Školám nehrozí pokuta za porušení GDPR, ale...

GDPR je přímo závazný právní předpis. Jinými slovy platí ve všech členských státech EU přímo, aniž by bylo nutné jej „přepisovat“ nebo jinak přenášet do národní podoby právně závazných předpisů, tj. v případě ČR do podoby zákona.

Zároveň však nařízení v některých (výslovně vymezených) oblastech právní úpravy ochrany osobních údajů umožňuje, aby členské státy přijaly svou národní úpravu, která se může od nařízení GDPR ve „vymezených mantinelech“ odchylovat.

Parlament České republiky – byť s téměř roční prodlevou od účinnosti nařízení – právo odchylné úpravy některých oblastí využil. Tyto odchylky jsou zakotveny v tzv. adaptačním zákoně, kterým je zákon č. 110/2019 Sb., o zpracování osobních údajů, (dále jen „adaptační zákon“), který byl vyhlášen ve Sbírce zákonů dne 24. 4. 2019 s tím, že dle § 68 nabývá účinnosti hned dnem svého vyhlášení.

Jedním z ustanovení GDPR, které obsahuje možnost odchylné úpravy v každém členském státě EU, je článek 83 odst. 7, v němž se stanoví: Aniž jsou dotčeny nápravné pravomoci dozorových úřadů podle čl. 58 odst. 2, může každý členský stát stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě.

Adaptační zákon možnost této výjimky zakotvil hned ve dvou ustanoveních, a to

Úřadem se ve smyslu adaptačního zákona rozumí Úřad pro ochranu osobních údajů [viz § 2 písm. e)]. Adaptační zákon se vyhnul jakémukoliv vymezení subjektů, na které by měla výjimka z udělování správních trestů dopadat, a co do vymezení subjektů odkazuje na již výše citovaný článek 83 odst. 7 GDPR.

Byť tedy pojmy „orgán veřejné moci“ a „veřejný subjekt“ nejsou ani v adaptačním zákoně, ani v GDPR definovány, školy mezi tyto subjekty nepochybně spadají. Důvodem je mj. pravomoc školy v určitých situacích rozhodovat o právech a povinnostech v oblasti veřejné správy (zejm. rozhodování dle ustanovení § 165 odst. 2 zákona č. 561/2004 Sb., školského zákona), a tedy naplnění pojmu „orgán veřejné moci“. Ke stejnému závěru dospělo ostatně i Ministerstvo školství, mládeže a tělovýchovy ČR ve své Metodické pomůcce k aplikaci obecného nařízení o ochraně osobních údajů v podmínkách školství³⁾.

Lze tedy konstatovat, že školy dle školského zákona spadají do obecné definice subjektů dle čl. 83 odst. 7 GDPR. V kontextu ustanovení § 62 odst. 5 adaptačního zákona pak platí, že školy nemohou být za porušení GDPR sankcionovány pokutou dle GDPR, tedy pokutou, která může dosáhnout až výše 20 mil. EUR.

Byť tedy jeden z největších „strašáků“ celého GDPR a jeden z „motivátorů“ správců osobních údajů začít řešit zpracování osobních údajů – hrozící pokuta za jeho porušení – na školy v důsledku přijetí adaptačního zákona nedopadne, v žádném případě to neznamená, že školám za porušení nařízení GDPR nehrozí žádný finanční postih. Udělení pokuty je totiž pouze jednou z pravomocí Úřadu pro ochranu osobních údajů. Kompletní nápravné pravomoci dozorových úřadů při porušení povinností stanovených v GDPR jsou stanoveny v jeho článku 58 odst. 2 a vedle udělení pokuty mezi ně patří pravomoc:

• upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují nařízení;
• udělit napomenutí správci či zpracovateli, jehož operace zpracování porušily nařízení;
• nařídit správci nebo zpracovateli, aby vyhověli žádostem subjektu údajů o výkon jeho práv podle nařízení;
• nařídit správci či zpracovateli, aby uvedl operace zpracování do souladu s nařízením, a to případně předepsaným způsobem a ve stanovené lhůtě;
• nařídit správci, aby subjektu údajů oznámil případy porušení zabezpečení osobních údajů;
• uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu;
• nařídit opravu či výmaz osobních údajů nebo omezení zpracování podle článků 16, 17 a 18 a ohlašování takových opatření příjemcům, jimž byly osobní údaje zpřístupněny podle čl. 17 odst. 2 a článku 19;
• nařídit přerušení toků údajů příjemci ve třetí zemi nebo toků údajů mezinárodní organizaci.

Jak je z výše uvedeného výčtu patrno, Úřad pro ochranu osobních údajů má k dispozici další pravomoci, které může vůči škole, ať už je v pozici správce, nebo zpracovatele osobních údajů, využít ke zjednání nápravy protiprávního stavu. Byť se finanční dopad takového nápravného opatření nemusí projevit tak bezprostředně jako v případě udělení pokuty, nelze vyloučit, že finanční dopad bude i tak významný. V případě, že Úřad pro ochranu osobních údajů například nařídí škole, aby uvedla operace zpracování do souladu s GDPR, může to fakticky vést k potřebě pořízení, implementace a zaškolení využívání určitého počítačového softwaru. Náklady s tím spojené se nezřídka mohou „vyšplhat“ do značných částek.

Dále je třeba mít na paměti, že GDPR je právní regulací ochrany osobních údajů, tedy více či méně významných a citlivých informací o každém z nás. Stále častěji se lze přitom setkat s názorem, že právě osobní údaje jsou komoditou 21. století, a zvýšený důraz na jejich ochranu a zákonnost zpracování je proto zcela namístě. Škola je subjektem, který nejen o žácích, ale i o pedagogických a ostatních pracovnících shromažďuje a zpracovává velké množství osobních údajů (od identifikačních přes kontaktní až po údaje o prospěchu v případě žáků a například výši platu v případě pedagogů). Únik nebo i neoprávněné zpracování takových osobních údajů může na straně těch subjektů, jejichž osobní údaje unikly, způsobit nemalou újmu. Nařízení pak ve svém článku 82 odst. 1 výslovně počítá s odpovědností za takovou újmu, když stanoví, že [k]dokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy. Jinými slovy, způsobí-li škola jako správce osobních údajů újmu subjektu údajů porušením nařízení GDPR – například nedostatečným zabezpečením osobních údajů proti jejich úniku nebo jejich neoprávněným zpracováním bez právního základu –, má takový subjekt vůči škole nárok na náhradu utrpěné újmy.

Lze předpokládat, že újma bude zpravidla nemajetková (v podobě zásahu do některého z osobnostních práv člověka, např. práva na čest, soukromí nebo projev osobní povahy). Dle ustanovení § 2951 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, platí: Nemajetková újma se odčiní přiměřeným zadostiučiněním. Zadostiučinění musí být poskytnuto v penězích, nezajistí-li jeho jiný způsob skutečné a dostatečně účinné odčinění způsobené újmy. Z citovaného ustanovení vyplývá, že nebude-li možné nemajetkovou újmu odčinit jiným dostatečným způsobem (např. omluvou), předpokládá zákon její odškodnění v penězích. Výše takové nemajetkové újmy pak bude nutné posuzovat v každém jednotlivém případě dle závažnosti zásahu do osobnosti daného subjektu údajů, přičemž bude nutné zohledňovat jak charakter osobních údajů, které unikly nebo byly jinak protiprávně zpracovávány, tak množství takových údajů a formu jejich (zne)užití.

Jak vyplývá z výše uvedeného, samotná skutečnost, že zákon č. 110/2019 Sb. zakotvuje „zákaz“ udělovat pokuty dle GDPR školám jakožto orgánům veřejné moci, resp. veřejným subjektům, neznamená absolutní ochranu škol před finančními dopady spojenými s porušením povinností při zpracování osobních údajů. Porušení GDPR ze strany školy může mít totiž na školu „sekundární“ finanční dopad jak v podobě povinnosti implementovat některé z nápravných opatření uložených Úřadem pro ochranu osobních údajů, tak v podobě povinnosti k náhradě nemajetkové újmy, kterou škola porušením nařízení subjektům údajů způsobila. S ohledem na tyto skutečnosti tak lze školám doporučit – i s vědomím, že jim nehrozí „obrovské“ pokuty dle GDPR –, aby i tak plnění svých právních povinností na úseku ochrany osobních údajů věnovaly dostatečnou pozornost.