Přestože právní úprava ochrany osobních údajů daná Obecným nařízením (GDPR) není již žádnou novinkou, a také se příliš neliší od předchozí právní úpravy, stále dochází k pochybením při zpracování osobních údajů ve školách, a to jak zpracování osobních údajů dětí, tak zaměstnanců. V některých otázkách bývá trvání na přesném dodržování právní úpravy považováno za přepjatý formalismus. Zkušenosti však ukazují, že z každého takového pochybení může vzniknout závažný spor se zákonnými zástupci.
A kde tedy dochází k pochybením nejčastěji?
Nejčastější chyby při zpracování osobních údajů v průběhu přijímacího řízení
Už při přípravě tohoto řízení je možné z hlediska zpracování osobních údajů udělat mnoho chyb. Od počátku si musí ředitel školy uvědomovat, že během celého řízení musí respektovat všechny zásady, jak je stanoví čl. 5 Obecného nařízení (GDPR). Jedna z těch při přijímacím řízení nejporušovanějších je zásada minimalizace, která říká, že osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Rozsah požadovaných, a tedy i následně zpracovávaných osobních údajů musí vždy odpovídat stanovenému účelu, kterým je v tomto případě přijímací řízení.
Žádost o přijetí dítěte ke vzdělávání musí odpovídat zákonným požadavkům a požadavkům školy v rámci kritérií. Vzhledem k tomu, že žádost o přijetí ke vzdělávání je dokumentem, jehož podání zahajuje správní řízení na žádost, zákonné požadavky klade zejména § 37 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů, podle kterého fyzická osoba uvede v podání jméno, příjmení, datum narození a místo trvalého pobytu, popřípadě jinou adresu pro doručování.
S ohledem na výše uvedenou zásadu minimalizace, tedy na žádosti o přijetí budou obsaženy jen tyto údaje. Dále informace o očkování nebo výjimkách podle § 50 zákona č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, a informace, které budou potvrzovat splnění kritérií.
Žádné další údaje nesmí být v této fázi zpracovávány.
Neproběhlá aktualizace zpracovávaných osobních údajů
Osobní údaje jsou školami zpracovávány na různých základech. Nejtypičtější jsou následující tři varianty:
Osobní údaje zpracovávané na základě školského zákona
školní matrika, doklady o přijímacím řízení, o průběhu vzdělávání a jeho ukončování, třídní kniha, záznamy z pedagogických rad, kniha úrazů a záznamy o úrazech žáků, lékařské posudky a zprávy.
Osobní údaje zpracovávané podle zvláštních zákonů
podněty pro jednání OSPOD, přestupkové komise, podklady žáků pro vyšetření v PPP, hlášení trestných činů, neomluvená absence, údaje o zdravotní způsobilosti žáka na zotavovacích akcích.
Osobní údaje zpracovávané na základě informovaného souhlasu
fotografie za účelem propagace či zvýšení zájmu o školu, videozáznamy z akcí pro rodiče, školní e-mail.
Škola by měla alespoň jednou za rok nejen aktualizovat osobní údaje v dokumentaci vedené přímo školou, ale také se zorientovat v novelách zákonů a prováděcích právních předpisů, které se mohou dotknout činnosti školy, aby nedocházelo například k předávání osobních údajů na základě staré právní úpravy tam, kde již takové předání není možné. Tento postup je nezbytný, aby byla dodržena zásada přesnosti – osobní údaje musí být zpracovávány přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny.
Nadbytečný souhlas
Přestože jak náš dozorový úřad (Úřad pro ochranu osobních údajů), tak i úřad evropský (EDPB), opakovaně mluví o tzv. nadbytečném souhlasu, stále se zejména ve školství objevují údaje „pro jistotu“, a to i v situacích, kdy je zpracování osobních údajů nezbytné pro plnění právní povinnosti, kde tedy souhlas absolutně nemá co dělat.
Jedním z obvyklých je souhlas na vzorové žádosti o přijetí. Zpracování osobních údajů v rámci přijímacího řízení probíhá na základě čl. 6 odst. 1 písm. c) Obecného nařízení (GDPR) - zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje. Souhlas proto není zapotřebí.Pokud je souhlas vyžadován, jedná se tzv. nadbytečný souhlas.Dotčeným subjektům údajů je totiž tím, že je po nich takovýto souhlas vymáhán, poskytována informace, že předmětné zpracování probíhá na základě vyjádření jejich vůle, a poskytnutí údajů je tudíž z jejich strany dobrovolné, nikoliv povinné. Informace, že zpracování údajů bude probíhat se souhlasem dotčených osob a poskytnutí údajů je tedy dobrovolné.
V některých případech škola musí rozlišovat jednotlivé kroky a účely zpracování. Např. škola je oprávněna zpracovávat osobní údaje týkající se poskytnutých podpůrných opatření dle § 16 školského zákona, a to výslovně dle § 28 odst. 2 písm. f) téhož zákona. V případě, že údaje o poskytnutém podpůrném opatření konkrétnímu žákovi nebo studentovi bude chtít škola zpracovávat dále - evidovat jinde než v dokumentaci školy, poskytnout tyto osobní údaje třetí osobě (např. zřizovateli pro účely zanesení do jeho informačních systémů, poskytovatelům doučovacích kurzů nebo prodejcům speciálních školních pomůcek apod.) musí si škola za tímto účelem obstarat předchozí souhlas žáka, studenta nebo zákonného zástupce.
Viditelné informace (výkresy, nástěnky apod.)
Školská legislativa detailně neupravuje všechny údaje, které o žácích i rodičích škola vede. Ředitelé škol proto často zvažují, kde je hranice, za kterou nesmí jít a které údaje nesmí zveřejňovat. Jedná se např. o kontaktní údaje, jmenovky dětí, podpisy dětí na výkresech či podpisy rodičů na prezenčních listinách.
Obecné nařízení (GDPR) umožňuje škole zpracovávat údaje jak v rámci plnění právních povinností, tak z důvodu plnění úkolů ve veřejném zájmu. Škola musí a může zpracovávat výše uvedené údaje, neboť jsou nezbytně nutné pro její činnost.
Obdobnými situacemi mohou být prezentace výrobků a výkresů žáků s uváděním jejich jmen. Uvedené informace je nutno vždy formulovat slušně a osobní údaje uvádět v přiměřeném rozsahu, přitom zvažovat, zda by současně nemohly zasahovat do soukromí dalších osob.
Zdroje:
Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
Zákon č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), ve znění pozdějších předpisů.
Stanovisko č. 3/2014 - K nadbytečnému vyžadování souhlasu se zpracováním osobních údajů a souvisejícímu nesprávnému plnění informační povinnosti, https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=11913&n=stanovisko%2Dc%2D3%2D2014%2Dk%2Dnadbytecnemu%2Dvyzadovani%2Dsouhlasu%2Dse%2Dzpracovanim%2Dosobnich%2Dudaju%2Da%2Dsouvisejicimu%2Dnespravnemu%2Dplneni%2Dinformacni%2Dpovinnosti
Metodická pomůcka k aplikaci obecného nařízení o ochraně osobních údajů (GDPR), https://msmt.gov.cz/file/51137/download/
