Příspěvek poskytuje základní orientaci ve formách plnění
povinností, které školám ukládá zákon č. 101/2000 Sb., o ochraně
osobních údajů a o změně některých zákonů, ve znění pozdějších
předpisů (dále jen "zákon o ochraně osobních údajů") při
zpracování osobních údajů.
Je předností zákona o ochraně osobních údajů, že nezavádí,
a tedy ani nepožaduje po povinných subjektech, žádné zvláštní
nástroje nebo formy plnění povinností. Je to mimo jiné výrazem
často proklamované skutečnosti, že obecná úprava ochrany osobních
údajů zvláštním zákonem je doplněním právního řádu s cílem
zajistit náležitou ochranu subjektu údajů, a to nejen jeho
aktivních práv, ale též jeho soukromí. Tato přednost má však
i rub.
Zákon o ochraně osobních údajů ukládá i škole jako správci
osobních údajů žáků, zaměstnanců a případně dalších fyzických osob
řadu povinností. Pouze u některých z nich a navíc v omezené míře
jí současně stanoví, jak každé jednotlivé povinnosti dostát. Při
tom forma plnění často předurčuje účinnost snahy o bezchybné
splnění zákonem stanovených povinností, za jejichž porušení navíc
hrozí sankce. Rovněž zkušenosti z jiných oborů činností a obecně
s požadavky dozorových orgánů navozují u řady správců pocit
nejistoty. Vyjádřením tohoto stavu jsou snahy dobrat se nějakých
zaručených nástrojů a způsobů vypořádání se s problémy ochrany
osobních údajů. Jiným výrazem téhož jsou otázky jako: Musíme mít
zvláštní vnitřní předpis o ochraně osobních údajů? Jaké dokumenty
musíme mít, abychom se nedostali do problémů s Úřadem pro ochranu
osobních údajů?
Zákon o ochraně osobních údajů jako zdroj forem plnění povinností
§ 16 a 27
Samotný zákon o ochraně osobních údajů obsahuje požadavky na
formu plnění především pro dvě povinnosti, které však škola bude
mít jen výjimečně. Jsou jimi povinnost podle § 16 (povinnost
předem oznámit zpracování osobních údajů) a podle § 27 odst. 4
(povinnost požádat o povolení před předáním osobních údajů do
zahraničí). V obou případech to jsou nejen požadavky na obsahové
náležitosti plnění, ale též na písemnou formu, i když explicitně
je požadavek písemného úkonu uveden pouze u povinnosti podle §
16. Písemná povaha úkonu vyplývá z ustanovení občanského
zákoníku.1)
Navzdory své fragmentárnosti je to nejpodrobnější návod v celém
zákoně o ochraně osobních údajů.
Pro plnění oznamovací povinnosti připravil Úřad pro ochranu
osobních údajů formulář, který je dostupný jak v tištěné, tak
elektronické podobě. Formulář "Oznámení o zpracování (změně
zpracování) osobních údajů" lze získat na některém
z distribučních míst, jimiž jsou finanční úřady ve všech bývalých
okresních městech, všechny finanční úřady v Praze, ;Brně, Ostravě
a Plzni a Úřad pro ochranu osobních údajů v Praze formuláře jsou
tam k dispozici v prostoru vrátnice. Elektronická podoba formuláře
je dostupná na adrese Na téže adrese je dostupný také vzor žádosti
o povolení předat osobní údaje do tzv. třetích zemí. Obou vzorů
může správce využít, není však ;povinen činit právě tak ke splnění
povinnosti může užít volnější podobu dopisu, který však musí mít
potřebné obsahové a formální náležitosti. V každém případě musí
žádost být podána jako ;listovní zásilka tato elektronická podání
Úřad nepřijímá.
§ 13 odst. 2
Písemná podoba je explicitně zákonem o ochraně osobních údajů
předepsána i u povinnosti, kterou naopak má každá škola.
S účinností od 26. července 2004 je správce nebo zpracovatel
povinen zpracovat a dokumentovat přijatá a provedená
technicko-organizační opatření k zajištění ochrany osobních údajů
(dále jen "bezpečnostní opatření") v souladu se zákonem a jinými
právními předpisy. Tak je to stanoveno v § 13 odst. 2 zákona
o ochraně osobních údajů. Sama dokumentační povinnost navozuje
celou řadu otázek spojených s formou plnění. Tím, že zákon stanoví
právě výše uvedené, nelze po škole požadovat, aby veškerá opatření
přijatá k zajištění ochrany osobních údajů byla soustředěna
v jednom dokumentu. Nelze požadovat dokonce ani to, aby takovým
dokumentem byl vnitřní předpis školy, nebo aby s ním byli
prokazatelně seznámeni všichni zaměstnanci.
Při plnění této povinnosti jsou různí správci činní
v rozdílných oborech činnosti v odlišném postavení. Některým
z nich stanoví jiné zákony, upravující jejich kmenovou činnost,
a předpisy vydané k provedení takových zákonů, formu plnění
prakticky v úplnosti (atomové elektrárny, výrobci, dovozci
a distributoři zdravotnických prostředků a jiné osoby uvádějící
zdravotnické prostředky poprvé na trh), jiným zčásti. K nim patří
i školy.
Školský zákon jako zdroj forem plnění povinností
Východiskem pro postup školy jsou ustanovení § 28 odst. 1
zákona č. 561/2004 Sb., o předškolním, základním, středním, vyšším
odborném a jiném vzdělávání (školský zákon), který nabyl
s výjimkou několika ustanovení účinnosti k 1. lednu roku 2005
(dále jen "školský zákon"). Ten přímo žádnou formu splnění
povinnosti přijmout bezpečnostní opatření nestanoví ani nenabízí,
odkazuje však na některé zákony, v prvé řadě na archivní zákon.
Platným archivním zákonem je od 1. ledna 2005 zákon č.
499/2004 Sb., o archivnictví a spisové službě a o změně některých
zákonů. Tento zákon se vztahuje na školy a v § 66 jim mj. ukládá
vydat vnitřní předpis pro výkon spisové služby, který obsahuje
základní pravidla pro manipulaci s dokumenty, nazývaný spisový
a skartační řád. Z logiky věcí plyne, že tento vnitřní předpis
zahrnuje i některá bezpečnostní opatření podle zákona o ochraně
osobních údajů. Takovým opatřením je v prvé řadě vedení evidence
o zapůjčených dokumentech, jež je uloženo spisovně školy
ustanovením § 8 vyhlášky č. 645/2004 Sb., o podrobnostech výkonu
spisové služby. Tamtéž je škole uloženo stanovit postup při
zapůjčování dokumentů a jejich evidenci ve spisovém a skartačním
řádu. Rovněž tamtéž je škole uloženo bezpečnostní opatření pro
dokumenty v digitální podobě se skartačními znaky "A" a "V"
vzniklé z její činnosti (jimiž mohou být např. třídní výkazy,
protokoly o závěrečných zkouškách a o maturitních zkouškách) být
zapsán ve formátu, který zaručí jeho neměnnost.
Ještě větší část povinnosti dokumentovat přijatá bezpečnostní
opatření podle zákona o ochraně osobních údajů pokrývá ustanovení
§ 61 odst. 2 a 4 zákona č. 499/2004 Sb., o archivnictví a spisové
službě a o změně některých zákonů, jímž je škola vázána podle
ustanovení § 68 odst. 4. Škola tedy musí mít zpracovánu
bezpečnostní a požární dokumentaci, jejíž součástí musí být
opatření proti vniknutí nepovolaných osob do archivních prostor,
proti krádeži archiválií a proti teroristickým útokům a klíče od
všech vstupů do archivních prostor byly uloženy u pověřeného
zaměstnance archivu, který je povinen vést evidenci jejich výdeje
a vracení, a aby v případech, kdy je vstup do archivních prostor
ovládán elektronicky, byla stanovena přístupová práva jednotlivých
zaměstnanců archivu.
Jen na okraj lze uvést, že rozebíraná ustanovení zákona
o archivnictví a prováděcích předpisů k nim současně řeší za školu
i obsah bezpečnostních opatření, tedy rozhodují za ni, jaká
opatření má k zabezpečení ochrany osobních údajů přijmout.
Zákoník práce jako zdroj forem plnění povinností
Tím, že ukládá škole vést personální a mzdovou dokumentaci,
i když neodkazuje na žádný zákon, směruje školský zákon v § 28
odst. školu k zákoníku práce. Ten doslova nabízí postupy a formy
plnění povinnosti dokumentovat přijatá bezpečnostní opatření.
Účinnosti vůči nejméně jedné třídě fyzických osob dosahuje
pracovní řád, mimo jiné i pro podmínku seznámení všech zaměstnanců
s jeho obsahem a podmínku veřejné přístupnosti pro zaměstnance (§
82 zákoníku práce). Sám o sobě je pracovní řád zároveň součástí
dokumentace bezpečnostních opatření podle zákona o ochraně
osobních údajů, pokud ovšem alespoň jedno takové opatření
obsahuje.
Jednotlivá bezpečnostní opatření mající charakter povinnosti
zaměstnanců vykonávajících určité činnosti nebo zařazených na
určitých pozicích mohou být dokumentována také v pracovní smlouvě
a dokumentech, jež jsou vůči ní funkčně rovnocenné, tj. dohodě
o provedení práce a dohodě o pracovní činnosti (dohoda o pracích
konaných mimo pracovní poměr). I dosah takové dokumentace může být
plošný, za předpokladu užívání typových smluv a dohod. Tato forma
se nabízí např. u mzdové účetní, zaměstnance pověřeného péčí
o spisovnu nebo zaměstnance pověřeného vedením školní matriky.
Zákoník práce ovšem nabízí i formy plnění dalších povinností.
Jsou jimi z logiky věci povinnosti uložené zákonem fyzickým osobám
ustanoveními § 14 a 15. Jak pracovní řád, tak pracovní smlouva
jsou ideální formou, jak vytvořit podmínky pro to, aby zaměstnanci
a jiné osoby, které zpracovávají osobní údaje na základě smlouvy
se školou, byli vázáni konat pouze tak a osobní údaje zpracovávat
pouze v rozsahu školou stanoveném. Ke stejnému účelu lze za
splnění nezbytných formálních předpokladů využít i pracovní náplně
nebo popisy práce. Pracovní řád a pracovní smlouvu nebo dohodu
o pracích konaných mimo pracovní poměr lze využít i k informování
zaměstnanců a osob jim na roveň postavených o tom, že pokud
v rámci plnění zákonem stanovených oprávnění a povinností
přicházejí do styku s osobními údaji u správce nebo zpracovatele,
jsou povinni zachovávat mlčenlivost o osobních údajích
a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo
zabezpečení osobních údajů a že tato povinnost mlčenlivosti trvá
i po skončení zaměstnání nebo příslušných prací. Výhodou tohoto
postupu a současně podmínkou jeho účinnosti je, že jsou
konkretizována bezpečnostní opatření, na něž se mlčenlivost podle
§ 15 vztahuje. Neúčinné je vztáhnout takovou povinnost na všechna
bezpečnostní opatření, zejména, pokud s nimi není zavázaná osoba
prokazatelně seznámena. U jiných opatření není jejich sdělování
jiným lidem na překážku.
Předpokladem využití dokumentace, kterou je škola povinna
vést ke splnění svých povinností podle jiných zákonů, než je zákon
o ochraně osobních údajů, je pořízení úplného přehledu takové
dokumentace. Současně je třeba, popř. je vhodné, prověřit, zda
dokumentace podle jednotlivých zákonů obsahuje bezpečnostní
opatření podle zákona o ochraně osobních údajů. V úvahu připadá
také doplnit do vhodné části dokumentace (např. spisového
a skartačního řádu) i školou přijatá bezpečnostní opatření, která
nejsou přímo vyžadována předpisy, na jejichž základě byly vydány,
např. zvláštní ustanovení pro personální dokumentaci.
Každá škola, která provozuje alespoň jednu počítačovou síť,
by měla mít provozní řád počítačových sítí - bez ohledu na
napojení ;vnitřní sítě na vnější svět. Neukládá jí to žádný právní
předpis organizační nároky z existence lokální počítačové sítě
vyplývající to však diktují. Součástí provozního řádu by měla být
bezpečnostní opatření obecně a opatření podle zákona o ochraně
osobních údajů zvláště. Nezáleží na tom, zda budou vtělena do
základního textu, nebo budou tvořit jeho přílohu.Také provozní řád
může upravovat povinnosti při zpracování osobních údajů spojené
s některými pracovními pozicemi nebo rolemi - např. správce sítě
a uživatelé.
Pro školu připadá v úvahu pro plnění povinnosti dokumentovat
přijatá bezpečnostní opatření také účelový (ad hoc) postup,
založený na odděleném plnění povinností podle zákona o ochraně
osobních údajů. Takový postup může ústit ve vydání vnitřního
předpisu o ochraně osobních údajů. Přijetí směrnice o ochraně
osobních údajů může být vhodné, protože směrnice může soustředit
všechna bezpečnostní opatření, bez nutnosti udržovat a doplňovat
přehled dokumentů tvořících souhrnně dokumentaci požadovanou podle
§ 13 odst. 2 zákona o ochraně osobních údajů. Taková směrnice může
např. obsahovat pouze opatření neuvedená v jiných, již dříve
přijatých vnitřních normách a na již existující normy jednoduše
odkazovat. Jednotlivé části dokumentace bezpečnostních opatření
nemusí být propojeny vzájemnými odkazy. Pak ovšem bude třeba
(z praktických důvodů, nikoli jako krok, jehož splnění je třeba
prokázat např. subjektu údajů nebo kontrolujícím Úřadu pro ochranu
osobních údajů) udržovat přehled existujících částí této
dokumentace formou nějaké evidence.
Výhodou tohoto řešení je, že do směrnice (nebo jinak
nazvaného vnitřního předpisu) lze zahrnout i plnění dalších
povinností, včetně té následující.
§ 18 odst. 2
Poslední povinností, u níž se zákon o ochraně osobních údajů
výslovně vyjadřuje také k formě plnění, je povinnost, jíž je
rovněž vázána každá škola a také od 26. července 2004. Jako
správce, který nemá oznamovací povinnost podle ustanovení § 16
z důvodů, že zpracovávat osobní údaje jí ukládá zákon nebo těchto
údajů je třeba k uplatnění práv a povinností vyplývajících ze
zvláštního zákona, je škola povinna zajistit zpřístupnění určitých
informací o zpracování, "a to i dálkovým přístupem nebo jinou
vhodnou formou". Takto musí být zpřístupněny informace o účelu
zpracování, kategoriích osobních údajů, kategoriích subjektů
údajů, kategoriích příjemců a doby uchování. Při pozorném čtení
nemůže uniknout, že určení formy je ve skutečnosti velmi vágní.
Není zřejmé, zda správce musí volit jednu nebo více forem
a z jakých forem (kromě výslovně uvedeného "dálkového přístupu")
vlastně může volit. Není ani zřejmé, zda umožnění dálkového
přístupu musí být doplněno další formou zpřístupnění.
Škola je povinna podle tohoto ustanovení zpřístupňovat
informace prakticky o všech prováděných zpracováních - jak
o žácích, tak o zaměstnancích. Podle aktuálního výkladu Úřadu pro
ochranu osobních údajů není nutné, aby každá škola zřizovala
a ;provozovala vlastní www stránky (webové vývěsky) s těmito
informacemi postačí poskytovat požadované informace individuálně
jako odpověď na žádost. Plnění povinnosti se ovšem neobejde bez
toho, že bude předem vypracován dokument všechny požadované
informace obsahující a že bude vyhotoven také ve formě, umožňující
jeho okamžité použití ke zpřístupnění. Možné formy zpřístupnění
zahrnují vyvěšení dokumentu, zaslání jako poštovní zásilka nebo
zásilka elektronické pošty a předání kopie v listinné podobě nebo
na paměťovém médiu.
K ostatním povinnostem
Písemná forma je předepsána pro plnění informační a poučovací
povinnosti a povinnosti poskytnout subjektu údajů informace
o zpracování podle § 11 a 12 zákona o ochraně osobních údajů. Jim
byl věnován příspěvek Škola a informace o osobních údajích
zveřejněný v čísle 2/2005 Řízení školy.
U žádné další povinnosti zákon o ochraně osobních údajů formu
plnění nestanoví. Do jisté míry ji předurčuje u získání souhlasu
subjektu údajů se zpracováním osobních údajů požadavkem
prokazatelnosti souhlasu po celou dobu zpracování. Vzhledem
k okolnosti, že tato situace nastane ve škole jen výjimečně, má
tato povinnost okrajový význam.
Pro všechny ostatní povinností platí, že k jejich plnění lze
využít standardní nástroje řízení. K těm lze přiřadit
i projektovou a provozní dokumentaci informačních systémů
a počítačových sítí. Jednotlivé části projektové a provozní
dokumentace mohou obsahovat v úplnosti dokumentaci podle
ustanovení § 13 odst. 2 zákona o ochraně osobních údajů a současně
určovat účel zpracování a dále způsob a prostředky zpracování
v návaznosti na určení obsažené v zákonech (např. školském zákonu
a prováděcích předpisech k němu, nebo zákonu o daních z příjmů).
Prováděcím předpisem ke školskému zákonu, který za školu stanoví
způsob a prostředky jednoho zpracování osobních údajů prakticky
v úplnosti, je vyhláška č. 64/2005 Sb., o evidenci úrazů dětí,
žáků a studentů.
Zákon č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších
předpisů, stanoví v § 38j účel a způsob zpracování osobních údajů
pro mzdové listy. Prostředky zpracování bude pro mzdové listy
stanovovat uživatelská dokumentace školou užívaného balíku
aplikačních programů pro účetnictví a jiné ekonomické agendy.
Starostí školy proto je, aby současně s takovým programovým
balíkem získala i příslušnou dokumentaci. Pak už postačí jen s ní
náležitě zacházet. Projektová i uživatelská dokumentace stanovují
také rozsah, v němž jsou osobní údaje shromažďovány a posléze
i jinak zpracovávány.
Povinnost fyzických osob při zabezpečení osobních údajů podle
§ 14 zákona o ochraně osobních údajů implikuje povinnost školy
osobám stanovit podmínky a rozsah, za nichž mohou zpracovávat
osobní údaje. Neurčenost formy zákonem odpovídá v tomto případě
povaze zpracování informací. Jak podmínky, tak rozsah osobních
údajů lze stanovit vhodným návrhem automatizovaného zpracování.
Programově technické prostředky mohou zajistit řízený výkon práce,
který zaručuje zpracování osobních údajů každým zaměstnancem právě
za požadovaných podmínek a neumožňuje nepovolené počínání.
Spisový a skartační řád určuje vedle výše uvedeného také dobu
uchování osobních údajů a upravuje likvidaci osobních údajů podle
§ 20 zákona o ochraně osobních údajů.
Závěr
Vzhledem k tomu, že zákon o ochraně osobních údajů
nepředepisuje u většiny klíčových povinností, jež mají zajistit
ochranu subjektu údajů, formu plnění, nemůže obecně být po škole
požadována u takových povinností právě jedna forma plnění. To však
neznamená, že pro určité místní podmínky nemůže být nezbytná,
a tedy i vymahatelná, právě jedna forma. To platí např. pro
uschovací dobu dokumentů s osobními údaji, vzniklých z činnosti
školy jako výstup ze zpracování osobních údajů, podléhajícího
zákonu o ochraně osobních údajů. Po škole lze - jako po subjektu,
který je ze zákona povinen vypracovat spisový a skartační řád, aby
uschovací lhůty stanovila právě tímto dokumentem.
1) zákon č. 40/1964 Sb., občanský zákoník, ve znění pozdějších
předpisů.