GDPR

Obecné nařízení o ochraně osobních údajů (dále též GDPR) je EU legislativa, která vstoupila v účinnost dne 25. 5. 2018. Cílem této právní normy je maximálně chránit práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. Obecné nařízení je platné pro všechny státy Evropské unie (včetně Islandu, Norska a Lichtenštejnska). V českém právním prostředí Obecné nařízení nahradilo od 25. května 2018 zákon č. 101/2000 Sb., o ochraně osobních údajů.

GDPR v mnohém navazuje na stávající českou legislativu, v mnoha aspektech ji však rozšiřuje. Obecné nařízení definuje povinnosti správců a zpracovatelů osobních údajů a deklaruje práva subjektů údajů. Zcela novým institutem je pak zřízení funkce Pověřence pro ochranu osobních údajů, které bude povinné pro všechny veřejné subjekty a pro vybrané správce a zpracovatele. Další novou povinností správce je hlásit všechny bezpečnostní incidenty s osobními daty dozorovému orgánu do 72 hodin. V neposlední řadě zavádí nová legislativa přísné sankce za porušení pravidel GDPR a to až ve výši 20 mi. EUR.

Problematika ochrany osobních údajů ve školách je oblast legislativně a metodicky nedotčená. Na školy, jako veřejné instituce a zaměstnavatele, se stejně jako na komerční firmy vztahuje Obecné nařízení o ochraně osobních údajů (GDPR). Specifikum škol z pohledu ochrany osobních údajů spočívá zejména v:

• Spravování osobních údajů o dětech (v určitých situacích bude potřeba nabýt práva ke zpracování od zákonných zástupců)
• Spravování zvláštních kategorií osobních údajů tzv. citlivé údaje (data o zdravotním stavu dětí, např. psychologické posudky pro IVP)
• Kombinaci osobních údajů více subjektů (děti, zákonní zástupci, další zmocněnci žáka, pedagogičtí pracovníci, pracovníci družin, klubů a jídelen atd.)
• Kombinaci různých právních titulů zpracování (plnění právní povinnosti, úkol ve veřejném zájmu, plnění smlouvy, oprávněný zájem….)
• Povinnosti poskytovat osobní údaje či výstupy z nich dalším veřejným orgánům (ČŠI, MŠMT, zřizovatel)

Školám, jako veřejným institucím ukládá Obecné nařízení zavést pozici Pověřence pro ochranu osobních údajů a kompletně upravit vnitřní procesy tak, aby ochrana osobních údajů plně vyhovovala GDPR.

V rámci vzdělávacích a výchovných činností školy shromažďují obrovské množství osobních dat. Aby se škola vyhnula porušení legislativy ochrany osobních údajů (GDPR) a tím i obrovským pokutám, je třeba identifikovat, jaká data školy zpracovávají a jaký je právní důvod pro jejich shromažďování, stejně jako nastavit procesy pro bezpečnou práci s daty a jejich uchovávání.

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ

Pověřenec ochrany osobních údajů napomáhá škole jako Správci osobních údajů být v souladu s Obecným nařízením o ochraně osobních údajů.

Proč škola potřebuje pověřence?

Obecné nařízení o ochraně osobních údajů (dále jen GDPR), které nabude účinnosti 25. května 2018 ukládá veřejným subjektům povinnost jmenovat Pověřence pro ochranu osobních údajů. Při nesplnění této povinnosti hrozí správci osobních údajů pokuta až do výše 10 mil. EUR.

Činnosti DPO

Úkolem nezávislého pověřence je garantovat správnost nakládání s osobními údaji ve škole a komunikovat o této problematice s dozorovým orgánem i veřejností. Pověřenec za vás převezme veškerou starost o Ochranu osobních údajů od vstupních analýz, po navržení a implementaci vhodných opatření. Poskytování poradenství v oblasti GDPR správcům i zpracovatelům osobních údajů. Pravidelné monitorování souladu činností školy s GDPR Zvyšování povědomí, školení řídících pracovníků školy i pedagogických pracovníků. Nastavení metodik práce s osobními údaji a zajištění zákonnosti sběru údajů. Kontaktní bod pro dozorový úřad (ÚOOÚ) v záležitostech týkající se zpracování osobních údajů a hlášení incidentů.