Cílem článku je vyčlenit některá základní pravidla Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“), která se vztahují na veškeré školy, tj. i na základní umělecké školy. V navazujícím článku (v únorovém čísle Speciálu) budou okomentovány případy zpracování osobních údajů specifické pro základní umělecké školy.
GDPR ve školství - shrnutí některých základních pravidel
PhDr. Mgr.
Monika
Puškinová,
Ph.D.,
pravnik a specialista na školskou legislativu
Legální zpracování osobních údajů - účel a právní základ pro zpracování
Po úvodní „inventuře“ zpracovávaných osobních údajů většina škol dospěla k závěru - jedním z nejobtížnějších momentů legálního zpracování osobních údajů je jednoznačně určit účel a právní základ pro zpracování osobních údajů.
Vymezení účelu zpracování osobních údajů lze považovat za odpověď na otázku: Proč, z jakého důvodu má správce osobní údaje zpracovávat? Dle čl. 5 odst. 1 písm. b) GDPR musí být osobní údaje shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný.
V dokumentaci, kterou vede škola jako správce v souvislosti se zpracováním osobních údajů, jsou účely zpracování osobních údajů uvedeny mimo jiné v
-
informacích poskytovaných v případě, že osobní údaje jsou získány od subjektu údajů [viz čl. 13 odst. 1 písm. c) GDPR],
-
informacích poskytovaných v případě, že osobní údaje nebyly získány od subjektu údajů [viz čl. 14 odst. 1 písm. c) GDPR],
-
záznamech o činnostech zpracování [viz čl. 30 odst. 1 písm. b) GDPR],
-
textu souhlasu se zpracováním osobních údajů [neboť souhlas musí být udělen pro konkrétní účel zpracování osobních údajů; viz čl. 4 odst. 11, čl. 6 odst. 1 písm. a) GDPR].
Jednoznačné určení účelu zpracování osobních údajů je pro činnost školy důležité, protože se od něj (mimo jiné) odvíjí právní základ pro zpracování osobních údajů.
V čl. 6 odst. 1 GDPR je zakotveno šest právních základů (právních titulů) pro zpracování osobních údajů. K nim jsou připojeny podmínky zpracování zvláštních kategorií osobních údajů (v dřívější terminologii tzv. citlivých údajů) v čl. 9 odst. 2 GDPR. Škola bude zpracovávat osobní údaje legálně, pokud bude zpracování osobních údajů založeno alespoň na jednom z právních základů pro zpracování osobních údajů uvedených v čl. 6 odst. 1 GDPR. V případě citlivých osobních údajů může škola zpracovávat osobní údaje pouze tehdy, když tyto údaje zpracovává na základě alespoň jedné podmínky uvedené v čl. 9 odst. 2 GDPR a zároveň na základě právního titulu pro zpracování obsaženého v čl. 6 odst. 1 GDPR.
Dále jsou uvedeny právní základy pro zpracování dle čl. 6 odst. 1 GDPR a příklady zpracování osobních údajů podle uvedených základů pro zpracování.
Právní základ pro zpracování je také zaznamenán v dokumentaci školy, a to zejména v
-
informacích poskytovaných v případě, že osobní údaje jsou získány od subjektu údajů [viz čl. 13 odst. 1 písm. c) GDPR],
-
informacích poskytovaných v případě, že osobní údaje nebyly získány od subjektu údajů [viz čl. 14 odst. 1 písm. c) GDPR].
I-------------------------------------------------------------I------------------------------------I
I Právní základ pro zpracování I Příklad I
I-------------------------------I-----------------------------I------------------------------------I
I subjekt údajů udělil souhlas I čl. 6 odst. 1 písm. a) GDPR I - škola zpracovává e-mail I
I se zpracováním svých osobních I I zákonného zástupce žáka za I
I údajů pro jeden či více I I účelem zasílání newsletteru I
I konkrétních účelů I I školy I
I-------------------------------I-----------------------------I------------------------------------I
I zpracování je nezbytné pro I čl. 6 odst. 1 písm. b) GDPR I - zaměstnanec a zaměstnavatel I
I splnění smlouvy, jejíž I I uzavřeli dohodu o zasílání platu I
I smluvní stranou je subjekt I I zaměstnance na účet (viz I
I údajů, nebo pro provedení I I § 143 odst. 1 zákoníku práce); I
I opatření přijatých před I I zpracování osobního údaje - I
I uzavřením smlouvy na žádost I I čísla účtu zaměstnance - je I
I tohoto subjektu údajů I I nezbytné pro splnění této dohody I
I-------------------------------I-----------------------------I------------------------------------I
I zpracování je nezbytné pro I čl. 6 odst. 1 písm. c) GDPR I - škola zpracovává osobní údaje I
I splnění právní povinnosti, I I žáků, které jsou povinně I
I která se na správce vztahuje I I evidovány ve školní matrice dle I
I I I čl. 28 odst. 2 školského zákona I
I I I - škola zpracovává osobní údaj o I
I I I zdravotní pojišťovně I
I I I zaměstnance, neboť se na ni I
I I I vztahují povinnosti vyplývající I
I I I ze zákona č. 48/1997 Sb., o I
I I I veřejném zdravotním pojištění, I
I I I v platném znění I
I-------------------------------I-----------------------------I------------------------------------I
I zpracování je nezbytné pro I čl. 6 odst. 1 písm. d) GDPR I - učitel školy prohlédne obsah I
I ochranu životně důležitých I I tašky žáka, který upadl do I
I zájmů subjektu údajů nebo I I bezvědomí, aby zjistil, zda má I
I jiné fyzické osoby I I žák v tašce potřebný lék; I
I I I současně s tím zjistí některé I
I I I osobní údaje žáka I
I-------------------------------I-----------------------------I------------------------------------I
I zpracování je nezbytné pro I čl. 6 odst. 1 písm. e) GDPR I - škola při výkonu veřejné moci, I
I splnění úkolu prováděného ve I I tj. v rámci správního řízení, I
I veřejném zájmu nebo při I I zpracovává osobní údaje žáka, I
I výkonu veřejné moci, kterým I I který je vyloučen ze základní I
I je pověřen správce I I umělecké školy I
I-------------------------------I-----------------------------I------------------------------------I
I zpracování je nezbytné pro I čl. 6 odst. 1 písm. f) GDPR I - škola zpracovává záznamy z I
I účely oprávněných zájmů I I kamerového systému; oprávněný I
I příslušného správce či třetí I I zájem školy spočívá v ochraně I
I strany, kromě případů, kdy I I majetku školy I
I před těmito zájmy mají I I - škola na dveřích kmenových I
I přednost zájmy nebo základní I I učeben jednotlivých tříd uvádí I
I práva a svobody subjektu I I jména a příjmení třídního I
I údajů vyžadující ochranu I I učitele; oprávněný zájem školy I
I osobních údajů, zejména pokud I I spočívá v efektivní organizaci I
I je subjektem údajů dítě I I vzdělávání I
I-------------------------------I-----------------------------I------------------------------------I
Zabezpečení osobních údajů
Účel zpracování je jedním z faktorů, ke kterým škola jako správce přihlédne při zavedení vhodných technických a organizačních opatření, pomocí kterých zajišťuje ochranu, zabezpečení osobních údajů (viz čl. 25 odst. 1, čl. 32 odst. 1 GDPR). Obecný popis technických a organizačních bezpečnostních opatření, kterými škola zajišťuje zabezpečení osobních údajů, je obsahovou součástí záznamu o činnostech zpracování [viz čl. 30 odst. 1 písm. g) GDPR]. V praxi jsou obvykle označena v záznamech o činnostech zpracování a rozvedena v interním předpisu školy, na který se záznamy o činnostech zpracování odkazují.
K typickým bezpečnostním opatřením patří např.
-
určení zaměstnanců, kteří mají právo vstupovat do určitých prostor, ve kterých jsou uloženy dokumenty obsahující osobní údaje; zákaz nechávat třetí osoby samotné v uvedených místnostech;
-
zabezpečení serverové místnosti pro případ požáru, výpadku elektrického proudu; zabezpečení spisovny pro případ požáru, povodně;
-
zajištění pravidelného zálohování dat;
-
ukládání dokumentů obsahujících osobní údaje v uzamykatelných skříních, zásuvkách; při odchodu z pracoviště úklid dokumentů obsahujících osobní údaje do uzamykatelných skříní, zásuvek;
-
diferenciace přístupových oprávnění k osobním údajům zpracovávaným v elektronické podobě;
-
povinné používání „silného“ hesla, automatického spořiče obrazovky při zpracování osobních údajů v elektronické podobě;
-
vymezení pravidel kopírování osobních údajů na externí nosiče, případně zákazu kopírování osobních údajů na externí nosiče.
Shrnutí
Pravidla zpracování osobních údajů zakotvená v GDPR musí být vždy vztažena na konkrétní podmínky činnosti jednotlivé školy (tj. i základní umělecké školy) a promítnuta do určitých činností a dokumentace. Je důležité, aby jednotlivé činnosti a v dokumentaci školy stanovené normy představovaly logický a vzájemně se doplňující celek.