GDPR a školy
Home ― Služby ― IT Consulting ― GDPR ― GDPR a školy
O službě
GDPR ve školách
Všechny osobní údaje dětí jsou dle nařízení GDPR citlivá data a na jejich ochranu se vztahují přísnější pravidla. Je proto na místě, aby se školy na GDPR řádně připravily.
Video
Specifika GDPR na školách
Školám zákon ukládá povinnost mít pověřence pro ochranu osobních údajů. Kritické je podchytit oblasti, které nespadají pod školský zákon, tedy typicky volnočasové školní aktivity a evidence dětí, které se jich účastní. Co třeba tradiční ročníková třídní fotografie? Potřebujete souhlas pro takovouto fotografii?
Technologie
Technologie v souladu s bezpečnostními požadavky nařízení GDPR
Jak?
Jak zvládnout GDPR?
Zajištění pověřence pro ochranu osobních údajů (DPO)
Máte otázku?
OÚ
Osobní údaje ve škole
Osobní údaje v rámci školy lze v zásadě rozdělit na dvě kategorie:
- Osobní údaje žáků (děti)
- Osobní údaje zaměstnanců (učitelé, školník, uklízečka, externisté,… )
- Osobní údaje zákonných zástupců a rodinných příslušníků
Je třeba se zvlášť zaměřit na všechny skupiny a pečlivě data analyzovat.
Osobní údaje dětí
GDPR klade veliký důraz na ochranu osobních údajů dětí, všechny osobní údaje dětí se řadí do kategorie citlivých osobních údajů. Pro zpracování osobních údajů, které nejsou zpracovávány ze zákonného důvodu, GDPR nařizuje souhlas nejen od dítěte samotného, ale i od jeho zákonného zástupce. K této povinnosti stanovuje věkovou hranici 16 let s tím, že si jednotlivé státy mohou hranici upravit v rozmezí 13 až 16 let.
Takováto opatření vyplývají z mentální vyspělosti dětí, které si často neuvědomují všechny dopady zveřejnění svých osobních údajů a proto se je GDPR snaží tímto opatřením chránit.
Musíme vždy rozeznávat za jaké osobní údaje zpracováváme a k jakým účelům jsou používány. Všeobecně platí pravidlo, že osobní údaje, které nejsou nezbytně nutné bychom měli vymazat a vůbec je od subjektů osobních údajů nepožadovat. Dále si musíme říct, jaký důvod máme k zpracování osobních údajů:
- Pro zpracování máme jako škola zákonný důvod
V případě dětí a školního prostředí ze školského zákona 561/2004 Sb., který nám ukládá vést povinnou dokumentaci (matriky, povinná hlášení, zasílání údajů pro statistické hodnocení,…).K takovému zpracování souhlas nepotřebujeme.
- Pro zpracování nemáme jako škola zákonný důvod
V tomto případě se bude jednat například o zpracování osobních informací dětí v rámci zájmových kroužku, účasti na olympiádách, zveřejňování fotografií na webu školy, vystavování výtvarných děl dětí na výstavách atd.K takovému zpracování osobních údajů souhlas potřebujeme.
Osobní údaje zaměstnanců
Osobní údaje zaměstnanců školy jsou neméně důležité a neměli bychom na jejich ochranu zapomínat.
Opět je na místě se ptát, zda všechny osobní údaje, které o svých zaměstnancích máme nezbytně potřebujeme. Dále se opět pídíme po účelu zpracování osobních údajů.
- Pro zpracování má škola jako zaměstnavatel zákonný důvod
Osobní údaje potřebujeme pro pracovní smlouvu, účetnictví, pojištění atd., povinnost zpracovávat osobní údaje nám ukládá nějaký zákon.K takovému zpracování souhlas nepotřebujeme.
- Pro zpracování nemá škola jako zaměstnavatel zákonný důvod
V tomto případě se bude jednat například o zveřejňování osobních kontaktů na webu školy, zveřejňování nahrávek a fotografií na webu, vstupní formulář zaměstnance,…K takovému zpracování souhlas potřebujeme.
Osobní údaje zákonných zástupců a rodinných příslušníků
Školy disponují s nemalým množstvím osobních údajů, které se týkají rodinných příslušníků žáků jejich školy (rodičů, sourozenců, prarodičů).
Je vhodné zvážit zda všechny osobní údaje potřebujeme a máme-li pro zpracování těchto osobních údajů zákonný důvod.
- Pro zpracování máme zákonný důvod
Toto zpracování se týká osobních údajů zákonných zástupců, které jsou nařízeny pro dokumentaci dle školského zákona 561/2004 Sb. Dále se může jednat například o zpracování osobních údajů rodičů na přihlášce ke stravování, tyto údaje jsou nutné k fakturaci.K takovému zpracování souhlas nepotřebujeme.
- Pro zpracování nemáme zákonný důvod
V tomto případě se jedná například seznam osob, které budou vyzvedávat děti ze školky nebo družiny nebo například o osobní údaje členu Sdružení rodičů a přátel školy.V takovém případě souhlas potřebujeme.
Specifika
Specifika pro školní prostředí
Zajištění Pověřence pro ochranu osobních údajů
Kde Pověřence najdete?
Pověřencem pro ochranu osobních údajů může být jak externista, tak vlastní zaměstnanec. Pokud se rozhodnete vybrat Pověřence z řad zaměstnanců, musíte dbát na to, aby zaměstnanec v rámci svého pracovního zařazení nezpracovával osobní údaje. Z toho nám ovšem vyplývá pro školní prostředí velice málo vhodných adeptů pro pozici Pověřence, neboť všichni učitelé a všichni (nebo téměř všichni) administrativní pracovníci zpracovávají osobní informace ať už dětí nebo samotných zaměstnanců. Nesmíme ani zapomínat na to, že osoba vybraná na pozici Pověřence musí být k této práci kompetentní a musí se v problematice GDPR dále vzdělávat.
Pověřence Externistu Vám můžeme poskytnout i my na přiměřeně dlouhou pracovní dobu.
Důležité je, aby Pověřenec byla jedna fyzická osoba, jejíž jméno a kontakt bude veřejný a lehko dohledatelný pro veřejnost (např. školní web, vývěska školy,…).
Revize souhlasů a smluv
Pro soulad s GDPR bude nutné také revidovat smlouvy a souhlasy se z pracovním osobních údajů, většina z nich nebude požadavkům GDPR vyhovovat, proto je třeba všechny revidovat a nahradit ve znění, které je v souladu s GDPR.
GDPR celkem přesně definuje, jak by měl souhlas se zpracování osobních údajů vypadat. Souhlas musí být srozumitelný, v jednoduchém mateřském jazyce, jednoznačný, časově omezený, musí být samostatně vyjmenovány účely, pro které je souhlas udělován a musí být oddělen od všech smluv. Udělení souhlasu nesmí být ničím podmíněno.
GDPR ukládá správci povinnost zabezpečit osobní data subjektů i v případě poskytnutí těchto údajů třetím stranám, proto je třeba externí zpracovatele (účetní firma, správci IT infrastruktury, úklidové firmy, externí lektoři,…) prověřit z hlediska zabezpečení, nastavit pravidla pro zpracování a zabezpečení v případě nevyhovujících bezpečnostních opatření a nechuti revize smlouvy od takovéto smlouvy odstoupit.
Zabezpečení osobních údajů
Cloudové služby
Mnohem lepší pro komunikaci mezi zaměstnanci školy než zasílání e-mailem je zabezpečené cloudové uložiště na kterém mohou data bezpečně ukládat a sdílet. Zaměstnanci získají také prostor pro ukládání vlastní agendy. Škola zajistí svým zaměstnancům přístup k důležitým datům odkudkoli a zamezí nezabezpečenému ukládání a předávání osobních údajů. Více se dozvíte na stránce o službě netSpace.
Dotazy
Nejčastější dotazy
V takovémto případě je třeba rozlišovat jak a za jakým účelem je fotografie pořizována. Pokud je focena skupina lidí jako ilustrační záběr z povahy věci není třeba trvat na souhlasu, jiné je to v případě, kdy je focena konkrétní osoba a ví, že fotografie bude na webu zveřejněna (např. fotíme vítěze matematické olympiády), v takovém případě bychom souhlas měli mít. Stejné je to i při fotografování celých tříd na konci roku, chceme-li je zveřejňovat. Zde nezapomínejme ani na souhlasy pedagogů, kteří bývají s žáky foceni.