Přijímací řízení na MŠ a ZŠ a časté chyby v ochraně dat

Přijímací řízení do škol, které je řízením správním, je z právního i faktického hlediska složité. Je nezbytné respektovat celou řadu právních předpisů, zejména školský zákon, občanský zákoník, správní řád nebo obecné nařízení o ochraně osobních údajů(GDPR).

Už při přípravě tohoto řízení je možné z hlediska zpracování osobních údajů udělat mnoho chyb. Ředitel školy si musí od počátku uvědomovat, že je během celého řízení povinen respektovat všechny zásady pro zpracování osobních údajů, jak je stanoví čl. 5 GDPR. Jedna z těch při přijímacím řízení nejporušovanějších je zásada minimalizace, která říká, že osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Rozsah požadovaných, a následně zpracovávaných, osobních údajů musí vždy odpovídat stanovenému účelu, kterým je v tomto případě přijímací řízení na mateřskou nebo základní školu.

Kritéria pro přijetí dítěte či žáka

V současné době je obvyklé, že kapacita škol nedostačuje požadavkům rodičů. Ředitel školy musí stanovit pořadí zájemců a určit, které děti budou přijaty a které nikoli. To je v zásadě možné pouze pomocí předem definovaných kritérií.

Podle § 34 školského zákona k předškolnímu vzdělávání přijímá děti ředitel mateřské školy. Ten také stanoví kritéria pro přijetí. Některé kritéria jsou pak stanovena přímo zákonem. V takovém případě o nich nemůže ředitel rozhodovat, pouze kontroluje jejich splnění. Patří mezi ně kritérium očkování - spolu s výjimkami z této povinnosti disponuje škola informacemi o zdravotním stavu, kritérium věku a spádového obvodu.

Mezi kritéria, která stanoví ředitel a která nesmí být diskriminační, může patřit sociální situace, informace o sourozencích ve škole apod. Pro ověření, jestli a jak je jednotliví zájemci o přijetí splňují, může škola zpracovávat související osobní údaje.

Žádost o přijetí do školy

Žádost o přijetí dítěte ke vzdělávání musí odpovídat zákonným požadavkům a požadavkům školy dle stanovených kritérií. Žádost o přijetí ke vzdělávání je dokumentem, jímž se zahajuje správní řízení na žádost. Požadavky na její náležitosti klade zejména § 37 správního řádu, podle kterého fyzická osoba uvede v podání jméno, příjmení, datum narození a místo trvalého pobytu, popřípadě jinou adresu pro doručování.

S ohledem na výše uvedenou zásadu minimalizace osobních údajů by na žádosti o přijetí měly být obsaženy jen tyto identifikační údaje. Dále informace o očkování nebo výjimkách podle § 50 zákona o ochraně veřejného zdraví a informace, které budou potvrzovat splnění kritérií.

Žádné další údaje nesmí být v této fázi školou zpracovávány.

Na žádostech o přijetí lze v praxi často nalézt požadavek na údaje o zdravotní pojišťovně, státní příslušnosti atd. Podle zásady minimalizace lze však zpracovávat pouze osobní údaje, které jsou nezbytné pro naplnění účelu, kterým je vydání rozhodnutí o přijetí či nepřijetí dítěte ke vzdělávání. A to informace o zdravotní pojišťovně, státní příslušnosti atd. skutečně nejsou. Proto jejich shromažďováním už ve fázi přijímacího řízení dochází k porušování GDPR.

Například informace o státní příslušnosti je u přijatých dětí součástí školní matriky vedené podle § 28 školského zákona, ale v rámci správního řízení se jedná o nadbytečný údaj.

Se souhlasem nebo bez souhlasu?

Na vzorových žádostech o přijetí se také často objevuje souhlas se zpracováním osobních údajů právě pro účely vedení správního řízení.

Zpracování osobních údajů v rámci přijímacího řízení probíhá na základě čl. 6 odst. 1 písm. c) GDPR - zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje. Souhlas proto není v žádném případě zapotřebí. Pokud je souhlas vyžadován, jedná se tzv. nadbytečný souhlas a nepřesné informování o zpracování osobních údajů. Dotčeným subjektům údajů je totiž tím, že je po nich takovýto souhlas vymáhán, nesprávně sdělováno, že zpracování probíhá na základě vyjádření jejich vůle, a poskytnutí údajů je tudíž z jejich strany dobrovolné, nikoliv povinné.

Dotčená osoba, které správce tvrdí, že určité zpracování osobních údajů probíhá na základě jejího souhlasu, bude mít o zpracování nesprávné informace. Bude se proto např. moci pokusit jej zastavit tím, že svůj (nadbytečně vymáhaný) souhlas odvolá. Správce, jemuž pro dané zpracování svědčí jiný právní titul (například je mu určité zpracování uloženo zvláštním zákonem), v něm nicméně bude povinen pokračovat, ačkoliv se subjekt údajů bude domnívat, že zpracování již na základě odvolání souhlasu bylo ukončeno. Pokud o této skutečnosti správce daný subjekt údajů ani nevyrozumí, tento pak do jisté míry ztratí kontrolu nad svými osobními údaji.

Jak je to s evidenčním listem dítěte nebo  potvrzením lékaře o zdravotním stavu? To se dozvíte v plném znění článku na gdpr.cz .