Souhlas podle GDPR a jeho náležitosti

Článek 6 GDPR definuje právní důvody zpracování osobních údajů, jinými slovy z jakého důvodu lze osobní údaje zpracovávat. Pro školy jsou tyto právní důvody: (i) zpracování je nezbytné pro splnění smlouvy nebo (ii) jiné právní povinnosti, tj. zejména plnění povinností vyplývajících ze školské legislativy, (iii) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů, (iv) existuje oprávněný zájem školy na zpracování osobních údajů nebo (v) je zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu. Pokud zpracování nelze podřadit pod jeden z výše uvedených důvodů, pak škola potřebuje souhlas se zpracováním osobních údajů. Souhlas jako právní důvod zpracování je jediným právním důvodem, který jsme nerozebraly v minulém čísle časopisu a věnujeme se mu nyní.

Za prvé je nutné si uvědomit, že , pouze v případě, že nemá jiný právní důvod zpracování podle čl. 6 GDPR, resp. čl. 9 GDPR v případě citlivých osobních údajů. Školy by dále neměly sahat k souhlasu „pro jistotu“, jelikož jsou s tím spojena některá úskalí, zejm. riziko, že subjekt údajů, zejm. žák / zákonný zástupce souhlas odvolá. Tuto situaci můžeme demonstrovat na níže uvedeném příkladu.

Podle ust. § 3 odst. 1 písm. a) vyhlášky č. 364/2005 Sb., o vedení dokumentace škol a školských zařízení, předávají školy z dokumentace školy a ze školní matriky osobní údaje týkající se jednotlivých dětí, žáků, studentů a uchazečů o přijetí ke vzdělávání. Příloha č. 1 k této vyhlášce dále specifikuje, které konkrétní údaje jsou v případě kterých škol předávány. Např. základní školy předávají podle čl. 5 přílohy č. 1 předmětné vyhlášky o každém žákovi rodné číslo, rok a měsíc narození, pohlaví, státní občanství, obec trvalého pobytu, způsob předchozího vzdělání žáka, údaj o zahájení vzdělávání v příslušné škole, datum a způsob ukončení vzdělávání v dané škole, kód oboru vzdělání, délku vzdělání, ročník, počet splněných let povinné školní docházky, identifikaci třídy, vyučovací jazyk žáka, informaci o výuce předmětů v cizím jazyce, o počtu předmětů a hodin, kód průběhu vzdělávání, informaci o opakování ročníku, o způsobu plnění povinné školní docházky, zda je vzdělání žáka financováno z veřejných rozpočtů, kontrolní rozlišení, zda žák v uplynulém školním roce úspěšně ukončil poslední ročník základního vzdělávání, resp. ukončil vzdělávání jiným způsobem, nebo je nadále žákem školy. Všechny tyto informace jsou osobními údaji podle GDPR. Představme si situaci, že základní škola vyžaduje po každém žáku / zákonném zástupci souhlas s předáním výše uvedených údajů Ministerstvu školství, mládeže a tělovýchovy. Několik žáků, resp. jejich zákonných zástupců, odmítne souhlas udělit. Škola se tak ocitne v nezáviděníhodné situaci, kdy má zákonnou povinnost údaje předat, ale vedle toho „nabídla“ žákům, že pokud nebudou souhlasit, údaje nepředá. Škola je každopádně povinna údaje MŠMT předat, jelikož právním důvodem zpracování je jen a pouze povinnost školy vyplývající z právního předpisu, nikoliv souhlas, a neměla by tedy vyžadovat souhlas s předáním těchto osobních údajů.

Požadavkem souhlasu škola pouze mate rodiče, kteří se mohou domnívat, že mají právo zvolit si, zda údaje jejich dětí budou předány, nebo nikoliv, a v tomto postupu školy by mohlo být spatřováno porušení GDPR, konkrétně porušení zásady transparentnosti vůči subjektům údajů. Škola by tedy správně měla postupovat tak, že předá údaje bez dalšího a nebude se dotazovat na souhlas s předáním osobních údajů žáků, resp. jejich zákonných zástupců.

Školy a školská zařízení budou souhlas potřebovat zřídka. Bude se jednat zejm. o , jako jsou zveřejnění fotografií či videí ze školních akcí na internetových stránkách školy, zasílání novinek/newsletteru na e-mail žáků či jejich zákonných zástupců, nebo , např. nakladatelstvím nebo pořadatelům letních táborů. Dále lze uvažovat o se zveřejněním jejich fotografií na webových stránkách, u škol využívajících „chytré“ webové stránky i o souhlasu uživatelů webových stránek s .

Pokud školy dospějí k závěru, že souhlas se zpracováním osobních údajů potřebují, musí tento souhlas splňovat popsané v GDPR a dále i ve stanovisku pracovní skupiny WP 29. Souhlas tedy musí být (i) svobodný, (ii) konkrétní, (iii) informovaný a (iv) jednoznačný.

Svobodný souhlas neznamená pouze to, že k němu subjekt údajů není přinucen, ale je potřeba, aby souhlas představoval . Jelikož škola jako orgán veřejné moci není v rovnoprávném postavení s žákem jakožto subjektem údajů, je nutné vždy posoudit, zda neudělení souhlasu bude znamenat nepříznivý následek pro žáka školy.

To samé bude platit pro školu jako zaměstnavatele, kdy je z povahy věci zaměstnanec v podřízeném postavení vůči zaměstnavateli. Pokud bude škola požadovat po svých zaměstnancích udělení souhlasu pro účely sledování jejich aktivity na počítačích, jeho neudělení může mít za následek nepodepsání pracovní smlouvy. Škola by tak měla hledat jiný právní důvod, např. oprávněný zájem správce, nebo od této aktivity zcela upustit.

Souhlas nebude svobodný ani tehdy, pokud je podmínkou poskytnutí nějakého plnění. U podnikatelů se jedná zejména o souhlas včleněný do všeobecných obchodních podmínek, jejichž je podmínkou uzavření kupní smlouvy a dodání zboží. U škol a školských zařízení se bude jednat např. o souhlas s pořizováním fotografií jako součást přihlášky na lyžařský výcvik tak, že souhlas nelze odmítnout, a přesto se pořádaného lyžařského výcviku zúčastnit. Souhlas by měl být vždy oddělitelný, např. možností samostatného zaškrtnutí políčka o pořizování/zveřejňování fotografií.

Pokud škola požaduje souhlas pro vícero účelů, např. chce ze sportovní soutěže (i) předat e-mailové adresy žáků nakladatelství, které soutěž sponzorovalo, aby jim zasílalo obchodní sdělení/nabídky ke koupi, dále (ii) zveřejnit fotografie na svých webových stránkách spolu s umístěním žáků a (iii) tyto fotografie poskytnout do ročenky nakladatelství, měla by vyžadovat celkem tři souhlasy od žáků, resp. jejich zákonných zástupců.

Aby byl souhlas konkrétní, musí být udělen . To znamená, že ten, kdo souhlas uděluje, musí vědět, co konkrétního bude správce s osobními údaji dělat. Správná formulace tedy nikdy nebude: Z této věty není absolutně jasné, k čemu je vlastně souhlas udělen. Stejně tak nebude zřejmě postačovat ani: Naopak by školy měly být co nejspecifičtější a při formulování souhlasu uvést, kde budou fotografie zveřejněny a na jak dlouho je souhlas udělen.

Souhlas bude informovaný, pokud byl subjekt údajů před jeho udělením informován zejm. o totožnosti správce, tedy školy, účelech zpracování a o možnosti kdykoliv souhlas odvolat.

Jednoznačný souhlas znamená, že souhlas je . Souhlas nesmí být udělen konkludentně, tedy mlčky, ale musí být vždy aktivním jednáním žáka / zákonného zástupce nebo zaměstnance.

Za platný souhlas nelze považovat předem zaškrtnuté políčko. Jednoznačným souhlasem naopak bude vyplnění nepovinného pole v přihlášce, u kterého je jednoznačně uvedeno, že e-mailová adresa bude použita k zasílání novinek/newsletteru.

GDPR stanoví, že . O tom by měl být subjekt údajů poučen. Nelze stanovit složitou proceduru odvolání souhlasu, např. požadovat, aby bylo odvolání souhlasu zasláno doporučeně s dodejkou s úředně ověřeným podpisem na adresu školy.

V souvislosti s GDPR se mluví o tom, že dítě mladší 16 let nebude moci udělit souhlas, ale bude vždy vyžadován souhlas nebo schválení jeho zákonného zástupce. Není tomu tak. Článek 8 GDPR, který se o minimální věkové hranici 16 let zmiňuje, míří na specifické situace, kdy jsou nabízeny služby informační společnosti přímo dítěti. To znamená, že se vztahuje na situace, kdy jsou dítěti nabízeny služby online. Bude se tak jednat zpravidla o používání aplikací zaměřujících se přímo na děti. Povinnost ověřovat věk dítěte tak dopadne na provozovatele online her, Facebook a obdobné společnosti. Nicméně v odvětví školství se článek 8 GDPR nebude zpravidla uplatňovat a školy budou při nutnosti souhlasu se zpracováním osobních údajů vycházet jako v současnosti z obecných předpisů, zejm. z občanského zákoníku.

Ne všechny školy a školská zařízení budou řešit problematiku souhlasu se zpracováním osobních údajů svých žáků, rodičů a zaměstnanců, protože mnoho škol a školských zařízení zpracovává pouze zákonné informace. Nicméně v případech zveřejňování fotografií a dalších údajů nad rámec zákona by školy měly upravit své aktuální souhlasy podle nové právní úpravy.