Co je GDPR

Obecné nařízení o ochraně osobních údajů (dále též GDPR) je EU legislativa, která vstoupí v účinnost dne 25. 5. 2018. Cílem této právní normy je maximálně chránit práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. Obecné nařízení je platné pro všechny státy Evropské unie (včetně Islandu, Norska a Lichtenštejnska). V českém právním prostředí Obecné nařízení nahradí od 25. května 2018 zákon č. 101/2000 Sb., o ochraně osobních údajů.

GDPR v mnohém navazuje na stávající českou legislativu, v mnoha aspektech ji však rozšiřuje. Obecné nařízení definuje povinnosti správců a zpracovatelů osobních údajů a deklaruje práva subjektů údajů. Zcela novým institutem je pak zřízení funkce Pověřence pro ochranu osobních údajů, které bude povinné pro všechny veřejné subjekty a pro vybrané správce a zpracovatele. Další novou povinností správce je hlásit všechny bezpečnostní incidenty s osobními daty dozorovému orgánu do 72 hodin. V neposlední řadě zavádí nová legislativa přísné sankce za porušení pravidel GDPR a to až ve výši 20 mi. EUR.

GDPR ve školství

Problematika ochrany osobních údajů ve školách je oblast legislativně a metodicky nedotčená. Na školy, jako veřejné instituce a zaměstnavatele, se stejně jako na komerční firmy vztahuje Obecné nařízení o ochraně osobních údajů (GDPR). Specifikum škol z pohledu ochrany osobních údajů spočívá zejména v: 

• Spravování osobních údajů o dětech (v určitých situacích bude potřeba nabýt práva ke zpracování od zákonných zástupců)
• Spravování zvláštních kategorií osobních údajů tzv. citlivé údaje (data o zdravotním stavu dětí, např. psychologické posudky pro IVP)
• Kombinaci osobních údajů více subjektů (děti, zákonní zástupci, další zmocněnci žáka, pedagogičtí pracovníci, pracovníci družin, klubů a jídelen atd.)
• Kombinaci různých právních titulů zpracování (plnění právní povinnosti, úkol ve veřejném zájmu, plnění smlouvy, oprávněný zájem….)
• Povinnosti poskytovat osobní údaje či výstupy z nich dalším veřejným orgánům (ČŠI, MŠMT, zřizovatel)

Školám, jako veřejným institucím ukládá Obecné nařízení zavést pozici Pověřence pro ochranu osobních údajů a kompletně upravit vnitřní procesy tak, aby ochrana osobních údajů plně vyhovovala GDPR.

V rámci vzdělávacích a výchovných činností školy shromažďují obrovské množství osobních dat. Aby se škola vyhnula porušení legislativy ochrany osobních údajů (GDPR) a tím i obrovským pokutám, je třeba identifikovat, jaká data školy zpracovávají a jaký je právní důvod pro jejich shromažďování, stejně jako nastavit procesy pro bezpečnou práci s daty a jejich uchovávání.