5 nejčastějších dotazů o GDPR ve školách
Při poskytování služeb pověřence pro ochranu osobních údajů evidujeme veškeré dotazy našich klientů a zároveň je dále vyhodnocujeme. Dovolujeme si vybrat 5 nejčastějších dotazů, které se zatím v oblasti ochrany osobních údajů objevují, a to v souvislosti s přípravou nezbytné školní dokumentace.
Na tomto portále budeme pravidelně zveřejňovat nejčastější dotazy klientů, přičemž účelem těchto článků je široká distribuce informací pro naše školy a školská zařízení, jak řádně zpracovávat osobní údaje.
Dotaz č. 1: Pokud jsou v běžné smlouvě, kterou škola uzavírá (např. kupní, nájemní, o dodávkách služeb apod.), uvedeny osobní údaje týkající se druhé smluvní strany (např. název, IČ, adresa, jméno statutárního zástupce, jeho podpis, razítko) musí být souhlas se zpracováním těchto osobních údajů?
Odpověď: Nemusí. V případě běžných dodavatelských nebo odběratelských smluv se jedná o zpracování osobních údajů nezbytných pro plnění uzavřené smlouvy. Plnění smlouvy je tak dle článku 6 odst. 1 písm. b) GDPR právním důvodem pro zpracování osobních údajů. Lze tedy zjednodušeně říct, že uzavřená smlouva nahrazuje souhlas se zpracováním osobních údajů. Bez relevantních údajů obsažených ve smlouvách, případně fakturách by totiž nemohlo probíhat řádné plnění vyplývající ze smluvní povinnosti uzavřené mezi jednotlivými subjekty a dodavateli.
Je tedy již naplněn zákonný důvod zpracování podle článku 6 GDPR a souhlasu, tak není třeba.
Dotaz č. 2: Potřebuje školní jídelna souhlas se zpracováním osobních údajů ke zpracování údajů o strávnících a zákonných zástupců?
Odpověď: Nepotřebuje. Je zde obdobná situace jako v případě 1. otázky. Totiž, že mezi strávníkem a poskytovatelem stravovacích služeb dochází k uzavření smlouvy, byť např. v ústní podobě nebo v podobě vyplnění přihlášky ke stravování. Plnění takové smlouvy je pak titulem dle článku 6 odst. 1 písm. b) GDPR a stává se právním důvodem pro zpracování osobních údajů. Souhlas tak není potřebný, neboť ho „nahrazuje“ uzavřená smlouva.
V přihlášce ke stravování by tak měly být vyžadovány pouze relevantní osobní údaje nezbytné k plnění smlouvy podle článku 6 odst. 1 písm. b). Další osobní údaje jako telefonní číslo a e-mail jsou vyžadovány účelově, a to v rámci zajištění řádné komunikace s klienty stravovacího zařízení, tedy podle článku 6 odst. 1 písm. f) na základě oprávněných zájmů správce. Školní jídelna by tak musela disponovat souhlasem např. pro marketingové účely – především pak pokud by chtěla strávníkům zasílat na e-mail novinky. Principiálně tak souhlas se zpracováním osobních údajů je nutný jen v případě, že školní jídelna zpracovává osobní údaje v rozsahu nebo pro účely, které nejsou pro plnění smlouvy potřebné. Viz výše marketingové účely nebo např. zpracování údaje o zaměstnání nebo rodného čísla zákonného zástupce strávníka na přihlášce ke stravování. Takový osobní údaj pro poskytování stravovacích služeb není nezbytný, proto nemůže k jeho zpracovávání docházet na základě titulu – plnění smlouvy, neboť k plnění smluvní povinnosti takový údaj není potřebný. Pro takový údaj by již pak bylo nezbytné si vyžádat souhlas se zpracováním osobních údajů.
Dotaz č. 3: Blíží se konec školního roku a každý týden máme nějakou školní akci, které se účastní i veřejnost. Je téměř nemožné tyto osoby na snímku nezachytit potřebujeme souhlas se zpracováním osobních údajů?
Odpověď: V zásadě nepotřebujete. Uchovávání, zpracování či zveřejňování rozumného množství ilustrativních fotografií z akcí školy na webových stránkách školy je v pořádku, v případě že se nejedná o fotografie zaměřené na konkrétní jednotlivce, a účelem pořizování fotografií je zachycení atmosféry akce. Abyste nemuseli vyžadovat souhlas, pak uveřejněné fotografie nesmí zahrnovat další identifikační údaje o subjektu osobních údajů, jako jsou jméno a příjmení osoby zachycené na fotografii. Samozřejmě při fotografování na akcích školy je zřejmé, že se do dosahu fotoaparátu dostanou téměř všichni účastníci akce, tedy i rodiče dětí/žáků. Ovšem zákonnost zpracování osobních údajů jako jsou právě fotografie pořízené na akcích školy jsou oprávněným zájmem správce podle článku 6 odst. 1 písm. f), není tedy třeba vyžadovat souhlas se zpracováním osobních údajů. Doporučujeme zároveň pokud má akce informativní letáky, pak na nich uvést informaci, že se na akci budou pořizovat fotografie a může dojít k jejich zveřejnění na internetových stánkách školy nebo na jejím facebookovém profilu.
Dotaz č. 4: Mohu vyžadovat údaj o zdravotní pojišťovně v přihlášce k nepobytovému táboru?
Odpověď: Podle metodiky MŠMT – vzorové záznamy o činnostech zpracování, je pro evidování údaje o zdravotní pojišťovně nezbytné si vyžádat souhlas se zpracováním takových osobních údajů. Účelem je efektivní komunikace v rámci BOZP, a řádné zajištění zdravotní péče. Doba zpracování těchto osobních údajů je po dobu nezbytně nutnou ke splnění účel, tedy po dobu trvání letního nepobytového tábora.
Dotaz č. 5: Kdy bude škola potřebovat souhlas se zpracováním údajů? Co musí obsahovat?
Odpověď: Definice souhlasu se zpracováním osobních údajů je uvedena v článku 4. odst. 1) GDPR. Podle tohoto ustanovení se souhlasem subjektu osobních údajů rozumí jakýkoliv, svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením svého svolení ke zpracování svých osobních údajů. Souhlas se zpracováním osobních údajů musí obsahovat identifikační údaje správce. Ze souhlasu musí být také zjevné, za jakým účelem jsou osobní údaje zpracovávány, v jakém rozsahu a po jak dlouhou dobu. Dále je nutné informovat subjekt osobních údajů o jeho právech, která může u Vás, jakožto u správce osobních údajů uplatnit – např. právo udělený souhlas kdykoliv odvolat.
Souhlas je jedním z právních titulů, uvedených v čl. 6 GDPR, na jejichž základě můžete zacházet s osobními údaji. Zjednodušeně lze říci, že souhlas se zpracováním osobních údajů vyžadujete až ve chvíli, kdy škole nesvědčí žádný jiný titul pro zacházení s osobními údaji podle čl. 6 – a to je např. plnění smlouvy, plnění právní povinnosti, plnění úkolů ve veřejném zájmu nebo jako orgán veřejné moci, apod.
