ICT ve školství 2018 8. ročník konference Mgr. Jana Pattynová, LL.M. 28. 3. 2018
ÚVOD Témata prezentace Aktuální stav legislativy Implementace GDPR ve vzdělávacím zařízení Případové studie
STAV LEGISLATIVY
ÚVOD DO GDPR Časová osa Návrh adaptačních zákonů ČR Metodika MŠMT Doporučení MŠMT? Účinnost adaptačních zákonů ČR Dub 2016 Led 2017 Srp 2017 Lis 2017 Bře 2018 Kvě 2018 Přijetí GDPR Účinnost GDPR
ÚVOD DO GDPR Související předpisy v České republice Návrh zákona o zpracování osobních údajů Vzdělávací předpisy Nový zákon nahrazující zákon č. 101/2000 Sb., o ochraně osobních údajů Implementuje i směrnici (EU) 2016/680 Nevyužívá derogace, pouze upřesňuje Souhlas mladistvého min. 13 let DPO mlčenlivost Definice subjektu veřejné správy i škola Pro veřejné subjekty pokuta jen do 10.000.000 Kč Školský zákon Prováděcí vyhlášky, např.: č. 364/2005 Sb., o dokumentaci škol a školských zařízení č. 3/2015 Sb., o některých dokladech o vzdělání č. 64/2005 Sb., o evidenci úrazů dětí, žáků a studentů č. 438/2006 Sb., kterou se upravují podrobnosti výkonu ústavní výchovy a ochranné výchovy ve školských zařízeních
ÚVOD DO GDPR Metodika MŠMT z listopadu 2017 Každá škola je povinna jmenovat pověřence (FO nebo PO) Škola, resp. ředitel školy je odpovědný za porušení práv žáků, studentů, zákonných zástupců a dalších osob při ochraně osobních údajů, a to včetně povinnosti nahradit porušením případně způsobenou újmu. Pro účely prezentace školy jsou nutné souhlasy subjektů údajů Při konfliktu názoru dítěte a zákonného zástupce doporučeno osobní údaje spíše nezpracovávat Třídní schůzky jako vhodná příležitost pro plnění informační povinnosti
ÚVOD DO GDPR Doporučení MŠMT z března 2018 1 Výslovný souhlas se zněním dokumentů tvořících součást zpracovatelské smlouvy Řešení sporů 2 českými soudy podle českého práva nebo alespoň soudy v EU 3 Doporučení, aby osobní údaje nebyly uchovávány mimo území EU
ZPRACOVÁNÍ ÚDAJŮ VE ŠKOLSTVÍ
ŠKOLSKÉ ZAŘÍZENÍ VÝUKA A VZDĚLÁVÁNÍ MIMOŠKOLNÍ AKTIVITY SDÍLENÍ S DALŠÍMI SUBJEKTY INTERNÍ SPRÁVA (HR, FINANCE) PR A EXTERNÍ KOMUNIKACE, ONLINE APLIKACE Zákon Zpracování dle školského zákona a prováděcích předpisů Smlouva Souhlas Zákon Souhlas Zákon Smlouva Oprávněný zájem Souhlas Souhlas E-learning, a elektronické školní matriky Přihlášky, pojištění, školní výlety MŠMT, psychologické poradny, školní dužina atd. Mapování a životní cyklus údajů dle skutečného stavu JÍDELNY ZŘIZOVÁNÍ DALŠÍCH ORGANIZACÍ KNIHOVNY ÚSTAVY
DESATERO IMPLEMENTACE GDPR Desatero ve školním prostředí Jmenujte pověřence pro ochranu osobních údajů. Jeden pracovník může tuto roli vykonávat pro více škol. Připravte přehledné záznamy o činnostech zpracování a stanovte mechanismus pro jejich pravidelnou aktualizaci. Zajistěte si, že pro zpracování veškerých osobních údajů máte právní titul (zákonná povinnost, souhlas, aj.). 1 2 3
10 KROKŮ IMPLEMENTACE Desatero ve školním prostředí Nastavte si správně doby zpracování jednotlivých kategorií osobních údajů, po jejichž uplynutí zajistěte úplný výmaz těchto údajů. Vyžádejte si od IT dodavatelů prohlášení o souladu jejich systémů s GDPR a uzavřete s nimi zpracovatelskou smlouvu. Zajistěte, aby zaměstnanci pro práci s osobními údaji nevyužívali volně dostupné aplikace, které lze stáhnout z internetu a které nebyly pořízeny školou. 4 5 6
10 KROKŮ IMPLEMENTACE Desatero ve školním prostředí Zkontrolujte zabezpečení systémů a koncových zařízení zajistěte, že přístupová práva k osobním údajům mají jen oprávněné osoby. Nastavte vhodný vnitřní proces monitorování zabezpečení osobních údajů a stanovte postup hlášení úniku dat. Zajistěte, aby subjekty (např. žáci a jejich zákonní zástupci nebo učitelé) údajů mohly uplatnit právo na přístup a další práva. Připravte transparentní zásady ochrany osobních údajů pro zaměstnance a studenty a zajistěte, že s nimi budou seznámeni. 7 8 9 10
PŘÍPADOVÉ STUDIE
PŘÍPADOVÉ STUDIE Škola využívá online aplikaci pro vedení školní matriky, která je spojená se vzdáleným (cloudovým) úložištěm. Je to v pořádku? Na co je třeba myslet, aby byl zajištěn soulad s požadavky GDPR?
PŘÍPADOVÉ STUDIE Je v pořádku, pokud učitelé používají ke komunikaci s rodiči, případně mezi sebou, soukromé emaily a soukromá zařízení?
PŘÍPADOVÉ STUDIE Škola využívá fotografie žáků a učitelů pro účely prezentaci a informování o pořádaných akcích. Fotografie jsou zveřejňovány na školním webu (galerie) a sociálních sítích. Na co si musí škola dát pozor?
PŘÍPADOVÉ STUDIE Odporuje předpisům na ochranu osobních údajů, pokud učitel v rámci individuálního zkoušení žáka oznamuje výsledek zkoušení před celou třídou? Může učitel před celou třídou sdělovat výsledky písemek a dalších prací?
PŘÍPADOVÉ STUDIE Je škola v rámci povinnosti umožnit výkon práva na přístup povinna zpřístupnit i všechny testy a další práce daného žáka, které uchovává?
PŘÍPADOVÉ STUDIE Může 14letá žákyně udělit souhlas se zveřejněním své fotografie na webu školy, aniž by bylo nutné vyžádat si zároveň souhlas jejích rodičů?
Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších specializovaných právních týmů zaměřených na právo technologií, médií a komunikací Hlavní oblasti praxe: Ochrana osobních údajů IT smlouvy, včetně smluv na cloudové produkty IoT M&A transakce v technologickém sektoru Podpora start-upů při vstupu na zahraniční trhy Pracovní právo (včetně technologických aspektů smluv zaměstnanců, BYOD) IP právo Média Telekomunikační právo Více informací: www.pierstone.com Partneři odpovědní za GDPR projekty : Jana Pattynová jana.pattynova@pierstone.com +420 777 738 040 12 let nejvyšší nezávislá hodnocení pro oblast technologie Lenka Suchánková lenka.suchankova@pierstone.com +420 777 738 046