Kontrola veřejné vysoké školy
Kontrola zpracování osobních údajů v rámci přijímacího řízení na vysokou školu
Kontrola byla zahájena na základě stížnosti, která směřovala proti postupu veřejné vysoké školy při získávání osobních údajů v rámci přijímacího řízení. O zahájení kontroly Úřad pro ochranu osobních údajů rozhodl též na základě poznatků uskutečněných v rámci úkonů předcházejících kontrole.
Předmětem kontroly bylo dodržování povinností při zpracování osobních údajů stanovených nařízením (EU) 2016/679 a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v souvislosti se zpracováním osobních údajů v rámci přijímacího řízení uchazečů o studium, včetně využití studijního informačního systému a jeho dodavatelů.
Kontrolovaná osoba je veřejnou vysokou školou ve smyslu § 5 zákona č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách). Přihlašování uchazečů ke studiu probíhá elektronickou formou prostřednictvím internetových stránek, resp. prostřednictvím informačního systému pro podávání elektronické přihlášky. Stěžovatel uvedl, že v rámci elektronické přihlášky jsou vyžadovány nadbytečné údaje, bez jejichž vyplnění nelze elektronickou přihlášku odeslat. Stížnost byla též směřována proti způsobu přihlašování do informačního systému, kdy je využíváno rodné číslo uchazeče o studium. Kontrola se zaměřila na zákonnost zpracování vyžadovaných kategorií osobních údajů, i na způsob přihlašování do informačního systému.
Provedenou kontrolou bylo konstatováno porušení čl. 6 odst. 1 nařízení (EU) 2016/679, neboť kontrolovaná osoba zpracovává osobní údaje v rozsahu místo narození, kvalifikátor občanství, rodinný stav a informace, odkud se uchazeč hlásí, bez právního základu pro zpracování, případně právní základ pro zpracování neurčila jednoznačně (soukromá e-mailová adresa), či jej určila chybně (údaje o zdravotním stavu). Ani účely zpracování nejsou v některých případech zřejmé. Kontrolovaná osoba zároveň porušila povinnost stanovenou čl. 13 nařízení (EU) 2016/679, a to v části poskytnutí informace o právním základu pro zpracování osobních údajů, když poskytla subjektům údajů informace nepřesné.
Pro přihlášení do informačního systému, v němž je elektronická přihláška ke studiu vyplňována a podávána, bylo využíváno rodné číslo v kombinaci s iniciálami jména a příjmení. Provedenou kontrolou bylo konstatováno, že využití rodného čísla pro účel přihlášení uchazeče o studium do příslušného informačního systému je v rozporu s ustanovením zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), účel takového zpracování tedy není legitimní, čímž je porušena zásada účelového omezení dle čl. 5 odst. 1 písm. b) nařízení (EU) 2016/679. Z hlediska ochrany osobních údajů pak nadto zadání rodného čísla za účelem přihlášení do informačního systému, pouze v kombinaci s iniciálami uchazeče o studium, představuje možné riziko pro zabezpečení zpracování, upravené čl. 32 nařízení (EU) 2016/679.
K výše uvedeným skutečnostem kontrolovaná osoba v průběhu kontroly mimo jiné též argumentovala skutečností, že příslušný informační systém je dodáván externím dodavatelem a některé funkcionality vyplývají z nastavení tohoto systému, např. překlápění osobního údaje z modulu „uchazeč“ do modulu „student“ a zejména způsob přihlášení do informačního systému pomocí rodného čísla. Tuto argumentaci však nelze akceptovat, neboť za zpracování osobních údajů je v souladu s čl. 5 odst. 2 a čl. 24 nařízení (EU) 2016/679 odpovědný správce.
Kontrolovaná osoba již v průběhu kontroly zahájila částečnou nápravu závadného stavu, kdy z elektronické přihlášky odstranila neoprávněně vyžadovaný údaj o čísle občanského průkazu a dále přehodnotila a avizovala odstranění dalších neoprávněně vyžadovaných osobních údajů (místo narození, rodinný stav). Zároveň však proti kontrolním zjištěním podala námitky, mimo jiné též ve vztahu ke zjištění ve věci přihlašování do informačního systému pomocí rodného čísla. Námitky byly předsedkyní Úřadu vyřízeny, přičemž byly všechny zamítnuty. Úřadem bude uloženo opatření k nápravě v rámci navazujícího správního řízení.
Doplňující informace
Rozsah zpracovávaných osobních údajů musí odpovídat stanoveným legitimním účelům a zpracování musí svědčit příslušný právní základ, o kterém musí být subjekt údajů informován. Správce osobních údajů nemůže při zpracování osobních údajů argumentovat skutečností, že využívá informační systém externího dodavatele, a že zpracování osobních údajů je dáno nastavením tohoto systému. Za zpracování osobních údajů je v souladu s čl. 5 odst. 2 a čl. 24 nařízení (EU) 2016/679 odpovědný správce.