Na základě podnětu postoupeného Královéhradeckým inspektorátem České školní inspekce byla provedena kontrola zpracování osobních údajů na základní škole. Žákům 4. třídy měly být bez souhlasu či informování zákonných zástupců zřízeny e-mailové schránky pomocí služby Google Suite. E-mailové adresy byly vytvořeny ve formátu jmeno.prijmeni@doména školy.cz. Při založení těchto e-mailů měly být podle podnětu společnosti Google předány osobní údaje žáka minimálně v rozsahu jméno, příjmení a škola, kterou žák navštěvuje.
Úřadem byly prověřovány zejména povinnosti vyplývající ze znění § 5 odst. 1 písm. d) (shromažďování v odpovídajícím a nezbytném rozsahu), § 5 odst. 2 (právní tituly pro zpracování), § 6 (smlouva o zpracování) a § 11 odst. 1 a 2 (informační povinnost) zákona č. 101/2000 Sb. Z kontrolních zjištění vyplynulo, že kontrolovaná škola využívá k identifikaci koncového uživatele (žáka) v rámci služby G Suite pro vzdělávání jeho jméno a příjmení. Pomocí nich vytváří účet koncového uživatele (žáka). Protože není nezbytné používat jméno a příjmení žáka a jeho identifikaci lze provést méně invazivním zásahem do jeho soukromí, porušila tím kontrolovaná osoba § 5 odst. 1 písm. d) zákona č. 101/2000 Sb. Dále bylo zjištěno, že škola nedisponuje souhlasy zákonných zástupců žáků se zpracováním jejich osobních údajů k tomuto účelu, čímž porušila § 5 odst. 2 zákona č. 101/2000 Sb. Z kontrolních zjištění také vyplynulo, že kontrolovaná osoba, jakožto správce osobních údajů, neinformovala zákonné zástupce subjektů údajů o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, čímž porušila § 11 odst. 1 zákona č. 101/2000 Sb.
Z dalších kontrolních zjištění bylo patrné, že škola využívá tzv. „generální souhlas“, který je zákonným zástupcům dětí předkládán k podpisu; rodič svým podpisem uděluje souhlas s rozsáhlým zpracováním osobních údajů dítěte a je po něm vyžadován souhlas i v případech, kde je toto zpracování osobních údajů uloženo zákonem. Dotčený rodič, kterému kontrolovaná osoba tvrdí, že zpracování osobních údajů jeho dítěte probíhá na základě souhlasu, má tak o zpracování osobních údajů dítěte nesprávné informace a z pohledu kontrolované osoby se jedná o nepravdivé a tím nedostatečné plnění informační povinnosti při shromažďování osobních údajů žáků. Tím dochází k porušení § 11 odst. 2 zákona č. 101/2000 Sb.
Vzhledem k tomu, že kontrolovaná osoba projevila mimořádnou snahu napravit závadný stav bezprostředně po ukončení kontroly, nebylo zahájeno správní řízení o uložení opatření k nápravě. Za uvedené porušení povinností při zpracování byla kontrolované osobě uložena sankce ve výši 3.000 Kč.
Kontrolu řídil inspektor Mgr. Daniel Rovan.
Kontext
Umístění:
Složky dokumentů >
Mapa stránek >
Hlavní menu >
Dozorová a rozhodovací činnost >
Ukončené kontroly >
Kontroly za rok 2017 >
Kontrolní činnost podle zákona o ochraně osobních údajů - 2. pololetí > Kontrola zpracování osobních údajů žáků v souvislosti s používáním služby Google Suite v základní škole (Základní škola, Trutnov 2, Mládežnická 536)
