СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П-1001/10.02.2016
гр. София, 06.06.2016 г.
ОТНОСНО: Искане с №П-1001 от 10.02.2016год., по въпроси, касаещи оповестяването на резултатите от различните видове изпитни форми и обемът информация, която трябва да бъде публикувана.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венцислав Караджов и Членове: Цветелин Софрониев, Цанко Цолов, Мария Матева и Веселин Целков на заседание, проведено на 01.06.2016г., разгледа искане с №П-1001/10.02.2016г., което е по повод на постъпило запитване в кол центъра от г-жа П.М., майка на ученик в 51 СОУ „Елисавета Багряна“. Тя се обръща към КЗЛД с въпроса дали е допустимо училищата да публикуват на интернет страниците си списъци с трите имена и резултати от проведените външни оценявания на ученици. Бе изискано становище от МОН по поставените въпроси. В своя отговор (П-2153/24.03.2016г.) те не вземат отношение, предвид липсата на правно основание за публикуването им. Междувременно, в КЗЛД постъпва становище от директора на 51 СОУ „Елисавета Багряна“, с което ни информира, че няма забранителни текстове по отношение на публикуването – то е направено на интернет страницата на училището с цел по-ефикасното информиране на родителите за резултатите.
С цел да се избегнат подобни казуси в бъдеще, в същото писмо се поставят въпроси, във връзка с това, в кои от долуизброените случаи не е нарушение да се поставят на публично място (входа на училището или интернет страницата му) списъци с имената на ученици, брой точки или оценки, които са получили:
· за новоприети ученици в първи, пети и осми клас;
· за резултати от олимпиади и състезания;
· за резултати от приравнителни и други изпити.
След извършена проверка се установи, че понастоящем списъците с имената на учениците са свалени от сайта на 51 СОУ „Елисавета Багряна“.
Правен анализ
Съгласно чл.1, ал.1 от Закона за защитата на личните данни (ЗЗЛД), законът урежда защитата на правата на физическите лица при обработването на личните им данни. Целта на закона е да бъде гарантирана неприкосновеността на личността и личния живот, чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
По смисъла на чл.3, ал.1 от ЗЗЛД, администратор на лични данни е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата на обработване на лични данни. След извършена проверка се установи, че 51 СОУ „Елисавета Багряна“ е вписано в еРАЛД като администратор на лични данни под идентификационен №157644. Училището е юридическо лице, представлявано от директора, съгласно разпоредбата на чл.10, ал.5 от Закона за народната просвета, съответстваща на чл.29, ал.1 от Закона за предучилищното и училищно образование (в сила от 1 август 2016г.).
Съгласно разпоредбата на чл.29г от Наредба №3 от 15.04.2003г. за системата на оценяване, директорите на училища издават заповеди за провеждане на приравнителни изпити, изпити за промяна на оценка, за определяне на срочна и годишна оценка по учебен предмет. С тях, те определят датата на провеждане на изпитите, началният час, съставът на всяка комисия, срокът за изготвяне на изпитните материали, времето и мястото за проверка на изпитните работи, срокът и мястото за оповестяване на резултатите от изпита. Съобщението за датата, мястото и началния час на изпита, както и за срока и мястото за оповестяване на резултатите се поставя на общодостъпно мястов училището най-късно три дни преди датата за провеждане на изпита.
Изготвянето и оповестяването на списъците с резултатите на новоприети ученици, резултати от олимпиади, състезания, приравнителни изпити, представлява „Обработване на лични данни“ по смисъла на параграф 1, т.1 от Допълнителните разпоредби на ЗЗЛД, т.е. „всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване“. За да бъде законосъобразно обработването на личните данни на физическите лица, трябва да е налице поне една от алтернативно изброените предпоставки за допустимост на обработването, визирани в чл.4, ал.1 от ЗЗЛД.
Поради липсата на нормативна уредба в сферата на образованието по отношение на начина, по който става оповестяването на резултатите от различни видове изпитни форми и обем на информация, който трябва да се съдържа, следва да бъдат съблюдавани общите принципи, визирани в ЗЗЛД и основанията за правомерното обработване на лични данни.
Поставянето на публично място на списъците с резултатите на новоприетите ученици в първи, пети и осми клас, резултатите от олимпиади и състезания и такива от приравнителни и други изпити, с посочване на трите имена, клас и брой точки/оценки, по безспорен начин ще идентифицира физическите лица– ученици. Това е информация, която в своята съвкупност би могла да стане достояние на неограничен кръг субекти. Поради тази причина, за да бъде законосъобразно обработването на лични данни, физическото лице, за което се отнасят данните, трябва да е дало изрично своето съгласие (чл. 4, ал.1, т.2 от ЗЗЛД). Тъй като тук става въпрос за малолетни и непълнолетни лица, съгласно разпоредбите на чл.3, ал.2 и чл.4 ал.2 от Закона за лицата и семейството, правни действия от тяхно име извършват техните законни представители– родители или настойници/попечители, съгласието за обработване на лични данни трябва да изхожда от тях. Легалната дефиниция за "Съгласие на физическото лице" се съдържа в параграф 1, т.13 от Допълнителните разпоредби на ЗЗЛД. Това е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани. За да бъде дадено валидно и обработването да е законосъобразно, съгласието трябва да отговаря на редица изисквания. То трябва да бъде информирано, т.е. администраторът на лични данни трябва да предостави необходимата пълна и изчерпателнаинформация по всички въпроси, свързани с обработването (обем на данните, цел на обработването, срок на обработването и др.) и конкретно– обвързано е с посочването това какви данни и с каква цел те ще бъдат обработвани.
Изразяването на съгласие би могло да стане посредством подписването на писмена декларация, с която да бъде удостоверено информираното съгласие на законните представители на учениците (т.е. техните родители, осиновители, настойници или попечители), във връзка с обработването на личните данни на последните.
По отношение на обема от данни, които трябва да бъдат публикувани в списъците за оценки, трябва да се спазват принципите за пропорционалност и съотносимост,регламентирани в чл.2, ал.2, т.2 и т.3 от ЗЗЛД. Данните трябва да се събират само за конкретни, точно определени законни цели и да не се обработват допълнително.
Цитирана по-горе разпоредба на чл.29г от Наредба №3 от 15.04.2003г. за системата на оценяване не създава задължение за директорите на училищата да оповестят на общодостъпно място резултати отпреведени изпити.
Оповестяването би могло да бъде извършено чрез индивидуална проверка на списъците с резултати, намиращи се при директора и/или служител, изрично упълномощен от него, от родители и настойници/попечители, тъй като това са лица, имащи правен интерес.
Алтернативно, при оповестяването на резултатите на интернет страницата на училището може да бъде възприет подходът на Регионалните инспекторати по образованието, а именно достъпът да се осъществява чрез използването на индивидуални код за достъп и парола, които могат да се получат както към момента на записването, така и на последващ етап. Във всички случаи, трябва да бъдат предприети необходимите технически и организационни мерки за защита при обработването на личните данни, съобразно разпоредбите на Наредба №1 от 30 януари 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.
С оглед на гореизложеното и на основание чл.10, ал.1, т 4 от ЗЗЛД, Комисията за защита на лични данни изрази следното
СТАНОВИЩЕ:
Липсата на нормативна уредба в сферата на образованието по отношение на начина, по който става оповестяването на резултатите от различните видове изпитни форми и обемът информация, която трябва да бъде публикувана, обуславя прилагането на общите правила на Закона за защита на личните данни. За да бъде законосъобразно публичното оповестяване, което е вид обработване на лични данни, трябва да бъде дадено изричното информирано съгласие на законните представители на учениците, съгласно разпоредбата на чл.4, ал.1, т.2 от ЗЗЛД.
По отношение на публикуването, то трябва да се извърши съобразно принципите на съотносимост и пропорционалност– данните да се събират само за конкретни, точно определени законни цели. Биха могли да се възприемат различни подходи, като например индивидуален достъп до списъците с оценки или публикуването им на интернет страницата на училището, като достъпът да се осъществява с индивидуален код и парола.
ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
Венцислав Караджов /п/ |
Цанко Цолов /п/ |