29. 3. 2018
ID: 107254upozornění pro uživatele

GDPR ve školkách, školách a dalších příspěvkových organizacích

Povinnosti spojené s Obecným nařízením o ochraně osobních údajů (General Data Protection Regulation neboli „GDPR“) dopadnou vedle podnikatelů nejen na obce jako takové a jejich úřady, ale také na jednotlivé příspěvkové organizace. V tomto článku se zaměříme na školky a školy a řekneme si, jaké základní povinnosti jim GDPR ukládá a jak by měli postupovat. Jednoduše a věcně.

JAKOVIDIS | KLEGA | PARTNERS advokátní kancelář

Cílem tohoto článku není zahltit organizace přemírou informací ani je zbytečně strašit. GDPR se dá v jejich případech zvládnout relativně snadno, rychle, prakticky a bez vysokých nákladů.

Úvodem si ve zkratce řekněme pár základních informací o GDPR. Toto nařízení EU vstoupí v účinnost 25. května 2018. Představuje nový právní rámec ochrany osobních údajů a pro subjekty, které osobní údaje zpracovávají, přináší také povinnosti. Ty se liší podle typu zpracovatele a způsobu zpracovávání osobních údajů. Za porušení povinností hrozí organizaci pokuta až do 20 miliónů EUR. Byť v první fázi se očekává spíše shovívavý přístup ze strany úřadů, vždy bude třeba posuzovat případ od případu.

A teď k věci. Jak se s problémem zvaným GDPR poprat co nejsnáze, a přitom naplnit všechny zákonné povinnosti s tím spojené? V zásadě stačí dodržet 5 kroků, které níže popisuji.

KROK PRVNÍ – UDĚLEJTE SI JEDNODUCHÝ AUDIT

Školky a školy zpracovávají neustále velké množství dat, které lze považovat za osobní údaje. Mezi ně patří zejména osobní údaje o dětech či studentech, přičemž se může jednat o zvláštní kategorii tzv. citlivých údajů, jakými jsou například údaje o zdravotním stavu dítěte či různá posouzení, případně některé údaje o rodinných vztazích. Vedle toho však školy zpracovávají řadu dalších osobních údajů, ať už údaje od rodičů, pedagogických pracovníků či jiných zaměstnanců apod. Kumuluje se zde také více právních důvodů pro jejich zpracovávání, ať už takovým titulem bude nějaký oprávněný zájem nebo plnění zákonné či smluvní povinnosti, případně veřejný zájem. Toto vše je třeba zmapovat. Nejlépe toho docílí, pokud tyto otázky prodiskutují s odborníkem na GDPR a vyhodnotí jak rizika, tak možné nastavení vnitřních procesů v souladu s GDPR. Lze tedy hovořit o jakémsi GDPR auditu. Ale není třeba se hned bát složitého a nákladného procesu. Možná už při prvním jednání zjistí, že řadu osobních údajů chrání relativně dobře, protože již nyní postupují v souladu s platnou právní úpravou, tedy zákonem č. 101/2000 Sb., o ochraně osobních údajů. Jen se některé procesy upraví a jiné nově doplní. Není třeba se obávat, je třeba se do toho včas pustit. V květnu by již mělo být vše funkčně nastavené.

KROK DRUHÝ – INTERNÍ SMĚRNICE GDPR

Jak jsem již uvedl výše, v případě škol a školek bude vyžadována mimo jiné komplexní úprava vnitřních procesů v souladu s GDPR. Opět to může znít komplikovaně, ale nemusí být. Již během prvního kroku se možná začnete trochu orientovat v principech a zásadách GDPR. Na základě těchto pravidel pak můžete, ideálně ve spolupráci s odborníkem, nastavit interní postupy a procesy správně. Tím je myšleno, že by každý, kdo v rámci dané organizace nějak disponuje či přímo zpracovává osobní údaje, měl mít nastavená pravidla, jak jednat a postupovat, aby byla vždy zajištěna co nejlepší ochrana osobních údajů, tím spíše těch citlivých. Tato pravidla je pak na místě formalizovat vydáním vnitřní směrnice dané organizace a případně dalšími postupy, zejména technickými. Opět se nemusí jednat o nic až tak složitého, pokud se ve fungování dané instituce zorientujete, tím spíše, pokud již některé procesy byly nyní nastavené k ochraně osobních údajů ve smyslu uvedeného zákona a data technicky i fakticky chráněna.

KROK TŘETÍ – ŠKOLENÍ ZAMĚSTNANCŮ

Jedna věc je nastavení procesů a druhá je jejich reálné fungování v praxi. Můžete mít odborně sepsanou interní směrnici, pokud se jí však nebude nikdo ze zaměstnanců řídit, nebudou údaje dostatečně chráněny. A nebudou – li údaje ochráněny, hrozí organizaci pokuta ve správním řízení. Proto je na místě, obdobně jako v případě BOZP, zaměstnance a případné další osoby pravidelně proškolit také v rámci ochrany osobních údajů, tedy GDPR. Periodu školení bych nastavoval s ohledem na konkrétní podmínky a parametry dané příspěvkové organizace. Ani školení vám nezajistí 100% jistotu dodržování všech principů a pravidel ze strany zaměstnanců, avšak v případě správního řízení a hrozící pokuty za správní delikt může pravidelné školení, stejně jako řádně nastavené vnitřní procesy, dostatečně odůvodnit mnohem mírnější postup ze strany kontrolního orgánu, a také mírnější sankci. Je to tedy váš nástroj budoucí obhajoby.

KROK ČTVRTÝ – UPRAVTE SMLOUVY S DODAVATELI A PŘIPRAVTE SI SOUHLASY

Pakliže část osobních údajů předáváte dalším subjektům, příkladem předání účetnictví, zpráva dat apod., je třeba s těmito subjekty dostatečně smluvně upravit také ochranu osobních údajů v kontextu GDPR. Údaje by měly být dobře chráněny i v rámci jejich zpracovávání. V některých případech bude třeba souhlasu osoby se zpracováním údajů. Je tedy vhodné mít tyto souhlasy předpřipravené.

KROK PÁTÝ – POVEŘENEC

Již v rámci prvního kroku byste měli vyhodnotit, zda právě vaší organizaci Nařízení GDPR ukládá povinnost zavést obligatorně pozici tzv. Pověřence pro ochranu osobních údajů. Školám a školkám Nařízení ukládá povinnost mít Pověřence. To je samozřejmě určitá komplikace navíc. Pověřenec by se měl orientovat v právní úpravě GDPR, včetně evropské legislativy a průběžně také v rozhodovací praxi, která teprve nastaví některá výkladová pravidla. Je na místě Pověřence blíže seznámit s chodem organizace, způsobem fungování a procesy zpracovávání údajů. GDPR také poukazuje na střet zájmu, kdy Pověřencem rozhodně nemůže být zaměstnanec v pozici vedoucích personálních oddělení či IT i jiných oddělení, kde se určují pravidla a způsoby zpracovávání osobních údajů, ať už interních nebo třeba údajů klientely. Pověřenec však nenese odpovědnost za nedodržení povinností v souvislosti s ochranou osobních údajů. Ta je vždy na správci či zpracovateli. Rozhodně lze doporučit zvolit za Pověřence osobu, s níž se bude organizaci dobře komunikovat. Dobrá komunikace umožní flexibilní řešení ad hoc případů, které bezesporu mohou nastat.

S dostatečnou přípravou není třeba se GDPR zbytečně obávat. Nelze však ochranu údajů podceňovat, jak se tomu v mnoha případech dělo dosud.


Jiří Klega

Jiří Klega
,
advokát


JAKOVIDIS | KLEGA | PARTNERS  advokátní kancelář

U Staré elektrárny 291/11, 710 00 Ostrava
Slívenecká 1121/72, 155 00 Praha 5
Bohumínská 1553, 73532 Rychvald

Tel.:    +420 608 133 636
e-mail:    klega.j@advokatova.cz


© EPRAVO.CZ – Sbírka zákonů , judikatura, právo | www.epravo.cz