Informace a osobní údaje jsou v současné době jednou z nejcennějších, a tedy i nejžádanějších komodit. Osobní údaje, jako např. rodné číslo, často slouží jako jediná identifikace při jednání s různými institucemi, lidé jsou pod nimi vedeni v různých seznamech, umožňují jim vykonávat práva a jiným zase slouží k tomu, aby mohli konkrétní subjekty pozitivně identifikovat jako cíl povinností. Právě proto je jakákoliv neoprávněná manipulace s nimi nesmírně nebezpečná, nebo alespoň velmi nepříjemná.
Ochrana osobních údajů v družinách
JUDr. Mgr.
Eva
Janečková
odbornice v oblasti pracovního práva, ochrany osobních údajů a poskytování sociálních služeb
Zákonem, který se zabývá ochranou osobních údajů, je zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“).
Smyslem zákona o ochraně osobních údajů je čl. 10 odst. 3 Listinou základních práv a svobod zaručené právo na ochranu občana před neoprávněným zasahováním do jeho soukromého a osobního života neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním jeho osobních údajů.
Na počátku je třeba vyjasnit si některé pojmy, které zákon o ochraně osobních údajů používá.
Osobním údajem
se rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo, či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.Citlivým osobním údajem
je takový údaj, který vypovídá mimo jiné o národnostním, rasovém nebo etnickém původu fyzické osoby, jejích politických postojích, členství v politických stranách, hnutích nebo odborových či zaměstnaneckých organizacích, jejím náboženském a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuální orientaci. Citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů.Zpracováním osobních údajů
se rozumí jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádí s osobními údaji, a to automatizovaně nebo jinými prostředky.Shromažďování osobních údajů
je systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování.Uchováváním osobních údajů
je udržování údajů v takové podobě, která umožňuje dále je zpracovávat.Likvidace osobních údajů
je fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování.Správcem
je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za ně. Zpracováním osobních údajů může správce zmocnit zpracovatele. Správcem zůstává i nadále subjekt, ne zpracovatel.Zpracovatelem
je každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona.VYMEZENÍ ZÁKLADNÍCH POVINNOSTÍ
Povinnosti podle ustanovení § 5
Toto ustanovení tak představuje jednu z klíčových částí zákona o ochraně osobních údajů, neboť jeho nerespektování při zpracování znamená kolizi se zákonem a hrozbu sankce za správní delikt.
První povinností je povinnost stanovit účel, k němuž mají být osobní údaje zpracovány, tj. proč a k jakému cíli se shromažďují a následně zpracovávají údaje.
Další povinností je povinnost stanovit prostředky zpracování a stanovit způsob zpracování osobních údajů, kterých může být při zpracovávání použito. Obojí by měl správce stanovit ještě před zahájením zpracování údajů. Tento požadavek je zcela logický, neboť by mělo být správci zřejmé již před zahájením zpracovávání, které prostředky a jaký způsob zpracovávání zvolí pro dosažení cíle -účelu, pro který má ke zpracovávání osobních údajů dojít.1)
Správce osobních údajů je dále povinen zpracovávat pouze přesné osobní údaje, které získal v souladu se zákonem. Je-li to nezbytné, osobní údaje aktualizuje. Pokud správce zjistí, že jím zpracované osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje.2)
Dále je správce povinen
uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování.
Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů a osobní údaje. Splnění této povinnosti bude tedy vyžadovat přesné vymezení minimálního rozsahu konkrétních osobních údajů, které budou v daném případě k naplnění stanoveného účelu skutečně potřebné.Správce je dále povinen
zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny.
Předposlední povinností je
povinnost shromažďovat osobní údaje pouze otevřeně;
je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti. Poslední povinností uvedenou v § 5 odst. 1 je povinnost nesdružovat osobní údaje, které byly získány k rozdílným účelům. Tím vytvořil zákonodárce zákonnou překážku pro to, aby správce mohl libovolně sdružovat osobní údaje, které jsou předmětem jeho zpracovávání pro jím stanovený účel, s osobními údaji, které jsou předmětem jiného jeho zpracovávání pro naplnění odlišného účelu.Povinnost podle ustanovení § 11
Tento paragraf stanoví správcům (v zásadě i zpracovatelům) tzv.
informační povinnost
. V informaci poskytované subjektu údajů musí být uveden „rozsah“ zpracovávaných osobních údajů, informace o tom, jakým způsobem bude správce, popřípadě zpracovatel zpracovávat osobní údaj, „kdo“ bude osobní údaje zpracovávat. Informační povinnosti je správce zproštěn v případě, že jsou informace subjektu údajů již známy. Správci osobních údajů je dále stanovena povinnost poučit
subjekt údajů o tom, zda poskytnutí osobních údajů správci je dobrovolné, nebo zda je subjekt údajů povinen osobní údaje poskytnout správci, popřípadě zpracovateli ke zpracování na základě zvláštního zákona.
Z textu zákonného ustanovení je zřejmé, že povinnost podle § 11 odst. 2 zákona o ochraně osobních údajů má správce jen tehdy, když získává a shromažďuje osobní údaje přímo od subjektu údajů. Jestliže je subjekt údajů podle zvláštního zákona povinen poskytnout správci, popřípadě zpracovateli osobní údaje pro zpracování, musí být správcem také poučen o důsledcích, které budou vyvozeny, pokud subjekt údajů osobní údaje ke zpracování neposkytne.
Povinnost podle ustanovení § 12
Ustanovení umožňuje subjektu údajů získat informace o prováděném zpracování osobních údajů o jeho osobě v průběhu celého zpracování.
Informace jsou zásadně poskytovány na základě žádosti subjektu údajů.
V tomto případě je tak očekávána aktivita subjektu údajů, nikoli správce. Zákona o ochraně osobních údajů nestanoví konkrétní lhůtu, v níž je nutné požadované informace předat. V první řadě jde o informace o účelu zpracování osobních údajů, dále pak o osobních údajích, případně kategoriích osobních údajů, které jsou předmětem zpracování.Dále je správce povinen subjektu údajů sdělit veškeré dostupné informace o zdroji údajů.Tato informace bývá někdy problematická, správci osobních údajů ji neradi sdělují zvláště v případech, kdy osobní údaje subjektu údajů nebyly získány zcela v souladu se zákonem. A konečně by měl subjekt údajů obdržet
informaci o povaze automatizovaného zpracování
v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů. Správce osobních údajů může požadovat za poskytnutí informace
přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.
Výše této úplaty, kterou stanoví správce, nesmí překročit skutečné náklady nezbytné na vyhledání, sestavení či jiné zpracování informace a na úkony potřebné k poskytnutí informace (poštovné apod.)3), 4)Povinnost podle ustanovení § 13
Tímto ustanovením je stanovena
obecná povinnost správců a zpracovatelů osobních údajů chránit osobní údaje.
Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technickoorganizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy.Výše uvedené je nutné aplikovat na každou činnost, kterou školní družina vykonává. Je nepochybné, že i v rámci školní družiny bude zpracovávána celá řada osobních údajů žáků a dalších osob. Vyplývá to mimo jiné z
dokumentace, kterou školská zařízení pro zájmové vzdělávání vedou:
rozhodnutí o zápisu do školského rejstříku a o jeho změnách a doklady uvedené v § 147 zákona č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), ve znění pozdějších předpisů;
evidenci dětí, žáků nebo studentů; doklady o přijímání dětí, žáků, studentů a uchazečů ke vzdělávání, o průběhu vzdělávání a jeho ukončování;
školní vzdělávací program;
vnitřní řád;
knihu úrazů a záznamy o úrazech dětí, žáků a studentů, popřípadě lékařské posudky;
protokoly a záznamy o provedených kontrolách a inspekční zprávy;
personální a mzdovou dokumentaci, hospodářskou dokumentaci a účetní evidenci podle zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů;
dokumentaci stanovenou zvláštními právními předpisy, například zákonem o ochraně veřejného zdraví.
Rodiče obvykle v družině vyplňují i tzv.
zápisní lístek
(přihlášku). Závazný tiskopis přihlášky není stanoven. Tento lístek obvykle obsahuje údaje v rozsahu: jméno a příjmení dítěte, státní příslušnost, datum narození, kód zdravotní pojišťovny, třídu, bydliště, upozornění na zdravotní problémy dítěte, příjmení a jméno rodičů, kontaktní telefony a e-maily. Jedná se tedy o údaje, které již škola zpracovává ve školní matrice vedené podle § 28 školského zákona.Zápisní lístek dále obsahuje záznamy o uvolnění dítěte ze školní družiny, tedy informace o tom, v kolik hodin je dítě vyzvedáváno, případně v kolik samo odchází.
Tyto osobní údaje tedy ve své většině budou zpracovávány podle ustanovení § 5 odst. 2 písm. a) zákona o ochraně osobních údajů a nebude zapotřebí souhlasu.
Zápisní lístek také obsahuje údaje osob, které byly zákonnými zástupci zmocněny k vyzvedávání dítěte. Obvykle to bývá jméno, příjmení, adresa, telefonní kontakt a označení vztahu k dítěti (např. chůva). Rodič nebo jiný zákonný zástupce dítěte je oprávněn se zcela samostatně rozhodnout, kdo jej může zastoupit v této věci, tj. např. i starší sourozenec dítěte. Rodič však musí respektovat, že jej může zastoupit pouze ten, kdo je způsobilý k takovému úkonu. Případné nepříznivé důsledky nevhodného rozhodnutí rodiče v této věci, např. ohrožení zdraví nebo života dítěte, nelze přičítat škole, neuvážený postup rodičů však může posoudit orgán sociálně-právní ochrany dětí nebo soud.
Škola oprávněně trvá na tom, aby uvedené pověření jiné osoby bylo provedeno prokazatelně bez možného zpochybnění úmyslu rodičů v této věci. Škola (školní družina) v tomto případě postupuje v souladu s ustanovením § 5 odst. 2 písm. e) zákona o ochraně osobních údajů, podle něhož může správce osobní údaje zpracovávat bez souhlasu subjektu údajů, pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby.
Škola chrání nejen sebe, ale i zájmy dítěte. Rozsah zpracovávaných osobních údajů o chůvě však musí odpovídat zvolenému účelu. Zpravidla proto postačí základní identifikační údaje, případně některé kontaktní údaje.
Kromě těchto obvyklých
evidencí také školní družina často vede evidence o účasti, či neúčasti dítěte na činnosti, na kterou je přihlášeno.
Podle vyhlášky č. 74/2005 Sb., o zájmovém vzdělávání, ve znění pozdějších předpisů, je zájmové vzdělávání poskytováno zpravidla za úplatu. Z toho vyplývá, že
škola
(školní družina) musí vést i údaje o plátcích, a to nejméně v rozsahu číslo účtu a variabilní symbol. I tyto osobní údaje jsou zpracovávány v souladu s ustanovením § 5 odst. 2 písm. a) zákona o ochraně osobních údajů, tedy bez souhlasu.Při zpracování osobních údajů mimo uvedený rámec již pravděpodobně bude potřeba souhlas subjektu nebo jeho zákonného zástupce.
Pracovníci musí také dodržovat
povinnost mlčenlivosti.
Ustanovení § 15 zákona o ochraně osobních údajů říká, že zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací. Ustanovením předchozího odstavce není dotčena povinnost zachovávat mlčenlivost podle zvláštních zákonů. Povinnost zachovávat mlčenlivost se nevztahuje na informační povinnost podle zvláštních zákonů. Mezi tyto zvláštní zákony patří i zákon č. 40/2009 Sb., trestní zákoník, zákon č. 21/1992 Sb., o bankách, atd.1) BARTÍK, V., JANEČKOVÁ, E.
Zákon o ochraně osobních údajů s komentářem.
Olomouc: Nakladatelství ANAG, 2010, s. 71.2) Nepřesné osobní údaje se musí označit. Informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je správce povinen bez zbytečného odkladu předat všem příjemcům.
3) Důvodová zpráva k zákonu č. 101/2000 Sb., Sněmovní tisk 374/0.
4) BARTÍK, V., JANEČKOVÁ, E. Zákon o ochraně osobních údajů s komentářem. Olomouc: Nakladatelství ANAG, 2010, s. 156 a násl.