GDPR pro základní školy JUDr. Jiří Matzner, Ph.D., LL.M. Advokát
Co je GDPR? GDPR: General Data Protection Regulation - Obecné nařízení o ochraně osobních údajů. Jedná se o ucelený soubor pravidel na ochranu dat a osobních údajů. Nařízení: právní předpis EU zavazující všechny členské státy EU, nahrazuje stávající zákon o ochraně osobních údajů Smysl: jejich chránit práva (nejen) žáků a jejich zákonných zástupců proti neoprávněnému zacházení s daty a osobními údaji Účinnost: od 25. 5. 2018
Co je osobní údaj? Veškeré údaje, které mohou specifikovat konkrétní fyzickou osobu, např.: Jméno a příjmení Adresa Datum narození Rodné číslo Fotografie, video a audio záznam Podpis Osobní doklady a jejich kopie Zvláštní osobní údaje: otisk prstu, IP adresa, GPS lokace, bankovní spojení Citlivé údaje (tyto nelze zveřejňovat): Rasa Etnický původ Politický názor Náboženské nebo filozofické vyznání Zdravotní stav Sexuální orientace Trestní delikty Genetické a biometrické údaje
Co není osobní údaj? Anonymizované údaje Nelze u nich určit subjekt údajů (například identifikační číslo bez dalších údajů). Anonymizované údaje nepožívají ochrany GDPR. NA ROZDÍL u pseudonymizovaných údajů: u nich je možné určit, koho se údaje týkají, ale jen s použitím dodatečných informací. Tyto údaje ochranu požívají. Údaje zemřelých osob
Účastníci procesu zpracování osobních údajů Správce: Zpracovatel: určuje účely a prostředky zpracování OÚ, dává pokyny zpracovateli k jejich zpracování; správcem OÚ je škola, v pozici správce vystupuje dále např. MŠMT, Česká školní inspekce zpracovává OÚ na základě pokynu správce; zpracovatelem je například lékař, instruktoři lyžařského a plaveckého výcviku, v některých případech i škola. Subjekt OÚ: žáci a jejich zákonní zástupci osoby, jejichž osobní údaje jsou zpracovávány Zpracování - shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace
Povinnosti správce OÚ (školy) Vést záznamy o činnostech zpracování OÚ Zajistit odpovídající zabezpečení OÚ Povinnost ohlašovat bezpečnostní incidenty Úřadu pro ochranu hospodářské soutěže (ÚOOÚ) do 72h Oznámení případu porušení zabezpečení OÚ subjektu údajů Provést posouzení vlivu na ochranu OÚ Předběžná konzultace s dozorovým úřadem (ÚOOÚ)
Práva subjektů OÚ (žáků a zákonných zástupců) Právo být informován o zpracování svých osobních údajů (OÚ) Právo na opravu nepřesných osobních údajů, které se ho týkají Právo na výmaz právo být zapomenut - netýká se zákonného zpracování údajů, například školní matriky Právo nebýt předmětem automatizovaného rozhodnutí Právo vznést námitku proti zpracování osobních údajů - netýká se zákonného zpracování údajů Žádost subjektu údajů vyřizuje škola bez zbytečného odkladu, nejpozději do 1 měsíce, ve výjimečných případech do 2 měsíců Informace poskytnuté žákům a zákonným zástupcům žáků se poskytují a činí bezplatně
Metodika MŠMT
Osobní údaje zpracovávané na základě školského zákona Školní matrika obsah: jméno a příjmení, RČ, datum narození, státní občanství, místo narození, místo trvalého pobytu žáka a jeho zákonného zástupce, údaje o předchozím vzdělávání, zdravotní údaje Doklady o přijímaní žáků a uchazečů ke vzdělávání, o průběhu vzdělávání a jeho ukončování Třídní kniha Záznamy z pedagogických rad Kniha úrazů a záznamy o úrazech žáků, popřípadě lékařské posudky Vysvědčení Evidenční list žáka
Osobní údaje zpracovávané podle dalších zákonů Podněty pro jednání před orgánem sociálně-právní ochrany dětí (OSPOD), přestupkové komise Podklady žáků pro vyšetření v pedagogicko-psychologické poradně Hlášení trestných činů, neomluvená absence Údaje o zdravotní způsobilosti dítěte na zotavovacích akcích
Osobní údaje zpracovávané na základě informovaného souhlasu Seznamy žáků na mimoškolních akcích a zahraničních zájezdech Seznamy žáků na soutěžích a olympiádách Jména osob, které budou odvádět dítě ze školní družiny Emailové adresy žáků a jejich zákonných zástupců Fotografie žáků Zveřejnění výtvarných a jiných děl žáků na výstavách Číslo bankovního účtu zákonných zástupců pro účel stravování ve školní jídelně
Zabezpečení osobních údajů Škola má vytvořený systém pro zabezpečení ochrany osobních údajů: Elektronické žákovské knížky s přístupem pouze pro oprávněné osoby Bezpečné uložení dokumentů Vedení matriky v elektronické podobě, data archivována na cloudu, údržba zařízení je prováděna odbornou firmou, zajištění antivirové ochrany Shromažďování pouze nezbytných osobních údajů Skartační a spisový řád Povinnost správce a zpracovatele zachovávat mlčenlivost o údajích Neposkytování údajů osobám mimo výchovně vzdělávací proces
Děkuji za pozornost! JUDr. Jiří Matzner, Ph.D., LL.M. jiri.matzner@matzner.cz www.matzner.cz