Prenosimo upute s AZOP web stranice: https://azop.hr/info-servis/detaljnije/primjena-opce-uredbe-o-zastiti-podataka-u-predskolskim-ustanovama
Uvodno ističemo kako sukladno propisima iz područja zaštite osobnih podataka djeca zaslužuju posebnu zaštitu u pogledu obrade njihovih osobnih podataka budući da mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom njihovih osobnih podataka.
O najboljem interesu djeteta prvenstveno bi trebali brinuti njegovi roditelji/skrbnici ali i nadležne institucije i ostali subjekti, kao i društvo u cjelini. Tako je primjerice odredbama Obiteljskog zakona propisana dužnost/obveza roditelja skrbiti o djetetovim osobnim i imovinskim pravima te voditi računa o njegovoj dobrobiti u skladu s razvojnim potrebama i mogućnostima djeteta (članak 91. Obiteljskog zakona). Nadalje, Zakonom o predškolskom odgoju i obrazovanju propisano je kako se odgoj i obrazovanje djece rane i predškolske dobi ostvaruje na temelju nacionalnog kurikuluma za predškolski odgoj i obrazovanje i kurikuluma dječjeg vrtića.
Nacionalni kurikulum utvrđuje vrijednosti, načela, općeobrazovne ciljeve i sadržaje svih aktivnosti i programa, pristupe i načine rada s djecom rane i predškolske dobi, odgojno-obrazovne ciljeve po područjima razvoja djece i njihovim kompetencijama te vrednovanje.
• Tko je voditelj obrade osobnih podataka?
Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka (članak 4. Opće uredbe o zaštiti podataka). U konkretnom slučaju je to PREDŠKOLSKA USTANOVA/ DJEČJI VRTIĆ koji obrađuje osobne podatke djece koja pohađaju vrtić, njihovih roditelja, zaposlenika vrtića kao i svih drugih osoba koje posjećuju dječji vrtić.
• Tko je izvršitelj obrade?
Fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom (članak 4. i 28. Opće uredbe o zaštiti osobnih podataka). Primjer: knjigovodstveni servis koji obrađuje podatke o plaćama radnika dječjeg vrtića; trgovačka društva koji obavljaju poslove privatne zaštite (postavljanje i održavanje videonadzornog sustava).
Napomene! Dječji vrtić kao voditelj obrade NIJE U OBVEZI imati izvršitelja obrade. Opća uredba o zaštiti podataka daje mogućnost dječjem vrtiću kao voditelju obrade da povjeri izvršitelju obrade obavljanje samo nekih točno ugovorenih poslova u ime i za račun dječjeg vrtića kao voditelja obrade. Ugovorom ili drugim pravnim aktom potrebno je detaljno regulirati međusobna prava i obveze između voditelja obrade (dječjeg vrtića) i izvršitelja obrade (članak 28. Opće uredbe o zaštiti podataka). Izvršitelj obrade mora jamčiti zaštitu i povjerljivost obrade osobnih podataka te provoditi odgovarajuće mjere zaštite kako bi osigurao i mogao dokazati da se obrada provodi u skladu sa Općom uredbom o zaštiti podataka.
ISTIČEMO! Dječji vrtić kao voditelj obrade osobnih podataka mora poštivati standarde i načela iz Opće uredbe o zaštiti podataka, vodeći računa da svrha u koju se osobni podaci obrađuju bude zakonita i opravdana te da za obradu osobnih podataka postoji pravna osnova (članak 5. i 6. Opće uredbe o zaštiti podataka).
• Koja su načela obrade osobnih podataka kojih se dječji vrtić kao voditelj obrade mora pridržavati prilikom obrade osobnih podataka (članak 5. Opće uredbe o zaštiti podataka)?
A) načelo zakonitosti, poštenosti i transparentnosti;
B) načelo ograničavanja svrhe;
C) načelo smanjenje količine podataka;
D) načelo točnosti;
E) načelo ograničenja pohrane;
F) načelo cjelovitosti i povjerljivosti.
Svaka obrada osobnih podataka od stane dječjeg vrtića, kao voditelja obrade trebala bi biti zakonita i poštena. Poštujući načelo transparentnosti dječji vrtić bi trebao pružiti informacije roditeljima (a tako i svim drugim osobama čije osobne podatke na bilo koji način obrađuje) na lako dostupan i razumljiv način uz upotrebu jasnog i razumljivog jezika kako se osobni podaci prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju.
Prilikom obrade osobnih podataka dječji vrtić dužan je voditi računa da podaci koje obrađuje budu primjereni, bitni/relevantni i ograničeni na ono što je nužno za svrhe u koje se podaci obrađuju (ukoliko neki osobni podatak nije nužno potreban nemojte ga prikupljati). Također, dječji vrtić je dužan voditi računa da osobni podaci budi točni i ažurni, a da se netočni osobni podaci isprave ili izbrišu. Vezano za čuvanje osobnih podataka navodimo kako je dječji vrtić dužan čuvati podatke u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhu radi kojih se osobni podaci obrađuju (ako postoji zakonska obveza koja propisuje rok čuvanja osobnih podataka potrebno je pridržavati se roka koji je propisan posebnim zakonom). Osobne podatke trebalo bi obrađivati uz odgovarajuće poštovanje sigurnosti i povjerljivosti osobnih podataka, što obuhvaća i sprečavanje neovlaštenog pristupa osobnim podacima i opremi kojom se koristi pri obradi podataka ili njihove neovlaštene upotrebe.
• Što znači da za obradu osobnih podataka mora postojati zakonita osnova (članak 6. Opće uredbe o zaštiti podataka)?
Člankom 6., stavkom 1. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha (članak 7. Opće uredbe o zaštiti podataka);
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (primjerice: prikupljanje i obrada osobnih podataka prilikom sklapanja ugovora između dječjeg vrtića i roditelja malodobnog djeteta, kao korisnika usluga);
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade (primjerice: obrada podataka roditelja i djeteta sukladno Zakonu o predškolskom odgoju i obrazovanju, obrada podataka o radnicima u svrhu izvršavanja obveze poslodavca koje proizlaze iz Zakona o radu, Zakona o zdravstvenom osiguranju, Zakona o mirovinskom osiguranju i sl.);
(d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (primjerice: obrada osobnih podataka radnika od strane Porezne uprave i dr.);
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete (primjerice: obrada osobnih podataka putem videonadzornog sustava).
Napomene!
S obzirom na veliki broj pristiglih upita zaprimljenih od strane dječjih vrtića, a tako i roditelja djece koja pohađaju ili se upisuju u dječje vrtiće, a vezano za zakonitost prikupljanja i daljnje obrade njihovih osobnih podataka, osobnih podataka njihove malodobne djece te ostalih članova obitelji/kućanstva, kao i opsega prikupljanja podataka ukazujemo na sljedeće:
- Kako je već gore navedeno za svaku obradu osobnih podataka dječji vrtić kao voditelj obrade mora imati zakonitu osnovu i svrhu.
- Za zakonitu obradu osobnih podataka potrebno je da bude ispunjena JEDNA od taksativno navedenih pravnih osnova iz članka 6. Opće uredbe o zaštiti podataka.
- PRIVOLA je samo jedna od zakonitih pravnih osnova za obradu osobnih podataka, međutim ako se osobni podaci prikupljaju i dalje obrađuju temeljem neke druge pravne osnove iz članka 6. Opće uredbe o zaštiti podataka, tada privola kao pravna osnova ne bi bila primjenjiva.
- PRIVOLA bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave.
- PRIVOLA se u svakom trenutku može povući-OPOZVATI (povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja). Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.
- PRIVOLA bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih. Primjerice; jedna svrha je objava podataka na web stranici dječjeg vrtića; druga svrha je objava osobnih podataka na oglasnoj ploči dječjeg vrtića i sl… Ističemo kako nije potrebno prikupljati više obrazaca privole u slučajevima kada se privola daje za više različitih svrha. Dakle, na istom obrascu moguće je zatražiti privolu za različite svrhe obrade osobnih podataka pod uvjetom da su svrhe jasno naznačene i razgraničene.
- Dječji vrtić obveznik je primjene odredbi posebnih zakona (primjerice; Zakona o predškolskom odgoju i obrazovanju, Zakona o stručno-pedagoškom nadzoru), drugih podzakonskih akata (primjerice; Pravilnika o obrascima i sadržaju pedagoške dokumentacije i evidencije o djeci u dječjem vrtiću, Pravilnika o obrascima zdravstvene dokumentacije djece predškolske dobi i evidencije u dječjem vrtiću i sl.) te Nacionalnog kurikuluma za rani i predškolski odgoj i obrazovanje.
Važno!
Ako dječji vrtić prikuplja i obrađuje osobne podatke temeljem posebnih propisa, odnosno ako je takva obrada nužna radi poštovanja pravnih obveza dječjeg vrtića kao voditelja obrade, u tom slučaju privola kao jedna od mogućih pravnih osnova za obradu ne bi bila primjenjiva. Primjerice; Člankom 52. Zakona o predškolskom odgoju i obrazovanju propisano je kako dječji vrtić vodi pedagošku i zdravstvenu dokumentaciju te evidenciju o djeci. Člankom 1.a. istog Zakona propisano je kako dječji vrtić kao javne ovlasti obavlja poslove upisa djece u dječji vrtić i ispise djece iz dječjeg vrtića s vođenjem odgovarajuće dokumentacije, izdavanje potvrda i mišljenja, upisivanje podataka o dječjem vrtiću u zajednički elektronički upisnik.
Isto tako, ako dječji vrtić prikuplja i obrađuje osobne podatke prilikom sklapanja ugovora između dječjeg vrtića i roditelja malodobnog djeteta, kao korisnika usluga, odnosno ako je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora, u tom slučaju privola kao jedna od mogućih pravnih osnova za obradu ne bi bila primjenjiva.
Prikupljanje i obrada osobnih podataka prilikom ostvarivanja prednosti upisa djece u dječji vrtić te određivanja kriterija i mjerila za naplatu usluga (ostvarivanje olakšica u cijeni). Prednost pri upisu djece u dječje vrtiće, koji su u vlasništvu jedinice lokalne i područne (regionalne) samouprave ili u državnom vlasništvu, imaju djeca roditelja žrtava i invalida domovinskog rata, djeca iz obitelji s troje ili više djece, djeca zaposlenih roditelja, djeca s teškoćama u razvoju, djeca samohranih roditelja i djeca u udomiteljskim obiteljima, djeca u godini prije polaska u osnovnu školu i djeca roditelja koji primaju doplatak za djecu (članak 20. Zakona o predškolskom odgoju i obrazovanju). Način ostvarivanja prednosti pri upisu djece u dječji vrtić utvrđuje osnivač dječjeg vrtića svojim aktom (primjerice; Pravilnik dječjeg vrtića). Roditelj odnosno skrbnik djeteta je dužan dostaviti dječjem vrtiću dokaze o činjenicama bitnim za ostvarivanje prednosti pri upisu (primjerice; ukoliko se radi o djetetu sa teškoćama u razvoju potrebno je dostaviti nalaz i mišljenje tijela vještačenja). Što se tiče određivanja kriterija i mjerila za naplatu usluga, dječji vrtić koji je osnovala jedinice lokalne i područne (regionalne) samouprave, naplaćuje svoje usluge od roditelja-korisnika usluga, sukladno mjerilima koja utvrđuje predstavničko tijelo te jedinice osim programa predškolske koji je za roditelje besplatan (članak 48. Zakona o predškolskom odgoju i obrazovanju). Važno! Dakle, u slučaju kada roditelj prilikom podnošenja zahtjeva za upis djeteta u vrtić traži ostvarivanje prava prednosti upisa (primjerice: dijete iz obitelji s troje ili više malodobne djece), odnosno olakšicu u plaćanju, dužan je na traženje dječjeg vrtića dostaviti određenu dokumentaciju, odnosno podatke kojima dokazuje da su ispunjeni uvjeti za ostvarivanje prednosti pri upisu u dječji vrtić/olakšice u plaćanju.
U skladu s navedenim, svaki je vrtić dužan izraditi provedbeni propis kojim se uređuje postupak upisa djece u dječji vrtić, način organiziranja i ostvarivanja programa predškolskog odgoja, obrazovanja i socijalne skrbi djece predškolske dobi te prava i obveze roditelja odnosno skrbnika djece - korisnika usluga u dječjem vrtiću.
Informiranje/obavještavanje roditelja malodobne djece je obveza svakog dječjeg vrtića kao voditelja obrade prilikom prikupljanja i daljnje obrade osobnih podataka prilikom ostvarivanja prednosti upisa djece u dječji vrtić te određivanja kriterija i mjerila za naplatu usluga (ostvarivanje olakšica). Dječji vrtić je dužan razgraničiti koji osobni podaci i informacije se prikupljaju temeljem njihove zakonske obveze, odnosno koji su obvezni osobni podaci, a koji fakultativni (ovisno o tome da li se traže ostvarivanje nekih dodatnih prava/olakšica).
Napomena!
Prilikom prikupljanja osobnih podataka potrebo je razlikovati PRIVOLU od INFORMIRANJA/PRUŽANJA OBAVIJESTI ispitaniku.
PRIVOLA je jedna od mogućih zakonitih osnova za obradu osobnih podataka i ne treba se tražiti ukoliko se osobni podaci obrađuju temeljem neke druge zakonite osnove.
Dok je PRUŽANJE INFORMACIJA jedna od temeljnih obveza dječjeg vrtića, kao voditelja obrade neovisno o pravnoj osnovi prikupljanja i daljnje obrade osobnih podataka te je isto potrebno u svakom slučaju obrade osobnih podataka. S obzirom na primjenu Opće uredbe skrećemo pozornost na sljedeće temeljne obveze dječjeg vrtića kao voditelja obrade: pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava (članci 12. do 22. Opće uredbe o zaštiti podataka), provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite osobnih podataka (članci 25. i 32. Opće uredbe o zaštiti podataka), vođenje evidencija aktivnosti obrade (članak 30. Opće uredbe o zaštiti podataka), imenovanje službenika za zaštitu podataka (članak 37. Opće uredbe o zaštiti podataka).
• Pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava (članak 13. i 14. Opće uredbe o zaštiti podataka)
Vezano za pružanje informacija ispitanicima (primjerice; roditeljima malodobne djece i sl.) u svrhu ostvarivanja njihovih prava navodimo kako je poštujući načelo transparentnosti dječji vrtić dužan ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi o zaštiti podataka, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka). Također, ukoliko osobni podaci nisu dobiveni od ispitanika dječji vrtić dužan je ispitaniku pružiti osim gore navedenih informacija i informacije o izvoru osobnih podataka (članak 14. Opće uredbe o zaštiti podataka).
Osim toga, navodimo kako je u svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka, a time i ostvarivanja prava ispitanika: pravo pristupa podacima, prava na ispravak netočnih podataka, prava na brisanje podataka, prava na ograničenje obrade podataka, prava na prenosivost podataka i prava na ulaganje prigovora na obradu osobnih podataka dječji vrtić dužan detaljno objasniti koje vrste osobnih podataka prikuplja, u koju svrhu i po kojoj pravnoj osnovi, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje mjere zaštite osobnih podataka se poduzimaju (izrada politika privatnosti).
Isto tako ukazujemo kako je potrebno usklađivanje internih akata vezanih uz radno-pravne odnose, odnosno uskladiti odredbe internih akata koje se odnose na zaštitu osobnih podataka u kojima će na sveobuhvatan i jasan način biti ugrađene informacije koje je dječji vrtić u trenutku prikupljanja osobnih podataka obvezan ispitaniku pružiti (standardi iz članka 13. i članka 14. Opće uredbe o zaštiti podataka).
• Provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite osobnih podataka (članci 25. i 32. Opće uredbe o zaštiti podataka)
Dječji vrtić dužan je poduzimati i provoditi odgovarajuće tehničke i organizacijske mjere zaštite koje imaju za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka, odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koristi. Napomene!
- dokumentaciju u papirnatom obliku koja sadrži osobne podatke pohraniti, primjerice u ormare ili ladice pod ključem koja će biti pod nadzorom ovlaštenih osoba,
- pristup osobnim podacima pohranjenim u elektroničkom obliku trebao bi biti omogućen uporabom korisničkog imena i lozinke,
- izrada sigurnosnih kopija od strane ovlaštenih osoba, bilježenje pristupa podacima,
- potpisivanje izjava o povjerljivosti osoba koje su u obradi osobnih podataka (Izjave o povjerljivosti možete pronaći na internet stranici ove Agencije http://azop.hr/info-servis/detaljnije/izjava-o-povjerljivosti),
- pseudonimizacija ili enkripcija osobnih podataka-osobito ako se radi o posebnim kategorijama (primjerice: podataka o zdravlju).
• Evidencija aktivnosti obrade (članak 30. Opće uredbe o zaštiti podataka)
Evidencija aktivnosti obrade je formular, odnosno informativni katalog informacija koji služi kao svojevrstan pregled/presjek svake pojedine obrade osobnih podataka kao i dokaz da je obrada osobnih podataka zakonita, tj. sukladna odredbama Opće uredbe o zaštiti podataka. Evidencija aktivnosti obrade mora sadržavati informacije iz članka 30. Opće uredbe o zaštiti podataka te mora biti u pisanom obliku, uključujući elektronički oblik. Podaci sadržani u evidenciji obrade trebali bi biti na odgovarajući način zaštićeni (primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa).
• Službenik za zaštitu podataka (članci 37.-39. Opće uredbe o zaštiti podataka)
Službenik za zaštitu podataka je osoba imenovana od strane dječjeg vrtića kao voditelja obrade koja vodi brigu o zakonitosti obrade osobnih podataka i ostvarivanju prava na zaštitu osobnih podataka. Važno je istaknuti kako službenik za zaštitu podataka može biti zaposlenik vrtića ili vanjski suradnik (osoba koja nije zaposlenik vrtića). Prilikom imenovanja službenika potrebno je voditi računa da ne postoji sukob interesa (voditi računa da takva osoba ne sudjeluje u donošenju odluka kojima se utvrđuje svrha i način obrade osobnih podataka). Dječji vrtić dužan je donijeti Odluku o imenovanju službenika sukladno Općoj uredbi o zaštiti podataka vodeći računa o stručnim kvalifikacijama (stručnom znanju i praksi iz područja zaštite osobnih podataka) te je dužan objaviti kontaktne podatke službenika za zaštitu podataka (npr. generička e-mail adresa, službeni broj telefona, nema obveze navođenja imena i prezimena službenika) i priopćiti ih nadzornom tijelu.
NAJČEŠĆA PITANJA I ODGOVORI U SVEZI PRIKUPLJANJA I DALJNJE OBRADE OSOBNIH PODATAKA U DJEČJIM VRTIĆIMA
1. Smije li dječji vrtić tražiti od roditelja dostavu knjižice o cijepljenju/cijepnog kartona u svrhu upisa u dječji vrtić?
Obveza cijepljenja djece propisana je posebnim propisima i drugim podzakonskim aktima (primjerice: Zakon o predškolskom odgoju i obrazovanju, Zakonom o zaštiti pučanstva od zaraznih bolesti, Pravilnik o obrascima i sadržaju pedagoške dokumentacije i evidencije o djeci u dječjem vrtiću i sl) koji obvezuju dječji vrtić, kao voditelja obrade. Stoga su roditelji/zakonski zastupnici dužni dostaviti knjižicu o cijepljenju/cjepni karton svojeg djeteta u svrhu ostvarivanja upisa u dječji vrtić. Međutim, ističemo kako je dužnost dječjeg vrtića pružiti sve potrebne informacije/obavijesti roditeljima u svezi dostave knjižice/kartona radi upisa djeteta u dječji vrtić.
2. Smije li dječji vrtić objaviti na mrežnoj stranici i oglasnoj ploči rješenje o upisu djece sa pripadajućim popisom upisane djece?
Rješenje o upisu djece s pripadajućim popisom upisane djece bi se moglo učiniti dostupnim na mrežnim stranicama ili oglasnoj ploči dječjeg vrtića ako je isto uređeno pravilnikom o upisu djece dječjeg vrtića ili odlukom jedinice lokalne samouprave o upisima djece u dječji vrtić utemeljenim na zakonu. Ukoliko isto nije propisano navedenim podzakonskim aktima tada je potrebna privola roditelja kao zakonskih zastupnika djece.
PREPORUKA!
• prvo razmotriti da li postoje drugi načini obavješćivanja roditelja djece ili dodjeljivanjem posebnih šifriranih lozinki koje pseudonimiziraju identitet djeteta (ime i prezime), ulaskom u objavljene liste putem dodijeljenih korisničkih imena i lozinki koji su dostupni samo roditeljima (navedenim postupanjem bi bila ostvarena transparentnost vođenja posebnog postupka upisa djece u određeni dječji vrtić te bi se na taj način zakonskim zastupnicima adekvatno omogućilo ostvarivanje njihovih prava vezano za upis djece u pojedini dječji vrtić).
3. Vrtić traži dostavu preslike osobnog dokumenta (osobna iskaznica) trećih osoba koje dolaze u vrtić po dijete.
Da li je isto zakonito? Prilikom upisa u vrtić roditelji djece daju osobne podatke trećih osoba (ime, prezime, adresu stanovanja, broj osobne iskaznice) koje osim njih mogu doći u vrtić preuzeti dijete, što nije upitno. Međutim samo prikupljanje preslika osobnih iskaznica trećih osoba, smatralo bi se prekomjernom i ne praktičnom iz razloga što dolazi do nepotrebnog prikupljanja preslika osobnih dokumenata, a samim time i do veće mogućnosti zlouporabe ili neovlaštenog korištenja osobnih podataka čime postoji mogućnost narušavanja načela zaštite osobnih podataka.
PREPORUKA!
• pronaći manje invazivnu metodu u svrhu ostvarivanje sigurnosti (zaštite) djece na način da djelatnik vrtića izvrši samo uvid u osobni dokument (osobnu iskaznicu) treće osobe koja dolazi u vrtić po dijete
4. Isticanje imena i prezimena djeteta na ormarićima. Da li je isto zakonito?
Dječji vrtić bi mogao objaviti osobne podatke djece na ormarićima u svrhu lakše organizacije i identifikacije pojedinog korisnika ormarića, ali bi morao voditi računa o opsegu osobnih podataka koji se ističu na ormarićima, te na istima navesti ime i prezime ili inicijale prezimena.
5. Videonadzorni sustav u dječjim vrtićima. Da li je isto dopušteno?
Dječji vrtić bi smio postaviti videonadzorni sustav ukoliko procijeni da je to potrebno zbog zaštite imovine i osoba (djece). U tom slučaju dječji vrtić bi trebao istaknuti vidljivu obavijest o sustavu videonadzora koja bi trebala sadržavati sve elemente propisane Zakonom o provedbi Opće uredbe o zaštiti podataka (članak 27. citiranog Zakona). Prilikom snimanja trebalo bi voditi računa o tome da se ne bi smjele snimati prostorije za odmor zaposlenika, garderoba, prostori za osobnu higijenu te prostor u kojemu djeca kontinuirano borave i igraju se.
PREPORUKA!
• donošenje Pravilnika o postavljanju sustava videonadzora u kojemu bi bilo potrebno detaljno regulirati sva pitanja glede njegovog postavljanja. U Pravilniku bi trebalo, između ostalog, upoznati zaposlenike vrtića s postavljanjem sustava videonadzora, odrediti zaposlenike koji će imati pravo pristupa snimkama videonadzora, propisati koliko dugo se čuvaju snimke videonadzora, te koja su prava ispitanika, a sve sukladno Općoj uredbi o zaštiti podataka i Zakonu o provedbi Opće uredbe o zaštiti podataka.
6. Objava osobnih podataka izabranog kandidata u provedenom natječajnom postupku na mrežnim (web) stranicama dječjeg vrtića?
Dječji vrtić koji je u svojstvu tijela javne vlasti dužan je sukladno posebnom zakonu (Zakon o pravu na pristup informacijama) objavljivati informacije o ishodu natječajnog postupka na mrežnim stranicama (web stranici), a sve u svrhu transparentnosti provođenja natječajnog postupka. Prilikom objave osobnih podataka izabranog kandidata provedenog natječajnog postupka potrebno je voditi brigu o opsegu objave osobnih podataka. Tako je dječji vrtić dužan objaviti podatke o kvalifikacijama izabranog kandidata (naziv radnog mjesta, stručne kvalifikacije te ime i prezime izabranog kandidata, dok se svi ostali osobni podaci (primjerice; adresa stanovanja,OIB, kontakt podaci) moraju na odgovarajući način zaštititi.
7. Smije li dječji vrtić objaviti osobne podatke zaposlenika na mrežnim stranicama?
Kod objave osobnih podataka zaposlenika dječjeg vrtića trebalo bi voditi brigu da se objavljuju samo oni podaci koji su nužni da bi postigla utvrđena svrha (informiranje radnika, roditelja polaznika dječjeg vrtića) odnosno dovoljno je objaviti imena i prezimena radnika i nazive radnih mjesta te eventualno njihovu stručnu spremu, dok bi sve ostale osobne podatke (primjerice: datum i godinu rođenja radnika, mjesto rođenja, privatnu adresu) koji se odnose na privatnu sferu zaposlenika trebalo zaštititi odnosno ne objavljivati javno na mrežnim stranicama vrtića.
8. Može li tajnik dječjeg vrtića biti imenovan na funkciju službenika za zaštitu podataka?
Tajnik dječjeg vrtića može biti imenovan na funkciju službenika za zaštitu podataka pod uvjetom da ta osoba ne dođe u sukob interesa te da kao službenik za zaštitu podataka bude u mogućnosti obavljati svoje dužnosti i zadaće na neovisan način.
PREPORUKA!
• dječji vrtić, kao voditelj obrade odlučuje o mogućem postojanju sukoba interesa u svakom pojedinom slučaju, pritom posebno uzimajući u obzir obilježja organizacijske strukture dječjeg vrtića
9. Smije li dječji vrtić objaviti imena i prezimena djece u literarnim radovima koji se objavljuju na oglasnoj ploči i u zbornicima radova?
Dječji vrtić može objaviti imena i prezimena djece u literarnim radovima isključivo ukoliko je to propisano pravilnikom dječjeg vrtića utemeljenom na zakonu, odnosno ukoliko je objava propisana kurikulumom ili godišnjim planom i programom rada dječjeg vrtića. Ako objava nije propisana tim propisima, tada je potrebna privola roditelja malodobne djece.
PREPORUKA!
• kod objave imena i prezimena djece uz literarne radove je potrebno voditi računa o opsegu podataka koji se objavljuje, te po mogućnosti objaviti samo ime djeteta, bez navođenja prezimena, a sve u svrhu da se onemogući njihova identifikacija i prepoznavanje, te osigura zaštita osobnih podataka.
10. Dječji vrtić objavljuje fotografije djece na svojim mrežnim (web) stranicama. Da li je isto zakonito?
Dječji vrtić bi mogao objavljivati isključivo skupne fotografije djece (primjerice ako se radi o odgojno-obrazovnim manifestacijama) na svojim službenim mrežnim (web) stranicama pod uvjetom da su roditelji djece bili prethodno obavješteni/informirani da će njihova djeca biti fotografirana.
PREPORUKA!
• Agencija drži kako dječji vrtić ne bi smio objavljivati pojedinačne fotografije djece s obzirom da se putem takvih fotografija pojedino dijete ciljano izdvaja iz mase, te bi za eventualnu objavu takve fotografije trebala postojati opravdana svrha i privola roditelja.
11. Objava fotografija djece na društvenim mrežama (npr. Facebook)?
Savjetujemo da se ne objavljuju fotografije djece (skupne i individualne) na društvenim mrežama (npr. Facebook) s obzirom da su djeca najosljetljivija skupina u društvu koja treba uživati posebnu zaštitu prilikom obrade osobnih podataka, te da su društvene mreže dostupne velikom broju korisnika globalne mreže, koji bi mogli zlouporabiti dječje fotografije u razne maliciozne svrhe.