RV1: Kako vrtci upoštevajo zahteve varstva osebnih podatkov iz GDPR?
Zahteve varstva GDPR vrtci upoštevajo s soglasjem, ki ga podajo starši ob vpisu otroka v vrtec. Soglasja si vsak zavod oblikuje sam, skladno s potrebami splošne uredbe. Imenujejo pooblaščeno osebo, osebne podatke zbirajo neposredno od staršev otrok, na katere se podatki nanašajo, vsak zavod ima oblikovano spletno stran, kjer so vključili zavihek, namenjen varstvu osebnih podatkov. Najprej vidimo kontakte podatke upravljalca, nato kdo je pooblaščena oseba, namen obdelave ter pravne temelje za obdelavo podatkov, obdobje hrambe osebnih podatkov. Osebni podatki otrok so dobro zakonsko zaščiteni, saj je Uredba prinesla novosti, ki se jih morajo držati vsi, ki vodijo in obdelujejo osebne podatke. Nespoštovanje zakonodaje ali lahkoverno ravnanje lahko privede do sankcij.
Sankcije so lahko prepoved nadaljnjega zbiranja podatkov in denarne kazni, ki se gibljejo v znesku od 4.170€ do 12.510€, in sicer če se obdeluje osebne podatke brez podlage v zakonu ali brez osebne privolitve posameznika, če se posamezna opravila v zvezi s podatki zaupa drugi osebi brez pogodbe, če se obdeluje občutljive podatke in se jih ne zavaruje, če se avtomatizirano obdeluje osebne podatke v nasprotju s 15. členom, če se zbira osebne podatke za namene, ki niso zakoniti, ali če se jih nadalje obdeluje v nasprotju s 16. členom, če se posreduje uporabniku osebnih podatkov podatke v nasprotju z drugim odstavkom 17.
člena ali če ne uniči osebnih podatkov v skladu s tretjim odstavkom 17. člena ali se ne objavi rezultatov obdelave v skladu s četrtim odstavkom 17. člena. Ravno tako tudi, če ne obvesti posameznika o obdelavi osebnih podatkov v skladu z 19. členom, če se uporablja isti povezovalni znak v nasprotju z 20. členom, če se ne izbriše, uniči, blokira ali anonimizira osebnih podatkov, ko je izpolnjen namen obdelave, če se ravna v nasprotju z 22. členom, če se ne zagotovi, da katalog zbirke osebnih podatkov vsebuje podatke, ki jih določa 26.
člen, če se ne posreduje podatkov za potrebe registra zbirk osebnih podatkov. Kršitev je tudi, če se ravna v nasprotju s prvim ali drugim odstavkom 30. člena ali se ravna v nasprotju z drugim, tretjim ali petim odstavkom 31. člena, če se ravna v nasprotju z 32. členom ali če se ravna v nasprotju z drugim ali petim odstavkom 33. člena, če se ravna v nasprotju s prvim odstavkom 63. člena ali se v nasprotju s 70. členom iznaša osebne podatke v tretjo državo (ZVOP1- 91. člen).
Z globo se kaznuje za prekršek pravna oseba, samostojni podjetnik ali posameznik, ki samostojno opravlja dejavnost. Inšpekcijski nadzori se trenutno večinoma izvajajo na podlagi prijave. To pomeni, da posameznik kršitev prijavi, Informacijski pooblaščenec pa se odzove. Inšpekcijski nadzor se izvaja z namenom odpravljanja nepravilnosti, zato je
38
potrebno nameniti veliko pozornosti preventivnim ukrepom s tega vidika. Državni organi preverjajo skladnost dejanj obdelovalcev z določbami, ki jih narekuje GDPR.
V prekrškovnih postopkih se znajdejo šole, zdravstveni domovi, vrtci, računovodski servisi itd. Pojavljajo se zelo različni razlogi kršitev, in sicer organizacije nimajo dovršenega sistema na področju varovanja osebnih podatkov ali pa je ta urejen površno. Drugi razlog, ki se pojavlja, je, da ima organizacija formalno vse odlično urejeno, problem pa nastane, ker se tega v praksi ne uporablja. Razlogi, zakaj do tega prihaja, so zelo različni. Nekateri posamezniki so zelo nevestni ali pa je celoten sistem zakompliciran in nejasen. Zgodi se tudi, da organizacija vsem dosledno sledi in ima vse formalno urejeno, ampak pride nepričakovano do neželenih pripetljajev, kar lahko pripelje do incidenta.
Pomembno je, da imajo otroci brezskrbno otroštvo brez zlorab, ki bi jih zaznamovale.
Uvodna določba 85. Uredbe opozarja, da kršitve varnosti osebnih podatkov (katere se ne obravnavajo ustrezno in pravočasno), posameznikom povzročijo fizično, premoženjsko ali nepremoženjsko škodo, kot je izguba nadzora nad osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena reverzija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katera koli druga znatna gospodarska ali socialna škoda. V izogib temu je potrebno zaposlene spodbujati jih seznanjati ter dodatno izobraževati o pomembnosti varstva osebnih podatkov. Z raziskavo je bilo ugotovljeno, da se strokovni delavci v večini trudijo upoštevati zakonodajo, vendar jim glede na njihove lastne izjave še vedno manjka znanja in se v večini strinjajo z uvedbo dodatnih izobraževanj. Dolžnost zaposlenih je, da z osebnimi podatki, s katerimi se srečujejo pri svojem delu, ravnajo vestno in odgovorno ter spoštujejo vse ukrepe, ki preprečujejo zlorabe teh podatkov.
39
RV2: Katere osebe dostopajo do osebnih podatkov?
Velik poudarek je potrebno podati na dostopnost do osebnih podatkov otrok in kako preprečiti dostop vsem ostalim, ki teh pooblastil nimajo. Skozi raziskovalni del diplomske naloge sem prišla do zaključka, da ima vsak zavod pooblaščene osebe, ki dostopajo do podatkov, to so strokovni delavci, ki jih pooblastijo ravnatelji oz. ravnateljice. GDPR v 37.
členu narekuje upravljavcem in obdelovalcem, da morajo imenovati pooblaščeno osebo za varovanje podatkov. Imenovati jo morajo vedno, kadar:
a) obdelavo opravlja javni organ ali telo,
b) temeljna dejavnost upravljavca ali obdelovalca vsebuje dejanja obdelave, pri teh pa jih je potrebno zaradi obsega ali namenov posameznika, na katerega se osebni podatki nanašajo, redno spremljati,
c) dejavnosti upravljavca in obdelovalca vsebujejo obsežno obdelavo posebnih vrst osebnih podatkov in osebne podatke, ki se navezujejo na kazenske obsodbe in prekrške.
Na podlagi 20. člena Pravilnika o zbiranju in varstvu osebnih podatkov na področju predšolske vzgoje lahko zbirajo, shranjujejo, uporabljajo in posredujejo osebne podatke otrok le tisti delavci, ki jih zato pooblasti ravnatelj. Ti delavci imajo dostop do osebnih podatkov in pristojnost obdelovanja le teh. Delavci osebnih podatkov ne smejo odnašati iz zavoda brez dovoljena ravnatelja ali pooblaščenih oseb, ki jih je predhodno pooblastil.
Pooblaščena oseba je po 39. členu GDPR zadolžena za obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje o njihovih obveznostih v skladu s to uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov. Pozorno mora spremljati skladnost z uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov in s politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja. Izvajati morajo svetovanja, kadar se to od njih zahteva, glede ocene učinka v zvezi z varstvom podatkov, sodelovati morajo z nadzornim organom, delovati morajo kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo. Pooblaščeni delavci morajo poskrbeti, da med delovnim časom ne puščajo osebnih podatkov na mizah, ko so v prostoru še druge osebe, ki teh pooblastil nimajo. Vse omare in pisalne mize, kjer se podatki hranijo, morajo biti izven delovnega časa zaklenjene, računalnike in ostalo strojno opremo pa morajo izključiti ter programsko ali fizično zakleniti. Vrtci morajo urediti protokol ravnanja s ključi, kje bo ta shranjen in kdo do njega dostopa. Vsi zunanji poslovni partnerji in obiskovalci se smejo nahajati v prostoru, kjer se hranijo osebni podatki, vendar le pod nadzorom pooblaščene osebe. Varnostniki, čistilke, hišniki se lahko prav tako gibljejo v teh prostorih le v prisotnosti pooblaščene osebe.
40
Do osebnih podatkov dostopajo tiste osebe, ki s temi podatki operirajo, to je vodja vrtca in vodje oddelkov, kolikor jih vrtec ima. Starši dobijo skupaj s soglasjem staršev oz. skrbnikov o zbiranju in uporabi osebnih podatkov otrok za čas vključenosti v izobraževalno ustanovo tudi ime in priimek osebe, telefonsko številko in elektronski naslov, kjer pooblaščena oseba sprejema vsa vprašanja v zvezi z osebnimi podatki. Vse privolitve, ki jih starši podajo pri vpisu, lahko s pisno zahtevo na elektronski naslov prekličejo kadarkoli.
RV3: Na kakšen način so zaposleni v vrtcih seznanjeni z zakonodajo s področja varstva osebnih podatkov otrok in ali jo tudi upoštevajo?
Iz raziskovalnega dela diplomske naloge je mogoče zaključiti, da so v vrtcih ob uvedbi GDPR svoje strokovne delavce seznanili z določbami na timskih srečanjih, ki potekajo tako, da vodstveni delavci seznanijo delavce o varstvu osebnih podatkov ustno in jih tudi stalno obveščajo o spremembah. Strokovni delavci so dolžni, da se seznanijo z vsemi spremembami in jih tudi upoštevajo. Velikokrat se sicer pojavljajo vprašanja in dvomi pri uporabi zakonodaje, saj nekateri ne razumejo celotne vsebine ali pa enostavno pozabijo oz.
spregledajo pomembnost varstva podatkov in nevede kršijo zakon. Nekateri zaposleni bi potrebovali dodatna izobraževanja, ker imajo premalo znanja in bi tako lažje sledili zahtevam zakonodaje.
Mlajši zaposleni se za varstvo podatkov veliko bolj zanimajo in problematiki namenjajo več pozornosti kot starejši. Zaznala sem, da se starejši ne ozirajo na varstvo podatkov in se jim to niti ne zdi pomembno. Kljub temu da so seznanjeni z zakonodajo, je v vsakdanjem delovniku ne uporabljajo oz. jo po osebnem pripovedovanju ene izmed vzgojiteljic uporabljajo površno in malomarno. Starejši populaciji bi morale izobraževalne ustanove zakonodajo bolj približati in jo seznaniti z vsemi posledicami, ki lahko doletijo otroka v primeru zlorabe. Starejši uslužbenci so navajeni na sistem pred uveljavitvijo Splošne uredbe, ki ni bil tako strog, zato se znajdejo vsakodnevno v manjših prekrških, ko gre za objave fotografij otrok, objave imen in priimkov na oglasni deski z razstavljenimi izdelki, objave imen in priimkov v garderobi ipd. Vzgojiteljice in pomočnice vzgojiteljic je potrebno vzpodbuditi in motivirati, da otrokom zagotovijo brezskrbno otroštvo. Razen timskih srečanj ostalih izobraževanj oz. srečanj nimajo. Nekateri zaposleni se samoizobražujejo, če česa ne vedo, z namenom zaščite otrokovih podatkov. Ker samoizobraževanje temelji na osebni iniciativi, se predlaga dodatna izobraževanja za zaposlene, pri čemer bi izobraževanja vodila usposobljena oseba.
41
RV4: Kdaj vrtci uničijo osebne podatke otrok, ko jih več ne potrebujejo?
ZVOP-1 v 21. členu narekuje, da se osebni podatki hranijo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega se zbirajo. Pooblaščeni delavci so dolžni slediti zakonodaji in podatke zbrisati oz. uničiti vse evidence in celotno dokumentacijo, ko preteče rok hranjenja oz. namen, zaradi katerega so bili zbrani. Tisti osebni podatki, ki so vodeni računalniško, se morajo brisati tako, da se onemogoči njihovo restavriranje. Ostali podatki, ki so vodeni v papirni obliki npr. listine, kartoteke itd., pa morajo biti uničeni fizično, in sicer tako da je branje onemogočeno. Ravnatelj lahko določi, da se uničenje izvede komisijsko v primerih, ko gre za fizično uničevanje osebnih podatkov, pri čemer se sestavi zapisnik, ki vsebuje način uničevanja, čas, kraj, predmet uničenja ter prisotne člane komisije, ki to uničenje izvedejo. Vsaka ustanova ima svoja pravila o zavarovanju osebnih podatkov in so interni akti vrtca, ki natančno urejajo vsebino, na katero se sklicujeta tako Zakon o varstvu osebnih podatkov kot tudi Pravilnik o zbiranju in varstvu osebnih podatkov na področju predšolske vzgoje (GOV.si, 2021). Skozi raziskavo se ugotavlja, da vrtci vse podatke, ko za njih mine upravičenost uporabe, to je po preteku enega leta, ko otroka več ni v izobraževalni ustanovi, ustrezno uničijo. Podatke največkrat uničijo s pomočjo rezalnega stroja, kar storijo pooblaščene osebe. Podatki, ki se hranijo na računalnikih, se ustrezno pobrišejo.
42