Odpoveď na otázku, či škola alebo školské zariadenie musí mať uzavretú sprostredkovateľskú zmluvu s Ministerstvom školstva, vedy, výskumu a športu SR (ďalej len „MŠVVaŠ SR“), je – nie, nie je to povinnosť. Vysvetlenie tohto stanoviska si však vyžaduje hlbšie porozumenie legislatívnemu rámcu, ochrane osobných údajov a úlohám škôl v digitálnom a administratívnom prostredí. V tomto článku si preto podrobnejšie rozoberieme legislatívne súvislosti, zodpovednosti školy ako samostatného prevádzkovateľa osobných údajov, rozdiel medzi prevádzkovateľom a sprostredkovateľom, úlohu MŠVVaŠ SR vo vzťahu ku školám, a prečo nie je uzatváranie takejto zmluvy potrebné, no v niektorých prípadoch zmysluplné.
Článok poskytuje praktické informácie a vysvetlenia v súlade s platným slovenským a európskym právom, najmä s Nariadením GDPR, zákonom o ochrane osobných údajov a zákonom o štátnej správe v školstve. Je určený riaditeľom škôl, zriaďovateľom, pedagogickým zamestnancom a aj rodičom, ktorí sa zaujímajú o to, ako sa spracúvajú ich údaje a aké sú právomoci jednotlivých subjektov v školskom systéme.
Postavenie školy ako prevádzkovateľa osobných údajov
Každá škola (základná, stredná, aj materská škola), ako aj školské zariadenie (napr. centrum voľného času, školská jedáleň), je samostatným prevádzkovateľom osobných údajov v zmysle zákona č. 18/2018 Z. z. o ochrane osobných údajov a nariadenia GDPR. To znamená, že nesie zodpovednosť za:
- zber osobných údajov žiakov, rodičov, zamestnancov a iných subjektov údajov,
- účel, na ktorý tieto údaje spracúva,
- technické a organizačné opatrenia na ich ochranu,
- sprostredkovateľské a zmluvné vzťahy s tretími stranami.
V dôsledku toho škola sama rozhoduje o tom, ktoré subjekty jej poskytujú služby, ako sú informačné systémy alebo mzdová agenda, a s týmito subjektmi uzatvára sprostredkovateľské zmluvy.
Rozdiel medzi prevádzkovateľom a sprostredkovateľom
Podľa definícií v legislatíve:
- Prevádzkovateľ je subjekt, ktorý určuje účely a prostriedky spracúvania osobných údajov (v tomto prípade škola alebo školské zariadenie).
- Sprostredkovateľ je subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa a na jeho pokyny (napr. dodávateľ IT systému, personálna agentúra, externý účtovník).
MŠVVaŠ SR nevykonáva spracovateľské operácie v mene školy. Je ústredným orgánom štátnej správy v oblasti školstva, nie poskytovateľom služieb. To znamená, že ani zo zákona, ani z hľadiska výkonu administratívnych činností štandardne neposkytuje školám služby, ktoré by mali charakter sprostredkovateľskej činnosti.
Úloha MŠVVaŠ SR v školskom systéme
MŠVVaŠ SR plní najmä tieto úlohy:
- vykonáva štátnu správu v oblasti školstva,
- určuje rámcový a legislatívny rámec pre činnosť škôl,
- zabezpečuje financovanie škôl zo štátneho rozpočtu,
- spravuje celoštátne informačné systémy ako RIS (Rezortný informačný systém) alebo ŠVS (Štátny vzdelávací systém).
V prípade, že MŠVVaŠ SR zabezpečuje pre školy niektorý centrálny informačný systém, ako napr. RIS, tento systém je spravovaný centrálne a školy doň vkladajú svoje údaje ako samostatné prevádzkovatelia. MŠVVaŠ SR v tomto prípade zvyčajne vystupuje ako prevádzkovateľ vo vlastnom mene, nie ako sprostredkovateľ vo vzťahu k školám.
Prečo teda školy nemusia uzatvárať sprostredkovateľskú zmluvu s MŠVVaŠ SR
Na základe vyššie uvedeného môžeme konštatovať:
- MŠVVaŠ SR nemá charakter sprostredkovateľa v zmysle GDPR, pretože nevykonáva spracúvanie údajov na priamu žiadosť školy.
- MŠVVaŠ SR má vo vzťahu k školám vlastné zákonné oprávnenie získavať údaje a tieto údaje sú poskytované na základe zákona, nie zmluvy.
- Nie je potrebná sprostredkovateľská zmluva, pretože zákonné poskytovanie údajov nemá komerčný a zmluvný charakter.
Ak by však MŠVVaŠ SR poskytovalo nejakú službu (napr. správu e-learningovej platformy pre konkrétnu školu), v takom prípade by sa status mohol zmeniť a zmluva by bola opodstatnená. V praxi sa to však zatiaľ nevyskytuje.
Výnimočné situácie, kedy by mohlo byť vhodné uzatvoriť zmluvu
Aj keď bežne nie je potrebné uzatvárať sprostredkovateľskú zmluvu s MŠVVaŠ SR, existujú výnimočné situácie, kedy by škola mohla zvážiť zmluvný vzťah:
- Ak MŠVVaŠ SR zverí škole spracovanie údajov vo svojej databáze ako externe poverenému subjektu.
- Ak ministerstvo poskytuje špecifickú IT službu na mieru pre školu – nie ako štandardizovaný systém.
- Spoločné projekty, kde sa spracúvajú citlivé údaje a je potrebné si upraviť práva a povinnosti zmluvným dokumentom.
V týchto prípadoch však ide o výnimky, nie bežnú prax. Bežne nie je dôvod uzatvárať sprostredkovateľské zmluvy medzi školami a MŠVVaŠ SR.
Odporúčania pre školy
Na základe zistení odporúčame školám nasledovné:
- Preskúmať postavenie dodávateľov IT, mzdových alebo iných služieb – tieto subjekty sú zvyčajne sprostredkovatelia a je potrebné mať s nimi uzatvorené zmluvy.
- Nežiadali od ministerstva sprostredkovateľskú zmluvu, pokiaľ MŠVVaŠ SR poskytuje len rámcové zákonné služby bez priameho spracovania údajov v mene školy.
- Viesť samostatnú dokumentáciu v súlade s GDPR a zákonom o ochrane osobných údajov, vrátane záznamov o spracovateľských činnostiach.
Záver
Školy a školské zariadenia nie sú povinné uzatvárať sprostredkovateľskú zmluvu s MŠVVaŠ SR. Z pohľadu legislatívy ide o dva nezávislé subjekty s vlastnou právnou a administratívnou zodpovednosťou. MŠVVaŠ SR má zákonné oprávnenie získavať údaje, prípadne prevádzkovať systémy, no nevykonáva služby za školy. Takáto zmluva by teda bola nadbytočná a nevhodná, ak neexistuje osobitný dôvod, ktorý by si vyžadoval zmluvné upravenie vzťahu. Školy by sa mali sústrediť skôr na riadne zmluvné pokrytie skutočných sprostredkovateľov – napr. softvérových dodávateľov, účtovníkov a externých konzultantov.