< návrat zpět

... škola

MŠMT logoSledujeme pro vás dění.

MŠMT připravilo Stručný návod na zabezpečení procesů souvisejících s GDPR ve školách (nástin pracovního postupu). Záměrem materiálu je pomoci zorientovat se prakticky v povinnostech, které s GDPR souvisí.

V sekci "GDPR a ..." vám přinášíme celý nezměněný přepis tohoto návodu pro lepší dostupnost.

Zdroj:

http://www.msmt.cz/dokumenty-3/strucny-navod-na-zabezpeceni-procesu-souvisejicich-s-gdpr 


 

STRUČNÝ NÁVOD NA ZABEZPEČENÍ PROCESŮ SOUVISEJÍCÍCH S GDPR

 
MŠMT připravilo Stručný návod na zabezpečení procesů souvisejících s GDPR ve školách (nástin pracovního postupu). Záměrem materiálu je pomoci zorientovat se prakticky v povinnostech, které s GDPR souvisí.

Jedná se o pomůcku, která konkrétně popisuje oblasti, na které je třeba se při přípravě na GDPR speciálně zaměřit, a současně také obsahuje některé nutné vzorové dokumenty, jako například vzory záznamů o činnostech, vzor směrnice o nakládání s osobními údaji ve škole či vzorové informace o zpracování osobních údajů na webu školy. Přiložené vzorové dokumenty lze použít jako základní schéma; rozsah nakládání s osobními údaji může být nicméně na každé škole či školském zařízení různý, proto je třeba posoudit každou situaci podle konkrétních okolností a přiložené materiály podle toho případně upravit.

Materiál byl na pracovní úrovni konzultován s reprezentanty Ministerstva vnitra a Úřadu pro ochranu osobních údajů, kteří jsou gestory právního předpisu tak, aby v materiálu nastíněná řešení byla pokud možno obecně sdílená.

Věříme, že tento materiál usnadní orientaci v problematice a implementace GDPR bude ve školách či školských zařízeních co možná nejsnazší.


 

Stručný návod na zabezpečení procesů souvisejících s GDPR ve školách (nástin pracovního postupu)

Vážená paní ředitelko, vážený pane řediteli,

předkládáme Vám materiál, jehož účelem je pomoci při přípravě a zabezpečení procesů souvisejících s GDPR, a to zejména při analýze získaných, uchovávaných, zveřejňovaných, předávaných nebo jinak zpracovávaných osobních údajů ve školách a při vytvoření tzv. záznamů o činnosti zpracování osobních údajů podle čl. 30 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále také „Nařízení“.

Návod navazuje na metodickou pomůcku k usnadnění aplikace nařízení dostupnou na adrese http://www.msmt.cz/dokumenty-3/metodicka-pomucka-k-aplikaci-obecneho-narizeni-o-ochrane.

Velmi proto doporučujeme se s touto pomůckou seznámit.

Podle nařízení by školy a školská zařízení (dále také společně jako „školy“) měly dostatečně předem před nabytím účinnosti nařízení (25. 5. 2018) především:

  1. Zmapovat faktickou situaci ve škole z hlediska zpracování osobních údajů - doporučujeme provést základní analýzu činností, při nichž školy zpracovávají osobní údaje, a připravit tzv. karty záznamů o činnosti zpracování podle čl. 30 nařízení (blíže viz níže).
  2. Zkontrolovat platné smlouvy se zpracovateli osobních údajů (zejména s poskytovateli informačních systémů, čipových a vstupních karet apod.). Upozorňujeme, že jde o smlouvy o zpracování osobních údajů, které mají přesně stanovené povinné náležitosti. Škola ovšem vedle těchto specifických smluv o zpracování osobních údajů jistě řeší i jiné smlouvy, které obsahují osobní údaje (např. kupní smlouvy, smlouvy o dílo, příkazní smlouvy a jiné); i ty smlouvy je nutné podrobit kontrole.
  3. Nastavit vnitřní procesy zacházení s osobními údaji např. přijetím nebo revidováním směrnice nebo jiného dokumentu o nakládání (zacházení) s osobními údaji ve škole, či jiným způsobem.
  4. Zajistit pověřence pro ochranu osobních údajů ve škole; při zajišťování pověřence pro ochranu osobních údajů doporučujeme spolupracovat se zřizovatelem školy.
  5. Připravit informace o zpracování osobních údajů na webu školy, při kontaktu se subjektem údajů ústně nebo písemně apod. Informace by měly být poskytovány srozumitelným způsobem.

Následný text postupně rozebírá jednotlivé výše nastíněné povinnosti spojené se zaváděním GDPR, součástí materiálu jsou i vzory záznamů o činnostech, vzor směrnice o nakládání s osobními údaji ve škole či vzorové informace o zpracování osobních údajů na webu školy.

Doufáme, že Vám materiál usnadní orientaci v problematice a implementace GDPR bude ve vaší škole či školském zařízení co možná nejsnazší 

Robert Plaga, ministr školství, mládeže a tělovýchovy ČR

1. Doporučená základní analýza činností, při nichž školy zpracovávají osobní údaje, a příprava karty záznamů o činnostech

Před účinností nařízení doporučujeme provést analýzu činností školy, při kterých škola zpracovává osobní údaje, a analýzu samotných zpracovávaných osobních údajů. Analýza sice není povinná, ale významně pomůže škole jako správci a zpracovateli osobních údajů zmapovat zpracovávané osobní údaje.

Při analýze činností i osobních údajů doporučujeme zaměřit se na to, jaké údaje se zpracovávají, jakým způsobem, proč se údaje zpracovávají, v jakém rozsahu, za jakým účelem. Dále se doporučuje posoudit, co se s údaji provádí, kam se zařazují, kde se ukládají, kam se zasílají, komu se poskytují, jak dlouho se uchovávají a podobně.

Školy musejí povinně vést záznamy o činnostech zpracování podle čl. 30 nařízení, které musí vždy obsahovat: jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů, účely zpracování, popis kategorií subjektů údajů a kategorií osobních údajů, kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích, informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk, je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů a, je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1. Příkladové záznamy o činnostech zpracování naleznete v příloze. Při práci se vzorovými záznamy o činnostech zpracování ministerstvo upozorňuje, že základní struktura záznamů obsahuje povinné součásti (kolonky) záznamů o činnostech zpracování stanovené čl. 30 nařízení; od těchto povinných náležitostí se nedoporučujeme odchylovat.

Naopak konkrétní a bližší obsah záznamů (vyplnění kolonek) je třeba považovat za vzory a příklady. Každá škola jako správce osobních údajů musí vědět přesně a konkrétně, jaké osobní údaje zpracovává a jaké činnosti s jejich zpracováním provádí. Právě správce je vždy odpovědný za veškerá zpracování osobních údajů. Nicméně, ministerstvo ve spolupráci s vybranými školami vymezilo nejčastější případy činností při zpracování osobních údajů a základní rámec obvykle zpracovávaných osobních údajů, zejména pak co do zpracování osobních údajů na základě zákona. Přiložené vzorové záznamy lze tedy brát jako základní schéma, které si škola pro své potřeby upraví; ministerstvo nezná a není v jeho možnostech znát situaci na každé škole. Rozsah nakládání s osobními údaji tak může být různý, proto je třeba posoudit situaci v každé škole podle konkrétních okolností.

2. Kontrola smluv

Za zpracování osobních údajů odpovídá v souladu s nařízením vždy správce, tedy škola nebo školské zařízení. Správce však může osobní údaje zpracovávat prostřednictvím zpracovatele (např. poskytovatele informačního systému), a to na základě zpracovatelské smlouvy (která může být součástí smlouvy jiné např. o poskytování služeb). Problematika zpracování osobních údajů na základě této smlouvy je blíže specifikována v čl. 28 nařízení. V této smlouvě musí být vždy jednoznačně stanoven předmět a doba trvání zpracování osobních údajů, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a veškeré povinnosti a práva správce a zpracovatele. 

Ve smlouvě, která musí mít písemnou formu, navrhujeme výslovně stanovit tyto povinnosti zpracovatele:

  • že zpracovatel přijme všechna bezpečnostní, technická, organizační a jiná opatření požadovaná v čl. 32 nařízení, přitom přihlédne ke stavu techniky, nákladům na provedení, povaze zpracování, rozsahu zpracování, kontextu zpracování a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob,
  • že zpracovatel nezapojí do zpracování žádné další osoby bez předchozího písemného souhlasu správce,
  • že zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů správce (vč. předání údajů do třetích zemí a mezinárodním organizacím) a že výjimkou jsou pouze případy, kdy jsou určité povinnosti zpracovateli uloženy přímo právním předpisem,
  • že zpracovatel zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
  • že zpracovatel bude správci bez zbytečného odkladu nápomocen při plnění povinností správce, zejména povinnosti reagovat na žádosti o výkon práv subjektů údajů, povinnosti ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu dle čl. 33 nařízení, povinnosti oznamovat případy porušení zabezpečení osobních údajů subjektu údajů dle čl. 34 nařízení, povinnosti posoudit vliv na ochranu osobních údajů dle čl. 35 nařízení a povinnosti provádět předchozí konzultace dle čl. 36 nařízení, a že za tímto účelem zpracovatel zajistí nebo přijme vhodná technická a organizační opatření, o kterých ihned informuje správce; zde lze doporučit např. zavedení vhodného uživatelského prostředí, které umožní škole snadno nalézt a shromáždit potřebné údaje,
  • že zpracovatel po ukončení poskytování služeb spojených se zpracováním dle potřeb školy řádně naloží se zpracovávanými osobními údaji, např. že všechny osobní údaje vymaže, nebo je vrátí škole a vymaže existující kopie apod.,
  • že zpracovatel poskytne škole veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené správci právními předpisy,
  • že zpracovatel umožní kontroly, audity či inspekce prováděné správcem nebo jiným příslušným orgánem dle právních předpisů,
  • že zpracovatel poskytne bez zbytečného odkladu nebo ve lhůtě, kterou stanoví správce, součinnost potřebnou pro plnění zákonných povinností správce spojených s ochranou osobních údajů, jejich zpracováním a s plněním smlouvy o zpracování osobních údajů.

Ve smlouvě navrhujeme výslovně stanovit tyto prostředky zajištění a utvrzení závazků zpracovatele:

Plnění výše vymezených povinností zpracovatelem navrhujeme s přihlédnutím k jejich povaze zajistit vhodnými zajišťovacími či utvrzovacími prostředky, které stanoví právní předpisy, zejména pak zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů. Jedná se o smluvní pokuty, finanční záruky nebo využití zástavního práva.

Smluvní pokuty doporučujeme upravit nejen za porušení jednotlivých povinností zpracovatele uvedených ve smlouvě, ale především pro případy, kdy byla v důsledku jednání zpracovatele správci uložena pokuta.

Pro případ porušení povinností zpracovatele, které jsou pro školu zvláště významné (např. předání zpracovávaných údajů třetí osobě) navrhujeme ve smlouvě upravit právo správce odstoupit od smlouvy.

Ve všech smlouvách vždy doporučujeme upravit právo správce smlouvu vypovědět a stanovit přiměřenou výpovědní lhůtu.

Pokud jde o tzv. cloudové služby považujeme za nezbytné upozornit na tyto nejzávažnější aspekty, které se ve smlouvách se společnostmi, které je poskytují, často vykytují:

S vývojem techniky se stále častěji ve školách i jinde využívá k uchování dat tzv. cloudových služeb. K tomuto je třeba zdůraznit, že je povinností správce, v tomto případě školy, posoudit, zda je ochrana osobních údajů v rámci těchto služeb dostatečná i pro zpracování osobních údajů zaměstnanců a žáků školy. Kromě obecných požadavků uvedených výše je v těchto případech s ohledem na skutečnost, že poskytovateli služeb jsou většinou zahraniční právnické osoby, zejména nutné se řádně seznámit s podmínkami této ochrany. Je zapotřebí upozornit na skutečnost, že je vždy nutné se se všemi dokumenty seznámit, tedy by bylo vhodné, aby dané dokumenty byly v jazyce, kterému správce rozumí. Doporučujeme se s těmito dokumenty skutečně seznámit a souhlas s jejich zněním provést výslovně, nikoli pouze prostřednictvím odkazů na internetových stránkách poskytovatelů služeb a podobně.

Dále by bylo vhodné, aby bylo upraveno, že případné spory ze smluv budou řešeny podle českého práva českými soudy. Ačkoli se jedná o tzv. smlouvy formulářové, tedy smlouvy připravené pouze jednou smluvní stranou, kde druhá smluvní strana nemá prakticky žádnou možnost do jejich znění zasáhnout, je nutné si v tomto případě uvědomit důsledky ujednání o soudní příslušnosti v jiných zemích, případně absenci volby soudu ve smlouvě. Pokud by došlo k porušení smluvních podmínek ze strany zmiňovaných společností, a na základě mezinárodního práva soukromého by byla určena příslušnost soudu mimo Českou republiku i Evropskou unii, byla by podstatným způsobem ztížena možnost domáhat se svého práva proti poskytovatelům služeb.

Podobně lze doporučit, aby se školy snažily o vyjednání zvláštních podmínek ve vztahu k tomu, kde budou osobní údaje žáků a zaměstnanců škol uchovávány, a to zejména aby nebyly uchovávány mimo Českou republiku, respektive mimo Evropskou unii. Pokud tedy školy k tomuto přistupují, přesto že dochází ke zpracovávání osobních údajů dětí (žáků a studentů), pak je na místě vyšší míra opatrnosti ve vztahu k těmto údajům. Je nutné přistoupit aktivně k vyjednávání smluvních podmínek, které budou reflektovat požadavky českého právního řádu, ale také ochranu samotných dětí a jejich zákonných zástupců. Doporučuje se vyloučit či co nejvíce omezit využívání cloudových či obdobných služeb k ukládání a jinému zpracovávání osobních údajů, které není prováděno na základě smlouvy o zpracování osobních údajů (viz výše), v případech, kdy cloudové služby nejsou na serverech školy. Pokud je i přesto toto řešení zvoleno, musí být zajištěna dostatečná technická a další opatření k ochraně osobních údajů „v cloudech“.

Také lze doporučit například i změnu ustanovení o udělení licence ke zveřejněnému obsahu, která se v těchto smlouvách objevují. Doporučuje se podobnou licenci neudělovat, zejména ne k obsahu, kde mohou být uloženy osobní údaje či jiné citlivé informace o žácích, studentech či zaměstnancích. Rovněž i zde je třeba upozornit na nezbytnost důsledného sjednání technických a jiných opatření, za pomoci kterých se budou případně dotčené osobní údaje chránit (např. kontrola přístupu, nastavení hesel apod.).

Doporučuje se trvat na takové úpravě smluvních podmínek, aby po pokynu správce (školy) k odstranění dat nebyly tyto údaje nadále zachovávány v systémech poskytovatelů cloudových služeb.

Doporučuje se upravit závazek poskytovatele cloudových služeb smluvně a zajistit takovou úroveň ochrany ze strany subdodavatele, která bude odpovídat příslušným právním normám a požadavkům upraveným ve smlouvě se správcem.

Lze tedy doporučit zvážení toho, zda je pro školy výhodné využívat programy zahraničních, zejména mimounijních poskytovatelů cloudových služeb pro úschovu osobních údajů svých žáků a zaměstnanců, tedy zejména pro vedení matriky, ukládání fotografií a podobně, a to s ohledem na rozsah možných zásahů do jejich práv. Pokud to bude z hlediska vzdělávacích potřeb nutné, je třeba vždy posoudit, zda a do jaké míry nabízená služba odpovídá pravidlům ochrany osobních údajů nastavených nařízením. 

3. Nastavit vnitřní procesy zacházení s osobními údaji např. přijetím nebo revidováním směrnice a dalších dokumentů o zacházení s osobními údaji ve škole, nebo jiným opatřením

Vzor struktury směrnice týkající se ochrany osobních údajů a zpracovávání osobních údajů v podmínkách školy s některými doporučenými formulacemi:

„Směrnice školy … pro ochranu osobních údajů

Platnost směrnice: od 1. 5. 2018

1. Působnost

1.1 Tato směrnice upravuje postupy školy, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji, pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů. Směrnice rovněž upravuje některé povinnosti školy, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji.

1.2 Tato směrnice je závazná pro všechny zaměstnance školy. Směrnice je závazná i pro další osoby, které mají se školou jiný právní vztah (smlouva o dílo, nájemní smlouva) a které se zavázaly postupovat podle této směrnice.

2. Zásady nakládání s osobními údaji

  • Při nakládání s osobními údaji se škola, její zaměstnanci a další osoby řídí těmito zásadami:
  • Postupovat při nakládání s osobními údaji v souladu s právními předpisy,
  • S osobními údaji nakládat uvážlivě, souhlas se zpracováním osobních údajů nenadužívat,
  • Zpracovávat osobní údaje ke stanovenému účelu a ve stanoveném rozsahu a dbát na to, aby tyto byly pravdivé a přesné,
  • Zpracovávat osobní údaje v souladu se zásadou zákonnosti – na základě právních předpisů, při plnění ze smlouvy, při plnění právní povinnosti správce, při ochraně životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (zejména děti požívají vyšší ochrany), při ochraně oprávněných zájmů školy, při ochraně veřejného zájmu, a zpracování osobních údajů na základě souhlasu,
  • Respektovat práva člověka, který je subjektem údajů, zejména práva dát a odvolat souhlas se zpracováním, práva na výmaz, namítat rozsah zpracování apod.,
  • Poskytovat při zpracování osobních údajů zvláštní ochranu dětem,
  • Poskytovat informace o zpracování osobních údajů, komunikovat,
  • Při uzavírání smluv a právním jednání postupovat se zřetelem na povinnost chránit osobní údaje před zneužitím,
  • Spolupracovat s pověřencem pro ochranu osobních údajů.


3. Postupy školy, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji

3.1 Škola všechny osobní údaje, se kterými nakládá a které zpracovává, chrání vhodnými a dostupnými prostředky před zneužitím. Přitom škola především uchovává osobní údaje v prostorách, na místech, v prostředí nebo v systému, do kterého má přístup omezený, předem stanovený a v každý okamžik alespoň řediteli školy známý okruh osob; jiné osoby mohou získat přístup k osobním údajům pouze se svolením ředitele školy nebo jím pověřené osoby.

3.2 Škola zavede taková opatření, aby o nakládání a zpracování osobních údajů měl přehled alespoň ředitel školy nebo jím pověřená osoba a pověřenec pro ochranu osobních údajů. Mezi tato opatření patří např. ústní nebo písemná informace, písemná komunikace, stanovení povinností v pracovní smlouvě, v dohodě o provedení práce, v dohodě o pracovní činnosti, ve smlouvě, kterou škola uzavírá se třetí osobou (nájemní smlouva, smlouva o dílo, smlouva o poskytování služeb).

3.3 Škola alespoň jednou za rok provede zhodnocení postupů při nakládání a zpracování osobních údajů. Zhodnocení může být provedeno dle zvyklostí školy, zpravidla se učiní stručný záznam např. v zápisu z porady. Zjistí-li se, že některé postupy školy jsou zastaralé, zbytečné nebo se neosvědčily, učiní škola bezodkladně nápravu.

3.4 Každý zaměstnanec školy při nakládání s osobními údaji respektuje jejich povahu, tedy že jde o součást soukromí člověka jako subjektu údajů, a tomu přizpůsobí úkony s tím spojené. Zaměstnanec zejména osobní údaje nezveřejňuje bez ověření, že takový postup je možný, nezpřístupňuje osobní údaje osobám, které neprokáží právo s nimi nakládat. Zaměstnanec, vyplývá-li taková povinnost z jiných dokumentů, informuje subjekt údajů o jeho právech na ochranu osobních údajů; jinak odkáže na ředitele školy nebo jím určenou osobu nebo na pověřence pro ochranu osobních údajů.

3.5 Škola při nakládání a zpracovávání osobních údajů aktivně spolupracuje s pověřencem pro ochranu osobních údajů.

3.6 Škola ihned řeší každý bezpečnostní incident týkající se osobních údajů, a to v součinnosti s pověřencem pro ochranu osobních údajů. V případě, že je pravděpodobné, že incident bude mít za následek vysoké riziko pro práva a svobody fyzických osob, především konkrétního žáka, studenta, zaměstnance, zákonného zástupce atd., škola tuto osobu vždy informuje a sdělí, jaká opatření k nápravě přijala. O každém incidentu se sepíše záznam. O každém závažném incidentu škola informuje Úřad pro ochranu osobních údajů.

3.7 Vzhledem k tomu, že škola eviduje v podstatě údaje o žácích a zaměstnancích, které stanovují právní předpisy (zejména školský zákon a pracovněprávní předpisy), nemá oznamovací povinnost vůči Úřadu pro ochranu osobních údajů podle ustanovení 3.6 věty první.

3.8 Organizační opatření k ochraně osobních údajů ve škole

3.8.1 Třídní výkazy, katalogové listy a další materiály ze školní matriky, které obsahují osobní údaje žáků, jsou trvale uloženy v uzamykatelných skříních v kanceláři školy, a to v kanceláři ředitele nebo zástupce ředitele školy). Třídním učitelům jsou zapůjčeny na nezbytně dlouhou dobu k provedení zápisů. Vyučující jednotlivých předmětů zapisují jen klasifikaci dle úvazku a výhradně v kanceláři ředitele nebo zástupce ředitele. Třídní výkazy, katalogové listy, další materiály ze školní matriky či jejich části nelze vynášet ze školy, předávat cizím osobám nebo kopírovat a kopie poskytovat neoprávněným osobám.

3.8.2 Elektronická školní matrika je vedena v zabezpečeném informačním systému „Jedničkáři a propadlíci“. Do tohoto systému mají přístup jednotliví pedagogové školy a další osoby výslovně a písemně pověřené ředitelem školy, a to jen na základě jedinečného přihlašovacího jména a hesla a pouze v rámci oprávnění daného funkčním zařazením. Při práci s elektronickou evidencí oprávnění nesmí oprávněné osoby opouštět počítač bez odhlášení se, nemohou nechat nahlížet žádnou jinou osobu a musí chránit utajení přihlašovacího hesla; a v případě nebezpečí jeho vyzrazení jej ihned (ve spolupráci se správcem sítě) změnit. Přístupy nastavuje pověřený zaměstnanec školy – správce počítačové sítě, který nastavuje potřebné zabezpečení dat a školní počítačové sítě (dle pokynů ředitele a zástupce ředitele). Zákonní zástupci žáků a žáci mají zajištěn zabezpečený dálkový přístup výhradně k vlastním údajům o klasifikaci na základě přihlašovacího kódu a hesla předaného správcem počítačové sítě přísně individuálně prostřednictvím třídních učitelů.

3.8.3 Osobní spisy zaměstnanců jsou uloženy v uzamykatelných skříních v kanceláři ředitele školy, přístup k nim má ředitel školy nebo zástupce ředitele, zastupuje-li ředitele, případně, je-li to nutné též sekretářka školy nebo mzdová účetní.

3.8.4 Zaměstnanci mají právo seznámit se s obsahem svého osobního spisu. O tomto právu jsou zaměstnanci poučeni, zpravidla na poradě.

3.8.5 Zaměstnanci školy neposkytují bez právního důvodu žádnou formou osobní údaje zaměstnanců školy a žáků cizím osobám a institucím, tedy ani telefonicky ani mailem ani při osobním jednání.

3.8.6 Písemná hodnocení a posudky, která se odesílají mimo školu, např. pro potřeby soudního řízení, přijímacího řízení, zpracovávají zaměstnanci určení ředitelem školy. Nejsou však oprávněni samostatně tato hodnocení podepisovat, poskytovat a odesílat jménem školy a mají povinnost zachovávat mlčenlivost o dané věci.

3.8.7 Seznamy žáků se nezveřejňují, neposkytují bez vědomého souhlasu žáků či zákonných zástupců žáků jiným fyzickým či právnickým osobám nebo orgánům, které neplní funkci orgánu nadřízeného škole nebo nevyplývá-li to ze zákona.

3.8.8 V propagačních materiálech školy, ve výroční zprávě či ročence školy, na školním webu či na nástěnkách ve škole apod. lze s obecným souhlasem žáků nebo zákonných zástupců žáků uveřejňovat výhradně textové či obrazové informace o jejich úspěších (např. u soutěží umístění na předních místech) s uvedením pouze jména (případně ročníku či třídy). Při publikování v tisku se autor dotazuje na souhlas příslušného žáka. Žák nebo zákonný zástupce má právo požadovat bezodkladné zablokování či odstranění informace či fotografie či záznamu týkající se jeho osoby, který zveřejňovat nechce. Platí to i o fotografiích či záznamech žáka bez uvedení jména v rámci obecné dokumentace školních akcí a úspěchů.

3.8.9 Psychologické, lékařské a jiné průzkumy a testování mezi žáky, jejichž součástí by bylo uvedení osobních údajů žáka, lze provádět jen se souhlasem žáka nebo zákonného zástupce žáka. To se netýká anonymních průzkumů, které však musí souviset se vzděláváním na dané škole a musí s nim předem písemně souhlasit ředitel či zástupce ředitele; to platí zvláště v případě, že výsledky jsou poskytovány mimo školu.

3.8.10 Pokud jsou pro vedení dokumentace využívány formuláře a software, je nutné provést kontrolu, zda nepožadují či nenabízejí evidenci nadbytečných údajů a tyto údaje nezpracovávat.

3.8.11 Ve škole se neprovozují kamerové systémy sledující prostory používané žáky a zaměstnanci školy v době, kdy jsou žáci přítomni ve škole.

3.8.12 Uzavírá-li škola jakoukoli smlouvu (nájemní smlouvu, smlouvu o dílo, smlouvu o poskytnutí služeb, nepojmenovanou smlouvu apod.), k jejímuž plnění je zapotřebí druhé smluvní straně poskytnout osobní údaje, škola vždy a bezpodmínečně bude trvat na tom, aby ve smlouvě byla druhé smluvní straně uložena povinnost:

  • přijmout všechna bezpečnostní, technická, organizační a jiná opatření s přihlédnutím ke stavu techniky, povaze zpracování, rozsahu zpracování, kontextu zpracování a účelům zpracování k zabránění jakéhokoli narušení poskytnutých osobních údajů,
  • nezapojit do zpracování žádné další osoby bez předchozího písemného souhlasu školy,
  • zpracovávat osobní údaje pouze pro plnění smlouvy (vč. předání údajů do třetích zemí a mezinárodním organizacím); výjimkou jsou pouze případy, kdy jsou určité povinnosti uloženy přímo právním předpisem,
  • zajistit, aby se osoby oprávněné zpracovávat osobní údaje u dodavatele byly zavázány k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
  • zajistit, že dodavatel bude škole bez zbytečného odkladu nápomocen při plnění povinností školy, zejména povinnosti reagovat na žádosti o výkon práv subjektů údajů, povinnosti ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu dle čl. 33 nařízení, povinnosti oznamovat případy porušení zabezpečení osobních údajů subjektu údajů dle čl. 34 nařízení, povinnosti posoudit vliv na ochranu osobních údajů dle čl. 35 nařízení a povinnosti provádět předchozí konzultace dle čl. 36 nařízení, a že za tímto účelem zajistí nebo přijme vhodná technická a organizační opatření, o kterých ihned informuje školu,
  • po ukončení smlouvy řádně naložit se zpracovávanými osobními údaji, např. že všechny osobní údaje vymaže, nebo je vrátí škole a vymaže existující kopie apod.,
  • poskytnout škole veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené škole právními předpisy,
  • umožnit kontrolu, audit či inspekci prováděné školou nebo příslušným orgánem dle právních předpisů,
  • poskytnout bez zbytečného odkladu nebo ve lhůtě, kterou stanoví škola, součinnost potřebnou pro plnění zákonných povinností školy spojených s ochranou osobních údajů, jejich zpracováním,
  • poskytnuté osobní údaje chránit v souladu s právními předpisy,
  • přiměřeně postupovat podle této směrnice, která je přílohou smlouvy.

Blíže doporučujeme využít část 2. tohoto návodu.

4. Pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů.

4.1 Škola nakládá a zpracovává pouze osobní údaje, které

  • souvisejí s pracovním a mzdovým zařazením zaměstnanců či smluvních pracovníků, se sociálním, a zdravotním pojištěním (např. dosažené vzdělání, délka praxe, funkční zařazení apod.),
  • souvisejí s jednoznačnou identifikací zákonných zástupců žáků v souladu se zákonem (jméno, příjmení, bydliště, kontakt, např. telefonní číslo pro případ nutného kontaktu školy se zákonným zástupcem v rámci ochrany zdraví, bezpečnosti a práv žáka, další údaje nezbytné např. pro vydání správního rozhodnutí apod.),
  • související s identifikací žáka ze zákona (datum narození, místo narození, rodné číslo, státní příslušnost, bydliště, údaj o zákonném zástupci, soudní rozhodnutí vztahující se k přidělení dítěte do výchovy, nutný zdravotní údaj apod.),
  • jsou nezbytné pro plnění právní povinnosti, ochranu oprávněných zájmů školy nebo ve veřejném zájmu,
  • k jejichž zpracování získala souhlas subjektu údajů.

4.2 Osobní údaje se uchovávají pouze po dobu, která je nezbytná k dosažení účelu jejich zpracování, včetně archivace.

4.4 K osobním údajům mají přístup osoby k tomu oprávněné zákonem nebo na základě zákona. Do jednotlivých dokumentů školy, které obsahují osobní údaje, mohou nahlížet

  • do osobního spisu zaměstnance vedoucí zaměstnanci, kteří jsou zaměstnanci nadřízeni. Právo nahlížet do osobního spisu má orgán inspekce práce, úřad práce, soud, státní zástupce, příslušný orgán Policie České republiky, Národní bezpečnostní úřad a zpravodajské služby. Zaměstnanec má právo nahlížet do svého osobního spisu, činit si z něho výpisky a pořizovat si stejnopisy dokladů v něm obsažených, a to na náklady zaměstnavatele (§ 312 zákoníku práce),
  • do údajů žáka ve školní matrice pedagogičtí pracovníci školy (v rozsahu daném pedagogickou funkcí), sekretářka,
  • do údajů o zdravotním stavu žáka, zpráv o vyšetření ve školním poradenském zařízení, lékařských zpráv - výchovný poradce, vedoucí pedagogičtí pracovníci, třídní učitel,
  • do spisu, vedeném ve správním řízení účastníci správního řízení, sekretářka, vedoucí pedagogičtí pracovníci (ředitel, zástupce ředitele, vedoucí vychovatel), osoba, která je zmocněna s úředním spisem pracovat po dobu řízení.

5. Souhlas k zpracováním osobních údajů

5.1 Ke zpracování osobních údajů nad rozsah vyplývající ze zákonů (ze zákona vyplývá i oprávněný zájem, plnění právní povinnosti, plnění smlouvy, veřejný zájem) je nezbytný souhlas osoby, o jejíž osobní údaje se jedná. Souhlas musí být poučený, informovaný a konkrétní, nejlépe v písemné podobě. Souhlas se získává pouze pro konkrétní údaje (určené např. druhově), na konkrétní dobu a pro konkrétní účel.

5.2 Souhlas se získává pro zpracování osobních údajů jen tehdy, pokud je jejich zpracování nezbytně nutné a právní předpisy jiný důvod pro toto zpracování nestanoví.

5.3 Souhlas se poskytuje podle účelu např. na celé období školní docházky na škole, na školní rok, na dobu školy v přírodě apod. Udělený souhlas může být v souladu s právními předpisy odvolán.

6. Některé povinnosti školy, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji.

6.1 Každý zaměstnanec školy je povinen počínat si tak, aby neohrozil ochranu osobních údajů zpracovávaných školou.

6.2 Dále je každý zaměstnanec školy povinen

  • zamezit nahodilému a neoprávněnému přístupu k osobním údajům zaměstnanců, žáků, zákonných zástupců a dalších osob, které škola zpracovává,
  • , pokud zjistí porušení ochrany osobních údajů, neoprávněné použití osobních údajů, zneužití osobních nebo jiné neoprávněné jednání související s ochranou osobních údajů, bezodkladně zabránit dalšímu neoprávněnému nakládání, zejména zajistit znepřístupnění, a ohlásit tuto skutečnost řediteli školy či jinému příslušnému zaměstnanci.

6.3 Ředitel školy je povinen

  • informovat zaměstnance o všech významných skutečnostech, postupech nebo událostech souvisejících s nakládáním s osobními údaji ve škole, a to bez zbytečného odkladu,
  • zajistit, aby zaměstnanci školy byli řádně poučeni o právech a povinnostech při ochraně osobních údajů,
  • zajišťovat, aby zaměstnanci školy byli podle možností a potřeb školy vzděláváni nebo proškolováni o ochraně osobních údajů
  • zajistit, aby škola byla schopna řádně doložit plnění povinností školy při ochraně osobních údajů, které vyplývají z právních předpisů.

S touto směrnicí byli seznámeni dne …:

1. Jméno a příjmení podpis

2. Jméno a příjmení podpis“.

Doporučení uvedená v návrhu textu směrnice lze převzít nebo zapracovat i do jiných dokumentů školy, např. do školního řádu, provozního řádu, pracovního řádu, bezpečnostního řádu, IT směrnice, směrnice pro práci s IT technikou a informačními systémy. Uvedené formulace lze rovněž v přiměřeném rozsahu převzít do pracovní smlouvy, dohody o provedení práce, do dohody o pracovní činnosti, do náplně práce, do smluv uzavíraných se třetí stranou (nájemní smlouva, smlouva o dílo, smlouva o poskytnutí služeb apod.).

V rámci nastavení vnitřních mechanizmů je třeba se dále zabývat využíváním kamerových systémů a biometrických údajů za účelem zajištění bezpečnosti ve škole. Kamerové systémy v důsledku technického pokroku využívá stále více škol, nicméně je třeba mít na paměti, že pořízení záznamu je zásahem do práva na ochranu osobních údajů jednotlivců. Takový zásah je přípustný za předpokladu, že veřejný zájem na bezpečnosti dětí/žáků/studentů či ochraně majetku převažuje nad zájmem konkrétních subjektů údajů na ochranu jejich osobních údajů. Důležité je vždy uvážit, na jakých místech budou kamery umístěny tak, aby jejich využití bylo efektivní k ochraně chráněných zájmů a zároveň, aby nedocházelo k nadměrnému zásahu do práv osob.

Co se týče zpracování zvláštních kategorií osobních údajů, tzv. biometrických údajů (např. snímání otisku prstů pro vstup do školy), je třeba si uvědomit, že se jedná o vysoce citlivé údaje, jejichž zpracování by mělo být spojené jen s ochranou těch nejzávažnějších zájmů. Nelze navíc vyloučit, že pokud se dítě v raném věku setká s tím, že zpracovávání těchto údajů v souvislosti s běžným chodem školy je standardní, může mít toto vliv na jeho budoucí postoj k nakládání s tímto typem osobních údajů.

Před zavedením takovýchto bezpečnostních opatření je třeba vyhodnotit, zda je tak závažný zásah do práv subjektu údajů skutečně nezbytný, zejména zda není možné ochrany docílit jinými prostředky, např. nepostačuje-li pro zamezení vstupu nepovolaným osobám do budov zavedení identifikačních karet nebo čipů. V případě využívání biometrických údajů totiž nelze dovodit, že by chráněné zájmy bez dalšího převládaly nad právem na ochranu osobních údajů jednotlivců a bude tedy vždy třeba zajistit souhlas všech dotčených subjektů údajů. Toto s sebou nese důsledky, a to nejen ve formě pravděpodobného obcházení systému, ale i formou komplikací v případě, že subjekt souhlas neudělí. 

4. Zajistit pověřence pro zpracování osobních údajů ve škole

Je nezbytné, aby měly školy ke dni účinnosti nařízení, tedy ke dni 25. 5. 2018 jmenovaného pověřence.

Podrobněji k této problematice viz výše zmíněná metodická pomůcka a metodické doporučení Ministerstva vnitra k pověřenci http://www.mvcr.cz/clanek/zpravodajstvi-institut-poverence-pro-ochranu-osobnich-udaju-informace-pro-obce.aspx .


5. Informace o zpracování osobních údajů

V souladu s nařízením má správce údajů nově povinnost informovat subjekt údajů o tom, že jsou jeho údaje zpracovávány a rovněž jakým způsobem jsou zpracovávány. Nezbytné je rovněž subjekt informovat o tom, kdo je správcem osobních údajů a kdo vykonává funkci pověřence, a to včetně kontaktních údajů. Informovat subjekt údajů je třeba snadno dostupným způsobem, forma není nařízením explicitně stanovena, lze doporučit např. využití webových stránek nebo zahrnutí informace přímo do používaných formulářů, a to typizovaně podle jednotlivých kategorií údajů, při komunikaci se žáky, studenty nebo zákonnými zástupci podat výslovně informaci o zpracování osobních údajů.

Správce je povinen subjekt údajů stručně informovat o zpracovávání jeho údajů pouze v rozsahu stanoveném nařízením, např. na webových stránkách může být uvedeno, že správce na základě zákona zpracovává ohledně žáků jejich jména a příjmení, nikoliv však konkrétní jmenný seznam žáků, k tomuto viz níže příkladová informace.

V čl. 13 nařízení se upravuje povinnost správce informovat subjekt údajů o zpracování osobních údajů v případě, kdy jsou dané údaje obdrženy přímo od subjektu údajů. Čl. 14 nařízení pak upravuje obdobnou povinnost i pro případy, kdy správce osobní údaje nezíská přímo od osob, jichž se týkají.

Pokud jsou osobní údaje získány přímo od subjektu údajů, pak informace o zpracování musí obsahovat alespoň níže uvedené:

  1. název školy a její kontaktní údaje včetně údajů o pověřenci (např. Základní škola Lesanka, ulice Lesní 123, 999 99 Dolní Lhota, pověřenec Ing. Břeněk Pověřený, tel. č. 777 888 999, email: poverenybrenek@lesanka.cz, k zastižení v kanceláři č. 666 každý všední den v 10 – 15 hodin);
  2. účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování (např. § 28 zákona č. 561/2004 Sb.);
  3. v relevantních případech informaci o tom, že zpracování je nezbytné pro účely oprávněných zájmů příslušné školy či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě (např. zájem na zajištění bezpečnosti ve škole);
  4. v relevantních případech příjemce nebo kategorie příjemců osobních údajů (např. partnerská škola v jiné zemi);
  5. případný úmysl školy předat osobní údaje do třetí země nebo mezinárodní organizaci včetně záruk apod. 


Vedle výše uvedených informací poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování, tedy informace o:

  1. době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
  2. existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
  3. v případě údajů zpracovávaných na základě souhlasu informaci o existenci práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
  4. existenci práva podat stížnost u dozorového úřadu, kterým je úřad na ochranu osobních údajů;
  5. o skutečnosti, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;
  6. o skutečnosti, že dochází k automatizovanému rozhodování, a k použitému postupu a možnému dopadu na subjekt údajů.

Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu. Dále je třeba zdůraznit, že subjekt údajů není třeba informovat o skutečnostech, které již zná, tzn., pokud je subjekt údajů již seznámen s tím, že se jeho údaje daným způsobem zpracovávají, pak není třeba jej o zpracování těchto údajů konkrétně informovat; postačí subjekt údajů o zpracování informovat při první příležitosti. Kupříkladu, když uchazeč o studium zašle škole přihlášku, pak uchazeči musí být zřejmé, že správce na základě přihlášky zpracovává jeho osobní údaje uvedené v této přihlášce.

Obdobné vlastnosti pak musí mít informace o zpracování v případě, že údaje nebyly získány od subjektů údajů. Stále platí, že subjekt údajů se neseznamuje se skutečnostmi, které jsou mu již známy, zároveň pak platí, že se informování subjektu údajů neprovádí, pokud se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí (zejména např. v případech zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely apod.). Informovat dále není třeba v případech, kdy je získávání nebo zpřístupnění údajů včetně vhodných opatření výslovně stanoveno právními předpisy; nebo pokud se jedná o osobní údaje, které musí zůstat důvěrné včetně zákonné povinnosti mlčenlivosti.

Příkladová informace o zpracování osobních údajů ve škole by mohla vypadat např. takto:

Základní škola Lesanka, Dolní Lhota, dále jen „škola“ jako správce osobních údajů zpracovává údaje v níže uvedených případech (např. případ vedení dokumentace školy). Na školu je možné se k uplatnění práv v oblasti osobních údajů obracet prostřednictvím datové schránky, ID DS XXXXXX, emailem na adrese lesankaoffice@lesanka.cz nebo poštou na adrese Základní škola Lesanka, ulice Lesní 123, 999 99 Dolní Lhota. Výše uvedenými způsoby je možné se v relevantních případech na školu obracet za účelem uplatnění práva na přístup k osobním údajům, jejich opravu nebo výmaz, popřípadě omezení zpracování, vznést námitku proti zpracování, jakož i při uplatnění práva na přenositelnost údajů a dalších práv podle obecného nařízení o ochraně osobních údajů. Výše uvedenými způsoby se mohou subjekty údajů na školu obracet v případě údajů zpracovávaných na základě souhlasu rovněž za účelem odvolání souhlasu se zpracováním osobních údajů.

Jmenovaným pověřencem pro školu je Ing. Břeněk Pověřený, tel. č. 777 888 999, email: poverenybrenek@lesanka.cz, k zastižení v kanceláři č. 666 každý pátek v 10- 15 hodin.

Příklad konkrétní informace o zpracování osobních údajů v rámci vykonávaných agend by mohla vypadat např. takto:

Pro zajištění vedení dokumentace školy, v souladu s ustanovením § 28 zákona č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), ve znění pozdějších předpisů, zpracovává škola o žácích následující typy údajů:

jméno a příjmení; rodné číslo (popřípadě datum narození, nebylo-li rodné číslo dítěti, žákovi nebo studentovi přiděleno); státní občanství; místo narození; místo trvalého pobytu, popřípadě místo pobytu na území České republiky podle druhu pobytu cizince nebo místo pobytu v zahraničí, nepobývá-li dítě, žák nebo student na území České republiky; údaje o předchozím vzdělávání, včetně dosaženého stupně vzdělání; datum zahájení vzdělávání ve škole; údaje o průběhu a výsledcích vzdělávání ve škole; vyučovací jazyk; údaje o znevýhodnění žáka; údaje o mimořádném nadání žáka; údaje o podpůrných opatřeních poskytovaných žákovi školou, a o závěrech vyšetření uvedených v doporučení školského poradenského zařízení; údaje o zdravotní způsobilosti ke vzdělávání a o zdravotních obtížích, které by mohly mít vliv na průběh vzdělávání; datum ukončení vzdělávání ve škole a údaje o zkoušce, jíž bylo vzdělávání ve střední nebo vyšší odborné škole ukončeno.

Výše vymezené údaje se dále v souladu s ustanovením § XXXX předávájí XXXXXX.- CZVV, MŠMT atd.

Další agendy, resp. činnosti, o kterých je třeba informovat, najdete v přiložených záznamech o činnostech.