8.9.17

Jak na přístupové účty žáků

Před týdnem jsme přinesli informaci o kontrole Úřadu pro ochranu osobních údajů, kdy byla za nezákonnou označeno označení účtu skládající se ze jména a příjmení žáka. Dnes přinášíme další podrobnosti a stanovisko Ministerstva školství, mládeže a tělovýchovy.

Úřad pro ochranu osobních údajů řešil jsme porušení zákona, kdy škola dávala žákům dětem e-mailové adresy v podobě jmeno.prijmeni@domenaskoly.cz. Postup kauzy byl následující:
  • Matka žáka podala stížnost na Českou školní inspekci, že žáci školy mají e-mailové adresy s jejich jménem (škola dosud nemá od ČSI žádné informace, přestože stížnost byla podána před čtyřmi měsíci).
  • Českou školní inspekci si se stížností nevěděla rady a postoupila ji ÚOOÚ.
  • Oznámení z ÚOOÚ a dodání podkladů ze strany školy pro šetření.
  • Rozhodnutí ÚOOÚ o porušujeme zákona zveřejňováním soukromých údajů a vytvářením e-mailů s těmito údaji bez souhlasu rodičů.
  • Nápravná opatření ze strany školy a jednání zástupců školy s ÚOOÚ.
Asi nejdůležitější informace z jednání zástupců školy s ÚOOÚ  je, že zakomponováním souhlasu rodičů s e-maily do generálního souhlasu školy považuje ÚOOÚ za dostatečný právní krok k legalizaci jmen žáků v e-mailové adrese. Rodiče přitom musí být prokazatelně poučeni proč, jak a k čemu je účet a e-mail zřízen a musí tento souhlas stvrdit podpisem.

Je třeba připomenout, že matce žáka ani tak nevadily e-mailové adresy, ale vadilo ji používání služeb Google. V tom jediném ÚOOÚ neshledal porušení zákona a mít účty v G Suite je tedy dle ÚOOÚ v pořádku. Podle ÚOOÚ by ale bylo vhodnější mít adresy nejakynesmysl@domenaskoly.cz, tomu se ale chce škola vyhnout z mnoha důvodů.

Požádali jsme proto o stanovisko i Ministerstva školství, mládeže a tělovýchovy, které nám poskytlo následující:

K uvedenému nemá MŠMT ve vztahu ke konkrétní škole k dispozici všechny relevantní informace (pouze citace částí závěrů), nelze se bez takových komplexních informací (a tedy bez detailního kontextu) konkrétně vyjádřit. Platí, že kontrola osobních údajů spadá do gesce Úřadu pro ochranu osobních údajů a MŠMT nemá žádný právní nástroj, jak hodnocení konkrétních situací nakládání s osobními údaji tohoto úřadu měnit. MŠMT nicméně považuje oblast osobních údajů za problematiku důležitou a jako ústřední orgán státní správy pro školství je připraveno vést diskuzi a spolupůsobit na správné nakládání s osobními údaji a na dodržování zákonů.

Obecně lze uvést, že ke sběru osobních údajů může subjekt přistoupit pouze z důvodů upravených v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Zejména tak dochází ke zpracování osobních údajů na základě souhlasu subjektu, jinak pouze z taxativně určených důvodů § 5 odst. 2 zákona č. 101/2000 Sb.

Ke sběru osobních údajů školou dochází primárně na základě zákonného zmocnění v § 22 odst. 2 písm. c, resp. § 22 odst. 3 písm. e) zákona č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), ve znění pozdějších předpisů, dle kterého jsou žáci a studenti, případně zákonní zástupci dětí a nezletilých žáků, povinni oznamovat škole nebo školskému zařízení údaje podle § 28 odst. 2 a 3, které jsou podstatné pro průběh vzdělávání nebo bezpečnost žáka a studenta, a změny v těchto údajích. V § 28 je pak upravena dokumentace škol a školních zařízení, přičemž v odstavci 2 daného ustanovení upravuje informace, které obsahuje matrika školy, tedy ty údaje, k jejichž sběru má škola zákonné zmocnění.

K tomuto je však nutno uvést, že ačkoli je škola oprávněna ze zákona konkrétní osobní údaje, mimo jiné také jméno a příjmení žáků a studentů, od subjektů údajů požadovat, zpracovávat je může pouze k zákonem stanoveným účelům. Tímto účelem je myšleno zabezpečení průběhu vzdělávání a bezpečnost žáka a studenta dle § 22 školského zákona. Je tedy otázkou, zda naplňuje zřízení uživatelského účtu v rámci služby G Suite společnosti Google tento požadavek.

Ke zřízení uživatelského účtu v dotčené službě společnosti Google G Suite je nutné poskytnout osobní údaje o osobách za účelem založení účtu, tedy již tímto dochází ke zpracování osobních údajů. K tomuto účtu bývá následně zřízena žákům emailová adresa, ve které je možné, nikoli však nutné, použít jméno a příjmení žáka. Sama emailová adresa přitom může být za určitých okolností považována za osobní údaj, pokud naplňuje definici § 4 písm. a) zákona č. 101/2000 Sb. Zejména pak právě pokud obsahuje jméno a příjmení osoby, podléhá stejné ochraně jako jiné osobní údaje.

Ačkoli tedy školy sbírají osobní údaje o žácích a studentech na základě příslušných ustanovení školského zákona, pokud dochází k jejich zpracování za účelem v zákoně neupraveném, pak je nutné získat ke zpracování souhlas zákonného zástupce. Navíc v tomto případě dochází ke zpracování osobních údajů osobou odlišnou od školy jakožto správce a školy musí samostatně posoudit, zda zpracovatel poskytuje dostatečnou záruku ochrany údajů pro daný způsob zpracování. V tomto případě je tedy nutné respektovat stanovisko Úřadu pro ochranu osobních údajů jakožto dozorového orgánu.

K dalšímu postupu ve vztahu k Úřadu pro ochranu osobních údajů či školám: v květnu příštího roku vstoupí v účinnost nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen „nařízení GDPR“), a v souvislosti s ním také nová úprava ochrany osobních údajů. V souvislosti s touto změnou plánuje ministerstvo minimálně informovat školy a školská zařízení o povinnostech, které z nové legislativy plynou, a to zejména s ohledem na specifické potřeby těchto organizací.







1 komentář:

Bohuš moodler Havel řekl(a)...

Je to jasné, inspekce a MŠMT má pro všechny hotové materiály GDPR a tam jistě najdete pomoc. :-(

Okomentovat