Dne 24. 4. 2019, téměř rok od účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“), vstoupil v účinnost zákon č. 110/2019 Sb., o zpracování osobních údajů (dále jen „ZZOÚ“), a definitivně tak zrušil zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále jen „zákon č. 101/2000 Sb.“). Cílem tohoto článku je představit obsah ZZOÚ, jeho vztah k GDPR a vliv na činnost školy nebo školského zařízení.
Zákon o zpracování osobních údajů vstoupil v účinnost. Mění se pro školy něco?
Mgr.
Alice
Frýbová
právnička společnosti Holubová advokáti, s. r. o.
PhDr. Mgr.
Monika
Puškinová
Ph.D.
právnička, specialistka na školskou legislativu, www.monikapuskinova.
Historická geneze
Právní úprava ochrany osobních údajů je v českém právním řádu obsažena od počátku druhého tisíciletí v souvislosti s přípravou České republiky na vstup do Evropské unie. Jednou z podmínek vstupu byla tzv. harmonizace právních předpisů, tedy úprava právních předpisů tak, aby byly do jisté míry obdobné ve všech členských zemích EU.
V EU existovala již v devadesátých letech úprava ochrany osobních údajů, a to ve směrnici č. 95/46/EC Evropského parlamentu a Rady z roku 1995 o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat (dále jen „Směrnice 95/46/EC“).
Na tomto místě považují autorky za vhodné zopakovat definiční znaky evropských směrnic. Směrnice jsou právními akty, které ukládají povinnosti pouze členským státům EU, nikoliv jejich občanům. Směrnice vyžadují, aby členské státy EU dosáhly určitého výsledku, ponechávají jim však svobodu volby v tom, jak to učiní. K dosažení cílů stanovených ve směrnici musejí členské země přijmout opatření, aby mohly tuto směrnici začlenit do vnitrostátního práva (tzv. provedení).1)
Směrnice 95/46/EC byla do českého právního řádu provedena zákonem č. 101/2000 Sb. Příklad rozdílu mezi zněním směrnice a jejím provedením do zákona ukazuje příklad v tabulce č. 1 níže, porovnávající znění části čl. 12 Směrnice 95/46/EC a § 12 zákona č. 101/2000 Sb.
Dne 25. 5. 2018 vstoupilo v účinnost GDPR a na evropské úrovni zrušilo Směrnici 95/46/EC, která v současné době není pro členské státy závazná. Českému zákonodárci se však nepodařilo ve stejnou dobu zrušit zákon č. 101/2000 Sb. Tím do „české“ právní úpravy vnesl zmatek, jelikož systém právních předpisů obsahoval
*
účinný zákon č. 101/2000 Sb. k provedení již neúčinné směrnice,
*
účinné GDPR, které nebylo se zákonem č. 101/2000 Sb. zcela kompatibilní.
Popsaná „zmatečnost“ byla zesílena tím, že GDPR jako evropské nařízení (na rozdíl od evropské směrnice) je automaticky závazné v celém rozsahu pro všechny osoby, aniž by muselo být provedeno do vnitrostátního práva. To znamená, že pro aplikovatelnost GDPR nebylo (a není) potřeba žádného dalšího „českého“ zákona.
ZZOÚ a důvody jeho přijetí
Jak již bylo uvedeno, dne 24. 4. 2019 vstoupil v účinnost ZZOÚ. Důvodů jeho přijetí bylo několik.
Za prvé GDPR neupravuje detailně postavení dozorových úřadů, které je vždy nutné stanovit na vnitrostátní úrovni (vymezení statutárního orgánu, sídla apod.). Proto ZZOÚ mimo jiné upravuje strukturu a organizaci Úřadu pro ochranu osobních údajů.
Tabulka č. 1
|
Článek 12 Směrnice 95/46/EC Právo na přístup |
§ 12 zákona č. 101/2000 Sb.
Přístup subjektů údajů k informacím
|
|
Členské státy zaručí každému subjektu údajů právo získat od správce:
a) bez omezení, v rozumných intervalech a bez prodlení nebo nadměrných nákladů:
– potvrzení, že údaje, které se ho týkají, jsou či nejsou zpracovávány, jakož i informace týkající se alespoň účelů zpracování, kategorií údajů, na které se zpracování vztahuje, a příjemců nebo kategorií příjemců, kterým jsou údaje sdělovány,
– sdělení srozumitelnou formou o údajích, které jsou předmětem zpracování, a veškeré dostupné informace o původu údajů,
– oznámení postupu automatického zpracování údajů, které se ho týkají, alespoň v případě automaticky přijímaných rozhodnutí uvedených v čl. 15 odst. 1;
…
|
(1) Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného odkladu předat.
(2) Obsahem informace je vždy sdělení o
a) účelu zpracování osobních údajů,
b) osobních údajích, případně kategoriích osobních údajů, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji,
c) povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů,
d) příjemci, případně kategoriích příjemců.
(3) Správce má právo za poskytnutí informace požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.
(4) Povinnost správce poskytnout informace subjektu údajů upravenou v § 12 může za správce plnit zpracovatel.
|
Tabulka č. 2
| Článek 8 odst. 1 GDPR | § 7 ZZOÚ |
|
Pokud se použije čl. 6 odst. 1 písm. a) v souvislosti s nabídkou služeb informační společnosti přímo dítěti, je zpracování osobních údajů dítěte zákonné, je-li dítě ve věku nejméně
16 let
. Je-li dítě mladší 16 let, je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnosti k dítěti.Členské státy mohou pro uvedené účely právním předpisem stanovit nižší věk, ne však nižší než 13 let.
|
Dítě nabývá způsobilosti k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti přímo jemu dovršením patnáctého roku věku
|
Za druhé GDPR umožňuje členským státům, aby určité otázky přizpůsobily svému právnímu řádu a specifikovaly podmínky pro použití určitých ustanovení. To znamená, že pokud si členské státy záležitosti, které jsou výslovně povolené, upraví jinak, mohou se tak odchýlit od znění GDPR. Toho Česká republika využila nejen v souvislosti s diskutovanými pokutami, ale též v jiných oblastech vztahujících se k veřejné správě.
Jak Česká republika upravila odlišně souhlas dítěte v souvislosti se službami informační společnosti, uvádí tabulka č. 2.2)
Obsah ZZOÚ a úprava odlišná od GDPR
Většina ustanovení ZZOÚ zpřesňuje některé povinnosti stanovené GDPR a stanoví výjimky z některých povinností vymezených GDPR. Dále je samostatná část ZZOÚ věnována zpracování osobních údajů pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu.
Následující přehled ukazuje pět významných oblastí, ve kterých ZZOÚ upravuje pravidla zpracování osobních údajů odlišně od GDPR, a proto v ČR zavádí změny při zpracování osobních údajů. Podle názoru autorek uvedené oblasti a na ně navazující změny pravidel zpracování osobních údajů jsou nebo mohou být použitelné v praxi škol a školských zařízení.
1. Způsob plnění informační povinnosti
GDPR v čl. 13 a čl. 14 zavedlo rozsáhlou informační povinnost, která se vztahuje i na školy a školská zařízení. Školy a školská zařízení musejí informovat zákonné zástupce dětí, žáků, žáky, studenty, případně další osoby (např. osoby oprávněné k vyzvednutí dítěte z mateřské školy), uchazeče o vzdělávání a jejich zákonné zástupce, uchazeče o zaměstnání a zaměstnance např. o účelech zpracování, rozsahu zpracování osobních údajů a právech vůči škole a školskému zařízení v souvislosti se zpracováním osobních údajů. Přitom se obecně vycházelo z předpokladu, že tato informační povinnost je splněna zveřejněním uvedených informací na webových stránkách školy nebo školského zařízení.
V rozporu s tím byl první polský rozsudek, kterým byla v březnu 2019 za informování subjektů údajů o zpracování osobních údajů pouze na webových stránkách společnosti3) uložena pokuta ve výši 943 000 PLN (přibližně 5 658 000 Kč). Dle názoru polského dozorového úřadu nepostačila v konkrétním případě informace o způsobu zpracování osobních údajů zveřejněná na webových stránkách společnosti. Polský dozorový úřad dospěl k závěru, že společnost měla informaci o zpracování osobních údajů poslat subjektům údajů s využitím e-mailové adresy (pokud jí disponovala) nebo poštou (pokud e-mailovou adresou nedisponovala).
Školy a školská zařízení by se neměly obávat postihu za zveřejnění informací dle čl. 13 a čl. 14 GDPR pouze na webových stránkách, neboť se v jejich případě použije § 8 ZZOÚ. Pravidlo zakotvené § 8 ZZOÚ je založeno na následujícím vztahu: pokud správce zpracovává osobní údaje, protože je to nezbytné pro splnění povinnosti, která je správci uložena právním předpisem, nebo úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, může informační povinnost splnit zveřejněním způsobem umožňujícím dálkový přístup.
Školy a školská zařízení ve většině případů zpracovávají osobní údaje zákonných zástupců dětí a žáků, dětí, žáků a studentů, případně dalších osob (např. osoby oprávněné k vyzvednutí dítěte z mateřské školy), uchazečů o vzdělávání a jejich zákonných zástupců, uchazečů o zaměstnání a zaměstnanců, protože je to nezbytné
*
pro splnění povinnosti, která je správci uložena právním předpisem (např. zpracování školní matriky),
*
pro splnění úkolu prováděného ve veřejném zájmu (např. zveřejňování stručných informací o úspěších žáků v tisku nebo na webových stránkách školy, přičemž veřejný zájem se chápe ve smyslu propagace školy a vzdělávání jako institucí a hodnot, na kterých je společnost založena) nebo
*
při výkonu veřejné moci (např. zpracování osobních údajů v rámci správního řízení).
Proto mohou školy a školská zařízení v daných případech jednoznačně plnit informační povinnost dle čl. 13 a čl. 14 GDPR tím, že informace poskytnou způsobem umožňujícím dálkovým přístup, tedy i na webových stránkách školy nebo školského zařízení.
Podle názoru autorek je v případě škol a školských zařízení dostačující, pokud škola a školské zařízení zveřejní na webových stránkách informace o zpracování osobních údajů dle čl. 13 a čl. 14 GDPR, i tehdy, pokud zpracovává osobní údaje z následujících důvodů:
*
je to nezbytné pro splnění smlouvy nebo pro provedení opatření přijatých před uzavřením smlouvy [viz čl. 6 odst. 1 písm. b) GDPR],
*
je to nezbytné pro účely oprávněných zájmů správce nebo třetí strany [viz čl. 6 odst. 1 písm. f) GDPR],
*
osobní údaje se zpracovávají na základě udělení souhlasu se zpracováním osobních údajů [viz čl. 6 odst. 1 písm. a) GDPR].
Důvodem, proč autorky považují zveřejnění na webových stránkách školy za dostačující, je skutečnost, že rodiče, žáci a jiná veřejnost mohou důvodně očekávat zpracování osobních údajů školou, a mají tak reálnou možnost se s informací seznámit.
Shrnutí výše uvedených informací má níže podobu tabulky (tabulka č. 3).
2. Oznámení formou změny výchozí evidence
Připomeňme, že podle GDPR mají subjekty údajů právo požádat o opravu osobních údajů (čl. 16), omezení zpracování osobních údajů (čl. 18) nebo výmaz osobních údajů (čl. 17).
V praxi nebylo zřejmé, jakým způsobem má škola nebo školské zařízení jako správce „poskytovat zpětnou vazbu“ subjektům údajů, tj. oznamovat subjektům údajů, že byla provedena oprava osobních údajů, uskutečněno omezení zpracování osobních údajů či došlo k výmazu osobních údajů.
Tabulka č. 3
Pro školu nebo školské zařízení se uvedená nejasnost promítala např. do následující situace a otázky:
*
Škola nebo školské zařízení byly požádány o změnu adresy místa trvalého pobytu dítěte ve školní matrice (tj. o opravu osobního údaje).
*
Škola nebo školské zařízení uvedenou změnu ve školní matrice zaznamenaly (tj. opravu osobního údaje uskutečnily).
*
Musí, nebo nemusí škola nebo školské zařízení informovat zákonného zástupce / žáka či studenta o provedené změně?
Odpověď dává § 9 ZZOÚ, podle kterého platí následující pravidlo: Jestliže správce pravidelně zpřístupňuje platný obsah evidence osobních údajů příjemci, pak může správce oznámit příjemci provedenou opravu, omezení zpracování nebo výmaz osobních údajů tím, že učiní změnu osobních údajů v evidenci. Pro praxi škol a školských zařízení je v tomto smyslu důležité, zda používají, nebo nepoužívají informační systém, do kterého mají přístup též zákonní zástupci dětí nebo žáků, žáci a studenti.
a)
Pokud škola nebo školské zařízení používá takový systém, do kterého mají přístup též zákonní zástupci dětí nebo žáků, žáci a studenti, může oznámit provedení změn (provedení opravy osobního údaje, omezení zpracování, výmaz) tím, že tato změna je viditelná v uvedeném systému.
b)
Pokud škola nebo školské zařízení nepoužívá takový systém, do kterého mají přístup též zákonní zástupci dětí nebo žáků, žáci a studenti, musí je informovat o provedených změnách, a to jakýmkoliv prokazatelným způsobem, např. e-mailem či písemně.
Na tomto místě autorky upozorňují na postup školy nebo školského zařízení v případě, že škola nebo školské zařízení nepřijme opatření, o které subjekt údajů požádal (např. neprovede výmaz osobních údajů). Tehdy škola nebo školské zařízení informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u Úřadu pro ochranu osobních údajů a o možnosti žádat soudní ochranu. Shrnutí výše uvedených informací zajišťuje schéma na následující straně.
3. Výjimka z povinnosti posouzení vlivu zpracování osobních údajů na ochranu osobních údajů
Povinnost provést posouzení vlivu na ochranu osobních údajů byla u škol a školských zařízení zmiňována pouze zřídka, pokud vůbec. Nicméně čl. 35 odst. 1 GDPR stanoví bez výjimky pravidlo, podle kterého správce provede před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů, pokud je pravděpodobné, že zpracování osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, a to zejména s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování.
Další, doprovodné materiály4) pak stanovily řadu kritérií a vztah, podle kterého se při splnění dvou až tří uvedených kritérií má všeobecně za to, že zpracování je vysoce rizikové a podléhá posouzení vlivu na ochranu osobních údajů. Do skupiny uvedených kritérií je zařazována skutečnost, že subjektem údajů je dítě, tzv. zranitelný subjekt, nebo že se jedná o zpracování zvláštní kategorie osobních údajů.
Je zřejmé, že pokud by školy a školská zařízení vycházely čl. 35 GDPR, musely by provést posouzení vlivu na ochranu osobních údajů např. před zpracováním údajů evidovaných ve školní matrice či údajů potřebných v souvislosti se speciálními vzdělávacími potřebami žáků.
Nicméně přesto v této situaci není nutné provádět posouzení vlivu na ochranu osobních údajů, a to s ohledem na ZZOÚ. Ten v § 10 stanoví, že správce nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést.
Ředitelé škol a školských zařízení by proto měli jednoznačně vědět, ve kterých případech škola nebo školské zařízení zpracovává osobní údaje, protože jim uvedené zpracování osobních údajů ukládá právní předpis. Takovým právním předpisem bude např.
*
zákon č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), v platném znění,
*
zákon č. 109/2002 Sb., o výkonu ústavní výchovy nebo ochranné výchovy ve školských zařízeních a o preventivně výchovné péči ve školských zařízeních a o změně dalších zákonů, v platném znění,
*
zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, v platném znění,
*
vyhláška č. 64/2005 Sb., o evidenci úrazů dětí, žáků a studentů, v platném znění.
To však neznamená, že by školy a školská zařízení byly z povinnosti provést posouzení vlivu na ochranu osobních údajů vyjmuty vždy. V případě, že zpracování nestanoví právní předpis a zároveň je „rizikové“ (typicky docházkový systém založený na otiscích prstů), je třeba, aby škola nebo školské zařízení provedly posouzení vlivu na ochranu osobních údajů. Shrnutí informací je obsaženo v následujícím schématu.
4. Přestupky a pokuty
Velkým tématem GDPR byly pokuty a jejich maximální výše. Ustanovení čl. 83 odst. 4 GDPR stanoví výši pokut na 20 milionů eur nebo až čtyři procenta z celosvětového obratu. Vedle toho GDPR uvádí, že členské státy mohou způsob a výši uložených pokut upravit odlišně (čl. 84). Proto byla v ZZOÚ zakotvena úprava přestupků. Nicméně tato úprava je velmi nesrozumitelná a nepřehledná, což je výsledkem zapracování několika pozměňovacích návrhů.
Pro školy a školská zařízení je vhodné zdůraznit, že návrh Senátu na úplné vyjmutí malých škol a obcí z působnosti GDPR a stanovení maximální pokuty ve výši deset, resp. patnáct tisíc korun českých nebyl schválen. Školy a školská zařízení z úhlu pohledu přestupků a pokut spadají do jedné kategorie spolu s jinými veřejnými subjekty nebo právnickými osobami.
Jak již bylo uvedeno, právní úprava ukládání pokut zakotvená ZZOÚ je nepřehledná. Umožňuje různé výklady a lze předpokládat, že právní
interpretace
se budou vyvíjet a postupně sjednocovat. Podle právního názoru autorek však lze školám a školským zařízením jako právnickým osobám uložit pokutu dle § 63 odst. 3 ZZOÚ. Maximální výše pokuty činí deset milionů korun českých. Autorky však nepředpokládají, že by se pokuty ukládané školám a školským zařízením pohybovaly ve výši statisíců nebo milionů korun českých.
5. Zvláštní ustanovení o odložení věci
Ustanovení čl. 65 ZZOÚ umožňuje Úřadu pro ochranu osobních údajů odložit věc, jestliže je vzhledem k významu a míře porušení nebo ohrožení chráněného zájmu, který byl činem dotčen, způsobu provedení činu, jeho následku, okolnostem, za nichž byl čin spáchán, nebo vzhledem k chování podezřelého po spáchání činu zřejmé, že účelu, jehož by bylo možno dosáhnout provedením řízení o přestupku, bylo dosaženo nebo jej lze dosáhnout jinak.
V praxi škol a školských zařízení to může znamenat, že Úřad pro ochranu osobních údajů může věc odložit a nebude ani zahajovat řízení o přestupku, jestliže
*
škola pochybila při zpracování osobních údajů,
*
pochybení nemělo negativní dopady na subjekty údajů a
*
škola nebo školské zařízení svoje pochybení již napravily.
Dle názoru autorek se bude jednat především o pochybení formální povahy, jako je např. porušení povinnosti informovat žáky a rodiče o způsobu zpracování osobních údajů, které s velkou pravděpodobností nemá negativní dopad na rodiče a žáky, pokud toto pochybení škola napraví dodatečně.
Závěrem
Přijetím ZZOÚ Česká republika dovršila legislativní proces implementace nových pravidel ochrany osobních údajů do českého právního řádu. ZZOÚ nakládání s osobními údaji zpřesnil a do určité míry také zjednodušil. Nicméně ZZOÚ neruší GDPR, ale existuje souběžně s ním.
Školy a školská zařízení mohou za podmínek stanovených ZZOÚ poskytovat informace o zpracování osobních údajů zveřejněním těchto informací na webových stránkách, oznamovat provedení změn „zviditelněním“ změn v systému a v běžných situacích neprovádět posouzení vlivu zpracování na ochranu osobních údajů.
1) Viz Druhy právních předpisů EU. Evropská komise [online]. [cit. 2019-05-04]. Dostupné z: https://ec.europa.eu/info/law/law-making-process/types-eu-law_cs.
2) Službou informační společnosti se rozumí každá služba poskytovaná zpravidla za úplatu, na dálku, elektronicky a na individuální žádost příjemce služeb.
3) Wolf Theiss. Poland Has Imposed the First Fine for Infringement of GDPR [online]. 29. 4. 2019. Dostupné z: https://www.wolftheiss.com/fileadmin/content/6_news/clientAlerts/2019/2019_Q3/19_04_03_CA_Poland_has_imposed_the_first_fine_for_Infringement_of_GDPR_Warsaw.pdf.
4) Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 adopted on 4 April 2017, as last Revised and Adopted on 4 October 2017 [online]. 1. 5. 2019. Dostupné z: https://www.uoou.cz/posouzeni-vlivu-na-ochranu-osobnich-udaju/d-27313/p1=4720.