GDPR a školy

Zajistěte soukromí těch nejzranitelnějších dat

Home ― Služby ― IT Consulting ― GDPR ― GDPR a školy

O službě

GDPR ve školách

Všechny osobní údaje dětí jsou dle nařízení GDPR citlivá data a na jejich ochranu se vztahují přísnější pravidla. Je proto na místě, aby se školy na GDPR řádně připravily.

Video

Specifika GDPR na školách

Školám zákon ukládá povinnost mít pověřence pro ochranu osobních údajů. Kritické je podchytit oblasti, které nespadají pod školský zákon, tedy typicky volnočasové školní aktivity a evidence dětí, které se jich účastní. Co třeba tradiční ročníková třídní fotografie? Potřebujete souhlas pro takovouto fotografii?

rychlý přístup:

Technologie

Technologie v souladu s bezpečnostními požadavky nařízení GDPR

Jak?

Jak zvládnout GDPR?

0 0

Seznámení se s GDPR

0 0

Úvodní analýza

0 0

Zajištění pověřence pro ochranu osobních údajů (DPO)

0 0

Analýza jednotlivých zpracování OÚ

0 0

Implementace opatření u každého zpracování

0 0

Stanovení / úprava interních procesů zpracování OÚ a souvisejících dokumentů

0 0

Zavedení technických opatření

0 0

Školení zaměstnanců – směrnice, procesy a nové technologie zavedené pro zabezpečení OÚ

Máte otázku?

OÚ

Osobní údaje ve škole

Osobní údaje v rámci školy lze v zásadě rozdělit na dvě kategorie:

Osobní údaje žáků (děti)
Osobní údaje zaměstnanců (učitelé, školník, uklízečka, externisté,… )
Osobní údaje zákonných zástupců a rodinných příslušníků

Je třeba se zvlášť zaměřit na všechny skupiny a pečlivě data analyzovat.

Osobní údaje dětí

GDPR klade veliký důraz na ochranu osobních údajů dětí, všechny osobní údaje dětí se řadí do kategorie citlivých osobních údajů. Pro zpracování osobních údajů, které nejsou zpracovávány ze zákonného důvodu, GDPR nařizuje souhlas nejen od dítěte samotného, ale i od jeho zákonného zástupce. K této povinnosti stanovuje věkovou hranici 16 let s tím, že si jednotlivé státy mohou hranici upravit v rozmezí 13 až 16 let.

Takováto opatření vyplývají z mentální vyspělosti dětí, které si často neuvědomují všechny dopady zveřejnění svých osobních údajů a proto se je GDPR snaží tímto opatřením chránit.
Musíme vždy rozeznávat za jaké osobní údaje zpracováváme a k jakým účelům jsou používány. Všeobecně platí pravidlo, že osobní údaje, které nejsou nezbytně nutné bychom měli vymazat a vůbec je od subjektů osobních údajů nepožadovat. Dále si musíme říct, jaký důvod máme k zpracování osobních údajů:

Pro zpracování máme jako škola zákonný důvod
V případě dětí a školního prostředí ze školského zákona 561/2004 Sb., který nám ukládá vést povinnou dokumentaci (matriky, povinná hlášení, zasílání údajů pro statistické hodnocení,…).
K takovému zpracování souhlas nepotřebujeme.
Pro zpracování nemáme jako škola zákonný důvod
V tomto případě se bude jednat například o zpracování osobních informací dětí v rámci zájmových kroužku, účasti na olympiádách, zveřejňování fotografií na webu školy, vystavování výtvarných děl dětí na výstavách atd.
K takovému zpracování osobních údajů souhlas potřebujeme.

Osobní údaje zaměstnanců

Osobní údaje zaměstnanců školy jsou neméně důležité a neměli bychom na jejich ochranu zapomínat.
Opět je na místě se ptát, zda všechny osobní údaje, které o svých zaměstnancích máme nezbytně potřebujeme. Dále se opět pídíme po účelu zpracování osobních údajů.

Pro zpracování má škola jako zaměstnavatel zákonný důvod
Osobní údaje potřebujeme pro pracovní smlouvu, účetnictví, pojištění atd., povinnost zpracovávat osobní údaje nám ukládá nějaký zákon.
K takovému zpracování souhlas nepotřebujeme.
Pro zpracování nemá škola jako zaměstnavatel zákonný důvod
V tomto případě se bude jednat například o zveřejňování osobních kontaktů na webu školy, zveřejňování nahrávek a fotografií na webu, vstupní formulář zaměstnance,…
K takovému zpracování souhlas potřebujeme.

Osobní údaje zákonných zástupců a rodinných příslušníků

Školy disponují s nemalým množstvím osobních údajů, které se týkají rodinných příslušníků žáků jejich školy (rodičů, sourozenců, prarodičů).
Je vhodné zvážit zda všechny osobní údaje potřebujeme a máme-li pro zpracování těchto osobních údajů zákonný důvod.

Pro zpracování máme zákonný důvod
Toto zpracování se týká osobních údajů zákonných zástupců, které jsou nařízeny pro dokumentaci dle školského zákona 561/2004 Sb. Dále se může jednat například o zpracování osobních údajů rodičů na přihlášce ke stravování, tyto údaje jsou nutné k fakturaci.
K takovému zpracování souhlas nepotřebujeme.
Pro zpracování nemáme zákonný důvod
V tomto případě se jedná například seznam osob, které budou vyzvedávat děti ze školky nebo družiny nebo například o osobní údaje členu Sdružení rodičů a přátel školy.
V takovém případě souhlas potřebujeme.

Specifika

Specifika pro školní prostředí

Školní prostředí má v souvislosti s řešením GDPR některá svá specifika.

Zajištění Pověřence pro ochranu osobních údajů

Školy mají povinnost bez výjimky zajistit Pověřence pro ochranu osobních údajů (DPO). Pověřenec musí být nezávislým garantem správného nakládání s OÚ a prostředníkem pro komunikaci s Úřadem pro ochranu osobních údajů či veřejností (případným stěžovatelem).

Kde Pověřence najdete?

Pověřencem pro ochranu osobních údajů může být jak externista, tak vlastní zaměstnanec. Pokud se rozhodnete vybrat Pověřence z řad zaměstnanců, musíte dbát na to, aby zaměstnanec v rámci svého pracovního zařazení nezpracovával osobní údaje. Z toho nám ovšem vyplývá pro školní prostředí velice málo vhodných adeptů pro pozici Pověřence, neboť všichni učitelé a všichni (nebo téměř všichni) administrativní pracovníci zpracovávají osobní informace ať už dětí nebo samotných zaměstnanců. Nesmíme ani zapomínat na to, že osoba vybraná na pozici Pověřence musí být k této práci kompetentní a musí se v problematice GDPR dále vzdělávat.

Pověřence Externistu Vám můžeme poskytnout i my na přiměřeně dlouhou pracovní dobu.

Důležité je, aby Pověřenec byla jedna fyzická osoba, jejíž jméno a kontakt bude veřejný a lehko dohledatelný pro veřejnost (např. školní web, vývěska školy,…).

Revize souhlasů a smluv

Pro soulad s GDPR bude nutné také revidovat smlouvy a souhlasy se z pracovním osobních údajů, většina z nich nebude požadavkům GDPR vyhovovat, proto je třeba všechny revidovat a nahradit ve znění, které je v souladu s GDPR.

GDPR celkem přesně definuje, jak by měl souhlas se zpracování osobních údajů vypadat. Souhlas musí být srozumitelný, v jednoduchém mateřském jazyce, jednoznačný, časově omezený, musí být samostatně vyjmenovány účely, pro které je souhlas udělován a musí být oddělen od všech smluv. Udělení souhlasu nesmí být ničím podmíněno.

GDPR ukládá správci povinnost zabezpečit osobní data subjektů i v případě poskytnutí těchto údajů třetím stranám, proto je třeba externí zpracovatele (účetní firma, správci IT infrastruktury, úklidové firmy, externí lektoři,…) prověřit z hlediska zabezpečení, nastavit pravidla pro zpracování a zabezpečení v případě nevyhovujících bezpečnostních opatření a nechuti revize smlouvy od takovéto smlouvy odstoupit.

Zabezpečení osobních údajů

Často si pod pojmem ochrana osobních údajů představujeme elektronicky uložená data v počítači, nesmíme ale zapomínat na data, která jsou na fyzických médiích, tzn. na listinné dokumenty, které jsou rámci školy ještě často využívány a na které se GDPR taktéž vztahuje (třídní knihy, žákovské knížky, omluvenky na lístečku, vysvědčení, přihlášky,…). Je třeba zabezpečit fyzickou dokumentaci tak, aby nedošlo k úniku osobních informací. Dokumentace obsahující osobní údaje se často skladuje v neuzamčených skříních na chodbách, skladech, atd. Školy často používají systémy pro správu školní agendy (SAS, Bakaláři, Edookit,…), zde je třeba, aby správce pečlivě nastavil přístupy a možnosti editace pro jednotlivé uživatele. Problémem nadále zůstává e-mailová komunikace. Je zaběhnutou praxí, že se dokumenty s osobními údaji posílají e-mailem, mnohdy zaměstnanci využívají své soukromé e-mailové schránky a vystavují se tak riziku úniku dat.

Cloudové služby

Mnohem lepší pro komunikaci mezi zaměstnanci školy než zasílání e-mailem je zabezpečené cloudové uložiště na kterém mohou data bezpečně ukládat a sdílet. Zaměstnanci získají také prostor pro ukládání vlastní agendy. Škola zajistí svým zaměstnancům přístup k důležitým datům odkudkoli a zamezí nezabezpečenému ukládání a předávání osobních údajů. Více se dozvíte na stránce o službě netSpace.

Dotazy

Nejčastější dotazy

Ve školce a družině je běžnou praxí vyplnění osobních údajů osob, které budou děti vyzvedávat. Potřebujeme ke zpracování těchto OÚ souhlas?

Ano, zákonný zástupce uvede i jiné osoby pro vyzvedávání dítěte, jako je třeba babička, soused, či další osoby, je třeba si od těchto osob vyžádat souhlas se zpracováním jejich OÚ. Je také třeba zrevidovat, zda jsou všechny informace na takovémto formuláři potřebné, například zaměstnání rodiče na takovémto formuláři je nadbytečným osobním údajem a doporučujeme ho z formuláře vyřadit.

Fotky ze školních akcí vyvěšujeme na webu, je takovéto zveřejnění z hlediska GDPR v pořádku?

V takovémto případě je třeba rozlišovat jak a za jakým účelem je fotografie pořizována. Pokud je focena skupina lidí jako ilustrační záběr z povahy věci není třeba trvat na souhlasu, jiné je to v případě, kdy je focena konkrétní osoba a ví, že fotografie bude na webu zveřejněna (např. fotíme vítěze matematické olympiády), v takovém případě bychom souhlas měli mít. Stejné je to i při fotografování celých tříd na konci roku, chceme-li je zveřejňovat. Zde nezapomínejme ani na souhlasy pedagogů, kteří bývají s žáky foceni.

Jak je to s dalšími fotografiemi pořízenými ve škole například při školním úraze nebo záznam šikany ve škole?

V obou případech souhlas samozřejmě nepotřebujeme, jejich zpracování probíhá za účelem výkonu nebo ochrany práv osob. V případě šikany jde o protiprávní jednání, které musí škola hlásit. V případě úrazu se jedná o evidenci úrazu k němuž došlo při činnostech souvisejících se vzděláním plynoucí ze školského zákona.

Na webu zveřejňujeme kontakty na třídní učitele, potřebujeme k tomuto zpracování souhlasy?

Jedná se o zveřejnění osobních informací, které jsou nutné pro komunikaci rodičů se školou, v tomto případě je zveřejnění školních e-mailů a telefonních čísel v pořádku, problémem je, pokud jde o e-maily a telefonní čísla soukromá, tam by souhlasy pedagogů byly na místě.

Máme nasazený monitoring školní sítě a webový filtr, je třeba mít souhlas od dětí a rodičů?

Toto opatření je nasazeno za účelem ochrany školní sítě a žáků, proto souhlas není nutný. Je ovšem nutné děti i rodiče o těchto opatřeních dostatečně informovat na třídních schůzkách, webu, nástěnkách, atd.

Objevujte

Více o nás

Novinky

Naše nejčerstvější úspěchy a aktivity

Časopis Login

Náš časopis o nás a zkušenostech v IT

Milujete tipy?

Přinášíme pravidelné užitečné videotipy ze světa IT

Cookie	Délka	Popis
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
NSC_ESNS	past	This cookie is set by the provider Netscaler load balancing service from Citrix. This cookie is used for ensuring traffic and user data is routed to the correct location where a site is hosted on multiple servers, inorder to get a consistent experience for the end user.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Délka	Popis
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
ss	session	This cookie is set by the provider Eventbrite. This cookie is used for the functionality of website chat-box function.
TawkConnectionTime	session	Tawk.to, a live chat functionality, sets this cookie. For improved service, this cookie helps remember users so that previous chats can be linked together.

Cookie	Délka	Popis
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-26032567-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
leady_session_id	session	No description available.

Cookie	Délka	Popis
c	16 years 25 days 13 hours 24 minutes	This cookie is set by Rubicon Project to control synchronization of user identification and exchange of user data between various ad services.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

GDPR a školy

O službě

GDPR ve školách

Video

Specifika GDPR na školách

rychlý přístup:

Techno­logie

Technologie v souladu s bezpečnostními požadavky nařízení GDPR

netGuard

netBackup

netSpace

Microsoft

Kernun

NetSupport DNA

NetSupport School

Flowmon