Školám nehrozí pokuta za porušení GDPR, ale...

Vydáno:

Již rok platí v celé Evropské unii GDPR1) . Toto evropské nařízení si dokázalo získat – na právní poměry nezvyklou – pozornost jak podnikatelského a veřejného sektoru, tak i široké veřejnosti a médií. Jednou z příčin takového zájmu byla zcela jistě široká působnost nařízení, která dopadá na všechny správce osobních údajů. Lze však předpokládat, že další významnou příčinou zájmu byla výše hrozících pokut za porušení GDPR. Nedávno přijatý český zákon o zpracování osobních údajů přitom právě v otázce ukládání pokut mj. školám přináší zásadní změnu spočívající v tom, že pokuta podle GDPR nemůže být škole udělena. Tento článek2) podrobněji pojednává o tom, zda je v důsledku této české zákonné úpravy škola zbavena rizik spojených s porušením nařízení.

Školám nehrozí pokuta za porušení GDPR, ale…
Mgr.
Adam
Hlaváč
firemní advokát, Pardubice
Český „adaptační“ zákon
GDPR je přímo závazný právní předpis. Jinými slovy platí ve všech členských státech EU přímo, aniž by bylo nutné jej „přepisovat“ nebo jinak přenášet do národní podoby právně závazných předpisů, tj. v případě ČR do podoby zákona.
Zároveň však nařízení v některých (výslovně vymezených) oblastech právní úpravy ochrany osobních údajů umožňuje, aby členské státy přijaly svou národní úpravu, která se může od nařízení GDPR ve „vymezených mantinelech“ odchylovat.
Parlament České republiky – byť s téměř roční prodlevou od účinnosti nařízení – právo odchylné úpravy některých oblastí využil. Tyto odchylky jsou zakotveny v tzv. adaptačním zákoně, kterým je zákon č. 110/2019 Sb., o zpracování osobních údajů, (dále jen „adaptační zákon“), který byl vyhlášen ve Sbírce zákonů dne 24. 4. 2019 s tím, že dle § 68 nabývá účinnosti hned dnem svého vyhlášení.
Výjimka z udělování správních pokut
Jedním z ustanovení GDPR, které obsahuje možnost odchylné úpravy v každém členském státě EU, je článek 83 odst. 7, v němž se stanoví: Aniž jsou dotčeny nápravné pravomoci dozorových úřadů podle čl. 58 odst. 2, může každý členský stát stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě.
Adaptační zákon možnost této výjimky zakotvil hned ve dvou ustanoveních, a to
*
v ustanovení § 61 odst. 3, které zní: Úřad upustí od uložení správního trestu také tehdy, jde-li o subjekty uvedené v čl. 83 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679, a
*
v ustanovení § 62 odst. 5, které zní: Úřad upustí od uložení správního trestu také tehdy, jde-li o správce a zpracovatele uvedené v čl. 83 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679.
Úřadem se ve smyslu adaptačního zákona rozumí Úřad pro ochranu osobních údajů [viz § 2 písm. e)]. Adaptační zákon se vyhnul jakémukoliv vymezení subjektů, na které by měla výjimka z udělování správních trestů dopadat, a co do vymezení subjektů odkazuje na již výše citovaný článek 83 odst. 7 GDPR.
Byť tedy pojmy „orgán veřejné moci“ a „veřejný subjekt“ nejsou ani v adaptačním zákoně, ani v GDPR definovány, školy mezi tyto subjekty nepochybně spadají. Důvodem je mj. pravomoc školy v určitých situacích rozhodovat o právech a povinnostech v oblasti veřejné správy (zejm. rozhodování dle ustanovení § 165 odst. 2 zákona č. 561/2004 Sb., školského zákona), a tedy naplnění pojmu „orgán veřejné moci“. Ke stejnému závěru dospělo ostatně i Ministerstvo školství, mládeže a tělovýchovy ČR ve své Metodické pomůcce k aplikaci obecného nařízení o ochraně osobních údajů v podmínkách školství3).
Lze tedy konstatovat, že školy dle školského zákona spadají do obecné definice subjektů dle čl. 83 odst. 7 GDPR. V kontextu ustanovení § 62 odst. 5 adaptačního zákona pak platí, že školy nemohou být za porušení GDPR sankcionovány pokutou dle GDPR, tedy pokutou, která může dosáhnout až výše 20 mil. EUR.
Pokuta ne, ale…
Byť tedy jeden z největších „strašáků“ celého GDPR a jeden z „motivátorů“ správců osobních údajů začít řešit zpracování osobních údajů – hrozící pokuta za jeho porušení – na školy v důsledku přijetí adaptačního zákona nedopadne, v žádném případě to neznamená, že školám za porušení nařízení GDPR nehrozí žádný finanční postih.
Udělení pokuty je totiž pouze jednou z pravomocí Úřadu pro ochranu osobních údajů. Kompletní nápravné pravomoci dozorových úřadů při porušení povinností stanovených v GDPR jsou stanoveny v jeho článku 58 odst. 2 a vedle udělení pokuty mezi ně patří pravomoc:
*
upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují nařízení;
*
udělit napomenutí správci či zpracovateli, jehož operace zpracování porušily nařízení;
*
nařídit správci nebo zpracovateli, aby vyhověli žádostem subjektu údajů o výkon jeho práv podle nařízení;
*
nařídit správci či zpracovateli, aby uvedl operace zpracování do souladu s nařízením, a to případně předepsaným způsobem a ve stanovené lhůtě;
*
nařídit správci, aby subjektu údajů oznámil případy porušení zabezpečení osobních údajů;
*
uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu;
*
nařídit opravu či výmaz osobních údajů nebo omezení zpracování podle článků 16, 17 a 18 a ohlašování takových opatření příjemcům, jimž byly osobní údaje zpřístupněny podle čl. 17 odst. 2 a článku 19;
*
nařídit přerušení toků údajů příjemci ve třetí zemi nebo toků údajů mezinárodní organizaci.
Jak je z výše uvedeného výčtu patrno, Úřad pro ochranu osobních údajů má k dispozici další pravomoci, které může vůči škole, ať už je v pozici správce, nebo zpracovatele osobních údajů, využít ke zjednání nápravy protiprávního stavu. Byť se finanční dopad takového nápravného opatření nemusí projevit tak bezprostředně jako v případě udělení pokuty, nelze vyloučit, že finanční dopad bude i tak významný. V případě, že Úřad pro ochranu osobních údajů například nařídí škole, aby uvedla operace zpracování do souladu s GDPR, může to fakticky vést k potřebě pořízení, implementace a zaškolení využívání určitého počítačového softwaru. Náklady s tím spojené se nezřídka mohou „vyšplhat“ do značných částek.
Dále je třeba mít na paměti, že GDPR je právní regulací ochrany osobních údajů, tedy více či méně významných a citlivých informací o každém z nás. Stále častěji se lze přitom setkat s názorem, že právě osobní údaje jsou komoditou 21. století, a zvýšený důraz na jejich ochranu a zákonnost zpracování je proto zcela namístě. Škola je subjektem, který nejen o žácích, ale i o pedagogických a ostatních pracovnících shromažďuje a zpracovává velké množství osobních údajů (od identifikačních přes kontaktní až po údaje o prospěchu v případě žáků a například výši platu v případě pedagogů). Únik nebo i neoprávněné zpracování takových osobních údajů může na straně těch subjektů, jejichž osobní údaje unikly, způsobit nemalou újmu. Nařízení pak ve svém článku 82 odst. 1 výslovně počítá s odpovědností za takovou újmu, když stanoví, že [k]dokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy. Jinými slovy, způsobí-li škola jako správce osobních údajů újmu subjektu údajů porušením nařízení GDPR – například nedostatečným zabezpečením osobních údajů proti jejich úniku nebo jejich neoprávněným zpracováním bez právního základu –, má takový subjekt vůči škole nárok na náhradu utrpěné újmy.
Lze předpokládat, že újma bude zpravidla nemajetková (v podobě zásahu do některého z osobnostních práv člověka, např. práva na čest, soukromí nebo projev osobní povahy). Dle ustanovení § 2951 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, platí: Nemajetková újma se odčiní přiměřeným zadostiučiněním. Zadostiučinění musí být poskytnuto v penězích, nezajistí-li jeho jiný způsob skutečné a dostatečně účinné odčinění způsobené újmy. Z citovaného ustanovení vyplývá, že nebude-li možné nemajetkovou újmu odčinit jiným dostatečným způsobem (např. omluvou), předpokládá zákon její odškodnění v penězích. Výše takové nemajetkové újmy pak bude nutné posuzovat v každém jednotlivém případě dle závažnosti zásahu do osobnosti daného subjektu údajů, přičemž bude nutné zohledňovat jak charakter osobních údajů, které unikly nebo byly jinak protiprávně zpracovávány, tak množství takových údajů a formu jejich (zne)užití.
Závěr
Jak vyplývá z výše uvedeného, samotná skutečnost, že zákon č. 110/2019 Sb. zakotvuje „zákaz“ udělovat pokuty dle GDPR školám jakožto orgánům veřejné moci, resp. veřejným subjektům, neznamená absolutní ochranu škol před finančními dopady spojenými s porušením povinností při zpracování osobních údajů. Porušení GDPR ze strany školy může mít totiž na školu „sekundární“ finanční dopad jak v podobě povinnosti implementovat některé z nápravných opatření uložených Úřadem pro ochranu osobních údajů, tak v podobě povinnosti k náhradě nemajetkové újmy, kterou škola porušením nařízení subjektům údajů způsobila. S ohledem na tyto skutečnosti tak lze školám doporučit – i s vědomím, že jim nehrozí „obrovské“ pokuty dle GDPR –, aby i tak plnění svých právních povinností na úseku ochrany osobních údajů věnovaly dostatečnou pozornost.
1) Nařízení Evropského parlamentu a Rady (EU) 2016/679, obecné nařízení o ochraně osobních údajů.
2) V tomto článku je vyjádřen právní názor jeho autora. V případě sporu, včetně soudního řízení týkajícího se konkrétní věci, mohou být stanoviska a závěry třetích stran, včetně soudu, odlišná od těch, která jsou v tomto článku prezentována.
3) Školy a školská zařízení za „orgány veřejné moci“ ve smyslu nařízení označit lze, neboť v jistých situacích mají pravomoc rozhodovat o právech a povinnostech fyzických osob. Viz Metodická pomůcka k aplikaci obecného nařízení o ochraně osobních údajů v podmínkách školství. 2017, str. 74. Dostupné z: http://www.msmt.cz/file/44592/.

Související dokumenty

Pracovní situace

Souhlas se zpracováním osobních údajů ve školách - nejčastější situace
Shrnutí základních legislativních změn ovlivňujících činnost škol a školských zařízení ve školním roce 2017/2018
GDPR - pro školy
Evidenční list dítěte nepřijatého k předškolnímu vzdělávání
Kamerové systémy v mateřské škole
Ochrana osobních údajů v praxi poradenských pracovníků
Poskytování osobních údajů školami Policii ČR
Předávání osobních údajů žáků pojišťovnám
Metodická pomůcka k aplikaci GDPR ve školství - vydaná MŠMT
GDPR: Jak zjistit, že škola (ne)potřebuje souhlas?
Kritéria výběru externího pověřence pro ochranu osobních údajů
Bezpečnost osobních údajů podle zákona o ochraně osobních údajů
Zveřejnění údaje o platu
Obecné nařízení o ochraně osobních údajů ve školách a školských zařízeních – charakteristika, podmínky legálního zpracování osobních údajů, informační povinnost správce
Informační povinnost školy nebo školského zařízení – příklady
Informační povinnost správce v případě, že osobní údaje nebyly získány od subjektu údajů
Záznamy o činnostech zpracování a školní jídelny
Záznamy o činnostech zpracování a školní družiny
Záznamy o činnostech zpracování - základní školy
Vyvěšení seznamu žáků „po nástupu GDPR“

Poradna

GDPR
Účastníci zájmového vzdělávání ve školním klubu
Ředitel školy - uzavírání a vyplácení DPP
Zrušení zřizovací listiny a následná nová zřizovací listina
Vstupní lékařská prohlídka u pedagoga na DPP
Pověřenec GDPR
GDPR a udělení napomenutí třídního učitele
Zveřejňování fotografií
Jmenování ředitele
Cestovní náklady v případě cesty na soutěž - odborná poradna, odpověď na dotaz
Zahraniční výjezd ředitele školy - odborná poradna, odpověď na dotaz
Cestovní náhrady při cestě na školení - odborná poradna, odpověď na dotaz
Čipy ve školní jídelně - odborná poradna, odpověď na dotaz
Volba člena školské rady
Dohoda o výkonu práce z domova
Úplata za zájmové vzdělávání
Směrnice
Pracovní náplň
Nekomunikace
Zřizovatel

Zákony

561/2004 Sb. o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon)
89/2012 Sb. občanský zákoník