Školy se začínají potýkat s GDPR. Začerňují fotky z výletů, zamykají třídní knihy

Jména a příjmení žáků už na nástěnkách nebo školních webech nenajdete. Mnohde zmizela i řada fotografií. Kvůli unijnímu nařízení o ochraně osobních údajů je školy raději smazaly. Dokumenty o dětech uložily pod zámek a před zveřejněním fotek dětí žádají rodiče o souhlas.

video

Školy kvůli GDPR stahují fotografie žáků a zamykají třídnice

Osobní údaje svých žáků chránily školy už dřív. Nyní ale musejí být ještě důslednější. Ostravská základní škola už proto například zveřejňuje fotky dětí jen se souhlasem rodičů.

„Někteří souhlasí s uveřejněním na webových stránkách školy, ne ale na Facebooku školy, takže se to musí přizpůsobit názorům rodičů,“ řekla ČT ředitelka ZŠ I. Sekaniny Miroslava Bukovská.

GDPR změnilo i podobu mateřské školy v centru Ostravy. Z nástěnek zmizely seznamy se jmény dětí a na skříňkách mají děti jen svou značku a křestní jméno. Třídní knihu vychovatelky zamykají do sborovny.

Pokud si školy stále neví s novým nařízením rady, mohou se obrátit na takzvané pověřence. Informace dostaly i od ministerstva. To například upozorňuje, že se škola za určitých okolností nemusí bát žáky na internetu ukazovat.

Fakta GDPR v otázkách a odpovědích

GDPR v otázkách a odpovědích

1) Proč slyším o GDPR ze všech stran právě v posledních týdnech a co ta zkratka vlastně znamená?
Pod zkratkou GDPR se skrývá obecné nařízení o ochraně osobních údajů (z anglického General Data Protection Regulation). Nařízení schválili evropští zákonodárci na jaře 2016 a dali podnikům a institucím, které využívají osobní data Evropanů, dva roky na to, aby se na nová pravidla připravily. Nařízení nabylo ve všech státech EU účinnosti 25. května.
2) Osobní údaje se však chrání už teď. Dokážete v jednom souvětí shrnout změny, které mě jako běžného občana – uživatele čekají?
Především dostanete nové informace. Nařízení totiž klade důraz na transparentnost, to znamená, že všechny firmy a instituce, které pracují s osobními údaji občanů, je budou muset informovat o tom, co s údaji o nich dělají. A získáte také nová práva, například právo žádat výmaz svých údajů z marketingových databází. Zvlášť v internetovém prostředí pak bude vítanou novinkou právo na přenositelnost. To umožní občanům zdarma žádat přenos svých osobních údajů od starého správce, například poskytovatele e-mailové schránky, k novému.
3) Týká se to i sociálních sítí? E-mailů?
Ano. Nařízení reaguje právě na rozvoj nových technologií a komunikačních nástrojů, které v 90. letech, kdy vznikala stará evropská směrnice o ochraně osobních údajů, často ještě vůbec neexistovaly.
4) Jak zjistím, která data o mně kdo uchovává? Můžu se přímo zeptat?
Ano. Správce nebo zpracovatel osobních údajů, od soukromých firem přes státní úřady, nemocnice až po neziskové organizace, vám musí sdělit, jaké osobní údaje o vás zpracovává a jaký je účel tohoto zpracování. Pokud organizace jmenuje pověřence pro ochranu osobních údajů – toho musí podle GDPR povinně mít například nemocnice, státní úřady, internetové vyhledavače nebo také mobilní operátoři – můžete se s dotazy obracet přímo na něj. V ostatních případech na jednatele nebo na zaměstnance, s nímž jste v minulosti komunikovali.
5) Firma odmítá moje data smazat, nekomunikuje. Jak postupovat dál?
V takovém případě můžete podat podnět k Úřadu pro ochranu osobních údajů, aby situaci prošetřil.
6) Informace o mně jsou na internetu nepravdivé nebo staré, jak se bránit?
Kontaktujte správce nebo zpracovatele dat, tedy například provozovatele internetových stránek, a požádejte ho o opravu osobních údajů. Vyhovět podle nařízení musí bez zbytečného odkladu.
7) Ve své živnosti mám několik databází zákazníků, existuje jednoduchý návod, co smazat, a co ne?
Na tuto otázku jednoduchá odpověď neexistuje. Nařízení dává pouze obecný návod a je na každé společnosti či živnostníkovi, aby si udělal analýzu osobních údajů, které o svých zákaznících, ale také třeba zaměstnancích, má a z jakého titulu je sbírá. Titulem opravňujícím ke sběru dat může být plnění smlouvy, plnění zákonné povinnosti, oprávněný zájem nebo také souhlas se zpracováním osobních údajů. Je na vás, abyste posoudili, zda takové oprávnění máte. Pokud ne, musíte osobní údaje smazat.
8) Mohu se povinnosti provádět vstupní analýzy k GDPR vyhnout tím, že všechny zákazníky, zaměstnance a lidi, s nimiž přicházím do kontaktu, požádám o souhlas se zpracováním osobních údajů?
Nikoliv. Naopak kvůli sbírání souhlasů v případech, že je nepotřebujete, protože vás ke zpracování opravňuje jiný titul – například povinnost plynoucí ze smlouvy – můžete od Úřadu pro ochranu osobních údajů dokonce dostat pokutu. Takové chování totiž úřad považuje za klamavé. Může v lidech vzbuzovat mylný dojem, že souhlas mohou později odvolat a správce bude muset na základě toho jejich údaje vymazat.
9) Kdo firmám a živnostníkům poradí s otázkami kolem nových pravidel ochrany osobních údajů?
V nabídkách poradenství se předhánějí advokátní kanceláře a nejrůznější konzultantské společnosti. Levnější je ale obvykle hledat pomoc u profesních organizací, jako je třeba Svaz průmyslu a dopravy nebo Hospodářská komora. Některé – například Česká stomatologická komora – zveřejnily také metodiky a návody, jak se na GDPR připravit. Základní otázky kolem nařízení zodpoví také ChatBot vytvořený ve spolupráci Svazu průmyslu a dopravy, ministerstva vnitra a společnosti IBM. Pokyny a výkladová stanoviska k novému nařízení jsou k dispozici také na webu Úřadu pro ochranu osobních údajů.
10) Týká se GPDR i úřadů či občanských spolků? Budou se data mazat i tam?
Evropské nařízení o ochraně osobních údajů se týká všech, kdo pracují s osobními údaji. Státní instituce, neziskové organizace, ale také bytová družstva nebo společenství vlastníků v tom nejsou výjimkou. To ale neznamená, že by musely osobní údaje hned mazat. Zvlášť státní instituce až na výjimky totiž sbírají osobní údaje ze zákona. Totéž platí také o osobních údajích vlastníků bytů nebo nájemníků, které sbírají společenství vlastníků jednotek.
11) Český zákon o zpracování osobních údajů, který reaguje na GDPR, teprve projednává sněmovna. Znamená to, že se Češi budou muset začít řídit novými pravidly až poté, co politici zákon schválí?
Ne. Nařízení je přímo účinné ve všech zemích Evropské unie. Bez ohledu na stav projednávání národních adaptačních zákonů začala ve všech členských zemích Unie nová pravidla platit 25. května. Členské státy si ve svých předpisech pouze mohou upravit ty oblasti, kde to Brusel výslovně umožnil. Nastavit si tak mohou například věk, do nějž budou muset zpracování osobních údajů dětí odsouhlasit rodiče. Oscilovat může mezi 13 a 16 lety. Český návrh zákona také snižuje pokuty, které hrozí za porušení nových pravidel orgánům veřejné moci, a nově upravuje i fungování Úřadu pro ochranu osobních údajů.

„Když dítě něco vyhraje a stojí tam s diplomem, tak ví, že je foceno. Řekla bych, že dává souhlas k tomu, aby se fotka později uveřejnila,“ uvedla náměstkyně sekce legislativy a mezinárodních vztahů Dana Prudíková. Školy se ale přesto raději jistí podpisy rodičů. Ti mohou svá rozhodnutí kdykoli během školního roku změnit.

Fakta

Některé mýty a skutečnost

Školy už se budou muset obejít bez fotek žáků například na nástěnkách.
Skutečnost: V propagačních materiálech školy, ve výroční zprávě či ročence školy, na školním webu či na nástěnkách ve škole apod. lze s obecným souhlasem žáků nebo zákonných zástupců žáků uveřejňovat výhradně textové či obrazové informace o jejich úspěších (např. u soutěží umístění na předních místech) s uvedením pouze jména (případně ročníku či třídy). Žák nebo zákonný zástupce má právo požadovat bezodkladné zablokování či odstranění informace či fotografie či záznamu týkajících se jeho osoby, které zveřejňovat nechce. Platí to i o fotografiích či záznamech žáka bez uvedení jména v rámci obecné dokumentace školních akcí a úspěchů.
Osobní údaj je jenom rodné číslo
Skutečnost: Mezi obecné osobní údaje patří jméno a příjmení, pohlaví, věk a datum narození, IP adresa nebo foto či videozáznam, e-mailová adresa, telefonní číslo či různé identifikační údaje vydané a evidované státem a další speciální údaje (sexuální orientace, členství v odborech…).
Současné databáze e-mailů, které ve firmě používám, již nebude možné použít.
Skutečnost: Pokud využíváte vlastní databázi kontaktů, do které se vaši zákazníci svobodně přihlásili a udělili vám souhlas pro zasílání e-mailů, v tom případě můžete takovou databázi i nadále používat. Pokud ale takový svobodný souhlas od zákazníků nemáte nebo vaše evidence těchto údajů není dokonalá, je nutné získat nový souhlas. Toto se nevztahuje na kontakty, které jste získali na základě objednávek, které u vás vaši zákazníci uskutečnili. V takovém případě platí váš oprávněný zájem pro zasílání nabídkových newsletterů vždy. Obeslaní zákazníci ale musí ve všech případech mít možnost se ze zasílání e-mailů odhlásit.
Jakýkoliv zákazník má právo na vymázání veškerých svých osobních údajů z databází.
Skutečnost: Na žádost uživatele je firma povinna odstranit všechny osobní údaje, k jejichž používání uživatel udělil souhlas. Tato povinnost ale neplatí pro údaje, které jsou firmy dle platných zákonů povinny uchovávat, například pro účely archivace, reklamačních řízení, účetnictví, Policie ČR.
Veškeré ukládané osobní informace musí být šifrovány nebo anonymizovány.
Skutečnost: Žádnou takovou povinnost GDPR neukládá. Povinností firem je zabezpečit osobní údaje proti zneužití třetí stranou.
Na základě „práva na informování“ musí firma poskytnout zákazníkovi veškeré informace, které o něm má, a to ve formátu, který zákazník požaduje.
Skutečnost: Do 30 dnů musí provozovatel e-shopu zákazníkovi poskytnout všechny údaje, které o něm má k dispozici. Tedy především půjde o jeho osobní údaje a seznam provedených objednávek. Formát předaných informací není stanoven, pouze musí být srozumitelný.
Každý podnikatel musí mít svého Pověřence pro ochranu osobních údajů.
Skutečnost: Tato povinnost se podnikatelů provozujících své živnosti nebo e-shopy zcela jistě netýká.
Někteří správci a zpracovatelé však skutečně musí povinně jmenovat pověřence. Je to případ všech orgánů veřejné moci a veřejných subjektů a dalších organizací, které – jako hlavní činnost – systematicky a rozsáhle monitorují jednotlivce nebo rozsáhle zpracovávají zvláštní kategorie údajů.
V Česku se implementace nestihla, nařízení se posouvá
Skutečnost: Bez ohledu na zpoždění českého adaptačního zákona se v Česku, stejně jako ve všech dalších zemích EU, opravdu začíná v pátek 25. května. Státy si mohou například upravit věk, od kterého by měly mít děti možnost udělit souhlas se zpracováním osobních údajů. To je důležité například pro využívání sociálních sítí. V evropském nařízení je stanoven věk 16 let, státy si ho mohou snížit, ale ne pod 13 let. V Česku se chystá v adaptačním zákoně hranice 15 let, která odpovídá hranicím v trestním a občanském právu.
Nutnost informovaného souhlasu ve zdravotnictví (pro ambulatní poskytovatele zdravotních služeb)
Skutečnost: netýká se běžného provozu a poskytování péče; je ale nezbytný v případě zapojení do výzkumu, u klinických studií či jakýchkoli aktivit a zpracování dat, které nesouvisejí s vlastním poskytováním péče.
Zdroj: Webareal, Úřad pro ochranu osobních údajů, Ministerstvo školství, mládeže a tělovýchovy, Ministerstvo zdravotnictví

Živě

Školy se začínají potýkat s GDPR. Začerňují fotky z výletů, zamykají třídní knihy

Školy kvůli GDPR stahují fotografie žáků a zamykají třídnice

Hlavní zprávy

Živě

Školy kvůli GDPR stahují fotografie žáků a zamykají třídnice

Další z rubriky: Regiony

Některé obce čekají při volbách i místní referenda. Rozhodovat se bude o stavbě zoo nebo průmyslového komplexu

Hlavní zprávy