Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Praktické zkušenosti s implementací GDPR ve školách

ZveřejnilMilada Urbanová

Podobné prezentace

Prezentace na téma: "Praktické zkušenosti s implementací GDPR ve školách"— Transkript prezentace:

1 Praktické zkušenosti s implementací GDPR ve školách
BDO Advisory s.r.o.

2 Obsah Kdo jsou naši klienti v oblasti GDPR
Klíčové kroky/postup implementace GDPR do škol Praktické dopady implementace GDPR na školách Nejčastější chyby škol při zpracování osobních údajů Podstata procesu implementace Role pověřence

3 Pro koho jsme GDPR dělali – odkud máme zkušenosti?
700+ škol a školských zařízení 100+ měst a obcí 100+ poskytovatelů sociálních služeb Ministerstva, nemocnice, soukromé firmy Audit GDPR Implementace optimalizačních opatření Vzdělávání zaměstnanců Zajištění role Pověřence pro ochranu osobních údajů

4 Jak postupovat při implementaci GDPR na školách
Zmapování procesu zpracování osobních údajů jaké údaje a v jaké formě jsou zpracovávány, za jakým účelem, kdo s těmito údaji pracuje, jak jsou zabezpečeny apod.; Zpracování záznamů o činnostech Určení právních důvodů zpracování u zpracovávaných údajů, vyřazení údajů, které jsou zpracovávány nadbytečně u žáků nejčastěji národnost, sourozenci, povolání rodičů, kontakty do zaměstnání rodičů, detailní lékařské zprávy apod.) Odstranění nadbytečných údajů z formulářů; Prověření, zda nejsou některé osobní údaje uchovávány déle, než určuje skartační rejstřík či déle než je nezbytně nutné; Protože školy zpracovávají údaje nezletilých, nad to často také OÚ zvláštní kategorie (zdravotní stav, specifické vzdělávací potřeby žáků apod.), musí vést záznamy o činnostech zpracování;

5 Jak postupovat při implementaci GDPR na školách
Vytvoření pravidel pro zpracování OÚ (směrnice pro ochranu OÚ, směrnice pro zpracování OÚ pomocí ICT); Určení osoby, která je ve škole za ochranu OÚ zodpovědná; Provedení analýzy rizik ve vztahu k ochraně OÚ, tedy vyhodnocení, jaká rizika školou zpracovávaným OÚ v elektronické i listinné podobě hrozí; Vytvoření tzv. matice rolí, tedy přehledu, který zaměstnanec (jaká pracovní role) je oprávněn pracovat se kterými kategoriemi OÚ (je rozdíl mezi OÚ, zpracovávanými výchovným poradcem, TU, učitelem, ředitelem školy, mzdovou účetní, vedoucí školní jídelny, uklízečkou, školníkem apod.;

6 Jak postupovat při implementaci GDPR na školách
Aktualizace souhlasů získávaných pro zpracování OÚ od žáků/zákonných zástupců žáků (fotografie, audio či video záznamy, zveřejňování úspěchů v soutěžích, předávání OÚ třetím stranám apod.); Nesmí být součástí PŘIHLÁŠEK, SMLOUVY, ZÁPISOVÝCH LISTŮ, OBCHODNÍCH PODMÍNEK apod. nebo dalšího ujednání (vsunut mezi další nesouvisející informace); Musí jít o svobodný, konkrétní, informovaný a jednoznačný projev vůle subjektu údajů. Může být kdykoliv odvolán; Věková hranice pro udělení aktuálně 16 let věku, ČR může snížit v adaptačním zákoně až na 13 let věku (zatím neproběhlo);

7 Jak postupovat při implementaci GDPR na školách
Nutné je také splnit informační povinnost organizace, tedy informovat všechny subjekty OÚ o tom, jaké jejich osobní údaje škola zpracovává; IDEÁLNĚ LZE SPLNIT ZVEŘEJNĚNÍM PŘÍSLUŠNÝCH INFORMACÍ NA WEBU ŠKOLY Pro veřejné organizace a orgány veřejné moci platí povinnost jmenovat pověřence pro ochranu osobních údajů; Ve školách je také třeba zajistit proškolení všech zaměstnanců v oblasti ochrany osobních údajů; Veškeré dokumenty, které obsahují osobní údaje (KL, osobní spisy žáků i zaměstnanců apod.) je třeba uchovávat v uzamčených skříních a místnostech

8 Jak postupovat při implementaci GDPR na školách
Musí být zajištěna fyzická bezpečnost (vstup do školy, přístup do prostor, kde jsou uchovávány osobní údaje v nejrůznější podobě); Pokud jsou školou osobní údaje předávány třetí straně (např. externí mzdová účetní) je nutné zajistit vznik dodatků ke smlouvě či změnu smlouvy, které zohlední mlčenlivost a zabezpečení zpracovávaných OÚ před zneužitím (využití vhodných technicko -organizačních opatření); Za vhodné lze považovat také podepsání závazku mlčenlivosti všemi zaměstnanci školy (není to ale nezbytně nutné, vyplývá ze školského zákona – pouze ve vztahu k OÚ žáků a jejich zákonných zástupců, dále pak ze zákona č. 101/2000 Sb., o ochraně osobních údajů;

9 Praktické dopady implementace GDPR na školách:
Negativní Zvýšené náklady (pověřenec, reaudity, pořízení uzamykatelného nábytku, kopírování, atp.) Zvýšená administrace Pozitivní Úklid spisoven, protřídění obsahu skříní, poliček, šuplíků a odstranění mnoha nadbytečných písemností; Revize dokumentů, která často dlouhé roky neprobíhala (některé dokumenty obsahovaly také údaje v Kčs, údaj o členství v KSČ či ROH ); Efektivnější zabezpečení OÚ zpracovávaných elektronicky i v listinné podobě.

10 Problémy při implementaci GDPR
Existující „Metodiky“ MŠMT ČR (z podzimu roku 2017 i ledna 2018) obsahují doporučení, která jsou v rozporu s doporučeními ÚOOÚ popř. renomovaných právních kanceláří – zejména u kategorie osobních údajů zpracovávaných na základě souhlasu, popř. v rámci tzv. oprávněného zájmu organizace, to se někdy projevuje také ve vytvořených vzorech „záznamů o činnostech zpracování“.

11 Problémy při implementaci GDPR
Školy často přejímají některé vzory dokumentů zcela nekriticky, ať již z webů jiných škol, či vzory, které jsou prezentovány a prodávány jako „ty správné“, např. vzory dokumentů z databáze „MIKÁČ“, např. jeho směrnice na ochranu osobních údajů obsahuje mnoho nepřesností.

12 NEJČASTĚJŠÍ CHYBY ŠKOL PŘI ZPRACOVÁNÍ OÚ
NESPLNĚNÍ INFORMAČNÍ POVINNOSTI; ZPRACOVÁVÁNÍ NADBYTEČNÝCH ÚDAJŮ (např. kopie OP, nevytřídění osobních složek žáků/zaměstnanců apod.); NEDOSTATEČNÉ ZABEZPEČENÍ DOKUMENTŮ V LISTINNÉ PODOBĚ; NEDOSTATEČNOST AUTENTIZAČNÍCH PROCESŮ U POUŽÍVANÝCH IS;

13 NEJČASTĚJŠÍ CHYBY ŠKOL PŘI ZPRACOVÁNÍ OÚ
NEDOSTATEČNĚ ŘEŠENO LOGOVÁNÍ; NEDOSTATEČNÁ EVIDENCE KAMEROVÉHO SYSTÉMU, ZEJMÉNA NEDOSTATTEČNÝ POPIS UMÍSTĚNÍ KAMER; NESPRÁVNÉ OZNAČENÍ PROSTOR, KTERÉ MONITORUJÍ KAMERY SE ZÁZNAMEM; CHYBÍ NĚKTERÉ DOKUMENTY, POPIS INTERNÍCH PROCESŮ. OBECNĚ PLATÍ, ŽE ŠKOLY, KTERÉ JIŽ DODRŽOVALY ZÁKON Č. 101/2000 SB., O OCHRANĚ OSOBNÍCH ÚDAJŮ NEMUSELY VE SVÉM REÁLNÉM PROVOZU PRAKTICKY NIC ZMĚNIT – POUZE ADMINISTRATIVNÍ ZMĚNY (NOVÉ FORMULÁŘE, SMĚRNICE..); DÁLE, ŽE VELKÉ ŠKOLY ZPRAVIDLA MĚLY A MAJÍ OSOBNÍ ÚDAJE ZABEZPEČENY LÉPE, NEŽ ŠKOLY S MENŠÍM POČTEM ŽÁKŮ I ZAMĚSTNANCŮ;

14 Důležité Implementace opatření GDPR při které je využito služeb najaté firmy/osoby, platí, že jde o proces, jehož úspěch je primárně závislý na kvalitě a intenzitě interakce školy a poradce. Bez aktivního přístupu školy samotné, není možná úspěšnost tohoto procesu. Sama škola také ovlivňuje rychlost, se kterou tento proces probíhá.

15 Pověřenec - činnost Poskytování informací a poradenství správci či zpracovateli OÚ a zaměstnancům, kteří se na zpracování osobních údajů podílejí; monitoruje soulad zpracování s obecným nařízením a dalšími předpisy; na požádání poskytuje poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů; spolupracuje s Úřadem pro ochranu osobních údajů a působí jako kontaktní místo.

16 Děkuji za pozornost Děkuji za pozornost

Stáhnout ppt "Praktické zkušenosti s implementací GDPR ve školách"

Podobné prezentace

Koncepce organizace posudkové služby JUDr. Jiří Veselý, Ph.D. ředitel odboru výkonu posudkové služby MPSV.

Koncepce organizace posudkové služby JUDr. Jiří Veselý, Ph.D. ředitel odboru výkonu posudkové služby MPSV.
Podpora plánování rozvoje sociálních služeb formou založení odborných partnerství CZ.1.04/3.1.03/78.00014.

Podpora plánování rozvoje sociálních služeb formou založení odborných partnerství CZ.1.04/3.1.03/
Analýza fungování institutu dohod o výkonu pěstounské péče v ČR SocioFactor s.r.o.

Analýza fungování institutu dohod o výkonu pěstounské péče v ČR SocioFactor s.r.o.
Zásady vztahů orgánů Jihomoravského kraje k řízení neškolských příspěvkových organizací Pracovně právní oblast, oblast odměňování, organizační záležitosti.

Zásady vztahů orgánů Jihomoravského kraje k řízení neškolských příspěvkových organizací Pracovně právní oblast, oblast odměňování, organizační záležitosti.
Registrace poskytovatelů sociálních služeb v Jihomoravském kraji.

Registrace poskytovatelů sociálních služeb v Jihomoravském kraji.
Vztah předpisů na ochranu osobních údajů a předpisů k právu na informace Odborný seminář STMOÚ 23. – 25. říjen 2011 Špindlerův mlýn.

Vztah předpisů na ochranu osobních údajů a předpisů k právu na informace Odborný seminář STMOÚ 23. – 25. říjen 2011 Špindlerův mlýn.
P RAKTICKÉ ČINNOSTI Pracovní smlouva Vypracoval: Lukáš Karlík.

P RAKTICKÉ ČINNOSTI Pracovní smlouva Vypracoval: Lukáš Karlík.
1 Umísťování symbolů a jiných uvítacích zařízení územní samosprávy při pozemních komunikacích Porada Ministerstva vnitra 1. 3. 2016 Praha.

1 Umísťování symbolů a jiných uvítacích zařízení územní samosprávy při pozemních komunikacích Porada Ministerstva vnitra Praha.
Rekvalifikace a veřejné zakázky v oblasti zaměstnanosti Mgr. Eva Friedrichová vedoucí oddělení poradenství Úřad práce v Liberci Projekt: Podpora dalšího.

Rekvalifikace a veřejné zakázky v oblasti zaměstnanosti Mgr. Eva Friedrichová vedoucí oddělení poradenství Úřad práce v Liberci Projekt: Podpora dalšího.
Spolupráce OSPOD se školami a školskými zařízeními TENTO PROJEKT JE FINANCOVÁN Z EVROPSKÉHO SOCIÁLNÍHO FONDU PROSTŘEDNICTVÍM OPERAČNÍHO PROGRAMU LIDSKÉ.

Spolupráce OSPOD se školami a školskými zařízeními TENTO PROJEKT JE FINANCOVÁN Z EVROPSKÉHO SOCIÁLNÍHO FONDU PROSTŘEDNICTVÍM OPERAČNÍHO PROGRAMU LIDSKÉ.
INFORMAČNÍ POLITIKA V PRAXI Účetní a daňová kancelář Pavla Mikésky Jíchová Renáta Podloucká Karolína Poláková Lucie Šedivá Klára.

INFORMAČNÍ POLITIKA V PRAXI Účetní a daňová kancelář Pavla Mikésky Jíchová Renáta Podloucká Karolína Poláková Lucie Šedivá Klára.
Uvedení autoři, není-li uvedeno jinak, jsou autory tohoto výukového materiálu a všech jeho částí. Tento projekt je spolufinancován ESF a státním rozpočtem.

Uvedení autoři, není-li uvedeno jinak, jsou autory tohoto výukového materiálu a všech jeho částí. Tento projekt je spolufinancován ESF a státním rozpočtem.
Využití informačních technologií při řízení obchodního řetězce Interspar © Ing. Jan Weiser.

Využití informačních technologií při řízení obchodního řetězce Interspar © Ing. Jan Weiser.
 2006  Ministerstvo průmyslu a obchodu Příprava aplikace zákona č. 179/2006 sb. o ověřování a uznávání výsledků dalšího vzdělávání do působnosti Ministerstva.

 2006  Ministerstvo průmyslu a obchodu Příprava aplikace zákona č. 179/2006 sb. o ověřování a uznávání výsledků dalšího vzdělávání do působnosti Ministerstva.
Podpora odborných partnerství v sociálních službách, existuje ano či ne?

Podpora odborných partnerství v sociálních službách, existuje ano či ne?
Projekty Institucionálního plánu MENDELU v roce 2016 seminář pro řešitele projektů IP Brno, 3. 2. 2016.

Projekty Institucionálního plánu MENDELU v roce 2016 seminář pro řešitele projektů IP Brno,
Číslo projektu školy CZ.1.07/1.5.00/34.0963 Číslo a název šablony klíčové aktivity III/2 Inovace a zkvalitnění výuky prostřednictvím ICT Číslo materiáluVY_32_INOVACE_OdP_S1_07.

Číslo projektu školy CZ.1.07/1.5.00/ Číslo a název šablony klíčové aktivity III/2 Inovace a zkvalitnění výuky prostřednictvím ICT Číslo materiáluVY_32_INOVACE_OdP_S1_07.
Mgr. Bedřich Myšička vrchní ředitel sekce ekonomické Sekce ekonomická 10. dubna 2014.

Mgr. Bedřich Myšička vrchní ředitel sekce ekonomické Sekce ekonomická 10. dubna 2014.
Základní informace k veřejné podpoře v OP LZZ Seminář pro žadatele 6. února 2009 Praha.

Základní informace k veřejné podpoře v OP LZZ Seminář pro žadatele 6. února 2009 Praha.
Krizové štáby. Zákon č. 240/2000 Sb., § 14 (1) Hejtman zajišťuje připravenost kraje na řešení krizových situací; ostatní orgány kraje se na této připravenosti.

Krizové štáby. Zákon č. 240/2000 Sb., § 14 (1) Hejtman zajišťuje připravenost kraje na řešení krizových situací; ostatní orgány kraje se na této připravenosti.

Podobné prezentace

Reklamy Google