Povinná dokumentace školy a ochrana osobních údajů
Dokončení příspěvku z minulého čísla.
Záznamy a hlášení o úrazech dětí, žáků a studentů
Součástí povinné dokumentace školy jsou knihy úrazů a záznamů o úrazech dětí, žáků a studentů, popřípadě lékařských posudků. I pro tuto součást dokumentace školy, jež je současně samotným zpracováním osobních údajů, platí zvláštní právní úprava. Je obsažena především ve vyhlášce č. 64/2005 Sb., o evidenci úrazů dětí, žáků a studentů. Tato vyhláška stanoví účel zpracování osobních údajů (§ 1 odst. 1 a odst. 3) a dále v úplnosti rozsah osobních údajů shromažďovaných pro účely tohoto zpracování (§ 1 odst. 2 a § 2 společně s přílohou, kterou tvoří formulář Vzor záznamu o úrazu dítěte, žáka a studenta). Do značné míry určuje škole způsob a prostředky zpracování osobních údajů. Vyhláška č. 64/2005 Sb., o evidenci úrazů dětí, žáků a studentů obsahuje také zvláštní úpravu práva přístupu k osobním údajům. Ustanovení § 3 odst. 1, že o úrazu nezletilého žáka podá škola nebo školské zařízení bez zbytečného odkladu hlášení jeho zákonnému zástupci však nenahrazuje ustanovení § 12 odst. 1 zákona o ochraně osobních údajů, přístup subjektu údajů k informaci o zpracování fakticky rozšiřuje. Jestliže tedy požádá zákonný zástupce dítěte nebo nezletilého žáka o informace o úrazu (úrazech) dítěte, nemůže škola odmítnout takové informace poskytnout s odkazem na to, že zákonný zástupce již předtím obdržel hlášení o úrazu. Totéž platí pro zletilé žáky a studenty.
Při podávání zprávy, o kterou musí oprávněný subjekt údajů požádat písemně, je třeba použít jak knihu, popř. knihy úrazů, tak záznamu o úrazu, neboť záznam v knize se obsahově nekryje s formulářem předepsaným pro sdělování informací o úrazech jiným příjemcům.
Kniha úrazů
§ 1vyhlášky č. 64/2005 Sb.
Kniha úrazů
(1) V knize úrazů se evidují všechny úrazy dětí, žáků a studentů (dále jen "úraz"), ke kterým došlo při činnostech uvedených v § 29 odst. 2 zákona, a to nejpozději do 24 hodin od okamžiku, kdy se škola nebo školské zařízení o úrazu dozví.
(2) V knize úrazů se uvede
a) pořadové číslo úrazu,
b) jméno, popřípadě jména, příjmení a datum narození zraněného,
c) popis úrazu,
d) popis události, při které k úrazu došlo, včetně údaje o datu a místě události,
e) zda a kým byl úraz ošetřen,
f) podpis zaměstnance právnické osoby vykonávající činnost školy nebo školského zařízení, který provedl zápis do knihy úrazů,
g) další údaje, pokud jsou potřebné k sepsání záznamu o úrazu.
(3) Osobní údaje, které jsou součástí knihy úrazů, mohou být zpracovávány pouze za účelem evidence úrazů, popřípadě jako podklad pro vyhotovení záznamu o úrazu.
Některé problémy s osobními údaji z dokumentace školy
I když se škola, řídící se při rutinním zpracování osobních údajů při vedení jednotlivých částí povinné dokumentace školy a při sdělování osobních údajů z této dokumentace navenek poměrně obsáhlým souborem právních předpisů, nemůže dostat ve věcech upravených právními předpisy sama do rozporu se zákonem o ochraně osobních údajů, nezbavuje ji to zcela rizika nespokojených reakcí některých žáků nebo studentů, popř. jejich rodičů. Prvním problémovým tématem je rodné číslo.
Podle § 7 školského zákona jsou školskými zařízeními mj. zařízení školního stravování; jejich činnost obecně vymezuje § 119 školského zákona.
Z osobní zkušenosti autorky je případ, kdy se takové zařízení – školní jídelna normální základní školy - snažilo získat podporu pro svou argumentaci, že ve své dokumentaci musí jako nezbytný údaj zpracovávat rodné číslo strávníků. Z pohledu ochrany osobních údajů tomu tak není. Úplně obecně to plyne z jedné ze základní právních zásad, na nichž celá ochrana osobních údajů stojí – zásady proporcionality. Pro plnění základního úkolu zařízení školního stravování - zajišťování stravovacích služeb – není rodné číslo možno považovat za nezbytný údaj. Jinak řečeno, stravování jednotlivých dětí, žáků a studentů nemůže být podmíněno sdělením rodného čísla.
A jak je tomu podle aktuálně platných právních předpisů? Pro rozbor je třeba použít školský zákon, zákon o ochraně osobních údajů, zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), ve znění pozdějších předpisů (dále jen „zákon o evidenci obyvatel) a jeden prováděcí předpis ke školskému zákonu - vyhlášku č. 107/2005 Sb., o školním stravování.
Podle ustanovení § 13 odst. 7 zákona o evidenci obyvatel, která upravují využívání rodného čísla, je rodné číslo oprávněna užívat nebo rozhodovat o jeho využívání v mezích stanovených zákonem výlučně fyzická osoba, které bylo rodné číslo přiděleno ("nositel rodného čísla"), nebo její zákonný zástupce; jinak lze rodné číslo využívat jen v případech stanovených v § 13c tohoto zákona. Těmito případy jsou:
a) jde-li o činnost ministerstev, jiných správních úřadů, orgánů pověřených výkonem státní správy, soudů, vyplývající z jejich zákonem stanovené působnosti, nebo notářů pro potřebu vedení Centrální evidence závětí,
b) stanoví-li tak zvláštní zákon, nebo
c) se souhlasem nositele rodného čísla nebo jeho zákonného zástupce.
Tato ustanovení vytváření základní ochranu rodného čísla, která je odlišná od ochrany většiny ostatních běžně užívaných osobních údajů; ochrana je z principu zvýšená.
Pro zařízení školního stravování přitom platí ustanovení § 13c odst. 1 písm. b) a c) zákona o evidenci obyvatel. Znamená to, že rodné číslo dítěte, žáka nebo studenta smí toto zařízení využívat, jen stanoví-li tak zvláštní zákon, nebo se souhlasem nositele rodného čísla nebo jeho zákonného zástupce. Zvláštní zákon používání rodného čísla pro tento účel nestanoví. I když školská matrika školského zařízení obsahuje jako jeden z údajů o dítěti, žákovi nebo studentovi rodné číslo, je třeba přihlédnout současně k dalšímu ustanovení téhož § 28 odst. 3 školského zákona – obsah školní matriky se řídí povahou jeho činnosti a dále k ustanovení § 28 odst. 4 při vedení dokumentace a školní matriky a při zpracování osobních údajů dětí, žáků a studentů postupují školy a školská zařízení podle zvláštního právního předpisu s legislativním odkazem na zákon o ochraně osobních údajů. Podle tohoto zákona je jednou ze základních povinností zařízení školního stravování při vedení dokumentace, která je současně zpracováním osobních údajů, shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu (§ 5 odst. 1 písm d) zákona o ochraně osobních údajů). Tomu shromažďování rodného čísla neodpovídá. Proto také není na místě použít institutu souhlasu nositele rodného čísla nebo jeho zákonného zástupce podle § 13c odst. 1 písm. b) a c) zákona o evidenci obyvatel.
Evidence strávníků vedená zařízením školního stravování je nepochybně dokumentací podle § 28 odst. 1 písm. k) školského zákona. Činnost zařízením školního stravování dále v některých podrobnostech upravuje vyhláška č. 107/2005 Sb., o školním stravování. Z logiky věci i z této vyhlášky plyne, že rodné číslo bude jako jeden z údajů vést takové školské zařízení, které bude poskytovat strávníkům více služeb než jen stravovací služby, např. v případě preventivně výchovné péče formou celodenních služeb nebo internátních služeb. Citovaná vyhláška č. 107/2005 Sb. vymezuje rozsah služeb školního stravování v § 4. V odst. 4 je pro školní jídelnu stanoveno, že žák základní školy a nezletilý žák střední školy a konzervatoře má právo denně odebrat oběd.
Shromažďování a další zpracování rodných čísel nelze odůvodnit s poukazem na výživové normy. Citovaná vyhláška č. 107/2005 Sb. dále stanoví, že školní stravování se řídí výživovými normami stanovenými v příloze k ní a rozpětím finančních limitů na nákup potravin stanovených rovněž v příloze k této vyhlášce. V příloze č. 2 se uvádí, že do věkových skupin jsou strávníci zařazováni na dobu školního roku, ve kterém dosahují věku podle bodů 1 až 4. téže přílohy, které vymezují věkové kategorie. Znamená to, že z vyhlášky č. 107/2005 Sb., o školním stravování jednoznačně vyplývá, že školní jídelna základní školy nemá důvodu zjišťovat údaje o věku strávníků nad rámec citovaného ustanovení. V této souvislosti je možné připomenout i povinnost provozovatelů stravovacích služeb jako školských zařízení uchovávat údaje o plnění výživových norem nejméně po dobu jednoho kalendářního roku.
Rodné číslo je středem problému i v přímé vazbě na školní matriku. Tento problém pociťují někteří žáci a studenti a jejich rodiče, případně jiní zákonní zástupci. Problém je to i z hlediska ochrany osobních údajů a dokonce i podle platné úpravy používání rodného čísla tak, jak je stanovena v zákoně o evidenci obyvatel. Skutečnost, že vyhláškou č. 223/2005 Sb., o některých dokladech o vzdělání, Ministerstvo školství, mládeže a tělovýchovy stanovilo podle § 28 školského zákona rodné číslo jako povinný údaj – součást obsahu všech platných tiskopisů vysvědčení, výučních listů a diplomů o absolutoriu, není v souladu se zákonnou úpravou používání rodných čísel.
Z pohledu ochrany osobních údajů na povinnou dokumentaci školy je rodné číslo na vysvědčení dobře analyzovatelným problémem. Rodné číslo požívá jako teoreticky unikátní identifikátor obecného použití, snadno automatizovaně zpracovatelný, zvýšené ochrany; její právní rámec byl stručně popsán výše. Této ochrany se rodnému číslu dostává s ohledem na univerzální použitelnost. Zatímco zařazení rodného čísla jako jednoho z povinných údajů do školní matriky lze při respektování zásad ochrany osobních údajů akceptovat, pro uvádění rodného čísla na vysvědčení platí opak. Rodné číslo na vysvědčení není odůvodnitelné; naopak za postup podporující bezpečnost osobních údajů a bránící případnému zneužití je třeba považovat stav, kdy rodné číslo není na vysvědčení uváděno a v případech pochybností, zda ten, kdo vysvědčení předkládá jako své, nebo požaduje vystavení jeho stejnopisu nebo opisu podle § 3 vyhlášky č. 223/2005 Sb., předkládá současně průkaz totožnosti obsahující rodné číslo, jehož shoda s údaji školní matriky se ověřuje. Škola je oprávněna požádat toho, kdo se domáhá informací o dospělém studentovi nebo bývalém žáku, aby jí prokázal totožnost způsobem obvyklým. Za ten lze považovat předložení průkazu totožnosti, jímž je ze zákona např. občanský průkaz, cestovní doklad a další úřední průkazy.
Uvedení rodného čísla na vysvědčení není součástí zpracování osobních údajů podle zákona o ochraně osobních údajů. Školní matrika je však zdrojem údajů pro vysvědčení. Nelze proto vyloučit, že rodné číslo na vysvědčení může být napadáno i s odvoláním na zákon o ochraně osobních údajů, ačkoli jediným zákonem, jehož lze v takovém případě použít, je právě zákon č. 133/2000 Sb.
Pro školu v každém případě platí, že se řídí platnou vyhláškou, která byla vydána příslušným ústředním orgánem k provedení zákona. Nesoulad se zákonem lze řešit výhradně na jiné úrovni a škola za něj nemůže nést odpovědnost.
Zatímco rodné číslo ve školní jídelně je problémem interpretace platných právních předpisů, které si vzájemně neodporují, rodné číslo na vysvědčení je příkladem nedostatečného respektování zásad ochrany osobních údajů při tvorbě podzákonné normy. Podobnou výhradu je třeba uplatnit vůči vedení citlivých údajů ve školní matrice.
Podobně jako s rodným číslem jsou určité problémy ochrany osobních údajů spojeny s citlivými údaji v dokumentaci školy. Citlivé údaje jsou v zákoně o ochraně osobních údajů stanoveny úplným výčtem a požívají podobně jako rodné číslo zvýšené ochrany. Teoretický rámec pro ochranu citlivých údajů lze charakterizovat prostřednictvím zásady minimalizace jejich zpracování; tato zásada je naplňována pomocí přímého omezení účelů, k nimž lze citlivé údaje zpracovávat a výslovného souhlasu subjektu údajů. Nepřehlédnutelným problémem stávající úpravy školní matriky je, že se předpokládá trvalé uchování údajů o tom, zda dítě, žák nebo student byli v určité době zdravotně postiženi, včetně údaje o druhu postižení, nebo byli zdravotně nebo sociálně znevýhodněni, pokud byl škole tento údaj poskytnut zákonným zástupcem dítěte nebo nezletilého žáka nebo zletilým žákem či studentem. Jakkoli jsou důvody pro aktuální sledování těchto skutečností a takové údaje jsou shromažďovány a dále zpracovávány v zájmu subjektu údajů, o trvalém uchování platí pravý opak.
Podle mého osobního názoru mělo být uváženo vedení takových údajů v oddělené části matriky, a samostatně uvážena jiná doba uchovávání. Takový institut není v českém právu ničím výjimečným – používá se např. u protokolu pro účely trestního řízení1) nebo u soudních spisů pro účely nahlížení2).
Při novelizaci školského zákona by bylo vhodné se citlivými údaji ve školní matrice zabývat poněkud podrobněji.
Zpracování citlivých údajů a jiné nakládání s nimi při vedení částí povinné dokumentace školy podle dalších zákonů naproti tomu není zdrojem významných problémů ochrany osobních údajů. Uskutečňuje se k účelům, které jsou přípustné i podle mezinárodních předpisů pro ochranu osobních údajů a všechny rozhodující parametry jsou stanoveny zákonem, případně prováděcími předpisy. Takové zpracování je škole uloženo při vedení některých částí dokumentace uvedené rámcovým výčtem v § 28 odst. 1 písm. k) školského zákona.
Zabezpečení osobních údajů
V každodenní praxi ochrany osobních údajů se projevují přednosti a slabé stránky opatření, které škola přijala a používá k zabezpečení osobních údajů. Podle § 13 odst. 1 zákona o ochraně osobních údajů je povinna přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů (dále jen povinnost „přijmout bezpečnostní opatření“). Povinnost platí pro dokumentaci vedenou v listinné i elektronické formě; obě podoby jsou stanoveny např. pro školní matriku vyhláškou č. 364/2005 Sb. Ani zákon o ochraně osobních údajů, ani školský zákon a prováděcí předpisy k němu neupravují technické podrobnosti plnění této povinnosti.
Soubor přijímaných opatření je určován především prostředky a způsobem zpracování osobních údajů – musí odpovídat rizikům. Jakkoli se podmínky jednotlivých škol liší velikostí školy a technickým vybavením, všechny musí přijmout organizační opatření a stanovit vnitřně odpovědnost za zpracování osobních údajů, popř. podrobněji vymezit povinnosti vázané na jednotlivé pracovní pozice. Nositelem povinnosti škola jako instituce; z praktického hlediska je však vhodné počínat si tak, že tuto povinnost má každý, kdo se podílí na zpracování, např. tím, že vede některou z knih školní dokumentace, nebo se jakkoli podílí na provozování lokální počítačové sítě. Pokud škola využívá pro správu počítačové sítě externí spolupráce, je spolupracující fyzická nebo právnická osoba vykonávající operace s osobními údaji zpracovatelem a je třeba s ní uzavřít písemnou smlouvu, v níž musí být obsaženy záruky, které zpracovatel poskytuje o technickém zabezpečení ochrany osobních údajů.
Technická opatření jsou určována prostředky a způsoby zpracování a posuzují se vždy souhrnně vzhledem k rizikům vyplývajícím pro dané zpracování. Škola a případně také její smluvní zpracovatel jsou povinni přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů dokumentovat. Formu dokumentace zčásti určují zákony; kromě již uvedeného zákona o archivnictví a spisové službě poskytuje oporu např. i zákoník práce. Popisy práce nebo pracovní náplně mohou přirozeně vymezovat odpovědnost za zpracování osobních údajů, stejně jako organizační řád. Další podmínky, za nichž jednotliví zaměstnanci mohou osobní údaje z povinné dokumentace školy zpracovávat, může určovat – nepostačují-li popisy práce - např. pracovní řád. Bezpečnostní dokumentace automatizovaného zpracování bývá samostatná a je třeba zvláštním organizačním opatřením zajistit její závaznost.
1) viz § 55 odst. 2 zákona č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů
2) viz § 44 zákona č. 99/1963 Sb., občanský soudní řád, ve znění pozdějších předpisů