Obecné nařízení o ochraně osobních údajů ("GDPR"), účinné od 25. května 2018, zavádí v čl. 30 novou povinnost vést záznamy o činnostech zpracování. V tomto příspěvku se zaměříme na to, co je záznam o činnostech zpracování a jak by školy měly přistoupit k povinnosti záznamy o činnostech zpracování vést.
Záznamy o činnostech zpracování
Mgr.
Alice
Frýbová,
specialistka na ochranu osobních údajů, AK Holubová advokáti, s. r. o.
RNDr. Ing.
Eva
Urbanová,
lektorka, Centrum školského managementu PedF UK
Co je záznam o činnostech zpracování?
Záznam o činnostech zpracování je písemný dokument, který definuje, jakým způsobem daná organizace zpracovává osobní údaje. Pro každý typ zpracování musí být veden samostatný záznam. Není tedy nutné zaznamenávat každé jednotlivé zpracování osobních údajů konkrétního člověka. Jinými slovy, správce má záznam o činnostech zpracování nazvaný "personální agenda", ve které je obecně popsáno, se kterými údaji zaměstnanců se pracuje. Při přijetí nového zaměstnance se nový záznam o činnostech zpracování připravovat nebude, nicméně správce osobních údajů by měl postupovat v souladu se záznamem o činnostech zpracování. Záznam o činnostech zpracování je jakousi náhradou za oznamovací povinnost vůči Úřadu pro ochranu osobních údajů (dále jen "ÚOOÚ"), která byla GDPR zrušena. Záznamy je nutné na žádost zpřístupnit ÚOOÚ, protože primárně slouží ÚOOÚ jako vodítko k tomu, aby se zorientoval v tom, jak v dané organizaci probíhá zpracování osobních údajů. ÚOOÚ bude také posuzovat, zda faktické zpracování v organizaci probíhá tak, jak je popsáno v záznamech o činnostech zpracování.
Záznamy o činnostech zpracování je nutné vést písemně, přičemž za písemnou podobu se považují i záznamy vedené v elektronické podobě. Záleží tedy na správci osobních údajů, zda se rozhodne mít záznamy uložené elektronicky, nebo vytištěné a založené v pořadači.
Kdo musí vést záznamy o činnostech zpracování?
Povinnost vést záznamy o činnostech zpracování osobních údajů dopadá prakticky na všechny subjekty, které osobní údaje zpracovávají. Nicméně GDPR stanovuje výjimku, na základě které záznamy o činnostech zpracování nemusejí vést společnosti a organizace, které zaměstnávají méně než 250 zaměstnanců. Ovšem ačkoliv má drtivá většina škol méně než 250 zaměstnanců, tato výjimka na ně stejně nedopadne, protože zároveň s počtem zaměstnanců je nutné splnit další tři podmínky. Těmi jsou:
-
zpracování nesmí představovat riziko pro práva a svobody subjektů údajů,
-
zpracování musí být příležitostné a
-
zpracování nesmí zahrnovat zvláštní kategorie osobních údajů.
Školy z povahy věci zpracovávají osobní údaje žáků kontinuálně, nikoliv pouze příležitostně a zpracování zahrnuje zvláštní kategorie osobních údajů (např. podpůrná opatření), čímž představuje riziko pro práva a svobody žáků. Z toho lze dovodit, že školy musejí vést záznamy o činnostech zpracování.
Jakých agend se záznamy o činnostech zpracování týkají?
Záznamy o činnostech zpracování do jisté míry nahrazují oznamovací povinnost u ÚOOÚ. V současnosti však ÚOOÚ není nutné oznamovat každou agendu, tj. školy zpravidla hlásí pouze kamerové systémy se záznamem. Tato ohlašovací povinnost je zrušena a nahrazena předmětnými záznamy o činnostech zpracování. Nicméně ty na rozdíl od ohlašovací povinnosti ÚOOÚ dopadnou na veškerá zpracování osobních údajů, tedy i na agendy, které školy provádějí ze zákona či na základě plnění smlouvy (resp. na zpracování osobních údajů uskutečňovaná na jiném základě dle čl. 6 GDPR). To znamená, že záznam je nutné pořídit i např. pro účely vedení školní matriky (tj. na agendu zpracovávanou ze zákona) aj.
Ministerstvo školství, mládeže a tělovýchovy připravilo pro školy v polovině března 2018 pomůcku, která jim vedení záznamů usnadňuje (dostupné z: http://www.msmt.cz/dokumenty-3/strucny-navod-na-zabezpeceni-procesusouvisejicich-s-gdpr). Jedná se o tabulku, která obsahuje údaje, jež školy sbírají na základě školské legislativy nebo na jiném legálním základě (např. na základě uděleného souhlasu, oprávněného zájmu správce), a je připravena pro mateřské, základní, střední a vyšší odborné školy. Mezi agendy, které MŠMT pokrylo, patří následující: (i) vedení matriky, (ii) BOZP, (iii) přijímací řízení do mateřské školy, (iv) průběh vzdělávání v mateřské škole, (v) přijímací řízení do základní školy, (vi) průběh vzdělávání v základní škole (dále jen ZŠ), (vii) přijímací řízení do střední školy, (viii) průběh vzdělávání ve střední a vyšší odborné škole, (ix) ukončování vzdělávání ve střední a vyšší odborné škole. Tyto agendy jsou dále členěny na podagendy (např. agenda "průběh základního vzdělávání" obsahuje podagendy "vedení záznamů v třídní knize" či "žádost o přijetí do školy - přestup" aj.).
Na tomto místě je nutné upozornit, že se nejedná o úplný výčet a v jednotlivých případech se může stát, že školy mají navíc i jiné agendy zpracování osobních údajů nebo naopak některé z předem připravených nezpracovávají. Například pokud školy používají nějaký čipový systém, který zaznamenává údaje o příchodu a odchodu, bylo by vhodné ho do záznamů taktéž zařadit. Opomenuta je rovněž personální agenda. Na druhou stranu většina situací, které představují základní činnost školy, tedy poskytování vzdělávání, je v předpřipravených záznamech již zahrnuta.
Jaké informace musejí záznamy o činnostech zpracování obsahovat?
GDPR stanovuje minimální rozsah údajů, které záznamy o činnostech zpracování musejí obsahovat. Pro školy, které mají sídlo v České republice, se bude jednat o:
-
kontaktní údaje správce osobních údajů, tedy školy
Zde postačí základní identifikační údaje, tedy název školy, adresa, IČO, možné je uvést i identifikátor datové schránky, webové stránky či e-mail a telefonní číslo.
-
údaje o pověřenci pro ochranu osobních údajů
Pokud má škola jako pověřence fyzickou osobu, uvede její jméno, příjmení a kontaktní údaje, tedy e-mail či telefon, příp. ID datové schránky. Pokud je pověřencem právnická osoba, je nutné též uvést, která fyzická osoba za ni činnost pověřence vykonává.
-
účel zpracování osobních údajů
Zde je nutné si ujasnit, proč škola dané údaje zpracovává. Pokud se jedná o povinnost vyplývající z právního předpisu, postačí uvést odkaz na daný předpis, např. § 28 školského zákona. Pokud se jedná o zpracování osobních údajů, které nevyplývá ze zákona nebo podzákonného předpisu1) (může jít např. o propagaci školy), pak je nutné dostatečně konkrétně daný účel formulovat (např. propagace školy, ochrana majetku školy, nezbytná organizace režimu vzdělávání).
-
popis činnosti zpracování
Tento údaj se do jisté míry může krýt s účelem zpracování osobních údajů. Školy mohou uvést např. výpočet a výplatu mezd, vedení záznamů v třídní knize aj.
-
kategorie subjektů údajů dotčených předmětným zpracováním
V tomto ohledu je nutné určit, koho se osobní údaje týkají. Zpravidla to budou žáci školy, některé údaje má ale škola i o zákonných zástupcích, zaměstnancích aj.
-
popis kategorií osobních údajů
Zde je nutné určit, jaké osobní údaje škola zpracovává. Není nutné vypisovat každý údaj (ačkoliv tomu nic nebrání), postačí vypsat kategorie, např. adresní údaje, identifikační údaje, údaje o zdravotním stavu. Záznamy, které připravilo MŠMT, jsou podrobnější a obsahují každý jednotlivý údaj, což školám může spíše usnadnit jejich činnost.
-
kategorie příjemců, kterým budou nebo byly osobní údaje sděleny nebo jinak zpřístupněny
-
předávání osobních údajů do třetích zemí nebo mezinárodní organizaci
V záznamech musí být dále uvedena informace o předání osobních údajů do třetích zemí. Třetími zeměmi se rozumějí nečlenské státy EU. V prostředí regionálního školství bude předávání osobních údajů do třetích zemí výjimečné, nicméně např. v rámci programu ERASMUS+ či výměnných pobytů ho nelze vyloučit.
-
plánovaná lhůta pro výmaz osobních údajů, je-li to možné
V souvislosti se lhůtou pro výmaz osobních údajů je proto vhodné zdůraznit následující:
a)
GDPR neruší povinnost veřejnoprávních původců2) řádně vyřazovat dokumenty ve skartačním nebo mimoskartačním řízení (tak, jak je vymezuje zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů). Jednoduše řečeno nelze zničit dokument obsahující osobní údaje, aniž by byl proveden výběr archiválií.
b)
Plánovanou lhůtu pro výmaz je možné chápat jako skartační lhůtu nosiče osobních údajů. Připomeňme, že skartační lhůta je lhůta daná určitým počtem let, po který bude dokument uložen ve škole. Po uplynutí skartační lhůty je zařazen do skartačního řízení. Ve skartačním řízení provádí příslušný archiv výběr archiválií. Zopakujme, že dokument nelze skartovat, pokud se jedná o archiválii.
c)
V případě některých dokumentů obsahujících osobní údaje je skartační lhůta stanovena právním předpisem. "Školských dokumentů", kterých by se pravidla týkala, není mnoho a jsou vyčleněny v materiálu Ministerstva vnitra Přehled právních předpisů stanovujících povinnost ukládat vybrané typy dokumentů3).
d)
Některé skartační lhůty nejsou stanoveny zákonem a stanoví je škola podle svého uvážení. Skartační lhůta je obsažena ve spisovém řádu školy.
e)
Lze předpokládat, že fotografie či kamerové záznamy až na výjimky ve spisovém řádu obsaženy nebudou. Je vhodné, aby si škola sama stanovila přiměřenou lhůtu, po jejímž uplynutí bude tyto osobní údaje mazat.
-
obecný popis technických a organizačních bezpečnostních opatření
Jedná se o popis toho, jak jsou osobní údaje zabezpečené. Zabezpečení se budeme podrobně věnovat v dalším článku o GDPR.
Kde mám záznamy uchovávat?
GDPR výslovně stanoví, že záznamy o činnostech zpracování je nutné mít v písemné podobě. Za písemnou podobu se považuje též elektronická podoba. Je tedy pouze na uvážení školy, v jaké formě bude záznamy o činnostech zpracování vést. Je také pouze na uvážení školy, kde budou záznamy uloženy a kdo k nim bude mít přístup. Na tomto místě upozorňujeme, že záznamy o činnostech zpracování neobsahují osobní údaje konkrétních osob a nic nebrání tomu, aby k nim měl přístup co nejširší okruh lidí.
Mám záznamy o činnostech zpracování předat Úřadu pro ochranu osobních údajů?
Ne. Záznam o činnostech zpracování je interní dokument, který si může ÚOOÚ prostřednictvím pověřence pro ochranu osobních údajů kdykoliv vyžádat. Škola z vlastní iniciativy záznamy o činnostech zpracování ÚOOÚ nepředává.
Vyplatí se mít záznam i z jiného důvodu?
Ačkoliv je primárním účelem záznamů o činnostech zpracování informování ÚOOÚ o tom, jaké údaje škola zpracovává, lze je využít i k jiným účelům. Záznamy o činnostech zpracování bude využívat pověřenec pro ochranu osobních údajů, aby mohl kontrolovat způsob zpracování osobních údajů ve škole. Dále mohou být např. součástí interní směrnice nebo sloužit jako manuál pro pověřené zaměstnance, jaké údaje v kterých situacích sbírat a kam je ukládat.
Závěr
Od 25. května 2018 bude oznamovací povinnost vůči ÚOOU nahrazena povinností vést záznamy o činnostech zpracování osobních údajů. Tyto záznamy se již nebudou hlásit na ÚOOÚ, ale budou k dispozici ve škole. Na rozdíl od současné registrační povinnosti však záznamy o činnostech zpracování bude nutné vést pro všechny agendy zpracování. Jinými slovy, tato povinnost se bude vztahovat i na zpracování osobních údajů, která se uskutečňují na základě jakéhokoli právního důvodu uvedeného v čl. 6 GDPR.
1 Podzákonným právním předpisem je např. nařízení vlády č. 211/2010 Sb., o soustavě oborů vzdělání v základním, středním a vyšším odborném vzdělávání, ve znění pozdějších předpisů, na základě kterého se v případě některých oborů vzdělání při podání přihlášky ke vzdělávání vyžaduje potvrzení o splnění podmínek zdravotní způsobilosti uchazeče. Dále je podzákonným právním předpisem např. vyhláška č. 64/2005 Sb., o evidenci úrazů dětí, žáků a studentů, ve znění pozdějších předpisů, podle které se v záznamu o úrazu (formulář záznamu se stanoví přílohou přihlášky) zpracovává řada osobních údajů.
2 Viz § 3 odst. 1 zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů.
3 Přehled právních předpisů stanovujících povinnost ukládat vybrané typy dokumentů [online]. [cit. 2018-03-27]. Dostupné z: http://www.mvcr.cz/gdpr/soubor/logo-mv1ef4ba13-pdf.aspx