Jak plnit povinnosti při zpracování osobních údajů

Je předností zákona o ochraně osobních údajů, že nezavádí, a tedy ani nepožaduje po povinných subjektech, žádné zvláštní nástroje nebo formy plnění povinností. Je to mimo jiné výrazem často proklamované skutečnosti, že obecná úprava ochrany osobních údajů zvláštním zákonem je doplněním právního řádu s cílem zajistit náležitou ochranu subjektu údajů, a to nejen jeho aktivních práv, ale též jeho soukromí. Tato přednost má však i rub.

Zákon o ochraně osobních údajů ukládá i škole jako správci osobních údajů žáků, zaměstnanců a případně dalších fyzických osob řadu povinností. Pouze u některých z nich a navíc v omezené míře jí současně stanoví, jak každé jednotlivé povinnosti dostát. Při tom forma plnění často předurčuje účinnost snahy o bezchybné splnění zákonem stanovených povinností, za jejichž porušení navíc hrozí sankce. Rovněž zkušenosti z jiných oborů činností a obecně s požadavky dozorových orgánů navozují u řady správců pocit nejistoty. Vyjádřením tohoto stavu jsou snahy dobrat se nějakých zaručených nástrojů a způsobů vypořádání se s problémy ochrany osobních údajů. Jiným výrazem téhož jsou otázky jako: Musíme mít zvláštní vnitřní předpis o ochraně osobních údajů? Jaké dokumenty musíme mít, abychom se nedostali do problémů s Úřadem pro ochranu osobních údajů?

Samotný zákon o ochraně osobních údajů obsahuje požadavky na formu plnění především pro dvě povinnosti, které však škola bude mít jen výjimečně. Jsou jimi povinnost podle § 16 (povinnost předem oznámit zpracování osobních údajů) a podle § 27 odst. 4 (povinnost požádat o povolení před předáním osobních údajů do zahraničí). V obou případech to jsou nejen požadavky na obsahové náležitosti plnění, ale též na písemnou formu, i když explicitně je požadavek písemného úkonu uveden pouze u povinnosti podle § 16. Písemná povaha úkonu vyplývá z ustanovení občanského zákoníku.¹⁾

Navzdory své fragmentárnosti je to nejpodrobnější návod v celém zákoně o ochraně osobních údajů.

Pro plnění oznamovací povinnosti připravil Úřad pro ochranu osobních údajů formulář, který je dostupný jak v tištěné, tak elektronické podobě. Formulář "Oznámení o zpracování (změně zpracování) osobních údajů" lze získat na některém z distribučních míst, jimiž jsou finanční úřady ve všech bývalých okresních městech, všechny finanční úřady v Praze, ;Brně, Ostravě a Plzni a Úřad pro ochranu osobních údajů v Praze formuláře jsou tam k dispozici v prostoru vrátnice. Elektronická podoba formuláře je dostupná na adrese Na téže adrese je dostupný také vzor žádosti o povolení předat osobní údaje do tzv. třetích zemí. Obou vzorů může správce využít, není však ;povinen činit právě tak ke splnění povinnosti může užít volnější podobu dopisu, který však musí mít potřebné obsahové a formální náležitosti. V každém případě musí žádost být podána jako ;listovní zásilka tato elektronická podání Úřad nepřijímá.

Písemná podoba je explicitně zákonem o ochraně osobních údajů předepsána i u povinnosti, kterou naopak má každá škola. S účinností od 26. července 2004 je správce nebo zpracovatel povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů (dále jen "bezpečnostní opatření") v souladu se zákonem a jinými právními předpisy. Tak je to stanoveno v § 13 odst. 2 zákona o ochraně osobních údajů. Sama dokumentační povinnost navozuje celou řadu otázek spojených s formou plnění. Tím, že zákon stanoví právě výše uvedené, nelze po škole požadovat, aby veškerá opatření přijatá k zajištění ochrany osobních údajů byla soustředěna v jednom dokumentu. Nelze požadovat dokonce ani to, aby takovým dokumentem byl vnitřní předpis školy, nebo aby s ním byli prokazatelně seznámeni všichni zaměstnanci.

Při plnění této povinnosti jsou různí správci činní v rozdílných oborech činnosti v odlišném postavení. Některým z nich stanoví jiné zákony, upravující jejich kmenovou činnost, a předpisy vydané k provedení takových zákonů, formu plnění prakticky v úplnosti (atomové elektrárny, výrobci, dovozci a distributoři zdravotnických prostředků a jiné osoby uvádějící zdravotnické prostředky poprvé na trh), jiným zčásti. K nim patří i školy.

Východiskem pro postup školy jsou ustanovení § 28 odst. 1 zákona č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), který nabyl s výjimkou několika ustanovení účinnosti k 1. lednu roku 2005 (dále jen "školský zákon"). Ten přímo žádnou formu splnění povinnosti přijmout bezpečnostní opatření nestanoví ani nenabízí, odkazuje však na některé zákony, v prvé řadě na archivní zákon.

Platným archivním zákonem je od 1. ledna 2005 zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů. Tento zákon se vztahuje na školy a v § 66 jim mj. ukládá vydat vnitřní předpis pro výkon spisové služby, který obsahuje základní pravidla pro manipulaci s dokumenty, nazývaný spisový a skartační řád. Z logiky věcí plyne, že tento vnitřní předpis zahrnuje i některá bezpečnostní opatření podle zákona o ochraně osobních údajů. Takovým opatřením je v prvé řadě vedení evidence o zapůjčených dokumentech, jež je uloženo spisovně školy ustanovením § 8 vyhlášky č. 645/2004 Sb., o podrobnostech výkonu spisové služby. Tamtéž je škole uloženo stanovit postup při zapůjčování dokumentů a jejich evidenci ve spisovém a skartačním řádu. Rovněž tamtéž je škole uloženo bezpečnostní opatření pro dokumenty v digitální podobě se skartačními znaky "A" a "V" vzniklé z její činnosti (jimiž mohou být např. třídní výkazy, protokoly o závěrečných zkouškách a o maturitních zkouškách) být zapsán ve formátu, který zaručí jeho neměnnost.

Ještě větší část povinnosti dokumentovat přijatá bezpečnostní opatření podle zákona o ochraně osobních údajů pokrývá ustanovení § 61 odst. 2 a 4 zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, jímž je škola vázána podle ustanovení § 68 odst. 4. Škola tedy musí mít zpracovánu bezpečnostní a požární dokumentaci, jejíž součástí musí být opatření proti vniknutí nepovolaných osob do archivních prostor, proti krádeži archiválií a proti teroristickým útokům a klíče od všech vstupů do archivních prostor byly uloženy u pověřeného zaměstnance archivu, který je povinen vést evidenci jejich výdeje a vracení, a aby v případech, kdy je vstup do archivních prostor ovládán elektronicky, byla stanovena přístupová práva jednotlivých zaměstnanců archivu.

Jen na okraj lze uvést, že rozebíraná ustanovení zákona o archivnictví a prováděcích předpisů k nim současně řeší za školu i obsah bezpečnostních opatření, tedy rozhodují za ni, jaká opatření má k zabezpečení ochrany osobních údajů přijmout.

Tím, že ukládá škole vést personální a mzdovou dokumentaci, i když neodkazuje na žádný zákon, směruje školský zákon v § 28 odst. školu k zákoníku práce. Ten doslova nabízí postupy a formy plnění povinnosti dokumentovat přijatá bezpečnostní opatření.

Účinnosti vůči nejméně jedné třídě fyzických osob dosahuje pracovní řád, mimo jiné i pro podmínku seznámení všech zaměstnanců s jeho obsahem a podmínku veřejné přístupnosti pro zaměstnance (§ 82 zákoníku práce). Sám o sobě je pracovní řád zároveň součástí dokumentace bezpečnostních opatření podle zákona o ochraně osobních údajů, pokud ovšem alespoň jedno takové opatření obsahuje.

Jednotlivá bezpečnostní opatření mající charakter povinnosti zaměstnanců vykonávajících určité činnosti nebo zařazených na určitých pozicích mohou být dokumentována také v pracovní smlouvě a dokumentech, jež jsou vůči ní funkčně rovnocenné, tj. dohodě o provedení práce a dohodě o pracovní činnosti (dohoda o pracích konaných mimo pracovní poměr). I dosah takové dokumentace může být plošný, za předpokladu užívání typových smluv a dohod. Tato forma se nabízí např. u mzdové účetní, zaměstnance pověřeného péčí o spisovnu nebo zaměstnance pověřeného vedením školní matriky.

Zákoník práce ovšem nabízí i formy plnění dalších povinností. Jsou jimi z logiky věci povinnosti uložené zákonem fyzickým osobám ustanoveními § 14 a 15. Jak pracovní řád, tak pracovní smlouva jsou ideální formou, jak vytvořit podmínky pro to, aby zaměstnanci a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se školou, byli vázáni konat pouze tak a osobní údaje zpracovávat pouze v rozsahu školou stanoveném. Ke stejnému účelu lze za splnění nezbytných formálních předpokladů využít i pracovní náplně nebo popisy práce. Pracovní řád a pracovní smlouvu nebo dohodu o pracích konaných mimo pracovní poměr lze využít i k informování zaměstnanců a osob jim na roveň postavených o tom, že pokud v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů a že tato povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací. Výhodou tohoto postupu a současně podmínkou jeho účinnosti je, že jsou konkretizována bezpečnostní opatření, na něž se mlčenlivost podle § 15 vztahuje. Neúčinné je vztáhnout takovou povinnost na všechna bezpečnostní opatření, zejména, pokud s nimi není zavázaná osoba prokazatelně seznámena. U jiných opatření není jejich sdělování jiným lidem na překážku.

Předpokladem využití dokumentace, kterou je škola povinna vést ke splnění svých povinností podle jiných zákonů, než je zákon o ochraně osobních údajů, je pořízení úplného přehledu takové dokumentace. Současně je třeba, popř. je vhodné, prověřit, zda dokumentace podle jednotlivých zákonů obsahuje bezpečnostní opatření podle zákona o ochraně osobních údajů. V úvahu připadá také doplnit do vhodné části dokumentace (např. spisového a skartačního řádu) i školou přijatá bezpečnostní opatření, která nejsou přímo vyžadována předpisy, na jejichž základě byly vydány, např. zvláštní ustanovení pro personální dokumentaci.

Každá škola, která provozuje alespoň jednu počítačovou síť, by měla mít provozní řád počítačových sítí - bez ohledu na napojení ;vnitřní sítě na vnější svět. Neukládá jí to žádný právní předpis organizační nároky z existence lokální počítačové sítě vyplývající to však diktují. Součástí provozního řádu by měla být bezpečnostní opatření obecně a opatření podle zákona o ochraně osobních údajů zvláště. Nezáleží na tom, zda budou vtělena do základního textu, nebo budou tvořit jeho přílohu.Také provozní řád může upravovat povinnosti při zpracování osobních údajů spojené s některými pracovními pozicemi nebo rolemi - např. správce sítě a uživatelé.

Pro školu připadá v úvahu pro plnění povinnosti dokumentovat přijatá bezpečnostní opatření také účelový (ad hoc) postup, založený na odděleném plnění povinností podle zákona o ochraně osobních údajů. Takový postup může ústit ve vydání vnitřního předpisu o ochraně osobních údajů. Přijetí směrnice o ochraně osobních údajů může být vhodné, protože směrnice může soustředit všechna bezpečnostní opatření, bez nutnosti udržovat a doplňovat přehled dokumentů tvořících souhrnně dokumentaci požadovanou podle § 13 odst. 2 zákona o ochraně osobních údajů. Taková směrnice může např. obsahovat pouze opatření neuvedená v jiných, již dříve přijatých vnitřních normách a na již existující normy jednoduše odkazovat. Jednotlivé části dokumentace bezpečnostních opatření nemusí být propojeny vzájemnými odkazy. Pak ovšem bude třeba (z praktických důvodů, nikoli jako krok, jehož splnění je třeba prokázat např. subjektu údajů nebo kontrolujícím Úřadu pro ochranu osobních údajů) udržovat přehled existujících částí této dokumentace formou nějaké evidence.

Výhodou tohoto řešení je, že do směrnice (nebo jinak nazvaného vnitřního předpisu) lze zahrnout i plnění dalších povinností, včetně té následující.

Poslední povinností, u níž se zákon o ochraně osobních údajů výslovně vyjadřuje také k formě plnění, je povinnost, jíž je rovněž vázána každá škola a také od 26. července 2004. Jako správce, který nemá oznamovací povinnost podle ustanovení § 16 z důvodů, že zpracovávat osobní údaje jí ukládá zákon nebo těchto údajů je třeba k uplatnění práv a povinností vyplývajících ze zvláštního zákona, je škola povinna zajistit zpřístupnění určitých informací o zpracování, "a to i dálkovým přístupem nebo jinou vhodnou formou". Takto musí být zpřístupněny informace o účelu zpracování, kategoriích osobních údajů, kategoriích subjektů údajů, kategoriích příjemců a doby uchování. Při pozorném čtení nemůže uniknout, že určení formy je ve skutečnosti velmi vágní. Není zřejmé, zda správce musí volit jednu nebo více forem a z jakých forem (kromě výslovně uvedeného "dálkového přístupu") vlastně může volit. Není ani zřejmé, zda umožnění dálkového přístupu musí být doplněno další formou zpřístupnění.

Škola je povinna podle tohoto ustanovení zpřístupňovat informace prakticky o všech prováděných zpracováních - jak o žácích, tak o zaměstnancích. Podle aktuálního výkladu Úřadu pro ochranu osobních údajů není nutné, aby každá škola zřizovala a ;provozovala vlastní www stránky (webové vývěsky) s těmito informacemi postačí poskytovat požadované informace individuálně jako odpověď na žádost. Plnění povinnosti se ovšem neobejde bez toho, že bude předem vypracován dokument všechny požadované informace obsahující a že bude vyhotoven také ve formě, umožňující jeho okamžité použití ke zpřístupnění. Možné formy zpřístupnění zahrnují vyvěšení dokumentu, zaslání jako poštovní zásilka nebo zásilka elektronické pošty a předání kopie v listinné podobě nebo na paměťovém médiu.

Písemná forma je předepsána pro plnění informační a poučovací povinnosti a povinnosti poskytnout subjektu údajů informace o zpracování podle § 11 a 12 zákona o ochraně osobních údajů. Jim byl věnován příspěvek Škola a informace o osobních údajích zveřejněný v čísle 2/2005 Řízení školy.

U žádné další povinnosti zákon o ochraně osobních údajů formu plnění nestanoví. Do jisté míry ji předurčuje u získání souhlasu subjektu údajů se zpracováním osobních údajů požadavkem prokazatelnosti souhlasu po celou dobu zpracování. Vzhledem k okolnosti, že tato situace nastane ve škole jen výjimečně, má tato povinnost okrajový význam.

Pro všechny ostatní povinností platí, že k jejich plnění lze využít standardní nástroje řízení. K těm lze přiřadit i projektovou a provozní dokumentaci informačních systémů a počítačových sítí. Jednotlivé části projektové a provozní dokumentace mohou obsahovat v úplnosti dokumentaci podle ustanovení § 13 odst. 2 zákona o ochraně osobních údajů a současně určovat účel zpracování a dále způsob a prostředky zpracování v návaznosti na určení obsažené v zákonech (např. školském zákonu a prováděcích předpisech k němu, nebo zákonu o daních z příjmů). Prováděcím předpisem ke školskému zákonu, který za školu stanoví způsob a prostředky jednoho zpracování osobních údajů prakticky v úplnosti, je vyhláška č. 64/2005 Sb., o evidenci úrazů dětí, žáků a studentů.

Zákon č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů, stanoví v § 38j účel a způsob zpracování osobních údajů pro mzdové listy. Prostředky zpracování bude pro mzdové listy stanovovat uživatelská dokumentace školou užívaného balíku aplikačních programů pro účetnictví a jiné ekonomické agendy. Starostí školy proto je, aby současně s takovým programovým balíkem získala i příslušnou dokumentaci. Pak už postačí jen s ní náležitě zacházet. Projektová i uživatelská dokumentace stanovují také rozsah, v němž jsou osobní údaje shromažďovány a posléze i jinak zpracovávány.

Povinnost fyzických osob při zabezpečení osobních údajů podle § 14 zákona o ochraně osobních údajů implikuje povinnost školy osobám stanovit podmínky a rozsah, za nichž mohou zpracovávat osobní údaje. Neurčenost formy zákonem odpovídá v tomto případě povaze zpracování informací. Jak podmínky, tak rozsah osobních údajů lze stanovit vhodným návrhem automatizovaného zpracování. Programově technické prostředky mohou zajistit řízený výkon práce, který zaručuje zpracování osobních údajů každým zaměstnancem právě za požadovaných podmínek a neumožňuje nepovolené počínání.

Spisový a skartační řád určuje vedle výše uvedeného také dobu uchování osobních údajů a upravuje likvidaci osobních údajů podle § 20 zákona o ochraně osobních údajů.

Vzhledem k tomu, že zákon o ochraně osobních údajů nepředepisuje u většiny klíčových povinností, jež mají zajistit ochranu subjektu údajů, formu plnění, nemůže obecně být po škole požadována u takových povinností právě jedna forma plnění. To však neznamená, že pro určité místní podmínky nemůže být nezbytná, a tedy i vymahatelná, právě jedna forma. To platí např. pro uschovací dobu dokumentů s osobními údaji, vzniklých z činnosti školy jako výstup ze zpracování osobních údajů, podléhajícího zákonu o ochraně osobních údajů. Po škole lze - jako po subjektu, který je ze zákona povinen vypracovat spisový a skartační řád, aby uschovací lhůty stanovila právě tímto dokumentem.