Ochrana osobních údajů v oblasti školství 1 Mgr. et Mgr. Dana Prudíková, Ph.D.
2 Co nového GDPR přinese? Není revoluce, ale evoluce! Tj. nejedná se o zásadní předěl v pojetí ochrany osobních údajů, právní úprava je však podrobnější (např. důraz na konkrétní a informovaný souhlas subjektu s nakládáním a zpracováním jeho osobních údajů) GDPR zavádí několik nových povinností pro správce a zpracovatele (př. záznamy o činnostech) Pokud bylo dosud s osobními údaji nakládáno v souladu se zákonem, pak nebude třeba zavedené postupy příliš měnit Základní zásady: zákonnost, korektnost, transparentnost, účelové omezení, minimalizace údajů, přesnost, omezené uložení, integrita a důvěrnost, odpovědnost správce.
3
Metodická pomůcka k aplikaci GDPR a Stručný návod k GDPR Metodická pomůcka k aplikaci obecného nařízení o ochraně osobních údajů a zákona o zpracování osobních údajů v podmínkách školství Stručný návod na zabezpečení procesů souvisejících s GDPR ve školách, tzv. kuchařka k GDPR http://www.msmt.cz/dokumenty-3/metodicka-pomucka-k-aplikaci-obecnehonarizeni-o-ochrane http://www.msmt.cz/dokumenty-3/strucny-navod-na-zabezpeceni-procesusouvisejicich-s-gdpr 4
Vybrané novinky v přístupu k osobním údajům z pohledu školství Vedení záznamů o činnostech zpracování dle čl. 30 GDPR Úprava postupu, jakým se může subjekt údajů obracet na správce či zpracovatele dle čl. 12 GDPR Právo na informace a přístup k osobním údajům čl. 14-16 GDPR Zavedení institutu pověřence dle čl. 37-39 GDPR Ohlašování případů porušení zabezpečení osobních údajů dle čl. 33 a 34 GDPR Souhlas se zpracováním osobních údajů může ve vymezených případech vyjádřit i dítě Zpřísnění podmínek předávání osobních údajů do ciziny dle čl. 44 a násl. GDPR 5
Záznam o činnostech Průběh základního vzdělávání Činnosti 1. Vedení záznamů v třídní knize 2. Žádost o přijetí do školy - přestup 3. Žádost o odhlášení a ze vzdělávání v ZŠ (přestup na jinou školu) 4. Posudek zdravotní způsobilosti (ozdravný pobyt, výuka plavání,...) 5. Uvolnění a z vyučování 6. Stravování v ZŠ 7. Orientační testování nezletilého a na přítomnost OPL 8. Prezentace školy 9. Seznámení se školním řádem a školním vzdělávacím programem 10. Žádost o zahájení a rozhodnutí o ukončení individuálního vzdělávání 11. Kamerové systémy 12. Další činnosti, které lze považovat za operace s osobními údaji... Jméno a kontaktní údaje správce: Jméno a kontaktní údaje pověřence: 6
Osobní údaje Subjekt údajů Účel zpracování Popis technických opatření Popis bezpečnostních a organizačních opatření Kategorie příjemců (včetně zahraničních subjektů) Informace o případném předání do třetí země Plánovaná lhůta pro výmaz 1. Vedení záznamů v třídní knize Škola Třída Obor vzdělání Přehled hodin výuky Přehled vyučujících jméno a příjmení a denní záznam o poskytovaném vzdělávání v jednotlivých předmětech zaměstnanec 28 odst. 1 písm. f) ŠZ v listinné podobě nebo elektronicky Nebezpečí manipulace nebo zničení zde uvedených průkazných údajů o poskytovaném vzdělávání a jeho průběhu (např. ztráta třídní knihy). 10 let, pokud nejde o archiválie podle bodu 16 přílohy č. 2 zákona č. 499/2004 Sb. účast a/studenta ve výuce, omluvené hodiny 2. Žádost o přijetí do školy - přestup Jméno a příjmení Datum narození Trvalý pobyt Rodné číslo 22 odst. 3 písm. e) + 49 odst. 1 ŠZ Státní občanství Zdravotní pojišťovna nutný souhlas zákonného zástupce pro uvedení osobních údajů a např. z důvodů potřeby komunikace při v rámci BOZP elektronicky nebo v listinné podobě údaje poskytovány jen omezenému okruhu pracovníků školy podle vnitřních směrnic nepředává se, součást školní matriky 5 let Adresa školy, z které se hlásí Ročník, ve kterém se vzdělával Cizí jazyk(-y), ve kterém se dosud vzdělával 22 odst. 3 písm. e) + 49 odst. 1 ŠZ 7 Jméno a příjmení zákonný zástupce 22 odst. 3 písm. e) + 49 odst. 1 ŠZ
8 Kontrola smluv Je nutné zkontrolovat platné smlouvy se zpracovateli osobních údajů (zejména s poskytovateli informačních systémů, čipových a vstupních karet apod.). Smlouvy o zpracování osobních údajů mají přesně stanovené povinné náležitosti. Škola ovšem vedle těchto specifických smluv o zpracování osobních údajů jistě řeší i jiné smlouvy, které obsahují osobní údaje (např. kupní smlouvy, smlouvy o dílo, příkazní smlouvy a jiné); i ty smlouvy je nutné podrobit kontrole. Např. že zpracovatel přijme všechna bezpečnostní, technická, organizační a jiná opatření požadovaná v čl. 32 nařízení, přitom přihlédne ke stavu techniky, nákladům na provedení, povaze zpracování, rozsahu zpracování, kontextu zpracování a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, že zpracovatel bude správci bez zbytečného odkladu nápomocen při plnění povinností správce, zejména povinnosti reagovat na žádosti o výkon práv subjektů údajů, povinnosti ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu dle čl. 33 nařízení, povinnosti oznamovat případy porušení zabezpečení osobních údajů subjektu údajů dle čl. 34 nařízení atp.
Nastavit vnitřní procesy zacházení s osobními údaji např. přijetím nebo revidováním směrnice a dalších dokumentů o zacházení s osobními údaji ve škole, nebo jiným opatřením Vzor struktury směrnice týkající se ochrany osobních údajů a zpracovávání osobních údajů v podmínkách školy s některými doporučenými formulacemi Doporučení uvedená v návrhu textu směrnice lze převzít nebo zapracovat i do jiných dokumentů školy, např. do školního řádu, provozního řádu, pracovního řádu, bezpečnostního řádu, IT směrnice, směrnice pro práci s IT technikou a informačními systémy. Uvedené formulace lze rovněž v přiměřeném rozsahu převzít do pracovní smlouvy, dohody o provedení práce, do dohody o pracovní činnosti, do náplně práce, do smluv uzavíraných se třetí stranou (nájemní smlouva, smlouva o dílo, smlouva o poskytnutí služeb apod.). 9
10 Informace o zpracování osobních údajů Správce je povinen subjekt údajů stručně informovat o zpracovávání jeho údajů v rozsahu stanoveném nařízením Např. Základní škola Lesanka, Dolní Lhota, dále jen škola jako správce osobních údajů zpracovává údaje v níže uvedených případech (např. případ vedení dokumentace školy). Na školu je možné se k uplatnění práv v oblasti osobních údajů obracet prostřednictvím datové schránky, ID DS XXXXXX, emailem na adrese lesankaoffice@lesanka.cz nebo poštou na adrese Základní škola Lesanka, ulice Lesní 123, 999 99 Dolní Lhota. Výše uvedenými způsoby je možné se v relevantních případech na školu obracet za účelem uplatnění práva na přístup k osobním údajům, jejich opravu nebo výmaz, popřípadě omezení zpracování, vznést námitku proti zpracování, jakož i při uplatnění práva na přenositelnost údajů a dalších práv podle obecného nařízení o ochraně osobních údajů. Výše uvedenými způsoby se mohou subjekty údajů na školu obracet v případě údajů zpracovávaných na základě souhlasu rovněž za účelem odvolání souhlasu se zpracováním osobních údajů. Jmenovaným pověřencem pro školu je Ing. Břeněk Pověřený, tel. č. 777 888 999, email: poverenybrenek@lesanka.cz, k zastižení v kanceláři č. 666 každý pátek v 10-15 hodin.
11 Pověřenec pro ochranu osobních údajů čl. 37 až 39 GDPR Jmenuje se v každém případě, kdy zpracování provádí orgán veřejné moci či veřejný orgán (tedy i školy) Je možné jmenovat jednoho společného pověřence pro několik OVM Pověřenec je nápomocná osoba pro správce nebo zpracovatele při monitorování toho, zda je zajištěn vnitřní soulad s právními předpisy Zajišťuje komunikaci s dozorovým úřadem - Úřad pro ochranu osobních údajů Výkon práce pověřence musí být prováděn nezávislým způsobem Metodické doporučení Ministerstva vnitra k pověřenci http://www.mvcr.cz/odk2/soubor/metodicke-doporuceni-k-cinnosti-obci-korganizacne-technickemu-zabezpeceni-funkce-poverence-pro-ochranuosobnich-udaju-podle-obecneho-narizeni-o-ochrane-osobnich-udaju-vpodminkach-obci.aspx
DĚKUJI ZA POZORNOST dana.prudikova@msmt.cz 12