Toto je volné pokračování příspěvku Škola jako správce
osobních údajů uveřejněného v Řízení školy 3/2004. I zde jsou
vysvětleny některé povinnosti, které zákon o ochraně osobních
údajů - zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně
některých zákonů, ve znění pozdějších předpisů (dále jen "zákon
o ochraně osobních údajů") ukládá školám při zpracování osobních
údajů. Společně s ustanoveními § 5 odst. 4, 11, 12 a 21 tohoto
zákona jsou probírána nebo komentována relevantní (odpovídající)
ustanovení § 21, 28, 69 nového školského zákona (zákon
č. 561/2004 Sb., o předškolním, základním, středním, vyšším
odborném a jiném vzdělávání (školský zákon), který nabyl
s výjimkou několika ustanovení účinnosti k 1. lednu roku 2005
(dále jen "školský zákon").
Každý správce osobních údajů - školu nevyjímaje - má určité
povinnosti, které na první pohled nemají přímého adresáta. Jeho
jiné povinnosti ovšem směřují zcela manifestačně k tomu, o jehož
osobní údaje se jedná. Adresátem plnění takových povinností je
subjekt údajů jako ten, kdo je ze zákona nadán právy. Jedinou
podmínkou pro to je, aby se jej týkaly informace, s nimiž škola
nakládá tak, že je to zpracováním osobních údajů. Typickým
představitelem povinností "adresovaných" subjektu údajů, je
informační povinnost správce. Informační je každá povinnost, která
někomu ukládá poskytovat někomu určité informace - bez ohledu na
to, zda je třeba takovou informaci vytvořit, nebo pro sdělení užít
něco, co již existuje. Příjemcem může být jak právě jeden člověk,
stejně tak jako předem nezavřený okruh osob, u nichž lze
předpokládat, že na informaci mají nárok, nebo jim takový nárok
vznikne v budoucnu. Příkladem prvé situace je poskytnutí písemné
zprávy o osobních údajích na písemnou žádost, příkladem druhé
informace pro uchazeče o studium. Za informační se ale nepovažuje
povinnost sdělit nebo poskytnout určité informace dozorovému
orgánu; pro ni - ač je obsahem rovněž informační - se používá
v řeči úřední označení "oznamovací". V případě zákona o ochraně
osobních údajů je oznamovací povinnost uložena v souvislosti
s registrací datových souborů, evidencí a jiných forem zpracování
osobních údajů (§ 16) a povolováním předání osobních údajů do
jiných států (§ 27). Informační je jen taková povinnost, která je
naplněna samotným poskytnutím informace.
Podobně jako povinnosti správců a zpracovatelů jsou práva
subjektů údajů dalším stavebním kamenem ochrany osobních údajů.
Základním právem subjektu údajů je právo být informován o tom, kdo
a k jakému účelu bude moje osobní údaje zpracovávat a jaké údaje
to budou nebo o tom, kdo mé osobní údaje již zpracovává. Toto
právo plně odpovídá povaze "chráněného zájmu" člověka jako
subjektu údajů - tedy povaze informace, jejímž druhem osobní údaj
je. Toto právo není ovšem uplatnitelné vždy přímo. Nachází někdy
dost zašifrovaný výraz v právní úpravě ochrany osobních údajů jak
v obecném zákoně o ochraně osobních údajů, tak v zákonech
zvláštních, upravujících zpracování osobních údajů k určitým
účelům, nebo i jiné nakládání s osobními údaji, jež nepodléhá
zákonu o ochraně osobních údajů. Právo být informován o (budoucím)
zpracování osobních údajů se uplatňuje prostřednictvím principů
informovaného souhlasu, vybraných povinností správce a do jisté
míry i principu přístupu k osobním údajům.
V českém zákoně o ochraně osobních údajů je toto právo
upraveno především v ustanoveních § 5 odst. 4, 11, 12 a doplňkově
také v ustanovení § 21 odst. 1 písm. a). Jsou tu přebírány zásady
Směrnice 95/46/ES o ochraně fyzických osob v souvislosti se
zpracováním osobních údajů a s volným pohybem těchto údajů pro
informování subjektu údajů a některé zásady práva subjektu údajů
na přístup k údajům. Právo jednotlivce jako subjektu údajů je
naplňováno uvalením povinnosti na ty, kdo jeho osobní údaje
hodlají zpracovávat, popř. již zpracovávají.
Proto první informační povinností správce je informovat
subjekt údajů při udělení souhlasu o tom, pro jaký účel zpracování
a k jakým osobním údajům je souhlas dáván, jakému správci a na
jaké období. Tato povinnost se uplatní tam, kde budou osobní údaje
zpracovávány se souhlasem zájmové osoby, tj. subjektu. Je
stanovena v § 5 odst. 4 zákona o ochraně osobních údajů. V praxi
činí problém dostát posledním dvěma podmínkám; jejich neuvedení je
přitom vadou souhlasu a znamená porušení povinnosti. K chybám
dochází zpravidla opomenutím a pokud si tvůrce příslušného
formuláře nebo jiného dokumentu na zákonné požadavky vzpomene,
nečiní jejich splnění obtíže. Tato povinnost se projevuje zásadně
v interakci správce (popř. zpracovatel) - jednotlivec (žák,
uchazeč o zaměstnání) a požadavky zákona musí být splněny
v každém jednotlivém případě absolutně.
V individuálním nebo skupinovém kontaktu lze splnit
informační povinnost podle § 11 odst. 1 a 2. Povinnost podle
ustanovení § 11 odst. 5 a povinnosti podle § 12 a 21 zákona
o ochraně osobních údajů je třeba plnit stejně jako informace při
získávání souhlasu výlučně v individuálním kontaktu. Závisí na
rozhodnutí správců, zda využijí dispozičního ustanovení § 12 odst. 3 a za poskytnutí informace (zprávy) o osobních údajích
budou od žadatele požadovat úhradu.
Žádný ze subjektů, na jejichž činnost při zpracování osobních
údajů, se zákon o ochraně osobních údajů vztahuje, není zproštěn
povinnosti umožnit subjektu údajů přístup k informacím o osobních
údajích absolutně. Zákonná výjimka je zásadně vázána na účel, pro
který takový správce nebo zpracovatel s osobními údaji nakládá.
O uplatnění výjimky, buď výslovně, nebo odkazem na ustanovení
zákona o ochraně osobních údajů nebo jiného zákona, který pro
přístup k informacím o osobních údajích stanoví jiný režim, by měl
správce subjekt údajů informovat; není třeba tak činit až
v odpověď na žádost o poskytnutí informací, pro obě strany může
být výhodnější poskytnout takové informace při vzájemném kontaktu,
při němž dochází např. ke shromažďování identifikačních
a kontaktních údajů nebo v rámci informací zveřejňovaných jménem
správce.
Podobně budou postupovat také správci, kteří se řídí při
zpracování osobních údajů úpravou provedenou zvláštním zákonem.
Při prvním kontaktu se subjektem údajů, při němž obě strany
vstupují do právního vztahu, také poskytnou písemnou informaci
o podmínkách přístupu k informacím o osobních údajích.
I v případě školy a školského zařízení (dále jen "škola")
platí, že zákon, který je vůči zákonu o ochraně osobních údajů
zákonem zvláštním, může stanovit pro plnění informační povinnosti
školy odchylný postup. Prvním co do významu, ne však jediným,
takovým zvláštním zákonem je zákon č. 561/2004 Sb., o předškolním,
základním, středním, vyšším odborném a jiném vzdělávání (školský
zákon), který nabyl s výjimkou několika ustanovení účinnosti
k 1. lednu roku 2005 (dále jen "školský zákon"). Zvláštní úpravu
povinnosti podle § 11 obsahuje; tvoří ji ustanovení § 28 odst. 4,
a to přesto, že v poslední větě odst. 5 je odkázáno na platnost
zákona o ochraně osobních údajů:
"Při předávání a zpracování údajů z dokumentace škol
a školských zařízení a ze školních matrik postupují orgány
státní správy a samosprávy podle zvláštního právního
předpisu."
Zvláštní úpravu tvoří věta poslední: "Školy a školská
zařízení jsou údaje z dokumentace a údaje ze školní matriky
oprávněny poskytovat osobám, které svůj nárok prokáží oprávněním
stanoveným tímto nebo zvláštním zákonem."
Zvláštní úpravu pro výkon práva subjektu údajů na přístup
k informacím o osobních údajích o něm zpracovávaných nový školský
zákon také obsahuje - především v ustanovení § 21. Žáci a studenti
mají právo na informace na informace o průběhu a výsledcích svého
vzdělávání a toto právo mají jednak také zákonní zástupci dětí
a nezletilých žáků, jednak rodiče, popřípadě osoby, které vůči
zletilým žákům a studentům plní vyživovací povinnost.
Skutečným problémem každé školy v této souvislosti však je
stanovení hranice zpracování osobních údajů. Bez ohledu na to, co
zaznívá nebo se jinak objevuje v médiích, nepodléhá každé
nakládání s osobními údaji žáků a studentů zákonu o ochraně
osobních údajů. Proto také ustanovení § 21 odst. 1 písm. b)
školského současně je i není zvláštní úpravou práva subjektu údajů
podle § 12 zákona o ochraně osobních údajů. Úprava obsažená
v novém školském zákonu problém "za školu" do značné míry řeší;
stanovení podmínek přístupu k osobním údajům vyhovuje jak
praktickým potřebám, tak zákonu o ochraně osobních údajů bez
potřeby se nad každou situací zamýšlet.
Složitější je situace v případě hodnocení výsledků vzdělávání
podle § 51 a 69 školského zákona. To, co je vyslovováno
a zastáváno různými osobami a institucemi k problému, zda výrok
o známce nebo vysvědčení je zpracováním osobních údajů, jsou
názory, které často nejsou podepřeny náležitou argumentací. Škola
je sice na jedné straně vedena ustanoveními školského zákona, na
straně druhé má meritorní rozhodnutí důsledky pro použití zákona
o ochraně osobních údajů pro hodnocení výsledků vzdělávání. Podle
mého osobního názoru je zpracováním osobních údajů podle školského
zákona takové nakládání s osobními údaji žáků a studentů, které je
operací systematicky prováděnou s osobními údaji v některé
z částí dokumentace školy. Na každé podání informace podle § 21
školského zákona se zákon o ochraně osobních údajů nevztahuje, na
poskytování informací z dokumentace školy (např. školní matriky)
a na shromažďování informací pro ni naopak ano.
Při získávání údajů pro vybrané části dokumentace škol
a školských zařízení podle § 28 školského zákona je škola - na
rozdíl od předchozí úpravy - povinna žáky nebo jejich zákonné
zástupce poučit podle § 11 odst. 2 zákona o ochraně osobních
údajů; z této povinnosti není pro ni výjimky.
Také při plnění povinnosti poskytnout subjektu údajů
informaci o zpracování osobních údajů je třeba použít oba zákony
- tj. školský zákon a zákon o ochraně osobních údajů - společně.
Školský zákon určuje vůči subjektu údajů - žáku, studentu nebo
zákonnému zástupci obsahový rámec plnění povinnosti, zákon
o ochraně osobních údajů stanoví postup a formální náležitosti
plnění. Zákonný zástupce dítěte, žáka nebo studenta je sám rovněž
subjektem údajů, neboť údaje o něm zpracovává škola ve školní
matrice školy (§ 28 odst. 2 písm. i) školského zákona) a školské
zařízení ve školní matrice a školského zařízení (§ 28 odst. 3 písm. f) školského zákona). Nelze tedy nevyhovět žádosti podané
pouze jménem zákonného zástupce; větší dosah do praxe poskytování
informací to však pro školu nemůže mít.
Pro situace, kdy subjekt údajů není spokojen s obsahem zprávy
o osobních údajích, které o něm škola zpracovává, je postup obou
stran upraven v § 21 zákona o ochraně osobních údajů. Informační
povinností školy jako správce je podat subjektu údajů na jeho
žádost vysvětlení, popř. napravit nedostatek ve zpracovávaných
osobních údajích. Stejně tak mají děti, žáci, studenti a jejich
zákonní zástupci možnost obrátit se po zjištění nesrovnalostí ve
zpracovávaných osobních údajích přímo na Úřad pro ochranu osobních
údajů. Druhá možnost se pro bezprostřední použití nabízí
v situacích, kdy je např. vzhledem k vyhrocenému konfliktu nebo
jiným okolnostem zřejmé, že domluva zákonného zástupce nebo
zletilého žáka se školou není možná. V řadě případů však může být
řešením celého problému obyčejné vysvětlení podané školou, jindy
postačí opravit, doplnit nebo zlikvidovat některý údaj, tj.
vyřešit problém rychle a za vynaložení mnohem menších nákladů než
za situace, kdy se subjekt údajů obrátí přímo na Úřad a nepoužije
postupu podle § 21 odst. 1 písm. a) nebo b).
Ustanovení § 22 školského zákona upravující povinnosti žáků,
studentů a zákonných zástupců dětí a nezletilých žáků vytváří
rámec pro uplatňování práv subjektu údajů zakotvených
v ustanoveních § 21 zákona o ochraně osobních údajů vůči škole
a samozřejmě také pro plnění tam stanovených povinností školy.
V případě sporu nebo jiné problémové situace, kterou by subjekt
údajů hodlal řešit podle § 21 zákona o ochraně osobních údajů je
třeba nejprve přezkoumat, zda byly dodrženy podmínky stanovené
oběma stranám zejména v § 22 a 28 školského zákona. Pro osobní
údaje zpracovávané podle školského zákona připadá v úvahu
provedení opravy nebo doplnění údajů. Oprávněný požadavek na
likvidaci by se vůči řádně vedené dokumentaci školy vůbec neměl
vyskytnout.
Zvláštní úprava informačních povinností podle školského
zákona nepokrývá případné zpracování osobních údajů dětí, žáků
a studentů spojené s jinou činností škol.Nepokrývá dokonce ani
všechny součásti dokumentace škol. Platí to např. pro personální
a mzdovou dokumentaci, ale také pro knihu úrazů a záznamy
o úrazech dětí, žáků a studentů, popřípadě lékařské posudky. Pro
ně se bez výjimky použije postup vyplývající ze zákona o ochraně
osobních údajů. Již z vymezení dokumentace školy v § 28 školského
zákona plyne, že informační povinnost má škola jako správce
osobních údajů také vůči svým zaměstnancům, pedagogickým
a případně dalším pracovníkům. Školský zákon nestanoví žádný
zvláštní režim; platí tedy úprava vyplývající z dalších zákonů.
Povinnost školy poskytnout informace o osobních údajích se
naplňuje za rozmanitých okolností - od situace, kdy se na něco ptá
student, přes dotazy rodičů nezletilých a zletilých žáků až po
písemné dotazy občanů podané s odvoláním na zákon č. 106/1999 Sb.,
o svobodném přístupu k informacím, ve znění pozdějších předpisů.
Tazateli i oslovenému jde - až na výjimky - výhradně o to, zda
informace, tj. v našem případě osobní údaje poskytnout. Podmínky
stanovené různými zákony může každá strana vnímat jako omezující,
popř. jinak zatěžující.
Podle platného znění zákona o ochraně osobních údajů může
škola jako správce osobní údaje, které zpracovává sdělit
v určitých případech bez souhlasu dotčené osoby sdělit. To je
zakotveno v ustanovení § 5 odst. 2 písm. f) zákona o ochraně
osobních údajů, kde se stanoví výjimka z obecné povinnosti
zpracovávat osobní údaje se souhlasem údajů, pro případ kdy
správce poskytuje osobní údaje o veřejně činné osobě, funkcionáři
či zaměstnanci veřejné správy, které vypovídají o jeho veřejné
anebo úřední činnosti, o jeho funkčním nebo pracovním zařazení .
To platí jak pro osobní údaje zpracovávané se souhlasem dotčeného
subjektu údajů, tak pro osobní údaje zpracovávané bez souhlasu
subjektu údajů. Z ustanovení školského zákona vyplývá, že tato
úprava se použije pro orgány školské právnické osoby - ředitele
a členy školské rady (např. § 130 a § 164 až 168 školského
zákona).
Stejná zásada - co do souhlasu - platí pro všechny osobní
údaje školského rejstříku, i když tento rejstřík škola nevede.
Také tyto osobní údaje může škola poskytnout k naplnění práva
subjektu údajů na přístup i nad jeho rámec. Nepůjde však již
o plnění informační povinnosti podle zákona o ochraně osobních
údajů.
§ 11
(1) Správce je při shromažďování osobních údajů povinen
subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel
budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní
údaje zpracovávat a komu mohou být osobní údaje zpřístupněny,
nejsou-li subjektu údajů tyto informace již známy. Správce musí
subjekt údajů informovat o jeho právu přístupu k osobním údajům,
právu na opravu osobních údajů, jakož i o dalších právech
stanovených v § 21.
(2) V případě, kdy správce zpracovává osobní údaje získané od
subjektu údajů, musí subjekt údajů poučit o tom, zda je poskytnutí
osobního údaje povinné či dobrovolné. Je-li subjekt údajů povinen
podle zvláštního zákona osobní údaje pro zpracování poskytnout,
poučí jej správce o této skutečnosti, jakož i o následcích
odmítnutí poskytnutí osobních údajů.
(3) Informace a poučení podle odstavce l není povinen správce
poskytovat v případech, kdy osobní údaje nezískal od subjektu
údajů, pokud
a) zpracovává osobní údaje výlučně pro účely výkonu státní
statistické služby, vědecké nebo archivní účely
a poskytnutí takových informací by vyžadovalo neúměrné
úsilí nebo nepřiměřeně vysoké náklady; nebo pokud ukládání
na nosiče informací nebo zpřístupnění je výslovně stanoveno
zvláštním zákonem. V těchto případech je správce povinen
přijmout potřebná opatření proti neoprávněnému zasahování
do soukromého a osobního života subjektu údajů,
b) zpracování osobních údajů mu ukládá zvláštní zákon nebo je
takových údajů třeba k uplatnění práv a povinností
vyplývajících ze zvláštních zákonů,
c) zpracovává výlučně oprávněně zveřejněné osobní údaje, nebo
d) zpracovává osobní údaje získané se souhlasem subjektu
údajů.
(4) Předchozími ustanoveními nejsou dotčena práva subjektu
údajů požadovat informace podle zvláštních zákonů.18)
(5) Při zpracování osobních údajů podle § 5 odst. 2 písm. e)
a § 9 písm. h) je správce povinen bez zbytečného odkladu subjekt
údajů informovat o zpracování jeho osobních údajů.
(6) Žádné rozhodnutí správce nebo zpracovatele, jehož
důsledkem je zásah do právních a právem chráněných zájmů subjektu
údajů, nelze bez ověření vydat nebo učinit výlučně na základě
automatizovaného zpracování osobních údajů. To neplatí v případě,
že takové rozhodnutí bylo učiněno ve prospěch subjektu údajů a na
jeho žádost.
(7) Informační povinnost upravenou v § 11 může za správce
plnit zpracovatel.
----------
§ 12
Přístup subjektu údajů k informacím
(1) Požádá-li subjekt údajů o informaci o zpracování svých
osobních údajů, je mu správce povinen tuto informaci bez
zbytečného odkladu předat.
(2) Obsahem informace je vždy sdělení o
a) účelu zpracování osobních údajů,
b) osobních údajích, případně kategoriích osobních údajů,
které jsou předmětem zpracování, včetně veškerých
dostupných informací o jejich zdroji,
c) povaze automatizovaného zpracování v souvislosti s jeho
využitím pro rozhodování, jestliže jsou na základě tohoto
zpracování činěny úkony nebo rozhodnutí, jejichž obsahem
je zásah do práva a oprávněných zájmů subjektu údajů,
d) příjemci, případně kategoriích příjemců.
(3) Správce má právo za poskytnutí informace požadovat
přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí
informace.
(4) Povinnost správce poskytnout informace subjektu údajů
upravenou v § 12 může za správce plnit zpracovatel.
§ 21
(1) Každý subjekt údajů, který zjistí nebo se domnívá, že
správce nebo zpracovatel provádí zpracování jeho osobních údajů,
které je v rozporu s ochranou soukromého a osobního života
subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní
údaje nepřesné s ohledem na účel jejich zpracování, může
a) požádat správce nebo zpracovatele o vysvětlení,
b) požadovat, aby správce nebo zpracovatel odstranil takto
vzniklý stav. Zejména se může jednat o blokování, provedení
opravy, doplnění nebo likvidaci osobních údajů.
(2) Je-li žádost subjektu údajů podle odstavce 1 shledána
oprávněnou, správce nebo zpracovatel odstraní neprodleně závadný
stav.
(3) Nevyhoví-li správce nebo zpracovatel žádosti subjektu
údajů podle odstavce 1, má subjekt údajů právo obrátit se přímo na
Úřad.
(4) Postup podle odstavce 1 nevylučuje, aby se subjekt údajů
obrátil se svým podnětem na Úřad přímo.
(7) Správce je povinen bez zbytečného odkladu informovat
příjemce o žádosti subjektu údajů podle odstavce l a o blokování,
opravě, doplnění nebo likvidaci osobních údajů. To neplatí, pokud
je informování příjemce nemožné nebo by vyžadovalo neúměrné úsilí.
18) Například zákon č. 123/1998 Sb., o právu na informace
o životním prostředí, zákon č. 367/1990 Sb., o obcích (obecní
zřízení), ve znění pozdějších předpisů, zákon č. 106/1999 Sb.,
o svobodném přístupu k informacím