1. Na začátku školního roku bude důležité znění přihlášky ke školnímu stravování, kam strávníci zapisují své osobní údaje. Domníváte se, že na přihlášce musí být uveden souhlas strávníka (zák. zástupce) se zpracováním osobních údajů dle GDPR, když tyto informace jídelna musí evidovat ze zákona?
Podle názoru MŠMT není nutné, aby školní jídelna coby školské zařízení požadovala souhlas se zpracováním osobních údajů za účelem zabezpečení školního stravování žáků.
Podle čl. 6 nařízení GDPR účinného od 25. 5. 2018 je zpracování osobních údajů zákonné, pokud jsou zpracovávány v odpovídajícím rozsahu a zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje.
Právnická osoba, která vykonává činnost školy, má zákonem stanovenou povinnost zajistit školní stravování, a to přednostně v zařízeních školního stravování. MŠMT ale není gestorem problematiky ochrany osobních údajů a nemá pravomoc závazného výkladu právních předpisů. Výše uvedený výklad příslušných ustanovení má proto pouze informativní povahu.
2. Podle některých informací budou muset poskytovat souhlas se zpracováním informací už třináctileté děti. Co se stane v případě, že školy od nich nebo jejich rodičů tento souhlas nedostanou?
Nařízení počítá s tím, že zpracování osobních údajů na základě souhlasu dítěte je zákonné pouze v souvislosti s nabídkou služeb informační společnosti přímo dítěti, a to v případě, že je dítě ve věku nejméně 16ti let s tím, že členské státy mohou právním předpisem stanovit nižší věk, ne však nižší než 13 let. Dítě může udělit souhlas se zpracováním osobních údajů v závislosti na své rozumové a volní vyspělosti. V této souvislosti je třeba zmínit, že česká právní úprava v současně navrhovaném znění počítá právě s nejnižší možnou věkovou hranicí, tedy s věkem 13 let. Je však nezbytné uvést, že návrh zákona o zpracování osobních údajů je dosud v legislativním procesu, a není tak vyloučeno, že se věková hranice bude měnit.
K druhé části dotazu je třeba uvést, že pokud zpracování bez souhlasu není možné (tzn. nejde o zpracování, jež umožňuje bez souhlasu subjektu údajů právní předpis) a poskytnutí souhlasu bylo dítětem nebo zákonným zástupcem odepřeno, pak osobní údaje v tomto smyslu nelze zpracovávat. V praxi dále může docházet k situacím, kdy dítě vysloví se zpracováním svých osobních údajů souhlas, ale osoba vykonávající rodičovskou odpovědnost k dítěti se zpracováním osobních údajů dítěte nesouhlasí a naopak. V takovéto situaci lze doporučit vyvinutí zvýšeného úsilí k dosažení shody, přičemž pokud se ani přes toto úsilí shody nepodaří dosáhnout, je třeba o tomto učinit záznam do spisu (jedná se například o situace, kdy rodič dítěte nebude souhlasit s vytvořením e-mailové adresy dítěte sestávající z jeho jména). V případě zásadní otázky a neshody mezi dítětem a osobou, která ve vztahu k němu vykonává rodičovskou odpovědnost (typicky například v případě, kdy rodiče budou požadovat, aby dítě mělo zvláštní stravovací režim, nicméně dítě bude preferovat běžný stravovací režim, apod.), lze doporučit osobní údaje spíše nezpracovávat, případně se obrátit na věcně a místně příslušný soud s žádostí o ustanovení kolizního opatrovníka v této věci.
3. Na nedodržení podmínek nařízení jsou vypsány poměrně drastické pokuty. Kdo je ve školství bude platit, pokud některé školy tyto předepsané podmínky nesplní? Budete je vymáhat po jejich ředitelích?
K výši pokut je třeba uvést, že nařízení stanoví toliko maximální výši pokuty a nikoli pevnou částku. Dozorový úřad tedy v konkrétních případech na základě daných skutkových okolností stanoví, v jaké výši bude případná pokuta uložena s tím, že nelze bez dalšího předpokládat, že by v prostředí školství byly standardně ukládány pokuty v maximální či obdobné výši. K druhé části dotazu je třeba konstatovat, že tento není položen zcela jasně. Pokud by byla škole za případné pochybení uložena pokuta, pak ministerstvo není orgánem, který by mohl tuto pokutu jakkoli vymáhat, natož pak regresem vůči ředitelům škol. Ukládání případných pokut je toliko v kompetenci dozorového úřadu.
4. Jaká konkrétní opatření musí školy zavést?
Konkrétní nezbytná opatření v jednotlivých školách budou vždy záviset na tom, jaké osobní údaje a jakým způsobem se v jednotlivé škole zpracovávají. Ministerstvo vypracovalo ryze praktický „Stručný návod na zabezpečení procesů související s GDPR ve školách“ (dále jen „stručný návod“), který obsahuje popis jednotlivých činností, které je třeba udělat krok za krokem. Přílohou stručného návodu jsou pak rozsáhlé vzorové záznamy, které budou podle názoru ministerstva z velké části aplikovatelné napříč školami. Stručný návod si tak klade za cíl školám přípravu na účinnost nařízení zásadně zjednodušit. Co se týče konkrétních činností, které je třeba udělat, pak lze v souhrnu uvést, že školy by měly zejména zanalyzovat, jaké údaje zpracovávají a jakým způsobem. Na základě této analýzy je pak možné vypracovat záznamy o činnostech zpracování ve smyslu čl. 30 nařízení (viz příloha stručného návodu). Školy by si měly dále zkontrolovat také smlouvy, které se zpracování těchto dat týkají, například smlouvy s poskytovateli IT či čipových karet ke vstupu do škol; doporučení ke zpracovatelským smlouvám jsou rovněž ve stručném návodu uvedena. Tamtéž dále najdou postup, jak správně nastavit vnitřní procesy (včetně vzoru vnitřního předpisu) a vzorové informace o činnostech zpracování. Stručný návod, který školy provede problematikou GDPR po praktické stránce, je k dispozici ZDE.
Zároveň MŠMT připravilo praktickou metodickou pomůcku pro snadnější implementaci GDPR ve školství, kteráje k dispozici ZDE.
5. Co se změní při ochraně údajů dětí?
Nařízení GDPR obecně práva subjektů údajů posiluje s tím, že práva dětí je třeba ve vztahu k ochraně osobních údajů obzvlášť chránit. Nařízení v čl. 8 nově upravuje, že souhlas se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti přímo dítěti může udělit dítě ve věku nejméně 16 let s tím, že členské státy mohou stanovit věk nižší, nejméně však 13 let. Podle informací kterými disponujeme, obsahuje návrh zákona o zpracování osobních údajů, který je v současné době v legislativním procesu, věkovou hranici 15 let. Výše zmíněná úprava se však skutečně týká pouze nabídky služeb informační společnosti přímo dítěti, v ostatních otázkách zůstává právní úprava neměnná, tedy že dítě může udělit souhlas se zpracováním osobních údajů v závislosti na své rozumové a volní vyspělosti.
6. Mohou školy dle nařízení zveřejňovat jména a příjmení žáků, třídu a jejich fotky například ve školním časopise, na sociálních sítích a na webu školy? Některé školy tvrdí, že nebudou moct napsat do školního časopisu ani to, že žák „Jan Novák z 2. A“ vyhrál školní soutěž. Jaká forma zveřejnění je přípustná a je k ní potřeba souhlasu žáka či rodičů se zpracováním osobních údajů?
V propagačních materiálech školy, ve výroční zprávě či ročence školy, na školním webu či na nástěnkách ve škole apod. lze s obecným souhlasem žáků nebo zákonných zástupců žáků uveřejňovat výhradně textové či obrazové informace o jejich úspěších (např. u soutěží umístění na předních místech) s uvedením pouze jména (případně ročníku či třídy). Žák nebo zákonný zástupce má právo požadovat bezodkladné zablokování či odstranění informace či fotografie či záznamu týkající se jeho osoby, který zveřejňovat nechce. Platí to i o fotografiích či záznamech žáka bez uvedení jména v rámci obecné dokumentace školních akcí a úspěchů.
7. Školy musí mít pověřence pro ochranu osobních údajů, může jím být i zaměstnanec školy?
Ano, pověřenec může být zaměstnancem správce (tj. ředitele) v pracovněprávním vztahu či na základě dohody o provedení práce či pracovní činnosti, ale rovněž může vykonávat své povinnosti i na základě smluvního vztahu se správcem za předpokladu, že splňuje podmínky dané nařízením. V podrobnostech si ministerstvo dovoluje odkázat na metodickou pomůcku, která je dostupná ZDE a v níž lze najít podrobná doporučení k problematice pověřence.