Podle zákona č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), ve znění pozdějších předpisů (dále jen „školský zákon“), školy vedou povinnou dokumentaci, která obsahuje celou řadu údajů nejen žáků/studentů, ale i zákonných zástupců těchto žáků. Podle ustanovení § 28 odst. 1 písm. b) tohoto zákona školy vedou evidenci dětí, žáků nebo studentů, tzv. školní matriku. Rozsah údajů ve školní matrice vymezuje § 28 odst. 2 školského zákona, formu a vedení školní matriky pak upravuje vyhláška č. 364/2005 Sb., o vedení dokumentace škol a školských zařízení a školní matriky a o předávání údajů z dokumentace škol a školských zařízení a ze školní matriky (vyhláška o dokumentaci škol a školských zařízení), (dále jen „vyhláška č. 364/2005 Sb.“).
Přístup k osobním údajům
Vydáno:
Přístup k osobním údajům
JUDr.
Eva
Janečková
ÚOOÚ, Oblastní inspektorát práce hl. m. Praha, přednáší a publikuje na téma pracovní právo a ochrana osobních údajů
„Školní matrika školy
podle povahy její činnosti
obsahuje tyto údaje o dítěti, žákovi nebo studentovi:jméno a příjmení, rodné číslo, popřípadě datum narození, nebylo-li rodné číslo dítěti, žákovi nebo studentovi přiděleno, dále státní občanství, místo narození a místo trvalého pobytu, popřípadě místo pobytu na území České republiky podle druhu pobytu cizince nebo místo pobytu v zahraničí, nepobývá-li dítě, žák nebo student na území České republiky,
údaje o předchozím vzdělávání, včetně dosaženého stupně vzdělání,
obor, formu a délku vzdělávání, jde-li o střední a vyšší odbornou školu,
datum zahájení vzdělávání ve škole,
údaje o průběhu a výsledcích vzdělávání ve škole, vyučovací jazyk,
údaje o tom, zda je dítě, žák nebo student zdravotně postižen, včetně údaje o druhu postižení, nebo zdravotně znevýhodněn; popřípadě údaj o tom, zda je dítě, žák nebo student sociálně znevýhodněn, pokud je škole tento údaj zákonným zástupcem dítěte nebo nezletilého žáka nebo zletilým žákem či studentem poskytnut,
údaje o zdravotní způsobilosti ke vzdělávání a o zdravotních obtížích, které by mohly mít vliv na průběh vzdělávání,
datum ukončení vzdělávání ve škole; údaje o zkoušce, jíž bylo vzdělávání ve střední nebo vyšší odborné škole ukončeno,
jméno a příjmení zákonného zástupce, místo trvalého pobytu nebo bydliště, pokud nemá na území České republiky místo trvalého pobytu, a adresu pro doručování písemností, telefonické spojení.“ (ustanovení § 28 odst. 2 školského zákona)
Podobný výčet povinných náležitostí obsahuje zákon také pro školní matriky školského zařízení.
Je tedy nepochybné, že škola disponuje celou řadou osobních údajů. Obecně platí, že tyto osobní údaje
nejsou určeny ke zveřejňování nebo zpřístupňování.
Školský zákon neřeší zcela přesně, komu mohu být osobní údaje uvedené ve školní matrice zpřístupněny. V ustanovení § 28 odst. 4 školský zákon velmi obecně uvádí, že školy a školská zařízení jsou údaje z dokumentace a údaje ze školní matriky oprávněny poskytovat osobám, které svůj nárok prokáží oprávněním stanoveným tímto nebo zvláštním zákonem.Tento limit nepochybně míří do situací, kdy jsou osobní údaje poskytovány mimo školu nebo školské zařízení. Ani školský zákon, ani vyhláška č. 364/2005 Sb. však neřeší, kdo má přístup k jakým údajům uvnitř školy samotné, byť je nepochybné, že ani v rámci školy oprávnění k přístupu k údajům nebude bezbřehé. Bude proto nutné vyjít z ustanovení § 13zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých údajů, ve znění pozdějších předpisů (dále jen „ZoOU“), které obsahuje
povinnost zabezpečit zpracovávané osobní údaje.
Povinnost zajistit bezpečnost osobních údajů patří mezi základní povinnosti stanovené ZoOU. Ustanovením § 13 ZoOU1)je stanovena obecná povinnost správců a zpracovatelů osobních údajů chránit osobní údaje, a to jak před jednáním úmyslným, tak i nedbalostním, stejně tak jako proti působení přírodních a jiných událostí (povodně, požáry, zemětřesení apod.), které by mohly způsobit
zneužití osobních údajů.
Protože povinnost je stanovena absolutně, je možno přijmout závěr, že ochrana osobních údajů je podmínkou pro jejich zpracování. Jelikož uvedená povinnost platí nejen po dobu zpracování osobních údajů, ale i po jejím ukončení, a není v ZoOU omezena žádnou časovou hranicí, lze dovodit, že zákonodárce tímto ustanovením hodlal zabezpečit ochranu osobních údajů u správců a zpracovatelů
po celou dobu
, po kterou je mají ve své dispozici [shromažďují tyto údaje, zpracovávají, uchovávají či blokují a nedošlo k jejich likvidaci ve smyslu ustanovení § 4 písm. b) ZoOU].2)V ustanovení § 13 odst. 3 ZoOU jsou konkretizována rizika, která je nutno posoudit. Již z návětí odstavce 3 je zřejmé, že se jedná o ustanovení, které je ve vztahu k povinnostem podle odstavce 1 upřesňující a které stanoví okruhy aspektů, jež je třeba vždy uvážit
při posuzování rizik zpracování
vzhledem k povinnostem přijmout příslušná opatření ve smyslu odstavce 1 a vztahuje se na všechny druhy, resp. formy zpracování osobních údajů.Uvádí, že v rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje rizika týkající se plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům, zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a opatření, která umožní určit a ověřit, komu byly osobní údaje předány.
Budeme-li tuto povinnost aplikovat na prostředí školy, z logiky věci vyplyne, že ne každá osoba, tedy například ne každý učitel, bude mít přístup ke všem údajům, které škola zpracovává, ale pouze k údajům, které nezbytně nutně potřebuje, případně, na něž má ze zákona nárok, a rozsah zpřístupněných údajů bude vycházet z postavení takové osoby. Z toho lze dovodit tato pravidla:
třídní učitel má přístup k údajům žáků a zákonných zástupců jemu přidělené třídy,
ředitel školy, zástupce ředitele, administrativní pracovnice, kontrolní orgány mají přístup k celé databázi,
zákonný zástupce má přístup jen k údajům svého dítěte.
Tato pravidla bude tedy nutné nějakým způsobem zohlednit a
zpracovat v rámci dokumentů vytvářených školou.
Lze tedy shrnout, že zpřístupňování osobních údajů žáků má svá pravidla, podepřená zákonnou úpravou. Zástupci, především ředitelé škol by měli mít na paměti, že jak zveřejňování, tak zpřístupňování osobních údajů je pojmově ve smyslu ZoOU jejich zpracování a že neoprávněné nakládání s osobními údaji, resp. nakládání s nimi v rozporu s prvotním účelem zpracování může být také posouzeno jako
porušení ZoOU
a potrestáno i nemalou finanční sankcí.(1)Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. (2)Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. (3) V rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje rizika týkající se - plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům, - zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, - zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a - opatření, která umožní určit a ověřit, komu byly osobní údaje předány. (4)V oblasti automatizovaného zpracování osobních údajů je správce nebo zpracovatel v rámci opatření podle odstavce 1 povinen také - zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby, - zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, - pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a - zabránit neoprávněnému přístupu k datovým nosičům.
KUČEROVÁA. et al. Zákon o ochraně osobních údajů: komentář. Vyd. 1. Praha: C. H. Beck, 2003, s. 136. ISBN 80-7179-762-6.