Jak formulovat souhlas se zpracováním osobních údajů ve škole

O souhlasech se zpracováním osobních údajů, o jeho parametrech, jak je nastavuje obecné nařízení o ochraně osobních údajů (GDPR), i o situacích, kdy má být ve školách souhlas poskytován, už toho bylo napsáno mnoho.

Jak ale má takový souhlas vypadat, aby byl konkrétním, informovaným a jednoznačným projevem vůle? Projevem vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů, jak požaduje čl. 4 odst. 11 GDPR?

Identifikace správce, subjektu údajů a zákonného zástupce

Aby byl souhlas se zpracováním osobních údajů jednoznačný, musí být jasné, kdo a komu souhlas dává. Z toho vyplývá, že v první řadě musí být identifikován subjekt údajů. V prostředí škol jsou jimi nejčastěji zaměstnanec a dítě/žák/student.

Pokud má být fyzická osoba jednoznačně identifikována, musí být uvedeny údaje alespoň v rozsahu: jméno, příjmení, datum narození, adresa.

Zaměstnanec samozřejmě může udělit souhlas sám za sebe. Za dítě/žáka/studenta dává primárně souhlas zákonný zástupce. V případě, kdy bude souhlas udělovat zákonný zástupce, měl by být identifikován ve stejném rozsahu, jako dítě. 

Identifikován musí být také správce osobních údajů, kterému je souhlas dáván. V případě škol se jedná o právnickou osobu, která je identifikována plným názvem, sídlem a IČO.

V kolika letech může se zpracováním údajů souhlasit dítě samo?

Souhlas zákonného zástupce v zastoupení dítěte bude obecně použitelný do té doby, kdy se dítě stane natolik rozumově a volně vyspělé, aby souhlas udělilo samo. Zároveň by v té situaci neměl existovat protichůdný zájem zákonného zástupce.

GDPR přímo stanoví věk, od kterého může dítě samo udělit souhlas v souvislosti se službami informační společnosti (například založení e-mailového účtu). Přitom dává členským státům EU možnost si tuto hranici upravit. V České republice byl pro takový souhlas určen věk 15 let.

V ostatních případech si správci – školy – musí interně vyhodnotit, do jakého věku dětí a pro jaké zpracování budou požadovat souhlas zákonného zástupce a pro jaké zpracování lze ponechat rozhodnutí na dítěti. Obvykle bývá v souladu s názorem ÚOOÚ stanoven věk 15 let. Tato hranice není přímo definovíána žádným právním předpisem, jde o dlouhodobě uplatňované pravidlo. Pokud si tedy škola stanoví, že souhlas se zpracováním osobních údajů např. v oblasti zveřejňování fotek s osobními údaji mohou dávat již děti ve věku 15 let, měla by předchozí souhlas zákonného zástupce v den dosažení věku 15 let dítěte nahradit nebo doplnit projevem vůle právě tohoto dítěte – subjektu údajů.

Základní informace při poskytnutí souhlasu

Subjektu údajů musí být sděleny základní informace, které se týkají jak zpracování osobních údajů u správce, tak souhlasu samotného. Příklad naleznete v plném znění článku na doméně GDPR.cz.

Jasně definovaný účel zpracování

Účely zpracování musí být jednoznačně definovány a rozlišeny. Pro každý účel je třeba získat souhlas zvlášť. Subjekt údajů musí mít zřetelnou možnost jednotlivý účel „schválit“ nebo odmítnout. To je obvykle provedeno pomocí tzv. checkboxů.  Příklad naleznete v plném znění článku na doméně GDPR.cz.               

Doba, na kterou se souhlas uděluje

Doba, na kterou se souhlas uděluje, nesmí být zcela neomezená. Musí být stanovena tak, aby bylo zřejmé, kdy uplyne a kdy skončí platnost souhlasu se zpracováním osobních údajů. Tato doba musí také být přiměřená účelu a dalším okolnostem zpracování. Nelze proto například uvést, že souhlas je udělován na dobu školní docházky a po dobu 100 let po ukončení toto docházky. Ve školách je obvykle maximální dobou uchování 5 let po ukončení školní docházky.

Je také zapotřebí vypořádat s případnými tištěnými materiály po vypršení platnosti souhlasu. Příklad naleznete v plném znění článku na doméně GDPR.cz.

Předání údajů třetím osobám

Aby byl souhlas informovaný, musí subjekt údajů také vědět, zda jeho údaje budou předávány třetím osobám. Pokud ano, je nezbytné tyto příjemce jednoznačně identifikovat nebo uvést odkaz, kde je možné nalézt jejich seznam.

Práva subjektu údajů

Je vhodné, aby součástí souhlasu bylo také vyjmenování práv subjektu údajů. Teprve v takovém případě bude možné říct, že souhlas je skutečně informovaným. Příklad naleznete v plném znění článku na doméně GDPR.cz.

Stačí souhlas jednoho rodiče?

Poslední částí dokumentu souhlasu je podpis subjektu údajů. V případě, že souhlas uděluje subjekt údajů sám, nejsou žádné další pochybnosti. Ty se však objevují v případě, kdy je souhlas udělen zákonným zástupcem. Otázkou je, zda souhlas musí udělit oba zákonní zástupci, nebo zda postačí podpis jen jednoho z nich.

Rodičovskou odpovědnost upravuje zákon č. 89/2012 Sb., občanský zákoník, v § 876. Říká, že rodičovskou odpovědnost vykonávají rodiče ve vzájemné shodě. Jedná-li jeden z rodičů v záležitosti dítěte sám vůči třetí osobě, která je v dobré víře, má se za to, že jedná se souhlasem druhého rodiče. Jak vyplývá z § 892 odst. 1 občanského zákoníku, povinnost a oprávnění zastupovat dítě se vztahuje k těm jednáním, ke kterým není dítě samo právně způsobilé.

Občanský zákoník také chrání osobu, vůči níž rodič za dítě jedná. Tato osoba je obvykle v tzv. dobré víře, že rodič jedná se souhlasem druhého rodiče. Zákon zde zakládá vyvratitelnou domněnku dobré víry třetí osoby, protože a priori nelze připustit nejistotu v právním stavu věcí. V praxi je ovšem možné prokázat, že třetí osoba v dobré víře nebyla, protože jí bylo dobře známo, že druhý rodič s jednáním podepisujícího rodiče nesouhlasí.

Tato pravidla platí i ve vztahu zákonných zástupců a školy.

Jinak řečeno, pokud škola jedná v dobré víře, že se rodiče na udělení souhlasu shodují, postačí podpis jen jednoho z nich. Pokud tuto dobrou víru ztratí, musí získat souhlas od obou rodičů.