Souhlas se zpracováním osobních údajů podle GDPR

Za prvé je nutné si uvědomit, že souhlas je pouze doplňkovým právním důvodem zpracování. Použije se tedy pouze v situaci, kdy správce osobních údajů nemá jiný právní důvod zpracování. Jelikož poradenská zařízení zpracovávají tzv. zvláštní kategorie osobních údajů, důvod zpracování je třeba hledat v čl. 9 odst. 2 GDPR, nikoli v čl. 6 GDPR, který se vztahuje na zpracování "běžných" osobních údajů.

Prvním krokem školských poradenských zařízení (dále jen "poradenské zařízení") je zjistit, kdo je správcem osobních údajů, a komu je tedy případný souhlas se zpracováním osobních údajů poskytnut. To záleží na tom, zda je pedagogicko-psychologická poradna (dále jen "poradna") nebo speciálně pedagogické centrum (dále jen "centrum") zřízeno jako součást školy, nebo jako samostatná příspěvková organizace. V případě, že poradenské zařízení je samostatnou právnickou osobou, zpravidla příspěvkovou organizací, bude případný souhlas se zpracováním osobních údajů vyžadovat sama příspěvková organizace na své hlavičce. V případě, že je naopak součástí školy či jiné právnické osoby, bude souhlas vyžadovat tato právnická osoba.

Dále je důležité si uvědomit, že informovaný souhlas s poskytnutím poradenské služby (dále jen "informovaný souhlas") a souhlas se zpracováním osobních údajů v poradenském zařízení (dále jen "souhlas se zpracováním osobních údajů") jsou dvě rozdílné věci. Informovaný souhlas obdobně jako v lékařském prostředí řeší, zda byl žák, resp. jeho zákonný zástupce informován o tom, co jsou podstatné náležitosti poskytovaných služeb, jaké jsou očekávané výsledky a jaká jsou práva a povinnosti poradenského zařízení a žáka (vyhláška č. 72/2005 Sb., o poskytování poradenských služeb ve školách a školských poradenských zařízeních). Informovaný souhlas tedy není souhlasem se zpracováním osobních údajů podle GDPR.

Dle § 1 odst. 2 vyhlášky č. 72/2005 Sb., o poskytování poradenských služeb ve školách a školských poradenských zařízeních, je podmínkou poskytnutí psychologické nebo speciálně pedagogické poradenské služby poučení žáka a jeho souhlas. Tímto souhlasem se myslí informovaný souhlas, nikoliv souhlas se zpracováním osobních údajů. Souhlas se zpracováním osobních údajů tak není podmínkou poskytnutí poradenské služby ve smyslu školského zákona a jeho doprovodných předpisů.

Je sporné, zda poradenská zařízení vůbec potřebují vedle informovaného souhlasu souhlas se zpracováním osobních údajů k tomu, aby mohla poskytovat poradenské služby. Spíše se lze klonit k závěru, že z hlediska GDPR je souhlasu se zpracováním osobních údajů pro poskytování poradenských služeb třeba. Současná příloha č. 5 k vyhlášce č. 72/2005 Sb., o poskytování poradenských služeb ve školách a školských poradenských zařízeních, obsahuje vzorový formulář nazvaný "Informovaný souhlas s poskytnutím poradenské služby a se zpracováním a uchováním osobních údajů ve školském poradenském zařízení". Tento formulář obsahuje též souhlas se zpracováním osobních údajů, který zní:

Pokud tento souhlas zůstane nezměněn, po 25. 5. 2018, tedy po vstupu GDPR v účinnost, nebude pravděpodobně dostačující. Souhlas by totiž měl být dostatečně konkrétní, zájemce o poskytnutí poradenské služby by tedy měl vědět, k čemu souhlas dává. Zde je jasné, že se jedná o uchování osobních údajů. Nicméně absentuje skutečnost, že poradenské zařízení zkoumá a vyhodnocuje osobní aspekty žáků a dává doporučení, což je zcela jiný typ zpracování osobních údajů než jejich ukládání. Dále chybí informace o tom, jak dlouho budou dané údaje ukládány, a poučení, že souhlas je možné kdykoliv odvolat.