Nová pravidla pro nakládání s osobními údaji známá pod zkratkou GDPR začnou platit už za dva měsíce. Ministerstvo školství ve své metodice školy uklidňuje, že nová úprava neznamená zásadní předěl a že pokud škola dodržovala zákon o ochraně osobních údajů doteď, přibude jí jen pár nových povinností. O tom, že tak snadné to zase nebude, svědčí i celá řada seminářů a školení, které nejrůznější ziskové i neziskové organizace plánují ještě těsně před tím, než novela začne platit.
Na konci května začne platit Nařízení evropského parlamentu o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů známé pod zkratkou GDPR, které bude mít dopad na téměř všechny oblasti běžného života. Samostatnou kapitolou je jeho dopad na školy a školská zařízení. Ze strany zástupců samotných škol dlouhodobě zaznívá kritika, že Ministerstvo školství mládeže a tělovýchovy (MŠMT) přistupuje k takto zásadnímu tématu liknavě. GDPR na školách intenzivně řeší například i Svaz měst a obcí, který na toto téma pořádal seminář přímo na půdě MŠMT.
Ministerstvo na konci listopadu 2017 vydalo metodiku k GDPR na školách, kterou rozeslalo jednotlivým institucím. Dokument by měl usnadnit orientaci ředitelům škol v této problematice. Co je tedy potřeba udělat? Zkontrolovat údaje, které škola zpracovává, zkontrolovat smlouvy, nastavit vnitřní mechanismy ke zpracování, jmenovat pověřence pro ochranu osobních dat. Takhle to shrnuje metodika MŠMT, která má školy provést potřebnými úpravami. Na ně teď školám zbývá zhruba 70 dní. Pak jim hrozí pokuty v nejhorším případě až 20 milionů eur.
V návaznosti na tuto obsáhlejší metodickou pomůcku ministerstvo vydalo ještě Stručný návod na zabezpečení procesů sovisejících s GDPR. Ministr Plaga v jejím úvodu doufá, že to je krok ke snazší orientaci škol v problematice. Příručka má 14 stránek a shrnuje základní opatření a konkrétní kroky, které by školy měly nebo musí udělat. Obsahuje i konkrétní návrhy a formulace včetně vzorové směrnice školy v oblasti nakládání s osobními údaji.
I přes snahu ministerstva pomoct mají ale školy co dělat. „Poměrně zodpovědně se už rok připravujeme, získáváme informace atd. Nemůžeme si totiž jako příjemci dotací MPSV a MŠMT dovolit jakékoliv pochybení. Jsme neziskovka, takže se snažíme vyhýbat řešením, do kterých je třeba investovat – dárcům se totiž těžko vysvětluje, že jejich dar utratíme za GDPR. Jsme na květen připraveni, včetně zpracovaného vnitřního auditu, vnitřních směrnic atd. Nicméně stojí nás to už přes rok čas jednoho zaměstnance, odhadem na 1/5 jeho plného úvazku,“ dělí se o zkušenosti z praxe Ludmila Budilová, které má na starosti marketing i fundraising v Centru Kaňka v Táboře.
Největší problém se kterým se školy potýkají je podle Pavla Škarbana, který vede GDPR tým pro školství společnosti Škola online, právě neexistence konkrétních metodik, jak postupovat při výkonu běžných činností škol.
“O existenci GDPR se školy většinou dozvěděly koncem roku 2017, přičemž jeho účinnost je již od 25.5. Provedení kompletního auditu je časově náročné a školy, pokud ho budou provádět samostatně, na něj nemají kapacity. Pokud se rozhodnou řešit audit prostřednictvím externí pomoci, nemají prostředky na nákup expertních činností pro zpracování GDPR auditu a zřízení funkce pověřence,“ shrnuje Škarbana stav ve školách podle jeho zkušeností.
Konferenci, která má školám pomoct se s GDPR vypořádat pořádá v březnu třeba Ministerstvo vnitra ve spolupráci s Asociací bezpečná škola. A například jiný seminář, který pro vzdělávací akciovou společnost vede šéfová ústavně-právního oddělení Ministerstva spravedlnosti ČR Tereza Krupová stojí pro jednoho účastníka 2 299 Kč.
Pečlivě je potřeba zvažovat nezbytnost zpracování konkrétních pracovních údajů a pokud možno sbírat anonymizovaná data (např. počet vegetariánských obědů místo jmen žáků).
Jasné je, že nová úprava je mnohem podrobnější, než byla ta dosavadní. Vedle povinnosti jmenovat pověřence pro ochranu osobních údajů, správce musí vést záznamy o činnosti zpracování a je povinen hlásit porušení případů porušení pravidel zabezpečení Úřadu pro ochranu osobních údajů.
Novinkou je, že souhlas se zpracováním údajů na internetu může vyjádřit i samo dítě – v návrhu české právní úpravy se předběžně počítá s věkovou hranicí 13 let, což je méně, než doporučuje Nařízení, tedy 16 let. Toho, že hranice není striktně stanovena, ale jen doporučena, využili autoři českého zákona a zdůvodnili to následovně: „Článek 8 umožňuje snížit věkovou hranici pro platné on-line souhlasy na 13 let, byť sám stanoví subsidiární věkovou hranici na 16 let, což je kompromisem mezi návrhem Komise (13 let) a požadavky některých států (18 let z důvodu zletilosti).“Podrobně jsme o tom psali v textu Vnitro a ÚOOÚ chtějí snížit hranici pro souhlas se sběrem dat nezletilých na 13 let. Návrh se však setkal s kritikou připomínkových míst, o čemž jsme psali v textu Připomínková místa nesouhlasí se snížením věku pro souhlas se sběrem dat na internetu
Bez souhlasu se neobejde už ani vystavování výtvarných děl ve školní galerii.
Ministerstvo školství doporučuje především individuální přístup vzhledem k vyspělosti a chápání dětí.
Novinkou je také právo na to “být zapomenut” zpracovatelem osobních údajů. „Právo byt zapomenut znamená, že majitel osobních údajů (subjekt údajů) muže požádat osobu (firmu, instituci), která její osobní údaje má nebo s nimi pracuje (takzvaného správce) aby osobní údaje žadatele smazala. „Zažádat společnost/instituci, aby Vaše osobní údaje vymazala můžete kupříkladu tehdy když firma/instituce Vaše osobní údaje už nepotřebuje pro účel, pro který je shromažďovala,” říká odborník na GDPR Petr Maličovský ze společnosti URS-Holdings.
Podle něj může občan také zažádat společnost/instituci ať jeho údaje vymaže, pokud je zpracovávala na základě souhlasu a on se rozhodnete svůj souhlas odvolat. „Společnost/instituce, která na základě takové žádosti osobní údaje smaže má zároveň povinnost informovat všechny ostatní instituce, které tyto osobní údaje zpracovávají, aby vymazaly veškeré odkazy na tyto osobní údaje nebo aby smazaly veškeré kopie těchto údajů,” dodává Maličovský. Podle ně výkon práva být zapomenut najde uplatnění především v internetovém prostředí a dává obyčejnému občanovi nástroj, kterým muže docílit, že bude „zapomenut“ a jeho osobní údaje zmizí z internetu.“
Jako první metodika MŠMT doporučuje ředitelům škol mít zákon o GDPR po ruce a pracovat s ním. Pečlivě je také podle ní potřeba zvažovat nezbytnost zpracování konkrétních pracovních údajů a pokud možno sbírat anonymizovaná data (např. počet vegetariánských obědů místo jmen žáků).
Diskuze se třeba často točí kolem fotografií, které školy pořizují. Klíčový je přitom podle zákona účel fotografie – třeba fotky do školního zpravodaje ze společenské akce je v rámci zpravodajské licence v pořádku. Pokud by ale stejný snímek škola pořídila za účelem propagace nebo zvýšení zájmu studentů, protože v takovém případě se nedá zpravodajská licence použít. Podrobně jsme o tom psali v textu I na fotky dětí na školním webu bude kvůli GDPR potřeba povolení rodičů
„Informace a poučení o nezbytnosti a potřebě zpracovávat na základě zákona osobní údaje o žácích, studentech apod. je žádoucí žákům, studentům či jejich zákonným zástupcům poskytovat minimálně jednou až dvakrát ročně při pravidelných setkáních učitelů s rodiči nebo elektronicky. Doporučuje se vše vysvětlit, resp. vysvětlovat v kontextu ochrany osobních údajů, uvést zákonné důvody, nebo jiné důvody, pro které se žádá souhlas rodičů a dalších zákonných zástupců se zpracováním,“ zdůrazňuje ministerstvo. Souhlas by měl být informovaný a písemný, aby mohl správce úřadům kdykoliv během doby, co údaje uchovává, souhlas předložit.
Souhlas ale nebude třeba potřeba například ke zpracování školních matrik, evidenci úrazů dětí z výuky nebo údajů o zdravotní způsobilosti dětí, které odjíždějí na školu v přírodě. Naopak pouze na základě souhlasu může škola uchovávat informace o osobách, které dítě smí vyzvedávat ze školy. Bez souhlasu se neobejde už ani vystavování výtvarných děl ve školní galerii.
Vanda Kofroňová