Základní škola, Trutnov 2, Mládežnická 536
Kontrola zpracování osobních údajů žáků v souvislosti s používáním služby Google Suite v základní škole
Na základě podnětu postoupeného Královéhradeckým inspektorátem České školní inspekce byla provedena kontrola zpracování osobních údajů na základní škole. Žákům 4. třídy měly být bez souhlasu či informování zákonných zástupců zřízeny e-mailové schránky pomocí služby Google Suite. E-mailové adresy byly vytvořeny ve formátu jmeno.prijmeni@doména školy.cz. Při založení těchto e-mailů měly být podle podnětu společnosti Google předány osobní údaje žáka minimálně v rozsahu jméno, příjmení a škola, kterou žák navštěvuje.
Úřadem byly prověřovány zejména povinnosti vyplývající ze znění § 5 odst. 1 písm. d) (shromažďování v odpovídajícím a nezbytném rozsahu), § 5 odst. 2 (právní tituly pro zpracování), § 6 (smlouva o zpracování) a § 11 odst. 1 a 2 (informační povinnost) zákona č. 101/2000 Sb. Z kontrolních zjištění vyplynulo, že kontrolovaná škola využívá k identifikaci koncového uživatele (žáka) v rámci služby G Suite pro vzdělávání jeho jméno a příjmení. Pomocí nich vytváří účet koncového uživatele (žáka). Protože není nezbytné používat jméno a příjmení žáka a jeho identifikaci lze provést méně invazivním zásahem do jeho soukromí, porušila tím kontrolovaná osoba § 5 odst. 1 písm. d) zákona č. 101/2000 Sb. Dále bylo zjištěno, že škola nedisponuje souhlasy zákonných zástupců žáků se zpracováním jejich osobních údajů k tomuto účelu, čímž porušila § 5 odst. 2 zákona č. 101/2000 Sb. Z kontrolních zjištění také vyplynulo, že kontrolovaná osoba, jakožto správce osobních údajů, neinformovala zákonné zástupce subjektů údajů o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, čímž porušila § 11 odst. 1 zákona č. 101/2000 Sb.
Z dalších kontrolních zjištění bylo patrné, že škola využívá tzv. „generální souhlas“, který je zákonným zástupcům dětí předkládán k podpisu; rodič svým podpisem uděluje souhlas s rozsáhlým zpracováním osobních údajů dítěte a je po něm vyžadován souhlas i v případech, kde je toto zpracování osobních údajů uloženo zákonem. Dotčený rodič, kterému kontrolovaná osoba tvrdí, že zpracování osobních údajů jeho dítěte probíhá na základě souhlasu, má tak o zpracování osobních údajů dítěte nesprávné informace a z pohledu kontrolované osoby se jedná o nepravdivé a tím nedostatečné plnění informační povinnosti při shromažďování osobních údajů žáků. Tím dochází k porušení § 11 odst. 2 zákona č. 101/2000 Sb.
Vzhledem k tomu, že kontrolovaná osoba projevila mimořádnou snahu napravit závadný stav bezprostředně po ukončení kontroly, nebylo zahájeno správní řízení o uložení opatření k nápravě. Za uvedené porušení povinností při zpracování byla kontrolované osobě uložena sankce ve výši 3.000 Kč.
Kontrolu řídil inspektor Mgr. Daniel Rovan.