Детска градина в град П. загуби копие на акт за раждане и така наруши GDPR

При проверка в досието на детето се оказва, че “документите на В.А. „не са мястото си“, което нарушава принципа, че обработването на лични данни трябва да се осъществява по начин, който да гарантира подходящо ниво на защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и организационни мерки.”

Майка подава заявление за прием в детска градина, две години след това учителите на групата са поискали пак информацията с цел “актуалност на данните за детето и месторабота на родителя, адрес и телефон.”

При проверка на досието е установено, че акта за раждане и заявлението на детето „не са на мястото си“. Г-жа К.Е. е отказала да предостави нови документи. Всичко това е част от решението на Комисията за защита на личните данни, която разглежда жалбата на г-жа К.Е.

Ето какво се случва по-нататък:

„От детското заведение сочат, че тези документи са „за потребление на детската градина при необходимост от връзка с родители“ и при достигане съответната възрастова група /трета/ за вписване в книгата за подлежащите на задължително обучение деца до 16 – годишна възраст, където по закон се вписват адресите на родителите и техните ЕГН-та.

Относно попълването на декларация за предоставяне на лични данни и декларация за публичност е посочено, че същите са в съответствие с ПДДГ на детска градина „Р.“ № 12, гр. П. за учебната 2018/2019 г., съответно на чл. 134 и чл. 135, приет с протокол № 1/17.09.2018 г. от Педагогически съвет. Декларацията относно вземането на дете е в съответствие с чл. 39, т. 1 и т. 2 от ПДДГ на детска градина № 12 „Р.“, гр. П.

Относно съхранението на документите информират, че същите се събират от първо число на месец януари на всяка календарна година до 30 април на съответната година. След изтичане на срока, подадените заявления се разпределят възрастово по групи и за тях отговарят учителите на тези групи.

Достъп до данните на децата имат медицинските сестри на ясла, учителките на групите, предвид законовото им задължение да вписват данните и присъствията на децата в дневниците на групата.

Медицинските сестри водят амбулаторен дневник и здравни картони. Достъп до данните на децата имат оторизираните лица на МОН и РУО за достъп до базата на НЕИСПУО.

Посочено е, че след влизане в сила на регламента, от колектива на детската градина са приети вътрешни правила за защита на личните данни.

… На проведено на 04.04.2019 г. заседание на Комисията жалбата е приета за процесуално допустима и като страни в административното производство са конституирани: жалбоподател К.Е., лично и в качеството на законен представител на В.А. и ответна страна – Детска градина „Р.“ № 12, гр. П., управлявана от директор, съгласно чл. 98 от Правилника за дейността на детска градина „Р.“ № 12, в качеството на администратор на лични данни. Страните са редовно уведомени за насроченото за 26.06.2019 г. заседание на Комисията за разглеждане на жалбата по същество.

Съгласно чл. 10, ал. 1 от Закона за защита на личните данни във връзка с чл. 57, § 1, б. „е“ от Регламента и чл. 38, ал. 3 от Закона за защита на личните данни Комисията за защита на личните данни разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по ЗЗЛД, както и жалби на трети лица във връзка с правата им по този закон.

Жалбата е насочена срещу неправомерно съхранение на лични данни на В.А., дъщеря на К.Е. По отношение на твърденията изложени в жалбата за „коректността на входящия номер“, се прави отбелязването, че същото е извън компетентността на Комисията за защита на личните данни.

По отношение на твърденията на г-жа К.Е., че от отговора на детската градина, не става ясно кои длъжностни лица отговарят за съхранението и предоставянето на документите, по административната преписка от детската градина е предоставена заповед № 4/18.09.2018 г., от която е видно лицето, което събира, съхранява и ползва информацията от националната електронна информационна система за предучилищното и училищно образование (НЕИСПУО).

Разгледана по същество жалбата по отношение на твърденията за неправомерно съхранение на лични данни е основателна.

По административната преписка не е спорно, че В.А. е записана в Детска градина „Р.“ № 12, гр. П.

Установено е, че от г-жа К.Е., в качеството на законен представител на В.А. при постъпване на детето в детска градина „Р.“ № 12, гр. П., са изискани необходимите документи, съгласно Закона за предучилищното и училищното образование.

По преписката не е спорно, че документи, съдържащи личните данни на майката и копие от акта за раждане на В.А. са предоставени от г-жа К.Е. на детската градина.

Не спорно, че е спазено законовото задължение от детската градина за вписване на В.А. в националната електронна информационна система за предучилищното и училищно образование (НЕИСПУО).

Установено е, че при проверка на досието документите на В.А. „не са мястото си“, което представлява неправомерно обработване на лични данни в хипотезата на неправомерно съхранение на документи, съдържащи лични данни, в нарушение на принципа разписан в чл. 5, пар. 1, б. „е“ от Регламент (ЕС) 2016/679, обработването да се осъществява в по начин, който да гарантира подходящо ниво на защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и организационни мерки.

Съгласно Наредба № 8 от 11. 08.2016 г. за информацията и документите за системата на предучилищното и училищното образование предвидените форматите за водене и съхраняване на документа са в електронен вид, като обаче се съхраняват и на хартиен носител.

При отчитане степента на извършеното нарушение, се вземат предвид следните смекчаващи обстоятелства – не са констатирани други нарушения на администратора, нарушението на принципите за обработване на личните данни се явява първо за детска градина „Р.“ № 12, гр. П., признато е неправомерното съхранение на личните данни от страна на детската градина, не са настъпили сериозни вреди за субекта на данни. Детската градина е общинско заведение на бюджетна издръжка.

При така изнесените обстоятелства по-целесъобразно е да се наложи само корективното правомощие, посочено в чл. 58, пар. 2, б. „г” от Регламента.

Предвид изхода на спора, не следва да бъде присъден претендирания адвокатски хонорар.

Предвид гореизложеното и на основание чл. 57, § 1, б. „е“ от Регламента, съответно чл. 10, ал. 1, във връзка с чл. 38, ал. 3 от Закона за защита на личните данни, Комисията се произнесе със следното

РЕШЕНИЕ:

  1. Обявява жалба с рег. № ПП Н-01-902/08.11.2018 г., подадена от К.Е., като законен представител на В.А. срещу детска градина „Р.“ № 12, гр. П. за основателна по отношение на твърдението на жалбоподателката за неправомерно съхранение на личните данни, представляващо нарушение на принципа регламентиран с разпоредбата чл. 5, б. „е“ от Регламент (ЕС) 2016/679.
  2. Във връзка с т. 1 и на основание чл. 58, § 2, буква „г“ от Регламент (ЕС) 2016/679 разпорежда на детска градина „Р.“ № 12, гр. П. да предприеме необходимите технически и организационни мерки за обработване/съхранение на лични данни, за което да предостави необходимите доказателства в 14 – дневен срок от влизане в сила на решението.”
Можете да споделите: