da posameznik, na katerega se nanašajo osebni podatki, ne bo imel drugih dejanskih možnosti, kot da sprejme obdelavo (pogoje) tega upravljavca. Primer je recimo zahteva policista po identifikacijskih dokumentih v kontroli prometa, saj to poteka na podlagi zakonskih pooblastil in ne na podlagi privolitve posameznika. Po drugi strani lahko šola zaprosi nekdanje učence za privolitev, da se njihove fotografije objavijo v tiskanem zborniku ob obletnici šole. Neravnotežje moči se zlasti pojavlja tudi v okviru delovnih razmerij. Glede na odvisnost, ki izhaja iz razmerja delodajalec/zaposleni, je malo verjetno, da bi lahko posameznik, na katerega se nanašajo osebni podatki, svojemu delodajalcu odrekel privolitev v obdelavo podatkov, ne da bi zaradi zavrnitve doživel strah pred škodljivimi posledicami ali dejansko tveganje takih posledic. Zaposleni se verjetno ne bo mogel prostovoljno odzvati na zahtevo svojega delodajalca za privolitev, ne da bi občutil kakršen koli pritisk k privolitvi. Izrazi, kot so »morate podpisati soglasje«, jasno kažejo, da izbira zaposlenega ni prostovoljna. Obdelava osebnih podatkov zaposlenih bi tako v pretežnem delu morala potekati na podlagi točke b) ali na podlagi točke c) prvega odstavka 6. člena GDPR, torej zaradi obveznosti iz pogodbe o delu oziroma na zakonski podlagi obveznosti uresničevanja pravic in obveznosti, ki izhajajo iz delovnega razmerja. V določenih primerih bo pravna podlaga za delodajalca podana tudi v zakonitih interesih delodajalca, npr. ko gre za obdelavo osebnih podatkov zaradi varovanja svojega omrežja, ki ne more biti prepuščena prostovoljni izjavi zaposlenega. Navedeno vendarle ne pomeni, da se delodajalci nikoli ne morejo opreti na privolitev kot zakonito podlago za obdelavo. Obstajajo primeri, v katerih bodo lahko delodajalci dokazali, da je privolitev dejansko dana prostovoljno, npr. če bi želeli objaviti sliko zaposlenih na spletnem portalu podjetja, pri čemer oziroma če lahko zaposleni tako objavo odklonijo in za to ne čutijo nobenih negativnih posledic.

Privolitev mora biti konkretna oziroma specifična. Zahteva, da mora biti privolitev »konkretna«, je namenjena zagotovitvi stopnje nadzora uporabnika in preglednosti za posameznika, na katerega se nanašajo osebni podatki – vedeti mora, »v kaj se spušča«.

Eden ključnih elementov veljavnosti privolitve je tudi, da mora biti informirana. Posameznik se mora pred obdelavo zavedati, v kaj se spušča in kakšne posledica bo imela obdelava zanj. Zagotovitev informacij posameznikom, na katere se nanašajo osebni podatki, pred pridobitvijo njihove privolitve je bistvena, da se jim omogoči sprejetje informiranih odločitev, da razumejo, s čim soglašajo, in da lahko na primer uveljavljajo svojo pravico do preklica privolitve. Da bi bila privolitev „informirana“ je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti o nekaterih elementih, ki so ključni za odločitev, in sicer mu mora biti jasno predstavljena:

  • identiteta upravljavca;
  • namen vsakega od dejanj obdelave, za katera se zahteva privolitev;
  • kateri podatki (vrste oziroma kategorije podatkov) se bodo zbirali in uporabili;
  • obstoj pravice do preklica privolitve;
  • informacije o uporabi podatkov za avtomatizirano sprejemanje odločitev v skladu s členom, kjer je to ustrezno, in
  • mogoča tveganja prenosov podatkov zaradi neobstoja sklepa o ustreznosti in ustreznih zaščitnih ukrepov.

Z drugimi besedami: posameznik mora vedeti, komu (vse) zaupa svoje podatke, za katere (vse) namene, katere (vse) osebne podatke, kakšne so njegove pravice ter informacije o morebitnem avtomatiziranem odločanju, profiliranju in prenosu podatkov v tretje države ali mednarodne organizacije.

Upravljavec, ki se opira na privolitev posameznika, na katerega se nanašajo osebni podatki, mora za ravnanje v skladu z GDPR upoštevati tudi določene dolžnosti glede informacij, določene v členih 13 in 14. Upravljavci si lahko pri tem pomagajo z obrazci, ki jih je v ta namen pripravil Informacijski pooblaščenec in so na voljo na spletni strani www.ip-rs.si:

  • Vzorec obvestila posameznikom glede obdelave osebnih podatkov (člen 13 Splošne uredbe);
  • Vzorec obvestila posameznikom glede obdelave osebnih podatkov (člen 14 Splošne uredbe).

Kadar se osebne podatke obdeluje na podlagi posameznikove osebne privolitve, z njenim preklicem preneha temelj za obdelavo teh osebnih podatkov.

Privolitev mora biti nedvoumna izjava volje. V Splošni uredbi je jasno navedeno, da je za privolitev potrebna izjava posameznika, na katerega se nanašajo osebni podatki, ali jasno pritrdilno dejanje, kar pomeni, da mora biti vedno dana z aktivnim dejanjem ali izjavo. Očitno mora biti, da je posameznik, na katerega se nanašajo osebni podatki, privolil v določeno obdelavo. Privolitev torej mora biti aktivno podana, molk posameznika se ne šteje, da se je strinjal in privolil v obdelavo. »Jasno pritrdilno dejanje« pomeni, da je moral posameznik, na katerega se nanašajo osebni podatki, izvesti premišljeno dejanje za privolitev v določeno obdelavo. Privolitev je mogoče pridobiti s pisno ali (zabeleženo) ustno izjavo, tudi z elektronskimi sredstvi.

Med dodatne pogoje za veljavnost privolitve sodi zahteva po dokazljivosti privolitve. V prvem odstavku 7. člena GDPR je jasno poudarjena izrecna obveznost upravljavca, da dokaže privolitev posameznika, na katerega se nanašajo osebni podatki. Dokazno breme nosi upravljavec. V uvodni izjavi 42 GDPR je navedeno: »Kadar obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, bi moral biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v dejanje obdelave.«

Preklic privolitve ima pomembno mesto v Splošne uredbe. Tretji odstavek 7. člena GDPR uredbe določa, da mora upravljavec zagotoviti, da lahko posameznik, na katerega se nanašajo osebni podatki, privolitev prekliče tako enostavno, kot jo je dal, in kadar koli – če je npr. starš podal privolitev po elektronski pošti jo lahko po elektronski pošti tudi prekliče.

b) Privolitev otroka za uporabo storitev informacijske družbe

8. člen ZVOP-2 posebej ureja privolitev otroka za uporabo storitev informacijske družbe, ki se ponujajo neposredno otrokom oziroma za katere se lahko verjetno domneva, da jih bodo uporabljali otroci (npr. spletne klepetalnice, forumi, spletne učilnice ipd.), in sicer je ta veljavna, če je otrok star 15 let ali več. Če je otrok mlajši od 15 let, je privolitev veljavna le, če jo da ali odobri eden od staršev otroka, njegov skrbnik ali oseba, ki ji je podeljena starševska skrb. Kadar se storitev informacijske družbe ponuja neodplačno, lahko privolitev odobri tudi rejnik ali predstavnik zavoda, v katerega je nameščen otrok. V primerih, ko pogoji poslovanja izvajalca storitev informacijske družbe predpisujejo višjo starost otroka za uporabo teh storitev, se upošteva starost iz navedenih pogojev poslovanja izvajalca storitev. ZVOP-2 določa še, da privolitev otroka iz prejšnjega odstavka ne sme biti pogojena s pretiranimi pogoji s strani upravljavca, tako da bi otrok moral posredovati več osebnih podatkov, kot je potrebno za namen opravljanja takšne dejavnosti.

Pogodba kot temelj za obdelavo osebnih podatkov pogodbenih partnerjev

Po določbi točke b. prvega odstavka 6. člena GDPR se lahko obdeluje osebne podatke posameznikov, kadar je obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Tako je na primer avtorska pogodba temelj za obdelavo osebnih podatkov avtorja (ki je fizična oseba – posameznik), vključno s posredovanjem njegovih osebnih podatkov za namene odmere davka [3] . Podobno je pri različnih podjemnih pogodbah, vendar gre pri teh običajno za dogovor s fizično osebo, ki opravi storitev ali dobavi blago v okviru dejavnosti, ki jo izvaja na trgu, in v tem delu torej ne gre za osebne podatke, ki bi bili varovani po GDPR oziroma ZVOP-2.

Sorazmernost pri obdelavi osebnih podatkov

Tudi kadar o obstoju pravnega temelja za obdelavo osebnih podatkov ni dvoma, je treba paziti, da so osebni podatki, ki se jih obdeluje, ustrezni in po obsegu primerni glede na namene, za katere se jih zbira in nadalje obdeluje – gre za t.i. načelo minimizacije oziroma sorazmernosti obdelave osebnih podatkov, kot to zahteva točka c) prvega odstavka 5. člena GDPR.

Pet vprašanj za zakonito obdelavo osebnih podatkov

Če na kratko povzamemo navedeno v prejšnjih točkah, je za zakonitost obdelave osebnih podatkov treba pritrdilno odgovoriti na spodnjih pet vprašanj.

  1. Ali gre za varovan osebni podatek [4]?
  2. Ali obstaja pravna podlaga za konkreten podatek za konkreten namen za konkretnega obdelovalca/upravljavca [5]?
  3. Ali je podatek potreben in primeren glede na namen [6]?
  4. Ali je podatek točen in ažuren [7]?
  5. Ali je določen rok hrambe osebnega podatka [8]?

Obveznosti upravljavca osebnih podatkov

GDPR in ZVOP-2 na več mestih določa obveznosti upravljavcev osebnih podatkov, ki jih morajo ti spoštovati, da se zagotovi zakonita in poštena obdelava osebnih podatkov. Upravljavci morajo:

  • zagotoviti zakonitost obdelave osebnih podatkov (6. člen GDPR),
  • privolitve posamezniku dati informacije o namenih obdelave (13. oz. 14. člen GDPR),
  • poskrbeti, da se osebne podatke po izpolnitvi namena ali po izteku zakonsko določenega roka hrambe briše, uniči, blokira ali anonimizira ter redno in na dokumentiran način preverjati upoštevanje rokov hrambe (43. člen ZVOP-2),
  • po določenimi pogoji zagotoviti sledljivost obdelave oz. voditi dnevnike obdelave – možnost naknadnega ugotavljanja, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi in kdo od zaposlenih je obdeloval določene osebne podatke, kdaj in za kakšen namen (22. člen ZVOP-2),
  • zagotoviti ustrezno varnost osebnih podatkov (24. in 32. člen GDPR),
  • pripraviti in vzdrževati evidence dejavnosti obdelave (30. člen ZVOP-2),
  • upoštevati določbe ZVOP-2 glede posredovanja osebnih podatkov (39. člen ZVOP-2),
  • posameznikom zagotoviti pravico do seznanitve z lastnimi osebnimi podatki in pravico do dopolnitve, popravka, blokiranja, izbrisa in ugovora (členi 15.-22. GDPR in 12.-19. člen ZVOP-2),
  • v primeru izvajanja videonadzora sprejeti pisni sklep o uvedbi videonadzora, objaviti ustrezno obvestilo, pisno seznaniti zaposlene, se posvetovati s predstavniki sindikatov (76.-78. člen ZVOP-2),
  • v primeru izvajanja biometrije pridobiti odločbo IP o dovolitvi izvajanja biometrije (82. člen ZVOP-2).

Točnost in ažurnost osebnih podatkov v zbirkah

GDPR zapoveduje, da morajo biti osebni podatki, točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (točka d) prvega odstavka 5. člena GDPR). Za to je dolžan poskrbeti upravljavec, ki mu ZVOP-2 daje možnost, da pred vnosom osebnega podatka v zbirko z vpogledom v osebni dokument ali drugo ustrezno javno listino posameznika, na katerega se osebni dokument nanaša, preveri točnost osebnih podatkov (94. člen ZVOP-2).

[1] ZOsn v petem odstavku 95. člena določa, da se podatke v zbirki podatkov o gibalnih sposobnostih in morfoloških značilnostih učencev zbira v soglasju s starši oziroma skrbniki učencev. Podobno ZGim v šestem odstavku 42. člena določa, da se lahko podatke o gibalnih sposobnostih in morfoloških značilnostih zbira le s soglasjem dijaka. Enako v sedmem odstavku 86. člena določa ZPSI-1.

[2]https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051

[3] Glede na določbe ZDIJZ so lahko nekateri podatki iz avtorske pogodbe (podatki, ki se nanašajo na porabo javnih sredstev) tudi informacija javnega značaja.

[4] Gre torej za podatek, na podlagi katerega je posameznik določen ali določljiv, in hkrati ne gre za podatke o pravnih osebah ali fizičnih osebah, ki na trgu samostojno opravljajo dejavnost, in ne gre za osebne podatke, ki jih je zakon določil za javne ali za katere zakon pravi, da so prosto dostopni.

[5] Temelj za obdelavo daje zakon, kadar je to dopustno tudi osebna privolitev staršev skrbnikov oziroma dijaka, ali gre za obdelavo osebnih podatkov pogodbenih partnerjev – posameznikov ali je ta nujna za izvedbo zakonitih nalog in pristojnosti pa zanjo ni dan zakonski temelj.

[6] Ali je obdelava osebnih podatkov v skladu z načelom sorazmernosti – torej ni prekomerna.

[7] Ali je podatek aktualen in resničen?

[8] Ali vemo, kdaj bo namen obdelave osebnih podatkov dosežen, in jih bo treba blokirati, izbrisati oziroma anonimizirati oziroma kdaj bo iztekel zakonsko določeni rok hrambe.

Za uporabo priljubljenih vsebin se prijavite.

Ne pozabite

Aktualna izobraževanja - 10 % popust za naročnike s kodo: ERAVNATELJ10

(P)ostati pedagoški navdih: praksa, ki prepoznava in krepi otrokov potencial
18. 08. 2026
Kdo ali kaj nam krade pozornost in kako jo dobiti nazaj
27. 08. 2026
Evidenca odpadkov – obveznosti in poročanje
28. 08. 2026
Psihoaktivne snovi v šoli
22. 09. 2026
Odgovornost vodij v praksi – pravni vidiki kadrovskih odločitev
24. 09. 2026

Prijavite se na e-novice

Prijavite se na e-novice in bodite vedno na tekočem.

Prijava na novice