Povinnost jmenovat pověřence pro ochranu osobních údajů je jedním z velmi palčivých témat pro školy a školská zařízení, protože se jedná o jednu z „nejuchopitelnějších“ povinností, které obecné nařízení o ochraně osobních údajů, účinné od 25. května 2018, (dále jen „GDPR“) zavádí. Kdo je tedy pověřenec pro ochranu osobních údajů a jak si ho vybrat? Tomu se budeme věnovat v tomto článku. V dalším čísle rozebereme jeho konkrétní úkoly.
Pověřenec pro ochranu osobních údajů
Mgr.
Alice
Frýbová,
právnička z Holubová advokáti, s. r. o., specialistka na ochranu osobních údajů
RNDr. Ing.
Eva
Urbanová,
lektorka, Centrum školského managementu PedF UK
V současné době nalezneme úpravu pověřence pro ochranu osobních údajů v samotném nařízení, a to v článcích 37 až 39 GDPR. Vedle toho rozvádí uvedenou úpravu stanovisko pracovní skupiny WP 29, která působí při Evropské komisi (dostupné v češtině z:
https://www. uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=2 8308
). V České republice je dále nutné vycházet z Metodického doporučení k činnosti obcí k organizačně technickému zabezpečení funkce pověřence pro ochranu osobních údajů podle obecného nařízení o ochraně osobních údajů v podmínkách obcí (dostupné z:
http://www.mvcr.cz/clanek/zpravodajstvi-institut-poverence-pro-ochranu-osobnich-udaju-informace-pro-obce.aspx
). V neposlední řadě vydalo v listopadu Ministerstvo školství, mládeže a tělovýchovy Metodickou pomůcku k aplikaci obecného nařízení o ochraně osobních údajů v podmínkách školství (dostupné z:
http://www.msmt.cz/dokumenty-3/metodicka-pomucka-k-aplikaci-obecneho-narizeni-o-ochrane
). V ní se též nachází
relevantní
část věnovaná pověřenci pro ochranu osobních údajů.Kdo je to pověřenec pro ochranu osobních údajů?
Pověřenec pro ochranu osobních údajů je institut přejatý z německého práva, kde funguje již od roku 2009. Zjednodušeně se jedná o poradce školy v oblasti ochrany osobních údajů. Pověřenec má na starosti poskytovat informace a poradenství správcům osobních údajů (tedy školám) a monitorovat soulad s GDPR. Další jeho povinností je spolupracovat s Úřadem pro ochranu osobních údajů a zároveň pro tento úřad působit jako kontaktní místo. Nicméně pověřenec není odpovědný za dodržování GDPR a jiných předpisů, odpovědným subjektem zůstává vždy správce, tedy škola či školské zařízení.
Kdo musí pověřence jmenovat?
Subjekty, které musejí jmenovat pověřence pro ochranu osobních údajů, jsou definovány v čl. 37 odst. 1 GDPR. Jedná se o (i) orgány veřejné moci či veřejné subjekty s výjimkou soudů jednajících v rámci svých soudních pravomocí, (ii) subjekty, jejichž hlavní činnost spočívá v takovém zpracování osobních údajů, jež vyžaduje rozsáhlé pravidelné a systematické monitorování subjektů údajů, nebo (iii) subjekty, jejichž hlavní činnost spočívá v rozsáhlém zpracování citlivých údajů a osobních údajů týkajících se rozsudků v trestních věcech. Pro školy a školská zařízení je
relevantní
hned první bod, tedy že pověřence musejí jmenovat všechny orgány veřejné moci.Jsou školy a školská zařízení orgánem veřejné moci?
Proto, abychom mohli určit, zda jsou všechny školy a školská zařízení povinny mít pověřence, je nutné určit, zda jsou orgánem veřejné moci ve smyslu GDPR. Pojem orgán veřejné moci však na úrovni evropského práva nemusí plně korespondovat s tím, co se jím rozumí v českém právu, resp. s tím, co je za orgán veřejné moci v českém právu označeno. Definitivně by o tom, co je a co není orgán veřejné moci podle GDPR, případně rozhodl až Soudní dvůr Evropské unie.
V současnosti je v české teorii za orgán veřejné moci považován orgán, který reprezentuje veřejnou moc a je ze zákona oprávněn autoritativně rozhodovat o právech a povinnostech fyzických či právnických osob nebo jinak zasahovat do jejich právní sféry, a to buď přímo, zejména v případě orgánů moci výkonné nebo soudní, nebo zprostředkovaně, pokud jde o orgány moci zákonodárné. U škol není pochyb o tom, že jsou oprávněny autoritativně rozhodovat o právech a povinnostech fyzických osob; např. rozhodnutí o přijetí či nepřijetí ke studiu je ukázkovým příkladem autoritativního rozhodování. Všechny školy tedy budou muset mít pověřence, nezávisle na tom, zda jsou veřejné, či soukromé. Nicméně některá školská zařízení poskytující veřejné služby o právech a povinnostech fyzických osob podle správního řádu v užším slova smyslu zpravidla nerozhodují.
Další úpravu toho, co je orgán veřejné moci, nalezneme v § 50 zákona č. 111/2009 Sb., o základních registrech, na základě kterého od července 2017 zřídilo Ministerstvo vnitra ve spolupráci s Ministerstvem školství, mládeže a tělovýchovy datové schránky orgánů veřejné moci pro školy a školská zařízení. Z toho by se mohlo zdát, že všechny školy a školská zařízení jsou orgánem veřejné moci. Stejný názor zaujalo ve své metodice Ministerstvo školství, mládeže a tělovýchovy. Podle ní každá škola a školské zařízení musí mít pověřence pro ochranu osobních údajů. Nicméně jelikož některá školská zařízení poskytující veřejné služby o právech a povinnostech fyzických osob nerozhodují, a tedy autoritativně nevykonávají veřejnou moc, jak již bylo zmíněno, je dle našeho názoru nejasné, zda opravdu musejí mít pověřence. Od Úřadu pro ochranu osobních údajů, který je dozorovým orgánem, k problematice zatím žádné stanovisko nemáme.
Ve Spolkové republice Německo je pojem orgán veřejné moci ve školství a s ním spojená povinnost mít pověřence posuzována ze dvou hledisek. Pokud je alespoň jedno splněno, pak je organizace povinna pověřence mít. Za prvé se jedná o skutečnost, zda je účast ve škole či školském zařízení při splnění podmínky (zejm. věku) povinná. Do toho by v České republice spadaly všechny základní školy a poslední ročník mateřské školy. Druhá situace, kdy škola či školské zařízení musejí pověřence jmenovat, nastává, když je tato instituce oprávněná závazně rozhodovat o skutečnostech majících přímý vliv na vzdělání; to znamená, že má pravomoc vydat hodnocení žáka, které je závazné i pro jiné veřejné orgány. Do této kategorie by pak patřily střední školy, vyšší odborné školy a vysoké školy. Ostatní organizace, které poskytují veřejné služby, by ve Spolkové republice Německo pod pojem orgán veřejné moci pro účely povinnosti mít pověřence nepatřily. Tomuto pojetí odpovídá vesměs metodika Ministerstva vnitra, která říká, že městské knihovny, což jsou veřejné instituce poskytující veřejné služby, mít pověřence nemusejí.
Pokud uvedené shrneme, víme s téměř stoprocentní jistotou, že
všechny mateřské, základní, střední školy, konzervatoře, vyšší odborné školy, jazykové školy s právem státní jazykové zkoušky a základní umělecké školy musejí jmenovat pověřence pro ochranu osobních údajů
. U školských zařízení je povinnost mít pověřence sporná, nicméně s ohledem na doporučení MŠMT bychom školským zařízením radili buď pověřence jmenovat, nebo vyčkat, zda Úřad pro ochranu osobních údajů zaujme v této věci stanovisko. Pověřenec může být každopádně jmenován dobrovolně.Kdo může být pověřencem?
Základními požadavky na pověřence jsou požadavky nezávislosti a nestrannosti. Proto nařízení mj. požaduje, aby:
-
pověřenci nebyly udíleny žádné pokyny týkající se plnění jeho úkolů podle nařízení;
-
pověřenec nebyl pro plnění svých úkolů propuštěn ani sankcionován;
-
plnění jiných úkolů pověřence nevedlo ke střetu jeho zájmů.
Pověřencem může být fyzická i právnická osoba. Nicméně právnická osoba si musí zvolit jako zástupce fyzickou osobu, která bude pro danou organizaci činnost pověřence vykonávat.
Pověřencem může být buď pracovník školy (tj. interní pověřenec), nebo externě spolupracující osoba (např. advokátní kancelář). Činnost externích pověřenců bude probíhat zpravidla na základě smlouvy o poskytování služeb.
Interní pověřenec
Jak bylo uvedeno výše, jedním z požadavků na pověřence je zajištění jeho nestrannosti a nezávislosti, což u zaměstnanců logicky představuje problém. Zaměstnanecké vztahy jsou z povahy věci nerovné a činnost zaměstnance je činností závislou. Proto ne každý zaměstnanec může být pověřencem. Pověřenec jako zaměstnanec musí být přímo podřízen vrcholovým řídícím pracovníkům. Vrcholový řídící pracovník ve školním prostředí je ředitel školy, resp. školského zařízení. Z toho mimo jiné vyplývá, že pověřencem nemůže být sám ředitel školy. Ředitel totiž nemůže sám sebe kontrolovat. Dále je nejasné, zda je vhodnou osobou pro výkon činnosti pověřence správce informačních systémů, protože by se obdobně jako ředitel
dostal do situace, kdy kontroluje sám sebe. Vhodnou osobou není ani sekretářka ředitele, protože ačkoliv je přímo podřízená řídícímu pracovníkovi, zpravidla nemusí disponovat dostatečnou vážností mezi pedagogickým sborem. Naopak vhodným zaměstnancem pro výkon činnosti pověřence je zástupce ředitele, zkušený učitel IT či občanské výchovy, koordinátor ŠVP či metodik prevence.
de facto
Určení rozsahu pracovního úvazku závisí na uvážení školy. Z hlediska GDPR je možné a vhodné vybranému učiteli - pověřenci zkrátit rozsah přímé vyučovací činnosti tak, aby se mohl řádně věnovat plnění povinností pověřence. Jelikož funkce pověřence je funkcí dlouhodobou, je vhodné (byť z hlediska GDPR nikoli nezbytné), aby byl pověřenec zaměstnán na základě pracovní smlouvy na dobu neurčitou, resp. ustavit jej na delší časové období tak, aby měl dostatek času seznámit se se zpracováváním osobních údajů školou. Dle metodiky Ministerstva vnitra by funkce pověřence neměla být vykonávána na základě dohody o práci konané mimo pracovní poměr, nicméně tato problematika bude pravděpodobně ještě předmětem zkoumání a není vyloučeno, že Ministerstvo vnitra tento názor přehodnotí.
Pověřenec, který je zaměstnancem, je proti zaměstnavateli chráněn. Pověřence, který je zaměstnancem školy, nelze postihovat v oblasti odměňování nebo jiným způsobem za nezávislý výkon jeho povinností, tj. například za to, že zastává jiný právní názor než škola, resp. ředitel školy či zřizovatel. Dále upozorňujeme, že z hlediska principu nezávislosti je důležité, aby pověřenec, který je zaměstnancem školy, podepsal doložku či smluvní ujednání, že u něj nedojde ke střetu zájmů, a dále se zavázal zachovávat povinnost mlčenlivosti o všech osobních údajích, o kterých se dozví v souvislosti s výkonem své funkce, a o všech bezpečnostních opatřeních, jejichž vyzrazení by ohrozilo zabezpečení osobních údajů, a to i po skončení pracovního poměru.
Externí pověřenec
GDPR výslovně připouští, aby funkci pověřence vykonávala osoba v jiném než pracovněprávním vztahu na základě smlouvy o poskytování služeb. Na názvu této smlouvy přitom nezáleží. Typicky půjde o tzv. nepojmenovanou soukromoprávní smlouvu mezi školou a pověřencem, kdy se vzájemná práva a povinnosti smluvních stran budou řídit zejména touto smlouvou (§ 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů).
I u externě spolupracující osoby je nutné mít na paměti, že výkon funkce pověřence je ovládán principem nezávislosti a nestrannosti, s čímž souvisí požadavek, aby plnění jiných úkolů pověřence nevedlo ke střetu jeho zájmů. Konflikt zájmů u externě spolupracujícího pověřence může vzniknout např. tehdy, pokud by byl externí pověřenec školou požádán o zastupování školy u soudu nebo u Úřadu pro ochranu osobních údajů ve věci týkající se ochrany osobních údajů.
Mnoho škol a školských zařízení bude vnímat jako hlavní výhodu externího pověřence vesměs neomezenou odpovědnost za škodu, kterou způsobil škole. Ačkoliv je, jak bylo uvedeno výše, za dodržování GDPR odpovědná škola, nikoliv pověřenec, může se po pověřenci domáhat náhrady škody v případě, že jí způsobil škodu špatným výkonem činnosti pověřence. To znamená, že jestliže je škole udělena pokuta ze strany Úřadu pro ochranu osobních údajů a škola je schopná prokázat, že pokud by pověřenec vykonával svou pozici tak, jak měl, pokutu by škola nedostala, pak se může domáhat náhrady škody až do výše uložené pokuty po pověřenci.
Lze pověřence mezi školami sdílet?
Článek 37 odst. 2 GDPR umožňuje skupině podniků jmenovat jediného pověřence pro ochranu osobních údajů, pokud je „snadno dosažitelný z každého podniku“. Stejně tak školy a školská zařízení mohou pověřence „sdílet“, jinými slovy jedna osoba může vykonávat funkci pověřence pro více škol či jiných povinných subjektů společně. V praxi tak obecní pověřenec bude často též pověřencem pro obcí zřízené příspěvkové organizace, tedy i pro školy a školská zařízení. Takové uspořádání bude na druhou stranu klást vyšší požadavky na pověřence, jelikož by se měl orientovat ve všech oblastech, v nichž činnost pověřence vykonává.
Musí pověřenec splňovat odbornou kvalifikaci?
Pověřenec nemusí mít žádné formální vzdělání. Nicméně existují faktory, které by měl ředitel při výběru pověřence vzít v potaz.
-
Znalosti práva a praxe v oblasti ochrany osobních údajů.
Pověřenec musí být především obeznámený se samotným nařízením GDPR, stanovisky pracovní skupiny WP 29, metodickými pokyny Ministerstva školství, mládeže a tělovýchovy a také s metodickými pokyny Ministerstva vnitra, které je gestorem ochrany osobních údajů. Nelze zapomenout ani na doprovodné zákony a školskou legislativu, bez jejíž obecné znalosti se školský pověřenec též neobejde (více níže). Požadavek na právní zázemí nebude zpravidla splňovat mnoho zaměstnanců, proto je nutné pověřence-zaměstnance v oblasti ochrany osobních údajů dostatečně proškolit. Naopak profesionální externí pověřenci obvykle nebudou mít se splněním požadavku znalosti problematiky ochrany osobních údajů problém.-
Znalost IT a bezpečnosti dat.
Pověřenec by měl dále rozumět procesům zabezpečení, které je v dané škole či školském zařízení vykonáváno. Čím více škola funguje online, tím více znalostí fungování IT je třeba. Pokud škola naopak funguje více v „papírové“ podobě, pak není absolutně nutná znalost nejnovějších informačních technologií.-
Znalost procesů v dané organizaci.
Velmi důležité je, aby pověřenec věděl, jak funguje daná škola či školské zařízení. Zaměstnanec jako pověřenec bude mít obvykle dobrou představu, jak ve škole vše chodí, minimálně bude mít dostatečné povědomí o zpracování osobních údajů žáků. Pro externího pověřence bude splnění této podmínky těžší, proto lze jen doporučit mít takového pověřence, který se alespoň v obecné rovině orientuje v problematice školství či veřejné správy.Shrnutí
Ať již bude pověřencem zaměstnanec, nebo externí subjekt, je správce nebo zpracovatel povinen poskytnout pověřenci součinnost pro plnění jeho úkolů. Škola nebo školské zařízení by tak měly včas zapojit pověřence do veškerých záležitostí souvisejících s ochranou osobních údajů a poskytovat mu nezbytné zdroje. Především se jedná o přístup k osobním údajům a operacím zpracování a dále o odborná školení k udržování jeho znalostí.
Jako první krok doporučujeme informovat se u svého zřizovatele, zda hodlá pověřence zajišťovat centrálně, tedy pro „své“ příspěvkové organizace. Pokud nikoliv, pak by se ředitelé měli zamyslet, zda chtějí mít interního, nebo externího pověřence.