Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2021
  6. Kontrolní činnost v oblasti ochrany osobních údajů
  7. Vysoká škola (UOOU-01181/21)

Vysoká škola (UOOU-01181/21)

Předmětem kontroly bylo dodržování povinností stanovených obecným nařízením a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v souvislosti se zpracováním osobních údajů v informačním systému studijní agendy. Kontrolovaná osoba je veřejnou vysokou školou ve smyslu § 5 zákona č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách). Informační systém studijní agendy, jejž tato vysoká škola vyvíjí, využívají i jiné české veřejné vysoké školy, což bylo jedním z důvodů pro zařazení kontroly do kontrolního plánu Úřadu.

Kontrolující se zaměřili zejména na dva konkrétní moduly informačního systému, v rámci kterých jsou zpracovávány osobní údaje uchazečů o studium (modul „E-přihláška“) a osobní údaje studentů (modul „Studium“). Zpracovávány jsou též zvláštní kategorie osobních údajů ve smyslu čl. 9 odst. 1 obecného nařízení (údaje o zdravotním stavu).

Rozsah zpracovávaných osobních údajů je pro realizaci přijímacího řízení i pro samotné studium stanoven především příslušnými právními předpisy. Úřad v této souvislosti upozorňuje, že nelze po uchazeči o studium oprávněně požadovat poskytnutí veškerých osobních údajů, které mají být zpracovávány až v okamžiku, kdy je subjekt údajů přijat ke studiu na dané vysoké škole a je jejím studentem. Kontrolující pak konstatovali porušení čl. 6 odst. 1 obecného nařízení, neboť kontrolovaná osoba vyžadovala a zpracovávala některé osobní údaje bez příslušného právního základu (kvalifikátor občanství, místo narození, rodné příjmení a rodinný stav v modulu „E-přihláška“, místo narození v modulu „Studium“).  

Kontrola realizovala dvě místní šetření. Jedno z nich bylo samostatně zaměřeno na zabezpečení zpracovávaných osobních údajů a účastnil se jej též soudní znalec v oboru kybernetika. Kontrolující vyhodnotili, že kontrolovaná osoba neporušila ve vztahu k zabezpečení osobních údajů povinnosti společně stanovené v čl. 5 odst. 1 písm. f) a čl. 5 odst. 2, čl. 24 odst. 1, čl. 25 odst. 1 a 2, čl. 32 obecného nařízení.

Proti kontrolním zjištěním kontrolovaná osoba nepodala námitky a po skončení kontroly informovala Úřad o krocích, které činí k nápravě závadného stavu.

Doporučení:

Rozsah zpracovávaných osobních údajů musí odpovídat stanoveným legitimním účelům a správci musí ke zpracování svědčit příslušný právní titul. Vzhledem k tomu, že kontrolovaná osoba je současně i dodavatelem studijního informačního systému, který využívá více veřejných vysokých škol, je o to důležitější, aby požadované osobní údaje zpracovávané ve všech modulech informačního systému splňovaly výše uvedené podmínky. Úřad však připomíná, že je vždy odpovědností každého jednotlivého správce, aby disponoval řádným právním základem pro zpracování osobních údajů a osobní údaje zpracovával pouze za určitými, výslovně vyjádřenými a legitimními účely.