Osobní údaj a právní důvody zpracování

V minulém čísle jsme představily obecné nařízení o ochraně osobních údajů (dále jen "GDPR"), v tomto čísle se proto dostáváme k prvním krokům, jak se na GDPR začít připravovat.

 

Osobní údaj a právní důvody zpracování
Mgr.
Alice
Frýbová
právnička z Holubová advokáti, s. r. o., specialistka na ochranu osobních údajů
RNDr. Ing.
Eva
Urbanová
lektorka, Centrum školského managementu PedF UK
Začít s přípravami by školy a školská zařízení měly tím, že zjistí, které osobní údaje vlastně zpracovávají. Jinými slovy by si měly zmapovat procesy, při nichž sbírají a jinak zpracovávají osobní údaje fyzických osob, zejména žáků, ale i zaměstnanců, příp. rodičů. Ve chvíli, kdy toto vědí, by měly vyhodnotit, zda ke zpracování mají právní důvod podle GDPR. Nicméně aby školy toto zhodnocení souladu mohly provést, musejí nejprve vědět, co je to osobní údaj.
Osobní údaj
Dle čl. 4 odst. 1 GDPR se osobním údajem rozumí
veškeré informace o identifikované nebo identifikovatelné fyzické osobě
. Článek dále definuje identifikovanou či identifikovatelnou osobu jako fyzickou osobu,
kterou lze přímo nebo nepřímo identifikovat, zejména s odkazem na určitý identifikátor
. Nařízení samo uvádí příklady těchto identifikátorů, jako jsou
jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Převedeno do "neprávnické" řeči, osobním údajem je
jakákoliv informace, která se pojí s konkrétním člověkem
. Pokud má tedy škola statistiku, že nejčastějším příjmením u ní ve škole je Novák, není jméno Novák osobním údajem, protože ho nelze přiřadit ke konkrétní osobě. Naopak pokud je Jan Novák žákem 7. A, jsou jeho jméno i údaj o třídě, kterou navštěvuje, osobním údajem, tj. údajem přiřaditelným k určité osobě.
To, že osobním údajem jsou zpravidla jméno, příjmení, věk, datum narození, fotografie, známky či výsledky přijímacích zkoušek, nejspíše nikoho nepřekvapí. Na co by si ale školy a školská zařízení měly dát pozor, je, že osobním údajem může být třeba i GPS lokátor. Pokud má škola k dispozici automobily s GPS lokátorem, pak i údaj o aktuální poloze či historii jízd je osobním údajem za předpokladu, že tuto lokalizaci lze přiřadit konkrétní osobě. Obdobně to platí u využívání souborů cookies na webových stránkách. Pokud školy využívají složitější webové stránky a pomocí cookies získávají informace o uživatelích webu, pak i např. historie návštěv, prohlížené stránky či hlasování v anketě za podmínky přiřaditelnosti k určité osobě jsou osobním údajem. Na tomto místě je vhodné upozornit, že podmínkou přiřaditelnosti nemusí být znalost pravého jména či příjmení. I vymyšlená identita, e-mail typu 123@gmail.com nebo jedinečná IP adresa postačuje pro splnění podmínky přiřaditelnosti. Zásadní je pouze spojení s jednou osobou.
Ačkoliv výše uvedené vypadá komplikovaně, v praxi tomu tak nebude. Vedle "představitelných" osobních údajů, jako je jméno, věk či zdravotní stav, by si školy měly dát pozor právě na zmíněné
GPS lokátory, IP adresy a soubory cookies
.
Zvláštní kategorie osobních údajů
GDPR definuje v článku 9 odst. 1 jako podkategorii osobních údajů
tzv. zvláštní kategorie osobních údajů
. Doposud zákon užíval pro tyto údaje označení citlivé osobní údaje. Mezi zvláštní kategorie osobních údajů patří údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Zpracování zvláštní kategorie osobních údajů je v některých případech přísnější než zpracování ostatních osobních údajů. Školy si tedy nejprve musejí uvědomit, zda zpracovávají "běžné" osobní údaje, nebo citlivé osobní údaje. Podle toho poté určí, který právní důvod zpracování na konkrétní zpracování dopadne. Níže uvedené příklady se věnují zpracování běžných osobních údajů.
Právní důvody zpracování
Ve chvíli, kdy si škola ujasní, jaké osobní údaje sbírá a co všechno s nimi dělá, přichází fáze zhodnocení. V té musí škola posoudit, zda disponuje
tzv. právním důvodem zpracování
. Pokud ano, je zpracování v souladu s GDPR, pokud nikoliv, dopouští se školské zařízení přestupku a může mu být uložena sankce.
Aby to nebylo tak jednoduché, existují odlišné právní důvody pro zpracování běžných kategorií osobních údajů a pro zpracování zvláštní kategorie osobních údajů.
Článek 6 GDPR se vztahuje na "běžné" osobní údaje a upravuje šest právních důvodů zpracování osobních údajů, a to souhlas subjektu údajů se zpracováním, plnění smlouvy, splnění jiné právní povinnosti, splnění úkolu prováděného ve veřejném zájmu, ochrana životně důležitých zájmů fyzické osoby a oprávněný zájem správce osobních údajů. Nicméně školy nebudou moci ve většině případů spoléhat na to, že by mohly jako důvod zpracování uplatnit oprávněný zájem správce osobních údajů, proto je tento důvod dále ponechán stranou. Na níže uvedených příkladech bude vysvětleno, jak se tyto právní důvody zpracování projeví v praxi škol.
Typickým důvodem zpracování osobních údajů bude
splnění právní povinnosti
, která se na školy, příp. na zřizovatele jako na správce vztahuje. Jedná se zpravidla o zákonné povinnosti, kdy zákon přímo ukládá povinnost škole sbírat a jinak zpracovávat osobní údaje. Pro školy je v tomto smyslu
relevantní
zejm. zákon č. 561/2004 Sb., školský zákon (dále jen "ŠZ"). Ten v ust. § 28 definuje dokumentaci, kterou jsou školy povinny vést. Např. podle § 28 odst. 1 písm. b) jsou školy povinny vést tzv. školní matriku, která má obsahovat údaje o žácích podle § 28 odst. 2 ŠZ. Jedním z těchto povinně evidovaných údajů je i datum zahájení vzdělání ve škole [§ 28 odst. 2 písm. d) ŠZ]. Jak bylo vysvětleno výše, osobním údajem jsou veškeré informace o identifikované osobě, tedy i informace o datu zahájení studia. Nicméně tento a ostatní údaje podle § 28 odst. 2 budou evidovány ze zákona, a proto je jejich evidence bez dalšího legální.
Dalším důvodem zpracování, do jisté míry obdobným, je
plnění úkolu ve veřejném zájmu
. Pojem veřejný zájem není v českém právním řádu definován, proto lze školám pouze doporučit hledat v konkrétním případě jiné právní důvody či se v případě nejistoty obrátit na právníky. Nicméně pokud se školy domnívají, že zpracovávají osobní údaje ve veřejném zájmu, je dobré se podívat na zásady a cíle vzdělávání uvedené v ust. § 2 ŠZ. Jedním z cílů podle tohoto ustanovení je
zdokonalování procesu vzdělávání na základě výsledků dosažených ve vědě, výzkumu a vývoji a co nejširšího uplatňování účinných moderních pedagogických přístupů a metod
. Z tohoto ustanovení vyplývá, že existuje veřejný zájem na tom, aby se uplatňovaly účinné, moderní pedagogické metody. Pokud by tedy škola na základě nových pedagogických přístupů chtěla např. posílit prvek zážitkové pedagogiky a musela přitom zpracovávat osobní údaje, mohla by se v některých situacích odvolat na veřejný zájem na plnění cílů vzdělávání. Tím naplní podmínku plnění úkolu ve veřejném zájmu a prokáže zákonnost zpracování osobních údajů.
Třetím důvodem zpracování osobních údajů je
plnění smlouvy
. Jako příklad lze uvést školní výlet. Pokud škola pořádá jednodenní výlet do adventní Vídně, uzavírá s každým žákem / zákonným zástupcem smlouvu. Aby škola věděla, kdo se výletu zúčastní, eviduje přihlášené žáky a jejich platby za výlet. To činí za účelem plnění smlouvy, a má tak právní důvod zpracování osobních údajů uvedený v čl. 6 odst. 2 GDPR.
V neposlední řadě je možné zpracovávat osobní údaje, pokud je to nezbytné pro
ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
. Mohlo by se např. stát, že na školním výletě žák dostane epileptický záchvat a učitel mu prohledá věci, zda v nich nemá léky, čímž zasáhne do soukromí žáka a zjistí o něm další informace. Zpracování těchto údajů, tedy jejich sběr, je kryt právním důvodem nezbytnosti pro ochranu životně důležitých zájmů.
Školy se však mohou dostat do situace, kdy se ani jeden z výše uvedených důvodů neuplatní. Škola tedy zpracovává některé osobní údaje, ale neexistuje předpis, který by jí to přikazoval, ani jiný právní důvod. V tom případě škola potřebuje
souhlas se zpracováním osobních údajů
. Souhlasem a jeho náležitostmi se budeme zabývat v dalším ze série článků o GDPR.

Související dokumenty

Pracovní situace

Souhlas se zpracováním osobních údajů ve školách - nejčastější situace
Shrnutí základních legislativních změn ovlivňujících činnost škol a školských zařízení ve školním roce 2017/2018
GDPR - pro školy
Evidenční list dítěte nepřijatého k předškolnímu vzdělávání
Kamerové systémy v mateřské škole
Ochrana osobních údajů v praxi poradenských pracovníků
Poskytování osobních údajů školami Policii ČR
Předávání osobních údajů žáků pojišťovnám
Metodická pomůcka k aplikaci GDPR ve školství - vydaná MŠMT
GDPR: Jak zjistit, že škola (ne)potřebuje souhlas?
Kritéria výběru externího pověřence pro ochranu osobních údajů
Bezpečnost osobních údajů podle zákona o ochraně osobních údajů
Zveřejnění údaje o platu
Obecné nařízení o ochraně osobních údajů ve školách a školských zařízeních – charakteristika, podmínky legálního zpracování osobních údajů, informační povinnost správce
Informační povinnost školy nebo školského zařízení – příklady
Informační povinnost správce v případě, že osobní údaje nebyly získány od subjektu údajů
Záznamy o činnostech zpracování a školní jídelny
Záznamy o činnostech zpracování a školní družiny
Záznamy o činnostech zpracování - základní školy
Vyvěšení seznamu žáků „po nástupu GDPR“

Poradna

GDPR
Zrušení zřizovací listiny a následná nová zřizovací listina
Pověřenec GDPR
GDPR a udělení napomenutí třídního učitele
Zveřejňování fotografií
Jmenování ředitele
Cestovní náklady v případě cesty na soutěž - odborná poradna, odpověď na dotaz
Zahraniční výjezd ředitele školy - odborná poradna, odpověď na dotaz
Cestovní náhrady při cestě na školení - odborná poradna, odpověď na dotaz
Čipy ve školní jídelně - odborná poradna, odpověď na dotaz
Volba člena školské rady
Dohoda o výkonu práce z domova
Úplata za zájmové vzdělávání
Směrnice
Pracovní náplň
Nekomunikace
Zřizovatel
Doplňková činnost
Zástup
Pracovnělékařské služby

Zákony

561/2004 Sb. o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon)