Príchod zákona 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov a NARIADENIA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) ďalej len „Nariadenie“ nemá revolučnú povahu, sú však povinnosti, ktoré si školské zariadenia musia splniť:
- Informačnú povinnosť voči dotknutým osobám,
- Spracovateľské operácie,
- Povinnosť určenia zodpovednej osoby,
- Oznamovaciu povinnosť voči Úradu na ochranu osobných údajov v prípade porušenia bezpečnosti ochrany osobných údajov,
- Rozšírenie práv dotknutých osôb,
- Posúdenie vplyvu spracúvania osobných údajov pri osobitnom spracúvaní osobných údajov.
Vo všeobecnosti platí, že školy a školské zariadenia musia pri spracúvaní osobných údajov zohľadniť najlepší záujem dieťaťa. Dieťa nesmie byť vystavené akémukoľvek nezákonnému zasahovaniu do súkromia a rodiny. Samozrejme, môže nastať situácia, kedy právo na ochranu súkromia musí ísť do úzadia pre najlepší záujem dieťaťa (napr. pri zanedbaní starostlivosti o dieťa).
Pri spracúvaní osobných údajov, je nutné dodržiavať zásady spracovania osobných údajov:
Transparentnosť - nakoľko sa v rámci pedagogickej dokumentácie nespracovávajú len osobné údaje detí a žiakov, ale aj ich zákonných zástupcov a zamestnancov, je nutné všetky dotknuté osoby informovať o rozsahu a spracovaní osobných údajov. Informačná povinnosť by mala byť ľahko dostupná a zrozumiteľná zákonnému zástupcovi ale taktiež by mala byť pochopiteľná aj pre dieťa samo.
Zákonnosť - osobné údaje musia byť spracovávané zákonne a na konkrétny účel. Prevádzkovateľ školského zariadenia spracováva osobné údaje v rámci vedenia pedagogickej dokumentácie na základe predmetného zákona č. 245/2008 Z. z. o výchove a vzdelávaní (školský zákon) a o zmene a doplnení niektorých zákonov. Osobné údaje žiakov sa však spracovávajú aj na účely, ktoré nevyplývajú zo zákonnej povinnosti, napr. kamerový systém, či propagácia (fotky, vystúpenia, účasť v súťažiach), ktoré podliehajú inej zákonnosti spracovania. Takéto spracovanie (mimo zákonnú povinnosť) je vždy potrebné podložiť správnym právnym základom. Napríklad pri kamerovom systéme to môže byť oprávnený záujem prevádzkovateľa, ktorý je podmienený testom proporcionality. Kamerový systém v žiadnom prípade nesmie zasahovať do súkromia a práv dieťaťa, preto jeho použitie na školách musí byť riadne prerokované s odborníkmi v oblasti ochrany osobných údajov, ktorý vám pomôžu riadne nadstaviť technické a organizačné opatrenia pri prevádzkovaní kamerového systému.
Aktuálnosť a pravidlo minimalizácie – prevádzkovateľ je zodpovedný za správnosť a aktuálnosť osobných údajov všetkých dotknutých osôb a je povinný dodržať pravidlo minimalizácie pri ich spracúvaní. Pravidlo minimalizácie musíme aplikovať pri každom jednom spracovaní osobných údajov, to znamená, že prevádzkovateľ si musí presne určiť rozsah spracovania osobných údajov, ktorý je minimalizovaný pre potrebu vedenia agendy. Skvelým príkladom nám môže slúžiť práv rozsah osobných údajov definovaný školským zákonom. Aby bolo dodržané pravidlo minimalizácie bude škola spracovávať na účely vedenia pedagogickej agendy, len osobné údaje definované v rámci § 11 školského zákona.
Prevádzkovateľ je povinný chrániť osobné údaje, ktoré spracúva, najmä:
- Zabezpečiť objekt, v ktorom osobné údaje spracúva pomocou mechanických zábranných prostriedkov (uzamykateľné dvere, okná, mreže, elektronický zabezpečovací systém),
- uchovávať osobné údaje na miestach, alebo v systéme, do ktorého majú prístup len riaditeľ a ním poverené oprávnené osoby,
- prihliadať na povahu spracúvaných osobných údajov,
- uchovávať pedagogickú dokumentáciu v uzamykateľných skrinkách v chránenom priestore školy (kancelária). Pedagógom sú zapožičané len za účelom vykonania zápisov.
- všetky oprávnené osoby prevádzkovateľa sú povinné dodržiavať mlčanlivosť o skutočnostiach, ktoré sa dozvedeli v rámci práce, nevynášať údaje o žiakoch a deťoch školy,
- osobné údaje v elektronickej podobe, napríklad v prípade platformy EduPage, sa uchovávajú v zabezpečenom systéme. Prístup doňho majú jednotliví pedagógovia na základe hesla a len v rozsahu spracovaniu pridelenom prevádzkovateľom. Heslá sa nesmú zdieľať. Zákonní zástupcovia žiakov a žiaci sami majú prístup do EduPage-u na základe prideleného hesla triednym učiteľom. Prístup je možný len k vlastným osobným údajom,
- zvýšiť ochranu proti hrozbám pochádzajúcim z verejne prístupnej počítačovej siete (hackerský útok) a pred nevyžiadanou poštou a povinne zálohovať.
- zadefinovať jednolivé účely spracovania a rozsah spracúvaných osobných údajov, poveriť spracúvaním oprávnenéné osoby, poučiť ich a pravidelne ich vzdelávať formou školení, nastaviť správu hesiel, zaobchádzanie so služobnými mobilmi, notebookmi a ich ochranu, nastaviť používani e-mailov len na pracovné účely. Samozrejmosťou je pravidelná kontrolná činnosť prevádzkovateľa, zameraná na dodržiavanie prijatých bezpečnostných opatrení.
Komplexnú smernicu a metodický pokyn pre pedagogických zamestnancov spracovávajúcich osobné údaje v prostredí škôl nájdete tu.
Nástrahy v spracúvaní osobných údajov.
Školy a školské zariadenia sa riadia zákonom č. 245/2008 Zákon o výchove a vzdelávaní (školský zákon) a o zmene a doplnení niektorých zákonov, kde majú presne stanovaný rozsah spracúvaných údajov a k nim príslušných vyhlášok Ministerstva školstva SR.
V prostredí škôl sa však deti a žiaci zúčastňujú aj rôznych aktivít, predstavení a súťaží, ktoré sú zaznamenávané a zverejňované v súvislosti s pozitívnou propagáciou školy. Takéto spracovanie však podlieha súhlasu dotknutej osoby alebo jej zákonného zástupcu. Súhlas musí byť dobrovoľný, to znamená, že ak si zákonný zástupca dieťaťa neželá, aby bola fotografia alebo videozáznam s podobizňou dieťaťa zverejnený, prevádzkovateľ to musí akceptovať a zabezpečiť.
Pri spracúvaní osobných údajov na základe súhlasu si treba uvedomiť práva dotknutých osôb, najmä:
- právo na opravu osobných údajov,
- právo na výmaz osobných údajov,
- právo na obmedzenie spracúvania osobných údajov,
- právo na prenosnosť osobných údajov,
- právo namietať spracúvanie osobných údajov
a vedieť ich zabezpečiť. Tu sa dostávame k problému so zverejňovaním fotiek detí a zamestnancov na sociálnych sieťach. Facebook či Instagram sú v dnešnej dobe čoraz populárnejšie, treba si však uvedomiť, že v rámci takéhoto spracovania osobných údajov nie je prevádzkovateľ schopný zabezpečiť všetky práva dotknutých osôb. Navyše v prípade zneužitia fotiek na Facebooku sa školské zariadenie stáva spoluprevádzkovateľom Facebooku, to znamená, že za to bude rovnako zodpovedné. Vhodnejším riešením je využívať sociálne siete ako informatívny kanál a fotky zverejňovať na svojom webovom sídle, kde dokáže zabezpečiť bezpečnosť osobných údajov ako aj všetky práva dotknutých osôb.
Spracúvanie osobných údajov počas núdzového stavu vyhláseného vládou SR
Počas vyhlásenia núdzového stavu vládou SR a pandemickej situácii kvôli ochoreniu COVID-19 museli byť prijaté opatrenia, ktorými sa rozšíril rozsah spracúvaných osobných údajov v školskom prostredí, čo sa mnohým dotknutým osobám nepáčilo. V rámci núdzového stavu boli prevádzkovatelia školských zariadení povinní zbierať citlivé osobné údaje, ktoré boli súčasťou čestných prehlásení, kde zákonní zástupcovia detí/žiakov a zamestnanci uvádzali zdravotný stav (v rozsahu výsledku testu na prítomnosť ochorenia COVID-19, poprípade zadefinovania výnimky z testovania). Je dôležité chrániť život a zdravie detí, žiakov ale aj zamestnancov v školách. Právnym základom takéhoto spracovania osobných údajov je článok 6 ods. 1 písm. d), pričom sa uplatňuje výnimka zo spracovania citlivých osobných údajov podľa článku 9 ods. 2 písm. i) Nariadenia GDPR ak prevádzkovateľ vykoná len nahliadnutie do výsledku testu a nebude ho nijakým ďalším spôsobom spracovávať.
Každú jednu operáciu s osobnými údajmi dotknutých osôb je vhodné komunikovať so zodpovednou osobou pre dohľad na ochranu osobných údajov a nastaviť to v súlade so zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov a Nariadením GDPR.
Zákon č. 245/2008 Z. z.Zákon o výchove a vzdelávaní (školský zákon) a o zmene a doplnení niektorých zákonov
