Pro většinu středních škol jsou odborné praxe žáků součástí školního vzdělávacího programu. Z hlediska ochrany osobních údajů je však nutné si uvědomit, že předání osobních údajů žáků instituci, ve které je praxe vykonávána, je jedním z druhů zpracování osobních údajů podle GDPR. Je tedy nutné určit právní důvod zpracování osobních údajů v souladu s GDPR.
Povinné a dobrovolné praxe středních odborných škol z hlediska ochrany osobních údajů
Mgr.
Alice
Frýbová,
právnička společnosti Holubová advokáti, s. r. o.
RNDr. Ing.
Eva
Urbanová,
lektorka, Centrum školského managementu PedF UK
Při předávání osobních údajů je především potřeba v praxi respektovat dvě obecné zásady: zásadu transparentnosti a zásadu přiměřenosti. Ze zásady transparentnosti, která je definována v čl. 5 odst. 1 písm. a) GDPR, vyplývá pro školy povinnost být vůči žákovi co nejvíce otevřená a sdělit mu, které informace hodlá předat, kam a komu. Ze zásady přiměřenosti pro školu vyplývá povinnost minimalizace údajů, musí tedy předávat pouze ty informace, které jsou nutné. Pokud škola předá instituci zajišťující praxi žáka např. údaje o zaměstnání rodičů žáka, ve většině případů bude předání této konkrétní informace v rozporu se zásadou minimalizace osobních údajů.
Při předávání osobních údajů by si měly školy dále ujasnit, jestli předávají pouze klasické osobní údaje, nebo i údaje, které jsou citlivé, tzv. zvláštní kategorie osobních údajů. U druhých uvedených je zpravidla potřeba větší obezřetnosti.
Při předávání osobních údajů za účelem konání praxe je dále třeba brát v potaz, zda se jedná o dobrovolnou praxi, tedy tu, která není součástí ŠVP, nebo povinnou, kterou žáci musejí absolvovat stejně jako jiné předměty. Dalším kritériem je skutečnost, kde se praxe bude konat, tedy zda jsou údaje předávány v rámci České republiky, nebo Evropské unie, v případě některých stáží lze uvažovat i o předání do tzv. třetích zemí, tj. např. do USA.
Z výše uvedeného vyplývá, že existuje více situací, z nichž každá vyžaduje samostatné posouzení. Nejčastěji se však bude jednat o praxi, která je pro žáky povinná a koná se v České republice, příp. v Evropské unii. Právní důvod zpracování je v tomto případě uveden v čl. 6 odst. 1 písm. c), tedy zpracování je nezbytné pro splnění právní povinnosti, která se na školu jako správce osobních údajů vztahuje. Předání osobních údajů zařízení je tedy legální. Nicméně aby škola dodržela další povinnosti vyplývající z GDPR, měla by žáka písemně informovat o tom, které jeho osobní údaje jsou kterému zařízení pře-dávány.
Pokud se jedná o dobrovolnou praxi v České republice či EU, nemá to na povinnosti školy téměř žádný vliv. Změní se pouze právní důvod zpracování osobních údajů, kterým bude čl. 6 odst. 1 písm. b), tedy nutnost splnění smlouvy o výkonu praxe. Informační povinnost vůči žákům zůstává stejná.
Situace bude složitější, pokud jsou osobní údaje předávány do třetích zemí, kde ochrana osobních údajů nemusí odpovídat standardům GDPR. Vedle obecné povinnosti informovat, kdo dostane které údaje (zde upozorňujeme, že to platí např. i pro ubytovny, kde budou žáci ubytováni), musejí školy dále uvést, zda existuje, nebo neexistuje rozhodnutí Evropské komise o odpovídající ochraně osobních údajů v předmětné zemi. Neexistence tohoto rozhodnutí však neznamená, že by škola nesměla dané informace předat.
Pokud chtějí školy dodržet pravidla o předávání osobních informací do zahraničí podle GDPR, ale nezahltit sebe a své žáky papírováním o tom, komu, kdy a jaké osobní údaje budou předávány, mohou informační povinnost splnit již v přihlášce na praxi.