7.11.17

MŠMT: Metodická pomůcka k aplikaci obecného nařízení o ochraně osobních údajů a zákona o zpracování osobních údajů v podmínkách školství

Ministerstvo školství, mládeže a tělovýchovy připravilo metodickou pomůcku pro snadnější implementaci obecného nařízení o ochraně osobních údajů (GDPR) a zákona o zpracování osobních údajů v podmínkách školství. Toto evropské nařízení, které je přímo aplikovatelné, musí být plně zavedeno do 25. května 2018 v celém rozsahu v členských státech EU.

Metodická pomůcka si klade za cíl seznámit osoby, které vykonávají činnosti v oblasti zpracování osobních údajů v kontextu školství, s nadcházející úpravou ochrany osobních údajů představovanou tímto evropským nařízením. Metodika chce být obecným interpretačním vodítkem při aplikaci jednotlivých pravidel. Jejím záměrem tudíž není rozbor konkrétních situací, které s ohledem na šíři adresátů tohoto doporučení nelze ani obsáhnout a které jsou z tohoto důvodu zapracovány pouze příkladmo.

Pro snadnější orientaci v materiálu je úvodní části doporučení popsáno, o jakou právní úpravu se jedná, na co je třeba se v souvislosti s ní připravit a dále jsou tamtéž uvedeny zásady pro další nakládání s osobními údaji. Tyto zásady se dále prolínají druhou částí materiálu, která je věnována výkladu vybraných ustanovení nařízení, se kterými se v prostředí školství můžeme setkat.

Metodická pomůcka byla na pracovní úrovni konzultována s některými zástupci škol, dále také s reprezentanty ministerstva vnitra a Úřadu pro ochranu osobních údajů. Jedná se o první verzi metodické pomůcky, která bude dále doplňována podle stavu, jak budou zpřesňovány výklady gestory právního předpisu (ministerstvem vnitra a úřadem pro ochranu osobních údajů).



Metodická pomůcka k aplikaci obecného nařízení o ochraně osobních údajů a zákona o zpracování osobních údajů v podmínkách školství
K čemu slouží tato metodika?
Tato pomůcka si klade za cíl seznámit osoby, které vykonávají činnosti v oblasti zpracování osobních údajů v kontextu školství, s nadcházející úpravou osobních údajů představovanou nařízením Evropského parlamentu. Metodika chce být obecným interpretačním vodítkem při aplikaci jednotlivých pravidel. Jejím záměrem tudíž není rozbor konkrétních situací, které s ohledem na šíři adresátů tohoto doporučení nelze ani obsáhnout a které jsou z tohoto důvodu zapracovány pouze příkladmo. Naopak se věnuje výkladu budoucí právní úpravy způsobem, který by měl její aplikaci v prostředí škol a školských zařízení zjednodušit.
Tomuto záměru odpovídá i struktura metodického doporučení, přičemž v úvodní části doporučení je popsáno, o jakou právní úpravu se jedná, na co je třeba se v souvislosti s ní připravit a dále jsou tamtéž uvedeny zásady pro další nakládání s osobními údaji. Tyto zásady se dále prolínají závěrečnou částí, která je věnována výkladu vybraných ustanovení nařízení, se kterými se v prostředí školství můžeme setkat.
Pro koho je tato metodika určena?
Metodika je adresována všem osobám, které v rámci své činnosti v oblasti školství přicházejí do styku s problematikou osobních údajů. Může se jednat například o:
• ředitele škol a školských zařízení,
• rektory vysokých škol a další akademické pracovníky,
• učitele,
• hospodáře a účetní škol,
• zaměstnance krajských a obecních úřadů,
• správce sítě, jiné pracovníky IT a další.
Co je GDPR?
Dne 25. 5. 2018 nabývá účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení“), které spolu se zákonem o zpracování osobních údajů (jehož návrh je aktuálně v legislativním procesu) nahradí dosavadní právní úpravu, tj. zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.
Nová právní úprava neznamená zásadní předěl v přístupu k ochraně osobních údajů, pouze se nad rámec dosavadní praxe stanoví několikero nových povinností pro správce a zpracovatele a práv subjektů, jejichž osobní údaje se zpracovávají. Základní principy spojené s nakládáním s osobními údaji, kterými je nutno se řídit v současné době se nikterak nemění. Lze tedy shrnout, že pokud byly osobní údaje zpracovávány v souladu se zákonem o ochraně osobních údajů, pak nebude nutné příliš do zavedených postupů zasahovat. V této souvislosti je nutné si nicméně uvědomit, že osobním údajem je například i jméno a příjmení konkrétní osoby, příp. jakýkoliv jiný údaj, který umožní konkrétní osobu ztotožnit (tedy i telefonní číslo, emailová adresa, bydliště atp.). Z novinek obsažených v nové právní úpravě lze uvést povinnost správce vést záznamy o činnostech zpracování, povinnost jmenovat pověřence pro ochranu osobních údajů. Novým postupem je potom ohlašování případů porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů. Rozšíření práv subjektu údajů lze spatřovat v právu na přenositelnost osobních údajů od jednoho správce k druhému.
Škola či školské zařízení obvykle zpracovává především osobní údaje učitelů, žáků, rodičů žáků a dalších zákonných zástupců nebo dokonce třetích osob (babička, dědeček, teta, chůva, sousedka). Tito lidé mají mimo jiné právo na to, aby jejich osobní údaje byly po určité době vymazány, resp. bylo na ně zapomenuto. Nejedná se však o právo nové, neboť jej znala již předcházející právní úprava.
Ačkoli se tedy jedná o kontinuitu v přístupu k ochraně osobních údajů, nelze odhlížet od toho, že nová právní úprava je mnohem podrobnější, než byla ta dosavadní. Z tohoto důvodu rovněž Ministerstvo školství, mládeže a tělovýchovy (dále jen „ministerstvo“) přistoupilo ke zpracování této metodické pomůcky.
Co se musí udělat do dne nabytí účinnosti nařízení (tedy do dne 25. 5. 2018)?


• kontrola údajů, které se zpracovávají, je tedy třeba prověřit, zda
o zda je tak činěno na základě zákona nebo se souhlasem (osobní údaje, jejichž zpracování vyplývá ze zákona lze bez dalšího zpracovávat, ke zpracování ostatních údajů je třeba souhlas); o zda nejsou zpracovávány údaje nad rámec zákona (je třeba si položit otázku, zda zpracování všech dotčených údajů skutečně ze zákona vyplývá, tedy zda skutečně nedochází ke zpracování nad rámec stanovený zákonem); o zda údaje, které škola či školské zařízení zpracovává, jsou skutečně potřebné pro její činnost (např. uvedení zaměstnání rodičů/prarodičů ve formuláři pro vyzvedávání dítěte ze školy či školní družiny nejspíše není nutným údajem, kterým škola potřebuje v tomto smyslu disponovat); o zda všechny takto zpracovávané údaje jsou zpracovávány řádně a v souladu s právními předpisy (např. bude třeba zkontrolovat zpracovatelské smlouvy, které má škola doposud uzavřeny s poskytovateli informačních systémů či jiných IT služeb, v rámci kterých jsou zpracovávány osobní údaje žáků; kontrola zejména způsobu zpracování, přístupu jednotlivých osob do systému, zabezpečení a další), blíže viz komentář k čl. 6;

• kontrola poskytnutých souhlasů se zpracováním, zda tyto mají náležitosti dle nařízení - především konkrétní rozsah zpracovávaných údajů (výčet), konkrétní účel (blíže viz komentář k čl. 6) a doba zpracování (např. kontrola souhlasu k použití fotografií studentů do školního identifikačního průkazu). V tomto smyslu lze doporučit, aby byly poskytované souhlasy formulovány dostatečně konkrétně (např. „Souhlasím po dobu školního roku x/y se zveřejněním fotografií mého dítěte pořízených během akcí mateřské školy na webových stránkách školy, pokud nebude podobizna dítěte spojena s jeho jménem.“);
• kontrola uzavřených smluv s informačními společnostmi, na základě nichž se zpracovávají osobní údaje prostřednictvím informačního systému provozovaného externím dodavatelem – zejména kontrola rozsahu, účelu a doby zpracování. Je třeba si zejména uvědomit, zda informační systém škola vlastní, tedy k němu má zdrojové kódy a zpracovává jej sama, či data v něm obsažená spravuje třetí osoba (poskytovatel informačních služeb), která se stará, aby informační systém fungoval. Je tedy nutná kontrola obsahu smlouvy, a to zejména co do podmínek přístupu jednotlivých třetích osob k osobním údajům vedeným v systémech. Je odpovědností smluvních stran (škola a poskytovatel služeb), aby zajistily, že plnění smlouvy bude probíhat v souladu se zákonem a nařízením. Textace smluv by měla odpovídat záměru předcházet případnému nezákonnému zpracování osobních údajů, a to včetně nastavení vhodných opatření k nápravě, popř. sankcí;
• změna smluv, které odporují nařízení, eventuálně uzavření smluv se zpracovateli, pokud se tak doposud nestalo, viz předchozí bod – je nutné přenastavit smluvní podmínky tak, aby byly osobní údaje jak žáků, či studentů, ale také např. pedagogických pracovníků či zákonných zástupců a dalších rodinných příslušníků chráněny před možným zneužitím;
• jmenování pověřence pro ochranu osobních údajů, který naplňuje požadavky dle čl. 37 nařízení. Půjde o osobu „konzultanta“, který rozumí jak zpracovávání osobních údajů, tak chodu školy, a který tedy bude prakticky řešit situace, které při zpracovávání osobních údajů nastanou a mohou nastat. Nařízení nestanoví přesně kvalifikační předpoklady pověřence, umožňuje, aby jeden pověřenec fungoval pro vícero zařízení; podrobněji viz komentář k čl. 37 - 39 nařízení.
• Výsledkem všech výše uvedených kroků je vytvoření funkčního systému ochrany osobních údajů včetně jeho kontrolních mechanismů, aby se do budoucna zabránilo jakémukoliv potenciálnímu zneužití osobních údajů. Školy a školská zařízení by měla minimalizovat zpracovávání osobních údajů a snažit se o maximální pseudonymizaci osobních údajů tam, kde je to možné a účelné. Výsledkem takového procesu může být také případné přijetí vnitřního předpisu, ve kterém se nastavený systém ochrany osobních údajů popíše včetně pravidel pro nakládání a další zpracovávání osobních údajů. Více viz komentář k čl. 32 nařízení.
Hlavní novinky v ochraně osobních údajů dle nařízení (tedy od 25. 5. 2018)
• zavedení institutu pověřence dle čl. 37 - 39 nařízení,
• úprava postupu, jakým se může subjekt údajů obracet na správce či zpracovatele, včetně povinnosti správce ve stanovené lhůtě žádosti vyhovět nebo informovat subjekt údajů o nepřijetí požadovaných opatření, spolu s informací o možnosti podat stížnost u dozorového úřadu či soudu v čl. 12 nařízení (např. formou interního předpisu přijatého ředitelem školy a zveřejněného na internetových stránkách, úřední desce školy apod.; v této souvislosti upozorňujeme, že žádný vnitřní předpis nemůže omezit právo subjektu údajů žádat informace od správce nebo zpracovatele jeho osobních údajů, stejně tak vnitřní předpis přijatý správcem nebo zpracovatelem nezavazuje subjekt údajů, ten se svého práva může domáhat pouze na základě nařízení bez omezení),
• v souvislosti s nabídkou služeb informační společnosti je nově možné, aby souhlas se zpracováním osobních údajů vyjádřilo samo dítě, což je vázáno na určenou věkovou hranici (dle nařízení může udělit souhlas dítě od 16 let, přičemž jednotlivé členské státy mohou hranici snížit až na 13 let; v návrhu české právní úpravy – zákona o zpracování osobních údajů – se předběžně počítá s věkem 13 let),
• právo vznést námitku proti zpracování osobních údajů v případě, že dochází ke zpracování údajů nezbytnému pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce (např. zpracování osobních údajů uchazeče o studium při přijímacím řízení), případně pro účely oprávněných zájmů příslušného správce či třetí strany dle čl. 21 nařízení,
• rozšíření důvodů, pro které je možné požadovat po správci omezení zpracování údajů dle čl. 18 nařízení (dříve tzv. blokace dle § 5 odst. 1 písm. c) zákona č. 101/2000 Sb.); to neznamená, že došlo k úplnému zákazu zpracovávání, blíže viz čl. 18,
• výslovná úprava tzv. „práva být zapomenut“ v čl. 17 odst. 2 nařízení, tedy povinnosti správce, který osobní údaje zveřejnil a je povinen je vymazat, informovat všechny další správce, kteří tyto osobní údaje zpracovávají, že subjekt údajů žádá o výmaz veškerých odkazů na tyto osobní údaje, jejich kopie či replikace,
• „právo na přenositelnost údajů“ dle čl. 20 nařízení v případě zpracovávání osobních údajů na základě souhlasu či za účelem splnění smlouvy, pokud se zároveň provádí zpracování automatizovaně, má subjekt údajů právo získat osobní údaje, které se ho týkají ve strukturovaném, strojově čitelném formátu, případně může správce požádat, aby jeho osobní údaje byly takto poskytnuty správci dalšímu,
• ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a subjektu údajů za podmínek uvedených v čl. 33 a 34 nařízení,
• povinnost vedení záznamů o činnostech zpracování v rozsahu a za podmínek upravených v čl. 30 nařízení,
• zpřísnění podmínek předávání osobních údajů do třetích zemí nebo mezinárodním organizacím dle čl. 44 a násl. nařízení. Předávání osobních údajů do třetí země, kterou se rozumí stát, jenž není členem Evropské unie, se bude moci uskutečnit předně, pokud Evropská komise rozhodla, že bude zajištěna odpovídající úroveň ochrany a takové rozhodnutí uveřejnila v Úředním věstníku Evropské unie a na svých stránkách, případně za splnění podmínek čl. 46 nařízení.
Instituty, se kterými se škola nebo školské zařízení může například při ochraně osobních údajů setkat (od 25. 5. 2018)
• žádosti subjektů údajů uplatňujících práva na přístup k osobním údajům, opravu či výmaz osobních údajů, případně omezení jejich zpracování dle čl. 15 a násl. nařízení,
• uplatnění práva na informace dle čl. 13 a násl. nařízení,
• uplatnění práva podat námitku proti zpracování osobních údajů dle čl. 21 nařízení.
Základní zásady přístupu k ochraně osobních údajů
1. Řídit se nařízením a zákonem o zpracování osobních údajů
Nařízení působí přímo a je třeba s ním pracovat jako se zákonem – bez dalšího jednat v souladu s ním a plnit povinnosti v něm uvedené, stejně tak práva jím založená lze vyžadovat a vymáhat přímo. Upozorňujeme, že nařízení neobsahuje přechodná ustanovení, proto musí jím stanovené povinnosti být plněny ihned po nabytí účinnosti – dnem 25. 5. 2018. K témuž datu musí být do souladu s nařízením uvedeny všechny postupy a způsoby zpracovávání osobních údajů a také všechny smlouvy a jiné právní dokumenty.
Doporučení: Nařízení a zákon o zpracování osobních údajů je vhodné mít při ruce a pracovat s ním. Pro pochopení smyslu je nezbytné přečíst i preambuli nařízení a pracovat s ní při další aplikaci tohoto nařízení.
2. Přistupovat k nové právní úpravě racionálně a se zralou úvahou
Nová právní úprava nemá revoluční povahu, prohlubuje stávající právní úpravu. Novinky, které přináší, nelze označit za revoluci. Jde zejména o povinnost vést záznamy o činnostech zpracování, povinnost jmenovat pověřence pro ochranu osobních údajů, informační povinnost vůči subjektu údajů, povinnost ohlašovat případy porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů; rozšíření práv subjektu údajů lze spatřovat v právu subjektu údajů na přenositelnost osobních údajů od jednoho správce k druhému.
Doporučení: Při zpracování osobních údajů vždy zohledňovat základní zásady zpracování dle čl. 5 nařízení – zákonnost, korektnost, transparentnost, účelové omezení, minimalizace údajů, přesnost, omezené uložení, integrita a důvěrnost, odpovědnost správce (viz dále).
Vždy je nutné zvážit nezbytnost zpracovávání konkrétních osobních údajů – údajů spojených pevně s konkrétním člověkem. Pokud možno používat anonymizovaná data, z nichž nelze identifikovat konkrétního člověka. Např. v případě informování o poskytnutých podpůrných opatřeních (i pro účely statistické) lze data jistě anonymizovat tak, že se sdělí počet žáků nebo studentů a poskytnutých podpůrných opatření, nebo v případě poptávání vegetariánské stravy pro žáky nebo studenty, lze poptávat pouze počet porcí pro počet žáků nebo studentů, nikoli pro konkrétní žáky nebo studenty. Rovněž je třeba zvážit, ve kterých případech jsou konkrétní osobní údaje opravdu třeba (např. kdy je skutečně třeba znát povolání otce a matky).
Dále je třeba upozornit na to, že ochrana osobních údajů úzce souvisí s ochranou soukromí člověka, resp. s ochranou osobnosti, kterou upravují jiné právní předpisy, zejména zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů. Zásadně platí, že do soukromí člověka nelze zasahovat, zároveň pak platí, že nelze nezákonně zpracovávat osobní údaje osob. Z této zásady existují zákonem vymezené výjimky, které jsou upraveny zejména ustanoveními § 87, § 88 a § 89 občanského zákoníku. Do práva na soukromí nezasahuje ten (roz. oprávněně zpracovává osobní údaje a případně je dále používá ten), kdo pořizuje osobní údaje (např. fotografie) za účelem výkonu nebo ochrany práv osob. Jako příklad lze uvést pořízení nebo použití fotografií nebo záznamů o šikaně nebo jiném protiprávním jednání, dokumentace úrazů apod. Dalším z příkladů oprávněného zpracovávání osobních údajů může být situace, kdy se záznam nebo fotografie pořizuje k úřednímu účelu, např. při styku s rodiči v souvislosti s řešením stížností, závažných výchovných nebo vzdělávacích otázek spojených s konkrétním žákem apod.
Dalším oprávněným zásahem do soukromí (tedy povoleným zpracováváním osobních údajů jejich pořízením nebo použitím) jsou tzv. vědecké, umělecké nebo zpravodajské licence (např. oprávnění novináře natáčet i bez souhlasu). Jako příklad lze uvést pořizování fotografií z veřejných akcí pořádaných školou pro novinářské či reportážní účely (např. do školních novin nebo místního zpravodaje). Od reportážních účelů je třeba odlišit pořizování fotografií výhradně za účelem propagace či zvýšení zájmu žáků o studium na dané škole (na tuto situaci už tzv. zpravodajská licence nedopadá). Proto je u jednotlivých fotografií třeba rozlišit, zda je focena konkrétní osoba, která o pořizování snímků své osoby ví, konkludentně s ním souhlasí (např. pózuje a nic nenamítá) a zároveň ví, jak bude s fotografií nakládáno, nebo zda je pořizována fotografie velké skupiny osob pouze pro ilustrační účely. Zde není z povahy věci třeba trvat na souhlasu osob, jestliže není možné osoby jednotlivě rozpoznat.
Závěrem zdůrazňujeme, že všechny zákonné výjimky musí být využívány přiměřeným způsobem, v souladu s pravidly slušnosti a obvyklého chování v občanské společnosti (preambule Ústavy).
3. Rozlišovat zpracování osobních údajů na základě zákona a na základě souhlasu
Není třeba se zásadně čehokoli obávat při zpracování osobních údajů na základě zákona [(např. na základě zákona č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), ve znění pozdějších předpisů, zákona č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů, (zákon o vysokých školách)]; zákonná povinnost má totiž přednost před postojem subjektu údajů. V případě zákonného zpracování souhlas subjektu údajů není potřebný ani relevantní.
Za zákonné zpracování se považuje a souhlas tudíž nevyžaduje zpracování zpracovatelem na základě smlouvy se správcem za předpokladu, že se jedná pouze o způsob zpracování vyplývající z povinnosti stanovené správci zákonem. Dále se za zákonné zpracování považuje zpracování nezbytné pro plnění povinnosti školy, zpracování pro ochranu práv školy nebo jejích oprávněných zájmů (práva plynoucí ze smlouvy, práva školy jako věřitele, práva školy spojená se správním, soudním, trestním řízením) nebo zpracovávání ve veřejném zájmu.
Od předchozí situace je nutné rozlišit zpracování nad rámec zákona (tedy když zákon přímo nepamatuje na konkrétní situaci) – jako příklad lze uvést např. umístění fotografií žáků na internetové stránky školy. Je však třeba zohlednit, že plnění zákonné povinnosti může být chápáno rozličně, přičemž zpracovávání osobních údajů na základě zákona by mělo být prováděno plně v souladu s účelem – nezpracovávat údaje v množství, v čase a rozsahu, který nepotřebuji (roz. nepotřebuji pro plnění zákonné povinnosti).
Příklady zpracování údajů na základě zákona:
• údaje zpracovávané školami či školskými zařízení v rámci školních matrik (§ 28 školského zákona),
• údaje z přihlášky uchazečů o přijetí do oborů vzdělání s maturitní zkouškou předává škola Centru (§ 60a školského zákona),
• údaje z přihlášek k maturitě předávané ředitelem školy Centru (§ 81 školského zákona),
• údaje evidované ministerstvem ohledně řízení o žádostech o uznání rovnocennosti zahraničního vysvědčení v České republice nebo nostrifikace (§ 108 školského zákona),
• údaje zapisované do rejstříku škol a školských zařízení a ŠPO (školských právnických osob) (§ 144 a § 154 školského zákona),
• vedení osobní dokumentace dětí při výkonu ústavní výchovy nebo ochranné výchovy ve školských zařízeních dle § 34 zákon o výkonu ústavní výchovy nebo ochranné výchovy ve školských zařízeních a o preventivně výchovné péči ve školských zařízeních,
• údaje zpracovávané v rámci Školní evidence uměleckých výstupů (§ 77c zákona o vysokých školách) – vede vysoká škola (registr vede ministerstvo),
• údaje zpracovávané v souvislosti se Seznamem hodnotitelů (§ 83e zákona o vysokých školách) – vede Akreditační úřad,
• údaje zpracovávané v Registru docentů, profesorů a mimořádných profesorů (§ 87b zákona o vysokých školách) – vede ministerstvo,
• údaje v matrice studentů (§ 88 zákona o vysokých školách) – vede vysoká škola,
• údaje evidované v Registru řízení o žádostech o uznání zahraničního vysokoškolského vzdělání a kvalifikace (§ 90b zákona o vysokých školách) – vede ministerstvo.
Podle zvláštních zákonů se dále předávají osobní údaje zpracovávané na základě zákona bez dalšího jiným orgánům nebo institucím - např. Česká správa sociálního zabezpečení, zdravotní pojišťovna, Policie ČR, Orgán sociálně-právní ochrany dětí, Generální inspekce bezpečnostních sborů a další; takto poskytované osobní údaje se předávají bez dalšího k plnění zákonem stanovené povinnosti. Mohou nastat situace, kdy zmíněné orgány budou žádat poskytnutí určitých informací, mezi něž mohou být zahrnuty i osobní údaje; v takovém případě se údaje poskytují nikoliv bezprostředně na základě zákona, ale na vyžádání konkrétního orgánu, který v žádosti musí prokázat zákonný důvod takového požadavku.
Doporučení: Zcela výjimečně v krajním případě důvodných pochybností o tom, zda zpracování konkrétních údajů má oporu v zákoně, lze doporučit obstarat si výslovný konkrétní informovaný souhlas subjektu údajů; byť je tento souhlas odvolatelný. To platí také v případě zpracování osobních údajů získaných na základě zákona nad rámec účelu vymezeného zákonem. Např. škola je oprávněna zpracovávat osobní údaje týkající se poskytnutých podpůrných opatření dle § 16 školského zákona, a to výslovně dle § 28 odst. 2 písm. f) téhož zákona. V případě, že údaje o poskytnutém podpůrném opatření konkrétnímu žákovi nebo studentovi bude chtít škola zpracovávat dále - evidovat jinde než v dokumentaci školy, poskytnout tyto osobní údaje třetí osobě (např. zřizovateli pro účely zanesení do jeho informačních systémů, poskytovatelům doučovacích kurzů nebo prodejcům speciálních školních pomůcek apod.) musí si škola za tímto účelem obstarat předchozí souhlas žáka, studenta nebo zákonného zástupce.
Jako zvláštní případ upozorňujeme, že zpracovávání osobních údajů při realizaci poskytování dotací (roz. dotační řízení počínaje podanou žádostí, přes kontrolu čerpání až po udržitelnost projektu) nebo pro potřeby monitoringu projektů (čerpání finančních prostředků) hrazených z operačních programů Evropské unie nemá zásadně výslovnou oporu v zákoně; výjimku lze spatřovat v čl. 125 odst. 2 písm. d) a e) Nařízení Evropského Parlamentu a Rady č. 1303/20131, podle kterého je mimo jiné možné zpracovávat osobní údaje osob podpořených z dotace, které se uchovávají a zaznamenávají v počítačových systémech o každé operaci nezbytné pro realizaci čerpání dotace, podrobněji viz stanovisko Úřadu pro ochranu osobních údajů k této otázce2. V případech, jenž neodpovídají výše uvedené výjimce, je tedy třeba vycházet z toho, že souhlas subjektu údajů se zpracováním jeho údajů pro účely shromažďování údajů nezbytných pro zpracování žádosti o dotaci, pro účely žádání o dotaci, případně pro účely spojené s čerpáním prostředků z dotace musí být zajištěn, a to po celou dobu zpracovávání osobních údajů (včetně archivace vyžadované unijními předpisy). Ochranu osobních údajů dotčených osob je pak třeba mít na paměti i při práci v informačních (tzv. monitorovacích) systémech, které jsou při čerpání dotací hojně používány, a rovněž je třeba na ni dbát od počátku zpracování, tzn. typicky již ve fázi před podáním žádosti o poskytnutí dotace.
4. Prověřit, kde, mimo zákonnou oporu, jsou osobní údaje školou nebo školským zařízením zpracovávány
Správce osobních údajů musí vždy posuzovat zákonnost zpracování osobních údajů. Pokud nedochází ke zpracování osobních údajů na základě zákona (kterým se nerozumí pouze školský zákon nebo zákon o vysokých školách, ale též občanský zákoník, správní řád, trestní řád apod.), musí být splněna jiná podmínka pro zpracování daná nařízením, ve většině případů bude možné zpracovávat údaje pouze na základě souhlasu subjektů.
Doporučení: Školy a školská zařízení by měly dostatečně předem před nabytím účinnosti nařízení (25. 5. 2018) prověřit, ve kterých případech zpracovávají osobní údaje, aniž by jim to ukládal zákon (např. kde mimo zákonem vymezenou dokumentaci školy). V těchto případech je nezbytně a bezpodmínečně třeba ke zpracování osobních údajů mít nebo získat souhlas subjektu údajů nebo zákonného zástupce. Může se jednat kupř. o informační systémy spravované externím správcem (zpracovatelem), který má také přístup k údajům evidovaným nad rámec zákona (např. číslo účtu rodičů uvedené v informačním systému k evidenci obědů ve školní jídelně, aniž by ke zpracování čísla účtu školou rodiče vůbec dali souhlas apod.). Někteří zákonní zástupci žáků mohou trvat na listinné podobě některých dokumentů, pokud
1
Nařízení Evropského Parlamentu a Rady č. 1303/2013 o společných ustanoveních o Evropském fondu pro regionální rozvoj, Evropském sociálním fondu, Fondu soudržnosti, Evropském zemědělském fondu pro rozvoj venkova a Evropském námořním a rybářském fondu, o obecných ustanoveních o Evropském fondu pro regionální rozvoj, Evropském sociálním fondu, Fondu soudržnosti a Evropském námořním a rybářském fondu a o zrušení nařízení Rady (ES) č. 1083/2006. 2 Stanovisko č. 2/2016, ke zpracování osobních údajů účastníků při poskytování finanční podpory z evropského sociálního fondu.
zákon výslovně nepočítá s elektronickou formou (listinná žákovská knížka), jako tomu bylo v nedávné minulosti.
5. Udělit souhlas se zpracováním osobních údajů je právo člověka, nikoli povinnost
K udělení souhlasu se zpracováním osobních údajů žáci, studenti nebo zákonní zástupci žáků nemohou být jakkoli nuceni. Např. nelze doporučit spojovat podpis souhlasu se zpracováním konkrétních osobních údajů, za konkrétním účelem a na předem určenou dobu s podpisem jiného dokumentu, např. seznámení se školním řádem, studijním řádem, provozním řádem. V opačném případě by správce nebo zpracovatel osobních údajů musel zajistit souhlas 100% subjektů údajů (žák, student nebo zákonný zástupce), a to navíc pro konkrétní účel, konkrétní omezený rozsah údajů a na konkrétní dobu.
Souhlas se zpracováním osobních údajů může být formulován např. takto:
„Já paní XY dávám výslovný souhlas ke zpracování těchto osobních mých osobních údajů ... nebo osobních údajů o mém dítěti AA (např. fotografie), a to pro účel:
- propagace školy a její činnosti na webových stránkách školy XX ve školním roce 2018/2019 (po dobu studia),
- zveřejnění v propagačních materiálech školy nebo pro účel účasti na školní olympiádě pořádané BB v prosinci 2018,
- účasti na školní soutěži CC v roce 2018, včetně předání osobních údajů pořadateli vyššího kola soutěže a Ministerstvu školství, mládeže a tělovýchovy,
- zpracování školní ročenky pro rok 2018 a jejího dokumentačního a historického významu apod.“.
„Já paní XY dávám výslovný souhlas ke zpracování mých osobních údajů v rozsahu ..... za účelem vedení údajů v rámci absolventského portálu Univerzity YZ, a to po celou dobu existence tohoto portálu.“.
Je třeba si uvědomit, že ten, kdo poskytl souhlas se zpracováním, může kdykoliv po dobu zpracování předmětných údajů, souhlas odvolat; toto je zákonné právo subjektu údajů. K tomuto blíže viz komentář k čl. 6 a 7 nařízení níže.
6. Respektovat právo člověka být vymazán, respektovat právo člověka nechtít, aby jeho osobní údaje byly zpracovávány mimo zákonný rámec
Doporučení: Osobní údaje, které škola nebo školské zařízení zpracovává, je žádoucí nepředávat jiným osobám soukromého práva (např. za účelem nabízení knih apod.), ledaže by to bylo nezbytně nutné (informační systém školy) pro chod školy (docházkový systém), pro efektivní vzdělávání. Vždy je třeba ale subjekt údajů informovat v souladu s čl. 13 a čl. 14 nařízení, opatřit souhlas, neboť často nepůjde v případě předávání osobních údajů třetím osobám o zpracování na základě zákona.
7. Poskytovat informace žákům, studentům nebo zákonným zástupcům žáků, komunikovat
Doporučení: Informace a poučení o nezbytnosti a potřebě zpracovávat na základě zákona osobní údaje o žácích, studentech apod. je žádoucí žákům, studentům či jejich zákonným zástupcům poskytovat minimálně jednou až dvakrát ročně při pravidelných setkáních učitelů s rodiči nebo elektronicky. Doporučuje se vše vysvětlit, resp. vysvětlovat v kontextu ochrany osobních údajů, uvést zákonné důvody, nebo jiné důvody, pro které se žádá souhlas rodičů a dalších zákonných zástupců se zpracováním.
8. Kontrolovat a před nabytím účinnosti nařízení zkontrolovat smlouvy uzavřené mezi školou nebo školským zařízením a společností poskytující informační systémy, případně všechny další smlouvy, na jejichž základě by bylo možné očekávat zpracovávání osobních údajů
Doporučení: Jednotlivé smlouvy uzavřené mezi školou nebo školským zařízením a společností poskytující informační systémy je třeba projít a prověřit, zda dostatečně upravují právo školy (školského zařízení) omezit, případně zakázat poskytování předaných osobních údajů třetím osobám, a právo zamezit zpracování osobních údajů jinak, než je v zájmu školy (školského zařízení), potažmo v zájmu subjektu údajů (žáci, studenti, rodiče); tento zájem do smluv výslovně uvést jako účel smlouvy nebo jej vtělit do předmětu smlouvy.
Lze zpracovávat pouze osobní údaje nezbytně nutné k výkonu konkrétních činností (např. nadbytečné je zpracování údajů o povolání rodičů na formulářích k vyzvedávání dětí ze školní družiny).
U těch smluv, ve kterých tato práva nebudou dostatečně zakotvena, doporučuje se vyjednat jejich změnu. Pokud to nebude možné z důvodu nesouhlasu druhé smluvní strany, bude namístě smlouvu vypovědět s odůvodněním, že je v rozporu s nařízením nebo zákonem o zpracování osobních údajů, nebo ukončit dohodou.
Zdůrazňuje se, že škola, resp. ředitel školy je odpovědný za porušení práv žáků, studentů, zákonných zástupců a dalších osob při ochraně osobních údajů, a to včetně povinnosti nahradit porušením případně způsobenou újmu.
9. Pohlížet na nařízení jako na právní předpis ke zvýšení bezpečnosti a ochrany práv žáků, učitelů i dalších zúčastněných osob.
Nelze zanedbat ani jeho preventivní a výchovnou funkci ve vztahu k ochraně osobních údajů, zejména v době rozvíjejících se informačních technologií.
Každé zpracování osobních údajů je potřeba konfrontovat nejen s výše uvedenými principy, ale zejména se základními zásadami pro zpracování osobních údajů výslovně vyjmenovanými a upravenými v čl. 5 nařízení (viz níže).
Doporučení k aplikaci stěžejních článků nařízení v kontextu zákona o zpracování osobních údajů
Obsah nařízení
Preambule (rozdělená na jednotlivé recitály)
I. Kapitola – Obecná ustanovení
Článek 1 – Předmět a cíle Článek 2 – Věcná působnost Článek 3 – Místní působnost Článek 4 – Definice
II. Kapitola – Zásady
Článek 5 – Zásady zpracování osobních údajů Článek 6 – Zákonnost zpracování Článek 7 – Podmínky vyjádření souhlasu Článek 8 – Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnosti Článek 9 – Zpracování zvláštních kategorií osobních údajů Článek 10 – Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů Článek 11 – Zpracování, které nevyžaduje identifikaci
III. Kapitola – Práva subjektu údajů
Článek 12 – Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů Článek 13 – Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů Článek 14 – Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů Článek 15 – Právo subjektu údajů na přístup k osobním údajům Článek 16 – Právo na opravu Článek 17 – Právo na výmaz („právo být zapomenut“) Článek 18 – Právo na omezení zpracování Článek 19 – Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování Článek 20 – Právo na přenositelnost údajů Článek 21 – Právo vznést námitku Článek 22 – Automatizované individuální rozhodování, včetně profilování Článek 23 – Omezení
IV. Kapitola – Správce a zpracovatel
Článek 24 – Odpovědnost správce Článek 25 – Záměrná a standardní ochrana osobních údajů Článek 26 – Společní správci Článek 27 – Zástupci správců nebo zpracovatelů, kteří nejsou usazeni v Unii Článek 28 – Zpracovatel Článek 29 – Zpracování z pověření správce nebo zpracovatele Článek 30 – Záznamy o činnostech zpracování Článek 31 – Spolupráce s dozorovým úřadem Článek 32 – Zabezpečení zpracování Článek 33 – Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu Článek 34 – Oznamování případů porušení zabezpečení osobních údajů subjektu údajů Článek 35 – Posouzení vlivu na ochranu osobních údajů Článek 36 – Předchozí konzultace Článek 37 – Jmenování pověřence pro ochranu osobních údajů Článek 38 – Postavení pověřence pro ochranu osobních údajů Článek 39 – Úkoly pověřence pro ochranu osobních údajů Článek 40 – Kodexy chování Článek 41 – Monitorování schválených kodexů chování Článek 42 – Vydávání osvědčení Článek 43 – Subjekty pro vydávání osvědčení
V. Kapitola – Předávání osobních údajů
Článek 44 – Obecná zásada pro předávání Článek 45 – Předání založené na rozhodnutí o odpovídající ochraně Článek 46 – Předávání založené na vhodných zárukách Článek 47 – Závazná podniková pravidla Článek 48 – Předání či zveřejnění údajů nepovolená právem Unie Článek 49 – Výjimky pro specifické situace Článek 50 – Mezinárodní spolupráce v zájmu ochrany osobních údajů
VI. Kapitola – Nezávislé dozorové úřady
Článek 51 – Dozorový úřad Článek 52 – Nezávislost Článek 53 – Obecné podmínky pro členy dozorového úřadu Článek 54 – Pravidla pro zřízení dozorového úřadu Článek 55 – Příslušnost Článek 56 – Příslušnost vedoucího dozorového úřadu Článek 57 – Úkoly Článek 58 – Pravomoci
Článek 59 – Zprávy o činnosti
VII. Kapitola – Spolupráce a jednotnost
Článek 60 – Spolupráce mezi vedoucím dozorovým úřadem a dalšími dotčenými dozorovými úřady Článek 61 – Vzájemná pomoc Článek 62 – Společné postupy dozorových úřadů Článek 63 – Mechanismus jednotnosti Článek 64 – Stanovisko sboru Článek 65 – Řešení sporů sborem Článek 66 – Postup pro naléhavé případy Článek 67 – Výměna informací Článek 68 – Evropský sbor pro ochranu osobních údajů Článek 69 – Nezávislost Článek 70 – Úkoly sboru Článek 71 – Zprávy Článek 72 – Postup Článek 73 – Předseda Článek 74 – Úkoly předsedy Článek 75 – Sekretariát Článek 76 – Důvěrnost
VIII. Kapitola – Právní ochrana, odpovědnost a sankce
Článek 77 – Právo podat stížnost u dozorového úřadu Článek 78 – Právo na účinnou soudní ochranu vůči dozorovému úřad Článek 79 – Právo na účinnou soudní ochranu vůči správci nebo zpracovateli Článek 80 – Zastupování subjektů údajů Článek 81 – Přerušení řízení Článek 82 – Právo na náhradu újmy a odpovědnost Článek 83 – Obecné podmínky pro ukládání správních pokut Článek 84 – Sankce
IX. Kapitola – Ustanovení týkající se zvláštních situací
Článek 85 – Zpracování a svoboda projevu a informací Článek 86 – Zpracování a přístup veřejnosti k úředním dokumentům Článek 87 – Zpracování národních identifikačních čísel Článek 88 – Zpracování v souvislosti se zaměstnáním Článek 89 – Záruky a odchylky týkající se zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely Článek 90 – Povinnost mlčenlivosti
Článek 91 – Zavedená pravidla pro ochranu údajů uplatňovaná církvemi a náboženskými sdruženími
X. Kapitola – Akty v přenesené pravomoci a prováděcí akty
Článek 92 – Výkon přenesené pravomoci Článek 93 – Postupy projednávání ve výboru
XI. Kapitola – Závěrečná ustanovení
Článek 94 – Zrušení směrnice 95/46/ES Článek 95 – Vztah ke směrnici 2002/58/ES Článek 96 – Vztah k dříve uzavřeným dohodám Článek 97 – Zprávy Komise Článek 98 – Přezkum jiných právních aktů Unie v oblasti ochrany údajů Článek 99 – Vstup v platnost a použitelnost
K čl. 4 nařízení
(dříve ustanovení § 4 zákona č. 101/2000 Sb.)
Ustanovení čl. 4 nařízení stanoví:
„Definice
Pro účely tohoto nařízení se rozumí:
1) „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
2) „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
3) „omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich
zpracování v budoucnu;
4) „profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;
5) „pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;
6) „evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;
7) „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
8) „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný
subjekt, který zpracovává osobní údaje pro správce;
9) „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;
10) „třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;
11) „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
12) „porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;
13) „genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;
14) „biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;
15) „údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;
16) „hlavní provozovnou“:
a) v případě správce s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, ledaže jsou rozhodnutí o účelech a prostředcích zpracování osobních údajů přijímána v jiné provozovně správce v Unii a tato jiná provozovna má pravomoc vymáhat provádění těchto rozhodnutí, přičemž v takovém případě je za hlavní provozovnu považována provozovna, která tato rozhodnutí přijala;
b) v případě zpracovatele s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, nebo pokud zpracovatel nemá v Unii žádnou ústřední správu, pak ta provozovna zpracovatele v Unii, kde probíhají hlavní činnosti zpracování v souvislosti s činnostmi provozovny zpracovatele, v rozsahu, v jakém se na zpracovatele vztahují specifické povinnosti podle tohoto nařízení;
17) „zástupcem“ jakákoli fyzická nebo právnická osoba usazená v Unii, která je správcem nebo zpracovatelem určena písemně podle článku 27 k tomu, aby správce nebo zpracovatele zastupovala, pokud jde o příslušné povinnosti správce nebo zpracovatele ve smyslu tohoto nařízení;
18) „podnikem“ jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, která běžně vykonávají hospodářskou činnost;
19) „skupinou podniků“ skupina zahrnující řídící podnik a jím řízené podniky;
20) „závaznými podnikovými pravidly“ koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazený na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost;
21) „dozorovým úřadem“ nezávislý orgán veřejné moci zřízený členským státem podle
článku 51;
22) „dotčeným dozorovým úřadem“ dozorový úřad, kterého se zpracování osobních údajů
dotýká, neboť:
a) správce či zpracovatel je usazen na území členského státu tohoto dozorového úřadu;
b) subjekty údajů s bydlištěm v členském státě tohoto dozorového úřadu jsou nebo
pravděpodobně budou zpracováním podstatně dotčeny, nebo
c) u něj byla podána stížnost;
23) „přeshraničním zpracováním“ buď:
a) zpracování osobních údajů, které probíhá v souvislosti s činnostmi provozoven ve více než jednom členském státě správce či zpracovatele v Unii, je-li tento správce či zpracovatel usazen ve více než jednom členském státě; nebo
b) zpracování osobních údajů, které probíhá v souvislosti s činnostmi jediné provozovny správce či zpracovatele v Unii, ale kterým jsou nebo pravděpodobně budou podstatně dotčeny subjekty údajů ve více než jednom členském státě;
24) „relevantní a odůvodněnou námitkou“ námitka vůči návrhu rozhodnutí za účelem posouzení, zda došlo k porušení tohoto nařízení, nebo zda je zamýšlený úkon v souvislosti se správcem či zpracovatelem v souladu s tímto nařízením, která jasně dokazuje významnost rizik vyplývajících z návrhu rozhodnutí, pokud jde o základní práva a svobody subjektů údajů, případně volný pohyb osobních údajů v rámci Unie;
25)
„službou 2015/1535 informační (19);
23 společnosti“ služba ve smyslu čl. 1 odst. 1 písm. b) směrnice (EU)
26) „mezinárodní organizací“ organizace a jí podřízené subjekty podléhající mezinárodnímu právu veřejnému nebo jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě.“.
Čl. 4 nařízení obsahuje definice pojmů a postupů, které souvisejí s nařízením a obecně se zpracováním osobních údajů. Definice pojmů jsou tak pro další práci s nařízením a se zákonem zcela stěžejní, neboť jsou nezbytné k pochopení smyslu jednotlivých částí nařízení ve vzájemné souvislosti a k aplikaci právních předpisů o zpracování osobních údajů do praxe. Pro další práci s nařízením tedy doporučujeme definice pojmů důkladně prostudovat. S pojmy, tak jak jsou definovány výše, pak dále pracuje i toto metodické doporučení.
Zejména je třeba se blíže zaměřit na vysvětlení pojmu „osobní údaj“, a to v kontextu školství. V nařízení je uvedeno, že osobním údajem se rozumí veškerá informace, na základě které lze člověka jako subjekt údajů přímo či nepřímo identifikovat. Je tedy třeba si uvědomit, že může jít v podstatě o jakýkoli údaj související s konkrétním identifikovatelným člověkem (v kontextu školství se může jednat o žáka, ale také např. o učitele, rodiče, třetí osobu apod.), typicky pak může jít např. o jméno a příjmení (včetně jejich použití, např. při tvorbě emailové adresy), datum narození, bydliště, ale může se jednat také o fotografii, nahrávku z kamerového systému apod. Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, o nichž lze rozumně předpokládat, že je správce (škola či školské zařízení) nebo jiná osoba použijí pro přímou či nepřímou identifikaci daného jedince. Pro zajímavost nad rámec výše uvedeného uvádíme, že podle judikatury Evropského soudního dvora je osobním údajem i IP adresa (ze které někdo např. přistupuje na školní web), protože ji mohou ke ztotožnění konkrétního člověka využít orgány činné v trestním řízení ve spolupráci s poskytovatelem připojení, pokud se tento člověk z IP adresy dopustí trestného činu. Lze tedy uzavřít, že okruh údajů, prostřednictvím nichž lze identifikovat člověka, je velice široký.
Úprava ochrany osobních údajů se nevztahuje na anonymní informace, tedy na informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že daná osoba není nebo již přestala být identifikovatelná. V čl. 4 nařízení nalezneme i definici pseudonymizace, kterou může představovat například přidělení číselných kódů jednotlivým uchazečům v přijímacím řízení ke vzdělávání ve střední škole, na základě kterých nebude možné konkrétního uchazeče bez dalších informací identifikovat (identifikace bude možná pouze spojením dokumentu, který obsahuje kód a jméno zároveň, jímž disponuje pouze uchazeč, zákonný zástupce a škola – z toho plyne, že vůči veřejnosti jde o informaci anonymní, ale dovnitř školy jde o informaci spojitelnou s konkrétním subjektem údajů).
Speciální pozornost je pak třeba věnovat tzv. zvláštní kategorii osobních údajů (právní úprava platná před účinností nařízení používala pojmu „citlivé údaje“), která je v nařízení podrobněji rozpracována v čl. 9. Jedná se o takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Ve školském prostředí se pak můžeme setkat zejména s těmi údaji ze zvláštní kategorie, které souvisejí se zdravotním stavem dítěte (např. nemoc nebo zdravotní postižení), náboženským vyznáním, sociální situací či s etnickým původem. K osobním údajům z této zvláštní kategorie je pak třeba přistupovat specificky, podrobněji viz toto metodické doporučení k čl. 9 nařízení.
K čl. 5 nařízení
Ustanovení čl. 5 nařízení stanoví:
„Zásady zpracování osobních údajů
1. Osobní údaje musí být:
a) ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“);
b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 nepovažuje za neslučitelné s původními účely („účelové omezení“);
c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“);
d) přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“);
e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů („omezení uložení“);
f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“);
2. Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit („odpovědnost“).“.
Základní zásady obsažené v čl. 5 nařízení jsou základním vodítkem při zpracování osobních údajů, školy a školská zařízení by z nich měly vždy vycházet. S osobními údaji je třeba zacházet na základě právního důvodu, transparentně, se zřetelem ke stanovenému účelu zpracování, a pouze v nezbytném rozsahu. Konkrétní aplikace jednotlivých zásad dle čl. 5 nařízení se prolíná celým tímto materiálem, a to ve vazbě na jednotlivé instituty.
K čl. 6 nařízení
(dříve § 5 odst. 2 zákona č. 101/2002 Sb.)
Ustanovení čl. 6 nařízení stanoví:
„Zákonnost zpracování
1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více
konkrétních účelů;
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro
provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické
osoby;
e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu
veřejné moci, kterým je pověřen správce;
f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.
2. Členské státy mohou zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto nařízení ohledně zpracování ke splnění odst. 1 písm. c) a e) tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování, a to i u jiných zvláštních situací, při nichž dochází ke zpracování, jak stanoví kapitola IX.
3. Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:
a) právem Unie nebo
b) právem členského státu, které se na správce vztahuje.
Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Tento právní základ může obsahovat konkrétní ustanovení pro přizpůsobení uplatňování pravidel tohoto nařízení, včetně obecných podmínek, kterými se řídí zákonnost zpracování správcem, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje poskytnout, a účelu tohoto poskytování, účelového omezení, doby uložení a jednotlivých operací zpracování a postupů zpracování, jakož i dalších opatření k zajištění zákonného a spravedlivého zpracování, jako jsou opatření pro jiné zvláštní situace, při nichž dochází ke zpracování, než stanoví kapitola IX. Právo Unie nebo členského státu musí splňovat cíl veřejného zájmu a musí být přiměřené sledovanému legitimnímu cíli.
4. Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:
a) jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného
dalšího zpracování;
b) okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty
údajů a správcem;
c) povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 9 nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle článku 10;
d) možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;
e) existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.“.
Podmínka zákonnosti zpracování osobních údajů se považuje za splněnou, pokud ke zpracování dojde zejména na základě některého z níže uvedených důvodů. Prvním důvodem je právní předpis, tj. v kontextu ochrany osobních údajů se jedná o nařízení, zákon o zpracování osobních údajů, zákon č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), ve znění pozdějších předpisů, vyhlášku č. 364/2005 Sb., o vedení dokumentace škol a školských zařízení a školní matriky a o předávání údajů z dokumentace škol a školských zařízení a ze školní matriky (vyhláška o dokumentaci škol a školských zařízení), ve znění pozdějších předpisů aj., ale i o mezinárodní smlouvy prezidentského typu (do úvahy připadají především Úmluva o ochraně lidských práv a základních svobod, Úmluva o právech dítěte nebo Úmluva o právech osob se zdravotním postižením). Tudíž, je-li pro zpracování osobních údajů opora v právním předpise, pak od subjektu, jehož osobní údaje jsou zpracovávány, není na místě vyžadovat poskytnutí souhlasu se zpracováním.
Příkladem budiž vedení dokumentace škol a školských zařízení ve smyslu § 28 školského zákona a vyhlášky č. 364/2005 Sb. Postoj subjektu, jehož osobní údaje se zpracovávají, ani jeho zákonného zástupce, není pro školu relevantní.
Dále se může jednat o situace, s nimiž počítá čl. 6 odst. 1 nařízení, tj. mimo jiné o případy ochrany životně důležitých zájmů člověka, typicky ochrana života a zdraví.
Druhým důvodem, při jehož splnění lze zpracování osobních údajů považovat za zákonné a tedy oprávněné, je souhlas subjektu, jehož osobní údaje se zpracovávají. Tento druhý důvod dopadá na ty situace, které nepokrývá zákonem stanovená povinnost zpracovávat osobní údaje. Subjekt, k němuž se osobní údaje vztahují, není povinen souhlas poskytnout a nelze jej k tomu jakkoli nutit. V praxi se může jednat o situace, kdy zákonní zástupci žáků nebudou souhlasit se zanesením osobních údajů svých nebo svých dětí danou školu nebo školské zařízení navštěvujících, případně dětí starších 13 let, jejichž vyspělost bude tomuto věku odpovídat, do informačních systémů poskytovaných informačními společnostmi (např. informační systém spravovaný externí společností (zpracovatelem), který nakládá s tam vkládanými osobními údaji nad rámec zákona, nebo k nim má přístup - např. číslo bankovního účtu zákonných zástupců, které škola zná, protože z něj bylo přímo škole placeno, nelze v informačním systému bez souhlasu zpracovávat apod.) a naproti tomu budou preferovat kupř. komunikaci pouze v listinné podobě.
Jestliže subjekt, jehož údaje se zpracovávají, udělil ke zpracování souhlas, je třeba jeho osobní údaje zpracovávat pouze k účelu, ke kterému byl souhlas dán (například byl-li dán souhlas s umístěním fotografie žáka v interní databázi školy, není možné ji využít v propagačním letáku apod.), přičemž zásadně nelze osobní údaje tohoto subjektu poskytovat třetím osobám. Pokud se jedná o situaci, kdy příslušný informační systém je provozován třetím subjektem, pak je nezbytné, aby ze souhlasu přímo vyplývalo, že i s touto skutečností subjekt údajů souhlasí.
Souhlas subjektu se zpracováním osobních údajů je nutné obdržet před jejich zpracováním, nadto se musí jednat o souhlas informovaný a konkrétní co do účelu, rozsahu a doby zpracování. Bude-li mít škola nebo školské zařízení pochybnost o jednoznačnosti uděleného souhlasu, je na místě vyzvat subjekt, aby takovou neurčitost odstranil.
Doporučuje se, aby souhlas byl poskytnut písemně, tj. v podobě listinné nebo elektronické, pro účely pozdějších kontrol ze strany Úřadu pro ochranu osobních údajů nebo zřizovatele. Správce musí být po celou dobu zpracování údajů schopen doložit, že subjekt údajů souhlas udělil. V případě využití informačních systémů lze dovodit souhlas ze samotné logiky tohoto systému (uživatel – subjekt údajů zde uděluje souhlas např. tím, že zaškrtne příslušné políčko pro udělení souhlas ke zpracování).
Čl. 6 odst. 4 nařízení počítá s možností zpracování osobních údajů i pro jiný účel, než pro který byly shromážděny, ať už na základě zákona nebo souhlasu subjektu. K tomuto zpracování by ovšem mohlo dojít pouze z důvodů obsažených v čl. 23 odst. 1 nařízení, tedy například za účelem zajištění obrany nebo bezpečnosti státu, veřejného pořádku, vnitřní bezpečnosti apod. Ve zcela výjimečném případě toto může nastat např. v situaci, kdy ředitel podává informace orgánům činným trestním řízení, je-li žák obětí trestného činu.
Příklady účelů zpracování osobních údajů z oblasti regionálního školství:
Na základě zákona – není třeba souhlas: Pouze na základě souhlasu:
• školní matriky podle § 28 školského zákona
28
• zpracovávat trvale v evidencích údaj o osobách, které mohou vyzvednout dítě ze školy nebo družiny, pokud nejsou zároveň zákonnými zástupci (za zcela zbytečné považujeme uvádět údaj o povolání)
• evidence úrazů dětí, žáků a studentů, k nimž došlo při činnostech souvisejících se vzděláváním − § 29 školského zákona, vyhláška č. 64/2005 Sb., o evidenci úrazů dětí, žáků a studentů
• údaje požadované při účasti žáků a studentů v soutěžích, olympiádách, SOČ apod., pokud reprezentují školu (jméno a příjmení, datum narození).
• údaje shromažďované v souvislosti se zápisem do rejstříku škol a školských zařízení a školských právnických osob (ŠPO) − § 144 a § 154 školského zákona
• zveřejnění výtvarných a obdobných děl žáků na výstavě v galerii
• údaje z přihlášek uchazečů o přijetí do oborů středního vzdělání s maturitní zkouškou a z přihlášek
• údaje o žácích, studentech, pedagogických pracovnících poskytované cestovním kancelářím, k maturitní zkoušce předávané školou
popř. zájmovým vzdělávacím Centru pro zjišťování výsledků
agenturám při organizaci školy vzdělávání („Centrum“) − § 60a
v přírodě, lyžařského kursu, školského zákona, vyhláška
zahraničního zájezdu apod. (zejm. č. 353/2016 Sb., resp. § 81 školského
jméno a příjmení, adresa, datum zákona
narození, při výjezdu do ciziny i rodné číslo a číslo pasu nebo jiného dokladu). Škola může sjednávat cestovní pojištění nad rámec běžného pojištění školy
• údaje o zdravotní způsobilosti dítěte nebo žáka, kteří se účastní školy v přírodě nebo zotavovací akce (§ 9 až § 11 zákona č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů)
29
• nahrávky hudebních vystoupení žáků základních uměleckých škol
• údaje shromažďované v souladu s dalším vzděláváním pedagogických pracovníků (§ 24, § 29 zákona č. 563/2004 Sb., o pedagogických pracovnících a o změně některých zákonů)
• publikace fotografií žáků za účelem marketingové propagace školy (reklamní letáky apod.)
Příklady účelů zpracování osobních údajů z oblasti vysokého školství:
Na základě zákona – není třeba souhlas: Pouze na základě souhlasu:
• přijímací řízení na vysokou školu podle § 50 zákona o vysokých školách
• systém evidence absolventů
• průkaz studenta, popř. další doklad o studiu podle § 57 zákona o vysokých školách
• údaje zpracovávané v souvislosti s ubytováním na kolejích, univerzitním stravováním, univerzitní knihovnou apod.
• ukončení/přerušení studia dle § 54 zákona o vysokých školách
• údaje zpracovávané v souvislosti s účastí studentů v různých grantových projektech a soutěžích
• údaje získané v rámci správního řízení, např. řízení o uznání zahraničního vzdělávání a kvalifikace
• údaje zpracovávané v souvislosti s mezinárodní mobilitou studentů v ČR podle § 89 a § 90 zákona o vysokých školách
• údaje vedené v Seznamu hodnotitelů podle § 84e zákona o vysokých školách
• údaje zpracovávané v souvislosti s pořádáním letních škol a podobných akcí
K čl. 7 nařízení
Ustanovení čl. 7 nařízení stanoví:
1. Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.
2. Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Jakákoli část tohoto prohlášení, která představuje porušení tohoto nařízení, není závazná.
3. Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout.
4. Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.“.
Zpracovává-li škola nebo školské zařízení údaje poskytnuté na základě souhlasu, musí mít tento souhlas charakter svobodného, konkrétního, informovaného a jednoznačného projevu vůle.
Za svobodný projev vůle lze označit jednání za předpokladu, že toto není motivováno působením vnějšího tlaku, který intenzitou svého působení překonává vůli daného člověka. V našem případě vůli neposkytnout souhlas (případně již udělený souhlas odvolat) s využíváním a zpracováním svých osobních údajů.
Aby byl projev vůle (v našem případě souhlas) považován za konkrétní, musí být naprosto jednoznačné, ke kterým údajům je udělován. Pro každý údaj musí být jednoznačně definovatelné, byl-li k jeho zpracování poskytnut souhlas, či nikoli.
Stejně tak musí být jednoznačně definovatelné, k jakému účelu se (souhlas) uděluje. Uvedené má význam např. v situacích, kdy se písemný souhlas se zpracováním osobních údajů poskytuje současně s písemným souhlasem s jinou skutečností. V takovém případě musí být souhlas se zpracováním osobních údajů od souhlasu s jinou skutečností naprosto jednoznačně odlišitelný, a to způsobem, který je s ohledem na konkrétního poskytovatele souhlasu zjevně srozumitelný. V případě, že by uvedeným požadavkům dostáno nebylo, bude se mít za to, že souhlas se zpracováním osobních údajů poskytnut nebyl, tj. zpracování poskytnutých
Podmínky vyjádření souhlasu

osobních údajů bude v tomto případě neoprávněné. S ohledem na uvedený požadavek odlišitelnosti souhlasu se zpracováním osobních údajů od současně udělovaného souhlasu jiného se jako ideální přístup jeví, aby byl souhlas se zpracováním osobních údajů poskytován na odlišné listině, než na které je poskytován jiný souhlas (příp. aby byly souhlasy k různým účelům zpracování přehledně odděleny tak, aby subjekt údajů mohl snadno odmítnout konkrétní souhlas udělit).
Na jakou dobu se souhlas poskytuje. Tato může tak být stanovena ve formě konkrétního data ukončení souhlasu (např. do 30. 6. 2019), stanovením období, na které se souhlas uděluje, (např. školní rok 2018/2019), nebo může být doba, po kterou je souhlas poskytnut stanovena s ohledem na trvání určité skutečnosti, např. po dobu, po kterou bude žák využívat služeb školní jídelny. Doba, na kterou je poskytovaný souhlas udělen, musí být definována tak, aby byla zjevně pro každého konkrétního poskytovatele srozumitelná a nezaměnitelná. Dále pokládáme za nutné upozornit, že doba poskytnutí souhlasu se zpracováním osobních údajů bez dalšího končí, pomine-li důvod zpracování, pro který byl souhlas poskytnut.
Uveďme příklad, že rodiče dítěte poskytnou v souvislosti s využíváním služeb školní jídelny tímto dítětem souhlas se zpracováním jeho osobních údajů (např. v souvislosti s náboženskými omezeními ve stravování) po dobu konkrétního školního roku. Nastane-li situace, že rodiče v průběhu školního roku uvedené dítě ze školní jídelny odhlásí, důvod, pro který byl souhlas se zpracováním osobních údajů udělen, odpadl a udělený souhlas se tak stal bezpředmětným, a to aniž by jej rodiče výslovně odvolali nebo skončil daný školní rok.
Informovaný projev vůle. K naplnění výše uvedených podmínek, tj. aby udělovaný souhlas byl svobodný a zejména konkrétní, musí být ten, kdo souhlas poskytuje, jednoznačným a srozumitelným způsobem informován, k čemu vlastně svůj souhlas poskytuje, tedy že se jedná o zpracování jeho údajů, eventuálně jejich další konkrétně určené poskytování, o jaké údaje se jedná, k jakému účelu se poskytují a na jakou dobu se poskytují.
Důležité je také informování subjektu údajů, že souhlas může být kdykoli odvolán, a to stejně snadným způsobem, jako byl udělen.
Je nutné upozornit, že správce osobních údajů, jejichž zpracování bylo podmíněno udělením souhlasu, je povinen tuto skutečnost (tj. udělení souhlasu) doložit. Vzhledem k tomu, že souhlas se zpracováním osobních údajů nemusí být udělen písemně, je třeba vždy zvažovat, jakým způsobem se případné udělení souhlasu bude dokazovat. Kupříkladu v případě elektronicky uděleného souhlasu (e-mail), je třeba mít na zřeteli potenciální nutnost prokázat, že souhlas skutečně udělila osoba v e-mailu označená.
V praxi škol, zejména mateřských, nastávají často situace, kdy určitá osoba poskytuje osobní údaje týkající se osoby jiné. K uvedenému může docházet např. v případech, kdy rodič v souvislosti s vyzvedáváním dítěte z mateřské školy poskytne mateřské škole osobní údaje o osobě, kterou k tomuto zmocnil (jedná se kupříkladu o příbuzného nebo o souseda). V takovém případě lze dovodit, že nebude potřeba vyžadovat po oné osobě souhlas ke zpracování jejích osobních údajů, neboť zde je nejpodstatnější oprávněný zájem rodiče a dítěte na tom, aby jej vyzvedla osoba, která byla rodičem pověřena, a tento zájem převáží nad právem dotčené osoby na ochranu jejích osobních údajů.
K platnému projevení souhlasu je třeba, aby daná osoba byla v tomto smyslu svéprávná.
Při posuzování způsobilosti dítěte souhlasit se zpracováním svých osobních údajů je třeba mít na zřeteli jeho volní a rozumovou vyspělost. Blíže viz doporučení k čl. 8.
K čl. 8 nařízení
Ustanovení čl. 8 nařízení nově stanoví:
„Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnosti
1. Pokud se použije čl. 6 odst. 1 písm. a) v souvislosti s nabídkou služeb informační společnosti přímo dítěti, je zpracování osobních údajů dítěte zákonné, je-li dítě ve věku nejméně 16 let. Je- li dítě mladší 16 let, je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.
Členské státy mohou pro uvedené účely právním předpisem stanovit nižší věk, ne však nižší než 13 let.
2. Správce vyvine přiměřené úsilí s ohledem na dostupnou technologii, aby v takovýchto případech ověřil, že byl souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.
3. Odstavcem 1 není dotčeno obecné smluvní právo členských států, například pravidla týkající se platnosti, uzavírání nebo účinků smlouvy vzhledem k dítěti.“.
Děti zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů. Tato zvláštní ochrana by se měla zejména vztahovat na zpracování osobních údajů dětí pro účely marketingu nebo vytváření osobnostních či uživatelských profilů a při využívání služeb nabízených v rámci školy nebo školského zařízení přímo dětem.
Nařízení tuto zvláštní ochranu ve vztahu ke službám informační společnosti nově reflektuje v čl. 8, ve kterém je uvedeno, že dítě je způsobilé samo poskytnout souhlas v souvislosti s nabídkou služeb informační společnosti, je-li ve věku nejméně 16 let, přičemž členské státy si mohou pro uvedené účely právním předpisem stanovit věk nižší, ne však nižší než 13 let. Službami informační společnosti je třeba rozumět jakoukoli službu informační společnosti, která je poskytovaná zpravidla za úplatu, na dálku, elektronicky a na individuální žádost příjemce služeb. 3
3
K službám informační společnosti podrobněji viz zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů, ve znění pozdějších předpisů a Směrnice Evropského Parlamentu a Rady (EU) 2015/1535 ze dne 9. září 2015 o postupu při poskytování informací v oblasti technických předpisů a předpisů pro služby informační společnosti.
V této souvislosti je třeba zmínit, že česká právní úprava v současně navrhovaném znění počítá právě s nejnižší možnou věkovou hranicí, tedy s věkem 13 let, kdy již podle českého zákonodárce dítě je schopné samostatně posoudit okolnosti a důsledky souhlasu se zpracováním svých osobních údajů ve vztahu ke službám informační společnosti. Zároveň je však třeba uvést, že je pravděpodobné, že se tato věková hranice bude v souvislosti s právě probíhajícím legislativním procesem měnit, tudíž doporučujeme vždy si ověřit aktuálně platné a účinné znění zákona ve vztahu k této věkové hranici.
Ministerstvo v této souvislosti rovněž důrazně doporučuje, aby bylo ke každému dítěti přistupováno jednotlivě a vždy bylo detailně posuzováno, k jakému zpracování dítě dává souhlas, a to i v případě, že dítě již dosáhlo věkové hranice, kterou předvídá vnitrostátní legislativa pro to, aby dítě bylo schopno samo vyslovit souhlas se zpracováním svých osobních údajů. Vždy je třeba vzít v potaz nejen věk, ale i rozumovou a volní vyspělost dítěte, tedy zda je dítě schopno posoudit podstatu a následky svého vlastního jednání a zda je schopno své jednání ovládnout, tj. jednání svou vůlí řídit. Zvláštní pozornost je třeba věnovat dětem se speciálními vzdělávacími potřebami, tedy se zdravotním postižením či zdravotním nebo sociálním znevýhodněním. Zároveň je třeba rovněž doporučit, že v případě jakýchkoliv pochybností ohledně schopnosti dítěte posoudit důsledky svého jednání je na místě vyžádat si souhlas osoby, která ve vztahu k dítěti vykonává rodičovskou odpovědnost. Jestliže dítě dává škole souhlas na základě předtištěného vzoru, je třeba formulovat tento souhlas pro dítě co nejsrozumitelněji, aby pochopilo, k čemu přesně souhlas dává.
Ministerstvo rovněž upozorňuje na skutečnost, že v praxi může docházet k situacím, kdy dítě vysloví se zpracováním svých osobních údajů souhlas, ale osoba vykonávající rodičovskou odpovědnost k dítěti se zpracováním osobních údajů dítěte nesouhlasí a naopak. V takovéto situaci je třeba doporučit vyvinutí zvýšeného úsilí k dosažení shody, přičemž pokud se ani přes toto úsilí shody nepodaří dosáhnout, je třeba o tomto učinit záznam do spisu (jedná se například o situace, kdy rodič dítěte nebude souhlasit s vytvořením e-mailové adresy dítěte sestávající z jeho jména). V případě zásadní otázky a neshody mezi dítětem a osobou, která ve vztahu k němu vykonává rodičovskou odpovědnost (typicky například v případě, kdy rodiče budou požadovat, aby dítě mělo zvláštní stravovací režim, nicméně dítě bude preferovat běžný stravovací režim, apod.), lze doporučit osobní údaje spíše nezpracovávat, případně se obrátit na věcně a místně příslušný soud s žádostí o ustanovení kolizního opatrovníka v této věci, nejedná- li se o věc, která nesnese odkladu.
Nařízení v preambuli uvádí, že souhlas nositele rodičovské odpovědnosti by neměl být nutný v případě preventivních či poradenských služeb nabízených přímo dětem, nicméně jak již bylo uvedeno výše, je třeba vždy v jednotlivém případě důsledně posoudit, zda je dítě nejen na základě věku, ale i rozumové a volní vyspělosti schopno posoudit okolnosti a důsledky poskytnutí souhlasu se zpracováním svých osobních údajů, a to ve vztahu ke každé jednotlivé službě (k rozumové a volní vyspělosti dítěte viz ustanovení § 31 zákona č. 89/2012 Sb., občanský zákoník, ve znění zákona č. 460/2016 Sb.
Pro úplnost je dále třeba uvést, že v otázkách smluvního práva a účinků smluv vůči dítěti (viz čl. 8 odst. 3 nařízení) je nezbytné postupovat v souladu se zákonem č. 89/2012 Sb., občanský zákoník, ve znění zákona č. 460/2016 Sb., a souvisejícími právními předpisy.
K čl. 9 nařízení
(dříve ustanovení § 4 písm. b) a ustanovení § 9 zákona č. 101/2000 Sb.)
Ustanovení čl. 9 nařízení stanoví:
„Zpracování zvláštních kategorií osobních údajů
1. Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
2. Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:
a) subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů, s výjimkou případů, kdy právo Unie nebo členského státu stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen;
b) zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle práva členského státu, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů;
c) zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické
osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas;
d) zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, a za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt;
e) zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů;
f) zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud
soudy jednají v rámci svých soudních pravomocí;
g) zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů;
h) zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva Unie nebo členského státu nebo podle smlouvy se zdravotnickým pracovníkem a při splnění podmínek a záruk uvedených v odstavci 4;
i) zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie nebo členského státu, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektu údajů, zejména služebního tajemství;
j) zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely v souladu s čl. 89 odst. 1 na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů.
3. Osobní údaje uvedené v odstavci 1 mohou být zpracovávány pro účely uvedené v odst. 2 písm. h), jsou-li tyto údaje zpracovány pracovníkem vázaným služebním tajemstvím nebo na jeho odpovědnost podle práva Unie nebo členského státu nebo pravidel stanovených příslušnými vnitrostátními orgány nebo jinou osobou, na niž se rovněž vztahuje povinnost mlčenlivosti podle práva Unie nebo členského státu nebo pravidel stanovených příslušnými vnitrostátními orgány.
4. Členské státy mohou zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu.“.
Čl. 9 nařízení upravuje problematiku zpracování tzv. zvláštní kategorie osobních údajů (právní úprava platná před účinností nařízení používala pojmu „citlivé údaje“), tedy těch údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby (dále také „citlivé osobní údaje“).
Do výše uvedené zvláštní kategorie tak spadá celá škála citlivých osobních údajů, v prostředí škol a jiných obdobných zařízeních půjde zejména o údaje o zdravotním stavu, a to jak v oblasti fyzické, tak v oblasti mentální (např. poruchy učení). Nelze opomenout ani údaje o omezeních ve stravování či specifické stravovací plány (které mohou mít souvislost jak se zdravotním stavem, tak např. s filozofickým či náboženským přesvědčením). Zejména v prostředí jiných obdobných zařízení (např. diagnostických ústavů), kde děti tráví větší časové úseky, pak přichází v úvahu i zpracování dalších citlivých osobních údajů, např. záznamy o sociální situaci jedince, o šikaně nebo také osobní údaje související se sexualitou člověka. Dále je třeba brát v potaz osobní údaje související s náboženstvím. Je nezbytné upozornit také na osobní údaje, které může škola zpracovávat, ale které nesouvisí přímo s osobou dítěte. V praxi by se mohlo jednat o citlivé osobní údaje spojené s osobami zákonných zástupců dítěte (např. sociální situace v rodině) nebo o citlivé údaje učitelů či třetích osob. S ohledem na šíři této kategorie osobních údajů je výše uvedený výčet pouze demonstrativní a v každém jednotlivém případě bude třeba určit, zda se v případě toho kterého osobního údaje jedná o údaj v tzv. zvláštní kategorii s tím, že je třeba dbát na minimalizaci rizika zneužití takových údajů, které může mít na život jedince mimořádně nepříznivý dopad (např. v podobě diskriminace apod.), podrobněji k rizikům viz níže. Obecně lze k tomuto uvést, že ministerstvo s ohledem na rizika doporučuje citlivé osobní údaje zpracovávat pouze v minimální možné míře.
K problematice samotného zpracování citlivých osobních údajů je třeba uvést, že primárně je zpracování údajů z této zvláštní kategorie zakázáno, a to s výjimkou případů, které nařízení stanoví.
V první řadě lze konstatovat, že zpracování citlivých osobních údajů je zejména povoleno tehdy, pokud subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů. Výjimku tvoří případy, kdy právní předpisy stanoví, že tyto údaje nelze zpracovávat i přes souhlas subjektu údajů. Jedná se tedy primárně o případ, kdy jedinec (popř. jeho zákonný zástupce) se zpracováním citlivých osobních údajů výslovně souhlasil, ale zákon to zapovídá. (v současné době nebyl v České republice takový zákon přijat). Tento souhlas musí být konkrétní, informovaný a nezaměnitelný, podrobněji viz metodické doporučení k čl. 6 nařízení. Rovněž lze citlivé osobní údaje se souhlasem subjektu údajů zpracovávat pouze tehdy, pokud právní předpisy nestanoví jinak (tedy pokud není zpracování zcela vyloučeno nebo naopak zpracování jinak nevyplývá přímo z právních předpisů).
Souhlasu jedince ke zpracování citlivých osobních údajů z povahy věci není třeba tam, kde se citlivé údaje zpracovávají na základě zákona, typicky se bude jednat např. o údaje, které se zaznamenávají do dokumentace školy v souladu s ustanovením § 28 školského zákona. Právní úprava cílí také na ochranu zdraví a dalších mimořádně důležitých zájmů osob (např. evidence úrazů - § 29 školského zákona, či údaje zpracovávané při poskytování podpůrných opatření), kde ochrana těchto zájmů převáží nad právem dané osoby na ochranu jejích citlivých údajů. I zde je však třeba dbát na to, aby zpracování nepřekročilo zákonem stanovené meze a účel zpracování a bylo přiměřené účelu (př. zpracovávat údaje o podpůrných opatřeních může ze zákona škola, nicméně poskytovat individuální údaje dále například zřizovateli by již překračovalo zákonné limity). V takovém případě by bylo standardně třeba zajistit souhlas subjektu údajů.
Nařízení dále explicitně připouští další případy, kdy je zákaz zpracování citlivých osobních údajů prolomen, jedná se např. o případ, kdy zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas; nebo o případ, kdy se zpracování týká osobních údajů zjevně zveřejněných subjektem údajů (v takovém případě by ochrana již zveřejněných osobních údajů postrádala smysl). Rovněž nařízení stanoví výjimku ze zákazu např. pro případ, kdy je zpracování nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků (a to za podmínek stanovených právními předpisy).
Dále je třeba upozornit na skutečnost, že stát může právním předpisem upravit další podmínky, včetně omezení, zejména pokud jde o zpracování údajů o zdravotním stavu. Je tedy v konkrétních případech nezbytné při posuzování oprávněnosti zpracování citlivých osobních údajů pracovat i s dalšími právními předpisy, zejména se zákonem o zpracování osobních údajů, se školským zákonem apod.
K čl. 12 nařízení
(dříve § 5 odst. 3, § 11 zákona a § 12 č. 101/2000 Sb.)
Ustanovení čl. 12 nařízení stanoví:
„Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů
1. Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 a učinil veškerá sdělení podle článků 15 až 22 a 34 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.
2. Správce usnadňuje výkon práv subjektu údajů podle článků 15 až 22. V případech uvedených v čl. 11 odst. 2 správce neodmítne vyhovět žádosti subjektu údajů za účelem výkonu jeho práv podle článků 15 až 22, ledaže doloží, že nemůže zjistit totožnost subjektu údajů.
3. Správce poskytne subjektu údajů na žádost podle článků 15 až 22 informace o přijatých opatřeních, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.
4. Pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu a žádat o soudní ochranu.
5. Informace podle článků 13 a 14 a veškerá sdělení a veškeré úkony podle článků 15 až 22 a 34 se poskytují a činí bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď:
a) uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím
požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů; nebo
b) odmítnout žádosti vyhovět.
Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.
6. Aniž je dotčen článek 11, pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost podle článků 15 až 21, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.
7. Informace, které mají být subjektům údajů poskytnuty podle článků 13 a 14, mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasným způsobem přehled o zamýšleném zpracování. Pokud jsou ikony prezentovány v elektronické formě, musí být strojově čitelné.
8. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 92 za účelem určení informací, které mají být sděleny pomocí ikon, a postupů pro poskytování standardizovaných ikon.“.
Nařízení upravuje v čl. 12 odst. 1 zásadu transparentnosti, tedy požadavek, aby všechny informace o ochraně osobních údajů určené subjektu údajů byly stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků. Tato povinnost se týká konkrétně informací poskytovaných subjektům údajů v souvislosti se zahájením sběru údajů (upraveno v čl. 13 a 14), a dále pak v případech, kdy může subjekt uplatňovat svá konkrétní práva (upraveno v čl. 15 – 22 a 34).
Veškeré informace lze poskytnout písemně nebo jinými prostředky, zejména v elektronické formě, například prostřednictvím internetových stránek správce. Každý subjekt údajů by měl být schopen porozumět tomu, zda jsou zpracovávány jeho osobní údaje a kdo a za jakým účelem je zpracovává. Nařízení přitom zdůrazňuje především ve vztahu k dětem, aby byly všechny informace a sdělení podávány za použití jasných a jednoduchých jazykových prostředků, aby jim děti snadno porozuměly.
Je možné přijmout různá opatření, jakými učinit informaci o ochraně osobních údajů pro subjekt údajů dostatečně srozumitelnou. Například využívání hypertextových odkazů na podrobnější informace v textu, psaní jednoduchým a dostatečně velkým písmem, využívání členění textu, vizualizací a grafik pro znázornění předávání osobních údajů a podobně.
Čl. 12 odst. 2 upravuje požadavek, aby správce možnost dovolat se svých práv dle čl. 15 – 22 nařízení co nejvíce usnadňoval a nebránil subjektům údajů v jejich uplatňování. Především je nutné nastavit mechanismy pro podávání žádostí, případně zajištění přístupu k osobním údajům, jejich opravy nebo výmaz, pokud to bude relevantní také postup pro uplatnění práva vznést námitku. S těmito postupy je pak nutné seznámit žáky a studenty, respektive jejich zákonné zástupce.
Co se týče žádosti subjektů údajů, umožňuje nařízení elektronickou formu. Správce by tedy měl dát subjektům údajů možnost obracet se na něj elektronicky a také jim stejnou formou včas sdělit požadované informace, případně informace o provedených opatřeních. Odpovědi na žádosti by měly být poskytovány bez zbytečného odkladu, tedy v nejkratším možném termínu, jinak nejpozději do jednoho měsíce. Lhůtu pro odpověď je možné z oprávněných důvodů prodloužit až o dva měsíce, ale i v tomto případě je nutné o tom do jednoho měsíce od podání žádosti informovat žadatele a tento postup dostatečně odůvodnit. Takovými oprávněnými důvody pak může být například složitost žádosti, velké množství požadovaných údajů či žadatelů, není jimi ovšem zaneprázdněnost správce a podobně. Záměrem právní úpravy je poskytnout subjektům údajů efektivní nástroj ke komunikaci se správcem údajů, případně k obraně svých zájmů.
Správce nicméně není povinen provést veškerá opatření požadovaná ze strany subjektů údajů, například pokud taková opatření nejsou technicky možná, nejsou v souladu se zákonem (subjekt požaduje výmaz svých údajů, ačkoli ke zpracovávání existuje zákonný důvod), a podobně. V takovém případě je však nutné také o tom, že nebudou přijata tato opatření, informovat subjekt údajů do jednoho měsíce od obdržení žádosti, tento postup náležitě odůvodnit, tedy popsat veškeré důvody k nepřijetí opatření, a hlavně informovat ve své odpovědi subjekt údajů o možnosti podat stížnost u Úřadu pro ochranu osobních údajů či se domáhat ochrany svých práv u soudu.
Dle čl. 12 odst. 5 nařízení jsou všechna sdělení a úkony poskytovány správcem bezúplatně, ovšem v případech, kdy jsou žádosti podané subjektem údajů zjevně nepřiměřené nebo nedůvodné, například protože se opakují nebo nesouvisí s činností správce, může správce buď uložit za poskytnutí informací či provedení opatření přiměřený poplatek pokrývající administrativní náklady, případně odmítnout žádosti vyhovět. Že byla žádost nedůvodná či nepřiměřená dokládá správce, a tedy je možné tento postup doporučit pouze v takových případech, kdy jsou výše uvedené podmínky splněny očividně, tedy například při přijetí vícero opakujících se žádostí od jednoho subjektu a podobně.
Vzhledem k ochraně fyzických osob při nakládání s osobními údaji je nutné vždy postupovat s největší opatrností i v případě reakcí na žádosti subjektů. Pokud má správce pochybnost o totožnosti osoby, která jej žádá o poskytnutí informací či provedení opatření, přiznává čl. 12 odst. 6 správci oprávnění vyžádat si od subjektu údajů, který se na něj obrátil s žádostí, dodatečné informace nezbytné k potvrzení totožnosti subjektu. Není tedy možné bez dalšího poskytovat údaje, ale v každém případě si musí být správce jistý, že žadatel je subjektem údajů, případně jeho zákonným zástupcem. Zejména pokud dochází k poskytování informací elektronicky, je nutné takovou kontrolu dostatečně zabezpečit, například zřízením zvláštních kódů v přístupu do systému či při komunikaci se správcem a podobně.
V souvislosti se vstupem nařízení v účinnost lze doporučit informovat rodiče o rozsahu zpracovávaných údajů, způsobu zpracování i o právech, která mají v souvislosti s ochranou osobních údajů (např. právo na výmaz, právo vznést námitku proti zpracování, právo na opravu a další). V každém případě je nezbytné takovéto informace (že dochází ke zpracování osobních údajů) nadále sdělovat vždy při sběru údajů v souladu s následujícími ustanoveními nařízení.
Jako vhodná příležitost, například i pro oznámení změny ve zpracování údajů či k projednání vhodných opatření, se mohou jevit také pravidelně se konající třídní schůzky, setkávání sdružení rodičů a přátel školy a obdobné akce, kde je pak možné si také například vyžádat souhlas rodičů s nakládáním s osobními údaji nad rámec zákona.
K čl. 13 a 14 nařízení
(dříve § 11 zákona č. 101/2000 Sb.)
Ustanovení čl. 13 nařízení stanoví:
„Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů
1. Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:
a) totožnost a kontaktní údaje správce a jeho případného zástupce;
b) případně kontaktní údaje případného pověřence pro ochranu osobních údajů;
c) účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
d) oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);
e) případné příjemce nebo kategorie příjemců osobních údajů;
f) případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
2. Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování:
a) doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
b) existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
c) pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
d) existence práva podat stížnost u dozorového úřadu;
e) skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;
f) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
3. Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.
4. Odstavce 1, 2 a 3 se nepoužijí, pokud subjekt údajů již uvedené informace má, a do té míry, v níž je má.“.
Ustanovení čl. 14 nařízení stanoví:
„Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů
1. Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů tyto informace:
a) totožnost a kontaktní údaje správce a případně jeho zástupce;
b) případně kontaktní údaje případného pověřence pro ochranu osobních údajů;
c) účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
d) kategorie dotčených osobních údajů;
e) případné příjemce nebo kategorie příjemců osobních údajů;
f) případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci a existence či neexistence rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo v čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
2. Kromě informací uvedených v odstavci 1 poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů:
a) doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
b) oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);
c) existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení zpracování a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
d) pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
e) existence práva podat stížnost u dozorového úřadu;
f) zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů;
g) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
3. Správce poskytne informace uvedené v odstavcích 1 a 2:
a) v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;
b) nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace; nebo
c) nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.
4. Pokud správce hodlá osobní údaje dále zpracovat pro jiný účel, než pro který byly získány, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.
5. Odstavce 1 a 4 se nepoužijí, pokud a do té míry, v níž:
a) subjekt údajů již uvedené informace má;
b) se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí; to platí zejména v případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely s výhradou podmínek a záruk uvedených v čl. 89 odst. 1, nebo pokud je pravděpodobné, že uplatnění povinnosti uvedené v odstavci 1 tohoto článku by znemožnilo nebo výrazně ztížilo dosažení cílů uvedeného zpracování. V takových případech přijme správce vhodná opatření na ochranu práv, svobod a oprávněných zájmů subjektu údajů, včetně zpřístupnění daných informací veřejnosti;
c) je získávání nebo zpřístupnění výslovně stanoveno právem Unie nebo členského státu, které se na správce vztahuje a v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů; nebo
d) osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Unie nebo členského státu, včetně zákonné povinnosti mlčenlivosti.“.
Čl. 13 upravuje povinnost správce informovat subjekt údajů o zpracování osobních údajů v okamžiku získání těchto údajů. Nařízení nestanoví formu splnění informační povinnosti, lze tak učinit ústně nebo písemně (i elektronicky).
Čl. 14 pak upravuje obdobnou povinnost i pro případy, kdy správce osobní údaje nezíská přímo od osob, jichž se týkají. Tato povinnost je stanovena již v současnosti (§ 11 zákona č. 101/2000 Sb.), nařízení však mírně rozšiřuje okruh sdělovaných skutečností, zejména o nově zavedené instituty. Informovat je tedy třeba i o kontaktních údajích pověřence pro ochranu osobních údajů nebo o oprávněném zájmu (je-li právním základem pro zpracování údajů oprávněný zájem podle čl. 6 odst. 1 písm. f) – např. užití kamerového systému k ochraně majetku školy).
Informovat je potřeba již v okamžiku získání osobních údajů, doporučujeme tedy informaci zahrnout do všech formulářů školy nebo školského zařízení, prostřednictvím kterých jsou zpracovávány osobní údaje. Návrh zákona o zpracování osobních údajů počítá s tím, že v případě zpracování stanoveného zákonem bude postačovat informování na internetových stránkách správce osobních údajů, tedy škol a školských zařízení.
K čl. 15 nařízení
(dříve § 12 zákona č. 101/2000 Sb.)
Ustanovení čl. 15 nařízení stanoví:
„Právo subjektu údajů na přístup k osobním údajům
1. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:
a) účely zpracování;
b) kategorie dotčených osobních údajů;
c) příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;
d) plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria
použitá ke stanovení této doby;
e) existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování;
f) právo podat stížnost u dozorového úřadu;
g) veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu
údajů;
h) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
2. Pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o vhodných zárukách podle článku 46, které se vztahují na předání.
3. Správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.
4. Právem získat kopii uvedenou v odstavci 3 nesmějí být nepříznivě dotčena práva a svobody jiných osob.“.
Každý subjekt údajů má právo na přístup k osobním údajům, které se ho týkají, a měl by mít možnost toto právo snadno a v přiměřených časových odstupech uplatňovat. Informace o samotném zpracovávání údajů je zásadní pro následné ověření jeho zákonnosti. Správce musí subjektu údajů na jeho žádost kdykoli poskytnout kopii zpracování osobních údajů, ačkoli může za tento postup účtovat přiměřený poplatek na základě administrativních nákladů. Preferovaná je pak pro poskytnutí údajů běžně užívaná elektronická forma, pokud subjekt nepožádá o jiný způsob. Je-li to možné, měl by mít správce možnost poskytnout subjektu údajů dálkový přístup k bezpečnému systému, který by subjektu údajů umožnil přímý přístup k jeho osobním údajům. V opačném případě musí správce ze svého systému získat veškeré údaje týkající se pouze žadatele, a tyto údaje mu poskytnout.
Především by se pak měl subjekt údajů moci kdykoli obrátit na jakéhokoli správce s dotazem, zda vůbec zpracovává jeho osobní údaje, a získat o tom potvrzení. Správce, který takové osobní údaje zpracovává, pak musí subjektu údajů umožnit přístup k těmto osobním údajům, a nadto poskytnout informace nařízením vyjmenované v odstavci 1 daného ustanovení.
Zvlášť je upraveno právo subjektu údajů být informován o vhodných zárukách v případě, že se jeho osobní údaje předávají do třetí země nebo mezinárodní organizaci. K takovému předávání přitom může dojít i v případě škol či školských zařízení, vzhledem k tomu, že běžně data ukládají mimo prostor Evropské unie na datová úložiště společností působících mimo EU. V takových případech je nutné ověřit, že budou data předávána do zemí, o kterých komise rozhodla, že zajišťují odpovídající úroveň, či jsou naplněny další požadavky čl. 46 nařízení. Taková rozhodnutí zveřejňuje Komise v Úředním věstníku Evropské unie a na svých internetových stránkách.
Nelze odepřít poskytnutí všech výše uvedených informací z technických důvodů, tedy například s odkazem na omezené možnosti programu či aplikace, v rámci které jsou osobní údaje zpracovávány. Zároveň je však při poskytování informací nutné dbát práv a oprávněných zájmů dalších osob, zejména ochrany obchodního tajemství, duševního vlastnictví či autorského práva chránícího programové vybavení. V praxi škol a školských zařízení je především nutné zajistit, aby spolu s informacemi o příslušné osobě nebyly poskytnuty také informace či dokonce osobní údaje o jiných žácích, studentech a podobně. Jedná se zejména o to, aby spolu s informacemi o jednom subjektu údajů nebyly poskytovány informace také o jiných subjektech, tedy aby bylo technicky možné údaje o osobách od sebe oddělit a zvlášť poskytnout.
K čl. 16 nařízení
(dříve § 5 odst. 1 písm. c) zákona č. 101/2000 Sb.)
Ustanovení čl. 16 nařízení stanoví:
„Právo na opravu
Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.“.
Dle uvedeného článku má subjekt údajů právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. Subjekt se obrací na správce žádostí dle čl. 12, často na základě poskytnutých informací od správce dle čl. 15 nařízení. V případě, že je zřízen elektronický přístup subjektu údajů do elektronické databáze, je vhodné mu umožnit také kdykoli změnit či opravit některé údaje v této databázi vedené, za předpokladu, že je dostatečně zjištěna jeho totožnost při vstupu do databáze. Toto se bude týkat např. změny jména, adresy bydliště, telefonního čísla apod. Z povahy věci nebude vhodné subjektům údajů umožnit změnu např. hodnocení, docházky apod.
Škola by měla dále zajistit, aby změny zpracovávaných osobních údajů jí byly seznatelné.
K čl. 17 nařízení
(dříve § 5 odst. 1 písm. e) a § 20 zákona č. 101/2000 Sb.)
Ustanovení čl. 17 nařízení stanoví:
„Právo na výmaz („právo být zapomenut“)
1. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak
zpracovány;
b) subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) nebo
čl. 9 odst. 2 písm. a) zpracovány, a neexistuje žádný další právní důvod pro zpracování;
c) subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2;
d) osobní údaje byly zpracovány protiprávně;
e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo
členského státu, které se na správce vztahuje;
f) osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti
podle čl. 8 odst. 1.
2. Jestliže správce osobní údaje zveřejnil a je povinen je podle odstavce 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.
3. Odstavce 1 a 2 se neuplatní, pokud je zpracování nezbytné:
a) pro výkon práva na svobodu projevu a informace;
b) pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;
c) z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 9 odst. 2 písm. h) a i)
a čl. 9 odst. 3;
d) pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1, pokud je pravděpodobné, že by právo uvedené v odstavci 1 znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;
e) pro určení, výkon nebo obhajobu právních nároků.“.
Zásadním právem subjektu údajů je právo na to, aby byly jeho údaje vymazány a nebyly dále zpracovávány, pokud již nejsou potřebné pro účely, pro které byly zpracovány, případně pokud subjekt údajů odvolal svůj souhlas se zpracováním a neexistuje žádný další důvod pro zpracování, subjekt údajů vznesl námitku proti zpracování osobních údajů, které se ho týkají, nebo pokud je zpracování jeho osobních údajů v rozporu s nařízením.
Důvody k vymazání osobních údajů jsou specifikovány v odstavci 1 příslušného ustanovení, které dále v odstavci 3 stanoví také výjimky z tohoto postupu. Otázka likvidace údajů však byla řešena již v § 20 zákona č. 101/2000 Sb., který v § 5 odst. 1 písm. c) stanovil povinnost správce vymazat nepřesné údaje, a dále údaje, u nichž účel zpracování již pominul. Správce by tedy již měl mít nastaveny procesy takovým způsobem, aby byl schopen splnit tuto zákonnou povinnost. Zejména je nutné zpracovávané údaje pravidelně kontrolovat, například v souvislosti s koncem školního roku, kdy řada dětí přestává být žáky či studenty školy a odpadají zákonné důvody pro zpracování osobních údajů.
V souvislosti s tímto je nutné upozornit na výjimku dle čl. 17 odst. 3 písm. b) nařízení, tedy že správce není k výmazu povinen, pokud je zpracování nezbytné pro splnění právní povinnosti, pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen. Jako příklad lze uvést vedení dokumentace školy nebo školského zařízení, údaje o maturitní nebo závěrečné zkoušce po zákonem stanovenou dobu apod. Není tedy možné, aby byl žádán a proveden výmaz osobních údajů zpracovávaných na základě zákona, pokud by nebyl překročen zákonem stanovený rozsah či účel. Dále písm. d) téhož ustanovení omezuje povinnost výmazu údajů nezbytných pro účely archivace ve veřejném zájmu, účely vědeckého či historického výzkumu a statistické účely. Je tedy nutné postupovat také v souladu s dalšími relevantními předpisy, například zákonem č. 499/2004 Sb., o archivní a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů. Na tomto místě považujeme za vhodné zdůraznit povinnost škol (s výjimkou mateřských) archivovat třídní výkazy, katalogy, katalogové listy, protokoly o závěrečných zkouškách, protokoly o maturitních zkouškách vydané základními a středními školami a protokoly o státních závěrečných zkouškách na vysokých školách. Pokud se v daném případě bude jednat o archiválie ve smyslu výše zmíněného zákona, bude se nakládání s nimi řídit právě zákonem č. 499/2004 Sb. (v případě pochybností doporučujeme využít metodická doporučení Ministerstva vnitra4
),
v ostatních případech je třeba informace po uplynutí doby (např. doby, pro kterou byl udělen souhlas) a odpadnutí účelu, pro který byly zpracovány, vymazat, což lze provést s ohledem na charakter jednotlivých informací různými způsoby. Pod výmaz bude spadat např. i předání obrázku namalovaného žákem, z něhož lze konkrétní dítě identifikovat (vzhledem k podpisu nebo uvedení jména apod.), rodiči daného dítěte. Okamžikem předání obrázku rodičům pak v tomto případě končí zpracování osobních údajů školou.
V každém případě je nutné vždy zvažovat rozsah zpracovávaných údajů v souvislosti se zásadou minimalizace údajů, tedy na základě výjimek nesmí správce zpracovávat více údajů, než je pro daný účel nezbytně nutné. Výjimky se uplatní pouze tehdy, pokud daného cíle nelze dosáhnout jiným způsobem než zpracováním osobních údajů – k tomuto blíže viz doporučení v zásadě č. 8 úvodu tohoto materiálu.5
Nařízení nyní výslovně upravuje tzv. právo „být vymazán“, kdy je správce povinen v případě odnětí souhlasu se zpracováním nebo odpadnutím důvodu ke zpracování zveřejněných osobních údajů informovat všechny další správce, kteří tyto údaje zpracovávají, že subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace. Tato povinnost směřuje především na internetové vyhledávače a provozovatele sociálních sítí, a tedy ve většině případů na školy a školská zařízení nebude dopadat. Ministerstvo ovšem důrazně doporučuje, aby nebyly jakékoli osobní údaje žáků a studentů, ale také zaměstnanců školy či
školského zařízení, předávány třetím osobám soukromého práva, tedy například společnostem nabízejícím pro školu, žáky či učitele nejrůznější pomůcky, aktivity a podobně. K takovému účelu ani nejsou osobní údaje na základě zákona zpracovávány a bylo by nutné si k tomuto jednání vyžádat výslovný souhlas subjektu údajů. Pokud by však správce předával osobní údaje jiným osobám, musí evidovat, jaké údaje a komu předal, aby byl schopen v případě nutnosti splnit výše popsaný zákonný požadavek.
K čl. 18 nařízení
(dříve blokace dle § 5 odst. 1 písm. c) zákona č. 101/2000 Sb.)
Ustanovení čl. 18 nařízení stanoví:
„Právo na omezení zpracování
1. Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:
a) subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce
mohl přesnost osobních údajů ověřit;
b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho
o omezení jejich použití;
c) správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje
pro určení, výkon nebo obhajobu právních nároků;
d) subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1, dokud nebude ověřeno,
zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.
2. Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.
3. Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, je správcem předem upozorněn na to, že bude omezení zpracování zrušeno.“.
Opět na základě žádosti dle čl. 12 nařízení se může subjekt údajů domáhat omezení zpracování, a to z důvodů uvedených v čl. 18, přičemž omezení může být dočasné nebo trvalé. Omezením se rozumí aktivita správce, který vyloučí příslušné údaje ze zpracování, například přesunem do jiného systému, znepřístupněním vybraných osobních údajů, případně jejich zvláštním označením. Toto omezení nastupuje v případě, že se subjekt údajů domáhá opravy osobních údajů, přičemž nelze ověřit, že jsou zpracované osobní údaje nepřesné, byla vznesena námitka proti zpracování a doposud nebyla posouzena, ale dále například v případě, že již odpadl důvod zpracování osobních údajů, ovšem subjekt údajů nesouhlasí s jejich likvidací, a to z různých důvodů.
Omezené osobní údaje je možné zpracovávat jen se souhlasem subjektů, nebo z některého z dalších výslovných důvodů uvedených v odstavci 2 ustanovení. V případě, že odpadne důvod k omezení, tedy že bude rozhodnuto o námitkách či dojde k opravě osobních údajů, je správce povinen informovat subjekt údajů, který omezení požadoval, že dojde ke zrušení tohoto opatření.
Upozorňujeme, že omezení zpracování není úplný zákaz zpracování. Přestože došlo k omezení zpracování, je správce nebo zpracovatel oprávněn osobní údaje zpracovávat z důvodu určení, výkonu, obhajoby právních nároků (např. při vymáhání dluhů, škod nebo plnění ze smluv, např. pojistných).
K čl. 19 nařízení
(dříve § 5 odst. 1 písm. c) zákona č. 101/2000 Sb.)
Ustanovení čl. 19 nařízení stanoví:
„Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování
Správce oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s článkem 16, čl. 17 odst. 1 a článkem 18, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.“.
Ustanovení upravuje povinnost správce oznamovat opravy nebo výmazy osobních údajů nebo omezení zpracování osobních údajů všem příjemcům, tedy osobám, kterým byly osobní údaje správcem poskytnuty. Jak již bylo uvedeno výše, je nežádoucí, aby školy či školská zařízení zpracované osobní údaje tímto způsobem dále poskytovaly, pokud k tomu nebudou zmocněny zákonem či výslovně subjekty údajů. V případě, že škola nebo školské zařízení osobní údaje přesto třetí osobě (příjemci) předá, musí příjemci také sdělovat, že došlo k omezení zpracování osobních údajů (roz. předaných osobních údajů), k opravě předaných osobních údajů nebo k výmazu předaných osobních údajů.
Nicméně příjemcem může být také zpracovatel, který pro správce osobní údaje zpracovává (typicky provozovatel informačních systémů). Správce tak odpovídá za aktualizaci poskytnutých údajů vůči jednotlivým příjemcům, pokud to je možné či to nevyžaduje nepřiměřené úsilí (například velmi složitá či nemožná identifikace určitých příjemců nebo možnost jejich kontaktování, např. pokud daný subjekt již zanikl). V případě, že by byly osobní údaje takovým způsobem poskytovány, je správce povinen o tom přiměřeným způsobem informovat na žádost subjekt údajů.
Návrh zákona o zpracování osobních údajů umožňuje oznamovat opravy a výmazy osobních údajů i „dávkově“ pravidelným zpřístupňováním aktuální evidence příjemcům.
K čl. 20 nařízení
Ustanovení čl. 20 nařízení stanoví:
„Právo na přenositelnost údajů
1. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:
a) zpracování je založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a)
nebo na smlouvě podle čl. 6 odst. 1 písm. b); a
b) zpracování se provádí automatizovaně.
2. Při výkonu svého práva na přenositelnost údajů podle odstavce 1 má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.
3. Výkonem práva uvedeného v odstavci 1 tohoto článku není dotčen článek 17. Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
4. Právem uvedeným v odstavci 1 nesmí být nepříznivě dotčena práva a svobody jiných osob.“.
K posílení kontroly nad jeho údaji poskytnutými správci má subjekt údajů v případě, kdy jsou údaje zpracovávány automatizovaně a ke zpracování dochází na základě souhlasu, tedy nikoliv ze zákonných důvodů (subjekt údajů z povahy věci nemá právo rozhodovat o zpracování – žádat omezení nebo ukončení zpracování, pokud má správce povinnost zpracovávat zákonem výslovně označené kategorie údajů), právo na poskytnutí osobních údajů, které se ho týkají, ve strukturovaném, běžně používaném, strojově čitelném formátu, a tyto údaje předat dalšímu správci. Ustanovení se tedy vztahuje pouze na údaje zpracovávané v elektronické podobě, kdy „strukturovaným“ souborem se rozumí takový, v němž mohou softwarové aplikace snadno nalézt, rozpoznat a získat konkrétní údaje. Za strojové čitelné údaje se považují údaje zakódované v strukturovaných souborech. Použité formáty by pak měly být vzájemně přenositelné.
Ustanovení pak umožňuje, aby na žádost subjektu byly takové údaje předány i přímo mezi správci (např. pokud při přestupu dítěte z jedné školy na druhou rodič dítěte požádá původní školu o předání údajů o účasti dítěte v zájmových útvarech, tedy údajů nad rámec těch, které se předávají ze zákona). Příslušné ustanovení míří především na využití v obchodním či jiném styku mezi osobami soukromého práva. K tomuto směřuje i omezení odstavce 3, které vyjímá z tohoto práva zpracování údajů prováděné ve veřejném zájmu nebo při výkonu veřejné moci.
Správce v těchto případech musí zajistit zpracování dat takovým způsobem, respektive v takových technických podmínkách (systémech), aby byl schopen výše uvedeným způsobem osobní údaje subjektu poskytnout. Je tedy vhodné nepoužívat pro zpracování dat alternativní systémy, které nejsou kompatibilní s většinou obvykle využívaných programů a podobně. Dále by měl správce dbát práv a svobod jiných osob, tedy zejména předejít tomu, aby byly subjektu údajů spolu s jeho osobními údaji poskytnuty i údaje o jiných osobách. Dále je nutné před poskytnutím údajů vždy dostatečně ověřit totožnost subjektu údajů, aby správce zabránil zneužití nebo neoprávněnému šíření osobních údajů. I ve výše popsaném případě je pak správce povinen, jestliže o to subjekt údajů požádá, zajistit výmaz osobních údajů u jiných správců či zpracovatelů.
K čl. 21 nařízení
Ustanovení čl. 21 nařízení stanoví:
„Právo vznést námitku
1. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
2. Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.
3. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
4. Subjekt údajů je na právo uvedené v odstavcích 1 a 2 výslovně upozorněn a toto právo je uvedeno zřetelně a odděleně od jakýchkoli jiných informací, a to nejpozději v okamžiku první komunikace se subjektem údajů.
5. V souvislosti s využíváním služeb informační společnosti, a aniž je dotčena směrnice 2002/58/ES, může subjekt údajů uplatnit své právo vznést námitku automatizovanými prostředky pomocí technických specifikací.
6. Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, má subjekt údajů, z důvodů týkajících se jeho konkrétní situace, právo vznést námitku proti zpracování osobních údajů, které se ho týkají, ledaže je zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu.“.
Ustanovení čl. 21 nařízení stanovuje právo subjektu údajů vznést námitku proti zpracování osobních údajů a to především s ohledem na důvod zpracování údajů. Možnost vznést námitku podle tohoto ustanovení pak může subjekt pouze v případě, že zpracovávání osobních údajů bylo nezbytné pro výkon úkolů ve veřejném zájmu, při výkonu veřejné moci, z důvodu oprávněných zájmů správce nebo třetí strany (odst. 1) nebo pokud jsou osobní údaje zpracovávány pro účely přímého marketingu. Ve školách a školských zařízeních bude k takovému zpracování osobních údajů docházet především v souvislosti s výkonem veřejné moci v rozsahu, který je dán školským zákonem, tedy pokud budou rozhodovat o přijetí či nepřijetí žáka ke studiu, rozhodování o povolení individuálního vzdělávacím plánu a podobně. Ke zpracování osobních údajů za účelem přímého marketingu by v případě škol a školských zařízení docházelo například v případě, pokud by byly za účelem propagace školy oslovovány konkrétní osoby (například emailem), vzhledem k povaze instituce však tímto způsobem postupováno zpravidla nebude.
V případě, že bude v souvislosti s výše uvedenými činnostmi školy či školského zařízení vznesena ze strany subjektů údajů, tedy žáků, studentů, resp. jejich zákonných zástupců taková námitka, musí škola prokázat ve lhůtě dle čl. 12 (tj. bezodkladně, standardně do jednoho měsíce) důvody k takovému zpracování údajů, a dále že tyto oprávněné zájmy na zpracování převažují nad zájmy nebo základními právy a svobodami subjektu údajů. Pokud takové důvody ke zpracování nebudou dány, musí od něj školy a školská zařízení upustit a pokud nebudou dány jiné důvody také údaje vymazat. Důležité je, aby byl na právo vznést námitku subjekt údajů upozorněn zvlášť vždy před započetím zpracování.
K čl. 22 nařízení
(dříve § 11 odst. 6 zákona č. 101/2000 Sb.)
Ustanovení čl. 22 nařízení stanoví:
„Automatizované individuální rozhodování, včetně profilování
1. Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
2. Odstavec 1 se nepoužije, pokud je rozhodnutí:
a) nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů;
b) povoleno právem Unie nebo členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů; nebo
c) založeno na výslovném souhlasu subjektu údajů.
3. V případech uvedených v odst. 2 písm. a) a c) provede správce údajů vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů, alespoň práva na lidský zásah ze strany správce, práva vyjádřit svůj názor a práva napadnout rozhodnutí.
4. Rozhodnutí uvedená v odstavci 2 se neopírají o zvláštní kategorie osobních údajů uvedené v čl. 9 odst. 1, pokud se neuplatní čl. 9 odst. 2 písm. a) nebo g) a nejsou zavedena vhodná opatření pro zajištění práv a svobod a oprávněných zájmů subjektu údajů.“.
Ustanovení čl. 22 upravující automatizované individuální rozhodování má dopady především na správce osobních údajů, kteří zpracovávají data získaná za použití informačních technologií a následně je tímto způsobem vyhodnocují, přičemž výsledek má vliv na práva a povinnosti jedince.
Tzv. profilování je dle definice v čl. 4 nařízení jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k člověku, za účelem rozboru nebo odhadu informací a preferencí konkrétního člověka například v oblasti jeho ekonomické situace, osobních zájmů a další. Výstupem takových rozborů či odhadů je tvorba tzv. profilů, a to například za účelem zacílení reklam na jedince a s tím spojeným ziskem. Toto ustanovení se tedy regionálního školství bezprostředně nedotýká, nicméně je v dané souvislosti třeba upozornit na úpravu bodu 38 preambule, který uvádí: „Děti zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů. Tato zvláštní ochrana by se měla zejména vztahovat na používání osobních údajů dětí pro účely marketingu nebo vytváření osobnostních i uživatelských profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem. Souhlas nositele rodičovské zodpovědnosti by neměl být nutný v případě preventivních či poradenských služeb nabízených přímo dětem“. V tomto ohledu by měli učitelé a rodiče pozitivně působit na děti, poučit je mimo jiné o bezpečném využívání informačních technologií a chování na internetu.
Ve vztahu k ochraně osobních údajů v kyberprostoru dále doporučujeme v rámci činnosti školy a školského zařízení neukládat informace s osobními údaji (např. podobizny, výstupy ze vzdělávání) ať už žáků/studentů, zákonných zástupců či zaměstnanců na vzdálená internetová úložiště spravovaná externími poskytovateli služeb. Pokud takováto sdílená úložiště škola nebo školské zařízení využívá nebo chce využívat, je nezbytné zkontrolovat smlouvu o poskytování daných služeb, resp. podmínky, za kterých je služba poskytována a jak jsou údaje zpracovávány.
Též nedoporučujeme využívat různé formuláře na internetu, kam žáci/studenti nebo jejich zákonní zástupci vyplňují své osobní údaje, např. pro účely anket, přihlášek na akce apod. Byť v daném případě dává subjekt údajů – žák/student a další – souhlas se zpracováním jeho osobních údajů, je třeba mít na paměti, že tyto služby poskytují soukromé společnosti a zpracovávají údaje pro různé účely. Ostatně subjekt údajů nemusí se zpracováním údajů souhlasit, je tedy více než vhodné zvážit, zda využití takovýchto prostředků komunikace nebo sdílení informací je skutečně nutné.
K čl. 23 nařízení
Ustanovení čl. 23 nařízení stanoví:
„Omezení
1. Právo Unie nebo členského státu, které se na správce nebo zpracovatele vztahuje, může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 a v článku 34, jakož i v článku 5, v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:
a) národní bezpečnost;
b)obranu;
c)veřejnou bezpečnost;
d)prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;
e)jiné důležité cíle obecného veřejného zájmu Unie nebo členského státu, zejména důležitý hospodářský nebo finanční zájem Unie nebo členského státu, včetně peněžních, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení;
f)ochranu nezávislosti soudnictví a soudních řízení;
g)prevenci, vyšetřování, odhalování a stíhání porušování etických pravidel regulovaných povolání;
h)monitorovací, inspekční nebo regulační funkci spojenou, i pouze příležitostně, s výkonem veřejné moci v případech uvedených v písmenech a) až e) a g);
i)ochranu subjektu údajů nebo práv a svobod druhých;
j)vymáhání občanskoprávních nároků.
2. Každé legislativní opatření uvedené v odstavci 1 zejména obsahuje konkrétní ustanovení, alespoň, je-li to relevantní, pokud jde o:
a)účely zpracování nebo kategorie zpracování;
b)kategorie osobních údajů;
c)rozsah zavedených omezení;
d)záruky proti zneužití údajů nebo protiprávnímu přístupu k nim či jejich protiprávnímu předání;
e)specifikaci správců nebo kategorie správců;
f)doby uložení a platné záruky s ohledem na povahu, rozsah a účely zpracování nebo kategorie zpracování;
g)rizika z hlediska práv a svobod subjektů údajů; a
h)právo subjektů údajů být informováni o daném omezení, pokud toto informování nemůže být na újmu účelu omezení.“.
Ustanovení čl. 23 zakotvuje legislativní možnost členských zemí Evropské unie omezit některá práva a povinnosti upravená nařízením v rozsahu a za podmínek v tomto článku uvedených.
Tato možnost může být naplněna i dosavadními právními předpisy, které mohou stanovit zvláštní povinnosti, zákazy nebo výjimky při zpracování osobních údajů.
K čl. 24 a 25 nařízení
(dříve ustanovení § 13 odst. 1 zákona č. 101/2000 Sb.)
Ustanovení čl. 24 nařízení stanoví:
„Odpovědnost správce
1. S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.
2. Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.
3. Jedním z prvků, jimiž lze doložit, že správce plní příslušné povinnosti, je dodržování schválených kodexů chování uvedených v článku 40 nebo schválených mechanismů pro vydávání osvědčení uvedených v článku 42.“.
Ustanovení čl. 25 nařízení stanoví:
„Záměrná a standardní ochrana osobních údajů
1. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.
2. Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.
3. Jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými v odstavcích 1 a 2 tohoto článku, je schválený mechanismus pro vydávání osvědčení podle článku 42.“.
Každý správce osobních údajů (škola a školské zařízení) nese odpovědnost za to, že zpracovává osobní údaje člověka (všech dětí, žáků, jejich zákonných zástupců atd.) v souladu s nařízením. Tuto odpovědnost nelze přenést na někoho jiného.
K dodržení všech pravidel nařízení je nezbytné, aby měl správce ještě před účinností nařízení (a následně po celou dobu účinnosti nařízení) přehled o tom, jaké osobní údaje zpracovává, na základě čeho je zpracovává (k tomu výše komentář k čl. 6 nařízení) a jakým způsobem je zpracovává.
Správce musí také včas přijmout vhodná opatření, která zajistí, aby bylo nařízení po celou dobu své účinnosti dodržováno. Jde o opatření technická a organizační.
Za technické opatření můžeme považovat například zajištění nebo prověření zabezpečení elektronického systému pro zpracování osobních údajů, pokud jej škola nebo školské zařízení používá. K zajištění osobních údajů v elektronické podobě lze uvažovat např. o pseudonymizaci (viz čl. 4 odst. 5 nařízení) nebo šifrování dat.
Mezi organizační opatření můžeme počítat například nastavení vnitřních pravidel přístupu k osobním údajům (např. vnitřním předpisem), proškolení zaměstnanců a v neposlední řadě též personální zajištění za účelem plnění dílčích povinností správce. Člověk, jehož údaje jsou zpracovávány, má totiž dle nařízení jistá práva, která vyžadují činnost správce. Například dle čl. 16 až 18 nařízení má člověk (za zde uvedených okolností) právo na opravu osobních údajů, právo na výmaz osobních údajů a právo na omezení zpracování osobních údajů. Vedle toho má dle nařízení správce další povinnosti, například hlásit porušení zabezpečení osobních údajů dle čl. 33 nařízení.
Opatření a zpracovávání osobních údajů na jejich základě by mělo být prováděno takovou formou, aby byl správce schopen doložit, že všechny osobní údaje zpracovává v souladu s nařízením. Případně, došlo-li k porušení ochrany osobních údajů, aby byl schopen doložit, že učinil vše, co bylo rozumné po něm požadovat.
Při volbě opatření k zabezpečení osobních údajů je nutné zohlednit rozsah zpracování, kontext zpracování, účel zpracování a míru rizika zpracování pro člověka, jehož osobní údaje jsou zpracovávány. V neposlední řadě je třeba věnovat pozornost i povaze zpracovávaných osobních údajů, neboť některé osobní údaje zasluhují vyšší stupeň ochrany (půjde například o údaje dle čl. 9 nařízení). Zároveň je nutné vycházet ze stavu techniky, tedy z toho, co umožňují současné moderní technologie. Je však legitimní přihlédnout i k výši nákladů na provedení. K zabezpečení zpracování více viz čl. 32 nařízení.
Zpracovávány by měly být pouze takové osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné, a to pouze po nezbytně nutnou dobu.
S ohledem na výše uvedené se doporučuje, aby správce revidoval případné formuláře, na kterých mu lidé osobní údaje předávají.
K čl. 28 nařízení
(dříve ustanovení § 6 až 8 a ustanovení § 15 zákona č. 101/2000 Sb.)
Ustanovení čl. 28 nařízení stanoví:
„Zpracovatel
1. Pokud má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.
2. Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.
3. Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:
a) zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Unie nebo členského státu, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
b) zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
c) přijme všechna opatření požadovaná podle článku 32;
d) dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 4;
e) zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III;
f) je správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;
g) v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;
h) poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.
Pokud jde o první pododstavec písm. h), informuje zpracovatel neprodleně správce v případě, že podle jeho názoru určitý pokyn porušuje toto nařízení nebo jiné předpisy Unie nebo členského státu týkající se ochrany údajů.
4. Pokud zpracovatel zapojí dalšího zpracovatele, aby jménem správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního aktu podle práva Unie nebo členského státu stejné povinnosti na ochranu údajů, jaké jsou uvedeny ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem podle odstavce 3, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky tohoto nařízení. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá správci za plnění povinností dotčeného dalšího zpracovatele i nadále plně prvotní zpracovatel.
5. Jedním z prvků, jimiž lze doložit dostatečné záruky podle odstavců 1 a 4 tohoto článku, je skutečnost, že zpracovatel dodržuje schválený kodex chování uvedených v článku 40 nebo schválený mechanismus pro vydávání osvědčení uvedený v článku 42.
6. Aniž jsou dotčeny individuální smlouvy mezi správcem a zpracovatelem, mohou být smlouvy nebo jiné právní akty podle odstavců 3 a 4 tohoto článku založeny zcela nebo částečně na standardních smluvních doložkách podle odstavců 7 a 8 tohoto článku, mimo jiné i v případě, že jsou součástí osvědčení uděleného správci či zpracovateli podle článků 42 a 43.
7. Pro záležitosti uvedené v odstavcích 3 a 4 tohoto článku může standardní smluvní doložky stanovit Komise přezkumným postupem podle čl. 93 odst. 2.
8. Pro záležitosti uvedené v odstavcích 3 a 4 tohoto článku může standardní smluvní doložky přijmout dozorový úřad v souladu s mechanismem jednotnosti uvedeným v článku 63.
9. Smlouva nebo jiný právní akt podle odstavců 3 a 4 musí být vyhotoveny písemně, v to počítaje i elektronickou formu.
10. Aniž jsou dotčeny články 82, 83 a 84, pokud zpracovatel poruší toto nařízení tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.“.
Pakliže správce osobních údajů využívá služeb externího subjektu, který pro něj osobní údaje jakýmkoli způsobem zpracovává (typicky při poskytování služeb v souvislosti s elektronickým systémem právnickou osobou na základě smlouvy), je tento externí subjekt zpracovatelem a je nutné dostát požadavkům čl. 28 nařízení.
Správce je povinen dohodnout se pouze s takovým zpracovatelem, který je schopen zajistit dostatečnou ochranu práv člověka v souvislosti se zpracováním osobních údajů, tj. je schopen zajistit dodržení pravidel pro nakládání s osobními údaji dle nařízení. Je v zájmu správce věnovat výběru zpracovatele a sjednání podmínek s ním náležitou pozornost již jen z toho důvodu, že za porušení práv člověka v souvislosti se zpracováním jeho osobních údajů je nadále odpovědný.
Smlouva mezi správcem a zpracovatelem musí být uzavřena písemně (za písemnou se považuje i elektronická forma). Čl. 28 nařízení zároveň stanoví povinné náležitosti takové smlouvy. Smlouva musí obsahovat předmět a dobu trvání zpracování, povahu a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce a samozřejmě též povinnosti zpracovatele, které jsou v odstavci 3 tohoto článku podrobně popsány. Ve stručnosti jsou jimi zejména tyto povinnosti:
1. povinnost zpracovávat osobní údaje pouze na základě doložených pokynů správce;
2. povinnost zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti;
3. povinnost přijmout všechna opatření požadovaná podle čl. 32 nařízení;
4. povinnost dodržovat podmínky pro zapojení dalšího zpracovatele;
5. povinnost zohledňovat povahu zpracování a být správci nápomocen, jde-li o žádosti člověka, jehož osobní údaje jsou zpracovávány;
6. povinnost být správci nápomocen při zajišťování souladu s povinnostmi vyplývajícími z čl. 32 až 36 nařízení;
7. povinnost v souladu s rozhodnutím správce osobní údaje vymazat nebo vrátit správci (a zničit kopie);
8. povinnost poskytovat správci informace potřebné k doložení toho, že byly splněny příslušné povinnosti a povinnost umožnit správci provádět audity či inspekce.
Pokud stávající smlouvy nejsou v souladu s nařízením, je nutné je včas revidovat, případně vypovědět.
K čl. 29 nařízení
(dříve ustanovení § 14 a § 6 až 8 zákona č. 101/2000 Sb.)
Ustanovení čl. 29 nařízení stanoví:
„Zpracování z pověření správce nebo zpracovatele
Zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce, ledaže jí jejich zpracování ukládá právo Unie nebo členského státu.“.
Čl. 29 nařízení vyjadřuje podřízenost zpracovatele a všech osob, které mají přístup k osobním údajům a mají je zpracovávat, vůči správci. Všechny tyto osoby jsou oprávněny zpracovávat osobní údaje pouze na pokyn správce. Výjimku z tohoto pravidla by mohlo představovat jedině zpracování uložené právními předpisy.
Za účelem dodržování tohoto článku je správce i zpracovatel povinen přijmout vhodná opatření (viz čl. 32 odst. 4 nařízení).
K čl. 30 nařízení
(dříve ustanovení § 13 odst. 2 zákona č. 101/2000 Sb.)
Ustanovení čl. 30 nařízení stanoví:
„Záznamy o činnostech zpracování
1. Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. Tyto záznamy obsahují všechny tyto informace:
a) jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;
b) účely zpracování;
c) popis kategorií subjektů údajů a kategorií osobních údajů;
d) kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
e) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk;
f) je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;
g) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.
2. Každý zpracovatel a jeho případný zástupce vede záznamy o všech kategoriích činností zpracování prováděných pro správce, jež obsahují:
a) jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů;
b) kategorie zpracování prováděného pro každého ze správců;
c) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk;
d) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.
3. Záznamy podle odstavců 1 a 2 se vyhotovují písemně, v to počítaje i elektronickou formu.
4. Správce, zpracovatel nebo případný zástupce správce nebo zpracovatele poskytne záznamy na požádání dozorového úřadu.
5. Povinnosti uvedené v odstavcích 1 a 2 se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.“.
Správce a zpracovatel jsou povinni vést písemné záznamy (za písemné se považují i elektronické záznamy) o činnostech zpracování.
Pakliže správce zaměstnává méně než 250 osob, vztahuje se na něj tato povinnost jen za těchto okolností:
• v případě zpracování, které představuje riziko pro práva člověka, jehož osobní údaje jsou zpracovávány,
• není-li zpracování pouze příležitostné, nebo
• jde-li o zpracování zvláštních kategorií údajů (viz čl. 9 nařízení).
Při splnění zákonem stanovených podmínek se tedy tato povinnost vztahuje i na školy a školská zařízení.
Čl. 30 nařízení potom stanoví obsahové náležitosti písemných záznamů. Povinné obsahové náležitosti záznamů prováděných správci jsou:
1. jméno a kontaktní údaje správce;
2. účely zpracování;
3. popisy kategorií subjektů údajů a kategorií osobních údajů,
4. kategorie příjemců;
5. informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci; 6. plánované lhůty pro výmaz kategorií údajů (pouze pokud je to možné);
7. obecný popis bezpečnostních opatření uvedených v čl. 32 odst. 1 nařízení (pouze pokud je to možné).
Správce je povinen písemné záznamy na vyžádání poskytnout dozorovému úřadu.
K čl. 31 nařízení
Ustanovení čl. 31 nařízení stanoví:
„Spolupráce s dozorovým úřadem
Správce a zpracovatel a případný zástupce správce nebo zpracovatele spolupracují na požádání s dozorovým úřadem při plnění jeho úkolů.“.
Každý správce osobních údajů (škola a školské zařízení) je povinen poskytovat součinnost dozorovému úřadu, kterým bude Úřad pro ochranu osobních údajů. Správce je například povinen úřadu na vyžádání poskytovat informace, umožnit přístup k osobním údajům a přístup do prostor, v nichž správce působí, včetně přístupu k veškerému zařízení a prostředkům určeným ke zpracování údajů (viz čl. 58 nařízení). Správce je povinen též na vyžádání poskytnout úřadu své záznamy (viz čl. 30 odst. 4 nařízení).
K čl. 32 až 36 nařízení
(dříve částečně ustanovení § 13 až § 19 zákona č. 101/2000 Sb.)
Čl. 32 až 36 nařízení upravuje, jakým způsobem se má správce a zpracovatel postavit k rizikům spojeným se zpracováním osobních údajů, zejména tedy v situacích kdy k úniku či zneužití údajů již došlo nebo se zvýšené riziko úniku či zneužití dá předvídat.
Předně je tedy na správci, resp. zpracovateli, aby si uvědomil jaké osobní údaje (popř. citlivé osobní údaje) zpracovává a jaká míra rizika je s takovým zpracováním spojena. Pravděpodobnost a závažnost rizika pro práva a svobody jednotlivců by měly být určeny na základě povahy, rozsahu, kontextu a účelů zpracování. Je na správci či zpracovateli, aby se pokusil o největší možné zmírnění rizika úniku a zneužití osobních údajů. Ve školském prostředí se nabízí např. následující možnosti, jak takového zmírnění dosáhnout. Může se jednat o opatření technické spočívající v pořízení kvalitního vybavení (včetně softwarového a hardwarového), které bude ke zpracování (i uskladnění) dat sloužit, popř. v šifrování či pseudonymizaci osobních údajů. Rovněž v případě práce s informačními systémy, které zajišťuje externí subjekt (dodavatel), je nezbytné smluvně zajistit, jakým způsobem (pokud vůbec) bude tento subjekt s údaji nakládat. I v této otázce platí, že minimalizace zpracovávání osobních údajů přispívá k bezpečnosti tohoto zpracování. Dále se nabízí opatření organizační, tedy přesné určení osob, které budou s osobními údaji pracovat (s omezením jejich počtu na minimum) a rovněž řádné určení, jakým způsobem budou jednotlivé osoby s těmito osobními údaji pracovat. V této souvislosti je pak třeba upozornit i na to, že tyto osoby by měly mít potřebné znalosti a být k práci s osobními údaji (a se souvisejícími informačními systémy) proškoleny, přičemž samotné školení dotčených osob lze považovat za opatření ke zmírnění rizika. Dalším nezbytným a neopominutelným opatřením je rovněž krátkodobost zpracování osobních údajů, neboť lze konstatovat, že maximální zkrácení doby zpracování údajů snižuje riziko jejich úniku či zneužití. Školám či jiným obdobným zařízením tak lze doporučit, aby se za použití veškerých možných opatření pokusily rizika spojená se zpracováním osobních údajů odstranit.
V této souvislosti je třeba upozornit na dopady, které by zanedbání příslušných opatření, vedoucí k úniku a zneužití údajů, mohlo případně mít. V první řadě je třeba zmínit dalekosáhlé následky na život člověka, o jehož osobní údaje se jedná. Ve školském prostředí půjde primárně o dítě, ale rovněž také o rodiče, zaměstnance školy či školského zařízení, jiné třetí osoby apod. Kvalita života jedince, jehož osobní údaje byly zneužity, se může výrazně zhoršit či jinak změnit, neboť takové zneužití je významným zásahem do práva na ochranu osobnosti takového člověka. Mezi případné hrozící negativní důsledky lze předně zařadit diskriminaci, zneužití údajů k trestné činnosti, šikanu, ztížení pracovního uplatnění, krádeži či zneužití identity, finanční ztrátě, poškození pověsti, apod. Únik či zneužití osobních údajů výše zmíněných osob však může mít dalekosáhlé důsledky i na samotné fungování školy, kdy si lze představit, že např. rozsáhlý únik informací žáků, by mohl být v krajním případě pro školu i likvidační. V neposlední řadě je pak třeba zdůraznit, že v porušení ochrany osobních údajů může vést i ke vzniku škody, jejíž rozsah bude záviset na konkrétních skutkových okolnostech případu.
Ustanovení čl. 32 nařízení stanoví:
„Zabezpečení zpracování
1. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:
a) pseudonymizace a šifrování osobních údajů;
b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb
zpracování;
c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či
technických incidentů;
d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických
a organizačních opatření pro zajištění bezpečnosti zpracování.
2. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.
3. Jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými v odstavci 1 tohoto článku, je dodržování schváleného kodexu chování uvedeného v článku 40 nebo uplatňování schváleného mechanismu pro vydávání osvědčení uvedeného v článku 42.
4. Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.“.
Zabezpečení osobních údajů správcem a zpracovatelem není novinkou, neboť povinnost přijmout opatření k zabezpečení osobních údajů upravoval již zákon č. 101/2000 Sb. (§ 13 a násl. tohoto zákona). Nařízení nově definuje, že porušením zabezpečení osobních údajů je takové porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů, s čímž se pojí i odpovídající sankce.
K zabezpečení osobních údajů je správce a zpracovatel povinen přijmout vhodná technická a organizační opatření, aby s ohledem na jednotlivé kategorie zpracovávaných osobních údajů byla zabezpečena jejich odpovídající ochrana (speciální pozornost je třeba věnovat zabezpečení zvláštních kategorií osobních údajů; v kontextu škol a školských zařízení se může jednat například o údaje o zdravotním stavu dětí a zaměstnanců, údaje o jejich zvláštním stravovacím režimu, apod.).
Mezi vhodná technická a organizační opatření k zabezpečení ochrany osobních údajů lze dle ministerstva považovat například minimalizaci zpracování osobních údajů, co nejrychlejší pseudonymizaci osobních údajů a přijetí vnitřního předpisu, kterým by škola či školské zařízení pro své zaměstnance stanovila povinnosti při nakládání s osobními údaji. Dále lze rovněž doporučit seznámení, resp. proškolení zaměstnanců s tímto předpisem a současně také přiměřenou míru kontroly jeho dodržování, zejména ze strany vedoucích zaměstnanců, kterým tato povinnost plyne ze zákona (viz ustanovení § 302 zákona č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů). K vnitřnímu předpisu k ochraně osobních údajů lze také uvést, že by měl rozlišovat mezi zpracováním osobních údajů prostřednictvím spisového materiálu v listinné podobě, a prostřednictvím elektronických systémů, přičemž pro obě tyto oblasti je nutné stanovit přesná pravidla a povinnosti zaměstnanců. Co se listinných spisů týče, je třeba, aby správce a zpracovatel zejména zajistil, že tyto spisy nejsou ponechávány bez dozoru a jsou uloženy na bezpečném místě, ke kterému má přístup okruh k tomu oprávněných zaměstnanců. U elektronických systémů je pak třeba doporučit zabezpečení nejvyšší možné ochrany osobních údajů v závislosti na nastavení konkrétního systému, zejména zabezpečení přístupovými údaji s heslem. V obou případech však obecně platí, že je třeba co nejvíce zabezpečit, aby osobní údaje zpracovávané školou či školským zařízením nebyly použity k jinému než stanovenému účelu a nebyly sdělovány ani zpřístupněny osobám, které k tomu nejsou oprávněny.
Je třeba mít rovněž na paměti, že osobní údaje mohou být zpracovávány pro potřeby školy rovněž externím subjektem. V této souvislosti je třeba prověřit, zda je ve vztahu k tomuto subjektu smluvně ošetřeno, s jakými osobními údaji a jakým způsobem externí subjekt nakládá a rovněž jakým způsobem zajišťuje jejich ochranu. Ministerstvo důrazně doporučuje posoudit, zda je v předmětných smlouvách upraveno zejména právo školy nebo školského zařízení omezit nebo zakázat zpracování osobních údajů a zda jsou smlouvy v souladu s nařízením a vnitrostátními právními předpisy v této oblasti. Pokud by tomu tak nebylo, pak je třeba doporučit zasadit se o změnu smlouvy tak, aby tato ošetřovala výše uvedené a byla v souladu jak s evropskými, tak vnitrostátními právními předpisy. Za situace, kdy druhá smluvní strana nebude nakloněna změně smlouvy, pak lze doporučit tuto smlouvu vypovědět, neboť zájem na zabezpečení ochrany osobních údajů by měl převážit nad zájmem na zachování smluvního vztahu.
Nařízení dále stanovuje, že jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými v odstavci 1 tohoto článku, je dodržování schváleného kodexu chování uvedeného v čl. 40, uplatňování schváleného mechanismu pro vydávání osvědčení uvedeného v čl. 42 nebo například doporučení pověřence pro ochranu osobních údajů, je-li jmenován.
Nařízení rovněž stanovuje, že správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Evropské unie nebo členského státu.
Ustanovení čl. 33 nařízení stanoví:
„Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu
1. Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu příslušnému podle článku 55, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.
2. Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.
3. Ohlášení podle odstavce 1 musí přinejmenším obsahovat:
a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
b) jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního
místa, které může poskytnout bližší informace;
c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
d) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
4. Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.
5. Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.“.
Ustanovení čl. 34 nařízení stanoví:
„Oznamování případů porušení zabezpečení osobních údajů subjektu údajů
1. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.
2. V oznámení určeném subjektu údajů podle odstavce 1 tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené v čl. 33 odst. 3 písm. b), c) a d).
3. Oznámení subjektu údajů uvedené v odstavci 1 se nevyžaduje, je-li splněna kterákoli z těchto podmínek:
a) správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;
b) správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů
údajů podle odstavce 1 se již pravděpodobně neprojeví;
c) vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány
stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.
4. Jestliže správce dotčenému subjektu údajů porušení zabezpečení osobních údajů ještě neoznámil, může dozorový úřad po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.“.
Čl. 33 a 34 nařízení zavádí novou povinnost pro správce a zpracovatele osobních údajů, kterou je ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu (čl. 33) a subjektu údajů (čl. 34).
V rámci školy a školského zařízení by mělo být v prvé řadě zajištěno, že byla zavedena veškerá vhodná technická a organizační opatření, aby k porušení zabezpečení osobních údajů nedošlo. Pokud i přes zavedená opatření došlo k podezření z porušení zabezpečení osobních údajů, pak je nezbytné bezprostředně stanovit, zda byly naplněny podmínky článků 33 a 34 nařízení a měl by být bezodkladně informován dozorový orgán a subjekt údajů. Vždy je třeba nejprve zjistit povahu a závažnost daného porušení zabezpečení osobních údajů a jeho důsledky a nežádoucí účinky pro subjekt údajů. Ve vztahu k dozorovému úřadu dle článku 33 platí, že mu správce ohlásí jakékoli porušení zabezpečení osobních údajů (bez zbytečného odkladu, pokud možno do 72 hodin od okamžiku, kdy se o tomto porušení správce dozvěděl), ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob, přičemž tuto skutečnost musí být správce v souladu se zásadou odpovědnosti schopen doložit. V pochybnostech, zda porušení mělo či nemělo za následek riziko pro práva a svobody fyzických osob, ministerstvo doporučuje ohlášení dozorovému úřadu učinit. Náležitosti ohlášení porušení zabezpečení jsou obsaženy v článku 33 odst. 3 nařízení. Toto oznámení může vést k zásahu dozorového úřadu v souladu s jeho úkoly a pravomocemi stanovenými v nařízení.
Je třeba rovněž upozornit na skutečnost, že není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu, jako je ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím nebo jakékoliv jiné významné společenské znevýhodnění dotčených fyzických osob.
Skutečnost, že oznámení bylo provedeno bez zbytečného odkladu, se stanoví zejména s ohledem na povahu a závažnost daného porušení zabezpečení osobních údajů a jeho důsledky a nežádoucí účinky pro subjekt údajů.
Dle článku 34 pak ve vztahu k subjektu údajů (žák, zákonný zástupce, zaměstnanec, třetí osoba apod.) platí, že správce by měl porušení zabezpečení osobních údajů oznámit subjektu údajů bez zbytečného prodlení, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzické osoby, aby mohl učinit nezbytná opatření. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit. Tato oznámení by měla být subjektům údajů učiněna, jakmile je to proveditelné, v úzké spolupráci s dozorovým úřadem a v souladu s pokyny tohoto úřadu nebo jiných příslušných orgánů (například donucovacích orgánů). Například v případě potřeby zmírnit bezprostřední riziko způsobení újmy je nutné tuto skutečnost subjektům údajů neprodleně oznámit, zatímco v situaci, kdy je zapotřebí zavést vhodná opatření s cílem zabránit tomu, aby porušení zabezpečení osobních údajů pokračovalo nebo aby docházelo k podobným případům porušení, může být opodstatněna delší lhůta. Při vytváření podrobných pravidel týkajících se formátu a postupů ohlašování případů porušení zabezpečení osobních údajů by měly být náležitě zohledněny okolnosti porušení, včetně otázky, zda byly osobní údaje chráněny vhodnými technickými opatřeními, jež pravděpodobnost zneužití totožnosti a jiných forem zneužívání účinně omezují. Tato pravidla a postupy by navíc měly vzít v úvahu oprávněné zájmy donucovacích orgánů v případech, kdy by předčasné zpřístupnění mohlo zbytečně ztížit vyšetřování okolností porušení zabezpečení osobních údajů.
Nařízení v článku 34 odst. 3 dále stanovuje, že oznámení subjektu údajů se nevyžaduje, jestliže správce zavedl taková technická a organizační opatření ve vztahu k dotčeným osobním údajům, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn mít k nim přístup (například šifrováním), nebo pokud přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektu údajů se již pravděpodobně neprojeví, nebo také pokud by to vyžadovalo nepřiměřené úsilí – v takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.
Ustanovení čl. 35 nařízení stanoví:
„Posouzení vlivu na ochranu osobních údajů
1. Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení.
2. Při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů, byl-li jmenován.
3. Posouzení vlivu na ochranu osobních údajů podle odstavce 1 je nutné zejména v těchto případech:
a) systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
b) rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10; nebo
c) rozsáhlé systematické monitorování veřejně přístupných prostorů.
4. Dozorový úřad sestaví a zveřejní seznam druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů podle odstavce 1. Dozorový úřad uvedené seznamy předá sboru.
5. Dozorový úřad může rovněž sestavit a zveřejnit seznam druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné. Dozorový úřad uvedené seznamy předá sboru.
6. Před přijetím seznamů podle odstavců 4 a 5 použije příslušný dozorový úřad mechanismus jednotnosti uvedený v článku 63, pokud tyto seznamy zahrnují činnosti zpracování související s nabídkou zboží či služeb subjektům údajů nebo s monitorováním jejich chování v několika členských státech, nebo jestliže dané seznamy mohou výrazně ovlivnit volný pohyb osobních údajů v rámci Unie.
7. Posouzení obsahuje alespoň:
a) systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně
oprávněných zájmů správce;
b) posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;
c) posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1; a
d) plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.
8. Dodržování schválených kodexů chování podle článku 40 příslušnými správci nebo zpracovateli se řádně zohlední při posuzování dopadu operací zpracování prováděných těmito správci či zpracovateli, zejména pro účely posouzení vlivu na ochranu osobních údajů.
9. Správce ve vhodných případech získá k zamýšlenému zpracování stanovisko subjektů údajů nebo jejich zástupců, aniž by byla dotčena ochrana obchodních či veřejných zájmů nebo bezpečnost operací zpracování.
10. Pokud má zpracování podle čl. 6 odst. 1 písm. c) nebo e) právní základ v právu Unie nebo členského státu, které se na správce vztahuje, a toto právo upravuje konkrétní operaci nebo soubor operací zpracování a pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního základu, odstavce 1 až 7 se nepoužijí, ledaže by členské státy považovaly provedení tohoto posouzení před činnostmi zpracování za nezbytné.
11. Správce případně provede přezkum s cílem posoudit, zda je zpracování prováděno v souladu s posouzením vlivu na ochranu osobních údajů alespoň v případech, kdy dojde ke změně rizika, jež představují operace zpracování.“.
Ustanovení čl. 36 nařízení stanoví:
„Předchozí konzultace
1. Správce konzultuje před zpracováním s dozorovým úřadem, pokud z posouzení vlivu na ochranu osobních údajů podle článku 35 vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika.
2. Pokud se dozorový úřad domnívá, že by zamýšlené zpracování uvedené v odstavci 1 porušilo toto nařízení, zejména pokud správce nedostatečně určil či zmírnil riziko, upozorní na to správce a případně zpracovatele údajů písemně ve lhůtě nejvýše osmi týdnů od obdržení žádosti o konzultaci a může uplatnit kteroukoli ze svých pravomocí uvedených v článku 58. Tato lhůta může být s ohledem na složitost zamýšleného zpracování prodloužena o šest týdnů. Dozorový úřad informuje správce a případně zpracovatele o každém takovém prodloužení a o jeho důvodech do jednoho měsíce od obdržení žádosti o konzultaci. Tyto lhůty mohou být pozastaveny, dokud dozorový úřad neobdrží veškeré informace, o které požádal pro účely konzultace.
3. Při konzultaci s dozorovým úřadem podle odstavce 1 mu správce poskytne informace o těchto aspektech:
a) ve vhodných případech rozdělení odpovědnosti správce, společných správců a zpracovatelů zapojených do zpracování, zejména v případě zpracování v rámci skupiny podniků;
b) účely a způsoby zamýšleného zpracování;
c) opatření a záruky poskytnuté za účelem ochrany práv a svobod subjektů údajů podle tohoto
nařízení;
d) kontaktní údaje případného pověřence pro ochranu osobních údajů;
e) posouzení vlivu na ochranu osobních údajů podle článku 35 a
f) veškeré další informace, o které dozorový úřad požádá.
4. Členské státy konzultují s dozorovým úřadem během přípravy návrhu legislativního opatření, které má přijmout vnitrostátní parlament, nebo návrhu regulačního opatření založeného na takovém legislativním opatření, jež souvisí se zpracováním.
5. Bez ohledu na odstavec 1 může právo členského státu od správců vyžadovat, aby konzultovali s dozorovým úřadem a získali od něj předchozí povolení, pokud jde o zpracování správcem za účelem vykonání úkolu ve veřejném zájmu, včetně zpracování v souvislosti se sociální ochranou a veřejným zdravím.“.
V čl. 35 a 36 nařízení jsou řešeny situace, kdy správce či zpracovatel má předvídat a předvídá, že určitý způsob zpracování bude mít s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování za následek vysoké riziko pro práva a svobody fyzických osob. V takovém případě provede správce posouzení zamýšlených postupů zpracování na ochranu osobních údajů (dále také jen „posouzení“) s cílem vyhodnotit konkrétní pravděpodobnost a závažnost vysokého rizika a zohlednit přitom právě povahu, rozsah, kontext a účely zpracování a zdroje rizika. Toto posouzení vlivu by mělo zejména obsahovat zamýšlená opatření, záruky a mechanismy pro snížení tohoto rizika, pro zajištění ochrany osobních údajů a prokázání souladu s nařízením. Při provádění posouzení si správce vyžádá v souladu s čl. 35 odst. 2 nařízení posudek pověřence pro ochranu osobních údajů, byl-li jmenován (podrobněji k osobě pověřence, viz níže).
Nařízení dále demonstrativně vymezuje případy, kdy bude zejména třeba posouzení provést. Lze pak předpokládat, že národní právní předpisy budou úpravu v nařízení dále specifikovat. Podle ustanovení § 29 zákona o zpracování osobních údajů, pak takové posouzení obsahuje alespoň obecný popis připravovaného zpracování a jeho operací, posouzení rizika neoprávněného zásahu do základních práv a svobod jedinců a plánovaná opatření, a dále vhodné záruky ke zmenšení rizika tohoto zásahu a ke splnění povinností správce či zpracovatele při ochraně osobních údajů. Škola či školské zařízení tedy v případě tohoto rizikového zpracování (např. při rozsáhlém zpracovávání osobních údajů žáků v dosud nezavedeném informačním systému) provede výše popsané posouzení, což samo o sobě povede ke zmenšení tohoto rizika, neboť bude škola s rizikem obeznámena a bude na něj připravena. Postup po provedení posouzení je poměrně podrobně popsán v nařízení (resp. v dalších právních předpisech), ministerstvo proto doporučuje s tímto při posuzování pracovat. V pochybnostech o míře rizika, pak lze doporučit raději posouzení provést. Správce dále případně přezkoumá případ s cílem posoudit, zda je zpracování prováděno v souladu s posouzením vlivu na ochranu osobních údajů alespoň v případech, kdy dojde ke změně rizika, jež zpracování údajů představuje (např. v souvislosti s překotným vývojem techniky a zabezpečení informací).
Rizikové zpracování ve smyslu předmětného ustanovení představuje i zpracování, v rámci něhož jsou osobní údaje předávány do ciziny, s čímž se lze setkat zejména u vysokých škol, např. v souvislosti s realizací programu Erasmus v zemích mimo Evropskou unii, dále může představovat zvýšené riziko práce s údaji v nově zavedeném informačním systému.
V případě, že z posouzení provedeného podle čl. 35 nařízení vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika, pak správce přistoupí před samotným zpracováním ke konzultaci s dozorovým úřadem, kterým je Úřad pro ochranu osobních údajů. Nařízení pak v čl. 36 odst. 3 podrobně upravuje, jaké informace správce Úřadu pro ochranu osobních údajů poskytne, doporučujeme tedy postupovat přesně v souladu s jeho textací. Institut konzultace s Úřadem pro ochranu osobních údajů slouží k zesílení ochrany osobních údajů a k minimalizaci pravděpodobnosti zásahu do práv subjektů údajů, v pochybnostech o závažnosti rizika proto doporučujeme z preventivních důvodů vždy ke konzultaci s Úřadem pro ochranu osobních údajů přistoupit. Úřad pro ochranu osobních údajů bude dále v této věci postupovat v souladu s čl. 36 odst. 2 nařízení, a to ve stanovených lhůtách.
K čl. 37 až 39 nařízení
Ustanovení čl. 37 nařízení stanoví:
„Jmenování pověřence pro ochranu osobních údajů
1. Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy:
a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo
c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.
2. Skupina podniků může jmenovat jediného pověřence pro ochranu osobních údajů, pokud je snadno dosažitelný z každého podniku.
3. Je-li správce nebo zpracovatel orgánem veřejné moci či veřejným subjektem, může být s přihlédnutím k jejich organizační struktuře a velikosti jmenován jediný pověřenec pro ochranu osobních údajů pro několik takových orgánů nebo subjektů.
4. V jiných případech, než jaké jsou uvedeny v odstavci 1, mohou nebo, vyžaduje-li to právo Unie nebo členského státu, musí pověřence pro ochranu osobních údajů jmenovat správce nebo zpracovatel nebo sdružení a jiné subjekty zastupující kategorie správců či zpracovatelů. Pověřenec pro ochranu osobních údajů může jednat ve prospěch takovýchto sdružení a jiných subjektů zastupujících správce nebo zpracovatele.
5. Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39.
6. Pověřenec pro ochranu osobních údajů může být pracovníkem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb.
7. Správce nebo zpracovatel zveřejní kontaktní údaje pověřence pro ochranu osobních údajů a sdělí je dozorovému úřadu.“
Ustanovení čl. 38 nařízení stanoví:
„Postavení pověřence pro ochranu osobních údajů
1. Správce a zpracovatel zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.
2. Správce a zpracovatel podporují pověřence pro ochranu osobních údajů při plnění úkolů uvedených v článku 39 tím, že mu poskytují zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.
3. Správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.
4. Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení.
5. Pověřenec pro ochranu osobních údajů je v souvislosti s výkonem svých úkolů vázán tajemstvím nebo důvěrností, v souladu s právem Unie nebo členského státu.
6. Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.“.
Ustanovení čl. 39 nařízení stanoví:
„Úkoly pověřence pro ochranu osobních údajů
1. Pověřenec pro ochranu osobních údajů vykonává alespoň tyto úkoly:
a) poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;
b) monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;
c) poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35;
d) spolupráce s dozorovým úřadem a
e) působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci.
2. Pověřenec pro ochranu osobních údajů bere při plnění svých úkolů patřičný ohled na riziko spojené s operacemi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování.“.
Právní úprava pojednávající o pověřenci pro ochranu osobních údajů je upravena v čl. 37 až 39 nařízení. Pověřenec by měl být nápomocnou osobou správci nebo zpracovateli při monitorování toho, zda je zajištěn vnitřní soulad s nařízením, dále by měl poskytovat informace a poradenství správcům nebo zpracovatelům v oblasti ochrany údajů, a proto by pověřenec měl mít odborné znalosti v oblasti právních předpisů a postupů týkajících se ochrany údajů. Pověřenec také spolupracuje s dozorovým úřadem (Úřad pro ochranu osobních údajů) a je kontaktní osobou pro tento dozorový úřad a subjekty údajů, kteří se na něho mohou obracet ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv a povinností.
Čl. 37 odst. 1 písm. a) nařízení stanovuje, že správce a zpracovatel jmenují pověřence v každém případě, kdy zpracování provádí orgán veřejné moci či veřejný orgán, s výjimkou soudů jednajících v rámci svých soudních pravomocí. Školy a školská zařízení za „orgány veřejné moci“ ve smyslu nařízení označit lze, neboť v jistých situacích mají pravomoc rozhodovat o právech a povinnostech fyzických osob. Z tohoto důvodu všechny školy a školská zařízení mají povinnost jmenovat pověřence pro ochranu osobních údajů.
Pověřenec nenese osobní odpovědnost za nedodržení nařízení, odpovědným subjektem je správce nebo zpracovatel, kteří musí zajistit a musí být schopni doložit, že zpracování je prováděno v souladu s nařízením.
Na pozici pověřence musí být jmenována osoba na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva (znalost národní i evropské legislativy a znalost nařízení) a praxe v oblasti ochrany údajů (znalost informačních technologií a bezpečnosti dat) a své schopnosti plnit úkoly stanovené v čl. 39 nařízení. Nařízení nestanovuje žádné minimální dosažené vzdělání či vykonání nějaké „zkoušky pro pověřence“.
Úroveň odborných znalostí pověřence by měla odpovídat rozsahu, citlivosti, způsobu a intenzitě zpracování konkrétních údajů. Třeba u školy s evidencemi vedenými pouze v listinné podobě zjevně není nezbytné, aby pověřenec disponoval mimořádnými IT dovednostmi.
Výběr odborně způsobilé osoby na pozici pověřence je čistě na odpovědnosti správce nebo zpracovatele. Lze jen doporučit, aby jmenovaný pověřenec měl také znalosti o fungování a chodu školy nebo školského zařízení a znalosti o jejich vnitřních předpisech. Dále by pověřenec měl být dostupný a k dispozici nejen správci a zpracovateli, ale i subjektům údajů a dozorovému úřadu. S tím souvisí povinnost správce nebo zpracovatele zveřejnit kontaktní údaje pověřence (např. na webových stránkách, ale i fyzicky na desce či nástěnce) a tyto údaje sdělit dozorovému úřadu.
Výkon práce pověřence musí být prováděn nezávislým způsobem, proto správce nebo zpracovatel zajistí, aby pověřenec nedostával žádné pokyny týkající se výkonu svých úkolů, např. nemohou zadat pokyn, jakého výsledku se má dosáhnout, jak prošetřovat stížnost, zda kontaktovat dozorový úřad nebo jaký názor nebo právní výklad má pověřenec zastávat. Při plnění úkolů pověřence taktéž nesmí docházet ke střetu zájmů, který by mohl vzniknout při plnění jiných úkolů pověřence nesouvisejících s výkonem práce pověřence. V souvislosti s plněním svých úkolů nesmí být pověřenec správcem nebo zpracovatelem propuštěn ani sankcionován.
Správce nebo zpracovatel jsou povinni zajistit, aby byl pověřenec náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů, jsou povinni podporovat pověřence při plnění úkolů tím, že mu poskytují zdroje nezbytné k plnění těchto úkolů, kterými mohou být dostatek času, odpovídající finanční ohodnocení, technická a personální podpora, přístup do jednotlivých útvarů či průběžné školení.
Pověřencem může být jak fyzická osoba, tak i právnická osoba. V případě fyzické osoby pověřenec může být zaměstnancem školy nebo školského zařízení na základě pracovní smlouvy nebo může jít o externí spolupracující osobu, která funkci pověřence bude vykonávat na základě smlouvy o poskytování služeb, která je nepojmenovaným typem smlouvy dle § 1746 odst. 2 občanského zákoníku, tedy nikoliv v pracovněprávním vztahu.
Jako pověřenec může být jmenována i právnická osoba (např. advokátní kancelář). Za takové situace musí být jmenovitě určena konkrétní fyzická osoba z této právnické osoby, která bude funkci pověřence fakticky vykonávat a bude dostupná správci nebo zpracovateli, dozorovému úřadu nebo subjektům údajů. I v tomto případě bude s právnickou osobou uzavřena smlouva o poskytování služeb.
Jelikož jde o funkci, při níž se pověřenec detailně seznámí s vnitřním chodem školy nebo školského zařízení a bude mít přístup k osobním údajům, měl by být výběr pověřence pečlivý, tak aby nedocházelo k častým změnám v osobě pověřence. U fyzické i právnické osoby pověřence je zapotřebí splnění předpokladů (profesních a odborných, nestrannost a nezávislost) pro výkon funkce pověřence a je nutné vyvarovat se možnosti střetu zájmů (např. nelze, aby externí pověřenec - advokát či advokátní kancelář – byl požádán správcem nebo zpracovatelem o jejich zastupování před soudem v případech týkajících se ochrany osobních údajů). Dále by ke střetu zájmů mohlo dojít, kdyby pověřencem byla osoba, která sama zpracovávání osobních údajů bezprostředně ovlivňuje (např. vedoucí personálního nebo IT oddělení apod.). Je vhodné, aby ve smlouvách s pověřencem byla zahrnuta ujednání, kterými se pověřenec zaváže, že u něj nedojde ke střetu zájmů a že se zavazuje zachovávat mlčenlivost.
Nařízení požaduje, aby pověřenec byl přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele, v případě škol a školských zařízení pověřenec má být podřízen přímo řediteli školy nebo školského zařízení. Z tohoto vyplývá, že pověřenec nemůže být sám ředitel, jelikož je vrcholovým řídícím pracovníkem a neměl by být komu podřízen. Zároveň ředitel rozhoduje o způsobu vedení osobních údajů a o opatřeních k jejich ochraně, nepochybně by tedy byl ve střetu zájmu.
Je možné, aby funkci pověřence vykonávalo více osob, jakýsi „tým pověřenců“, je však za potřebí jasně ve smlouvě určit, jaká konkrétní osoba bude vykonávat jaké konkrétní úkoly ze všech těch, které má pověřenec plnit a je nutné označit jednu určitou osobu, která bude hlavní kontaktní osobou.
Dle čl. 37 odst. 3 nařízení orgány veřejné moci mohou s přihlédnutím k jejich organizační struktuře a velikosti jmenovat jednoho společného pověřence pro několik takových orgánů veřejné moci. Více škol nebo školských zařízení můžou tedy mít uzavřené individuální smlouvy s jednou stejnou osobou, kdy jeden pověřenec bude vykonávat svoji funkci pro více škol nebo školských zařízení, ať už na základě pracovněprávního vztahu nebo smlouvy o poskytnutí služeb. Je však třeba však mít na paměti, že pokud půjde o pracovní smlouvy, které bude mít pověřenec uzavřené s více školami nebo školskými zařízeními, tak v § 304 odst. 1 zákoníku práce je stanoveno, že je zapotřebí předchozího písemného souhlasu zaměstnavatele, u kterého zaměstnanec vykonává práci v základním pracovněprávním vztahu, pro výkon další výdělečné činnosti, která je shodná s předmětem činnosti tohoto zaměstnavatele.
„Sdílený“ pověřenec nemusí být jen mezi školami a školskými zařízeními navzájem, je možné, aby škola nebo školské zařízení mělo kupříkladu stejného pověřence, jehož služeb využívá i jeho zřizovatel (obec či kraj).
Za porušení povinnosti jmenovat pověřence a dalších povinností týkající se pověřence hrozí povinným subjektům uložení pokuty až do výše 10 mil EUR dle čl. 83 odst. 4 nařízení. Konkrétní horní hranice je ponechána na vnitrostátní úpravě, přičemž návrh zákona o zpracování osobních údajů v současné době počítá s horní sazbou pokuty 10 mil. Kč. Navíc je třeba zdůraznit, že nařízení vychází ze zásady přiměřenosti správního trestání, je tedy nepravděpodobné, že by školy v budoucnu byly trestány pokutami blížícími se této hranici.
Pracovní skupina „WP29“ zřízená dle čl. 29 Směrnice Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů vypracovala dokument s názvem Vodítka k pověřencům pro ochranu osobních údajů, jehož neoficiální překlad je dostupný na webových stránkách Úřadu pro ochranu osobních údajů na adrese: https://www.uoou.cz/pracovni-skupina-wp29-vydala-tri- dokumenty-k-obecnemu-narizeni-o-ochrane-osobnich-udaju/d-21750
Také Ministerstvo vnitra vydalo Metodické doporučení k činnosti obcí k organizačně- technickému zabezpečení funkce pověřence pro ochranu osobních údajů podle obecného nařízení o ochraně osobních údajů v podmínkách obcí podle právního stavu k 10. srpnu 2017, ačkoliv se jedná o doporučení primárně určené pro obce, nacházejí se zde také obecná pojednání o pověřenci (základní charakteristika, předpoklady pro výkon funkce pověřence, způsoby ustanovení pověřence). Toto metodické doporučení je dostupné na adrese: http://www.mvcr.cz/odk2/soubor/metodicke-doporuceni-k-cinnosti-obci-k-organizacne-technickemu-zabezpeceni-funkce-poverence-pro-ochranu-osobnich-udaju-podle-obecneho-narizeni-o-ochrane-osobnich-udaju-v-podminkach-obci.aspx
K čl. 40 nařízení
Ustanovení čl. 40 nařízení stanoví:
„Kodexy chování
1. Členské státy, dozorové úřady, sbor a Komise podporují vypracování kodexů chování, které mají přispět k řádnému uplatňování tohoto nařízení s ohledem na konkrétní povahu různých odvětví provádějících zpracování a na konkrétní potřeby mikropodniků a malých a středních podniků.
2. Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů mohou vypracovávat kodexy chování nebo tyto kodexy upravovat či rozšiřovat, a to s cílem upřesnit uplatňování ustanovení tohoto nařízení, mimo jiné pokud jde o:
a) spravedlivé a transparentní zpracování;
b) oprávněné zájmy, jež správci v konkrétních situacích sledují;
c) shromažďování osobních údajů;
d) pseudonymizaci osobních údajů;
e) informace poskytované veřejnosti a subjektů údajů;
f) výkon práv subjektů údajů;
g) informace poskytované dětem a jejich ochranu a způsob získávání souhlasu nositele
rodičovské zodpovědnosti nad dítětem;
h) opatření a postupy uvedené v článcích 24 a 25 a opatření k zajištění bezpečnosti zpracování
podle článku 32;
i) ohlašování případů porušení zabezpečení osobních údajů dozorovým úřadům a oznamování
těchto případů porušení subjektům údajů;
j) předávání osobních údajů do třetích zemí nebo mezinárodním organizacím; nebo
k) mimosoudní vyrovnání a jiné postupy pro řešení sporů mezi správci a subjekty údajů v souvislosti se zpracováním, aniž by byla dotčena práva subjektů údajů podle článků 77 a 79.
3. Vedle správců a zpracovatelů, na něž se vztahuje toto nařízení, mohou kodexy chování schválené podle odstavce 5 tohoto článku a mající všeobecnou platnost podle odstavce 9 tohoto článku dodržovat i správci nebo zpracovatelé, na něž se podle článku 3 toto nařízení nevztahuje, s cílem poskytnout vhodné záruky v rámci předání osobních údajů do třetích zemí nebo mezinárodním organizacím za podmínek uvedených v čl. 46 odst. 2 písm. e). Za účelem uplatňování těchto vhodných záruk, a to i pokud jde o práva subjektů údajů, přijmou tito správci nebo zpracovatelé prostřednictvím smluvních nástrojů nebo jiných právně závazných nástrojů závazné a vymahatelné závazky.
4. Kodex chování uvedený v odstavci 2 tohoto článku obsahuje mechanismy, které umožňují subjektu uvedenému v čl. 41 odst. 1 provádět povinné monitorování dodržování jeho ustanovení správci nebo zpracovateli, kteří se zavázali jej dodržovat, aniž tím jsou dotčeny úkoly a pravomoci dozorových úřadů, které jsou příslušné podle článku 55 nebo 56.
5. Sdružení nebo jiné subjekty uvedené v odstavci 2 tohoto článku, které mají v úmyslu vypracovat kodex chování nebo upravit či rozšířit existující kodex, předloží návrh kodexu či návrhy na úpravu či rozšíření kodexu dozorového úřadu, který je příslušný podle článku 55. Dozorový úřad vydá stanovisko k tomu, zda je daný návrh kodexu nebo návrh na úpravu či rozšíření kodexu v souladu s tímto nařízením, a pokud shledá, že tento návrh nebo návrh na úpravu či rozšíření kodexu poskytuje dostatečné vhodné záruky, schválí jej.
6. Je-li kodex chování nebo návrh na úpravu či rozšíření kodexu schválen v souladu s odstavcem 5 a jestliže se kodex chování nevztahuje na činnosti zpracování v několika členských státech, dozorový úřad daný kodex zaregistruje a zveřejní.
7. Pokud se návrh kodexu chování týká činností zpracování v několika členských státech, předloží dozorový úřad příslušný podle článku 55 návrh kodexu nebo návrh na úpravu či rozšíření kodexu před jeho schválením v rámci postupu podle článku 63 sboru a ten vydá stanovisko k tomu, zda je návrh kodexu nebo návrh na úpravu či rozšíření kodexu v souladu s tímto nařízením nebo zda v situaci uvedené v odstavci 3 tohoto článku poskytuje vhodné záruky.
8. Pokud se ve stanovisku uvedeném v odstavci 7 potvrdí, že kodex chování nebo návrh na úpravu či rozšíření kodexu je v souladu s tímto nařízením nebo že v situaci uvedené v odstavci 3 poskytují vhodné záruky, předloží sbor své stanovisko Komisi.
9. Komise může prostřednictvím prováděcích aktů rozhodnout, že schválený kodex chování, jeho úprava či rozšíření, které jí byly předloženy podle odstavce 8 tohoto článku, mají všeobecnou platnost v rámci Unie. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.
10. Komise zajistí odpovídající zveřejnění schválených kodexů, o nichž bylo v souladu s odstavcem 9 rozhodnuto, že mají všeobecnou platnost.
11. Sbor všechny schválené kodexy chování a jejich úpravy či rozšíření shromáždí v registru a vhodným způsobem je zpřístupní veřejnosti.“.
Ustanovení čl. 40 nařízení upravuje oprávnění sdružení nebo jiných subjektů zastupujících různé kategorie správců nebo zpracovatelů vypracovávat kodexy chování a následně je upravovat a rozšiřovat s cílem upřesnit uplatňování nařízení. K upřesnění by mohlo docházet především co do spravedlivosti a transparentnosti zpracování, stanovení oprávněných zájmů, které správci sledují, zpracovávání osobních údajů, jejich pseudonymizace, informací poskytovaných dětem a jejich ochrany a způsobu získávání souhlasu zákonných zástupců dětí apod.
Kodexy chování jsou z povahy věci dobrovolné. Pokud Úřad pro ochranu osobních údajů kodex schválí, záleží na škole, zda se k němu přihlásí. Jestliže tak učiní, je třeba, aby se škola seznámila s jejich obsahem a řídila se jimi. Nicméně vždy bude nutné kodexy chování aplikovat ve shodě s nařízením a zákonem o zpracování osobních údajů, tj. kodexy chování bude zapotřebí vykládat v jejich kontextu.
Pokud by se kodex chování týkal zpracování v několika členských státech, dozorové orgány členských států předkládají jejich návrhy před jejich schválením Evropskému sboru pro ochranu osobních údajů ke stanovisku, který následně předá návrh Evropské komisi. Evropská komise může rozhodnout, že schválený kodex chování má všeobecnou platnost. Toto znamená, že se ke kodexu může přihlásit správce nejen z jakéhokoliv členského státu Evropské unie, ale i ze států mimo Evropskou unii.
K čl. 42 nařízení
Ustanovení čl. 42 nařízení stanoví:
„Vydávání osvědčení
1. Členské státy, dozorové úřady, sbor a Komise podpoří, zejména na úrovni Unie, zavedení mechanismů pro vydávání osvědčení o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů pro účely prokázání souladu s tímto nařízením v případě operací zpracování prováděných správci a zpracovateli. Zohlední se specifické potřeby mikropodniků a malých a středních podniků.
2. Vedle dodržování správci a zpracovateli, na něž se vztahuje toto nařízení, mohou být mechanismy pro vydávání osvědčení o ochraně údajů a příslušné pečetě či známky schválené podle odstavce 5 tohoto článku zavedeny rovněž za účelem prokázání existence vhodných záruk poskytnutých správci nebo zpracovateli, na něž se podle článku 3 toto nařízení nevztahuje, v rámci předávání osobních údajů do třetích zemí nebo mezinárodním organizacím za podmínek uvedených v čl. 46 odst. 2 písm. f). Za účelem uplatňování těchto vhodných záruk, a to i pokud jde o práva subjektů údajů, přijmou tito správci nebo zpracovatelé prostřednictvím smluvních nebo jiných právně závazných nástrojů závazné a vymahatelné závazky.
3. Vydávání osvědčení je dobrovolné a dostupné prostřednictvím postupu, který je transparentní.
4. Osvědčením podle tohoto článku se nesnižuje odpovědnost správce nebo zpracovatele za soulad s tímto nařízením a nejsou jím dotčeny úkoly a pravomoci dozorových úřadů, které jsou příslušné podle článku 55 nebo 56.
5. Osvědčení podle tohoto článku vydávají subjekty pro vydávání osvědčení uvedené v článku 43 nebo příslušný dozorový úřad na základě kritérií jím schválených podle čl. 58 odst. 3 nebo schválených sborem podle článku 63. Jsou-li kritéria schválena sborem, může to vést k vydání společného osvědčení, evropské pečeti ochrany údajů.
6 Správce nebo zpracovatel, který předloží své zpracování mechanismu pro vydávání osvědčení, poskytne subjektu pro vydávání osvědčení uvedenému v článku 43 nebo případně příslušnému dozorovému úřadu veškeré informace a přístup ke svým činnostem zpracování, které jsou pro provedení postupu vydávání osvědčení nezbytné.
7. Osvědčení se vydává správci nebo zpracovateli na dobu nejvýše tří let a lze je obnovit za stejných podmínek, pokud jsou i nadále plněny příslušné požadavky. Nejsou-li požadavky na osvědčení plněny, nebo pokud již přestaly být plněny, subjekty pro vydávání osvědčení podle článku 43 nebo příslušný dozorový úřad uvedené osvědčení odeberou.
8. Sbor všechny mechanismy pro vydávání osvědčení o ochraně údajů a příslušné pečetě či známky shromáždí v registru a vhodným způsobem je zpřístupní veřejnosti.“.
Školy a školská zařízení na základě čl. 42 nařízení budou moci požádat o vydání osvědčení o ochraně osobních údajů, pečeti nebo známky dokládající ochranu údajů pro účely prokázání souladu s nařízením v případě operací zpracování. Na území České republiky budou osoby oprávněné k vydávání osvědčení o ochraně osobních údajů, pečetí a známek akreditovány osobou pověřenou k výkonu působnosti akreditačního orgánu, jímž dle důvodové zprávy k návrhu zákona o zpracování osobních údajů bude Český institut pro akreditaci, o. p. s.
Osvědčení, pečeť nebo známka budou moci být vydávány na dobu nejvýše tří let, ovšem ve smyslu čl. 43 odst. 4 nařízení nebudou jakkoli snižovat odpovědnost správce nebo zpracovatele za dodržování povinností stanovených nařízením a zákonem o zpracování osobních údajů.
Z právní úpravy, tj. z nařízení ani ze zákona o zpracování osobních údajů, nelze dovodit rozdíly mezi pojmy osvědčení, pečeť nebo známka, pravděpodobně jejich význam pro účely ochrany osobních údajů bude obdobný.
K čl. 44 až 50 nařízení
Ustanovení čl. 44 nařízení stanoví:
„Obecná zásada pro předávání
K jakémukoli předání osobních údajů, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po předání do třetí země nebo mezinárodní organizaci, může dojít pouze tehdy, splní-li správce a zpracovatel v závislosti na dalších ustanoveních tohoto nařízení podmínky stanovené v této kapitole, včetně podmínek pro další předávání osobních údajů z dané třetí země nebo mezinárodní organizace do jiné třetí země nebo jiné mezinárodní organizaci. Veškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena“.
Ustanovení čl. 45 nařízení stanoví:
1. Předávání osobních údajů do určité třetí země nebo určité mezinárodní organizaci se může uskutečnit, jestliže Komise rozhodla, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi, nebo tato mezinárodní organizace zajišťují odpovídající úroveň ochrany. Takovéto předání nevyžaduje žádné zvláštní povolení.
Předání založené na rozhodnutí o odpovídající ochraně

2. Při posuzování odpovídající úrovně ochrany vezme Komise v úvahu zejména tyto prvky:
a)
b)
c)
3. Komise může po posouzení odpovídající úrovně ochrany prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku. Uvedený prováděcí akt stanoví mechanismus pro pravidelný přezkum prováděný nejméně každé čtyři roky, který zohlední veškerý relevantní vývoj v dotčené třetí zemi nebo mezinárodní organizaci. Stanoví také svou územní a odvětvovou působnost a případně určí dozorový úřad nebo úřady uvedené v odst. 2 písm. b) tohoto článku. Tento prováděcí akt se přijímá přezkumným postupem podle čl. 93 odst. 2.
4. Komise průběžně sleduje vývoj ve třetích zemích a mezinárodních organizacích, jenž by mohl ovlivnit fungování rozhodnutí přijatých podle odstavce 3 tohoto článku a rozhodnutí přijatých na základě čl. 25 odst. 6 směrnice 95/46/ES.
5. Komise v případě, že to vyplyne z dostupných informací, zejména na základě přezkumu uvedeného v odstavci 3 tohoto článku, rozhodne, že určitá třetí země, určité území nebo konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace již nezajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku, v nezbytné míře rozhodnutí uvedené v odstavci 3 tohoto článku prováděcími akty bez zpětné působnosti zruší nebo změní anebo pozastaví jeho použitelnost. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.
82
mezinárodní závazky, které daná třetí země nebo mezinárodní organizace přijala, nebo jiné
závazky vyplývající z právně závazných úmluv nebo nástrojů, jakož i z její účasti
v mnohostranných či regionálních systémech, zejména pokud jde o ochranu osobních údajů.
právní stát, dodržování lidských práv a základních svobod, příslušné právní předpisy, obecné
i odvětvové, včetně těch, které se týkají veřejné bezpečnosti, obrany, národní bezpečnosti
a trestního práva a přístupu orgánů veřejné moci k osobním údajům, jakož i provádění těchto
právních předpisů, pravidla ochrany údajů, profesní pravidla a související bezpečnostní
opatření, včetně pravidel dalšího předávání osobních údajů do další třetí země nebo
mezinárodní organizaci, která jsou v dané třetí zemi nebo mezinárodní organizaci
dodržována, judikaturu, jakož i existenci účinných a vymahatelných práv subjektu údajů
a účinné správní a soudní ochrany pro subjekty údajů, jejichž osobní údaje se předávají;
existenci a účinné fungování jednoho nebo více nezávislých dozorových úřadů, které působí
v dané třetí zemi nebo kterým podléhá daná mezinárodní organizace, příslušných zajišťovat
a vymáhat souladu s pravidly pro ochranu údajů, včetně přiměřených vymáhacích
pravomocí, poskytovat pomoc a poradenství subjektům údajů při výkonu jejich práv
a spolupracovat s dozorovými úřady členských států, a
V závažných, naléhavých a řádně odůvodněných případech přijme Komise postupem podle čl. 93 odst. 3 okamžitě použitelné prováděcí akty.
6. Komise zahájí s danou třetí zemí nebo mezinárodní organizací konzultace s cílem napravit stav, který vedl k rozhodnutí podle odstavce 5.
7. Rozhodnutím podle odstavce 5 tohoto článku není dotčeno předávání osobních údajů do dané třetí země, na určité území nebo jednomu nebo více konkrétním odvětvím v dané třetí zemi nebo dané mezinárodní organizaci podle článků 46 až 49.
8. Komise zveřejní v Úředním věstníku Evropské unie a na svých internetových stránkách seznam třetích zemí, území a konkrétních odvětví ve třetích zemích a mezinárodních organizací, v nichž podle jejího rozhodnutí odpovídající úroveň ochrany je, nebo naopak již není zajištěna.
9. Rozhodnutí přijatá Komisí na základě čl. 25 odst. 6 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je Komise změní, nahradí nebo zruší rozhodnutím přijatým podle odstavce 3 nebo 5 tohoto článku.“.
Ustanovení čl. 46 nařízení stanoví:
1. Jestliže neexistuje rozhodnutí podle čl. 45 odst. 3, správce nebo zpracovatel mohou předat osobní údaje do třetí země nebo mezinárodní organizaci, pouze pokud správce nebo zpracovatel poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů.
2. Vhodné záruky uvedené v odstavci 1 mohou být stanoveny, aniž je zapotřebí jakékoli zvláštní povolení dozorového úřadu, pomocí:
a)
b)
c)
d)
e)
83
standardních doložek o ochraně osobních údajů přijatých Komisí přezkumným postupem
podle čl. 93 odst. 2;
schváleného kodexu chování podle článku 40 spolu se závaznými a vymahatelnými závazky
správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky, a to i ohledně práv
subjektů údajů; nebo
právně závazného a vymahatelného nástroje mezi orgány veřejné moci nebo veřejnými
subjekty;
závazných podnikových pravidel v souladu s článkem 47;
standardních doložek o ochraně údajů přijatých dozorovým úřadem a schválených Komisí
přezkumným postupem podle čl. 93 odst. 2;
Předávání založené na vhodných zárukách
f)
3. S výhradou povolení od příslušného dozorového úřadu mohou být vhodné záruky uvedené v odstavci 1 rovněž stanoveny zejména pomocí:
a)
b)
4. Dozorový úřad použije mechanismus jednotnosti v případech uvedených v čl. 63 odst. 3 tohoto článku.
5. Povolení členského státu nebo dozorového úřadu na základě čl. 26 odst. 2 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je dozorový úřad v případě potřeby změní, nahradí nebo zruší. Rozhodnutí přijatá Komisí na základě čl. 26 odst. 4 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je Komise podle potřeby změní, nahradí nebo zruší rozhodnutím přijatým podle odstavce 2 tohoto článku.“.
Ustanovení čl. 47 nařízení stanoví:
1. Příslušný dozorový úřad schvaluje v souladu s mechanismem jednotnosti stanoveným v článku 63 závazná podniková pravidla za předpokladu, že:
a)
b)
c)
2. Závazná podniková pravidla uvedená v odstavci 1 vymezují přinejmenším:
a)
b)
84
schváleného mechanismu pro vydání osvědčení podle článku 42 spolu se závaznými
a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky,
a to i ohledně práv subjektů údajů.
splňují požadavky stanovené v odstavci 2.
smluvních doložek mezi správcem nebo zpracovatelem a správcem, zpracovatelem nebo
příjemcem osobních údajů ve třetí zemi nebo v mezinárodní organizaci; nebo
ustanovení určených k vložení do správních ujednání mezi orgány veřejné moci nebo
veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektu údajů.
jsou právně závazná a platná pro všechny a prosazovaná všemi dotčenými členy skupiny
podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost, včetně
jejich zaměstnanců;
subjektům údajů výslovně přiznávají vymahatelná práva v souvislosti se zpracováním jejich
osobních údajů; a
strukturu a kontaktní údaje skupiny podniků nebo uskupení podniků vykonávajících
společnou hospodářskou činnost a každého z jejích členů;
předání údajů nebo soubor předání, včetně kategorií osobních údajů, typu zpracování a jeho
účelů, typu dotčených subjektů údajů a určení dané třetí země nebo daných třetích zemí;
Závazná podniková pravidla
c)
d)
e)
f)
g)
h)
i)
j)
k)
85
přijetí odpovědnosti správcem nebo zpracovatelem usazeným na území některého členského
státu za jakékoli porušení závazných podnikových pravidel kterýmkoli dotčeným členem
neusazeným v Unii; správce nebo zpracovatel se může této odpovědnosti zcela nebo zčásti
zprostit, pouze pokud prokáže, že za okolnost, jež vedla ke vzniku škody, není daný člen
odpovědný;
mechanismy, které mají v rámci skupiny podniků nebo uskupení podniků vykonávajících
společnou hospodářskou činnost zajistit ověřování souladu se závaznými podnikovými
pravidly. Tyto mechanismy zahrnují audity ochrany údajů a metody zajištění opravných
opatření pro ochranu práv subjektu údajů. Výsledky takového ověření by měly být oznámeny
osobě nebo subjektu uvedenému v písmenu h) a radě řídícího podniku skupiny podniků nebo
uskupení podniků vykonávajících společnou hospodářskou činnost a na požádání by měly být
zpřístupněny příslušnému dozorovému úřadu;
práva subjektů údajů v souvislosti se zpracováním jejich osobních údajů a prostředky jejich
výkonu, včetně práva nebýt předmětem rozhodnutí založených výhradně na automatizovaném
zpracování, včetně profilování v souladu s článkem 22, práva podat stížnost u příslušného
dozorového úřadu a příslušných soudů členských států v souladu s článkem 79, právní
ochrany a případně i práva na odškodnění v případě porušení závazných podnikových
pravidel;
mechanismy pro podávání zpráv a pro zaznamenávání změn pravidel a hlášení těchto změn
dozorovému úřadu;
použití obecných zásad pro ochranu údajů, zejména účelové omezení, minimalizaci údajů,
omezenou dobu uložení, kvalitu údajů, záměrná a standardní ochranu osobních údajů, právní
základ pro zpracování, zpracování zvláštních kategorií osobních údajů; opatření k zajištění
zabezpečení údajů a požadavky ohledně dalšího předávání subjektům, které podnikovými
pravidly nejsou vázány;
způsob poskytování informací o závazných podnikových pravidlech, zejména o ustanoveních
uvedených v písmenech d), e) a f) tohoto odstavce, subjektům údajů, vedle informací
uvedených v článcích 13 a 14;
úkoly všech pověřenců pro ochranu osobních údajů jmenovaných v souladu s článkem 37,
nebo jakékoli jiné osoby či subjektu pověřeného monitorováním souladu se závaznými
podnikovými pravidly v rámci skupiny podniků nebo uskupení podniků vykonávajících
společnou hospodářskou činnost a sledování školení a vyřizování stížností;
svoji právně závaznou povahu, a to interně i externě;
postupy pro vyřizování stížností;
l)
m)
n)
3. Komise může u závazných podnikových pravidel ve smyslu tohoto článku určit formát a postupy pro výměnu informací mezi správci, zpracovateli a dozorovými úřady. Tyto prováděcí
86 akty se přijímají přezkumným postupem podle čl. 93 odst. 2
.“.
Ustanovení čl. 48 nařízení stanoví:
„Předání či zveřejnění údajů nepovolená právem Unie
Rozhodnutí soudního orgánu a rozhodnutí správního orgánu třetí země, jež po správci nebo zpracovateli požadují předání nebo zpřístupnění osobních údajů, lze jakýmkoli způsobem uznat nebo vymáhat, pouze pokud vycházejí z mezinárodní dohody, například úmluvy o vzájemné právní pomoci, která je v platnosti mezi žádající třetí zemí a Unií nebo členským státem, aniž jsou dotčeny jiné důvody pro převod podle této kapitoly.“.
Ustanovení čl. 49 nařízení stanoví:
„Výjimky pro specifické situace
1. Jestliže neexistuje rozhodnutí o odpovídající ochraně podle čl. 45 odst. 3 ani vhodné záruky podle článku 46, včetně závazných podnikových pravidel, může se předání nebo soubor předání osobních údajů do třetí země nebo mezinárodní organizaci uskutečnit pouze při splnění jedné z následujících podmínek:
a) daný subjekt údajů byl informován o možných rizicích, která pro něj v důsledku absence rozhodnutí o odpovídající ochraně a vhodných záruk vyplývají, a následně k navrhovanému předání vydal svůj výslovný souhlas;
b) předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro
provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů;
c) předání je nezbytné pro uzavření nebo splnění smlouvy, která byla uzavřena v zájmu subjektu
údajů mezi správcem a jinou fyzickou nebo právnickou osobou;
mechanismus spolupráce s dozorovým úřadem, který zajistí dodržování pravidel každým
členem skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou
činnost, zejména zpřístupňování výsledků ověřování opatření uvedených v písmenu j)
dozorovému úřadu;
vhodnou odbornou přípravu v oblasti ochrany údajů pro pracovníky, kteří mají k osobním
údajům trvalý nebo pravidelný přístup.
mechanismy pro podávání zpráv příslušnému dozorovému úřadu o právních požadavcích,
kterým je člen skupiny podniků nebo uskupení podniků vykonávajících společnou
hospodářskou činnost podřízen ve třetí zemi a které mohou mít podstatný negativní účinek
na záruky poskytované závaznými podnikovými pravidly; a
d) předání je nezbytné z důležitých důvodů veřejného zájmu;
e) předání je nezbytné pro určení, výkon nebo obhajobu právních nároků;
f) předání je nezbytné k ochraně životně důležitých zájmů subjektu údajů nebo jiných osob
v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit svůj souhlas;
g) k předání dochází z rejstříku, který je na základě práva Unie nebo členského státu určen pro informování veřejnosti a je přístupný k nahlížení veřejnosti obecně nebo jakékoli osobě, která může prokázat oprávněný zájem, avšak pouze pokud jsou v daném případě splněny podmínky pro nahlížení stanovené právem Unie nebo členského státu.
Jestliže by některé předání nemohlo být založeno na některém z ustanovení článku 45 nebo 46, včetně ustanovení o závazných podnikových pravidlech, a žádná z výjimek pro specifickou situaci uvedených v prvním pododstavci není použitelná, může k předání do třetí země nebo mezinárodní organizaci dojít pouze tehdy, pokud tento převod není opakovaný, týká se pouze omezeného počtu subjektů údajů, je nezbytný pro účely závažných oprávněných zájmů správce, které nejsou převáženy zájmy nebo právy a svobodami subjektu údajů, a pokud správce posoudil všechny okolnosti daného předání údajů a na základě tohoto posouzení poskytl vhodné záruky pro ochranu osobních údajů. Správce o takovém předání informuje dozorový úřad. Správce musí kromě poskytnutí informací uvedených v článcích 13 a 14 subjekt údajů informovat o předání a o závažných legitimních zájmech, které sledoval.
2. Předmětem předání podle odst. 1 prvního pododstavce písm. g) nejsou veškeré osobní údaje nebo veškeré kategorie osobních údajů, které jsou v rejstříku obsaženy. Má-li rejstřík sloužit k nahlížení osobám majícím oprávněný zájem, předání se uskuteční, pouze pokud o to tyto osoby požádají nebo pokud tyto osoby mají být příjemcem.
3. Ustanovení odst. 1 prvního pododstavce písm. a), b) a c) a druhého pododstavce se nevztahují na činnosti prováděné orgány veřejné moci při výkonu jejich úředních pravomocí.
4. Veřejný zájem uvedený v odst. 1 prvním pododstavci písm. d) musí být uznáván právem Unie nebo právem členského státu, které se na správce vztahuje.
5. V případě absence rozhodnutí o odpovídající ochraně může právo Unie nebo členského státu z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií osobních údajů do třetí země nebo mezinárodní organizaci. Členské státy ohlásí taková ustanovení Komisi.
6. Správce nebo zpracovatel zaznamená posouzení i vhodné záruky uvedené v odst. 1 druhém pododstavci tohoto článku v záznamech uvedených v článku 30.“.
Ustanovení čl. 50 nařízení stanoví:
„Mezinárodní spolupráce v zájmu ochrany osobních údajů
Ve vztahu k třetím zemím a mezinárodním organizacím podniknou Komise a dozorové úřady vhodné kroky v zájmu:
a) rozvoje mechanismů pro mezinárodní spolupráci, aby se usnadnilo účinné prosazování
právních předpisů na ochranu osobních údajů;
b) poskytování vzájemné pomoci na mezinárodní úrovni při prosazování právních předpisů na ochranu osobních údajů, a to i formou oznamování, postupování stížností, pomoci při vyšetřování a výměny informací, pod podmínkou vhodných záruk ochrany osobních údajů a jiných základních práv a svobod;
c) zapojení příslušných zúčastněných stran do diskuse a činností zacílených na prohlubování
mezinárodní spolupráce při prosazování právních předpisů na ochranu osobních údajů;
d) podpoření výměny a dokumentace v souvislosti s právními předpisy a praxí v oblasti ochrany
osobních údajů, mimo jiné o kompetenčních sporech se třetími zeměmi.“.
Problematika předávání údajů do ciziny (myšleno mimo země Evropské unie) může mít ve školství význam např. v případě zahraničních studijních pobytů, zahraničních stáží studentů či pedagogů nebo v případě rekreačních a ozdravných pobytů žáků a studentů (těch se speciálními vzdělávacími potřebami nevyjímaje), dětí či pedagogů.
Předávání osobních údajů do určité třetí země nebo určité mezinárodní organizaci se může uskutečnit (za předpokladu splnění dalších podmínek stanovených právním řádem České republiky nebo Evropské unie), jestliže Komise (tj. Evropská komise) rozhodla, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi, nebo tato mezinárodní organizace, zajišťují odpovídající úroveň ochrany osobních údajů. Takové předání nevyžaduje žádné zvláštní povolení.
Seznam třetích zemí (případně území nebo jednotlivých odvětví ve třetích zemích), ve které odpovídající úroveň ochrany osobních údajů existuje nebo již neexistuje, ač v minulosti existovala, zveřejňuje Komise v Ústředním věstníku Evropské unie a na internetových stránkách.
Do třetích zemí, ve kterých již odpovídající úroveň zajištění ochrany osobních údajů neexistuje, je možné předávat jen na základě udělených vhodných záruk.
Vhodnými zárukami může být kupříkladu reálně existující právně závazná a účinná spolupráce mezi orgány České republiky a orgány státu, do kterého mají být údaje poskytnuty.
Dalšími zárukami, jež přicházejí v úvahu, jsou osvědčení podle čl. 42 nařízení.
Existují samozřejmě i výjimky. Se souhlasem konkrétního člověka lze poskytovat jeho údaje i do zemí, které neposkytují dostatečné záruky jejich ochrany (a tyto nejsou ani uděleny).
V případě člověka, který není způsobilý poskytnout akceptovatelný souhlas s poskytnutím svých osobních údajů (kupříkladu dítě, za situace, kdy se nepodaří včas kontaktovat rodiče) je možné poskytnout údaje do třetí země, která neposkytuje záruky jejich ochrany (a ani nejsou uděleny) v případě prokazatelné existence zcela jednoznačného životně důležitého zájmu tohoto člověka. Životně důležitý zájem na poskytnutí uvedených údajů musí prokazatelně a zcela jednoznačně převažovat nad jeho zájmem na ochraně osobních údajů.
Tak jako v případě prokazatelné existence životně důležitého zájmu, lze postupovat rovněž v případě prokazatelné existence nutnosti poskytnutí těchto údajů do třetích zemí z důvodu zajištění možnosti účinného určení, vymáhání nebo obhajování právních nároků daného subjektu údajů.
Osobní údaje určitého člověka (subjektu údajů) lze předat do třetí země bez existence vhodných záruk jejich ochrany, a to i bez souhlasu daného subjektu údajů také z důvodu zajištění splnění nebo uzavření smlouvy, je-li to prokazatelně a jednoznačně v zájmu toho subjektu údajů, za předpokladu, že uvedený zájem převažuje nad zájmem na ochraně osobních údajů. V praxi může jít kupříkladu o situaci, kdy za účelem zajištění studijního pobytu v zahraničí (v zemi bez vhodných záruk ochrany osobních údajů) je nutné uzavřít se zahraniční školou smlouvu, na základě které bude požadováno předání určitých osobních údajů studentů této zahraniční škole jako podmínky, aby se tento studijní pobyt mohl uskutečnit. V případě, že se včas nepodaří získat akceptovatelný souhlas studenta nebo jeho zákonného zástupce, a proto hrozí, že se tento student nebude moci uvedeného studijního pobytu zúčastnit, přičemž zájem uvedeného studenta účastnit se na daném zahraničním studijním pobytu zcela jednoznačně převažuje nad zájmem na ochraně požadovaných osobních údajů, vzhledem k jejich povaze, smí škola osobní údaje studenta uvedené zahraniční škole poskytnout.
Předání, i bez souhlasu, je možné také v případě veřejného zájmu. Že jde skutečně o veřejný zájem, musí vyplývat z práva Evropské unie nebo České republiky.
Pro úplnost dodejme, že nad rámec uvedených výjimek lze poskytnou osobní údaje určitého subjektu údajů i bez jeho souhlasu za předpokladu, že se takové poskytování neděje opakovaně, týká se jen omezeného počtu osob a jedná se o zcela jednoznačný prokazatelný zájem správce údajů, který zcela jednoznačně a prokazatelně převažuje nad zájmem na ochraně poskytnutých údajů, a pokud správce údajů poskytl rovněž vhodné záruky jejich ochrany. Takový převod se musí v České republice oznámit Úřadu pro ochranu osobních údajů.
K čl. 79 nařízení
Ustanovení čl. 79 nařízení stanoví:
„Právo na účinnou soudní ochranu vůči správci nebo zpracovateli
1. Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.
2. Řízení proti správci nebo zpracovateli se zahajuje u soudů toho členského státu, v němž má daný správce nebo zpracovatel provozovnu. Řízení se může popřípadě zahájit i u soudů členského státu, kde má subjekt údajů své obvyklé bydliště, s výjimkou případů, kdy je správce nebo zpracovatel orgánem veřejné moci některého členského státu, který jedná v rámci výkonu veřejné moci.“.
Nařízení zakotvuje subjektům údajů právo na soudní ochranu proti správci nebo zpracovateli, pokud se domnívá, že zpracovávají jeho osobní údaje v rozporu s nařízením. Žalovaným by tedy v daném případě byl konkrétní správce nebo zpracovatel. Nařízení se zabývá i otázkou příslušnosti. Je-li žalovaným správcem či zpracovatelem orgán veřejné moci, který v konkrétním případě jedná v rámci výkonu veřejné moci, tedy i školy, je příslušným soudem soud členského státu, jehož veřejná moc je prostřednictvím orgánů veřejné moci vykonávána. Z tohoto lze dovodit, že české soudy mají příslušnost k rozhodování o žalobách proti orgánům veřejné moci (ministerstva, krajské nebo obecní úřady, další orgány veřejné moci včetně škol), které vykonávají veřejnou moc České republiky.
K čl. 82 nařízení
(dříve ustanovení § 21 a § 25 zákona č. 101/2000 Sb.)
Ustanovení čl. 82 nařízení stanoví:
„Právo na náhradu újmy a odpovědnost
1. Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.
2. Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. Zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené tímto nařízením konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi.
3. Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.
4. Je-li do téhož zpracování zapojen více než jeden správce nebo zpracovatel, nebo správce i zpracovatel, a nesou-li podle odstavců 2 a 3 odpovědnost za jakoukoliv škodu způsobenou daným zpracováním, nese každý správce nebo zpracovatel odpovědnost za celou újmu, tak aby byla zajištěna účinná náhrada újmy subjektu údajů.
5. Jestliže některý správce nebo zpracovatel zaplatil v souladu s odstavcem 4 plnou náhradu způsobené újmy, má právo žádat od ostatních správců nebo zpracovatelů zapojených do téhož zpracování vrácení části náhrady, která odpovídá jejich podílu na odpovědnosti za újmu v souladu s podmínkami v odstavci 2.
6. Soudní řízení za účelem výkonu práva na náhradu újmy se zahajují u soudů příslušných podle práva členského státu uvedeného v čl. 79 odst. 2.“.
Poruší-li správce nebo zpracovatel povinnosti stanovené nařízením, vystavuje se odpovědnosti a povinnosti nahrazení újmy tím vzniklé. Správce (škola nebo školské zařízení, resp. jejich statutární zástupce) je odpovědný i za porušení, které nezavinil, jedná se tedy v jeho případě o tzv. objektivní odpovědnost. Naopak zpracovatel odpovídá pouze ve dvou případech, a to pokud poruší povinnost přímo uloženou nařízením nebo pokud jedná nad rámec zákonných pokynů správce či v rozporu s nimi.
K čl. 84 nařízení
Ustanovení čl. 84 nařízení stanoví:
„Sankce
1. Členské státy stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení tohoto nařízení, zejména za porušení, na něž se nevztahují správní pokuty podle článku 83, a učiní veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.
2. Každý členský stát oznámí Komisi do 25. května 2018 právní předpisy, které přijme podle odstavce 1, a bez zbytečného odkladu jakékoliv následné změny týkající se těchto ustanovení.“.
Co se týče ukládání pokut za porušení povinností v souvislosti se zpracováním osobních údajů, základní úpravu nalezneme právě v nařízení, přičemž podle připravovaného zákona o zpracování osobních údajů pokuty v České republice ukládá a vybírá Úřad pro ochranu osobních údajů za podmínek v nařízení a v tomto zákoně stanovených.
V souvislosti s nakládáním s osobními údaji v případě škol je podstatné poukázat na úpravu čl. 83 odst. 7 nařízení, který stanoví, že každý členský stát může stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům, kam spadají i školy. Jinými slovy, je na zákonodárcích členských států, zda umožní ukládání správních pokut orgánům veřejné moci či pro tyto správce nebo zpracovatele zvolí jiné sankce. Podle připravované úpravy bude v České republice možné ukládat správní pokuty i orgánům veřejné moci.
K čl. 99 nařízení
Ustanovení čl. 99 nařízení stanoví:
„Vstup v platnost a použitelnost
1. Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
2. Toto nařízení se použije ode dne 25. května 2018.“.

Do nabytí účinnosti právního předpisu (slovy unijního práva „použitelnosti“) není namístě se jím řídit, poněvadž do té doby nezavazuje adresáty právních norem v něm obsažených.
V nařízení nejsou obsažena přechodná ustanovení, je tedy nezbytné řídit se jím od okamžiku jeho účinnosti – 25. 5. 2018.


1 komentář:

mirek vaněk řekl(a)...

Další hloupost.
Vím jak nám paranoia ohledně zákona o chraně osobních údajů na škole znesnadňuje práci. Mohu porovnávat dobu před a po. A ještě se přidají další kontroloři a příživníci. Při tom každou chvíli chodí nabídky od firem, které si přeprodávají adresáře zákazníků. To nemluvím o internetových datech.
Takže zase další administrativa a další úředníci.

Okomentovat