Podepisovali jste souhlas se zpracováním osobních údajů dětí a zaškrtávali, s čím souhlasíte a s čím ne? Pak možná máte na školu slušný „klacek“, protože jste vysoce pravděpodobně poskytli souhlas pro něco, s čím souhlasit vůbec nemáte. Má-li škola GDPR v pořádku, ve většině případů jen informuje zákonné zástupce o způsobu zpracování osobních údajů. Jak totiž můžete souhlasit něčím, co škola provádí na základě toho, že ze zákona musí?
Nesprávné použití souhlasů
Souhlas se zpracováním osobních údajů je ve školství až nebezpečně často požadován v případech, kdy má být zpracování založeno na jiném právním titulu. Přesně podle hesla „my ten souhlas nepotřebujeme, ale my si ho pro jistotu pořídíme“. Jak je to správně si řekneme níže.
Školství a právní tituly zpracování osobních údajů
Ve školství zpracováváme osobní údaje dětí/žáků/studentů primárně na základě tří právních titulů:
1. Veřejný zájem
2. Plnění právní povinnosti
3. Plnění smlouvy
V omezené míře vstupují do hry i další právní tituly, např. ochrana životně důležitých zájmů (alergie) nebo souhlas. Souhlas je ale vždy až na posledním místě, protože ten je možné kdykoliv odvolat a základní škola skutečně není dobrovolná.
Kde se vzaly všudypřítomné souhlasy
Původní zákon 101/2000 Sb., o zpracování osobních údajů stavěl zpracování osobních údajů hlavně na souhlasu. Nyní je ale situace odlišná, souhlas je jen jeden z mnoha právních titulů a často ten nejméně vhodný. Ve školství přichází v úvahu např. v případě použití biometriky pro vstup, nebo pokud bychom chtěli doplnit fotografie studentů do systému.
Nesmyslná opatření
Kvůli GDPR by škola určitě neměla sundávat jména dětí ve třídách a v šatnách, bát se zveřejňovat seznamy přijatých žáků a už vůbec by neměla dětem dávat přezdívky. Také není důvod zakazovat dětem podepisovat výkresy a omezovat focení. Je-li výše uvedené realizováno v rámci běžného provozu školy, je v pořádku.
Někteří pověřenci by se měli doškolit nebo změnit profesi
Vyžadování nadbytečných souhlasů je porušením zákona a to by pověřenec nikdy neměl připustit. Jeho prací je dohlížet nad zpracováním osobních údajů, měl by se tak průběžně školit a nespoléhat na informace, které obdržel na školení před půl rokem. Nic není starší než včerejší noviny a v případě GDPR to platí dvojnásob.
Také by měl být pověřenec dostatečně zkušený na to, aby nedával stanoviska, na základě kterých dochází k implementaci nesmyslných opatření a rozhodně by měl dbát na dodržování pravidel. Zadejte si do vyhledávače dotaz stravné škola rodné číslo a dostanete dlouhý seznam škol a školek, kde je jako variabilní symbol pro platbu rodné číslo použito. To samozřejmě není správně, v tabulce s informacemi o placení stravného datum narození, věk a informace o pohlaví nemá co dělat a ani souhlas to nespasí.
Co namísto souhlasu
Správně má být rodič informován o zpracování osobních údajů v informačním memorandu, které následně dole podepíše na znamení toho, že byl s dokumentem seznámen. Ve většině případů stačí jedna strana A4. Tento dokument by se ale neměl jmenovat souhlas a už vůbec ne informovaný souhlas. Má-li matka problém s focením (např. kvůli stalkujícímu bývalému manželovi), určitě by měla škola vyhovět a dítě nefotit, ale i běžné pořizování fotografií v rámci provozu školy je jinak bez souhlasu. „Souhlasová praxe“ navíc školám zbytečně komplikuje život, hlídání, kdo s čím souhlasí a s čím ne je často složité, což může vést k naprosto zbytečným tlakům na rodiče ve smyslu „nedělejte problémy, všichni ostatní podepsali“.
Pro úplnost uvádím, že školami v tomto případě myslím i školky.
Doporučení na závěr
Tento článek staví na aktuálních informacích, na posledním školení se zástupcem Úřadu pro ochranu osobních údajů jsme byli v říjnu. Potřebujete-li přesto pro zástupce školy nějaký další argument, určitě mu ukažte článek Praxe s nadbytečným vyžadováním souhlasů ve školství přetrvává na stránkách uoou.cz. Velmi hezky shrnuto. Případné dotazy rád zodpovím přes e-mail kuba@gdpr-pardubice.cz.
Bc. Jaromír Kuba,
předseda Soukromníků v Pardubicích