Praktické zkušenosti s implementací GDPR ve školách

Slides:



Advertisements
Podobné prezentace
Koncepce organizace posudkové služby JUDr. Jiří Veselý, Ph.D. ředitel odboru výkonu posudkové služby MPSV.
Advertisements

Podpora plánování rozvoje sociálních služeb formou založení odborných partnerství CZ.1.04/3.1.03/
Analýza fungování institutu dohod o výkonu pěstounské péče v ČR SocioFactor s.r.o.
Zásady vztahů orgánů Jihomoravského kraje k řízení neškolských příspěvkových organizací Pracovně právní oblast, oblast odměňování, organizační záležitosti.
Registrace poskytovatelů sociálních služeb v Jihomoravském kraji.
Vztah předpisů na ochranu osobních údajů a předpisů k právu na informace Odborný seminář STMOÚ 23. – 25. říjen 2011 Špindlerův mlýn.
P RAKTICKÉ ČINNOSTI Pracovní smlouva Vypracoval: Lukáš Karlík.
1 Umísťování symbolů a jiných uvítacích zařízení územní samosprávy při pozemních komunikacích Porada Ministerstva vnitra Praha.
Rekvalifikace a veřejné zakázky v oblasti zaměstnanosti Mgr. Eva Friedrichová vedoucí oddělení poradenství Úřad práce v Liberci Projekt: Podpora dalšího.
Spolupráce OSPOD se školami a školskými zařízeními TENTO PROJEKT JE FINANCOVÁN Z EVROPSKÉHO SOCIÁLNÍHO FONDU PROSTŘEDNICTVÍM OPERAČNÍHO PROGRAMU LIDSKÉ.
INFORMAČNÍ POLITIKA V PRAXI Účetní a daňová kancelář Pavla Mikésky Jíchová Renáta Podloucká Karolína Poláková Lucie Šedivá Klára.
Uvedení autoři, není-li uvedeno jinak, jsou autory tohoto výukového materiálu a všech jeho částí. Tento projekt je spolufinancován ESF a státním rozpočtem.
Využití informačních technologií při řízení obchodního řetězce Interspar © Ing. Jan Weiser.
 2006  Ministerstvo průmyslu a obchodu Příprava aplikace zákona č. 179/2006 sb. o ověřování a uznávání výsledků dalšího vzdělávání do působnosti Ministerstva.
Podpora odborných partnerství v sociálních službách, existuje ano či ne?
Projekty Institucionálního plánu MENDELU v roce 2016 seminář pro řešitele projektů IP Brno,
Číslo projektu školy CZ.1.07/1.5.00/ Číslo a název šablony klíčové aktivity III/2 Inovace a zkvalitnění výuky prostřednictvím ICT Číslo materiáluVY_32_INOVACE_OdP_S1_07.
Mgr. Bedřich Myšička vrchní ředitel sekce ekonomické Sekce ekonomická 10. dubna 2014.
Základní informace k veřejné podpoře v OP LZZ Seminář pro žadatele 6. února 2009 Praha.
Krizové štáby. Zákon č. 240/2000 Sb., § 14 (1) Hejtman zajišťuje připravenost kraje na řešení krizových situací; ostatní orgány kraje se na této připravenosti.
KRAJSKÝ AKČNÍ PLÁN ROZVOJE VZDĚLÁVÁNÍ PLZEŇSKÉHO KRAJE Aktuální informace.
Revoluce jménem GDPR Eduard Pavlar Risk Assurance.
Výukový materiál Zpracovaný v rámci projektu EU peníze školám
Metodická podpora projektu P-KAP krajskému akčnímu plánování
Stávající systém kontroly při těžbě dřeva
Pojem přeměna obchodní společnosti
PODPORA KRAJSKÉHO AKČNÍHO PLÁNOVÁNÍ
STANDARDY KVALITY V SOCIÁLNÍCH SLUŽBÁCH „SKSS“
Plánování ve školní tělesné výchově
Podpora implementace služby péče o děti od šesti měsíců do čtyř let v tzv. mikrojeslích a pilotní ověření služby Reg.č. projektu CZ /0.0/0.0/15_009/
NÁLEŽITOSTI ROZHODNUTÍ A ODVOLÁNÍ SEMINÁŘ
Pracovní porada Pracovní list.
Aplikace Monitorovací systém
STANDARDY KVALITY V SOCIÁLNÍCH SLUŽBÁCH „SKSS“
Podpora implementace služby péče o děti od šesti měsíců do čtyř let v tzv. mikrojeslích a pilotní ověření služby Reg.č. projektu CZ /0.0/0.0/15_009/
Pracovní porada Pracovní list.
eRecept – komunikace se základními registry
Základní informace o poskytovateli
Program – – → 1. blok – dotazy posluchačů k prezentaci z minulého semináře, poskytování informací o dítěti, informovaný souhlas.
Pracovnělékařské služby
Workshop projektu systémová podpora sociální práce v obcích na téma:
Aplikace Monitorovací systém
Gymnasium Jižní Město Praha
NEJČASTĚJŠÍ NEDOSTATKY V ŽÁDOSTECH O GP
Číslo projektu školy CZ.1.07/1.5.00/
Základy pracovního práva a sociálního zabezpečení v ES
GDPR aneb to chceme.
Národní konference GDPR 2017, Praha, 23. listopadu 2017
Aktuální právní úprava činnosti školy a nové úkoly zástupce ředitele
GDPR: ochrana osobních údajů
Živnostenské podnikání (správně-právní režim) III. část
Změny právní úpravy ochrany přírody a krajiny
Praxe plnění povinností plynoucích z GDPR
© 2012 STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV
GDPR (General Date Protection Regulation)
Centralizované rozvojové projekty 2017
Podnikové dětské skupiny Kristina Zapletalová
GDPR v sociálních službách - metodika implementace
Aktuálně o stavu příprav na účinnost GDPR
Zákon o obětech trestné činnosti
Dostupné vzdělání pro všechny kdo chtějí znát a umět víc…
Seminář AMG, Písek 2018 GDPR.
Podpora sociální práce na území Statutárního města Kladna
Obecné nařízení o ochraně osobních údajů
Mezinárodní osvojení, osvojitelnost dítěte
Fond malých projektů Školení pro Konečné uživatele Zlín
v kontextu změn a potřeb moderního trhu práce
Pěstounská péče na přechodnou dobu (PPPD)
Odbor školství Mgr., Bc. Jitka Hozmanová
Přijímací řízení, odvolací řízení
Transkript prezentace:

Praktické zkušenosti s implementací GDPR ve školách BDO Advisory s.r.o.

Obsah Kdo jsou naši klienti v oblasti GDPR Klíčové kroky/postup implementace GDPR do škol Praktické dopady implementace GDPR na školách Nejčastější chyby škol při zpracování osobních údajů Podstata procesu implementace Role pověřence

Pro koho jsme GDPR dělali – odkud máme zkušenosti? 700+ škol a školských zařízení 100+ měst a obcí 100+ poskytovatelů sociálních služeb Ministerstva, nemocnice, soukromé firmy Audit GDPR Implementace optimalizačních opatření Vzdělávání zaměstnanců Zajištění role Pověřence pro ochranu osobních údajů

Jak postupovat při implementaci GDPR na školách Zmapování procesu zpracování osobních údajů jaké údaje a v jaké formě jsou zpracovávány, za jakým účelem, kdo s těmito údaji pracuje, jak jsou zabezpečeny apod.; Zpracování záznamů o činnostech Určení právních důvodů zpracování u zpracovávaných údajů, vyřazení údajů, které jsou zpracovávány nadbytečně u žáků nejčastěji národnost, sourozenci, povolání rodičů, kontakty do zaměstnání rodičů, detailní lékařské zprávy apod.) Odstranění nadbytečných údajů z formulářů; Prověření, zda nejsou některé osobní údaje uchovávány déle, než určuje skartační rejstřík či déle než je nezbytně nutné; Protože školy zpracovávají údaje nezletilých, nad to často také OÚ zvláštní kategorie (zdravotní stav, specifické vzdělávací potřeby žáků apod.), musí vést záznamy o činnostech zpracování;

Jak postupovat při implementaci GDPR na školách Vytvoření pravidel pro zpracování OÚ (směrnice pro ochranu OÚ, směrnice pro zpracování OÚ pomocí ICT); Určení osoby, která je ve škole za ochranu OÚ zodpovědná; Provedení analýzy rizik ve vztahu k ochraně OÚ, tedy vyhodnocení, jaká rizika školou zpracovávaným OÚ v elektronické i listinné podobě hrozí; Vytvoření tzv. matice rolí, tedy přehledu, který zaměstnanec (jaká pracovní role) je oprávněn pracovat se kterými kategoriemi OÚ (je rozdíl mezi OÚ, zpracovávanými výchovným poradcem, TU, učitelem, ředitelem školy, mzdovou účetní, vedoucí školní jídelny, uklízečkou, školníkem apod.;

Jak postupovat při implementaci GDPR na školách Aktualizace souhlasů získávaných pro zpracování OÚ od žáků/zákonných zástupců žáků (fotografie, audio či video záznamy, zveřejňování úspěchů v soutěžích, předávání OÚ třetím stranám apod.); Nesmí být součástí PŘIHLÁŠEK, SMLOUVY, ZÁPISOVÝCH LISTŮ, OBCHODNÍCH PODMÍNEK apod. nebo dalšího ujednání (vsunut mezi další nesouvisející informace); Musí jít o svobodný, konkrétní, informovaný a jednoznačný projev vůle subjektu údajů. Může být kdykoliv odvolán; Věková hranice pro udělení aktuálně 16 let věku, ČR může snížit v adaptačním zákoně až na 13 let věku (zatím neproběhlo);

Jak postupovat při implementaci GDPR na školách Nutné je také splnit informační povinnost organizace, tedy informovat všechny subjekty OÚ o tom, jaké jejich osobní údaje škola zpracovává; IDEÁLNĚ LZE SPLNIT ZVEŘEJNĚNÍM PŘÍSLUŠNÝCH INFORMACÍ NA WEBU ŠKOLY Pro veřejné organizace a orgány veřejné moci platí povinnost jmenovat pověřence pro ochranu osobních údajů; Ve školách je také třeba zajistit proškolení všech zaměstnanců v oblasti ochrany osobních údajů; Veškeré dokumenty, které obsahují osobní údaje (KL, osobní spisy žáků i zaměstnanců apod.) je třeba uchovávat v uzamčených skříních a místnostech

Jak postupovat při implementaci GDPR na školách Musí být zajištěna fyzická bezpečnost (vstup do školy, přístup do prostor, kde jsou uchovávány osobní údaje v nejrůznější podobě); Pokud jsou školou osobní údaje předávány třetí straně (např. externí mzdová účetní) je nutné zajistit vznik dodatků ke smlouvě či změnu smlouvy, které zohlední mlčenlivost a zabezpečení zpracovávaných OÚ před zneužitím (využití vhodných technicko -organizačních opatření); Za vhodné lze považovat také podepsání závazku mlčenlivosti všemi zaměstnanci školy (není to ale nezbytně nutné, vyplývá ze školského zákona – pouze ve vztahu k OÚ žáků a jejich zákonných zástupců, dále pak ze zákona č. 101/2000 Sb., o ochraně osobních údajů;

Praktické dopady implementace GDPR na školách: Negativní Zvýšené náklady (pověřenec, reaudity, pořízení uzamykatelného nábytku, kopírování, atp.) Zvýšená administrace Pozitivní Úklid spisoven, protřídění obsahu skříní, poliček, šuplíků a odstranění mnoha nadbytečných písemností; Revize dokumentů, která často dlouhé roky neprobíhala (některé dokumenty obsahovaly také údaje v Kčs, údaj o členství v KSČ či ROH ); Efektivnější zabezpečení OÚ zpracovávaných elektronicky i v listinné podobě.

Problémy při implementaci GDPR Existující „Metodiky“ MŠMT ČR (z podzimu roku 2017 i ledna 2018) obsahují doporučení, která jsou v rozporu s doporučeními ÚOOÚ popř. renomovaných právních kanceláří – zejména u kategorie osobních údajů zpracovávaných na základě souhlasu, popř. v rámci tzv. oprávněného zájmu organizace, to se někdy projevuje také ve vytvořených vzorech „záznamů o činnostech zpracování“.

Problémy při implementaci GDPR Školy často přejímají některé vzory dokumentů zcela nekriticky, ať již z webů jiných škol, či vzory, které jsou prezentovány a prodávány jako „ty správné“, např. vzory dokumentů z databáze „MIKÁČ“, např. jeho směrnice na ochranu osobních údajů obsahuje mnoho nepřesností.

NEJČASTĚJŠÍ CHYBY ŠKOL PŘI ZPRACOVÁNÍ OÚ NESPLNĚNÍ INFORMAČNÍ POVINNOSTI; ZPRACOVÁVÁNÍ NADBYTEČNÝCH ÚDAJŮ (např. kopie OP, nevytřídění osobních složek žáků/zaměstnanců apod.); NEDOSTATEČNÉ ZABEZPEČENÍ DOKUMENTŮ V LISTINNÉ PODOBĚ; NEDOSTATEČNOST AUTENTIZAČNÍCH PROCESŮ U POUŽÍVANÝCH IS;

NEJČASTĚJŠÍ CHYBY ŠKOL PŘI ZPRACOVÁNÍ OÚ NEDOSTATEČNĚ ŘEŠENO LOGOVÁNÍ; NEDOSTATEČNÁ EVIDENCE KAMEROVÉHO SYSTÉMU, ZEJMÉNA NEDOSTATTEČNÝ POPIS UMÍSTĚNÍ KAMER; NESPRÁVNÉ OZNAČENÍ PROSTOR, KTERÉ MONITORUJÍ KAMERY SE ZÁZNAMEM; CHYBÍ NĚKTERÉ DOKUMENTY, POPIS INTERNÍCH PROCESŮ. OBECNĚ PLATÍ, ŽE ŠKOLY, KTERÉ JIŽ DODRŽOVALY ZÁKON Č. 101/2000 SB., O OCHRANĚ OSOBNÍCH ÚDAJŮ NEMUSELY VE SVÉM REÁLNÉM PROVOZU PRAKTICKY NIC ZMĚNIT – POUZE ADMINISTRATIVNÍ ZMĚNY (NOVÉ FORMULÁŘE, SMĚRNICE..); DÁLE, ŽE VELKÉ ŠKOLY ZPRAVIDLA MĚLY A MAJÍ OSOBNÍ ÚDAJE ZABEZPEČENY LÉPE, NEŽ ŠKOLY S MENŠÍM POČTEM ŽÁKŮ I ZAMĚSTNANCŮ;

Důležité Implementace opatření GDPR při které je využito služeb najaté firmy/osoby, platí, že jde o proces, jehož úspěch je primárně závislý na kvalitě a intenzitě interakce školy a poradce. Bez aktivního přístupu školy samotné, není možná úspěšnost tohoto procesu. Sama škola také ovlivňuje rychlost, se kterou tento proces probíhá.

Pověřenec - činnost Poskytování informací a poradenství správci či zpracovateli OÚ a zaměstnancům, kteří se na zpracování osobních údajů podílejí; monitoruje soulad zpracování s obecným nařízením a dalšími předpisy; na požádání poskytuje poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů; spolupracuje s Úřadem pro ochranu osobních údajů a působí jako kontaktní místo.

Děkuji za pozornost Děkuji za pozornost