S účinností od 25. 5. 2018 platí Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení“) takzvané „GDPR“. Jak má vypadat přihláška ke stravování ve školní jídelně, aby byla v souladu s nařízením? Potřebuje ŠJ na přihlášce uvádět souhlas se zpracováním osobních údajů od strávníka?
Evidence osobních údajů ve školní jídelně
Podle čl. 6 nařízení GDPR může jakákoliv organizace zpracovávat osobní údaje, pokud:
- subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
- zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
- zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
- zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
- zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
- zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
Každá školní jídelna, která je dle školského zákona zapsána v rejstříku škol, vede dle § 28 odstavce 1 a 3 školského zákona tzv. školní matriku. Možnost evidence osobních údajů, které školský zákon pro školní matriku vymezuje v § 3, je tak zákonným důvodem zpracování na základě splnění právní povinnosti dle bodu c) článku 6 GDPR. Z toho důvodu nemusí školní jídelna pro zpracování osobních údajů vymezených v § 3 školského zákona žádat o souhlas se zpracováním.
Mezi diskutované problémy, které souvisí s evidencí osobních údajů ve školních jídelnách, patří zejména
- evidence bankovního účtu zákonného zástupce,
- evidence osobních emailů, které školní jídelna používá k informování strávníka nebo jeho zákonného zástupce o provedených přihláškách a k zaslání vyúčtování,
- evidence dietního omezení pro účely přípravy dietní stravy (zdravotní stav strávníka)
Evidence bankovního účtu a osobních emailů
Přihláška ke stravování zavazuje školní jídelnu strávníkovi poskytnout stravovací službu a strávník se zavazuje za službu hradit stanovený poplatek. Jde tedy o smlouvu mezi jídelnou a strávníkem. Proto lze pro tento případ uplatnit bod b) článku 6 GDPR, podle kterého může organizace zpracovávat osobní údaje nezbytné pro plnění smlouvy. Takže i z tohoto důvodu nemusí školní jídelna žádat o souhlas se zpracováním těch údajů, které potřebuje ke splnění smlouvy o školním stravování.
Evidence zdravotního stavu pro účely dietního stravování
Právní úprava evidence osobního údaje o zdravotním stavu je opět upravena školským zákonem v § 28 odst. 3 písm. c), podle kterého „školní matrika školského zařízení podle povahy jeho činnosti obsahuje údaje o zdravotní způsobilosti, popřípadě o zdravotních obtížích, které by mohly mít vliv na poskytování školské služby nebo vzdělávání.“ Zároveň problematiku poskytování dietního stravování řeší vyhláška č. 107/2005 Sb., o školním stravování v §2 odst. 4: „Strávníkům, jejichž zdravotní stav podle potvrzení registrujícího poskytovatele zdravotních služeb v oboru praktické lékařství pro děti a dorost vyžaduje stravovat se s omezeními podle dietního režimu, může provozovatel stravovacích služeb poskytovat školní stravování v dietním režimu, a to v případě zařízení školního stravování za podmínek stanovených jeho vnitřním řádem a v případě jiné osoby poskytující stravovací služby v souladu s ujednáním o zajištění školního stravování.“ Jak z výše uvedené legislativy vyplývá, tak zpracování osobního údaje o zdravotním stavu strávníka je taktéž plněním zákonné povinnosti podle čl. 6 písm. c) nařízení GDPR a školní jídelna nepotřebuje pro jeho zpracování souhlasy od strávníka.
Zároveň je však třeba upozornit na to, že školní jídelna si musí vždy dát pozor na to, aby skutečně zpracovávala pouze ty osobní údaje, které pro splnění smluvních nebo právních povinností opravdu potřebuje. V opačném případě, když by zpracovávala osobní údaje nad rámec těchto důvodů, by souhlas ke zpracování údajů od strávníka potřebovala.
Informační povinnost na přihlášce
Vzhledem k výše uvedeným skutečnostem, by tak již ve většině případů nemělo být na přihláškách ke stravování uvedeno např. „strávník souhlasí se zpracování osobních údajů podle zákona č. 101/2000 Sb. atd.“, neboť tento zákon zaniknul vydáním adaptačního zákona k nařízení GDPR č. 110/2019 Sb., zákon o zpracování osobních údajů (tento zákon naopak uveden být může, avšak vzhledem k větší právní síle samotného nařízení, jeho uvedení není nutné). Zároveň platí, že strávník souhlas nevydává (a školní jídelna jej nepotřebuje). Pokud by jej vydal, byť takto nadbytečně, má právo jej odvolat a školní jídelna by se tak dostala do zbytečného vysvětlování, proč nemůže odvolání jeho souhlasu vyhovět. Informační povinnost splní školní jídelna například tímto vhodnějším textem: „Dále beru na vědomí, že výše uvedené údaje mohou být použity do matriky ŠJ a dále předávány dle vyhlášky č. 364/2005, o dokumentaci škol a školských zařízení, a že školní jídelna zpracovává osobní údaje v souladu s Nařízením o ochraně osobních údajů (EU) 2016/679 (GDPR).“
Dotazy týkající se GDPR v oblasti hromadného a školního stravování můžete zdarma položit odborníkům pomocí aplikace na stránkách www.gdprexperti.cz. Zde také naleznete celou řadu vzorových dokumentů, komentovaných zákonů a organizačních směrnic, které přináší komplexní řešení GDPR pro všechny školské organizace i organizace malého a středního podnikání.
Ing. Pavel Fencl – Veřejná informační služba, spol. s r.o.
Diskuze