GDPR - Souhlasy zaměstnanců, žáků a zákonných zástupců

Z WikiZUŠ
Skočit na navigaci Skočit na vyhledávání

​​​
Co je GDPR?
Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě. GDPR se dotýká každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů. Cílem GDPR je chránit digitální práva občanů EU. Nařízení míří i do škol, které zacházejí s osobními údaji zaměstnanců, žáků a jejich zákonných zástupců. Budou se v dohledné době potýkat s nutností upravit způsob zpracovávání osobních údajů. V případě závažného porušení pak budou hrozit vysoké pokuty (až 20 milionů EUR).
GDPR začalo jednotně platit v celé EU od 25. května 2018. V Česku tak nahradilo až do 24. dubna 2019 současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Dne 24. dubna 2019 vešel vyhlášením ve sbírce zákonů v účinnost dlouho očekávaný zákon č. 110/2019 Sb., o zpracování osobních údajů (dále pouze jako „Adaptační zákon“) upřesňující Obecné nařízení o ochraně osobních údajů (dále pouze jako „Nařízení GDPR“) Vejitím Adaptačního zákona v účinnost bylo do českého právního řá​​du zakotveno několik desítek ustanovení, jejichž cílem je upřesnit práva a povinnosti vyplývající z Nařízení GDPR, přičemž je nezbytné uvést, že jedním z důsledků jeho vejití v účinnost, je zrušení dosud účinného zákona č. 101/2000 Sb., o ochraně osobních údajů. Od té doby musí všichni, kterých se zákon týká, zrevidovat své informační systémy a postupy při nakládání s osobními údaji.
Hlavním českým regulátorem je v oblasti ochrany údajů Úřad pro ochranu osobních údajů (ÚOOÚ). Přibyly mu ale pravomoci odrážející závažnost celé reformy a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). Nastane-li jakákoli pochybnost o rozhodnutí českého regulátora, vždy zde bude existovat možnost obrátit se na EDPB s odvoláním.

Od 25. května 2018 je tedy povinností každého statutárního orgánu organizace (ředitele Základní umělecké školy) naplnit ustanovení nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, podle platného zákona v české republice, kterým je Zákon č. 110/2019 Sb. Oblastí, na kterou je nutné se zaměřit, je bezpečnost informací (osobních údajů žáků, zákonných zástupců a zaměstnanců) zpracovávaných v rámci školy, ať už prostřednictvím vlastních informačních systémů či cloudových řešení nebo v papírové podobě.
V praxi to znamená:

  • projít veškeré předpisy a směrnice, postupy a pravidla pro zacházení s dokumenty nebo vyřizování požadavků subjektů na poskytování informací,
  • pokud zpracování osobních údajů vyplývá ze smlouvy, musí tato obsahovat konkrétní ustanovení včetně kvalifikovaného souhlasu se zpracováním osobních údajů (nepodmíněný platností samotné smlouvy). Pokud škola tento souhlas dosud nezískala, musí tak učinit v následujících měsících,
  • nové smlouvy, které škola uzavírá s dodavateli nebo obchodními partnery. Pozor, když v původních smlouvách byl nějakým způsobem začleněn souhlas se zpracováním osobních údajů. Takové smlouvy bude nutné (změnou definice účelu a souhlasu se zpracováním osobních údajů) uzavřít kompletně znovu,
  • nejpozději k datu účinnosti GDPR (25. 5. 2018) je třeba smluvně ošetřit také vztahy se subjekty, jimž škola poskytuje osobní údaje. Příkladem může být například smluvní vztah se zpracovatelem platů, účetnictví, BOZP, IT apod. Ti se bez základních osobních dat neobejdou,
  • podobná situace panuje také ve vztahu k poskytovatelům cloudových služeb, najejichž serverech jsou uloženy dokumenty obsahující osobní údaje. I když v tomto případě se musíte zaměřit spíše na smluvní podmínky konkrétní služby a posoudit způsob, jakým jsou osobní údaje zabezpečeny.
  • ​jmenovat tzv. pověřence (DPO). Školy mají povinnost jmenovat nezávislého pracovníka pro ochranu osobních údajů, u něhož nedochází ke střetu zájmů (čl. 38 odst. 6 GDPR). Jeho hlavní povinností bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat. Pověřenec může být sdílený více školami a ve většině případů bude zajištěn zřizovatelem. Odkazy na užitečné dokumenty:
  1. GDPR - OTÁZKY A ODPOVĚDI
  2. Zákon č. 110/2019 Sb.
  3. Orientace v GDPR
  4. METODICKÁ POMŮCKA K APLIKACI GDPR VE ŠKOLSTVÍ
Citováno z „https://wikizus.cz/index.php?title=GDPR_-_Souhlasy_zaměstnanců,_žáků_a_zákonných_zástupců&oldid=45694