Mnoho lidí se domnívá, že nařízení GDPR znamená zajistit souhlasy se zpracováním osobních údajů a koupit si drahý software, který bude data chránit. Tak tomu ale není. Souhlas se zpracováním osobních údajů je pouze jednou z mnoha povinností, která na mateřské školy dopadne.
Souhlas se zpracováním osobních údajů: od koho a k čemu?
Mgr.
Alice
Frýbová,
právnička z Holubová advokáti, s. r. o., specialistka na ochranu osobních údajů
RNDr. Ing.
Eva
Urbanová,
lektorka, Centrum školského managementu PedF UK
Souhlas se zpracováním osobních údajů je nutný v případě, že mateřská škola nemá jiný právní důvod zpracování podle čl. 6 GDPR, tj. zpracování není nezbytné pro splnění smlouvy nebo jiné právní povinnosti mateřské školy, není nezbytné pro ochranu životně důležitých zájmů subjektu údajů a ani není nezbytné pro splnění úkolu prováděného ve veřejném zájmu.
To znamená, že mateřské školy pro absolutní většinu procesů, kde se objevují osobní údaje, jako je zpracování mezd nebo vedení zákonné dokumentace mateřské školy, nebudou muset mít souhlas pro toto zpracování. Pokud totiž nějakou povinnost předpokládá zákon či jiný právní předpis, není nutné a ani vhodné požadovat souhlas se zpracováním osobních údajů.
K ČEMU?
Mateřské školy tak budou muset disponovat souhlasem
především pro marketingové účely,
tzn. pokud chtějí fotografie či videa ze svých akcí zveřejňovat na svých internetových stránkách, chtějí zasílat novinky na e-mail rodičů, nebo pokud z nějakého důvodu chtějí předávat osobní údaje dětí např. zřizovateli. U mateřských škol, které mají webové stránky, lze dále uvažovat o souhlasu zaměstnanců se zveřejněním fotografií na webu a o souhlasu uživatelů webových stránek s používáním cookies.OD KOHO?
Pokud se jedná o osobní údaje dítěte, pak vždy od jeho zákonného zástupce, resp. osoby, která může za dítě rozhodovat. Pokud se jedná o osobní údaje zaměstnanců a výše zmiňované zveřejnění jejich fotografií na webu, pak přímo od těchto jednotlivých zaměstnanců.
JAKÝ MUSÍ BÝT SOUHLAS?
Souhlas musí být svobodný
Svobodný souhlas neznamená pouze to, že k němu subjekt údajů není přinucen, ale třeba i to, že souhlas se zpracováním osobních údajů pro daný účel není podmínkou poskytnutí služby nebo přijetí do pracovního poměru. Pokud bude např. mateřská škola požadovat po svých zaměstnancích udělení souhlasu pro účely sledování jejich aktivity na počítačích, jeho neudělení může mít za následek nepodepsání pracovní smlouvy. U takového souhlasu (stejně jako u většiny dalších souhlasů udělených zaměstnancem zaměstnavateli) tak souhlas nebude platný z důvodu neexistující svobodné volby na straně zaměstnance.
Souhlas musí být konkrétní
Aby byl souhlas konkrétní, musí být udělen pro konkrétní účel či účely zpracování. Nelze tedy např. v přihlášce do mateřské školy uvést větu:
„Souhlasím se zpracováním osobních údajů mého dítěte.“
Z této věty není absolutně jasné, k čemu je vlastně souhlas udělen. Stejně tak nebude zřejmě postačovat ani:
„Souhlasím se zpracováním osobních údajů mého dítěte pro marketingové účely mateřské školy.“
Naopak by mateřské školy měly být co nejspecifičtější při formulování souhlasu a definovat ho např. takto:
„Souhlasím s pořizováním fotografií zachycujících mé dítě, a to za účelem propagace mateřské školy a její činnosti na webových stránkách XX ve školním roce 2018/2019.“
Souhlas musí být informovaný
Souhlas bude informovaný, pokud byl subjekt údajů před jeho udělením informován zejm. o totožnosti správce, tedy mateřské školy, účelech zpracování a o možnosti kdykoliv souhlas odvolat.
Souhlas musí být jednoznačný
Jednoznačný souhlas znamená, že souhlas je jednoznačným projevem vůle. Souhlas nesmí být udělen konkludentně, tedy mlčky, ale musí být vždy aktivním jednáním dítěte, resp. jeho zákonného zástupce nebo zaměstnance. Za platný souhlas nelze považovat předem zaškrtnuté políčko. Platným souhlasem nebude ani věta v přihlášce do mateřské školy o souhlasu s pořizováním fotografií, kdy podpis samotné přihlášky automaticky znamená souhlas s pořizováním fotografií. Naopak jednoznačným souhlasem bude i vyplnění nepovinného pole v přihlášce, u kterého je jednoznačně uvedeno, že e-mailová adresa bude použita k zasílání novinek/newsletteru mateřské školy.
Souhlas musí být odvolatelný
GDPR stanoví, že odvolat souhlas musí být tak jednoduché jako ho udělit. O tom by měl být zákonný zástupce či zaměstnanec poučen. Nelze tedy stanovit složitou proceduru odvolání souhlasu, např. požadovat, aby bylo odvolání souhlasu zasláno doporučeně poštou na adresu mateřské školy.
ZÁVĚR
Ne všechny mateřské školy budou řešit problematiku souhlasu se zpracováním osobních údajů dětí a zaměstnanců, protože mnoho mateřských škol zpracovává pouze zákonné informace. Nicméně pokud některé mateřské školy pořádají speciální akce či zveřejňují fotografie na webu, měly by upravit své aktuální souhlasy podle nové právní úpravy.