GDPR ve školství, aneb co školy čeká a nemine

Slides:



Advertisements
Podobné prezentace
Nakládání s písemnými dokumenty a datovými zprávami a skartační řízení
Advertisements

Oběh dokumentů mezi ústředními orgány státní správy k Ing. Jan Duben Vedoucí projektového týmu březen 2003.
Reklamní právo v prax Oi Mgr. Libor Štajer, advokát CALL CENTRA NA PRAHU ROKU 2014 Petr Kůta
Personální informační systém
Ochrana osobních údajů při poskytování informací
Ochrana osobních údajů v České republice
Analýza dopadu zákona č. 300/2008 Sb. do území JUDr. Kateřina Černá Ing. Václav Koudele.
Registr dlužníků státu
Struktura personální směrnice
Otázky a odpovědi k zákonu č. 300/2008 Sb. Zpracoval: Mgr. René Pleva Datum:
Sněmovní tisk 1046 Legislativní komise RVŠ. Sněmovní tisk 1046 Sněmovní tisk 746/3 Obsah: –řešení ubytovacích stipendií pro studenty soukromých vysokých.
Bezpečnost informačních systémů - nástroje pro podporu řešení bezpečnosti Nemochovský František ISSS Hradec Králové, března 2004.
Právo na informace Tereza Danielisová,
NOVELY PRÁVNÍCH NOREM a jiné … PORADA ORP
Systém kontrolní činnosti SEI
1 PORADA ŘEDITELŮ DĚTSKÝCH DOMOVŮ ZŘIZOVANÝCH MORAVSKOSLEZSKÝM KRAJEM A CÍRKEVNÍMI SUBJEKTY ODDĚLENÍ SPRÁVY ŠKOL 4. června 2009.
Novela zákona č. 106/1999 Sb., o svobodném přístupu k informacím Mgr. David Kotris ISSS 2005 Hradec Králové
Poskytování informací podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím Krajský úřad Zlínského kraje Odbor právní a Krajský živnostenský.
Informační bezpečnost jako rámec ochrany osobních údajů v orgánech veřejné správy Hradec Králové
Oblasti úpravy pracovního práva 1. Volný pohyb osob (pracovníků) 2. Rovné zacházení a boj s diskriminací 3. Pracovní podmínky 4. Ochrana zaměstnanců 5.
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
Zpracoval: Ing. Tomáš Vašica, Elektronické schvalování v praxi Moravskoslezského kraje Zpracoval: Ing. Tomáš Vašica Datum:
Zjednodušení orientace na portálech veřejné správy Jaroslav Svoboda - Ministerstvo vnitra ČR Iva Zelenková - Ministerstvo informatiky ČR Konference ISSS,
Evidence obyvatel podle z.č. 133/2000 Sb., v plat. znění.
BUDOVÁNÍ SYSTÉMŮ MANAGEMENTU
Soňa Pelikánová UČO: DATUM:
Personální plán pro podnikatelský plán
Evidence obyvatel Zderaz – Metodické školení.
Konference Městské kamerové dohlížecí systémy a ochrana osobních údajů, Praha 18. února 2011 PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů.
Nakládání s daty v prostředí internetu Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.
Připravované změny ve VaVaI. Obsah prezentace Posuzování výzkumných organizací Novela zákona č. 130/2002 Sb.
Trendy v řešení bezpečnosti informací (aspekty personalistiky) F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ a.s. Tomáš Kubínek
Kamerové systémy metodika Plzeňský kraj 7. března 2013 ÚOOÚ.
Biomedicíncký výzkum s podporou evropských zdrojů v nemocnicích 2012 Perspektivy elektronizace ve zdravotnictví v ČR 12. dubna 2012.
PREZENTUJÍCÍ Registry ve veřejné správě Mgr. David Marek
Bakalářská práce Vedoucí práce: Autor práce:
General Data Protection Regulation GDPR
Cloud computing v praxi
Interní předpisy hotelu
Aplikace zákonů č. 101/2000 Sb. č. 227/2000 Sb.
Přijímací řízení v roce uchazeč může pro 1
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
Personální a mzdová agenda ve vybraném podniku
Obecné nařízení o ochraně osobních údajů (GDPR)
GDPR General Data Protection Regulation
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27
Integrovaná střední škola, Hodonín, Lipová alej 21, Hodonín
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Seminář ,,Právo a podnikání v digitálním věku” - Ostrava,
Seminář ,,Právo a podnikání v digitálním věku” - Ostrava,
Téma VÝVOJ NÁZORŮ NA PODSTATU MZDY
Obce a implementace GDPR
Problematické aspekty patient summary optikou právníka
GDPR ve školství Pavel Škarban Tábor,
GDPR a obec Praha Mgr. Jan Vobořil, Ph.D. 1.
SPISOVÁ SLUŽBA A GDPR Mgr. Pavel Šrámek, Ph.D.
Marketing technických a řemeslných oborů
Finanční kontrola v příspěvkových organizacích kraje
GDPR a Smlouva o zpracování osobních údajů
GDPR Spolek veřejně prospěšných služeb
Obecné nařízení o ochraně osobních údajů
Výukový materiál zpracovaný v rámci projektu
AUTOEVALUACE CESTA KE KVALITĚ
S C H Ů Z K A R O D I Č Ů v úterý
GDPR pro knihovny JUDr. Tomáš Doležal advokát
GDPR JUDR. Mgr. Barbora Vlachová
GDPR a budoucí redakční praxe
Školící a docházkový systém s monitoringem
V. Setkání se starosty obcí
Podpora vybraných druhů sociálních služeb ve Středočeském kraji II
Transkript prezentace:

GDPR ve školství, aneb co školy čeká a nemine Pavel Škarban Festival pedagogické inspirace 2017, Kunratice 10.11.2017

Žhavá novinka – 6. 11. 2017

General Data Protection Regulation Co to je GDPR? General Data Protection Regulation = Obecné nařízení o ochraně osobních údajů NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES

Proč bylo zavedeno? Cíl = hájit práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji Platí ve všech státech EU (28) + Island, Norsko, Lichtenštejnsko Stávající legislativa (směrnice 95/46/ES) nebyla v členských zemích implementována jednotně Hodnota osobních dat byla podceňována Rozvoj technologií čím dál více ovlivňuje soukromí

Co se stane se zákonem 101/2000 Sb.? GDPR platí bez ohledu na národní legislativu zákon č. 101/2000 Sb., o ochraně osobních údajů bude zrušen či významně omezen Vznikne nový (výkladový) zákon o zpracování osobních údajů (ZZOÚ) Ukončeno připomínkové řízení (15. 9. 2017) Nebude projednán stávající vládou a bude o něm hlasovat příští parlament (PSP ČR) 65§§ Účinnost od 25. 5. 2018 (tzn. stejně jako GDPR)

Co je osobní údaj? Fotografie IP adresa Podpis Citlivé údaje: rasa etnický původ politický názor náboženské nebo filoz. vyznání členství v odborech zdravotní stavu sexuální orientace trestní delikty či prav. odsouzení genetické a biometrické údaje

Co je osobní údaj? osobní údaj = veškeré informace o identifikované nebo identifikovatelné fyzické osobě identifikovatelná fyzická osoba = fyzická osoba, kterou lze přímo či nepřímo identifikovat I kombinace jména a příjmení vede k identifikaci osoby a je nutné je považovat za osobní údaj !!!!!

Co není osobní údaj? Osobním údajem není: anonymizované údaje (statistiky) údaje zemřelých osob (školní kroniky) údaje získané v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter Příklad: Výsledek přijímacího řízení na střední školu ID žáka Výsledky z ČJ Výsledky z matematiky Status 2017P001452 42 38 Přijat

Co je zpracování osobních údajů? Zpracováním je jakákoli operace (soubor operací) s osobními údaji (soubory OÚ), který je prováděn pomocí či bez pomoci automatizovaných postupů. shromáždění zaznamenání uspořádání strukturování uložení přizpůsobení pozměnění vyhledání nahlédnutí použití zpřístupnění šíření, seřazení či zkombinování omezení výmaz zničení

Kdo nakládá s osobními údaji? SPRÁVCE OSOBNÍCH ÚDAJŮ „určuje účely a prostředky zpracování osobních údajů“ tzn. říká co a jak se má evidovat a nese za to zodpovědnost ZPRACOVATEL OSOBNÍCH ÚDAJŮ zpracovává osobní údaje pro správce TŘETÍ STRANA není ani správcem ani zpracovatelem, ale má oprávněný zájem na zpracování osobních údajů

Kdo nakládá s osobními údaji? SPRÁVCE ZPRACOVATEL TŘETÍ STRANA

Budou se muset školy GDPR zabývat?

Role školy v oblasti GDPR? Správce / zpracovatel osobních údajů žáků zákonných zástupců zaměstnanců dalších fyzických osob (cizí strávníci v ŠD, pronájmy prostor atd.) Jako veřejný subjekt musí ustanovit Pověřence pro ochranu osobních údajů

Úkoly Pověřence pro ochranu osobních údajů Poskytuje informace a poradenství správci či zpracovateli, včetně zaměstnancům, kteří se na zpracování podílejí Monitoruje soulad zpracování s GDPR Spolupracuje na tvorbě Posouzení vlivu na ochranu OÚ Spolupracuje s dozorových úřadem (ÚOOÚ) Působí jako kontaktní místo pro dozorový úřad (škola uveřejní jméno a kontakt) Obrací se na něj subjekty údajů Vázán tajemstvím a důvěrností

Pověřenec pro ochranu osobních údajů Musí být jmenován na základě profesních kvalit Požadována je znalost práva a praxe v oblasti OÚ Legislativa taxativně nestanovuje potřebné vzdělání či certifikaci V ČR neexistuje certifikační orgán pro pověřence (ani se s ním do budoucna nepočítá) Pověřenec nemůže být ve střetu zájmů (ředitel) Pověřenec musí mít znalost o fungování a chodu školy

Pověřenec pro ochranu osobních údajů Více škol či subjektů veřejné správy může jmenovat jediného pověřence, avšak ten musí být pro každý podnik snadno dosažitelný Musí být přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele Nedostává žádné pokyny týkající se výkonu jeho úkolů Nelze ho propustit ani sankcionovat za plnění jeho úkolů Lze nakoupit i jako externí službu

Zajištění souladu s GDPR Mapování osobních údajů a procesů shromáždění a zpracování Analýza souladu s GDPR – důvody zpracování Zavedení nových metodik, směrnic, pravidel, postupů… Jmenování Pověřence pro ochranu osobních údajů Proškolení pedagogů v oblasti ochrany osobních údajů

Jak provést mapování? Důsledná analýza všech procesů školy a identifikace, jaké osobní údaje se kde vyskytují Pokud se účel zpracování liší, je třeba do analýzy zadat údaj vícekrát Např. kontakt na rodiče a) informace zák. zástupcům o prospěchu, b) zasílání školního newsletteru Nezapomenout na všechny vedlejší činnosti školy Již ve fázi mapování identifikovat zvláštní kategorie údajů (citlivé údaje)

Analýza důvodů zpracování Nezbytné pro zákonnost zpracování Existují tyto důvody: Plnění smlouvy (např. obědy ve školní jídelně) Plnění právní povinnosti (např. školní matrika) Splnění úkolu prováděného ve veřejném zájmu (např. kontaktní údaje rodičů) Oprávněný zájem správce či třetí strany (např. kamerový systém) Ochrana životně důležitých zájmů (ve školství se nebude uplatňovat) Souhlas subjektu údajů pro jeden či více konkrétních účelů

Nejčastější právní důvody sběru OÚ na školách bude převažovat plnění právní povinnosti správce nebo plnění úkolu ve veřejném zájmu pro kamerové záznamy, zabezpečení vstupu do objektů oprávněné zájmy správce data o cizích strávnících, nájemcích školních prostor plnění smlouvy zveřejnění fotografií souhlas subjektů údajů

Metodika MŠMT

Mapování právních důvodů u každého údaje definujeme právní důvod proč jej potřebujeme

Analýza procesů Kdo a jak získává osobní data? Kdo k nim má přístup? Jak jsou data zabezpečena proti ztrátě, pozměnění, kompromitaci? Jak jsou vyřešeny souhlasy? Jak jsou informováni a proškoleni zaměstnanci? Existuje metodika ochrany OÚ? Jak je proces ochrany kontrolován?

Ukázka analýzy procesů – data žáků Identifikace procesů prováděných s osobními údaji na školách Identifikace procesu Popis procesu Obsahuje citlivé údaje Zákonný důvod Forma Odpovědný zpracovatel Přístup pro editaci Přístup pro čtení Zabezpečení Archivace Skartační lhůta Doporučení Evidence žáků a jejich prospěchu v informačním systému Evidence žáků, zákonných zástupců, informace o prospěchu, docházce, kontaktní údaje, údaje o zdravotním znevýhodnění, zapsané předměty ANO PPP Elektronicky Škola OnLine Třídní učitel, Admninistrátor Všichni pedagogičtí pracovníci školy Dle smlouvy s dodavatelem Archivují se veškerá pořízená data Nestanovena   Výstupy z IS - žákovská, docházka Výstupy z IS využívané rodiči a žáky. Informace o docházce, hodnocení, výchovných opatřeních apod. NE VZ Žák, Rodič Výstupy z IS - export dat ze školní matriky pro MŠMT Data definovaná vyhláškou MŠMT Výstupy z IS - tisk vysvědčení Osobní údaje žáka a informace o prospěchu, chování a zameškaných hodinách Písemná Třídní učitel Třídní učitel, Ředitel, Žák Dle interních směrnic Přihláška na ZŠ Osobní údaje žáka a jeho zákonných zástupců může Ředitel Ředitel, pověřený učitel Dle skartačního řádu Přihláška do ŠD, ŠK

Ukázka analýzy procesů – data zaměstnanců Kategorie Popis Osobní údaje Zákonnost zpracování Kategorie typu zpracování Místo uložení dat Dostupnost dat Skartační doba Poznámka Osobní spisy zaměstnanců Spis v papírové podobě. Osobní dotazník vyplněný zaměstnancem při nástupu. Jméno Příjmení (i rodné) Místo narození Trvalé bydliště Datum narození Rodné číslo Informace o rodinných příslušnících Vzdělání a dovednosti Státní příslušnost Rodinný stav Pracovní historie Plnění právní povinnosti Systematické shromáždění údajů pro dlouhodobý účel Písemný dokument - kancelář mzdové účetní. Vedoucí personálního úseku Personalista/ka Mzdová účetní Generální ředitel 3 roky po ukončení pracovního poměru   Hodnocení zaměstnanců ŘÚ a VP zpracovávají na předepsaných formulářích čtvrtletní a roční hodnocení zaměstnanců. Zde se uvádí minimálně jméno a příjmení. Může obsahovat citlivé informace jako např. výše platu atd. Jméno Příjmení Plat (výše odměny) Aktuální hodnocení má k dispozici ŘÚ, VP. Starší data jsou předávána do osobního spisu do kanceláře mzdové účetní. Vedoucí projektu Ředitel úseku Personalista/ka Mzdová účetní Životopis při přijímacím řízení V písemné podobě založen v personálním spisu Může obsahovat i fotografii a citlivé údaje, pokud je pracovník dobrovolně uvede Oprávněný zájem správce údajů Písemný dokument v personálním spise - kancelář mzdové účetní. Personalista/ka Mzdová účetní

Organizační opatření při zavedení GDPR Revize interních procesů Organizační řád Směrnice pro nakládání s osobními údaji Bezpečnostní směrnice Vzorový souhlas s poskytnutím OÚ Revize smluv s dodavateli Informační systémy Dodavatelé IT služeb (správa sítě, databází, webu)

Organizační opatření při zavedení GDPR Revize zaměstnaneckých vztahů U vybraných profesí zakotvit povinnost mlčenlivosti a důvěrnosti do samostatného dokumentu Získat souhlasy zaměstnanců se zpracováním OÚ (např. foto, soukromý telefon) Fyzické zabezpečení Počítače, servery Místa pro ukládání dokumentů, archiv

Organizační opatření při zavedení GDPR Udělat si pořádek a postupovat dle platných metodik Archivace a skartace Dodržovat přístupy k datům, metoda „prázdného stolu“ Proškolení zaměstnanců Pověřenec pro ochranu osobních údajů Osoby pracující s citlivými údaji Řadoví učitelé, vychovatelé

Možnosti implementace GDPR compliance CENA Vše vymyslet a zrealizovat sám Inspirovat se jinými školami Využít metodiku MŠMT Koupit komerční produkt a přizpůsobit jej potřebám školy Najmout si specialistu GDPR Najmout si právníka ÚSILÍ

Služby ŠKOLA ONLINE a.s. Jak na GDPR ve škole? Termín Lokalita 28.11.2017 Praha 12.12.2017 18.12.2017 Plzeň 9.1.2018 Svitavy 23.1.2018 České Budějovice 13.2.2018 Brno 28.2.2018 Olomouc http://www.skolaonline.cz/GDPR/

Diskuse a dotazy

Děkuji za pozornost…