Přijímací řízení na MŠ a ZŠ a časté chyby v ochraně dat

Přijímací řízení do mateřských a základních škol obsahuje řadu nástrah, i z pohledu ochrany osobních údajů. Problémem je zejména shromažďování dat v nadbytečném rozsahu. Častou chybou je také vymáhání souhlasu se zpracováním.

Přijímací řízení do školy a osobní údaje

Přijímací řízení do škol, které je řízením správním, je z právního i faktického hlediska složité. Je nezbytné respektovat celou řadu právních předpisů, zejména školský zákon, občanský zákoník, správní řád nebo obecné nařízení o ochraně osobních údajů (GDPR).

Už při přípravě tohoto řízení je možné z hlediska zpracování osobních údajů udělat mnoho chyb. Ředitel školy si musí od počátku uvědomovat, že je během celého řízení povinen respektovat všechny zásady pro zpracování osobních údajů, jak je stanoví čl. 5 GDPR. Jedna z těch při přijímacím řízení nejporušovanějších je zásada minimalizace, která říká, že osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Rozsah požadovaných, a následně zpracovávaných, osobních údajů musí vždy odpovídat stanovenému účelu, kterým je v tomto případě přijímací řízení na mateřskou nebo základní školu.

Kritéria pro přijetí dítěte či žáka

V současné době je obvyklé, že kapacita škol nedostačuje požadavkům rodičů. Ředitel školy musí stanovit pořadí zájemců o a určit, které děti budou přijaty a které nikoli. To je v zásadě možné pouze pomocí předem definovaných kritérií.

Podle § 34 školského zákona k předškolnímu vzdělávání přijímá děti ředitel mateřské školy. Ten také stanoví kritéria pro přijetí. Některé kritéria jsou pak stanovena přímo zákonem. V takovém případě o nich nemůže ředitel rozhodovat, pouze kontroluje jejich splnění. Patří mezi ně kritérium očkování - spolu s výjimkami z této povinnosti disponuje škola informacemi o zdravotním stavu, kritérium věku a spádového obvodu.

Mezi kritéria, která stanoví ředitel a která nesmí být diskriminační, může patřit sociální situace, informace o sourozencích ve škole apod. Pro ověření, jestli a jak je jednotliví zájemci o přijetí splňují, může škola zpracovávat související osobní údaje.

Žádost o přijetí do školy

Žádost o přijetí dítěte ke vzdělávání musí odpovídat zákonným požadavkům a požadavkům školy dle stanovených kritérií. Žádost o přijetí ke vzdělávání je dokumentem, jímž se zahajuje správní řízení na žádost. Požadavky na její náležitosti klade zejména § 37 správního řádu, podle kterého fyzická osoba uvede v podání jméno, příjmení, datum narození a místo trvalého pobytu, popřípadě jinou adresu pro doručování.

S ohledem na výše uvedenou zásadu minimalizace osobních údajů by na žádosti o přijetí měly být obsaženy jen tyto identifikační údaje. Dále informace o očkování nebo výjimkách podle § 50 zákona o ochraně veřejného zdraví a informace, které budou potvrzovat splnění kritérií.

Žádné další údaje nesmí být v této fázi školou zpracovávány.

Na žádostech o přijetí lze v praxi často nalézt požadavek na údaje o zdravotní pojišťovně, státní příslušnosti atd. Podle zásady minimalizace lze však zpracovávat pouze osobní údaje, které jsou nezbytné pro naplnění účelu, kterým je vydání rozhodnutí o přijetí či nepřijetí dítěte ke vzdělávání. A to informace o zdravotní pojišťovně, státní příslušnosti atd. skutečně nejsou. Proto jejich shromažďováním už ve fázi přijímacího řízení dochází k porušování GDPR.

Například informace o státní příslušnosti je u přijatých dětí součástí školní matriky vedené podle § 28 školského zákona, ale v rámci správního řízení se jedná o nadbytečný údaj.

Se souhlasem nebo bez souhlasu?

Na vzorových žádostech o přijetí se také často objevuje souhlas se zpracováním osobních údajů právě pro účely vedení správního řízení.

Zpracování osobních údajů v rámci přijímacího řízení probíhá na základě čl. 6 odst. 1 písm. c) GDPR - zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje. Souhlas proto není v žádném případě zapotřebí. Pokud je souhlas vyžadován, jedná se tzv. nadbytečný souhlas a nepřesné informování o zpracování osobních údajů. Dotčeným subjektům údajů je totiž tím, že je po nich takovýto souhlas vymáhán, nesprávně sdělováno, že zpracování probíhá na základě vyjádření jejich vůle, a poskytnutí údajů je tudíž z jejich strany dobrovolné, nikoliv povinné.

Dotčená osoba, které správce tvrdí, že určité zpracování osobních údajů probíhá na základě jejího souhlasu, bude mít o zpracování nesprávné informace. Bude se proto např. moci pokusit jej zastavit tím, že svůj (nadbytečně vymáhaný) souhlas odvolá. Správce, jemuž pro dané zpracování svědčí jiný právní titul (například je mu určité zpracování uloženo zvláštním zákonem), v něm nicméně bude povinen pokračovat, ačkoliv se subjekt údajů bude domnívat, že zpracování již na základě odvolání souhlasu bylo ukončeno. Pokud o této skutečnosti správce daný subjekt údajů ani nevyrozumí, tento pak do jisté míry ztratí kontrolu nad svými osobními údaji.

Potvrzení lékaře o zdravotním stavu dítěte

V praxi často zaznívá otázka, zda je nezbytnou součástí žádosti o přijetí potvrzení lékaře o zdravotním stavu dítěte. Jde nezřídka o reakci na kontrolu České školní inspekce, která toto potvrzení když ne vyžaduje, tak alespoň velmi důrazně doporučuje.

Není pochyb o tom, že škola pro svou činnost potřebuje znát některé informace o zdravotním stavu dítěte. Platí to zejména v případě, kdy má dítě nějaké zdravotní postižení nebo speciální vzdělávací potřeby. Škola se na takovou situaci musí připravit, počínaje snížením počtu dětí ve třídě, konče stavebními úpravami.

Otázkou ovšem je, zda škola potřebuje znát informace o zdravotním stavu i u dětí, které žádné speciální požadavky a potřeby nemají. Z hlediska ochrany osobních údajů je odpověď jednoznačná – NE.

Evidenční list dítěte

Běžnou praxí mateřských škol při přijímacím řízení je, že rodič dítěte vyplní nejen žádost o přijetí, ale zároveň s ní i tzv. evidenční list dítěte. Pouze menšina mateřských škol dává tento list vyplnit až po skončení přijímacího řízení, tedy pouze rodičům již přijatých dětí.

Evidenční list dítěte obvykle obsahuje velmi široký rozsah osobních údajů rodičů a jejich dítěte, o jehož přijetí k předškolnímu vzdělávání rodič žádá. Kromě základních identifikátorů často obsahuje i zaměstnavatele matky a otce a telefonní číslo na tohoto zaměstnavatele, jméno a příjmení sourozenců a jejich rok narození, adresu či telefon při náhlém onemocnění dítěte, výčet osob, které mohou dítě vyzvedávat s označením vztahu takové osoby k dítěti, vyjádření lékaře, zda dítě vyžaduje nějakou speciální péči, zda je dítě řádně očkováno, informace o případných alergiích dítěte, u rozvedených rodičů číslo rozsudku, komu bylo dítě svěřeno do péče a umožnění styku druhého rodiče s dítětem atd.

Jak již bylo uvedeno výše, pro správní řízení, jehož výsledkem je rozhodnutí o přijetí či nepřijetí dítěte, je většina údajů uvedených v evidenčním listu dítěte nadbytečné. Při respektování zásad uvedených v čl. 5 GDPR by proto evidenční list dítěte měl být vyplňován pouze u přijatých dětí.

Obvyklým argumentem je, že vyplnění obou dokumentů zároveň je jednodušší a zjednodušuje administrativu. Z hlediska ochrany osobních údajů a plnění právních požadavků však tento argument neobstojí. Lze proto doporučit alespoň takový postup, kdy škola již vyplněné evidenční listy u nepřijatých dětí po skončení správního řízení prokazatelně a nevratně zlikviduje.

Pro úplnost je třeba dodat, že u základních škola se tento problém neobjevuje; katalogové listy jsou vyplňovány na začátku školního roku pouze u přijatých žáků.

Loading...