Ochrana osobných údajov v školách

JUDr. Lucia Váryová PhD.

JUDr. Lucia Semančínová

Vydáno:

PRÍPADOVÉ ŠTÚDIE A ODPORÚČANIA

V článku sa venujeme ochrane osobných údajov v školách, pričom sa zdôrazňuje dodržiavanie GDPR. Poukážeme na dve významné rozhodnutia dozorných orgánov, ktoré sa zaoberali bezpečnostným incidentom v školskom zariadení a na záver uvedieme odporúčania pre prax.

Školské inštitúcie, vrátane materských, základných a stredných škôl a aj vysokých škôl sú v pozícii prevádzkovateľa v zmysle GDPR1. Tieto zariadenia spracúvajú množstvo osobných údajov vrátane osobitnej kategórie osobných údajov, ako sú napríklad informácie o zdravotnom stave, alergie, školské úrazy a pod. Spracúvajú sa údaje nielen o žiakoch a študentoch, ale aj o ich zákonných zástupcoch, pedagogických a nepedagogických zamestnancoch. Je nevyhnutné venovať náležitú pozornosť ochrane osobných údajov na školách.

 

Rozhodnutie Úradu na ochranu osobných údajov SR: Bezpečnostný incident na škole – strata školskej dokumentácie

Slovenský Úrad na ochranu osobných údajov (ďalej len „Úrad“) vydal rozhodnutie, ktoré slúži ako dôležité poučenie pre všetky vzdelávacie inštitúcie v oblasti ochrany osobných údajov. Rozhodnutie sa týkalo základnej školy, ktorá čelila pokute za závažné porušenie princípov ochrany osobných údajov, konkrétne za stratu pedagogickej a psychologickej dokumentácie žiakov.

 

Priebeh a zistenia prípadu

Úrad začal konať na základe podnetu rodiča. Zistilo sa, že základná škola, v pozícii prevádzkovateľa, stratila dokumentáciu, ktorá obsahovala osobné údaje žiakov, a to za obdobie od roku 2018. Šlo o pedagogickú dokumentáciu jedného žiaka, ktorá sa neskôr ukázala byť širším problémom týkajúcim sa viacerých žiakov a viacerých rokov.

Medzi stratenými dokumentmi boli aj osobitné kategórie osobných údajov (údaje týkajúce sa zdravia a psychodiagnostické výsledky žiakov). Dokumentácia zahŕňala podrobné informácie o identite žiakov, dátume a mieste narodenia, adrese trvalého pobytu, národnosti, zdravotnom stave, mentálnom vývoji a výsledkoch pedagogicko-psychologickej diagnostiky.

Vysvetlenia školy boli nekonzistentné a rozporuplné. Pôvodne sa riaditeľka školy odvolávala na krádež dokumentácie z auta, čo neskôr v priebehu konania spochybnila a uviedla, že danú dokumentáciu fyzicky nikdy nemala v držbe a nebola evidovaná. Úrad zistil, že dokumentácia bola „stratená“ už v roku 2018 a škola nemala zavedené mechanizmy na sledovanie a správu takejto citlivej dokumentácie. Rozsah straty bol pritom značný, týkajúci sa dát nielen aktuálnych, ale aj bývalých žiakov.

 

Porušenia GDPR a zákona o ochrane osobných údajov

Úrad konštatoval, že prevádzkovateľ porušil viacero ustanovení GDPR a zákona č. 18/2018 Z. z. o ochrane osobných údajov. Konkrétne išlo o porušenia:

  • Článok 5 ods. 1 písm. f) GDPR – zásada integrity a dôvernosti, ktorý vyžaduje spracúvanie osobných údajov spôsobom, ktorý zaručuje primeranú bezpečnosť, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním, stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.
  • Článok 32 ods. 1 a ods. 2 GDPR – povinnosť prevádzkovateľa prijať primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti zodpovedajúcej riziku. Škola nezabezpečila, aby osobné údaje boli chránené pred stratou a neoprávneným prístupom.
  • Ustanovenia § 80 ods. 1, § 81 ods. 1 a ods. 3 písm. c) a § 107 ods. 1 zákona č. 18/2018 Z. z. – týkajúce sa povinnosti prevádzkovateľa prijať primerané bezpečnostné opatrenia a spolupracovať s Úradom pri objasňovaní skutočností. Škola neposkytovala pravdivé a úplné informácie.
  

Uložené sankcie

Na základe závažnosti porušení, rozsahu a charakteru spracúvaných údajov, počtu dotknutých osôb a nekonzistentnosti poskytovaných informácií Úrad uložil škole pokutu vo výške 800 eur. Hoci výška pokuty nebola maximálna možná, Úrad zohľadnil spoluprácu školy počas konania a jej charakter. Škole bola tiež uložená povinnosť do 15 dní oznámiť Úradu prijaté opatrenia na nápravu zistených nedostatkov.

 

Rozhodnutie Španielskeho Úradu na ochranu osobných údajov: Nelegálne nahrávanie žiakov na škole a strata nahrávok

V tomto prípade ide o zásadné rozhodnutie týkajúce sa nahrávania žiakov a študentov na školách bez ich vedomia alebo súhlasu, príp. ich zákonných zástupcov. Vyhotovovanie obrazového záznamu alebo fotografovanie nie je možné vykonávať bez adekvátneho právneho základu podľa GDPR.

 

Priebeh a zistenia prípadu

Zákonní zástupcovia žiačky sa dozvedeli od orgánov činných v trestnom konaní, že chodec našiel kamerové zariadenia v batohu na chodníku. Kamerové zariadenie obsahovalo zábery neplnoletej žiačky v plavkách. Počas vyšetrovania orgány činné v trestnom konaní našli obdobné kamerové záznamy danej žiačky aj u pedagogického zamestnanca v domácom prostredí.

Počas vyšetrovania sa španielsky Úrad dopytoval, či môžu fotografovať žiakov počas školského roka a za akých okolností sú to oprávnení vykonávať pedagogickí zamestnanci. Školské zariadenie informovalo, že každoročne zbiera súhlas za účelom fotografovania a/alebo audiovizuálnych nahrávok na propagačné dôvody a na archiváciu. Tento súhlas však neobsahoval zákonné požiadavky (napr. na dobu uchovávania záznamu a ani možnosť odvolania súhlasu).

Školské zariadenie predložilo poverenie s informáciou, že pedagogický zamestnanec je oprávnený presúvať zariadenia so študentskými nahrávkami mimo školy, no absentovala doba uchovávania. Rozpor však nastal, keď škola tvrdila, že daný pedagogický zamestnanec nemal povolenie na premiestnenie fyzických médií mimo školského zariadenia. Podľa tvrdenia pedagogického zamestnanca mohol fotografovať žiakov v rámci svojho vzdelávacieho programu.

 

Porušenia GDPR

Španielsky Úrad zistil viacero porušení ustanovení GDPR, konkrétne:

  • Článok 5 ods. 1 písm. f) GDPR – zásada integrity a dôvernosti bola porušená v tom, že prevádzkovateľ neprijal primerané technické a organizačné opatrenia na ochranu osobných údajov, čo malo za následok neoprávnený prístup tretích osôb k nahrávkam žiačky.
  • Článok 6 ods. 1 písm. a) GDPR – neplatný právny základ – súhlas so spracúvaním osobných údajov, pretože prevádzkovateľ nevedel preukázať platný súhlas rodičov so spracúvaním údajov (nahrávaním) pre príslušný akademický rok.
  • Článok 13 GDPR – nedostatočná informačná povinnosť, pretože dotknuté osoby – žiaci a zákonní zástupcovia neboli informované o spracúvaní osobných údajov. V informačnom dokumente, resp. v súhlase chýbali povinné informácie, ako napr. účel, doba uchovávania alebo právo na odvolanie súhlasu, možnosť podať sťažnosť dozornému orgánu.
  • Článok 5 ods. 2 a 24 GDPR – neboli zavedené účinné bezpečnostné opatrenia, napr. školenia pre zamestnancov a kontrolné procesy na správu záznamových zariadení.
  

Uložené sankcie

Pri uložení pokuty bral španielsky Úrad do úvahy tieto aspekty: počet neplnoletých dotknutých osôb, kategóriu osobných údajov – kamerové záznamy, porušenie trvalo dlhšiu dobu. Pôvodná výška pokuty bola stanovená na 40 000 eur, avšak španielske právo zaoberajúce sa správnym konaním umožňuje vykonať dobrovoľné zaplatenie navrhovanej pokuty a vzdať sa svojho práva na odvolanie, čo malo za následok zníženie o 20 %. Pokutu je možné znížiť o ďalších 20 %, ak prevádzkovateľ uzná svoju zodpovednosť za porušenie ochrany osobných údajov. Prevádzkovateľ sa rozhodol využiť obe tieto zľavy a pokutu tak znížil až o 40 % a výsledná suma na úhradu predstavovala 24 000 eur.

Okrem finančnej pokuty nariadil španielsky Úrad prevádzkovateľovi tieto opatrenia:

  • preukázať účinné vykonávanie vhodných technických a organizačných opatrení,
  • zastaviť spracúvanie osobných údajov bez právneho základu,
  • preukázať, že dokumenty pre dotknuté osoby obsahujú informácie podľa čl. 13 GDPR.
 

Odporúčania pre iné školy a vzdelávacie inštitúcie

Skôr uvedené prípady sú jasným signálom pre všetky vzdelávacie inštitúcie, že ochrana osobných údajov žiakov, študentov a zamestnancov je prvoradá a nesmie sa podceňovať. Aby sa predišlo podobným situáciám a sankciám, je nevyhnutné prijať nasledujúce opatrenia a dodržiavať princípy GDPR, a to v nasledovnom rozsahu:

  • Dôkladná inventarizácia a mapovanie dát: Každá škola by mala presne vedieť, aké osobné údaje spracúva, kde sú uložené (fyzicky aj elektronicky) a kto k nim má prístup. Je potrebná pravidelná aktualizácia záznamov o spracovateľských činnostiach.
  • Fyzická a elektronická bezpečnosť:
    • Fyzické dokumenty: Zabezpečte dokumenty v uzamykateľných skrinkách, miestnostiach s obmedzeným prístupom a riadne ich evidujte pri prijímaní a vydávaní.
    • Elektronické údaje: Používajte silné heslá, šifrovanie, zálohovanie dát, antivírusové programy a firewally. Zabezpečte systémy proti neoprávnenému prístupu a pravidelne vykonávajte bezpečnostné audity.
  • Transparentné a konzistentné postupy: Vytvorte jasné interné smernice pre nakladanie s osobnými údajmi, vrátane ich prijímania, spracúvania, uchovávania a likvidácie. Tieto postupy musia byť známe všetkým zamestnancom.
  • Školenia zamestnancov: Pravidelne vzdelávajte všetkých zamestnancov o zásadách ochrany osobných údajov, ich povinnostiach a rizikách spojených s ich porušením. Zamestnanci musia chápať, že stratená dokumentácia má reálne dôsledky.
  • Analýza rizík a zmierňovanie dopadov: Vykonajte analýzu rizík a posúdenie vplyvu na ochranu údajov (DPIA), najmä pri spracúvaní osobitných kategórií osobných údajov. Identifikujte potenciálne riziká a implementujte opatrenia na ich minimalizáciu.
  • Vedenie záznamov: Dôsledne zaznamenávajte všetky operácie s osobnými údajmi, vrátane ich získavania, prenosu a výmazu. To pomáha pri preukazovaní súladu a objasňovaní prípadných nezrovnalostí.
  • Pravdivá a včasná komunikácia s Úradom: V prípade incidentu alebo kontroly je kľúčové poskytovať Úradu na ochranu osobných údajov pravdivé, úplné a konzistentné informácie. Rozporuplné výpovede a zatajovanie skutočností môžu viesť k závažnejším sankciám.

Strata dokumentácie či kamerových záznamov, najmä tej obsahujúcej špeciálne kategórie osobných údajov žiakov a študentov, je vážnym porušením, ktoré má potenciál ohroziť práva a slobody dotknutých osôb. Prevádzkovatelia musia proaktívne investovať do robustných systémov ochrany údajov, aby predišli nielen finančným pokutám, ale aj strate dôvery a poškodeniu reputácie.

 

Ochrana osobných údajov v školách ako priorita

Ochrana osobných údajov v školskom prostredí predstavuje komplexnú výzvu, pri ktorej treba zobrať do úvahy nielen právne predpisy, ale aj rozhodovaciu prax dozorných orgánov. Berúc do úvahy skôr uvedené máme za to, že efektívna ochrana osobných údajov v školských zariadeniach by nemala byť len formálnou záležitosťou, ale primárnym právom na ochranu súkromia a práv žiakov a študentov, ako aj iných dotknutých osôb v digitálnej ére. Týmto apelujeme na školské zariadenia, ktoré sú prevádzkovateľmi, aby venovali problematike ochrany osobných údajov náležitú pozornosť a zabezpečili tak sústavné dodržiavanie platnej legislatívy nielen z pohľadu GDPR, ale aj školských zákonov a v neposlednom rade aj zákona o kybernetickej bezpečnosti.

LITERATÚRA:

  1. Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

1    Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „GDPR“)

Související dokumenty

Súvisiace články

Nariadenie o ochrane osobných údajov (GDPR)
Všeobecné nariadenie o ochrane údajov (GDPR)
Všeobecné nariadenie o ochrane údajov (GDPR)
Zverejnenie osobných údajov v správe o výchovno-vzdelávacej činnosti
Zverejňovanie nadčasovej práce pedagogických zamestnancov
Zverejnenie mena sťažujúceho sa zamestnanca
Ochrana osobných údajov (1.)
Ochrana osobných údajov (2.)
Návrh odmeny riaditeľovi s právnou subjektivitou a GDPR
Postavenie rady školy z právneho hľadiska a uplatňovanie GDPR
Požiadavka Štátnej školskej inšpekcie na administrátorský prístup k EduPage
Aplikácia GDPR pri činnosti rady školy
Minimálne bezpečnostné opatrenia
Nedostatky pri plnení zákonných povinností v BOZP
Kamerové systémy v školách