GDPR ve školství Pavel Škarban Tábor, 21. 03. 2018
Začněme s humorem
Co víme jistě …… GDPR platí od 25. 5. 2018, všichni se podle něj musejí chovat Školy musejí mít Pověřence pro ochranu osobních údajů Zákon 101/2000 Sb. o ochraně osobních údajů bude zrušen Připravit se na GDPR není: Lehké Levné Rychle řešitelné
Co tušíme …… Zákon o zpracování osobních údaje se nestihne schválit do 25. 5. 2018 Existují metodiky, výkladová stanoviska, návody, vzory dokumentů Stát a jeho orgány stojí na straně škol
Čeho se bojíme….. Pokut Že nestihneme implementovat včas Administrativy, byrokracie Nespokojených rodičů
Co musejí školy udělat? Provést analýzu činností, při nichž zpracovávají osobní data Upravit smlouvy se zpracovateli osobních údajů Nastavit vnitřní procesy zacházení s OsÚ Zajistit Pověřence pro ochranu osobních údajů Připravit informace o zpracování OsÚ pro subjekty údajů Proškolit zaměstnance
Kde brát informace? MŠMT MV ČR ÚOOÚ Komerční sektor Metodická pomůcka k aplikaci GDPR (6.11.2017) Stručný návod na zabezpečení procesů souvisejících s GDPR (15.3.2018) Záznamy o činnostech zpracování MV ČR Metodické doporučení k organizačně-technickému zabezpečení funkce pověřence pro ochranu osobních údajů (2. aktualizované vydání) Systémová analýza krajů Přehled právních titulů a zpracovávaných OsÚ ÚOOÚ Základní příručka, desatero pro správce, desatero omylů, FAQ Pokyny a vodítka WP 29 Komerční sektor www.gdpr.cz; http://skolaonline.cz/ ………………………..
Co vyplývá z analýzy činností? Školy „ze zvyku“ sbírají zbytná data (povolání rodičů, informace o sourozencích, …) 90 % údajů se zpracovává pro plnění právní povinnosti nebo při výkonu veřejného zájmu Bude potřeba získat souhlasy se zpracováním na pořízení fotografií, číslo OP/pasu, číslo BÚ, zdravotní pojišťovnu…. Ochrana osobních dat zaměstnanců je na vysoké úrovni Nebude potřeba masivně investovat do fyzického zabezpečení dat
Jak zajistit Pověřence ? Spolupracovat se zřizovatelem školy (doporučení MŠMT) Jmenovat pověřence z vlastních řad Nakoupit pověřence jako službu Advokátní kancelář Specializované firmy Svazky obcí, místní akční skupiny …..
Jak naplnit práva dětí/rodičů ? Být si vědom jejich práv a respektovat je Mít připraven systém (žádost, odpovědná osoba, vzory odpovědí) Reagovat otevřeně a rychle – pokusit se domluvit Minimalizovat zbytná data
Jak ošetřit zpracování OsÚ Dodatkovat smlouvy se zpracovateli (školské informační systémy, stravovací systémy, externí účetní, správci ICT …..) Identifikovat všechny procesy vydání osobních údajů třetí straně (karty ISIC, školní zájezdy, ...) Definovat jaká data budou dávána na sociální sítě (Facebook, Instagram, YouTube, Twitter) Data se zpracovávají mimo EU Zveřejněním data udělujete nevýhradní, přenosnou volnou licenci Případné spory se budou řešit u soudů v USA
Ochrana osobních dat nevypadá takto ….
…… ale ani takto.
Děkuji za pozornost http://skolaonline.cz/GDPR.aspx