GDPR základní informace pro zaměstnance škol květen 2018
Základní informace GDPR = General Data Protection Regulation Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů Toto nařízení se použije od 25. května 2018 a je pro všechny členské státy závazné a přímo použitelné (platí v každém členském státě přímo, i bez prováděcího vnitrostátního aktu) Nová právní úprava neznamená zásadní předěl v přístupu k ochraně osobních údajů, pouze se nad rámec dosavadní praxe stanoví několik nových povinností pro správce a zpracovatele a práv subjektů. Vzniklo jako reakce na masové zneužívání osobních údajů (např. aktuální aféra facebooku) Bohužel dopad to má nejen na velké zpracovatele osobních údajů, ale i na ty malé (např. školy).
GDPR rozšiřuje práva osob týkající se osobních údajů cílem je zvýšit vymahatelnost zneužívání osobních údajů. Základní informace Hlavní nové povinnosti pro školy: nutnost zřízení funkce pověřence pro ochranu osobních údajů mít v písemné podobě postupy zpracování osobních údajů: 1/ vnitřní směrnice 2/ doporučené standardy v oblasti IT Platnost od 25. 5. 2018
Strašení mnohamilionovými pokutami není v případě škol relevantní. Pokud dojde o úniku dat, řeší Úřad pro ochranu osobních údajů jeho rozsah a dopad, kontaktní osobou je Pověřenec pro ochranu osobních údajů. Možné postihy V této chvíli neexistují žádné právně závazné zákony či vyhlášky upřesňující GDPR na národní úrovni vše jsou v této chvíli jen doporučené metodiky či postupy. Ve většině zemí se chystá doplňující zákon na národní úrovni, vše se bude dále postupně upřesňovat.
Osobní údaje zpracovávané školou Osobní údaj = jakákoliv informace o fyzické osobě podle níž lze danou osobu přímo či nepřímo identifikovat Jméno, Pohlaví, Věk, Email, Telefon, Adresa, IP adresa, Fotografie, Uživatelské jméno (již samotné křestní jméno může být osobní údaj např. pokud do školy chodí jediná dívka se jménem Ester, pak již jen křestní jméno danou osobu identifikuje) Citlivý údaj = Rasa Politické názory Náboženství Členství v odborech Genetické a biometrické údaje, Zdravotní stav, Sexuální život a orientace, Údaje o specifických vzdělávacích potřebách, o rodinné situaci Citlivé údaje musí být chráněny před zneužitím ještě lépe než osobní údaje.
Školy pracují s následujícími osobními a citlivými údaji: Osobní údaje zpracovávané školou osobní údaje dětí / žáků osobní údaje rodičů / zákonných zástupců osobní údaje zaměstnanců
Z pohledu GDPR řešíme: Osobní údaje zpracovávané školou JAKÉ OSOBNÍ ÚDAJE ZPRACOVÁVÁME Z JAKÉHO DŮVODU (zákon, oprávněný zájem, veřejný zájem) KDE JSOU ULOŽENY (jak jsou chráněny) Trvale vyhodnocujeme: - které osobní údaje skutečně potřebujeme a které nepotřebujeme (chránit před únikem musíme všechny osobní údaje) - komu je poskytujeme a za jakým účelem (smluvně ošetřujeme, že s nimi další strana bude nakládat také v souladu s GDPR) - zda je třetí strana skutečně potřebuje (výlety, ŠvP apod.) např. většina ubytovatelů potřebuje pouze počty a věk žáků
K práci s osobními údaji je potřeba mít důvod: zákon (evidence žáků, evidence zaměstnanců) oprávněný zájem (kontakty na rodiče) veřejný zájem (zdravotní bezpečnost vč. veřejného zdraví) pokud zde nejsou výše uvedené důvody, pak je třeba souhlas (např. zveřejnění fotek či výtvarných děl pro propagaci školy) Hlavní rizika Největší rizika úniku dat ve škole: Neoprávněné šíření osobních údajů o dětech či žácích, zaměstnancích o zákonných zástupcích i neúmyslné (např. odeslání jmenného seznamu žáků mailem osobě, u níž není jasné, k čemu je dále použije) zde se doporučuje smluvní ošetření o GDPR Neoprávněné šíření osobních údajů samotnými žáky dostanou se k osobním údajům jiných žáků a budou je dále šířit (např. na sociálních sítích, sdílením) Zapomenutý / ztracený listinný dokument s osobními údaji nebo dokonce nějakým citlivým údajem (plán IVP, posudek PPP apod).
Hlavní rizika Rizikové dokumenty v listinné podobě (všechny takové dokumenty, které obsahují osobní údaje žáků) nesmí být běžně dostupné neoprávněným osobám NOVÁ ORGANIZAČNÍ OPATŘENÍ: - V UZAMYKATELNÉ MÍSTNOSTI - V UZAMYKATELNÉ SKŘÍNI - V UZAMYKTELNÉ ZÁSUVCE STOLU Např: Kniha úrazů ve sborovně, uzamykatelná skříň Posudky PPP, plány IVP v ředitelně, u výchovného poradce Seznamy žáků s kontakty na zákonné zástupce uzamykatelnost Seznamy žáků na soutěže, výlety - uzamykatelnost
Hlavní rizika Rizikové dokumenty v elektronické podobě (všechny takové dokumenty, které obsahují osobní údaje žáků) nesmí být dostupné neoprávněným osobám NOVÁ ORGANIZAČNÍ OPATŘENÍ: - dokumenty s osobními údaji se přednostně odesílají datovou schránkou anebo doporučeným dopisem - dokumenty s osobními údaji se běžným způsobem neodesílají dalším stranám mailem ani neukládají na flešky (nezabezpečeno) - pokud je třeba osobní údaje odeslat mailem, pak je třeba soubory uložit pod heslem, které se sdělí příjemci jinou cestou Např: rozpracované IVP si učitel odesílá na soukromý mail nebo nahrává na flešku (k dopracování mimo školu) jen zaheslované!
Souhlas zákonných zástupců/žáků (např. ke zveřejňování fotografií ze školních akcí pro propagační účely školy, k zapojení do soutěží a uveřejňování jejich výsledků) se uděluje na celou dobu školní docházky tj. stačí pouze při nástupu/přestupu do školy. Souhlasy ze strany rodičů POZOR je třeba je evidovat a archivovat. Doporučujeme tedy množství různorodých souhlasů minimalizovat. Vzor souhlasu v souladu s GDPR je již k dispozici v dohledné době, nejpozději v září doporučujeme požádat o podpis nového souhlasu všechny zákonné zástupce. Souhlas musí být nastaven jako kdykoliv odvolatelný tedy je potřeba mít na toto nastavený mechanismus (IS Bakaláři
Vystavování výtvarných či jiných děl bez uvedení jména dítěte/žáka je bez problémů s uvedením jména jen na základě souhlasu Konkrétní situace Fotky/videa dětí/žáků na webu či jinde pouze na základě souhlasu Fotky/videa z veřejných akcí pokud se jedná o zpravodajství pak lze bez souhlasu tj. pokud na webu či v tištěné podobě uvedu informaci o tom, že se konala veřejná akce a bude obsahovat ilustrační foto, pak je to bez problémů pokud fotky z těchto akcí budou využity i jinak k další propagaci mimo školu, pak už pouze na základě souhlasu
INFORMACE POSKYTOVANÉ ÚŘADŮM Konkrétní situace V případě požadavku ze strany státních úřadů, soudů a dalších institucí (např. o rodinné situaci žáka) JE TŘEBA VYHOTOVIT ZÁZNAM škola kontaktuje pověřence pro ochranu osobních údajů dříve než odpověď odešle.
Soutěže Zveřejňování výsledků v soutěžích na základě souhlasů Předávání údajů žáků organizátorovi soutěže o dodržování principů GDPR bude požádán organizátor soutěže Konkrétní situace Soutěže, výlety a jiné mimoškolní akce Předávat seznamy účastníků akcí jen pokud je to nezbytně nutné PO DOHODĚ S VEDENÍM ŠKOLY. Email - nezabezpečená forma komunikace! Ideálně datovou schránkou nebo dokument zaheslovat. Vždy je třeba PŘEDEM zajistit podpis oprávněné osoby, že bude s osobními údaji dále nakládat v souladu s GDPR.
Konkrétní situace IT / počítače mít počítače řádně zabezpečené / zaheslované přesná pravidla pro hesla v samostatném dokumentu IT standardy mít všechny využívané aplikace aktualizované každá osoba musí mít své unikátní přihlašovací údaje (profil) při odchodu od počítače zajistit uzamknutí / usnutí neodesílat dokumenty s osobními údaji mailem nezaheslované používat datovou schránku v maximální možné míře negenerovat zbytečné soubory s osobními údaji
ZÁVAZNÉ DOKUMENTY ULOŽENÉ VE ŠKOLE: Dokumenty ve škole 1/ Vnitřní předpis pro práci s osobními údaji 2/ Doporučené standardy a úroveň zabezpečení v oblasti IT
Pověřenec pro ochranu osobních údajů Co když nebudu vědět, jak správně postupovat? Nestresovat se Je potřeba věci konzultovat, nedělat zjevné chyby V případě jakýchkoliv nejasností se můžete obrátit na pověřence pro ochranu osobních údajů písemně: Ing. Šárka Bubelíni Email: sbubelini@toppriority.cz
Končíme Děkuji Vám za pozornost