Článek navazuje na tři předchozí příspěvky publikované v Řízení školy a věnuje se situacím, kdy žák, resp. zákonný zástupce dítěte, žáka nesouhlasí se zveřejněním osobních údajů, odvolá souhlas se zpracováním osobních údajů, požádá o výmaz osobních údajů nebo vznese námitku proti zpracování osobních údajů. Cílem článku je zodpovědět některé z dotazů, se kterými se autorky setkávají v souvislosti s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“).
Nejčastější dotazy z praxe škol v oblasti GDPR
PhDr. Mgr.
Monika
Puškinová,
Ph.D.,
právník a specialista na školskou legislativu
Mgr.
Alice
Frýbová,
právnička společnosti Holubová advokáti, s. r. o.
1. Rodič nesouhlasil se zveřejněním fotografií a videozáznamů žáka na webových stránkách školy. Jak dále postupovat?
Na úvod shrňme východiska odpovědi:
-
Zveřejnění fotografií a jednorázových audiovizuálních záznamů bez jmenného popisku jednotlivých žáků ilustrujících průběh školní akce není zpracováním osobních údajů ve smyslu GDPR.
-
Zveřejnění fotografií a videozáznamů se jmenným popiskem dítěte (může se jednat o skupinu více dětí, ale i o portrétní fotografii), resp. analogicky zpracovaných audiovizuálních záznamů, je zpracováním osobních údajů ve smyslu GDPR. Liší se však právní názory na právní důvod zveřejnění takové fotografie. Existuje právní názor, podle kterého je právním důvodem zveřejnění uvedené fotografie souhlas. Stejně tak je vysloven právní názor, podle kterého je právním důvodem zpracování takové fotografie oprávněný zájem správce (viz článek Nejčastější dotazy z praxe škol - 3. část v
Řízení školy
11/2018). Autorky se však vzhledem ke skutečnosti, že subjektem údajů je dítě, kterému GDPR přiznává větší ochranu soukromí než dospělým, domnívají, že fotografie se jmenným popiskem dítěte, žáka by měla být zveřejněna na základě uděleného souhlasu.Pokud žák, resp. rodič dítěte nebo žáka neudělil souhlas se zveřejněním fotografií a videozáznamů žáka, je nutné rozlišit dvě situace:
1)
Jedná-li se o fotografii „ilustrační“ bez jmenného popisku (resp. o analogicky zpracovaný videozáznam), neudělení souhlasu nebude mít na možnost zveřejnění těchto fotografií zpravidla1) vliv. To znamená, že i bez udělení souhlasu může škola tyto fotografie zveřejňovat na svých webových stránkách.
2)
Jedná-li se o fotografii, ke které je přiřazen minimálně jmenný popisek dítěte, např. „Anička Nováková ze IV. B vyhrála okresní kolo matematické olympiády. Gratulujeme!“, bude situace odlišná. Jestliže v tomto případě zákonný zástupce žáka neudělí souhlas se zveřejněním fotografie, pak takové fotografie nelze do budoucna zveřejňovat (např. na webových stránkách, nástěnkách školy).
2. Jak má škola postupovat, pokud rodič nejprve udělil souhlas se zveřejněním fotografií svého dítěte, ale pak jej odvolal?
I v tomto případě platí, že je nutné rozlišovat zveřejnění
-
fotografií „ilustračních“, jejichž zveřejnění není podmíněno udělením souhlasu se zpracováním osobních údajů,
-
fotografií se jmenným popiskem, jejichž zveřejnění je podmíněno udělením souhlasu se zpracováním osobních údajů.
Pokud rodič odvolá dříve udělený souhlas se zveřejněním fotografie se jmenným popiskem, pak takové fotografie nelze do budoucna zveřejňovat.
3. Rodič nejprve udělil souhlas se zveřejněním fotografií žáka, pak tento souhlas odvolal a současně požádal o výmaz starších fotografií dítěte, které jsou zveřejněny na webových stránkách školy. Jaké kroky má škola učinit?
Právo na výmaz neboli „právo být zapomenut“ je upraveno v čl. 17 odst. 1 GDPR takto:
Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
a)
osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
b)
subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) zpracovány, a neexistuje žádný další právní důvod pro zpracování;
c)
subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2;
d)
osobní údaje byly zpracovány protiprávně;
e)
osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
f)
osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1.
Pro výše uvedený příklad je relevantní ustanovení čl. 17 odst. 1 písm. b) GDPR, tedy že subjekt údajů (žák či rodič) odvolá souhlas a podá žádost o výmaz. Opět je třeba rozlišit výše uvedené dvě situace:
-
Pokud jsou na webových stránkách školy zveřejněny ilustrační fotografie bez jmenného popisku, nejedná se o zpracování osobních údajů ve smyslu GDPR, a proto ani nelze uplatnit právo na výmaz vyplývající z GDPR. Pro školu to znamená, že nemusí kontrolovat starší fotografie, které jsou zveřejněné na jejích webových stránkách, a mazat ty fotografie, na kterých je při „zdokumentování“ určité akce zachycena i podoba daného žáka.
-
Jedná-li se o fotografie se jmenným popiskem, pak se právo na výmaz uplatní, jelikož je splněna podmínka uvedená v čl. 17 odst. 1 písm. b) GDPR (subjekt údajů odvolal svůj souhlas). Škola musí na svých webových stránkách smazat veškeré fotografie se jmenným popiskem, na kterých je zachycen a pomocí jmenného popisku identifikován daný žák.
Pro ujasnění připomínáme, že právo na výmaz se uplatní pouze v případě, že je splněna jedna z výše uvedených podmínek. Lze předpokládat, že školy se budou setkávat s případy, kdy
-
subjekt údajů požádá o výmaz osobních údajů a osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovávány [čl. 17 odst. 1 písm. a) GDPR], a
-
subjekt údajů požádá o výmaz osobních údajů a odvolává souhlas se zpracováním osobních údajů [čl. 17 odst. 1 písm. b) GDPR].
Zdůrazňujeme, že v situaci, kdy zpracování (včetně uchování) osobních údajů ukládá právní předpis, není možné žádosti o výmaz vyhovět (např. výmaz údajů ze školní matriky před uplynutím skartační lhůty).
4. Poprvé jsme se setkali s tím, že rodič podal námitku proti zpracování osobních údajů svého dítěte. Může rodič podat námitku proti jakémukoli zpracování osobních údajů svého dítěte?
V souvislosti se zpracováním osobních údajů má subjekt údajů (např. žák, rodič žáka) řadu práv. Jedním z nich je právo vznést námitku proti zpracování osobních údajů.
Právo vznést námitku je upraveno v čl. 21 GDPR následovně (pro přehlednost uvádíme pouze relevantní část článku):
1.
Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
(...)
4.
Subjekt údajů je na právo uvedené v odstavcích 1 a 2 výslovně upozorněn a toto právo je uvedeno zřetelně a odděleně od jakýchkoli jiných informací, a to nejpozději v okamžiku první komunikace se subjektem údajů.
(...)
6.
Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, má subjekt údajů, z důvodů týkajících se jeho konkrétní situace, právo vznést námitku proti zpracování osobních údajů, které se ho týkají, ledaže je zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu.
Vznést námitku je tedy možné proti zpracování, které
-
je založeno na oprávněném zájmu správce, tj. školy [čl. 6 odst. 1 písm. e) GDPR], nebo
-
je prováděno ve veřejném zájmu [čl. 6 odst. 1 písm. f) GDPR].
Smyslem práva vznést námitku proti zpracování osobních údajů je v určitých případech zajistit, aby subjekt údajů měl možnost ovlivnit zpracování svých osobních údajů. V praxi školy se jedná o situace, kdy bez „aktivního vyjádření“ subjektu údajů škola zpracovává osobní údaje např. žáků na základě oprávněného zájmu správce (např. podoba žáka je zaznamenána kamerovým systémem) nebo veřejného zájmu (např. vystavení výtvarného díla žáka ve škole s připojeným jménem a příjmením).
Jestliže správce (škola) zpracovává osobní údaje a přitom vychází z jiného právního základu zpracování, právo vznést námitku se na dané zpracování osobních údajů nevztahuje. To mimo jiné znamená, že právo vznést námitku proti zpracování osobních údajů nemůže subjekt údajů (např. žák, rodič) uplatnit v případě, kdy škola zpracovává osobní údaje, protože tím plní právní povinnost [čl. 6 odst. 1 písm. c) GDPR].
Pro ilustraci oprávněného a neoprávněného vznesení námitky proti zpracování osobních údajů uvádíme dva příklady.
Situace 1
-
Rodič vznesl námitku proti tomu, že škola ve školní matrice základní školy eviduje rodné číslo jeho dítěte.
-
Zpracováním rodného čísla ve školní matrice základní školy škola plní právní povinnost stanovenou § 28 odst. 2 písm. a) školského zákona.
-
Jelikož v daném případě právním základem pro zpracování rodného čísla není oprávněný zájem školy nebo veřejný zájem, nejsou splněny podmínky pro uplatnění námitky proti zpracování osobních údajů.
-
Škola toto sdělí rodiči a dále zpracovává rodné číslo dítěte za účelem vedení školní matriky základní školy.
Situace 2
-
Zletilý žák vznesl námitku proti zpracování jeho osobních údajů, a to jeho podobizny snímané na kamerovém systému se záznamem. Domnívá se, že kamerový systém přespříliš zasahuje do jeho soukromí, jelikož je jím snímán každý den, když vchází do budovy školy.
-
Účelem instalace a provozu kamerového systému se záznamem je ochrana majetku školy.
-
Právním základem pro zpracování osobních údajů (podobizen, údajů o přibližném vstupu do budovy) je oprávněný zájem správce [čl. 6 odst. 1 písm. e) GDPR], proto je splněna podmínka pro uplatnění námitky proti zpracování osobních údajů.
-
Škola bude následně posuzovat, zda
-
její závažný oprávněný důvod pro zpracování osobních údajů pomocí kamerového systému (v tomto případě ochrana majetku) převáží nad zájmy, právy a svobodami žáka nebo existuje její závažný oprávněný důvod pro určení, výkon nebo obhajobu právních nároků (např. v jiném případě se může jednat o vymáhání pohledávky),
-
naopak zájmy, práva a svobody žáka převáží nad důvodem zpracování osobních údajů školou nebo neexistuje závažný oprávněný důvod pro určení, výkon nebo obhajobu jejích právních nároků.
5. Jaký je základní postup školy, pokud je jí doručena námitka proti zpracování osobních údajů?
Odpověď na otázku v mnohém závisí na tom, zda správce (škola) vyhodnotí námitku jako oprávněnou, či nikoli. Obecně však lze základní postup školy rozčlenit do několika fází2):
I-----------------------I----------------------------------------------------I
I 1. přijetí námitky I Námitku proti zpracování osobních údajů lze vznést I
I proti zpracování I (podat) jakýmkoliv prokazatelným způsobem. V praxi I
I osobních údajů I se však bude zřejmě používat zejména vznesení I
I I námitky elektronicky a písemně. I
I I I
I I V GDPR není výslovně stanoveno, kdo je osoba I
I I příslušná k přijetí námitky. Proto je vhodné, aby I
I I osoba oprávněná k přijetí námitky byla vymezena I
I I interním předpisem školy (může se jednat např. o I
I I pověřence). Z "logiky věci" plyne, že oprávněnou I
I I osobou by měla být osoba, která vede evidenci I
I I námitek. I
I I I
I I Dále je účelné v interním předpisu zakotvit I
I I povinnost zaměstnanců oznámit příslušné osobě, že I
I I registrují námitku proti zpracování osobních údajů I
I I (např. s námitkou se žák obrátil I
I I na třídního učitele). I
I-----------------------I----------------------------------------------------I
I 2. evidence námitky I GDPR výslovně nestanoví povinnost vést evidenci I
I I námitek proti zpracování osobních údajů. Je však I
I I zřejmé, že taková evidence přispívá k zpřehlednění I
I I činnosti správce, proto autorky doporučují I
I I uvedenou evidenci používat. Může obsahovat přehled I
I I následujících informací: kdo a kdy podal námitku, I
I I kdo ji přijal a zaevidoval, kdy a jak byla námitka I
I I vyřízena. I
I-----------------------I----------------------------------------------------I
I 3. ověření totožnosti I GDPR stanoví, že správci osobních údajů jsou I
I osoby, která vznesla I povinni přiměřeně ověřit totožnost osoby, která I
I námitku I vznesla námitku [čl. 12 odst. 2 GDPR]. I
I I I
I I Při ověření totožnosti proto bude škola postupovat I
I I v závislosti na vzniklé konkrétní situaci. I
I I Například na sekretariátu školy nebudou ověřovat I
I I totožnost žáka, kterého sekretářka zná, pokud I
I I tento žák na sekretariát přinesl písemnou námitku I
I I proti zpracování osobních údajů. Pokud však bude I
I I na elektronickou podatelnu školy doručen e-mail I
I I obsahující námitku proti zpracování osobních I
I I údajů, a to z e-mailové adresy, kterou škola nemá I
I I v evidenci, může škola požádat o další údaje nutné I
I I k ověření identity osoby, která vznesla námitku, I
I I případně tuto osobu požádat, aby se dostavila do I
I I školy. I
I-----------------------I----------------------------------------------------I
I 4. případné sdělení o I Jak stanoví čl. 12 odst. 3 GDPR, zpravidla je I
I prodloužení lhůty k I nutné námitku proti zpracování osobních údajů I
I vyřízení námitky I vyřídit bez zbytečného odkladu, nejpozději však do I
I I jednoho měsíce. Pokud by byla námitka proti I
I I zpracování osobních údajů příliš složitá, lze ve I
I I výjimečných případech prodloužit lhůtu k vyřízení I
I I až o dva měsíce. Nicméně to by mělo být v I
I I prostředí škol výjimkou, nikoliv pravidlem. I
I I I
I I Jestliže však škola námitce proti zpracování I
I I osobních údajů nevyhoví, pak nelze lhůtu k I
I I vyřízení námitky prodloužit (čl. 12 odst. 4 GDPR). I
I-----------------------I----------------------------------------------------I
I 5. vyřízení námitky I Vlastní vyřízení námitky odvisí od výsledku tzv. I
I I balančního testu (viz dále). I
I I I
I I V jakémkoli případě však platí, že osobě, která I
I I podala námitku proti zpracování osobních údajů, je I
I I nutné jednoznačně a prokazatelně odpovědět a I
I I sdělit, jak škola posoudila její námitku, příp. I
I I jaká opatření přijala či naopak nepřijala. I
I I I
I I Určitá specifika existují v případě, kdy škola I
I I nevyhoví námitce proti zpracování osobních údajů. I
I I V takovém případě nelze prodloužit lhůtu k I
I I vyřízení žádosti a odpověď musí být zaslána I
I I nejpozději ve lhůtě jednoho měsíce od obdržení I
I I námitky proti zpracování osobních údajů. I
I I I
I I Dále je nutné dle čl. 12 odst. 4 GDPR v odpovědi I
I I osobu, která podala námitku proti zpracování I
I I osobních údajů, I
I I I
I I - informovat o důvodech, na základě kterých škola I
I I nevyhověla námitce, a proto nepřijala I
I I odpovídající opatření, I
I I - poučit o jejím právu podat stížnost k Úřadu pro I
I I ochranu osobních údajů a požadovat soudní I
I I ochranu. I
I-----------------------I----------------------------------------------------I
6. Jak se provádí tzv. balanční test? Co musí škola udělat po provedení balančního testu?
V rámci tzv. balančního testu správce „váží“ protikladné zájmy a práva:
1)
zájmy a práva správce (které jsou obsahem oprávněného zájmu správce nebo veřejného zájmu) a
2)
zájmy, práva a svobody konkrétního subjektu údajů.
Jednoduše řečeno, správce musí posoudit, co „převáží“ a zda je „důležitější“ oprávněný zájem správce a veřejný zájem, na základě kterého se osobní údaje zpracovávají, nebo zájmy, práva a svobody konkrétního subjektu údajů (žáka, rodiče atd.). Důkazní břemeno je přitom na straně správce.
Základní činnosti školy jsou shrnuty v následujícím schématu.
Závěr
Typickými instituty vyjádření „nespokojenosti“ subjektu údajů se zpracováním osobních údajů jsou neudělení a odvolání souhlasu se zpracováním osobních údajů, žádost o výmaz osobních údajů a vznesení námitky proti zpracování osobních údajů. Žádost o výmaz a vznesení námitky mají odlišný režim od neudělení/odvolání souhlasu. Zatímco dostatečným opatřením při neudělení/odvolání souhlasu je do budoucna respektovat vůli subjektu údajů, na žádost o výmaz a podání námitky je nutné aktivně reagovat, žádost či námitku posoudit a sdělit subjektu údajů, jaká opatření správce osobních údajů přijal či nepřijal.
1 Nicméně v každém individuálním případě bude nutné posoudit, zda fotografie přespříliš nezasahuje do soukromí žáka, např. do jeho práva na důstojnost a dobrou pověst ve smyslu občanského zákoníku.
2 Přitom autorky upozorňují, že vyřízení vznesené námitky proti zpracování osobních údajů neprobíhá v rámci správního řízení ve smyslu správního řádu.