Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
Praktické zkušenosti s implementací GDPR ve školách
BDO Advisory s.r.o.
2
Obsah Kdo jsou naši klienti v oblasti GDPR
Klíčové kroky/postup implementace GDPR do škol Praktické dopady implementace GDPR na školách Nejčastější chyby škol při zpracování osobních údajů Podstata procesu implementace Role pověřence
3
Pro koho jsme GDPR dělali – odkud máme zkušenosti?
700+ škol a školských zařízení 100+ měst a obcí 100+ poskytovatelů sociálních služeb Ministerstva, nemocnice, soukromé firmy Audit GDPR Implementace optimalizačních opatření Vzdělávání zaměstnanců Zajištění role Pověřence pro ochranu osobních údajů
4
Jak postupovat při implementaci GDPR na školách
Zmapování procesu zpracování osobních údajů jaké údaje a v jaké formě jsou zpracovávány, za jakým účelem, kdo s těmito údaji pracuje, jak jsou zabezpečeny apod.; Zpracování záznamů o činnostech Určení právních důvodů zpracování u zpracovávaných údajů, vyřazení údajů, které jsou zpracovávány nadbytečně u žáků nejčastěji národnost, sourozenci, povolání rodičů, kontakty do zaměstnání rodičů, detailní lékařské zprávy apod.) Odstranění nadbytečných údajů z formulářů; Prověření, zda nejsou některé osobní údaje uchovávány déle, než určuje skartační rejstřík či déle než je nezbytně nutné; Protože školy zpracovávají údaje nezletilých, nad to často také OÚ zvláštní kategorie (zdravotní stav, specifické vzdělávací potřeby žáků apod.), musí vést záznamy o činnostech zpracování;
5
Jak postupovat při implementaci GDPR na školách
Vytvoření pravidel pro zpracování OÚ (směrnice pro ochranu OÚ, směrnice pro zpracování OÚ pomocí ICT); Určení osoby, která je ve škole za ochranu OÚ zodpovědná; Provedení analýzy rizik ve vztahu k ochraně OÚ, tedy vyhodnocení, jaká rizika školou zpracovávaným OÚ v elektronické i listinné podobě hrozí; Vytvoření tzv. matice rolí, tedy přehledu, který zaměstnanec (jaká pracovní role) je oprávněn pracovat se kterými kategoriemi OÚ (je rozdíl mezi OÚ, zpracovávanými výchovným poradcem, TU, učitelem, ředitelem školy, mzdovou účetní, vedoucí školní jídelny, uklízečkou, školníkem apod.;
6
Jak postupovat při implementaci GDPR na školách
Aktualizace souhlasů získávaných pro zpracování OÚ od žáků/zákonných zástupců žáků (fotografie, audio či video záznamy, zveřejňování úspěchů v soutěžích, předávání OÚ třetím stranám apod.); Nesmí být součástí PŘIHLÁŠEK, SMLOUVY, ZÁPISOVÝCH LISTŮ, OBCHODNÍCH PODMÍNEK apod. nebo dalšího ujednání (vsunut mezi další nesouvisející informace); Musí jít o svobodný, konkrétní, informovaný a jednoznačný projev vůle subjektu údajů. Může být kdykoliv odvolán; Věková hranice pro udělení aktuálně 16 let věku, ČR může snížit v adaptačním zákoně až na 13 let věku (zatím neproběhlo);
7
Jak postupovat při implementaci GDPR na školách
Nutné je také splnit informační povinnost organizace, tedy informovat všechny subjekty OÚ o tom, jaké jejich osobní údaje škola zpracovává; IDEÁLNĚ LZE SPLNIT ZVEŘEJNĚNÍM PŘÍSLUŠNÝCH INFORMACÍ NA WEBU ŠKOLY Pro veřejné organizace a orgány veřejné moci platí povinnost jmenovat pověřence pro ochranu osobních údajů; Ve školách je také třeba zajistit proškolení všech zaměstnanců v oblasti ochrany osobních údajů; Veškeré dokumenty, které obsahují osobní údaje (KL, osobní spisy žáků i zaměstnanců apod.) je třeba uchovávat v uzamčených skříních a místnostech
8
Jak postupovat při implementaci GDPR na školách
Musí být zajištěna fyzická bezpečnost (vstup do školy, přístup do prostor, kde jsou uchovávány osobní údaje v nejrůznější podobě); Pokud jsou školou osobní údaje předávány třetí straně (např. externí mzdová účetní) je nutné zajistit vznik dodatků ke smlouvě či změnu smlouvy, které zohlední mlčenlivost a zabezpečení zpracovávaných OÚ před zneužitím (využití vhodných technicko -organizačních opatření); Za vhodné lze považovat také podepsání závazku mlčenlivosti všemi zaměstnanci školy (není to ale nezbytně nutné, vyplývá ze školského zákona – pouze ve vztahu k OÚ žáků a jejich zákonných zástupců, dále pak ze zákona č. 101/2000 Sb., o ochraně osobních údajů;
9
Praktické dopady implementace GDPR na školách:
Negativní Zvýšené náklady (pověřenec, reaudity, pořízení uzamykatelného nábytku, kopírování, atp.) Zvýšená administrace Pozitivní Úklid spisoven, protřídění obsahu skříní, poliček, šuplíků a odstranění mnoha nadbytečných písemností; Revize dokumentů, která často dlouhé roky neprobíhala (některé dokumenty obsahovaly také údaje v Kčs, údaj o členství v KSČ či ROH ); Efektivnější zabezpečení OÚ zpracovávaných elektronicky i v listinné podobě.
10
Problémy při implementaci GDPR
Existující „Metodiky“ MŠMT ČR (z podzimu roku 2017 i ledna 2018) obsahují doporučení, která jsou v rozporu s doporučeními ÚOOÚ popř. renomovaných právních kanceláří – zejména u kategorie osobních údajů zpracovávaných na základě souhlasu, popř. v rámci tzv. oprávněného zájmu organizace, to se někdy projevuje také ve vytvořených vzorech „záznamů o činnostech zpracování“.
11
Problémy při implementaci GDPR
Školy často přejímají některé vzory dokumentů zcela nekriticky, ať již z webů jiných škol, či vzory, které jsou prezentovány a prodávány jako „ty správné“, např. vzory dokumentů z databáze „MIKÁČ“, např. jeho směrnice na ochranu osobních údajů obsahuje mnoho nepřesností.
12
NEJČASTĚJŠÍ CHYBY ŠKOL PŘI ZPRACOVÁNÍ OÚ
NESPLNĚNÍ INFORMAČNÍ POVINNOSTI; ZPRACOVÁVÁNÍ NADBYTEČNÝCH ÚDAJŮ (např. kopie OP, nevytřídění osobních složek žáků/zaměstnanců apod.); NEDOSTATEČNÉ ZABEZPEČENÍ DOKUMENTŮ V LISTINNÉ PODOBĚ; NEDOSTATEČNOST AUTENTIZAČNÍCH PROCESŮ U POUŽÍVANÝCH IS;
13
NEJČASTĚJŠÍ CHYBY ŠKOL PŘI ZPRACOVÁNÍ OÚ
NEDOSTATEČNĚ ŘEŠENO LOGOVÁNÍ; NEDOSTATEČNÁ EVIDENCE KAMEROVÉHO SYSTÉMU, ZEJMÉNA NEDOSTATTEČNÝ POPIS UMÍSTĚNÍ KAMER; NESPRÁVNÉ OZNAČENÍ PROSTOR, KTERÉ MONITORUJÍ KAMERY SE ZÁZNAMEM; CHYBÍ NĚKTERÉ DOKUMENTY, POPIS INTERNÍCH PROCESŮ. OBECNĚ PLATÍ, ŽE ŠKOLY, KTERÉ JIŽ DODRŽOVALY ZÁKON Č. 101/2000 SB., O OCHRANĚ OSOBNÍCH ÚDAJŮ NEMUSELY VE SVÉM REÁLNÉM PROVOZU PRAKTICKY NIC ZMĚNIT – POUZE ADMINISTRATIVNÍ ZMĚNY (NOVÉ FORMULÁŘE, SMĚRNICE..); DÁLE, ŽE VELKÉ ŠKOLY ZPRAVIDLA MĚLY A MAJÍ OSOBNÍ ÚDAJE ZABEZPEČENY LÉPE, NEŽ ŠKOLY S MENŠÍM POČTEM ŽÁKŮ I ZAMĚSTNANCŮ;
14
Důležité Implementace opatření GDPR při které je využito služeb najaté firmy/osoby, platí, že jde o proces, jehož úspěch je primárně závislý na kvalitě a intenzitě interakce školy a poradce. Bez aktivního přístupu školy samotné, není možná úspěšnost tohoto procesu. Sama škola také ovlivňuje rychlost, se kterou tento proces probíhá.
15
Pověřenec - činnost Poskytování informací a poradenství správci či zpracovateli OÚ a zaměstnancům, kteří se na zpracování osobních údajů podílejí; monitoruje soulad zpracování s obecným nařízením a dalšími předpisy; na požádání poskytuje poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů; spolupracuje s Úřadem pro ochranu osobních údajů a působí jako kontaktní místo.
16
Děkuji za pozornost Děkuji za pozornost
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.