Aleš Řiháček: Evropské nařízení GDPR je zbytečně démonizované. Školy by jej ale rozhodně neměly podcenit.

středa 9. května 2018 · 0 komentářů

Dnem 25. května 2018 nabývá v celé Evropské unii účinnosti Obecné nařízení na ochranu osobních údajů (GDPR). V České republice GDPR nahradí v budoucnu současný zákon 101/2000 Sb. o ochraně osobních údajů a bude ještě doplněno připravovaným adaptačním zákonem o zpracování osobních údajů. Do schválení adaptačního zákona bude zákon 101/2000 Sb. platit, jen je nutné si uvědomit, že v oblastech upravovaných Nařízením GDPR, bude mít evropská legislativa přednost.

GDPR upravuje práva fyzických osob v oblasti ochrany osobních údajů a týká se všech organizací a institucí – školy nevyjímaje. „Nejedná se ale o žádnou revoluci a GDPR je naprosto zbytečně démonizovaným strašákem. Nařízení EU nijak zásadně nemění principy a pojmy v oblasti zpracování osobních údajů a jejich ochrany. Nicméně přináší několik nových povinností, požadavek na pořádek a zabezpečení, rozšiřuje práva osoba hovoří o sankcích za zásadní porušení Nařízení GDPR“, říká František Sobotka, konzultant a lektor bakalářských seminářů ke zvládnutí GDPR.


Co je osobní údaj?

Aby bylo možno osobní údaje chránit, je potřeba vědět, co tento pojem vlastně označuje. I když je definice jednoduchá, často se výklady různí. Osobním údajem může být jakýkoli údaj o někom, koho jsme schopni identifikovat a také vše, podle čeho lze identifikovat konkrétní osobu. Co to ale znamená? Samotný jeden údaj, např. jméno, osobním údajem není, protože jméno ještě identitu většinou neurčuje. Jakmile ale ke jménu přidáme další údaj (nejčastěji datum narození, rodné číslo, adresu, fotku, telefonní číslo, či emailovou adresu – a pozor, nejenom soukromou, ale i „firemní“!) už se jedná o osobní údaje.


Víte, jaké osobní údaje vaše škola spravuje?

Možná se tato otázka zdá naivní. Ale jak potvrzuje František Sobotka ze své zkušenosti, velmi často je vedení škol překvapeno, jaký je rozsah osobních údajů, které spravuje. Vzhledem k tomu, že škola je především o lidech, je osobními údaji doslova „prolezlá“. „Poměrně jasnou záležitostí jsou osobní údaje žáků či studentů a také osobní údaje učitelského sboru a zaměstnanců školy. Ale pak jsou tady například seznamy externích dodavatelů, kde je většinou uvedena nějaká kontaktní osoba, sponzoři školy, kontakty na rodiče a zákonné zástupce žáků, případně osobní údaje neúspěšných uchazečů či osobní údaje žáků a učitelů z partnerských škol domácích i zahraničních. To všechno jsou osobní údaje, které potřebujeme umět aktualizovat, řízeně mazat, vědět, kde je máme, a které je nutno zabezpečit“, říká František Sobotka. A podle něj si teprve pozvolna uvědomujeme, že nejrůznější osobní údaje mohou obsahovat například i studentské práce, takže pravidla GDPR je potřeba v přiměřené a rozumné míře uplatnit i zde.

Velmi často jsou pak osobní data evidována hned několikrát. Takže například kromě „centrálního“ seznamu žáků ve školském systému má vlastní databázi například školní knihovna, školní družina, školní zájmové nebo sportovní kroužky, školní jídelna. Pokud škola předává osobní údaje externím subjektů, například jídelně, která nepatří škole, potřebuje si ošetřit toto předání informací s rodiči či studenty.

Kolem GDPR donedávna panovala značná hysterie, kterou se v poslední době snaží různé úřady tlumit. Hlavním mediálním tématem byly donedávna postihy za porušování pravidel. To je samozřejmě spíše negativní motivace, i když účinná. V GDPR ale lze vidět i pozitiva. Školy (nejen) díky v podstatě vynuceným analýzám a opatřením získají lepší kontrolu nad daty, omezí jejich živelné šíření a mohou přispět k ochraně dětí i ostatních osob, kterým by mohla uniklá data zasáhnout negativně do života. „Když budu vědět, jaké mám osobní údaje, z jakého důvodu je eviduji, kde jsou uloženy, kdo k nim má přístup a kdo s nimi pracuje, je mnohem jednodušší je chránit proti zneužití. Bez takového přehledu bude škola jen těžko transparentně informovat o zpracovávaných datech,“ dodává František Sobotka.


Zpracování osobních údajů je zcela legitimní – musí mít ale důvod a být transparentní

Kvůli hrozbě sankcí za porušení pravidel GDPR není třeba se bát osobní údaje shromažďovat nebo se jich zbavovat. Evidenci podstatné části osobních údajů ukládá zákon či vyhláška. Tam o legitimitě nemůže být pochyb. Některé osobní údaje musí mít škola kvůli plnění smluvních vztahů (s dodavateli, partnery atd.). Nezpochybnitelným důvodem je ochrana bezpečnosti, zdraví či života osob (školní jídelna potřebuje vědět, zda je nějaký žák alergický na nějaké potraviny, či má speciální dietu, školní družina pustí domů žáka jen s evidovanou osobou, třídní učitel potřebuje kontakt na rodiče, aby jim mohl v případě potřeby zavolat,…). Osobní údaje může škola shromažďovat i pro účely veřejného zájmu nebo vlastního oprávněného zájmu (ať už jsou to kamery k ochraně majetku či bezpečnosti osob, případně uchovávání dat pro případ ochrany školy proti žalobám apod.) – zde ovšem platí, že tento zájem musí být přiměřený a nesmí převážit zájem osoby.

Toto všechno jsou důvody, které jsou pro shromažďování osobních údajů naprosto legitimní a při dodržování pravidel zamezení jejich zneužití se nemusí škola obávat takové údaje spravovat. „Na všechno ostatní, co je mimo tyto vyjmenované účely, je potřeba mít ke zpracování osobních údajů souhlas dané osoby (případně zákonných zástupců),“ vysvětluje František Sobotka. Škola by pak měla na dostupném místě a jasně informovat o tom, jaké osobní údaje a za jakým účelem eviduje a také dát možnost požádat o jejich výmaz. Výmaz na vyžádání se ale ve školách týká jen velmi malého množství osobních údajů.

Podle Františka Sobotky je také důležité určit lhůty, jak dlouho které osobní údaje škola potřebuje evidovat, kdy a kdo nepotřebné údaje smaže.Někde to ukládá zákon nebo vyhláška, další pravidla stanoví spisový a skartační řád. Osobní údaje, které už škola nepotřebuje (například osobní údaje neúspěšných uchazečů o zaměstnání, pokud k jejich udržování nemáme, souhlas nebo oprávněný zájem chránit se před žalobou na diskriminaci), jsou z pohledu ochrany osobních údajů jen zbytečnou zátěží. Obecně platí: „čím méně dat, tím méně starostí.“


Ulehčete si práci nejen s ochranou osobních údajů

Pokud má vaše škola nejrůznější databáze osobních údajů na více místech, ať už elektronicky nebo v papírové podobě, může být dodržování principů GDPR tak trochu noční můrou. Znamená to správu a zabezpečení všech těchto evidencí samostatně, opakovanou aktualizaci stejných dat, důkladné zabezpečení každého počítače atd. A nastavení odpovědností každého zaměstnance.

Nebo si můžete práci výrazně ulehčit použitím vhodného informačního systému nebo softwaru. Samotný SW vám sice GDPR nevyřeší, ale může velmi pomoci s realizací směrnic a ušetřit práci lidem ve škole, jejichž hlavním posláním není určitě ochrana osobních údajů, ale vzdělávání našich dětí.

Jedním z takových SW je například aplikace Bakaláři pro řešení každodenní administrativy škol. Aplikace obsahuje nejrůznější ve školách používané agendy a díky modulovému systému je možné používat jen ty vybrané. Aplikace je optimalizovaná na požadavky GDPR a také díky modulu GDPR pomáhá spravovat i agendy obsahující osobní údaje.

„Podobné moduly jsou nejlepší praxí i v personálních či bankovních systémech a upřímně, bez podobného modulu si těžko lze práci s osobními údaji vůbec představit. Osobně pro mě bylo velmi motivující sledovat, s jakou oddaností se tým Bakaláři SW snaží bez jasného zadání, takřka z ničeho, s výjimkou přání a komentářů škol, vybudovat modul, který pomůže školám novou GDPR zátěž zvládnout,“ říká František Sobotka, nezávislý konzultant a lektor GDPR.

Více o aplikaci a řešení GDPR ve školách se můžete dozvědět zde: http://bakalari.cz