V souvislosti s elektronizací veškerého života dochází v některých mateřských školách k elektronizaci zápisu (přihlašování) dětí. Zápis je řešen tak, že mateřská škola jakožto správce osobních údajů předá osobní údaje přihlašovaných dětí zpracovateli, jímž obvykle bývá obecní úřad, ale může jím být jakákoli jiná osoba, která zhotoví elektronický systém pro evidenci získaných dat.
Elektronický zápis do MŠ
JUDr.
Eva
Janečková
Ministerstvo práce a sociálních věcí ČR
Tomuto postupu žádný zákon nebrání. Je však třeba pamatovat na to, že je nutné mezi mateřskou školou a zpracovatelem uzavřít smlouvu o zpracování podle ustanovení § 6 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“), podle něhož pokud zmocnění nevyplývá z právního předpisu, musí
správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů.
Smlouva musí mít písemnou formu. Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá, a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů.Po formální stránce je možné uzavřít tuto smlouvu o zpracování osobních údajů jako samostatnou smlouvu, která bude obsahovat náležitosti uvedené v § 6 a kterou lze nazvat např. Smlouva o zpracování osobních údajů pro účely elektronického zápisu dětí do mateřských škol nebo
Smlouva mezi správcem a zpracovatelem dle § 6 zákona č. 101/2000 Sb.
Je také možné v rámci jiné uzavírané smlouvy mezi správcem a zpracovatelem zakomponovat příslušná ustanovení do této smlouvy a těmto ustanovením věnovat zvláštní paragraf či článek smlouvy.V postavení zpracovatele se ocitá pouze ten, kdo se skutečně podílí na zpracování osobních údajů, tj. vykonává pro správce určité operace s těmito daty, nikoli však ten, kdo správci např. pouze poskytuje infrastrukturu (zejména HW či SW) a s osobními údaji jinak nenakládá.1)
V zájmu právní jistoty nejen správce a zpracovatele, ale i subjektů údajů a dalších osob je, aby
zmocnění ke zpracování přímo plynulo ze zákona nebo pověření smlouvou mělo písemnou podobu.
Zákon o ochraně osobních údajů vyžaduje, aby v takové smlouvě kromě jiných podstatných částí smlouvy bylo také výslovně uvedeno, v jakém rozsahu, tedy o jaké osobní údaje se jedná, za jakým účelem a na jakou dobu se uzavírá, a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. Nebude tedy postačovat, aby ve smlouvě bylo pouze uvedeno, že zpracovatel poskytuje záruky, ale musí v ní být opatření přijatá zpracovatelem popsána. V opačném případě by takové garance nebyly kontrolovatelné a jak správce, tak i zpracovatel by se mohli dostat do důkazní nouze při stanovení odpovědnosti za případné porušení zákona.2)Pokud by smlouva neobsahovala zákonem o ochraně osobních údajů uvedené náležitosti, nezpůsobilo to sice její neplatnost, avšak nejednalo by se již pojmově o smlouvu o zpracování. To by současně znamenalo, že by zpracování, pokud by k němu docházelo, probíhalo bez relevantního právního titulu, což by jak pro správce, tak „zpracovatele“ mohlo mít vážné důsledky. Správce by se totiž dostal do rozporu minimálně s § 5 odst. 1 písm. f), větou první (zpracovávat osobní údaje pouze v souladu s účelem) a také § 13, neboť by
zpřístupnil či předal osobní údaje neoprávněně
a porušil tak jednu ze základních povinností, tedy údaje chránit před zneužitím. A „zpracovatel“, spíše tedy quazizpracovatel, by osobními údaji disponoval zcela bez právního důvodu se všemi důsledky z toho plynoucími, neboť by se ocitl v postavení „neoprávněného“ správce.3)1 www.uoou.cz, Názory úřadu, Stanoviska - STANOVISKO č. 1/2009
„Zpracování osobních údajů na základě smluv uzavíraných se zpracovateli (tzv. řetězení zpracovatelů osobních údajů)“.
2 Kučerová, A., Bartík, V., Peca, J., Neuwirt, K., Nejedlý, J.
Zákon o ochraně osobních údajů. Komentář.
1. vyd. Praha: C. H. Beck, 2003. s. 111.3 Bartík, V., Janečková, E. Zákon o ochraně osobních údajů s komentářem. Olomouc: ANAG, 2010. s. 112 a násl.