Zásady spracúvania osobných údajov v praxi škôl a školských zariadení

1. Úvod

Všeobecné nariadenie Európskeho parlamentu a Rady EÚ č. 2016/679 o ochrane údajov (známe pod skratkou „GDPR“) vstúpilo do platnosti v roku 2016 a účinnosť nadobudlo o dva roky neskôr. Napriek odstupu času v aplikačnej praxi stále podnecuje diskusiu a otvára otázky. Predtým, než vás prevedieme analýzou najčastejších aplikačných problémov týkajúcich sa právnych základov a základných zásad spracúvania osobných údajov, si dovolíme uviesť odpovede na časté a základné otázky týkajúce sa tohto právneho rámca.

GDPR v origináli znamená General Data Protection Regulation a ide o právny predpis prijatý na úrovni práva Európskej únie (EÚ). Keďže je Slovenská republika súčasťou EÚ, jej právne predpisy majú pred našimi zákonmi prednosť. GDPR má právnu formu nariadenia, čo prakticky znamená, že je priamo záväzné a uplatniteľné v jednotlivých členských štátoch EÚ vrátane Slovenska. Väčšina nariadení však zároveň obsahuje aj určitý počet otázok, ktoré si členské štáty vo svojich zákonoch ešte môžu prispôsobiť. Z tohto dôvodu je aj pri nariadeniach vyžadované, aby na ne reflektovala aj právna úprava členských štátov.

Všeobecnosť je reflektovaná nielen v jeho názve, ale aj v rámci konkrétnych ustanovení. Práve tento aspekt býva v praxi často kritizovaný právnikmi, poradcami či samotnými podnikateľmi alebo orgánmi verejnej správy. Niet pochýb o tom, že GDPR do veľkej miery obsahuje vágne ustanovenia alebo vágne pojmy. Zároveň je to však prirodzené, ak vezmeme do úvahy, že GDPR sa aplikuje rovnako na malých a stredných podnikateľov, školské zariadenia a technologické giganty. Z tohto dôvodu GDPR nemôže obsahovať špecifiká pre konkrétny sektor.

Zároveň je však potrebné povedať, že GDPR je doplnené rôznymi usmerneniami a rozhodnutiami súdnych orgánov. Usmernenia sú pre aplikáciu GDPR kľúčové a vydáva ich Výbor na ochranu osobných údajov (European Data Protection Board, EDPB). Tieto usmernenia sú verejne dostupné.

2. Prečo bolo GDPR prijaté a kedy sa aplikuje?

GDPR nahrádza smernicu o ochrane osobných údajov, ktorá musela byť implementovaná do právneho poriadku jednotlivých členských štátov. Smernica na rozdiel od nariadenia predpokladá, že ju musia členské štáty prebrať, a následne platí jej znenie v podobe jednotlivých zákonov. Implementácia však pri smernici na ochranu osobných údajov nebola jednotná a tento fakt si uvedomil aj európsky zákonodarca. Z tohto dôvodu a v kontexte potreby unifikácie bolo potrebné oblasť ochrany osobných údajov zjednotiť.

Ďalším dôvodom na prijatie nového právneho rámca je technologická turbulencia. Na ilustráciu počet užívateľov a dostupnosť internetu sa rapídne zvýšili. Rozmach zažívajú aj digitálne služby a aplikácie, ktoré pred troma desaťročiami ešte neexistovali. Na digitalizáciu spoločenských vzťahov tak musela reagovať už pomerne konzervatívna právna úprava.

Tretím dôvodom na prijatie nového právneho rámca bol zámer zákonodarcu posilniť práva dotknutých osôb. Aj vzhľadom na to, že právo na ochranu osobných údajov je v zmysle článku 8 Charty základných ľudských práv EÚ základným ľudským právom, je ochrana práv dotknutých osôb imanentne prítomná v celom GDPR.

Štvrtým dôvodom, ktorý súvisí s jednotným uplatňovaním GDPR naprieč členskými štátmi, je aj určitý vývoj v rámci spolupráce dozorných orgánov. Túto potrebu reflektuje tzv. mechanizmus konzistentnosti.

GDPR sa aplikuje, keď dochádza k „spracúvaniu“ „osobných údajov.“ Definícia spracúvania je široká a zahŕňa v podstate akúkoľvek úmyselnú aktivitu s osobnými údajmi. Čo znamená pojem osobný údaj, vysvetľujeme nižšie. Z hľadiska územia, na ktorom sa GDPR aplikuje, je potrebné uviesť, že sa neaplikuje iba na spracúvanie osobných údajov subjektov, ktoré sa nachádzajú na území EÚ, ale aj na tie, ktoré sídlia mimo EÚ a zároveň spracúvajú osobné údaje o ľuďoch nachádzajúcich sa na území EÚ s cieľom sledovania ich správania alebo ponuky tovarov a služieb. Základné povinnosti a zodpovednosť v zmysle GDPR majú prevádzkovatelia a sprostredkovatelia.

Aplikuje sa GDPR aj na školské zariadenia?
Áno, školské zariadenia sú prevádzkovatelia so sídlom v EÚ (na Slovensku) a pre svoje fungovanie nevyhnutne musia spracúvať osobné údaje svojich žiakov a zamestnancov. GDPR sa bude na školské zariadenia aplikovať a tie budú najčastejšie v postavení prevádzkovateľa osobných údajov, pretože rozhodujú o účeloch a prostriedkoch spracúvania.

2.1 Prečo máme aj zákon o ochrane osobných údajov?

GDPR má právnu silu nariadenia Európskej únie, a teda prednosť pred národnými právnymi poriadkami členských štátov. Ako už je uvedené vyššie, niektoré otázky si môžu členské štáty upraviť podľa vlastnej právnej tradície a kultúry. Národné právne úpravy ochrany osobných údajov typicky obsahujú špecifikáciu niektorých ustanovení (ak to GDPR dovoľuje) a postavenie a činnosť (kontrolu a správne konanie) pred národnými dozornými orgánmi. Na Slovensku požiadavky GDPR upravuje zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon o ochrane osobných údajov“).

Pôsobnosť GDPR a zákona o ochrane osobných údajov môže pôsobiť na právneho laika značne zmätočne, a preto si dovoľujeme v súlade s metodikou Úradu na ochranu osobných údajov SR vymedziť tri modely aplikácie GDPR a zákona o ochrane osobných údajov:

  1. Ak pôjde o spracúvanie osobných údajov v rámci činnosti prevádzkovateľa, ktorá spadá pod právo Európskej únie, tak sa aplikuje GDPR + § 78 a 79 a ustanovenia týkajúce sa činnosti Úradu na ochranu osobných údajov SR podľa zákona o ochrane osobných údajov.
  2. Ak pôjde o spracúvanie osobných údajov v rámci činností prevádzkovateľa, ktoré nespadajú pod právo Európskej únie, tak sa aplikuje iba zákon o ochrane osobných údajov.
  3. V prípade spracúvania osobných údajov príslušnými orgánmi na plnenie úloh na účely trestného konania sa aplikuje tretia časť zákona o ochrane osobných údajov v súlade s § 3 ods. 3 zákona o ochrane osobných údajov.

Kritériom na určenie pôsobnosti teda vo väčšine prípadov bude to, či spracovateľské operácie patria alebo nepatria do pôsobnosti práva EÚ. Právo Európskej únie však v zakladajúcich zmluvách nevymedzuje negatívnu pôsobnosť, a teda oblasti, v ktorých nemá právomoc. Práve naopak, určiť možno iba oblasti, v ktorých EÚ právomoci má, a preto je veľmi náročné poskytnúť prehľad oblastí, kde EÚ právomoc nemá.

Z uvedeného tak možno vyvodiť, že na väčšinu entít spracúvajúcich osobné údaje sa bude vzťahovať prvý režim, keďže to budú činnosti, ktoré spadajú pod právo Európskej únie. Toto konštatovanie možno uviesť aj v rámci školských zariadení. Preto sa školské zariadenia primárne riadia ustanoveniami GDPR.

Majú školské zariadenie podľa GDPR iné pravidlá oproti ostatným?

Nie, školské zariadenia majú v zmysle GDPR postavenie prevádzkovateľa a povinnosti ako každý iný prevádzkovateľ. Upozorniť je možné na to, že deti sa považujú za tzv. zraniteľné osoby a preto GDPR osobitne dbá na ochranu ich osobných údajov.

3. Čo je to osobný údaj?

Za osobný údaj považujeme „údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.“

Najdôležitejšou a najkomplexnejšou časťou definície osobných údajov je tretí prvok – či sa informácie týkajú identifikovanej alebo identifikovateľnej osoby. Rozdiel medzi pojmami „identifikovaná osoba“ a „identifikovateľná osoba“ je nasledovný:

  • O identifikovanú osobu ide vtedy, keď už máme dostatok informácií na identifikáciu jednotlivca a jeho odlíšenie od zvyšku skupiny.
  • Pri identifikovateľnej osobe máme k dispozícii nejaké informácie, ale daná osoba ešte nie je identifikovaná a na jej identifikáciu potrebujeme dodatočné informácie, pričom získanie týchto informácie je možné.

Identifikácia je možná prostredníctvom tzv. identifikátorov, ktoré reflektujú určitý vzťah k dotknutej osobe. Môže ísť o meno, vzhľad, charakteristiku, vnútornú kvalitu, zamestnanie, funkciu a podobne. Ako k identifikovateľnosti pristupovať, rozhodol Súdny dvor EÚ v prípade Breyer, keď uviedol, že ak existujú právom dovolené prostriedky na identifikáciu jednotlivca, pôjde o osobné údaje.

Ako príklad osobných údajov v školských zariadeniach možno uviesť údaje detí a žiakov v rámci predpísanej dokumentácie, údaje o zamestnancoch školských zariadení či podobizne detí vystavené v rámci zariadení.

3.1 Čo je to citlivý osobný údaj?

Legislatíva na ochranu osobných údajov tradične diferencuje medzi klasickými osobnými údajmi a citlivými osobnými údajmi, ktoré vyžadujú splnenie dodatočných požiadaviek na spracúvanie. Osobitné kategórie osobných údajov (citlivé osobné údaje) definuje priamo GDPR v článku 9 ods. 1, kde medzi tieto údaje zaraďuje „údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby“. V tomto smere považujeme za nevyhnutné upozorniť na najnovšiu judikatúru Súdneho dvora EÚ, ktorá zaujala k pojmu citlivé osobné údaje veľmi extenzívny výklad a postačuje, ak osobný údaj umožňuje aj nepriamo prostredníctvom myšlienkového vyvodenia z klasického osobného údaja vyvodiť údaj citlivý. Prípad sa týkal posúdenia situácie, či z menovitých údajov týkajúcich sa manžela/manželky, druha/družky alebo partnera/partnerky osoby možno vyvodiť určité informácie o živote alebo sexuálnej orientácii dotknutej osoby a jej manžela/manželky, druha/družky alebo partnera/partnerky. Súdny dvor EÚ judikoval, že pojem citlivý osobný údaj „nemožno vykladať v tom zmysle, že spracúvanie osobných údajov, ktoré môžu nepriamo odhaľovať citlivé informácie týkajúce sa fyzickej osoby, je vyňaté z režimu posilnenej ochrany upraveného uvedenými ustanoveniami, inak by bol narušený potrebný účinok tohto režimu a ochrana základných práv a slobôd fyzických osôb, ktorú má zaručiť“.

Spracúvanie citlivých osobných údajov je síce v GDPR zakázané, ale zároveň obsahuje niekoľko výnimiek, keď prevádzkovatelia môžu aj takéto údaje spracúvať. V školských zariadeniach sa to týka napríklad údajov o zdravotnom stave žiaka v súvislosti so zdravotnými problémami alebo špeciálnych diét.

Kto vykonáva dozor?
Dozor nad dodržiavaním ustanovení GDPR a zákona o ochrane osobných údajov vykonáva v Slovenskej republike Úrad na ochranu osobných údajov SR. Tento štátny orgán môže ukladať pokuty, vykonávať vyšetrovania a kontroly či viesť správne konanie.

4. Spracúvanie osobných údajov v školských zariadeniach

Spracúvanie osobných údajov má množstvo pravidiel. Ich základom je však určenie účelu a vhodného právneho základu spracúvania osobných údajov. Ide o alfu a omegu každej spracovateľskej operácie a platí to aj v školskom prostredí.

Zásada obmedzenia účelu v zmysle článku 5 ods. 1 písm. b) GDPR ustanovuje, že „osobné údaje musia byť… získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi“. Účel je, laicky povedané, dôvod spracúvania osobných údajov. Prevádzkovateľ ním odpovedá na otázku, „prečo“ osobné údaje spracúva. Samotné legislatívne znenie účelu predpisuje tri kvalitatívne vlastnosti, a to konkrétnosť, výslovnosť a legitimitu:

  • Požiadavka konkrétnosti spočíva vo vymedzení cieľa spracovania osobných údajov, ktorý nie je vágny alebo všeobecný. Z vymedzenia účelu musí byť jasné, čo je predmetom spracúvania a čo nie.
  • Výslovné uvedenie účelu znamená, že predmetná informácia nenecháva priestor na ťažkosti s jeho pochopením a interpretáciou.
  • Požiadavka legitimity znamená existenciu právneho základu spracúvania osobných údajov a celkovú súladnosť spracovateľskej operácie s požiadavkami na ochranu osobných údajov, ale aj ostatnými požiadavkami podľa právneho poriadku v iných odvetviach.

Totožné osobné údaje je možné spracúvať aj na viacero účelov spracúvania osobných údajov.

Či už sa pôjde o materskú, základnú alebo strednú školu, tieto zariadenia budú mať v zásade podobné účely spracúvania, keďže zabezpečujú totožné úlohy. Môže sa jednať o nasledovné účely , ktoré identifikuje opis účelu:

  • Poskytovanie výchovno-vzdelávacieho procesu: Týmto účelom by malo školské zariadenie postihnúť spracúvanie osobných údajov v rámci zabezpečenia výchovno-vzdelávacieho procesu. Konkrétne úlohy sú určené zákonnými a podzákonnými predpismi a zahŕňajú napríklad vedenie pedagogickej dokumentácie, spisu žiaka, mobility, vydávanie vysvedčení a podobne.
  • Zasielanie údajov do centrálneho registra detí, žiakov a poslucháčov: Ide o špecifický účel, ktorý školským zariadeniam predpisuje osobitná práva úprava.
  • Personalistika a mzdy: Spracúvanie osobných údajov nevyhnutných v rámci pracovnoprávnych vzťahov a personálno-mzdovej agendy.
  • Propagácia školského zariadenia: Spracúvanie osobných údajov na účely zvyšovania povedomia a propagácie školského zariadenia prostredníctvom webového sídla alebo sociálnych sietí.
  • Školský časopis: Spracúvanie osobných údajov redaktorov, osôb zodpovedných za prípravu časopisu prípadne respondentov.
  • Knižničné účely: Spracúvanie osobných údajov čitateľov školskej knižnice.
  • Poskytovanie stravovacích služieb: Spracúvanie osobných údajov stravníkov v rámci školskej jedálne pri zabezpečovaní stravovania.
  • Bezpečnosť a ochrana majetku a zdravia: Pod tento účel môžeme zaradiť napríklad prevádzku kamerového systému alebo kontrolovaný vstup do niektorých priestorov.
  • Odborná prax žiakov: V prípade, ak sú osobné údaje zasielané tretím stranám na účely vykonania študentskej odbornej praxe, odporúčame tento účel vymedziť ako osobitný právny základ.
  • Iné úlohy vyplývajúce z právnych predpisov: Môže ísť o spracúvanie osobných údajov na plnenie úloh a povinností vyplývajúcich z právnych predpisov ako slobodný prístup k informáciám, zákon o sťažnostiach, ochrana oznamovateľov protispoločenskej činnosti či iné.
  • Rada školy: Spracúvanie osobných údajov jednotlivcov, ktorí sú členmi rady školy a zároveň nie sú v žiadnom inom vzťahu so školským zariadením.
  • Zmluvné vzťahy: Spracúvanie údajov dodávateľov rôznych tovarov a služieb.
  • Evidencia návštev: V prípade kontrolovaného vstupu do budovy školského zariadenia.

Tieto účely nemožno považovať za vyčerpávajúce. Skôr ide o indikatívny zoznam účelov, ktoré môžu školské zariadenia typicky mať alebo potrebovať.

Každý účel musí mať zároveň určený relevantný právny základ. Táto požiadavka vyplýva zo zásady zákonnosti. Zásada zákonnosti ustanovuje, že osobné údaje musia byť spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe. Čo konkrétne znamená pojem „zákonne“ vysvetľuje článok 6 GDPR, ktorý za zákonné spracúvanie osobných údajov považuje iba takú spracovateľskú operáciu, pri ktorej prevádzkovateľ disponuje platným právnym základom. Ku každému účelu spracúvania osobných údajov musí existovať vhodný právny základ, pričom ich môže byť aj viac. Právny základ možno charakterizovať ako právny dôvod na spracúvanie osobných údajov. Najčastejšie sa vyskytujúcim právnym základom je osobitný zákon, ktorý ustanovuje konkrétnym prevádzkovateľom povinnosť spracúvať osobné údaje. Súhlas nie je privilegovaným právnym základom a nemá ani osobitné postavenie medzi ostatnými právnymi základmi.

GDPR upravuje šesť rovnocenných právnych základov:

  • súhlas ,
  • plnenie zmluvy ,
  • zákonnú povinnosť ,
  • ochranu životne dôležitých záujmov dotknutej alebo inej fyzickej osoby ,
  • verejný záujem ,
  • oprávnený záujem prevádzkovateľa.

Pri vymedzení právneho základu odporúčame postupovať nasledovným spôsobom: V prvom rade je vhodné posúdiť, či spracúvanie osobných údajov nie je nevyhnutné pri plnení zmluvy alebo či nejde o zákonnú povinnosť, prípadne úlohu vo verejnom záujme. Následne je vhodné upriamiť pozornosť na právny základ oprávneného záujmu a jeho použiteľnosť.

Ak sme vylúčili všetky predchádzajúce možnosti, do úvahy prichádza len životne dôležitý záujem (ktorý sa však v praxi používa minimálne a iba vo veľmi špecifických situáciách), prípadne súhlas, ktorý je „poslednou záchranou.“ Často sa stáva, že súhlas býva využívaný aj v situáciách, v ktorých nie je vhodný, napríklad vtedy, ak spracúvanie osobných údajov predpokladá zákon alebo je nevyhnutné na účely plnenia zmluvy.

4.1 Súhlas

Súhlas je jedným z „najkrehkejších“ právnych základov a jediným, ktorým môže plne disponovať dotknutá osoba. To prakticky znamená, že ak dotknutá osoba svoj súhlas odvolá (na čo má v zmysle GDPR právo), prevádzkovateľ je povinný prestať spracúvať osobné údaje získané na tomto súhlase. EDPB k danej definícii vydal osobitné usmernenie , ktoré vymenúva 5 kritérií danej definície, a to spôsob prejavenia súhlasu, sloboda súhlasu, konkrétnosť súhlasu, informovanosť súhlasu a jednoznačnosť súhlasu.

Najviac problematickým aspektom nielen v školskom prostredí je sloboda poskytovania súhlasu. GDPR totiž ustanovuje, že súhlas nemožno považovať za slobodne daný, ak existuje nerovnovážne postavenie medzi prevádzkovateľom a dotknutou osobu. Takéto postavenie napríklad nastáva v prípade zamestnávateľa a zamestnanca. Z tohto dôvodu by preto až na výnimočné situácie nemal byť vyžadovaný súhlas od zamestnancov so spracúvaním osobných údajov.

V praxi najčastejšie problémy spôsobujú podmienky vyjadrenia súhlasu. Tie upravuje článok 7 GDPR a vyžaduje, aby:

  • prevádzkovateľ vedel preukázať poskytnutie súhlasu,
  • žiadosť o poskytnutie súhlasu bola odlíšiteľná od iných právnych dojednaní alebo zmlúv a zároveň táto žiadosť musí byť v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasne a jednoducho,
  • dotknutá osoba bola informovaná, že má právo svoj súhlas kedykoľvek odvolať a o tejto skutočnosti ju prevádzkovateľ musí informovať pred poskytnutím samotného súhlasu.

4.2 Plnenie zmluvy

Druhým právnym základom je plnenie zmluvy. Tento právny základ možno využiť v situáciách, ak je spracúvanie osobných údajov nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy.

Predmetný právny základ sa vzťahuje aj na tzv. predzmluvné vzťahy, čiže na spracúvanie osobných údajov vo fáze uzavretia zmluvy, v ktorej je prítomný úprimný úmysel strán danú zmluvu uzatvoriť.

Na použitie tohto právneho základu je tak absolútne nevyhnutné identifikovať cieľ zmluvy a spracúvanie osobných údajov vrátane jeho rozsahu prispôsobiť danému cieľu. Interpretácia cieľa zmluvy by mala byť pomerne striktná a reštriktívna a prevádzkovateľ by mal naozaj precízne minimalizovať rozsah spracúvania osobných údajov na účely danej zmluvy. Typicky sa tento právny základ používa pri správe zamestnaneckých údajov, kde je právny základom plnenie pracovnej zmluvy, resp. dohody.

4.3 Zákonná povinnosť

Zákonná povinnosť je najčastejšie používaný právny základ v praxi, keďže množstvo právnych predpisov upravuje spracúvanie osobných údajov v rôznych situáciách u rôznych osôb. V tomto smere však dodávame, že slovenský preklad GDPR nie je celkom správny a nejde iba o povinnosť vymedzenú v zákone, ale o akýkoľvek normatívny právny akt (v anglickom znení legal obligation).

V praxi často dochádza k neistote, kedy majú prevádzkovatelia používať právny základ zákonnej povinnosti podľa článku 6 ods. 1 písm. c) GDPR a kedy právny základ verejného záujmu podľa článku 6 ods. 1 písm. e) GDPR. V zmysle metodického usmernenia Úradu na ochranu osobných údajov SR je potrebné rozlišovať príkazové formulácie znení právnej úpravy a prípady, keď ide o možnosť spracúvania osobných údajov. Ak ide o príkazovú formuláciu (napr. prevádzkovateľ je povinný spracúvať…, prevádzkovateľ spracúva tieto údaje…, register obsahuje…), prevádzkovateľ by mal použiť právny základ plnenia zákonnej povinnosti v zmysle článku 6 ods. 1 písm. c) GDPR.

Ak ustanovenie obsahuje inú formuláciu ako príkaz (napr. prevádzkovateľ je oprávnený spracúvať osobné údaje o…, prevádzkovateľ môže na tento účel spracúvať osobné údaje…, prípadne akékoľvek iné formulácie odlišné od príkazu), je vhodné použiť právny základ úlohy vo verejnom záujme podľa článku 6 ods. 1 písm. e). Keďže na jeden účel môže byť naviazaných aj viacero právnych základov, nie je možné vylúčiť situácie, keď pri právnej neistote prevádzkovateľa bude vhodné uviesť oba právne základy.

Príkladom zákonnej povinnosti v školskom prostredí je § 11 ods. 6 školského zákona, ktorý znie: „Školy alebo školské zariadenia získavajú a spracúvajú na účely výchovy a vzdelávania a aktivít v čase mimo vyučovania osobné údaje.“

4.4. Životne dôležitý záujem

Ďalším právnym základom je prípad, ak spracúvanie osobných údajov je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby. Tento právny základ je v praxi používaný veľmi ojedinele a bude predovšetkým aplikovateľný na situácie, keď pôjde o záchranu života a zdravia.

Nepredpokladáme, že by tento právny základ využívali školské zariadenia.

4.5 Úloha vo verejnom záujme

Právny základ verejného záujmu upravuje dve odlišné situácie. V prvej situácii ide o spracúvanie osobných údajov nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme. V druhom prípade ide o spracúvanie osobných údajov nevyhnutné pri výkone verejnej moci zverenej prevádzkovateľovi. Vzhľadom na to, že osobám súkromného práva je verejná moc zverená zriedka, druhá časť pôsobnosti tohto právneho základu sa aplikuje na orgány verejnej moci. Tento právny základ je použiteľný tak pre orgány verejnej moci, ako aj pre súkromnoprávne osoby. Jedinou požiadavkou v zmysle GDPR na aplikovanie tohto právneho základu je, že musí vyplývať z osobitného predpisu v národnom právnom poriadku, resp. práve EÚ. Inými slovami, musí existovať právny akt, ktorý ustanoví minimálne možnosť spracúvania osobných údajov na daný účel.

4.6 Oprávnený záujem

Právny základ oprávneného záujmu predpokladá vypracovanie tzv. balančného testu (balancing test). Cieľom tohto balančného testu je preukázať, že oprávnené záujmy prevádzkovateľa prevažujú nad právami, záujmami a slobodami dotknutej osoby. Tento právny základ nie je použiteľný pre orgány verejnej moci pri plnení ich úloh. Súdny dvor EÚ vo veci Rīgas satiksme uviedol tri kroky na vypracovanie balančného testu. V bode 28 daného rozhodnutia predmetný súd judikoval, že na splnenie zákonných požiadaviek oprávneného záujmu musia byť splnené „tri kumulatívne podmienky, a to po prvé sledovanie legitímneho záujmu osobou zodpovednou za spracovanie alebo tretími osobami, ktorým sú údaje oznámené, po druhé nevyhnutnosť spracovania osobných údajov na realizáciu sledovaného legitímneho záujmu a po tretie podmienku, že neprevažujú základné práva a slobody osoby, ktorej sa ochrana údajov týka“.

Ak chce prevádzkovateľ využiť právny základ oprávneného záujmu, musí preukázať minimálne tri veci:

  1. Po prvé, aký je jeho sledovaný záujem a čo ním sleduje (napríklad ochrana majetku, evidencia vstupu osôb do zariadenia).
  2. Druhým krokom je argumentácia, že spracúvanie osobných údajov na dosiahnutie oprávneného záujmu je naozaj nevyhnutné a neexistujú rovnako efektívne alebo efektívnejšie alternatívy.
  3. V treťom kroku by mal prevádzkovateľ vyvážiť svoj oprávnený záujem oproti právam a záujmom dotknutých osôb takým spôsobom, aby nedochádzalo k neproporcionálnym zásahom do práv a slobôd.

5. Odporúčané právne základy pre školské zariadenia

  • Poskytovanie výchovno-vzdelávacieho procesu: Zákonná povinnosť s odkazom na relevantnú právnu normu. Relevantný je predovšetkým školský zákon a osobitné vyhlášky prijaté k nemu.
  • Zasielanie údajov do centrálneho registra detí, žiakov a poslucháčov:  Zákonná povinnosť s odkazom na § 157 školského zákona.
  • Personalistika a mzdy: Zákonná povinnosť v kombinácii s plnením zmluvy.
  • Propagácia školského zariadenia: V prípade zverejňovania fotografií na sociálnych sieťach alebo webstránkach odporúčame pracovať s právnym základom súhlasu. V prípade využívania stránok na sociálnych médiách je možné využiť aj oprávnený záujem.
  • Školský časopis: V prípade zverejňovania fotografií či iných osobných údajov v školskom časopise odporúčame pracovať s právnym základom súhlasu.
  • Knižničné účely: Zákonná povinnosť v kombinácii s úlohou vo verejnom záujme s odkazom na zákon č. 126/2015 Z. z. o knižniciach, ktorý upravuje aj činnosť školských knižníc.
  • Poskytovanie stravovacích služieb: Zákonná povinnosť v kombinácii s verejným záujmom s odkazom na ustanovenia školského zákona, ktoré upravujú zariadenia školského stravovania.
  • Bezpečnosť a ochrana majetku a zdravia: Odporúčame využiť právny základ oprávneného záujmu.
  • Odborná prax žiakov: Zákonná povinnosť v kombinácii s verejným záujmom s odkazom na školský zákon, ktorý odbornú prax predpokladá.
  • Iné úlohy vyplývajúce z právnych predpisov: Zákonná povinnosť v kombinácii s úlohou vo verejnom záujme s odkazom na osobitné zákony.
  • Rada školy: Zákonná povinnosť v kombinácii s úlohou vo verejnom záujme s odkazom na zákon 596/2003 Z. z. o štátnej správe v školstve a školskej samospráve a o zmene a doplnení niektorých zákonov.
  • Zmluvné vzťahy: Plnenie zmluvy, pričom rozsah spracúvaných údajov určujú konkrétne zmluvy.
  • Evidencia návštev: Odporúčame využiť právny základ oprávneného záujmu.

6. Základné zásady spracúvania osobných údajov

Základné zásady spracúvania osobných údajov môžeme nájsť v článku 5 GDPR. Ich úloha je v tomto právnom predpise dvojaká. V prvom rade základné zásady spracúvania vyjadrujú základné myšlienky a filozofiu, ktorú je potrebné pri spracúvaní osobných údajov dodržiavať. Ak sa pozrieme na ich historický vývoj, tieto zásady boli formulované už v staršej legislatíve a vývojom boli iba precizované a doplňované.

Druhou úlohou základných zásad spracúvania osobných údajov je ich úloha interpretačných pravidiel v prípade výkladových problémov GDPR. Pretože GDPR obsahuje pomerne veľké množstvo právne neurčitých a vágnych pojmov, v prípade interpretačných nejasností by sa mal prevádzkovateľ či dotknutá osoba vždy pozrieť na základné zásady a situáciu posúdiť v súlade s nimi.

Za porušenie ktorejkoľvek zásady predpisuje GDPR najvyššiu možnú správnu pokutu.

6.1 Zásada zákonnosti, spravodlivosti a transparentnosti

Článok 5 ods. 1 písm. a) GDPR ustanovuje, že osobné údaje musia byť spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe. Predmetná zásada obsahuje tri atribúty: zákonnosť, spravodlivosť a transparentnosť.

Zákonnosť spracúvania osobných údajov spočíva v dvoch úrovniach. V prvom rade je potrebné osobné údaje spracúvať na jednom alebo viacerých právnych základoch podľa článku 6 GDPR. Vymedzenie správneho právneho základu je predmetom výkladu v predchádzajúcej časti. Určenie právneho základu ako súčasť zásady zákonnosti reflektuje jej užšie ponímanie. Druhá úroveň zásady zákonnosti je, aby spracúvanie osobných údajov bolo ako také v súlade s celým právnym poriadkom.

Ďalším atribútom uvedenej zásady je spravodlivosť. Spracúvanie osobných údajov musí byť spravodlivé (fair) pre dotknuté osoby. V tomto smere je možné zdôrazniť aspekt dôvery medzi prevádzkovateľom a dotknutou osobou za zohľadnenia záujmov oboch strán.

Posledným atribútom predmetnej zásady je transparentnosť. Táto požiadavka je reflektovaná vo viacerých požiadavkách a inštitútoch GDPR, konkrétne: plnenie informačnej povinnosti v zmysle článkov 12 – 14 GDPR, komunikácia práv dotknutej osoby a komunikácia závažných incidentov v podobe porušení ochrany osobných údajov dotknutým osobám.

Zásada zákonnosti býva častým predmetom konaní pred Úradom na ochranu osobných údajov SR (úrad). Nebolo to inak ani v konaní so spisovou značkou 00235/2020-Os-8, ktoré sa týkalo základnej školy. Gro skutkovej podstaty prípadu spočívalo v zapojení školy do cezhraničného projektu a zverejňovaní fotiek a videí detí na zahraničných webových stránkach, ktoré prevádzkoval poskytovateľ projektu. Dozorný orgán vo svojom rozhodnutí zvýraznil postavenie detí ako zraniteľných osôb a osobitnú ochranu ich práv a slobôd. Úrad vo svojom rozhodnutí kritizoval, že súhlas so zverejnením osobných údajov detí, ktorý poskytli zákonní zástupcovia, sa nevzťahoval na viaceré zahraničné webové sídla, kde k zverejneniu údajov došlo. Tým pri poskytnutí súhlasu nebol zákonný zástupca informovaný o všetkých príjemcoch osobných údajov. Dozorný orgán preto konštatoval, že daný súhlas sa nevzťahoval na zverejnenie osobných údajov detí na zahraničných webových stránkach a z tohto dôvodu išlo o porušenie zásady zákonnosti, keďže osobné údaje boli zverejnené bez právneho základu. Zároveň v s súvislosti s týmto prípadom sa úrad zapodieval aj nevybavením práva na prístup k osobným údajom, keďže prevádzkovateľ odignoroval žiadosti zákonných zástupcov o prístup k osobným údajom. Dopĺňame, že GDPR výslovne upravuje právo na prístup v článku 15 a vzťahuje sa aj na spracúvanie osobných údajov v školskom prostredí.

Osobitným prípadom porušenia pravidiel na spracúvanie osobných údajov sa úrad zaoberal v konaní so spisovou značkou 00998/2022-Os-8. Skutková podstata prípadu sa týkala zverejnenia rodných čísel uchádzačov o štúdium na strednej škole. K zverejneniu došlo prostredníctvom publikácie výsledkov prijímacieho konania spolu s bodovým hodnotením a poradím uchádzačov. Samotné zverejňovanie rodných čísle je regulované prostredníctvom osobitnej úpravy v zákona č. 18/2018 Z. z. o ochrane osobných údajov, pretože ide o priestor, kde GDPR ponecháva miesto na vlastnú právnu úpravu členským štátom. Spracúvanie rodného čísla upravuje § 78 ods. 4 v nasledujúcom znení: „Pri spracúvaní osobných údajov možno využiť na účely identifikovania fyzickej osoby všeobecne použiteľný identifikátor podľa osobitného predpisu len vtedy, ak jeho využitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Súhlas so spracúvaním všeobecne použiteľného identifikátora musí byť výslovný a nesmie ho vylučovať osobitný predpis, ak ide o jeho spracúvanie na právnom základe súhlasu dotknutej osoby. Zverejňovať všeobecne použiteľný identifikátor sa zakazuje; to neplatí, ak všeobecne použiteľný identifikátor zverejní sama dotknutá osoba.“ Tým, že školské zariadenie nemalo súhlas dotknutých osôb a zároveň bolo zverejnenie rodných čísel neúčelné, keďže existujú alternatívy pri prijímacích konania (napríklad prostredníctvom identifikátorov, ktoré pozná iba uchádzať o štúdium), úrad konštatoval porušenie legislatívy. Dozorný orgán považoval za irelevantné, že väčšina zákonných zástupcov nevyjadrila nesúhlas so zverejnením rodných čísel.

6.2 Zásada obmedzenia účelu

Zásada obmedzenia účelu podľa článku 5 ods. 1 písm. b) GDPR znamená, že osobné údaje musia byť získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi. Asi najväčší problém v praxi spôsobuje konkrétnosť určenia účelu. Napríklad účel „marketing“ nie je možné považovať za konkrétny, keďže nie je jasné, na čo presne bude prevádzkovateľ osobné údaje využívať. Dostačujúcim krokom by bolo doplnenie takéhoto účelu o popis spracúvania osobných údajov.

6.3 Zásada minimalizácie údajov

Zásada minimalizácie údajov v zmysle článku 5 ods. 1 písm. c) GDPR znamená, že osobné údaje musia byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. Prevádzkovateľ je povinný prihliadať na spracúvanie dostatočne kvalitných (správnych) osobných údajov o dotknutej osobe na naplnenie vymedzeného účelu. Avšak zároveň je povinný nepracovať s viac údajmi, než je na výkon špecifickej spracovateľskej operácie potrebné. Prevádzkovateľ by tak mal vyhodnotiť proporcionalitu a nevyhnutnosť zozbieraných údajov na určený účel.

Rozsah spracúvaných údajov môže prevádzkovateľom vyplývať aj z právnych predpisov.

Školský zákon a jeho vyhlášky určujú rozsah spracúvaných údajov pre potreby vedenia pedagogickej dokumentácie či v iných prípadoch.

Ak rozsah neurčuje právna norma, prevádzkovateľ musí sám vyhodnotiť, čo je naozaj nevyhnutné na dosiahnutie účelu.

Spracúvanie krvnej skupiny žiakov školských zariadení by bolo vo väčšine prípadov neproporcionálne. Vhodné by to bolo pri odboroch, ktoré sú z povahy činnosti nebezpečné a môže dôjsť k ujme.

6.4 Zásada správnosti údajov

Zásada správnosti osobných údajov podľa článku 5 ods. 1 písm. d) GDPR znamená, že osobné údaje musia byť správne a podľa potreby aktualizované. Prevádzkovateľ je zároveň povinný prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia. Považujeme za nutné zdôrazniť, že zásada správnosti osobných údajov sa vždy musí posudzovať vzhľadom na účel spracúvania.

V prípade, ak je účel spracúvania priamo závislý od správnosti údajov, údaje musia byť aktuálne a správne. Prevádzkovateľ by mal umožňovať jednoduchým spôsobom dotknutým osobám doplniť alebo opraviť osobné údaje, napríklad prostredníctvom zverejneného webového formulára.

6.5 Zásada minimalizácie uchovávania údajov

Zásada minimalizácie uchovávania údajov podľa článku 5 ods. 1 písm. e) GDPR reflektuje požiadavku, že osobné údaje sú uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú. Osobné údaje sa môžu uchovávať dlhšie, ak sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely (v súlade s článkom 89 ods. 1 GDPR) za predpokladu prijatia primeraných technických a organizačných opatrení.

Predmetnú zásadu bližšie vykladá Recitál 39 GDPR, v ktorom GDPR zvýrazňuje „obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutný rozsah“ a stanovenie lehoty na „vymazanie alebo pravidelné preskúmanie“.

Údaje, ktoré už nie sú potrebné a uplynie lehota na ich uchovávanie, je potrebné zlikvidovať, resp. vymazať. To neplatí v prípadoch, ak prevádzkovateľ prijal primerané bezpečnostné oprávnenia s cieľom uchovania údajov na štatistický, vedecký alebo historický výskum, prípadne na účely archivácie vo verejnom záujme.

Na túto zásadu priamo nadväzuje určovanie tzv. retenčných dôb, to znamená času, počas ktorého sa na daný účel budú osobné údaje spracúvať. Doby uchovávania v niektorých prípadoch určujú aj osobitné právne predpisy. Ak ich právne predpisy neurčujú, musí ich určiť prevádzkovateľ sám. Doby uchovávania môžu byť určené konkrétnym časovým údajom alebo naviazané na právnu skutočnosť (napríklad premlčaciu lehotu alebo ukončenie zmluvného vzťahu).

6.6 Zásada integrity a dôvernosti

Článok 5 ods. 1 písm. f) upravuje zásadu bezpečnosti a integrity, ktorá znamená, že osobné údaje musia byť spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení. Táto zásada sa nevzťahuje len na vonkajšie hrozby narušenia bezpečnosti (únik údajov spôsobený hackermi alebo krádež počítača), ale aj v rámci vnútornej štruktúry prevádzkovateľa (nedostatočne vyškolených zamestnancov).

Bezpečnosť spracovateľských operácií by mala byť predovšetkým zaručená prostredníctvom rôznych technických a organizačných opatrení, ako napr. obmedzeným prístupom k údajom (autorizovaním konkrétnych osôb), konkrétnymi povereniami autorizovaných osôb, ktoré môžu pracovať s osobnými údajmi a implementáciou režimu obnovenia dát v prípade omylu alebo straty.

Zásadu bezpečnosti bližšie špecifikujú inštitúty potreby prijatia vhodných a primeraných bezpečnostných opatrení na zabezpečenie osobných údajov (článok 32 GDPR) a pravidlá nahlasovania porušení ochrany osobných údajov, ktoré sú špecifickým typom bezpečnostného incidentu (články 33 a 34 GDPR).

Rozhodnutie Úradu na ochranu osobných údajov SR so spisovou značkou 00120/2020-0s-12 skutkovo rieši práve porušenie zásady bezpečnosti v prostrední materskej školy. Navrhovateľkou v tomto prípade bola učiteľka, ktorej vyplnený formulár súhlasu so spracúvaním osobných údajov vrátane citlivých osobných údajov v súvislosti s rodinným stavom bol omylom riaditeľa školy rozoslaný viacerým zamestnancom. Slovenský dozorný orgán týmto neoprávneným zverejnením osobných údajov konštatoval porušenie zásady bezpečnosti. Zároveň však zohľadnil poľahčujúce okolnosti v podobe promptných opatrení, ktoré riaditeľ uložil zamestnancom materskej školy, aby neoprávnené získané údaje vymazali. Úrad na ochranu osobných údajov SR v tomto rozhodnutí ďalej zvýraznil vysoké riziko, ktoré neoprávneným sprístupnením osobných údajov navrhovateľky nastalo, a z tohto dôvodu bola materská škola povinná tento incident nahlásiť dozornému orgánu a taktiež samotnej navrhovateľke ako dotknutej osobe.

Iný prípad vedený pod spisovou značkou 00357/2020-Os-18 sa týkal situácie, keď základná škola stratila pedagogickú dokumentáciu svojho žiaka so špecifickými potrebami. Tým, že pedagogická dokumentácia obsahovala aj rodné číslo, ďalšie identifikátory či údaje o fyzickom a mentálnom zdraví žiaka, išlo o závažnejší incident, keďže tieto údaje možno klasifikovať ako citlivé osobné údaje. Ako konštatuje dozorný orgán, strata predstavovala situáciu, keď dokumentácia môže byť neoprávnene dostupná bližšie neurčitému počtu neoprávnených osôb. Išlo teda podobne ako v predchádzajúcom prípade o porušenie zásady bezpečnosti.

6.7 Zásada zodpovednosti

Zásada zodpovednosti je v GDPR koncipovaná veľmi stručne, napriek tomu v sebe obsahuje niekoľko povinností, na ktoré poukážeme. Podľa článku 5 ods. 2 je prevádzkovateľ zodpovedný za súlad s vyššie uvedenými zásadami a musí vedieť tento súlad preukázať.

Na základe usmernenia výkladovej autority zásadu zodpovednosti tvorí (i) aktívna a preventívna činnosť prevádzkovateľov (zavedenie opatrení, ktoré zaručia dodržiavanie pravidiel a politík ochrany osobných údajov) a dokumentárna/záznamová činnosť prevádzkovateľov (príprava dokumentov, ktoré preukazujú súlad s pravidlami ochrany osobných údajov).

GDPR reflektuje zásadu zodpovednosti vo viacerých inštitútoch. Niektoré z nich si dovolíme spomenúť a stručne charakterizovať nižšie:

  • vedenie záznamov o spracovateľských operáciách v zmysle článku 30 GDPR – prevádzkovatelia a sprostredkovatelia sú povinní viesť dokumenty, v ktorých detailne mapujú, na aké účely osobné údaje spracúvajú, o akých osobách, kto k nim má prístup,
  • posúdenie vplyvu na ochranu údajov podľa článku 35 GDPR – ide o inštitút, ktorého cieľom je nahradiť notifikačné povinnosti dozorným orgánom, v rámci ktorého má prevádzkovateľ vykonať analýzu rizík pri spracúvaní osobných údajov, pričom táto povinnosť sa vzťahuje na situácie, kde dochádza k vysokým rizikám pre práva, slobody a záujmy dotknutých osôb,
  • určenie zodpovednej osoby podľa článkov 36 – 39 GDPR – v určitých prípadoch stanovených nariadením sú prevádzkovatelia povinní ustanoviť zodpovednú osobu, ktorej úlohou je monitorovanie, poradenstvo či figurovanie ako kontaktný bod pre vonkajší svet v oblasti ochrany osobných údajov,
  • kooperácia s dozorným orgánom na požiadanie podľa článku 31 GDPR,
  • predchádzajúca konzultácia s dozorným orgánom podľa článku 36 GDPR.

Jedným z prvkov zásady zodpovednosti je aj určenie zodpovednej osoby. Zodpovednú osobu sú okrem iného mať povinne určené aj verejnoprávne subjekty. Úrad v rozhodnutí so spisovou značkou 00407/2020-Os-57 konštatuje, že školské zariadenia sú verejnoprávnym subjektom, a teda musia mať určenú zodpovednú osobu. Zároveň upozorňujeme na povinnosť nahlásiť určenie zodpovednej osoby prostredníctvom formuláru Úradu na ochranu osobných údajov SR. Vo vyššie uvedenom prípade si školské zariadenie túto povinnosť nesplnilo.