Ochrana osobních údajů

Školy typicky zpracovávají velké množství osobních údajů o žácích, ale též o jejich rodičích a zaměstnancích. Tyto informace jsou evidovány jak elektronicky, tak v listinné podobě. Na obojí se vztahuje tzv. GDPR.  

Základním právním předpisem upravujícím ochranu osobních údajů je Obecné nařízení o ochraně osobních údajů, tzv. GDPR. 

To je dosud nejvíce uceleným souborem pravidel na ochranu osobních údajů na světě. Jedná se o předpis schválený na půdě EU, který je závazný pro všechny státy EU a je bezprostředně použitelný. 

Má přednost před českými zákony. V České republice je GDPR doplněno zákonem o zpracování osobních údajů. Tento zákon upravuje ustanovení a organizaci Úřadu pro ochranu osobních údajů jakožto dozorového úřadu pro Českou republiku. 

Příslušným orgánem pro provádění kontrol a ukládání pokut je Úřad pro ochranu osobních údajů. Ačkoliv jedná samostatně, je částečně podřízen Evropskému sboru pro ochranu osobních údajů. Evropský sbor pro ochranu osobních údajů plní především koordinační funkci a dohlíží na to, aby GDPR bylo uplatňováno v celé EU stejným způsobem.  

Základním principem při zpracování osobních údajů je, že každé zpracování osobních údajů, jejich evidence, vytvoření, uložení, změna apod. musí být podřazeno pod jeden z právních důvodů zpracování osobních údajů, které GDPR definuje.  

Těmito důvody jsou:  

• splnění právní povinnosti, typicky povinnost evidovat údaj vyplývající z právního předpisu (např. vedení školní matriky požaduje § 28 školského zákona),  

• veřejný zájem,  

• splnění smlouvy,  

• ochrana životně důležitých zájmů subjektů údajů,  

• oprávněný zájem správce/školy a  

• souhlas se zpracováním osobních údajů.  

 Zvláštní kategorie osobních údajů dříve nazývané citlivé údaje mají stanoveny odlišné důvody zpracování. Pokud škola zpracovává osobní údaje z nějakého výše uvedeného důvodu, zpracovává je legálně.  

V oblasti GDPR je často diskutované zveřejňování fotografií na nástěnkách, webových stránkách školy a sociálních sítích. 

Obecně platí, že pro zveřejnění fotografií je třeba souhlasu zákonného zástupce nebo žáka (podle věku a vyspělosti). Úřad pro ochranu osobních údajů potvrzuje, že existují výjimky, kdy škola může zveřejnit některé ilustrační fotografie bez souhlasu žáků nebo jejich zákonných zástupců. Nicméně jedná se o výjimky a k použití fotografie na sociální sítí je třeba souhlas vždy. Souhlas však nemusí být udělen zvlášť pro každou fotografii, ale např. pro docházku na celý první stupeň základní školy.  

Škola má dále z GDPR následující povinnosti:  

• jmenovat pověřence pro ochranu osobních údajů 

• zabezpečit osobní údaje 

• hlásit porušení zabezpečení osobních údajů 

• vést záznamy o činnostech zpracování osobních údajů  

• mít uzavřené smlouvy se zpracovateli 

• Pokud předává osobní údaje do třetích zemí, nastavit pravidla souladná s GDPR 

• Plnit vůči žákům, rodičům a zaměstnancům informační povinnosti a zajistit práva subjektů údajů 

Pověřenec pro ochranu osobních údajů 

Pověřenec pro ochranu osobních údajů je institut přejatý z německého práva. Osoba, kterou správce osobních údajů jmenuje pověřencem, má na starosti poskytovat informace a poradenství správcům osobních údajů nebo zpracovatelům osobních údajů a monitorovat soulad s GDPR. 

Další jeho povinností je spolupracovat s Úřadem pro ochranu osobních údajů a zároveň pro tento úřad působit jako kontaktní místo. Školy jsou orgány veřejné moci, a proto musí jmenovat pověřence pro ochranu osobních údajů.  

Pověřenec pro ochranu osobních údajů může být zaměstnanec nebo může úkoly plnit na základě smlouvy o poskytování služeb. Pověřenec jako zaměstnanec musí být přímo podřízen vrcholovým řídícím pracovníkům. Z toho vyplývá, že pověřencem nemůže být statutární orgán, tedy ředitel. Pověřence je též možné sdílet s jinými správci či zpracovateli. 

Podstatnou náležitostí postavení pověřence je jeho nezávislost. Tím je míněno, že pověřenec nesmí dostávat žádné pokyny ohledně výkonu svých úkolů. Nezávislost pověřence je též zaručena zákazem sankcí za plnění úkolů pověřence. Pokud je pověřenec zaměstnancem správce, nesmí být propuštěn v souvislosti s plněním svých úkolů. Zároveň nesmí být pověřenec ve střetu zájmů, který by mohl vzniknout v souvislosti s jinou činností pro správce, resp. zpracovatele. 

Co se týče odborných znalostí, pověřenec by měl mít znalosti práva a praxe v oblasti ochrany osobních údajů. Důležité mohou být také jiné znalosti (např. znalost v oblastech IT a bezpečnosti dat). Úroveň znalostí by měla odpovídat rozsahu, citlivosti a způsobu zpracování. Jiné znalosti tedy bude mít pověřenec pro školu, jiné pro hlavní město Praha a jiné pro Facebook. 

Pověřenec ze své pozice musí mít přístup k informacím důležitým pro jeho činnost. Správce či zpracovatel musí pověřenci zajistit přístup k potřebným podkladům a zdrojům. Jelikož pověřenec bude často potřebovat podklady od konkrétních zaměstnanců, je nutné, aby zaměstnanci byli informováni o existenci pověřence a o povinnosti poskytnout mu potřebnou součinnost. 

Informace o tom, kdo je pověřenec pro ochranu osobních údajů, by měly být uvedeny na webových stránkách školy.  

Dle požadavků GDPR je nutné zpracovávané osobní údaje vhodně zabezpečit, přičemž vhodné zabezpečení je věc individuální pro každou organizaci. 

Jinými slovy, GDPR nenařizuje, jaké je povinné zabezpečení pro školy a způsoby zabezpečení se tak mohou lišit. Zejména je nutné vzít v potaz povahu, rozsah, kontext a účel zpracování a také riziko, které potenciálně hrozí subjektům údajů v případě jejich zneužití. Z toho vyplývá, že citlivé osobní údaje (např. údaje o zdravotním stavu) je zásadně nutné chránit více a lépe než běžné osobní údaje (např. seznamy osob). 

Podívejte se na několik doporučení týkajících se zabezpečení osobních údajů. Mění se v čase stejně jako se mění aktuální stav poznání techniky.  

Pokud dojde z jakéhokoli důvodu k porušení zabezpečení osobních údajů, musí na to správce osobních údajů/škola bez zbytečného odkladu, zpravidla však do 72 hodin, upozornit Úřad pro ochranu osobních údajů. 

Ohlášení případu není nutné, pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob (čl. 33 odst. 1 GDPR). Tato povinnost je významná sice pro všechny zaměstnance, ale zejména pro osoby, které mohou detekovat kybernetické útoky na školu.  

K tomu, aby škola a dozorový úřad měly přehled, jaké osobní údaje jsou zpracovány, jaký je právní důvod jejich zpracování, komu jsou zpřístupněny, jak jsou zabezpečeny apod., slouží záznamy o činnostech zpracování osobních údajů.  

Záznam o činnostech zpracování je písemný dokument, který definuje, jakým způsobem škola zpracovává osobní údaje. 

Pro každý typ zpracování musí být veden samostatný záznam. Není tedy nutné zaznamenávat každé jednotlivé zpracování osobních údajů konkrétního člověka. Jinými slovy, škola má záznam o činnostech zpracování nazvaný „personální agenda“, ve kterém je obecně popsáno, se kterými údaji zaměstnanců se pracuje. 

Při přijetí nového zaměstnance se nový záznam o činnostech zpracování připravovat nebude, nicméně by škola jako správce osobních údajů měla postupovat v souladu se záznamem o činnostech zpracování. Záznamy je nutné na žádost zpřístupnit Úřadu pro ochranu osobních údajů. Záznam totiž primárně slouží úřadu jako vodítko k tomu, aby se zorientoval v tom, jak v dané organizaci probíhá zpracování osobních údajů. Úřad pro ochranu osobních údajů bude také posuzovat, zda faktické zpracování v organizaci probíhá tak, jak je popsáno v záznamech o činnostech zpracování. 

Záznamy o činnostech zpracování je nutné vést písemně, přičemž za písemnou podobu se považují i záznamy vedené v elektronické podobě. 

Správce osobních údajů je ten, kdo určuje účel a prostředky zpracování osobních údajů. V běžných situacích je to škola. 

Zpracovatel je ten, kdo zpracování za správce provádí. Zpracovatelem však není zaměstnanec. Typickými zpracovateli jsou poskytovatelé cloudových nebo jiných IT řešení. 

Význam dělení na správce a zpracovatele spočívá v tom, že mezi nimi musí být vždy uzavřena písemná smlouva, přičemž za písemnou se považuje i elektronická podoba. 

Zpracovatelská smlouva, aby vyhovovala GDPR, by měla obsahovat následující náležitosti: 

• předmět a doba trvání zpracování osobních údajů, povahu a účel zpracování, typ osobních údajů a kategorii subjektů údajů; 

• ustanovení, že zpracovatel osobních údajů nesmí do zpracování osobních údajů zapojit žádného dalšího zpracovatele bez předchozího konkrétního či obecného souhlasu správce; 

• ustanovení, že zpracovatel bude zpracovávat osobní údaje pouze v rozsahu stanoveném smlouvou mezi ním a správcem, případně na základě doložených pokynů správce; 

• ustanovení, že na osoby zpracovatele, které zpracovávají osobní údaje, se vztahuje zákonná povinnost mlčenlivosti nebo je zpracovatel k této mlčenlivosti smluvně zaváže; 

• ustanovení, že se zpracovatel zaváže přijmout taková technická, organizační a jiná potřebná opatření, spočívající např. v šifrování, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití; 

• ustanovení, že zpracovatel je povinen správci poskytnout součinnost pro případ výkonu jiných povinností správce podle GDPR, např. realizace práv subjektů údajů na přístup k osobním údajům či povinnosti ohlašovat porušení zabezpečení osobních údajů; 

• ustanovení, že zpracovatel je povinen vrátit správci po ukončení zpracování osobních údajů všechny osobní údaje, pokud to není v rozporu s jinými právními předpisy; 

• ustanovení, že zpracovatel poskytne správci veškeré informace potřebné k doložení splnění povinností podle GDPR a umožní správci kontrolu zákonnosti zpracování osobních údajů, pokud to neodporuje právnímu předpisu. 

GDPR upravuje v článku 13 a 14 informační povinnost správce – školy, resp. tomu odpovídající právo subjektu údajů – typicky žáka, být informován o zpracování svých osobních údajů. 

Škola by měla zaměstnanci či žákovi, jehož osobní údaje zpracovává, sdělit svoje identifikační údaje, dále informaci o tom, zda jmenovala pověřence pro ochranu osobních údajů a kdo jím je, pro jaký účel osobní údaje zpracovává a na jakém právním základě. 

Dále by měla subjekty údajů informovat o případných příjemcích či kategoriích příjemců osobních údajů a o případném úmyslu předat osobní údaje do třetí země a o existenci či neexistenci rozhodnutí Evropské komise o odpovídající ochraně. 

Dále by každá škola měla subjekt údajů poučit o možnosti (i) uplatnit právo na přístup k osobním údajům, (ii) uplatnit právo být zapomenut, (iii) uplatnit právo na opravu osobních údajů a (iv) uplatnit právo na omezení osobních údajů. 

Školy mají zpravidla čtyři skupiny subjektů údajů, vůči kterým jsou povinny plnit informační povinnost. 

Jedná se o:  

• žáky a jejich rodiče v souvislosti se zpracováním osobních údajů při poskytování vzdělávání; 

• zaměstnance školy v souvislosti s pracovní agendou; 

• uživatelé webových stránek v souvislosti se využíváním tzv. cookies a obdobných nástrojů; 

• fyzické osoby, které mohou být zaznamenány na kamerovém záznamu. 

Proto je nutné vhodně nastavit, jakým způsobem bude informační povinnost plněna, zda na webových stránkách, v interní směrnici nebo jiným způsobem.   

Podrobnější informace naleznete v publikaci: První zkušenosti s GDPR ve školství, Alice Frýbová a kol. a zde: https://oushop.osu.cz/prvni-zkusenosti-s-gdpr-ve-skolstvi-id430286-sk9002.html  

Úkolem ICT koordinátora je zajistit, aby školní informační a komunikační technologie byly v souladu s platnými zákony a předpisy týkajícími se ochrany osobních údajů. Některé povinnosti spadají přímo do kompetence ICT koordinátora, některé budou v kompetenci jiné osoby, s kterou bude ICT koordinátor pracovat ohledně řešení ochrany osobních údajů.

O jaké povinnosti se jedná?