GDPR - Souhlasy zaměstnanců, žáků a zákonných zástupců

Z WikiZUŠ
Skočit na navigaci Skočit na vyhledávání

Co je GDPR?
Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě. GDPR se dotýká každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů. Cílem GDPR je chránit digitální práva občanů EU. Nařízení se týká i do škol, které zacházejí s osobními údaji zaměstnanců, žáků a jejich zákonných zástupců. Je z jejich strany nutné správné zpracovávání osobních údajů. V případě závažného porušení totiž hrozí vysoké pokuty (až 20 milionů EUR).
GDPR začalo jednotně platit v celé EU od 25. května 2018. V Česku tak nahradilo až do 24. dubna 2019 současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Dne 24. dubna 2019 vešel vyhlášením ve sbírce zákonů v účinnost dlouho očekávaný zákon č. 110/2019 Sb., o zpracování osobních údajů (dále pouze jako „Adaptační zákon“) upřesňující Obecné nařízení o ochraně osobních údajů (dále pouze jako „Nařízení GDPR“) Vejitím Adaptačního zákona v účinnost bylo do českého právního řá​​du zakotveno několik desítek ustanovení, jejichž cílem je upřesnit práva a povinnosti vyplývající z Nařízení GDPR, přičemž je nezbytné uvést, že jedním z důsledků jeho vejití v účinnost, je zrušení dosud účinného zákona č. 101/2000 Sb., o ochraně osobních údajů. Od té doby musí všichni, kterých se zákon týká, zrevidovat své informační systémy a postupy při nakládání s osobními údaji.
Hlavním českým regulátorem je v oblasti ochrany údajů Úřad pro ochranu osobních údajů (ÚOOÚ). Přibyly mu ale pravomoci odrážející závažnost celé reformy a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). Nastane-li jakákoli pochybnost o rozhodnutí českého regulátora, vždy zde bude existovat možnost obrátit se na EDPB s odvoláním.
Od 25. května 2018 je tedy povinností každého statutárního orgánu organizace (ředitele Základní umělecké školy) naplnit ustanovení nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, podle platného zákona v české republice, kterým je Zákon č. 110/2019 Sb. Oblastí, na kterou je nutné se zaměřit, je bezpečnost informací (osobních údajů žáků, zákonných zástupců a zaměstnanců) zpracovávaných v rámci školy, ať už prostřednictvím vlastních informačních systémů či cloudových řešení nebo v papírové podobě.
V praxi to znamená:

  • projít veškeré předpisy a směrnice, postupy a pravidla pro zacházení s dokumenty nebo vyřizování požadavků subjektů na poskytování informací,
  • pokud zpracování osobních údajů vyplývá ze smlouvy, musí tato obsahovat konkrétní ustanovení včetně kvalifikovaného souhlasu se zpracováním osobních údajů (nepodmíněný platností samotné smlouvy). Pokud škola tento souhlas dosud nezískala, musí tak učinit v následujících měsících,
  • nové smlouvy, které škola uzavírá s dodavateli nebo obchodními partnery. Pozor, když v původních smlouvách byl nějakým způsobem začleněn souhlas se zpracováním osobních údajů. Takové smlouvy bude nutné (změnou definice účelu a souhlasu se zpracováním osobních údajů) uzavřít kompletně znovu,
  • nejpozději k datu účinnosti GDPR (25. 5. 2018) je třeba smluvně ošetřit také vztahy se subjekty, jimž škola poskytuje osobní údaje. Příkladem může být například smluvní vztah se zpracovatelem platů, účetnictví, BOZP, IT apod. Ti se bez základních osobních dat neobejdou,
  • podobná situace panuje také ve vztahu k poskytovatelům cloudových služeb, na jejichž serverech jsou uloženy dokumenty obsahující osobní údaje. I když v tomto případě se musíte zaměřit spíše na smluvní podmínky konkrétní služby a posoudit způsob, jakým jsou osobní údaje zabezpečeny.
  • ​jmenovat tzv. pověřence (DPO). Školy mají povinnost jmenovat nezávislého pracovníka pro ochranu osobních údajů, u něhož nedochází ke střetu zájmů (čl. 38 odst. 6 GDPR). Jeho hlavní povinností bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat. Pověřenec může být sdílený více školami a ve většině případů bude zajištěn zřizovatelem.
  • Souhlasy zletilých žáků a zákonných zástupců se zpracováním osobních údajů se týkají údajů v rozsahu nutném pro plnění svých zákonných povinností vyplývajících zejména ze zákona č. 561/2004 Sb., školský zákon (školní matrika nebo např. evidence údajů potřebných pro uzavírání smluv o pronájmu hudebních nástrojů),tj. údaje sloužící k jednoznačné identifikaci fyzické osoby. Jméno a příjmení, datum a místo narození, rodné číslo, státní příslušnost), adresní údaje (údaje sloužící ke stanovení místa pobytu a ke kontaktování fyzické osoby – adresa bydliště nebo pobytu, kontaktní údaje).Některé údaje tzv. nad rámec povinného zpracování osobních údajů vyžaduje škola odsouhlasit pro možnost uveřejnění výtvarného díla žáka, účast v soutěžích, zveřejnění na webových stránkách školy, kvůli propagaci školy, ve výroční zprávě, ročence, zveřejnění v tisku, v televizním nebo rozhlasovém vysílání a na sociálních sítích školy (fotografie, jméno a příjmení, audio záznam, video záznam...). Zákonný zástupce nebo zletilý žák mohou z těchto odsouhlasit pouze některé nebo žádné.
  • V praxi bývá využíván tzv. Generální souhlas zákonných zástupců, kdy informované souhlasy „povinné“ a „nepovinné“ vedou v jednom dokumentu.
  • Stejně jako souhlasy zletilých žáků a zákonných zástupců se zpracováním osobních údajů musí škola vést evidenci souhlasů zaměstnanců se zpracováním osobních údajů.Zaměstnavatel zpracovává osobní údaje zaměstnanců především kvůli uzavření pracovněprávního vztahu. Platí to i v případě výběrového řízení, kdy zaměstnavatel zpracovává údaje potřebné k sepsání pracovní smlouvy. Zde by se měl omezit na nezbytné minimum osobních údajů, tj. identifikační údaje, kontaktní údaje, údaje o vzdělání a dosavadní praxi. V případě výběrového řízení není nutné vyžadovat rodné číslo. Naopak je vzhledem k práci ve školství vyžadován např. Výpis z rejstříku trestů.
    Dalším okruhem údajů, kdy zaměstnavatel žádné svolení ke zpracování nepotřebuje, jsou údaje pro splnění právní povinnosti (povinnosti ve vztahu k odvodům sociálního a zdravotního pojištění, záloh na daň, ...). Zde již například informaci o rodném čísle a případných exekučních srážkách ze mzdy zaměstnavatel nezbytně potřebuje (nejedná se již o uchazeče o zaměstnání, ale o vybraného zaměstnance).
    Dalším důvodem pro zpracování osobních údajů a vyžádání souhlasů budou oprávněné zájmy zaměstnavatele nebo třetí strany. Například kamerový systém k ochraně majetku zaměstnavatele, zpřístupnění osobních údajů zaměstnanců v elektronickém informačním systému, interní seznam zaměstnanců s kontaktními údaji pro sdílení na webu školy, fotografie, kontaktní údaje.

​Odkazy na užitečné dokumenty:

  1. GDPR - OTÁZKY A ODPOVĚDI
  2. Zákon č. 110/2019 Sb.
  3. Orientace v GDPR
  4. METODICKÁ POMŮCKA K APLIKACI GDPR VE ŠKOLSTVÍ