Ochrana osobných údajov študentov pri spolupráci s tretími stranami (10/2018)

Vysoké školy (VŠ) spracúvajú osobné údaje študentov (OÚ) vo svojom akademickom informačnom systéme (IS) a v súvislosti s preukazmi študentov ich za istých podmienok poskytujú aj tretím stranám na ďalšie spracúvanie. Pritom treba zohľadniť zákon o VŠ v znení jeho novely č. 270/2018 Z.z. zo septembra 2018, platné Metodické usmernenie MŠ o preukazoch študentov č. 16/2014 a Všeobecné nariadenie EU č. 2016/679 o ochrane osobných údajov (ďalej len „GDPR“).

Jednotlivé kapitoly textu sa rozbalia po kliknutí na ich názov:

[-] Výroba a prolongácia preukazov

Ak VŠ vyrába a prolonguje preukazy pre svojich študentov sama, vo vzťahu ku GDPR s tým nemusí mať žiadny problém. Výroba preukazu je legálnym použitím OÚ študenta podľa § 67 a 73 novelizovaného zákona o VŠ a metodické usmernenie k tomu určuje, ktoré údaje sa vytlačia na preukaz a ktoré sa zapíšu do jeho pamäti. To sa týka aj údajov, ktoré sa tlačia na preukaz s licenciou ISIC.

Ak preukazy pre VŠ vyrába a prolonguje externý dodávateľ, podľa GDPR je to jej sprostredkovateľ pri spracúvaní OÚ a musí s ním mať uzavretú zmluvu. Študenta o tom možno informovať, ale snáď na to nie je potrebný jeho súhlas.

[-] Prihláška študenta VŠ za člena združenia CKM SYTS - evidenčný list

Spolupráca s CKM SYTS pri vydávaní a prolongovaní preukazov s licenciou ISIC

VŠ vydávajú preukazy študentom primárne ako doklad o ich štúdiu podľa zákona o VŠ. Preukaz je však koncipovaný ako multifunkčný, takže sa na ňom "vezú" aj ďalšie aplikácie. Prirodzenou súčasťou preukazu býva medzinárodná licencia ISIC, ktorú využíva veľa študentov. Licencia ISIC má vplyv len na vizuálnu úpravu preukazu - do jeho pamäti sa nezapisujú žiadne elektronické údaje. Grafickú úpravu preukazu s licenciou ISIC (ďalej len "vizuál") rámcovo určuje metodické usmernenie, čo tomu dáva primeraný zákonný rámec.

Pri výrobe a vydávaní preukazov s licenciou ISIC VŠ zmluvne spolupracujú s občianskym združením CKM SYTS (ďalej len "CKM"), ktoré zabezpečuje poskytovanie zliav a iných benefitov študentom v rôznych inštitúciách a obchodných prevádzkach u nás a v zahraničí. V rámci tejto spolupráce VŠ využíva OÚ študentov zo svojho IS a vykonáva s nimi tieto hlavné činnosti:

  1. Zisťuje a eviduje záujem študentov a uchádzačov o licencie ISIC a vyberá od nich poplatky za licencie ISIC.
  2. Každému záujemcovi pridelí ďalšie voľné číslo licencie ISIC podľa podkladov z CKM.
  3. Každému záujemcovi vyrobí preukaz študenta s logom ISIC a prideleným číslom licencie.
  4. Každému záujemcovi vygeneruje a vytlačí prihlášku do CKM, dá mu ju podpísať a dlhodobo ju archivuje.
  5. Oprávneným držiteľom preukazov vydáva prolongačné známky.
  6. Údaje o vydaných a prolongovaných preukazoch s licenciou ISIC pravidelne elektronicky posiela (poskytuje) do CKM.

Ochrana OÚ študentov podľa GDPR

Pri vyššie uvedených činnostiach VŠ spracúva OÚ študentov a uchádzačov ako prevádzkovateľ vlastného (akademického) IS v zmysle GDPR. Keďže VŠ pre CKM nezbiera žiadne OÚ študentov a uchádzačov z primárnych podkladov a žiadne OÚ nepreberá na spracúvanie ani z CKM, nemožno VŠ považovať za sprostredkovateľa CKM pri spracúvaní OÚ študentov podľa GDPR. A naopak, CKM zabezpečuje prevádzku preukazov s licenciami ISIC v rôznych inštitúciách a obchodných prevádzkach úplne autonómne - nie z poverenia VŠ. Preto ani CKM nie je sprostredkovateľom VŠ pri spracúvaní OÚ študentov podľa GDPR. Preto VŠ aj CKM považujeme za samostatných prevádzkovateľov vlastných IS, z ktorých prvý poskytuje niektoré OÚ študentov tomu druhému na ďalšie spracúvanie. V terminológii GDPR je CKM príjemca OÚ alebo tretia strana.

Ak by sa aj našiel extenzívny výklad GDPR, podľa ktorého by VŠ v niektorom kroku mala byť braná ako sprostredkovateľ CKM pri spracúvaní OÚ študentov, pôjde o vyslovene okrajovú činnosť, o ktorej je zbytočné hovoriť napr. v prihláške za člena CKM. Najmä keď si uvedomíme, že CKM uvádza len minimum informácií o svojich hlavných a mnohonásobne dôležitejších partneroch pri spracúvaní OÚ našich študentov doma a v zahraničí (napr. spoločnosť InterWay, ktorá vyvíja a prevádzkuje celý informačný systém CKM).

Všetky vyššie uvedené činnosti (okrem poslednej) VŠ vykonáva interne, takže nehrozí únik OÚ študentov mimo VŠ (do CKM alebo ďalej). Do prihlášky za člena CKM sa síce tlačia viaceré OÚ študenta, ale podpísané prihlášky zostávajú archivované na škole. A to nielen kvôli CKM, ale aj preto, že na ich zadnej strane študenti podpisujú súhlas so spracovaním OÚ pre VŠ.

K poslednému bodu v zozname činností sa vrátime podrobnejšie neskôr.

Text prihlášky a jeho optimalizácia pre potreby VŠ

Prečo sa zaoberáme textom prihlášky do CKM ?

Podpisom prihlášky a zaplatením licenčného poplatku ISIC sa študent stáva členom občianskeho združenia CKM a zároveň mu dáva súhlas na spracúvanie svojich OÚ v IS CKM a u jeho partnerov. Je to teda dvojstranný právny akt medzi študentom a CKM. Napriek tomu sa znenie prihlášky dotýka aj VŠ, lebo:

  1. VŠ prihlášku predkladá a odporúča svojim študentom na podpis, takže voči nim je za ňu spoluzodpovedná - morálne a možno aj právne
  2. vo vzorovom texte z CKM je VŠ označená ako sprostredkovateľ CKM pri spracúvaní OÚ študenta, s čím nemožno súhlasiť
  3. vzorový text z CKM je nepraktický na použitie na VŠ
    • záhlavie prihlášky nepodporuje hromadnú korešpondenciu
    • celý text je zbytočne rozsiahly a napísaný nečitateľným písmom s výškou 5.5 bodu - pritom podľa Nariadenia vlády č. 87/1995 Z.z. v znení 141/2014 Z.z. - § 1b v zmluvných dokumentoch obdobného typu treba používať minimálnu veľkosť malých písmen 1,9 milimetra - https://www.podnikajte.sk/pravo-a-legislativa/c/1921/category/zakonne-povinnosti-podnikatela/article/poivnna-velkost-pisma-1-1-2015.xhtml
    • v prostredí VŠ sú viaceré časti textu nepotrebné, alebo dokonca nevhodné
    • ochrana OU je rozpísaná chaoticky a so zbytočnými citáciami právnych predpisov, a pritom dôležité informácie chýbajú - napr. nie je úplne jasné, kam všade sa jednotlivé údaje študentov z CKM nakoniec dostanú a na čo sa tam použijú
    • z právneho hľadiska je zarážajúce, že ochranu OU CKM stavia na slovenskom zákone č. 18/2018, a nie na európskom nariadení GDPR, do pôsobnosti ktorého školstvo vecne spadá

Vzhľadom na počet licencií ISIC, ktoré CKM každoročne predá na VŠ, by CKM mohla pre toto prostredie pripraviť jednoduchšiu, čitateľnejšiu a precíznejšie spracovanú verziu prihlášky.

Úprava prihlášky pre študentov VŠZSP

Ak VŠ má prihlášky pre CKM tlačiť a predkladať ich študentom na podpis, je nutné ich upraviť. Pre študentov VŠZSP sme ju upravili takto:

  • z textu sme odstránili zmienku o úlohe VŠ ako sprostredkovateľa CKM pri spracúvaní OÚ
  • celý text sme výrazne zredukovať (asi o 1/3), zreorganizovali, miestami preformulovali a jemnejšie naformátovali tak, že sa nám vošiel na 1 stranu A4 s písmom „Trebuchet MS“ s veľkosťou 7. Je to o 0.5 bodu menej, ako by sme chceli, ale ešte sa nám to zdá ako prijateľné minimum na čítanie. Toto písmo je na papieri vykreslené trochu výraznejšie a kontrastnejšie ako „Calibri“ s rovnakou veľkosťou písma. Výška malých písmen v našom texte je cca 1.3 mm.
  • v texte sme odstránili aj niektoré vecne problematické časti, napr.:
    • nechceme robiť zápisnice pri protestoch študentov proti spracúvaniu OÚ v CKM
    • nateraz sme vynechali vzorovú formuláciu „mám právo, a nie povinnosť, poskytovať svoje OÚ združeniu a združenie si nesmie môj súhlas vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby alebo tovaru.“, lebo netušíme, ako by študent mal dostať preukaz bez toho, aby sme jeho OÚ poslali do CKM
    • na druhej strane sme zachovali formuláciu "mám právo kedykoľvek odvolať svoj súhlas so spracúvaním mojich OÚ.", hoci tiež nevieme, čo by sa potom malo stať vo vzťahu k CKM. V texte súhlasu pre VŠ na zadnej strane dokumentu sme k odvolaniu súhlasu pripísali, že "v takom prípade však musím preukaz vrátiť vysokej škole"
  • do dokumentu sme vložili nástroje na hromadnú korešpondenciu, lebo prihlášky generujeme hromadne z databázy študentov a vydaných preukazov

Upravenú prihlášku za člena CKM sme spojili do jednej šablóny so súhlasom študenta pre VŠ na poskytovanie osobných údajov tretím stranám a obidva dokumenty sa tlačia obojstranne na jeden papier formátu A4 - PrihlaskaSuhlas. Na požiadanie Vám ju poskytneme aj vo formáte MS Word (dotx).

Čo treba ešte zlepšiť

Nami upravená prihláška pre študentov VŠZSP je len dočasné riešenie na dobu, kým CKM upraví svoj vzor do všeobecne akceptovateľného tvaru. Predovšetkým by v nich mali viac konkretizovať, ktorým ďalším subjektom poskytujú OU študentov, na aký účel a v akom rozsahu (zoznam položiek). A to vrátane hlavných sprostredkovateľov pri spracúvaní OÚ študentov, ktorých služby CKM využíva.

Text prihlášky by sa dal ďalej zredukovať, keby CKM zverejnilo na webe niektoré všeobecné zásady GDPR, reklamačný poriadok, postup vybavovania sťažnosti členov a či sa za to nejako platí. Mohlo by tam byť niečo viac aj o samotnej ochrane OÚ v CKM a čo všetko s OÚ robia.

Súčasný zoznam sprostredkovateľov na webe CKM je mätúci:

  • nie sú tam ich identifikačné údaje - zoznam je len orientačný
  • zoznam stredných a vysokých škôl je dosť zbytočný, lebo títo „sprostredkovatelia“ sa netýkajú všetkých členov združenia
  • nie je k nim uvedené, aké činnosti pre CKM sprostredkujú a k akým OÚ majú prístup
  • chýba tam zoznam tretích strán, ktorým CKM údaje poskytuje, a to je snáď najcitlivejšie miesto v ich systéme z hľadiska možného zneužitia OÚ študentov

[-] Súhlas študenta VŠ s poskytovaním OÚ tretím stranám na ich ďalšie spracúvanie

Ako už bolo povedané vyššie, zoznam vydaných a predĺžených preukazov s licenciami ISIC VŠ pravidelne posiela elektronicky do CKM. Obdobný zoznam VŠ posiela elektronicky aj do spoločnosti TransData, s.r.o. (ďalej len "TransData"), ktorá zabezpečuje poskytovanie zliav študentom v doprave a niektoré ďalšie služby. Z hľadiska GDPR sú to príjemcovia OÚ alebo tretie strany a VŠ im poskytuje OÚ svojich študentov.

Elektronický prenos OÚ je technický proces, ktorý tu netreba podrobne opisovať. V prípade CKM sa na to používa program CkmData a do TransData VŠ poskytuje údaje prostredníctvom webovej služby na serveri TransData. V IS na VŠ sa údaje priebežne aktualizujú a v dennom intervale sa odosielajú obidvom príjemcom. Ich ďalší osud v IS príjemcov je mimo dosahu VŠ a opiera sa len o zmluvný vzťah VŠ s príjemcami.

Poskytovanie OÚ študentov do TransData považujeme za dostatočne právne kryté podľa § 67 a 73 novelizovaného zákona o VŠ a platného metodického usmernenia (právny základ podľa GDPR). Je vhodné študentov o tom informovať, ale ich súhlas pravdepodobne nie je potrebný.

Naproti tomu povinnosť poskytovať OÚ študentov do CKM nevyplýva priamo zo žiadneho zákona, ale v zmysle GDPR sa dá zdôvodniť ako oprávnený záujem CKM. Bude však lepšie získať na to aj súhlas študentov.

Súhlas študenta VŠ s poskytovaním OÚ tretím stranám nie je a ani nemôže byť súčasťou prihlášky za člena CKM - musí to byť samostatný dokument podpísaný študentom pre potreby VŠ. Ako sme už uviedli vyššie, tento dokument generujeme formou hromadnej korešpondencie spolu s prihláškou do CKM a tlačíme ho obojstranne na jeden papier formátu A4 - PrihlaskaSuhlas.

Tento vzor nie je úplne dokonalý, ale môže poslúžiť ako základ na rokovanie VŠ s TransData a CKM. Treba však zdôrazniť, že v prípade nedohody VŠ s externými príjemcami OÚ o právnej povahe súčasných dátových tokov, rozhodujúce slovo musí mať VŠ, lebo tá zodpovedá študentom za ochranu ich OÚ v IS školy a bez spoľahlivého právneho základu VŠ nesmie ich OÚ nikomu poskytnúť.

[-] Preukazy v rukách študentov - OÚ vytlačené na preukaze a zapísané v jeho pamäti

Keď VŠ vydá nový preukaz študentovi, ten na seba preberá aj zodpovednosť za ochranu svojich OÚ, ktoré sú vytlačené na preukaze a zapísané v jeho pamäti. Študent sa potom sám rozhodne, komu a za akých podmienok preukaz poskytne k nahliadnutiu alebo k akej čítačke ho priloží.

Metodické usmernenie však dáva VŠ povinnosť poučiť študentov o niektorých dôležitých pravidlách alebo rizikách, ktoré sú spojené s používaním preukazu. Konkrétne čl. 2 ods. 9 hovorí, že VŠ poskytne študentom informácie a pravidlá na zaobchádzanie s preukazom minimálne v tomto rozsahu:

  • V pamäti preukazu sú elektronicky zapísané tieto údaje:
    • verejne prístupné (nešifrované) - číslo čipu v preukaze, druh preukazu, začiatok a koniec platnosti preukazu, dátum poslednej aktualizácie údajov v preukaze
    • chránené heslom (šifrované) - meno, priezvisko, tituly, dátum narodenia, pohlavie, bydlisko (trvalý pobyt), prechodný pobyt na území SR, osobné číslo pridelené na vysokej škole, škola, fakulta a miesto štúdia, stupeň štúdia
  • Študent je povinný s preukazom zaobchádzať šetrne a nie je oprávnený zasahovať do jeho grafickej úpravy a do údajov v jeho pamäti.
  • Študent je povinný bezodkladne oznámiť vysokej škole potrebu vykonania zmeny údajov viditeľne uvedených na preukaze alebo zapísaných v pamäti preukazu a nechať si zmeny elektronicky zapísať do preukazu. To platí aj pri prerušení alebo skončení štúdia.
  • Priložením preukazu k akémukoľvek čítaciemu zariadeniu študent poskytuje údaje elektronicky zapísané v preukaze potenciálnemu príjemcovi. Za takéto poskytnutie údajov študenta vysoká škola nenesie žiadnu zodpovednosť.
  • Bezkontaktná technológia preukazu umožňuje zosnímať údaje z pamäti preukazu aj na určitú vzdialenosť, t.j. bez priameho priloženia preukazu k čítaciemu zariadeniu. Preto sa odporúča používať s preukazom tieniacu kartu alebo tieniaci obal na doklady.

Ak študent bude takto poučený, VŠ nebude zodpovedná za prípadné zneužitie OÚ študenta prostredníctvom jeho preukazu.