Musí mať škola/školské zariadenie uzavretú sprostredkovateľskú zmluvu s Ministerstvom školstva, vedy, výskumu a športu SR (ďalej len „MŠVVaŠ SR“)?

Odpoveď na otázku, či škola alebo školské zariadenie musí mať uzavretú sprostredkovateľskú zmluvu s Ministerstvom školstva, vedy, výskumu a športu SR (ďalej len „MŠVVaŠ SR“), je – nie, nie je to povinnosť. Vysvetlenie tohto stanoviska si však vyžaduje hlbšie porozumenie legislatívnemu rámcu, ochrane osobných údajov a úlohám škôl v digitálnom a administratívnom prostredí. V tomto článku si preto podrobnejšie rozoberieme legislatívne súvislosti, zodpovednosti školy ako samostatného prevádzkovateľa osobných údajov, rozdiel medzi prevádzkovateľom a sprostredkovateľom, úlohu MŠVVaŠ SR vo vzťahu ku školám, a prečo nie je uzatváranie takejto zmluvy potrebné, no v niektorých prípadoch zmysluplné.

Článok poskytuje praktické informácie a vysvetlenia v súlade s platným slovenským a európskym právom, najmä s Nariadením GDPR, zákonom o ochrane osobných údajov a zákonom o štátnej správe v školstve. Je určený riaditeľom škôl, zriaďovateľom, pedagogickým zamestnancom a aj rodičom, ktorí sa zaujímajú o to, ako sa spracúvajú ich údaje a aké sú právomoci jednotlivých subjektov v školskom systéme.

Postavenie školy ako prevádzkovateľa osobných údajov

Každá škola (základná, stredná, aj materská škola), ako aj školské zariadenie (napr. centrum voľného času, školská jedáleň), je samostatným prevádzkovateľom osobných údajov v zmysle zákona č. 18/2018 Z. z. o ochrane osobných údajov a nariadenia GDPR. To znamená, že nesie zodpovednosť za:

• zber osobných údajov žiakov, rodičov, zamestnancov a iných subjektov údajov,
• účel, na ktorý tieto údaje spracúva,
• technické a organizačné opatrenia na ich ochranu,
• sprostredkovateľské a zmluvné vzťahy s tretími stranami.

V dôsledku toho škola sama rozhoduje o tom, ktoré subjekty jej poskytujú služby, ako sú informačné systémy alebo mzdová agenda, a s týmito subjektmi uzatvára sprostredkovateľské zmluvy.

Rozdiel medzi prevádzkovateľom a sprostredkovateľom

Podľa definícií v legislatíve:

• Prevádzkovateľ je subjekt, ktorý určuje účely a prostriedky spracúvania osobných údajov (v tomto prípade škola alebo školské zariadenie).
• Sprostredkovateľ je subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa a na jeho pokyny (napr. dodávateľ IT systému, personálna agentúra, externý účtovník).

MŠVVaŠ SR nevykonáva spracovateľské operácie v mene školy. Je ústredným orgánom štátnej správy v oblasti školstva, nie poskytovateľom služieb. To znamená, že ani zo zákona, ani z hľadiska výkonu administratívnych činností štandardne neposkytuje školám služby, ktoré by mali charakter sprostredkovateľskej činnosti.

Úloha MŠVVaŠ SR v školskom systéme

MŠVVaŠ SR plní najmä tieto úlohy:

• vykonáva štátnu správu v oblasti školstva,
• určuje rámcový a legislatívny rámec pre činnosť škôl,
• zabezpečuje financovanie škôl zo štátneho rozpočtu,
• spravuje celoštátne informačné systémy ako RIS (Rezortný informačný systém) alebo ŠVS (Štátny vzdelávací systém).

V prípade, že MŠVVaŠ SR zabezpečuje pre školy niektorý centrálny informačný systém, ako napr. RIS, tento systém je spravovaný centrálne a školy doň vkladajú svoje údaje ako samostatné prevádzkovatelia. MŠVVaŠ SR v tomto prípade zvyčajne vystupuje ako prevádzkovateľ vo vlastnom mene, nie ako sprostredkovateľ vo vzťahu k školám.

Prečo teda školy nemusia uzatvárať sprostredkovateľskú zmluvu s MŠVVaŠ SR

Na základe vyššie uvedeného môžeme konštatovať:

• MŠVVaŠ SR nemá charakter sprostredkovateľa v zmysle GDPR, pretože nevykonáva spracúvanie údajov na priamu žiadosť školy.
• MŠVVaŠ SR má vo vzťahu k školám vlastné zákonné oprávnenie získavať údaje a tieto údaje sú poskytované na základe zákona, nie zmluvy.
• Nie je potrebná sprostredkovateľská zmluva, pretože zákonné poskytovanie údajov nemá komerčný a zmluvný charakter.

Ak by však MŠVVaŠ SR poskytovalo nejakú službu (napr. správu e-learningovej platformy pre konkrétnu školu), v takom prípade by sa status mohol zmeniť a zmluva by bola opodstatnená. V praxi sa to však zatiaľ nevyskytuje.

Výnimočné situácie, kedy by mohlo byť vhodné uzatvoriť zmluvu

Aj keď bežne nie je potrebné uzatvárať sprostredkovateľskú zmluvu s MŠVVaŠ SR, existujú výnimočné situácie, kedy by škola mohla zvážiť zmluvný vzťah:

• Ak MŠVVaŠ SR zverí škole spracovanie údajov vo svojej databáze ako externe poverenému subjektu.
• Ak ministerstvo poskytuje špecifickú IT službu na mieru pre školu – nie ako štandardizovaný systém.
• Spoločné projekty, kde sa spracúvajú citlivé údaje a je potrebné si upraviť práva a povinnosti zmluvným dokumentom.

V týchto prípadoch však ide o výnimky, nie bežnú prax. Bežne nie je dôvod uzatvárať sprostredkovateľské zmluvy medzi školami a MŠVVaŠ SR.

Odporúčania pre školy

Na základe zistení odporúčame školám nasledovné:

• Preskúmať postavenie dodávateľov IT, mzdových alebo iných služieb – tieto subjekty sú zvyčajne sprostredkovatelia a je potrebné mať s nimi uzatvorené zmluvy.
• Nežiadali od ministerstva sprostredkovateľskú zmluvu, pokiaľ MŠVVaŠ SR poskytuje len rámcové zákonné služby bez priameho spracovania údajov v mene školy.
• Viesť samostatnú dokumentáciu v súlade s GDPR a zákonom o ochrane osobných údajov, vrátane záznamov o spracovateľských činnostiach.

Záver

Školy a školské zariadenia nie sú povinné uzatvárať sprostredkovateľskú zmluvu s MŠVVaŠ SR. Z pohľadu legislatívy ide o dva nezávislé subjekty s vlastnou právnou a administratívnou zodpovednosťou. MŠVVaŠ SR má zákonné oprávnenie získavať údaje, prípadne prevádzkovať systémy, no nevykonáva služby za školy. Takáto zmluva by teda bola nadbytočná a nevhodná, ak neexistuje osobitný dôvod, ktorý by si vyžadoval zmluvné upravenie vzťahu. Školy by sa mali sústrediť skôr na riadne zmluvné pokrytie skutočných sprostredkovateľov – napr. softvérových dodávateľov, účtovníkov a externých konzultantov.