Školy se začínají potýkat s GDPR. Začerňují fotky z výletů, zamykají třídní knihy

Školy kvůli GDPR stahují fotografie žáků a zamykají třídnice (zdroj: ČT24)

Jména a příjmení žáků už na nástěnkách nebo školních webech nenajdete. Mnohde zmizela i řada fotografií. Kvůli unijnímu nařízení o ochraně osobních údajů je školy raději smazaly. Dokumenty o dětech uložily pod zámek a před zveřejněním fotek dětí žádají rodiče o souhlas.

Osobní údaje svých žáků chránily školy už dřív. Nyní ale musejí být ještě důslednější. Ostravská základní škola už proto například zveřejňuje fotky dětí jen se souhlasem rodičů.

„Někteří souhlasí s uveřejněním na webových stránkách školy, ne ale na Facebooku školy, takže se to musí přizpůsobit názorům rodičů,“ řekla ČT ředitelka ZŠ I. Sekaniny Miroslava Bukovská.

GDPR změnilo i podobu mateřské školy v centru Ostravy. Z nástěnek zmizely seznamy se jmény dětí a na skříňkách mají děti jen svou značku a křestní jméno. Třídní knihu vychovatelky zamykají do sborovny.

Pokud si školy stále neví s novým nařízením rady, mohou se obrátit na takzvané pověřence. Informace dostaly i od ministerstva. To například upozorňuje, že se škola za určitých okolností nemusí bát žáky na internetu ukazovat.

„Když dítě něco vyhraje a stojí tam s diplomem, tak ví, že je foceno. Řekla bych, že dává souhlas k tomu, aby se fotka později uveřejnila,“ uvedla náměstkyně sekce legislativy a mezinárodních vztahů Dana Prudíková. Školy se ale přesto raději jistí podpisy rodičů. Ti mohou svá rozhodnutí kdykoli během školního roku změnit.

  • Školy už se budou muset obejít bez fotek žáků například na nástěnkách.
  • Skutečnost: V propagačních materiálech školy, ve výroční zprávě či ročence školy, na školním webu či na nástěnkách ve škole apod. lze s obecným souhlasem žáků nebo zákonných zástupců žáků uveřejňovat výhradně textové či obrazové informace o jejich úspěších (např. u soutěží umístění na předních místech) s uvedením pouze jména (případně ročníku či třídy). Žák nebo zákonný zástupce má právo požadovat bezodkladné zablokování či odstranění informace či fotografie či záznamu týkajících se jeho osoby, které zveřejňovat nechce. Platí to i o fotografiích či záznamech žáka bez uvedení jména v rámci obecné dokumentace školních akcí a úspěchů.
  • Osobní údaj je jenom rodné číslo
  • Skutečnost: Mezi obecné osobní údaje patří jméno a příjmení, pohlaví, věk a datum narození, IP adresa nebo foto či videozáznam, e-mailová adresa, telefonní číslo či různé identifikační údaje vydané a evidované státem a další speciální údaje (sexuální orientace, členství v odborech…).
  • Současné databáze e-mailů, které ve firmě používám, již nebude možné použít.
  • Skutečnost: Pokud využíváte vlastní databázi kontaktů, do které se vaši zákazníci svobodně přihlásili a udělili vám souhlas pro zasílání e-mailů, v tom případě můžete takovou databázi i nadále používat. Pokud ale takový svobodný souhlas od zákazníků nemáte nebo vaše evidence těchto údajů není dokonalá, je nutné získat nový souhlas. Toto se nevztahuje na kontakty, které jste získali na základě objednávek, které u vás vaši zákazníci uskutečnili. V takovém případě platí váš oprávněný zájem pro zasílání nabídkových newsletterů vždy. Obeslaní zákazníci ale musí ve všech případech mít možnost se ze zasílání e-mailů odhlásit.
  • Jakýkoliv zákazník má právo na vymázání veškerých svých osobních údajů z databází.
  • Skutečnost: Na žádost uživatele je firma povinna odstranit všechny osobní údaje, k jejichž používání uživatel udělil souhlas. Tato povinnost ale neplatí pro údaje, které jsou firmy dle platných zákonů povinny uchovávat, například pro účely archivace, reklamačních řízení, účetnictví, Policie ČR.
  • Veškeré ukládané osobní informace musí být šifrovány nebo anonymizovány.
  • Skutečnost: Žádnou takovou povinnost GDPR neukládá. Povinností firem je zabezpečit osobní údaje proti zneužití třetí stranou.
  • Na základě „práva na informování“ musí firma poskytnout zákazníkovi veškeré informace, které o něm má, a to ve formátu, který zákazník požaduje.
  • Skutečnost: Do 30 dnů musí provozovatel e-shopu zákazníkovi poskytnout všechny údaje, které o něm má k dispozici. Tedy především půjde o jeho osobní údaje a seznam provedených objednávek. Formát předaných informací není stanoven, pouze musí být srozumitelný. 
  • Každý podnikatel musí mít svého Pověřence pro ochranu osobních údajů.
  • Skutečnost: Tato povinnost se podnikatelů provozujících své živnosti nebo e-shopy zcela jistě netýká. 
  • Někteří správci a zpracovatelé však skutečně musí povinně jmenovat pověřence. Je to případ všech orgánů veřejné moci a veřejných subjektů a dalších organizací, které – jako hlavní činnost – systematicky a rozsáhle monitorují jednotlivce nebo rozsáhle zpracovávají zvláštní kategorie údajů.
  • V Česku se implementace nestihla, nařízení se posouvá
  • Skutečnost: Bez ohledu na zpoždění českého adaptačního zákona se v Česku, stejně jako ve všech dalších zemích EU, opravdu začíná v pátek 25. května. Státy si mohou například upravit věk, od kterého by měly mít děti možnost udělit souhlas se zpracováním osobních údajů. To je důležité například pro využívání sociálních sítí. V evropském nařízení je stanoven věk 16 let, státy si ho mohou snížit, ale ne pod 13 let. V Česku se chystá v adaptačním zákoně hranice 15 let, která odpovídá hranicím v trestním a občanském právu.
  • Nutnost informovaného souhlasu ve zdravotnictví (pro ambulatní poskytovatele zdravotních služeb)
  • Skutečnost: netýká se běžného provozu a poskytování péče; je ale nezbytný v případě zapojení do výzkumu, u klinických studií či jakýchkoli aktivit a zpracování dat, které nesouvisejí s vlastním poskytováním péče.
  • Zdroj: Webareal, Úřad pro ochranu osobních údajů, Ministerstvo školství, mládeže a tělovýchovy, Ministerstvo zdravotnictví