Informacijski pooblaščenec (IP) je v postopku inšpekcijskega nadzora ugotovil kršitev varstva osebnih podatkov v eni od srednjih šol, kjer je zunanji izvajalec šolske prehrane dobil dostop do celotne evidence dijakov v informacijskem sistemu šole. Dostopal je do podatkov, kot so višina subvencije, število prevzetih obrokov, stanje dobroimetja in drugi osebni podatki – čeprav bi za evidentiranje prevzema obrokov zadostoval zgolj podatek o imenu in priimku dijaka.

IP je šoli in odgovorni osebi (ravnateljici) izrekel prekršek zaradi kršitve načela vgrajenega in privzetega varstva osebnih podatkov, kot ga določa 25. člen Splošne uredbe o varstvu podatkov (GDPR). Okrajno sodišče v Mariboru je pritrdilo ugotovitvam IP in zavrnilo zahtevo za sodno varstvo zoper odločitev.

Sodišče je posebej poudarilo, da bi s pravilno uporabo načela vgrajenega in privzetega varstva osebnih podatkov lahko preprečili tudi naknadne zlorabe – vključno z nedovoljenim spreminjanjem podatkov s strani zunanjega izvajalca in celo morebitnimi goljufijami.

Ključna sporočila za šole:

• Varstvo osebnih podatkov mora biti načrtovano vnaprej, že pri zasnovi informacijskih rešitev in sklepanju pogodb z zunanjimi izvajalci.
• Načelo najmanjšega obsega podatkov zahteva, da se obdelujejo le tisti podatki, ki so nujno potrebni za določen namen.
• Dostop do podatkov mora biti natančno omejen, tehnično zaščiten in vnaprej premišljen – ne glede na to, kaj informacijski sistem omogoča »privzeto«.

Ta primer ponovno opozarja na odgovornost šol kot upravljavcev osebnih podatkov, zlasti v kontekstu digitalizacije in vključevanja zunanjih izvajalcev.

Za pomoč pri pravilni rabi informacijskih rešitev je IP pripravil Smernice za skladno uporabo informacijskih rešitev v šolstvu, ki so dostopne tukaj.

Več informacij je na voljo tukaj.