Nejčastější chyby v ochraně osobních údajů dětí ve školách
Školy často chybují při zpracování osobních údajů dětí. Článek přehledně popisuje nejčastější pochybení v přijímacím řízení i běžné praxi.
Přestože právní úprava ochrany osobních údajů daná Obecným nařízením (GDPR) není již žádnou novinkou, a také se příliš neliší od předchozí právní úpravy, stále dochází k pochybením při zpracování osobních údajů ve školách, a to jak zpracování osobních údajů dětí, tak zaměstnanců. V některých otázkách bývá trvání na přesném dodržování právní úpravy považováno za přepjatý formalismus. Zkušenosti však ukazují, že z každého takového pochybení může vzniknout závažný spor se zákonnými zástupci.
A kde tedy dochází k pochybením nejčastěji?
Nejčastější chyby při zpracování osobních údajů v průběhu přijímacího řízení
Už při přípravě tohoto řízení je možné z hlediska zpracování osobních údajů udělat mnoho chyb. Od počátku si musí ředitel školy uvědomovat, že během celého řízení musí respektovat všechny zásady, jak je stanoví čl. 5 Obecného nařízení (GDPR). Jedna z těch při přijímacím řízení nejporušovanějších je zásada minimalizace, která říká, že osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Rozsah požadovaných, a tedy i následně zpracovávaných osobních údajů musí vždy odpovídat stanovenému účelu, kterým je v tomto případě přijímací řízení.
Žádost o přijetí dítěte ke vzdělávání musí odpovídat zákonným požadavkům a požadavkům školy v rámci kritérií. Vzhledem k tomu, že žádost o přijetí ke vzdělávání je dokumentem, jehož podání zahajuje správní řízení na žádost, zákonné požadavky klade zejména § 37 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů, podle kterého fyzická osoba uvede v podání jméno, příjmení, datum narození a místo trvalého pobytu, popřípadě jinou adresu pro doručování.
S ohledem na výše uvedenou zásadu minimalizace, tedy na žádosti o přijetí budou obsaženy jen tyto údaje. Dále informace o očkování nebo výjimkách podle § 50 zákona č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, a informace, které budou potvrzovat splnění kritérií.
Žádné další údaje nesmí být v této fázi zpracovávány.
Neproběhlá aktualizace zpracovávaných osobních údajů
Osobní údaje jsou školami zpracovávány na různých základech. Nejtypičtější jsou následující tři varianty:
1. Osobní údaje zpracovávané na základě školského zákona
školní matrika, doklady o přijímacím řízení, o průběhu vzdělávání a jeho ukončování, třídní kniha, záznamy z pedagogických rad, kniha úrazů a záznamy o úrazech žáků, lékařské posudky a zprávy.
2. Osobní údaje zpracovávané podle zvláštních zákonů
podněty pro jednání OSPOD, přestupkové komise, podklady žáků pro vyšetření v PPP, hlášení trestných činů, neomluvená absence, údaje o zdravotní způsobilosti žáka na zotavovacích akcích.
3. Osobní údaje zpracovávané na základě informovaného souhlasu
fotografie za účelem propagace či zvýšení zájmu o školu, videozáznamy z akcí pro rodiče, školní e-mail.
Škola by měla alespoň jednou za rok nejen aktualizovat osobní údaje v dokumentaci vedené přímo školou, ale také se zorientovat v novelách zákonů a prováděcích právních předpisů, které se mohou dotknout činnosti školy, aby nedocházelo například k předávání osobních údajů na základě staré právní úpravy tam, kde již takové předání není možné. Tento postup je nezbytný, aby byla dodržena zásada přesnosti – osobní údaje musí být zpracovávány přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny.
Nadbytečný souhlas
Přestože jak náš dozorový úřad (Úřad pro ochranu osobních údajů), tak i úřad evropský (EDPB), opakovaně mluví o tzv. nadbytečném souhlasu, stále se zejména ve školství objevují údaje „pro jistotu“, a to i v situacích, kdy je zpracování osobních údajů nezbytné pro plnění právní povinnosti, kde tedy souhlas absolutně nemá co dělat.
Jedním z obvyklých je souhlas na vzorové žádosti o přijetí. Zpracování osobních údajů v rámci přijímacího řízení probíhá na základě čl. 6 odst. 1 písm. c) Obecného nařízení (GDPR) - zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje. Souhlas proto není zapotřebí. Pokud je souhlas vyžadován, jedná se tzv. nadbytečný souhlas. Dotčeným subjektům údajů je totiž tím, že je po nich takovýto souhlas vymáhán, poskytována informace, že předmětné zpracování probíhá na základě vyjádření jejich vůle, a poskytnutí údajů je tudíž z jejich strany dobrovolné, nikoliv povinné. Informace, že zpracování údajů bude probíhat se souhlasem dotčených osob a poskytnutí údajů je tedy dobrovolné.
V některých případech škola musí rozlišovat jednotlivé kroky a účely zpracování. Např. škola je oprávněna zpracovávat osobní údaje týkající se poskytnutých podpůrných opatření dle § 16 školského zákona, a to výslovně dle § 28 odst. 2 písm. f) téhož zákona. V případě, že údaje o poskytnutém podpůrném opatření konkrétnímu žákovi nebo studentovi bude chtít škola zpracovávat dále - evidovat jinde než v dokumentaci školy, poskytnout tyto osobní údaje třetí osobě (např. zřizovateli pro účely zanesení do jeho informačních systémů, poskytovatelům doučovacích kurzů nebo prodejcům speciálních školních pomůcek apod.) musí si škola za tímto účelem obstarat předchozí souhlas žáka, studenta nebo zákonného zástupce.
Viditelné informace (výkresy, nástěnky apod.)
Školská legislativa detailně neupravuje všechny údaje, které o žácích i rodičích škola vede. Ředitelé škol proto často zvažují, kde je hranice, za kterou nesmí jít a které údaje nesmí zveřejňovat. Jedná se např. o kontaktní údaje, jmenovky dětí, podpisy dětí na výkresech či podpisy rodičů na prezenčních listinách.
Obecné nařízení (GDPR) umožňuje škole zpracovávat údaje jak v rámci plnění právních povinností, tak z důvodu plnění úkolů ve veřejném zájmu. Škola musí a může zpracovávat výše uvedené údaje, neboť jsou nezbytně nutné pro její činnost.
Obdobnými situacemi mohou být prezentace výrobků a výkresů žáků s uváděním jejich jmen. Uvedené informace je nutno vždy formulovat slušně a osobní údaje uvádět v přiměřeném rozsahu, přitom zvažovat, zda by současně nemohly zasahovat do soukromí dalších osob.
Zdroje:
- Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
- Zákon č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), ve znění pozdějších předpisů.
- Stanovisko č. 3/2014 - K nadbytečnému vyžadování souhlasu se zpracováním osobních údajů a souvisejícímu nesprávnému plnění informační povinnosti, https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=11913&n=stanovisko%2Dc%2D3%2D2014%2Dk%2Dnadbytecnemu%2Dvyzadovani%2Dsouhlasu%2Dse%2Dzpracovanim%2Dosobnich%2Dudaju%2Da%2Dsouvisejicimu%2Dnespravnemu%2Dplneni%2Dinformacni%2Dpovinnosti
- Metodická pomůcka k aplikaci obecného nařízení o ochraně osobních údajů (GDPR), https://msmt.gov.cz/file/51137/download/
Další články
Jak ochránit rodinný majetek?
Český právní řád nabízí nástroj, který umožňuje vyčlenit majetek tak, že jej formálně nevlastní nikdo, je chráněn před věřiteli, exekucí i důsledky úpadku jeho původního vlastníka. Svěřenský fond, inspirovaný anglosaským trustem, funguje v Česku od roku 2014 a v praxi je často využíván k ochraně a mezigeneračnímu předání rodinného majetku.
Omnibus I a reporting udržitelnosti: zmírnění pravidel CSRD
Během posledních let se rámec nefinančního reportingu v Evropě vyvíjel dynamicky. Od směrnice 2014/95/EU („NFRD“) ke směrnici (EU) 2022/2464 („CSRD“) a dále v oblasti náležité péče ke směrnici (EU) 2024/1760 („CSDDD“). Nyní přichází další zásadní obrat, a to legislativní balíček EU Omnibus I, jakožto soubor opatření, které mají zjednodušit a zacílit povinnosti tak, aby se snížila administrativní zátěž a nepřiměřené dopady zejména na menší a střední subjekty v dodavatelských řetězcích.
Prokazování užívání ochranné známky v námitkovém řízení a v řízení o neplatnosti ochranné známky
Prokazování užívání ochranné známky představuje významný procesní nástroj, který může zásadně ovlivnit výsledek jak námitkového řízení, tak řízení o prohlášení ochranné známky za neplatnou.
Umění promptování: Jak donutit právní AI "přemýšlet" a odůvodňovat
Využití umělé inteligence v právní praxi se posouvá od obecných experimentů k sofistikovaným nástrojům. Moderní právní databáze stále častěji integrují technologii RAG (Retrieval-Augmented Generation) spojenou s výkonnými jazykovými modely (jako jsou ty od OpenAI), aby advokátům poskytly nejen fulltextové vyhledávání, ale i syntézu právních informací.
Obdržení daňového dokladu a uplatnění odpočtu daně
V prvním čtvrtletí roku 2026 vydaly Soudní dvůr a Tribunál Evropské unie dvě rozhodnutí, která se dotýkají téhož praktického problému: zda lze uplatnit nárok na odpočet DPH ve zdaňovacím období, v němž plátce přijal zdanitelné plnění, avšak daňový doklad obdržel až později.
