GDPR - úvod do problematiky

Dne 25. 5. 2018 začne v celém rozsahu platit obecné nařízení o ochraně osobních údajů (dále „GDPR“). Ochrana osobních údajů se tak stává jedním z nejdiskutovanějších témat soukromého i veřejného sektoru. Co GDPR vlastně znamená? Jaký význam bude mít v praxi školního poradenského pracoviště? Výkladem terminologie a základních principů začínáme náš seriál o GDPR.

 

 

 

 

GDPR - úvod do problematiky
Mgr.
Alice
Frýbová,
právnička společnosti Holubová advokáti, s. r. o.
RNDr. Ing.
Eva
Urbanová,
lektorka, Centrum školského managementu PedF UK
1. Co je GDPR?
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zpravidla zkracované jako
obecné nařízení o ochraně osobních údajů
neboli GDPR
(General data protection regulation)
, je dosud nejucelenější soubor pravidel na ochranu osobních údajů na světě.
2. Co znamená, že je GDPR evropské nařízení?
Evropské nařízení je právní předpis schválený na půdě Evropské unie, který je
závazný pro všechny státy Evropské unie
. Na rozdíl od častější směrnice však není potřeba jeho implementace do jednotlivých právních řádů členských států, jelikož evropské nařízení je
aplikovatelné automaticky
bez dalšího. Evropské nařízení se použije přednostně před českými zákony. V České republice tak nahradí současnou právní úpravu ochrany osobních údajů v podobě zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Zákon o ochraně osobních údajů bude již upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou obecným nařízením upraveny nebo které obecné nařízení umožňuje upravit na vnitrostátní úrovni.
3. Dotkne se GDPR mé organizace?
GDPR
se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje
Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu. Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji fyzických osob, ať již zaměstnanců, žáků, studentů, zákazníků, klientů, nebo jiných osob. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu při používání chytrých technologií. Nezáleží na tom, jestli je organizace soukromá, nebo veřejná. GDPR se vztahuje na obě dvě. Veřejným subjektům ukládá zpravidla více povinností než soukromým. Školy a školská zařízení jsou veřejnými subjekty a vedle toho sbírají velké objemy osobních údajů o žácích a nezanedbatelný objem osobních údajů o zaměstnancích. Není tedy pochyb o tom, že se budou muset podřídit nové úpravě GDPR.
4. Od kdy je GDPR závazné?
GDPR začne v celé EU platit jednotně od
25. května 2018
. Období od dubna 2016, kdy bylo GDPR schváleno, do května 2018, kdy vstoupí v platnost, je určeno přípravě.
Do května 2018 by tedy školy a školská zařízení měly upravit své procesy a dát je do souladu s GDPR.
5. Co hrozí za nedodržení GDPR?
GDPR umožňuje ukládat
vysoké sankce za porušení nakládání s osobními údaji
. Zatímco současný zákon o ochraně osobních údajů stanovil maximální výši pokuty na 10 milionů korun, GDPR umožňuje uložit sankci
až do výše 20 milionů eur
, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. Relevantní částkou pro školy a školská zařízení je tak 20 milionů eur.
GDPR nicméně umožňuje členským státům přijmout odlišnou vnitrostátní úpravu, která pozmění možnosti ukládání správních pokut orgánům veřejné správy, čehož Česká republika hodlá využít. Ministerstvo vnitra ČR zveřejnilo v druhé polovině srpna návrhy zákona o zpracování osobních údajů a doprovodného zákona, ve kterých navrhuje snížit maximální výši pokuty na 10 milionů korun, což je částka shodná se současnou maximální výší pokuty. Pokud bude tento zákon v této podobě schválen do 25. května 2018, zůstane maximální výše pokuty pro školy a školská zařízení 10 milionů korun.
6. Kdo provádí kontrolu a ukládá správní sankce?
Příslušným
orgánem pro provádění kontrol a ukládání pokut je
stejně jako doposud
Úřad pro ochranu osobních údajů
. Přibydou mu ale pravomoci odrážející závažnost celé reformy a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů. Evropský sbor pro ochranu osobních údajů bude plnit především koordinační funkci a dohlížet na to, že GDPR je uplatňováno v celé EU stejným způsobem. Provádění kontrolních řízení se bude řídit samotným GDPR a dále vnitrostátními předpisy, tedy zejm. kontrolním řádem.
7. Kdo je pověřenec pro ochranu osobních údajů?
V souvislosti s GDPR se často mluví o tzv. pověřenci pro ochranu osobních údajů. Ačkoliv se pověřencem budeme detailně zabývat v dalších číslech časopisu, sluší se podotknout, že
každá škola bude muset mít svého pověřence pro ochranu osobních údajů
. Proto je také nejvyšší čas začít hledat tuto osobu, která by měla mít dobré znalosti práva na ochranu osobních údajů, znalosti IT a znalosti procesů v organizaci, pro kterou činnost pověřence vykonává.
8. Kdy bychom se jako organizace měli začít připravovat?
Jelikož je úprava velmi komplexní, není záhodno s přípravou otálet. Jako první krok doporučujeme, aby se sami ředitelé a zástupci ředitelů začali GDPR zabývat. Až se v úpravě zorientují, měli by informovat své kolegy o tom, co je v oblasti ochrany osobních údajů čeká a nemine. Vhodným opatřením je též stanovení konkrétní osoby v rámci organizace, která se bude přípravou na GDPR pro konkrétní školu či školské zařízení zabývat. Zřizovatelé by měli vyčlenit z rozpočtu finanční prostředky na příští rok, jelikož implementace a výkon činnosti pověřence pro ochranu osobních údajů se neobejde bez adekvátní finanční podpory.
CITLIVÝ ÚDAJ A ZVLÁŠTNÍ KATEGORIE OSOBNÍCH ÚDAJŮ
Jak se GDPR dotkne poradenského systému?
Specifikem psychologicko-poradenského zařízení je, že zpracovává osobní údaje o vztazích v rodině, sociální situaci dětí, sexuální orientaci, psychickém stavu a zdravotních obtížích. Je třeba si tak uvědomit, že jde o jedny z nejcitlivějších osobních údajů, které lze o člověku znát. Dále je třeba mít na paměti, že dítě je považováno za zranitelnější osobu než dospělý člověk. GDPR v recitálu (38) dokonce výslovně uvádí, že
děti zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů
. Spojíme-li tyto dvě skutečnosti, tedy to, že se jedná o děti a velmi citlivé údaje o nich, výsledkem je požadavek na co nejpřísnější ochranu osobních údajů dětí v pedagogicko-psychologických poradnách. Je nutné si uvědomit, že požadavky na ochranu osobních údajů dětí jsou na obdobné úrovni jako požadavky na ochranu osobních údajů pacientů v nemocnicích.
Většina osobních údajů, které školní poradny zpracovávají, patří do tzv. zvláštních kategorií osobních údajů, doposud označovaných jako citlivé údaje. Ty jsou definovány v čl. 9 GDPR jako (i) údaje o rasovém či etnickém původu, (ii) údaje o politických názorech, (iii) údaje o náboženském vyznání či filozofickém přesvědčení nebo o členství v odborech, (iv) zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby, (v) zpracování údajů o zdravotním stavu či sexuálním životě nebo sexuální orientaci. Zpracování těchto osobních údajů je zakázáno, pokud neexistuje právní důvod zpracování uvedený v čl. 9 odst. 2 GDPR. Tím bude pro školská poradenská zařízení zpravidla písm. h), tedy že zpracování je nezbytné pro účely poskytování zdravotní nebo sociální péče či léčby. Situace pro poradenská zařízení tak zůstává podobná té současné co do rozsahu a možnosti zpracování citlivých osobních údajů.
Jak již bylo zmíněno, co se mění, je výše pokut. Ačkoliv maximální výše pokut pro veřejný sektor zůstane pravděpodobně na 10 milionech korun, kontroloři budou při ukládání pokut přísnější, o tom není pochyb. Avizovala to již předsedkyně Úřadu pro ochranu osobních údajů (
http://nazory.e15.cz/rozhovory/sefka-uradu-pro-ochranu-osobnich-udaju-vysokymipokutami-chceme-firmy-odrazovat-ne-likvidovat-1334926
ze dne 16. července 2017). Proto je čas na krátkou rekapitulaci toho, jaká pochybení objevil Úřad pro ochranu osobních údajů při zpracování citlivých osobních údajů doposud a jak se zatím staví k pokutám zahraničí.
Předávání osobních údajů zřizovateli
První z uvedených příkladů se dotýká problematiky předávání osobních údajů zřizovateli. Poté co ředitelka školy navrhla rodičům žáka, aby žák odešel ze školy kvůli slabému prospěchu (zaviněnému dysfunkcí vzniklou při narození), napsal otec žáka dopisy členům orgánů zřizovatele školy. V nich si stěžoval na postup ředitelky školy. Ta ve snaze obhájit svůj postup napsala stejným osobám dopis, jehož součástí bylo mj. i konstatování zdravotního stavu zmíněného žáka. Tím využila citlivé osobní údaje žáka nikoliv pro poskytování pedagogicko-psychologického poradenství, ale k obhajobě své osoby, což nebylo kryto žádným zákonným důvodem zpracování, a ředitelka tak potřebovala souhlas rodiče. Úřad pro ochranu osobních údajů to posoudil jako pochybení zpracování osobních údajů, konkrétně jako porušení ust. § 9 a § 13 zákona o ochraně osobních údajů.
Uvádění osobních údajů na fakturách
Další porušení shledané Úřadem pro ochranu osobních údajů spočívalo v uvádění kódu diagnózy pacienta na fakturách. Úřad pro ochranu osobních údajů považoval za prokázané, že účastník řízení zvoleným způsobem zpracování osobního údaje kódu diagnózy pacienta ohrozil bezpečnost zpracovaných osobních údajů, protože faktura se stává součástí účetnictví s přístupem třetích osob, a to tím, že informaci o kódu diagnózy pacienta použil k jinému účelu, než ke kterému byla shromážděna. Za toto pochybení udělil pokutu ve výši 1 000 Kč.
Ačkoliv se české pokuty doposud pohybovaly obvykle v rámci tisíců či desetitisíců korun, v zahraničí je běžné ukládat za stejná pochybení mnohem vyšší pokuty. Jelikož GDPR platí stejně ve všech zemích, mohou zahraniční rozhodnutí sloužit jako inspirace.
Například ve Velké Británii se stal případ, kdy si zaměstnanec pečovatelského ústavu vzal s sebou domů pracovní laptop. V noci se do domu vloupal lupič a laptop ukradl. Laptop bohužel obsahoval citlivé údaje nejen o pacientech ústavu, ale i o zaměstnancích. Údaje nebyly šifrované ani jinak zabezpečené. Za toto pochybení, tzn. nedostatečné zabezpečení citlivých údajů, byla ústavu uložena pokuta ve výši 15 000 liber.
Jiným příkladem z Velké Británie je situace, kdy si ošetřovatelka nezákonně prohlédla zdravotní údaje svého souseda v interním systému. Dostala pokutu 232 liber, dále musela zaplatit náklady řízení ve výši 150 liber a náhradu újmy postiženého pacienta ve výši 30 liber.
I když v České republice doposud nemáme mnoho rozhodnutí týkajících se přímo poradenských zařízení, bude zajímavé sledovat, jak se bude praxe po účinnosti GDPR vyvíjet.
POZNÁMKA
V příštím čísle Školního poradenství v praxi se budeme věnovat souhlasu se zpracováním osobních údajů.

 

 

 

Související dokumenty

Pracovní situace

Informace o zkušebních předmětech profilové části maturitní zkoušky - příklad
Školská rada - základní údaje
Účetní závěrka vybraných (příspěvkových) organizací
Personální evidence
Maturita - právní předpisy, pokyny, informace, výklady, zdroje informací
Maturita - přehledy obsahu právních předpisů
BOZP - přehled základní legislativy
Speciální stavebně technické prostředky k zabránění útěku dětí, audiovizuální systémy
Likvidace osobních údajů v podobě omluvenek
Školní psycholog na základní škole
Zpracovávání osobních údajů v podobě výsledků vzdělávání
Záznam z pedagogické rady
Právní domněnky v novém občanském zákoníku a jejich rizika
Novela maturitní vyhlášky
Právní předpisy týkající se žáků-cizinců
Smlouva o zpracování
Ochrana osobních údajů
Vlastní hodnocení školy - právní úprava
Leden 2022: Právní předpisy a informace významné pro práci škol a školských zařízení
Prosinec 2021: Právní předpisy a informace významné pro práci škol a školských zařízení

Poradna

Účastníci zájmového vzdělávání ve školním klubu
Ředitel školy - uzavírání a vyplácení DPP
Zrušení zřizovací listiny a následná nová zřizovací listina
Vstupní lékařská prohlídka u pedagoga na DPP
Jmenování ředitele
Cestovní náklady v případě cesty na soutěž - odborná poradna, odpověď na dotaz
Zahraniční výjezd ředitele školy - odborná poradna, odpověď na dotaz
Cestovní náhrady při cestě na školení - odborná poradna, odpověď na dotaz
Čipy ve školní jídelně - odborná poradna, odpověď na dotaz
Volba člena školské rady
Dohoda o výkonu práce z domova
Úplata za zájmové vzdělávání
Směrnice
Pracovní náplň
Nekomunikace
Zřizovatel
Doplňková činnost
Zástup
Pracovnělékařské služby
Jmenování ředitelky

Zákony

101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů