Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2010
  6. Matriky studentů, zveřejňování údajů studentů vysokých škol

Matriky studentů, zveřejňování údajů studentů vysokých škol

Jednou z mediálních kauz, která byla základem stížnosti doručené Úřadu v roce 2010, byli „rychlostudenti" Právnické fakulty Západočeské univerzity v Plzni. Stěžovatelka v souvislosti se svým studiem na Západočeské univerzitě v Plzni napadla zveřejnění svých osobních údajů v deníku MF DNES ze dne 23. ledna 2010. Zveřejněny byly její osobní údaje v rozsahu fotografie, jméno, příjmení, dřívější veřejná funkce, současné zaměstnání, studium na Právnické fakultě Západočeské univerzity v Plzni od - do, předchozí studium a její reakce na tyto údaje. Ve stejném rozsahu byly uvedeny osobní údaje dalších osmi osob a u tří osob nebyla zveřejněna fotografie. V dalších článcích byly uvedeny osobní údaje dalších třinácti osob v rozsahu jméno, příjmení, celková délka studia na Právnické fakultě, bývalá veřejná funkce, současné zaměstnání, doba studia od - do a vyjádření k údajům o studiu. Celkem byly zveřejněny osobní údaje dvacet pěti lidí. Ze zveřejněných informací je zřejmé, že autoři vycházeli ze záznamů o studiu vedených na základě zákona.

Údaje vypovídající o vysokoškolském studiu, které byly zveřejněny, prokazatelně pocházely z matriky studentů vedené Západočeskou univerzitou podle § 88 zákona č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů, ve znění pozdějších předpisů (dále jen „zákon o vysokých školách“).

Univerzita tyto údaje prvotně zpracovává v interním automatizovaném informačním systému a dvakrát ročně předává na základě zákona a prováděcích pokynů Ministerstvu školství, mládeže a tělovýchovy (dále jen "Ministerstvo"), pro něž databázi sdružených údajů z jednotlivých matrik ("databáze SIMS") zpracovává na základě smlouvy Masarykova univerzita v Brně. Ministerstvo je správcem databáze SIMS a na zpracování údajů z ní se samo také podílí.

Na základě stížnosti byly proto provedeny dvě kontroly dodržování povinností stanovených zákonem o ochraně osobních údajů - v Západočeské univerzitě v Plzni a na Ministerstvu - a na jejich základě poté vedena tři správní řízení. V jedné z kontrol byly podány námitky. Všechny kontroly byly v roce 2010 pravomocně ukončeny.

Západočeská univerzita i Ministerstvo zpracovávaly osobní údaje studentů na základě povinností a oprávnění daných zákonem o vysokých školách. Jako správci osobních údajů ve smyslu ustanovení § 4 písm. j) zákona o ochraně osobních údajů je tak mohly zpracovávat bez souhlasu subjektů údajů podle § 5 odst. 2 písm. a) tohoto zákona, neboť prováděly zpracování nezbytné pro dodržení právní povinnosti správce.

V matrice studentů a sdružených údajích – databázi SIMS – mají být zapsáni všichni studenti studující na některé vysoké škole v České republice po 1. lednu 1999. Jako seznam vedený pro úřední potřebu na základě zákona jsou matrika a doklady o rozhodných událostech archiváliemi. Vysoká škola sdělí příslušný údaj z matriky tomu, kdo osvědčil právní zájem. Sdružené údaje matrik využívá Ministerstvo při výkonu své role ústředního orgánu státní správy.

Kontrolované osoby byly mj. povinny podle § 13 odst. 1 zákona o ochraně osobních údajů přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení nebo ztrátě, k neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů a podle 13 odst. 4 písm. c) zákona o ochraně osobních údajů pořizovat elektronické záznamy, které by umožnily určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje v informačním systému univerzity a databázi SIMS vyhledávány a použity jinak než k aktualizaci. Rozsah a forma dokumentování použití osobních údajů z informačního systému univerzity i v databázi SIMS neumožnily zjistit za použití prostředků dostupných pro kontrolu, že by někdo v Západočeské univerzitě nebo na Ministerstvu porušil svoji povinnost podle ustanovení § 15 odst. 1 zákona o ochraně osobních údajů (tj. povinnost zaměstnanců správce nebo zpracovatele, jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, a dalších osob, které v rámci plnění zákonem o ochraně osobních údajů stanovených oprávnění a povinností přicházejí do styku s osobními údaji, zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů). Zjištěn byl pouze zdrojový soubor zveřejněných osobních údajů o studiu na Právnické fakultě Západočeské univerzity v Plzni, který vznikl výběrem z údajů matriky studentů - databáze SIMS, a užší okruh lidí, kteří prvotně měli po určitou dobu k souboru "rychlostudentů" přístup.

Pro zjištění zdroje úniku osobních údajů studentů bylo neúspěšně využito i oprávnění dané v § 39 odst. 1 zákona o ochraně osobních údajů (ukládá povinnost součinnosti). Zástupce vydavatelství MAFRA, a.s., vydavatele deníku Mladá fronta DNES, sdělil s odvoláním na ustanovení § 16 zákona č. 46/2000 Sb., o právech a povinnostech při vydávání periodického tisku a o změně některých dalších zákonů (tiskový zákon), ve znění pozdějších předpisů, že informace o původu či obsahu informací zveřejněných v periodickém tisku /…/ nebudou poskytnuty.

Kontrolami nebylo zjištěno, že by k úniku osobních údajů studentů, které spravovaly kontrolované osoby, došlo vinou konkrétních osob. Bylo nicméně zjištěno, že ze strany kontrolovaných subjektů nebyly dostatečně plněny jejich povinnosti stanovené v § 13 odst. 1 (jak byly výše odcitovány) a v odst. 4 písm. c) zákona o ochraně osobních údajů. U Ministerstva bylo i po námitkách shledáno porušení povinnosti uložené v § 5 odst. 1 písm. c) zákona o ochraně osobních údajů tím, že neprověřovalo úplnost dat vkládaných do databáze SIMS a současně neprovádělo kontrolní opatření ke zjištění přesnosti zpracovávaných osobních údajů studentů. V důsledku toho nebyla databáze SIMS s to sloužit jako prostředek dosažení účelů sledovaných zpracováním, prováděným na základě zvláštního zákona.

Ve správním řízení byly uloženy pokuty všem třem institucím jako subjektům odpovědným za zpracování osobních údajů, z něhož v důsledku neodpovídajících a nedostatečně účinných bezpečnostních opatření byly nezjištěnou osobou dále předány informace o studentech práv na Západočeské univerzitě. Spolehlivě proto nemohl být zjištěn ani skutečný rozsah zpřístupnění takových údajů. S původním zdrojem informací o studiu - Západočeskou univerzitou v Plzni - a s Ministerstvem bylo vedeno a ukončeno správní řízení také pro porušení povinnosti podle § 5 odst. 1 písm. c) zákona o ochraně osobních údajů (zpracovávat pouze přesné osobní údaje). Západočeská univerzita tuto povinnost porušila tím, že při vkládání údajů o studentech a jejich studiu do matriky studentů - databáze SIMS, zpracovávaných ve vnitřním informačním systému, nezavedla formálně logické kontroly přípustnosti určitých hodnot údajů v datových polích. V důsledku toho zapsala do svého informačního systému a do databáze SIMS předala údaje, že stěžovatelka absolvovala pětiletý studijní program formou prezenčního studia, a to zároveň s údajem o délce studia nedosahujícím hodnoty 1,5 roku, ačkoli v daném případě, nebylo ani uznáno žádné předchozí studium. Stejně postupovala nejméně u 21 dalších studentů, a to přinejmenším v období od 1. září 2006 do 4. května 2010.

Zjištěná pochybení jsou však jen okrajovými jevy celé kauzy zveřejnění osobních údajů studentů Západočeské univerzity v Plzni v tisku, a provedené kontroly tak nemohly dát odpovědi na všechny vznesené otázky. Ačkoli jádro společenského problému spočívá v jiných činnostech univerzity a vysokého školství v České republice, stěžovatelka postihla zjevný nedostatek ve zpracování osobních údajů, které je s formalizovaným vysokoškolským studiem spojeno takříkajíc z podstaty.

Zřejmě pod vlivem medializované kauzy Západočeské univerzity řešil Úřad v roce 2010 celou řadu podání a poskytoval konzultace k novele zákona o vysokých školách, konkrétně k povinnosti vysokých škol zveřejňovat s účinností od 1. ledna 2006 údaje vyjmenované v ustanovení § 47 b citovaného zákona - disertační, diplomové, bakalářské a rigorózní práce, u kterých proběhla obhajoba, včetně posudků oponentů a záznamu o průběhu a výsledku obhajoby prostřednictvím databáze kvalifikačních prací, kterou škola spravuje. Z hlediska zákona o ochraně osobních údajů je jednoznačně aplikovatelný § 5 odst. 2 písm. a) umožňující zpracovávat osobní údaje v rozsahu předpokládaném zvláštním zákonem i bez souhlasu subjektu údajů – studenta. Navíc zákon o vysokých školách konstatuje, že autor příslušné práce jejím předložením souhlasí s jejím zveřejněním ve stanoveném rozsahu bez ohledu na výsledek obhajoby.

Jedním z cílů této novely zřejmě bylo umožnit potenciálním zaměstnavatelům kvalifikovanější výběr vhodných uchazečů. Iniciativy zaměstnavatelů zjišťovat si u vysokých škol, zda je zájemce o zaměstnání jejich absolventem, případně podrobnosti o průběhu studia, nemohly být s ohledem na dosavadní dikci zákona vyřizovány. Povinnost doložit nejvyšší stupeň dosaženého vzdělání jako jeden ze základních kvalifikačních předpokladů ležela zcela na žadateli o zaměstnání. Argumenty některých zaměstnavatelů, že v této souvislosti dochází k podvodnému jednání, je nutno považovat za irelevantní. Takové skutečnosti mohly zakládat trestnou činnost, např. padělání a pozměňování úřední listiny, nemohou však být důvodem k porušení povinností uložených správcům a zpracovatelům osobních údajů zákonem. V tomto směru Úřad odpovídal vysokým školám i dalším institucím na dotazy a žádosti o stanovisko k dané problematice.