Škola a informace o osobních údajích. Informační povinnost a právo přístupu.

Toto je volné pokračování příspěvku Škola jako správce osobních údajů uveřejněného v Řízení školy 3/2004. I zde jsou vysvětleny některé povinnosti, které zákon o ochraně osobních údajů - zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen "zákon o ochraně osobních údajů") ukládá školám při zpracování osobních údajů. Společně s ustanoveními § 5 odst. 4, 11, 12 a 21 tohoto zákona jsou probírána nebo komentována relevantní (odpovídající) ustanovení § 21, 28, 69 nového školského zákona (zákon č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), který nabyl s výjimkou několika ustanovení účinnosti k 1. lednu roku 2005 (dále jen "školský zákon").

Každý správce osobních údajů - školu nevyjímaje - má určité povinnosti, které na první pohled nemají přímého adresáta. Jeho jiné povinnosti ovšem směřují zcela manifestačně k tomu, o jehož osobní údaje se jedná. Adresátem plnění takových povinností je subjekt údajů jako ten, kdo je ze zákona nadán právy. Jedinou podmínkou pro to je, aby se jej týkaly informace, s nimiž škola nakládá tak, že je to zpracováním osobních údajů. Typickým představitelem povinností "adresovaných" subjektu údajů, je informační povinnost správce. Informační je každá povinnost, která někomu ukládá poskytovat někomu určité informace - bez ohledu na to, zda je třeba takovou informaci vytvořit, nebo pro sdělení užít něco, co již existuje. Příjemcem může být jak právě jeden člověk, stejně tak jako předem nezavřený okruh osob, u nichž lze předpokládat, že na informaci mají nárok, nebo jim takový nárok vznikne v budoucnu. Příkladem prvé situace je poskytnutí písemné zprávy o osobních údajích na písemnou žádost, příkladem druhé informace pro uchazeče o studium. Za informační se ale nepovažuje povinnost sdělit nebo poskytnout určité informace dozorovému orgánu; pro ni - ač je obsahem rovněž informační - se používá v řeči úřední označení "oznamovací". V případě zákona o ochraně osobních údajů je oznamovací povinnost uložena v souvislosti s registrací datových souborů, evidencí a jiných forem zpracování osobních údajů (§ 16) a povolováním předání osobních údajů do jiných států (§ 27). Informační je jen taková povinnost, která je naplněna samotným poskytnutím informace.

Podobně jako povinnosti správců a zpracovatelů jsou práva subjektů údajů dalším stavebním kamenem ochrany osobních údajů. Základním právem subjektu údajů je právo být informován o tom, kdo a k jakému účelu bude moje osobní údaje zpracovávat a jaké údaje to budou nebo o tom, kdo mé osobní údaje již zpracovává. Toto právo plně odpovídá povaze "chráněného zájmu" člověka jako subjektu údajů - tedy povaze informace, jejímž druhem osobní údaj je. Toto právo není ovšem uplatnitelné vždy přímo. Nachází někdy dost zašifrovaný výraz v právní úpravě ochrany osobních údajů jak v obecném zákoně o ochraně osobních údajů, tak v zákonech zvláštních, upravujících zpracování osobních údajů k určitým účelům, nebo i jiné nakládání s osobními údaji, jež nepodléhá zákonu o ochraně osobních údajů. Právo být informován o (budoucím) zpracování osobních údajů se uplatňuje prostřednictvím principů informovaného souhlasu, vybraných povinností správce a do jisté míry i principu přístupu k osobním údajům.

V českém zákoně o ochraně osobních údajů je toto právo upraveno především v ustanoveních § 5 odst. 4, 11, 12 a doplňkově také v ustanovení § 21 odst. 1 písm. a). Jsou tu přebírány zásady Směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a s volným pohybem těchto údajů pro informování subjektu údajů a některé zásady práva subjektu údajů na přístup k údajům. Právo jednotlivce jako subjektu údajů je naplňováno uvalením povinnosti na ty, kdo jeho osobní údaje hodlají zpracovávat, popř. již zpracovávají.

Proto první informační povinností správce je informovat subjekt údajů při udělení souhlasu o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Tato povinnost se uplatní tam, kde budou osobní údaje zpracovávány se souhlasem zájmové osoby, tj. subjektu. Je stanovena v § 5 odst. 4 zákona o ochraně osobních údajů. V praxi činí problém dostát posledním dvěma podmínkám; jejich neuvedení je přitom vadou souhlasu a znamená porušení povinnosti. K chybám dochází zpravidla opomenutím a pokud si tvůrce příslušného formuláře nebo jiného dokumentu na zákonné požadavky vzpomene, nečiní jejich splnění obtíže. Tato povinnost se projevuje zásadně v interakci správce (popř. zpracovatel) - jednotlivec (žák, uchazeč o zaměstnání) a požadavky zákona musí být splněny v každém jednotlivém případě absolutně.

V individuálním nebo skupinovém kontaktu lze splnit informační povinnost podle § 11 odst. 1 a 2. Povinnost podle ustanovení § 11 odst. 5 a povinnosti podle § 12 a 21 zákona o ochraně osobních údajů je třeba plnit stejně jako informace při získávání souhlasu výlučně v individuálním kontaktu. Závisí na rozhodnutí správců, zda využijí dispozičního ustanovení § 12 odst. 3 a za poskytnutí informace (zprávy) o osobních údajích budou od žadatele požadovat úhradu.

Žádný ze subjektů, na jejichž činnost při zpracování osobních údajů, se zákon o ochraně osobních údajů vztahuje, není zproštěn povinnosti umožnit subjektu údajů přístup k informacím o osobních údajích absolutně. Zákonná výjimka je zásadně vázána na účel, pro který takový správce nebo zpracovatel s osobními údaji nakládá. O uplatnění výjimky, buď výslovně, nebo odkazem na ustanovení zákona o ochraně osobních údajů nebo jiného zákona, který pro přístup k informacím o osobních údajích stanoví jiný režim, by měl správce subjekt údajů informovat; není třeba tak činit až v odpověď na žádost o poskytnutí informací, pro obě strany může být výhodnější poskytnout takové informace při vzájemném kontaktu, při němž dochází např. ke shromažďování identifikačních a kontaktních údajů nebo v rámci informací zveřejňovaných jménem správce.

Podobně budou postupovat také správci, kteří se řídí při zpracování osobních údajů úpravou provedenou zvláštním zákonem. Při prvním kontaktu se subjektem údajů, při němž obě strany vstupují do právního vztahu, také poskytnou písemnou informaci o podmínkách přístupu k informacím o osobních údajích.

I v případě školy a školského zařízení (dále jen "škola") platí, že zákon, který je vůči zákonu o ochraně osobních údajů zákonem zvláštním, může stanovit pro plnění informační povinnosti školy odchylný postup. Prvním co do významu, ne však jediným, takovým zvláštním zákonem je zákon č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), který nabyl s výjimkou několika ustanovení účinnosti k 1. lednu roku 2005 (dále jen "školský zákon"). Zvláštní úpravu povinnosti podle § 11 obsahuje; tvoří ji ustanovení § 28 odst. 4, a to přesto, že v poslední větě odst. 5 je odkázáno na platnost zákona o ochraně osobních údajů:

"Při předávání a zpracování údajů z dokumentace škol a školských zařízení a ze školních matrik postupují orgány státní správy a samosprávy podle zvláštního právního předpisu."

Zvláštní úpravu tvoří věta poslední: "Školy a školská zařízení jsou údaje z dokumentace a údaje ze školní matriky oprávněny poskytovat osobám, které svůj nárok prokáží oprávněním stanoveným tímto nebo zvláštním zákonem."

Zvláštní úpravu pro výkon práva subjektu údajů na přístup k informacím o osobních údajích o něm zpracovávaných nový školský zákon také obsahuje - především v ustanovení § 21. Žáci a studenti mají právo na informace na informace o průběhu a výsledcích svého vzdělávání a toto právo mají jednak také zákonní zástupci dětí a nezletilých žáků, jednak rodiče, popřípadě osoby, které vůči zletilým žákům a studentům plní vyživovací povinnost.

Skutečným problémem každé školy v této souvislosti však je stanovení hranice zpracování osobních údajů. Bez ohledu na to, co zaznívá nebo se jinak objevuje v médiích, nepodléhá každé nakládání s osobními údaji žáků a studentů zákonu o ochraně osobních údajů. Proto také ustanovení § 21 odst. 1 písm. b) školského současně je i není zvláštní úpravou práva subjektu údajů podle § 12 zákona o ochraně osobních údajů. Úprava obsažená v novém školském zákonu problém "za školu" do značné míry řeší; stanovení podmínek přístupu k osobním údajům vyhovuje jak praktickým potřebám, tak zákonu o ochraně osobních údajů bez potřeby se nad každou situací zamýšlet.

Složitější je situace v případě hodnocení výsledků vzdělávání podle § 51 a 69 školského zákona. To, co je vyslovováno a zastáváno různými osobami a institucemi k problému, zda výrok o známce nebo vysvědčení je zpracováním osobních údajů, jsou názory, které často nejsou podepřeny náležitou argumentací. Škola je sice na jedné straně vedena ustanoveními školského zákona, na straně druhé má meritorní rozhodnutí důsledky pro použití zákona o ochraně osobních údajů pro hodnocení výsledků vzdělávání. Podle mého osobního názoru je zpracováním osobních údajů podle školského zákona takové nakládání s osobními údaji žáků a studentů, které je operací systematicky prováděnou s osobními údaji v některé z částí dokumentace školy. Na každé podání informace podle § 21 školského zákona se zákon o ochraně osobních údajů nevztahuje, na poskytování informací z dokumentace školy (např. školní matriky) a na shromažďování informací pro ni naopak ano.

Při získávání údajů pro vybrané části dokumentace škol a školských zařízení podle § 28 školského zákona je škola - na rozdíl od předchozí úpravy - povinna žáky nebo jejich zákonné zástupce poučit podle § 11 odst. 2 zákona o ochraně osobních údajů; z této povinnosti není pro ni výjimky.

Také při plnění povinnosti poskytnout subjektu údajů informaci o zpracování osobních údajů je třeba použít oba zákony - tj. školský zákon a zákon o ochraně osobních údajů - společně. Školský zákon určuje vůči subjektu údajů - žáku, studentu nebo zákonnému zástupci obsahový rámec plnění povinnosti, zákon o ochraně osobních údajů stanoví postup a formální náležitosti plnění. Zákonný zástupce dítěte, žáka nebo studenta je sám rovněž subjektem údajů, neboť údaje o něm zpracovává škola ve školní matrice školy (§ 28 odst. 2 písm. i) školského zákona) a školské zařízení ve školní matrice a školského zařízení (§ 28 odst. 3 písm. f) školského zákona). Nelze tedy nevyhovět žádosti podané pouze jménem zákonného zástupce; větší dosah do praxe poskytování informací to však pro školu nemůže mít.

Pro situace, kdy subjekt údajů není spokojen s obsahem zprávy o osobních údajích, které o něm škola zpracovává, je postup obou stran upraven v § 21 zákona o ochraně osobních údajů. Informační povinností školy jako správce je podat subjektu údajů na jeho žádost vysvětlení, popř. napravit nedostatek ve zpracovávaných osobních údajích. Stejně tak mají děti, žáci, studenti a jejich zákonní zástupci možnost obrátit se po zjištění nesrovnalostí ve zpracovávaných osobních údajích přímo na Úřad pro ochranu osobních údajů. Druhá možnost se pro bezprostřední použití nabízí v situacích, kdy je např. vzhledem k vyhrocenému konfliktu nebo jiným okolnostem zřejmé, že domluva zákonného zástupce nebo zletilého žáka se školou není možná. V řadě případů však může být řešením celého problému obyčejné vysvětlení podané školou, jindy postačí opravit, doplnit nebo zlikvidovat některý údaj, tj. vyřešit problém rychle a za vynaložení mnohem menších nákladů než za situace, kdy se subjekt údajů obrátí přímo na Úřad a nepoužije postupu podle § 21 odst. 1 písm. a) nebo b).

Ustanovení § 22 školského zákona upravující povinnosti žáků, studentů a zákonných zástupců dětí a nezletilých žáků vytváří rámec pro uplatňování práv subjektu údajů zakotvených v ustanoveních § 21 zákona o ochraně osobních údajů vůči škole a samozřejmě také pro plnění tam stanovených povinností školy. V případě sporu nebo jiné problémové situace, kterou by subjekt údajů hodlal řešit podle § 21 zákona o ochraně osobních údajů je třeba nejprve přezkoumat, zda byly dodrženy podmínky stanovené oběma stranám zejména v § 22 a 28 školského zákona. Pro osobní údaje zpracovávané podle školského zákona připadá v úvahu provedení opravy nebo doplnění údajů. Oprávněný požadavek na likvidaci by se vůči řádně vedené dokumentaci školy vůbec neměl vyskytnout.

Zvláštní úprava informačních povinností podle školského zákona nepokrývá případné zpracování osobních údajů dětí, žáků a studentů spojené s jinou činností škol.Nepokrývá dokonce ani všechny součásti dokumentace škol. Platí to např. pro personální a mzdovou dokumentaci, ale také pro knihu úrazů a záznamy o úrazech dětí, žáků a studentů, popřípadě lékařské posudky. Pro ně se bez výjimky použije postup vyplývající ze zákona o ochraně osobních údajů. Již z vymezení dokumentace školy v § 28 školského zákona plyne, že informační povinnost má škola jako správce osobních údajů také vůči svým zaměstnancům, pedagogickým a případně dalším pracovníkům. Školský zákon nestanoví žádný zvláštní režim; platí tedy úprava vyplývající z dalších zákonů.

Povinnost školy poskytnout informace o osobních údajích se naplňuje za rozmanitých okolností - od situace, kdy se na něco ptá student, přes dotazy rodičů nezletilých a zletilých žáků až po písemné dotazy občanů podané s odvoláním na zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. Tazateli i oslovenému jde - až na výjimky - výhradně o to, zda informace, tj. v našem případě osobní údaje poskytnout. Podmínky stanovené různými zákony může každá strana vnímat jako omezující, popř. jinak zatěžující.

Podle platného znění zákona o ochraně osobních údajů může škola jako správce osobní údaje, které zpracovává sdělit v určitých případech bez souhlasu dotčené osoby sdělit. To je zakotveno v ustanovení § 5 odst. 2 písm. f) zákona o ochraně osobních údajů, kde se stanoví výjimka z obecné povinnosti zpracovávat osobní údaje se souhlasem údajů, pro případ kdy správce poskytuje osobní údaje o veřejně činné osobě, funkcionáři či zaměstnanci veřejné správy, které vypovídají o jeho veřejné anebo úřední činnosti, o jeho funkčním nebo pracovním zařazení . To platí jak pro osobní údaje zpracovávané se souhlasem dotčeného subjektu údajů, tak pro osobní údaje zpracovávané bez souhlasu subjektu údajů. Z ustanovení školského zákona vyplývá, že tato úprava se použije pro orgány školské právnické osoby - ředitele a členy školské rady (např. § 130 a § 164 až 168 školského zákona).

Stejná zásada - co do souhlasu - platí pro všechny osobní údaje školského rejstříku, i když tento rejstřík škola nevede. Také tyto osobní údaje může škola poskytnout k naplnění práva subjektu údajů na přístup i nad jeho rámec. Nepůjde však již o plnění informační povinnosti podle zákona o ochraně osobních údajů.

(1) Správce je při shromažďování osobních údajů povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21.

(2) V případě, kdy správce zpracovává osobní údaje získané od subjektu údajů, musí subjekt údajů poučit o tom, zda je poskytnutí osobního údaje povinné či dobrovolné. Je-li subjekt údajů povinen podle zvláštního zákona osobní údaje pro zpracování poskytnout, poučí jej správce o této skutečnosti, jakož i o následcích odmítnutí poskytnutí osobních údajů.

(3) Informace a poučení podle odstavce l není povinen správce poskytovat v případech, kdy osobní údaje nezískal od subjektu údajů, pokud

a) zpracovává osobní údaje výlučně pro účely výkonu státní statistické služby, vědecké nebo archivní účely a poskytnutí takových informací by vyžadovalo neúměrné úsilí nebo nepřiměřeně vysoké náklady; nebo pokud ukládání na nosiče informací nebo zpřístupnění je výslovně stanoveno zvláštním zákonem. V těchto případech je správce povinen přijmout potřebná opatření proti neoprávněnému zasahování do soukromého a osobního života subjektu údajů,

b) zpracování osobních údajů mu ukládá zvláštní zákon nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů,

c) zpracovává výlučně oprávněně zveřejněné osobní údaje, nebo

d) zpracovává osobní údaje získané se souhlasem subjektu údajů.

(4) Předchozími ustanoveními nejsou dotčena práva subjektu údajů požadovat informace podle zvláštních zákonů.¹⁸⁾

(5) Při zpracování osobních údajů podle § 5 odst. 2 písm. e) a § 9 písm. h) je správce povinen bez zbytečného odkladu subjekt údajů informovat o zpracování jeho osobních údajů.

(6) Žádné rozhodnutí správce nebo zpracovatele, jehož důsledkem je zásah do právních a právem chráněných zájmů subjektu údajů, nelze bez ověření vydat nebo učinit výlučně na základě automatizovaného zpracování osobních údajů. To neplatí v případě, že takové rozhodnutí bylo učiněno ve prospěch subjektu údajů a na jeho žádost.

(7) Informační povinnost upravenou v § 11 může za správce plnit zpracovatel.

----------

(1) Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného odkladu předat.

(2) Obsahem informace je vždy sdělení o

a) účelu zpracování osobních údajů,

b) osobních údajích, případně kategoriích osobních údajů, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji,

c) povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů,

d) příjemci, případně kategoriích příjemců.

(3) Správce má právo za poskytnutí informace požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.

(4) Povinnost správce poskytnout informace subjektu údajů upravenou v § 12 může za správce plnit zpracovatel.

(1) Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může

a) požádat správce nebo zpracovatele o vysvětlení,

b) požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů.

(2) Je-li žádost subjektu údajů podle odstavce 1 shledána oprávněnou, správce nebo zpracovatel odstraní neprodleně závadný stav.

(3) Nevyhoví-li správce nebo zpracovatel žádosti subjektu údajů podle odstavce 1, má subjekt údajů právo obrátit se přímo na Úřad.

(4) Postup podle odstavce 1 nevylučuje, aby se subjekt údajů obrátil se svým podnětem na Úřad přímo.

(7) Správce je povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu údajů podle odstavce l a o blokování, opravě, doplnění nebo likvidaci osobních údajů. To neplatí, pokud je informování příjemce nemožné nebo by vyžadovalo neúměrné úsilí.