GDPR

Téma: Prečo je ochrana osobných údajov v školách čoraz dôležitejšia V školách sa denne spracúvajú osobné údaje žiakov, rodičov aj učiteľov – od triednych kníh cez fotografie, zdravotné údaje až po elektronické systémy. Ochrana týchto údajov nie je len právnou povinnosťou, ale aj prejavom rešpektu k súkromiu. GDPR prináša jasné pravidlá, ktoré by mali školy dôsledne uplatňovať, aby predišli nielen sankciám, ale aj strate dôvery zo strany rodičov a verejnosti. Redakčný výber prináša prehľad základných zásad ochrany osobných údajov a odporúčania, ako ich uplatniť v školskom prostredí.

PRÍPADOVÉ ŠTÚDIE A ODPORÚČANIA V článku sa venujeme ochrane osobných údajov v školách, pričom sa zdôrazňuje dodržiavanie GDPR. Poukážeme na dve významné rozhodnutia dozorných orgánov, ktoré sa zaoberali bezpečnostným incidentom v školskom zariadení a na záver uvedieme odporúčania pre prax.

OCHRANA VERZUS SÚKROMIE Kamerové systémy sa v školách a vzdelávacích zariadeniach využívajú s narastajúcou frekvenciou na účely monitorovania priestorov, čo môže mať podstatný vplyv na právo na súkromie. Tento článok sa zaoberá hlavnými funkciami kamerových systémov, účelmi ich použitia a právnymi základmi ich implementácie, pričom skúma aj aspekty zásahu do súkromia. Rovnako analyzuje otázky ochrany súkromia pri inštalácii kamier s odkazom na princíp minimalizácie a potrebu zvážiť alternatívne riešenia.

Štátna školská inšpekcia, podľa informácií od iných škôl, žiada o poskytnutie administrátorského prístupu k systému EduPage. Podľa § 13 ods. 6 zákona č. 596/2003 Z. z. o štátnej správe v školstve a školskej samospráve, školský inšpektor je oprávnený „nazerať do dokumentácie školy alebo školského zariadenia a vyžadovať od riaditeľa školy alebo školského zariadenia informácie a písomné podklady potrebné na plnenie úloh školskej inšpekcie“. Zákon však nešpecifikuje formu, akou má byť tento prístup umožnený, ani či zahŕňa poskytnutie administrátorského prístupu k elektronickým systémom školy, čo by umožnilo vzdialený prístup k citlivým údajom. Na základe toho by sme radi získali odpovede k nasledujúcim otázkam:  Je škola povinná poskytnúť ŠŠI administrátorský prístup k systému EduPage, alebo postačuje sprístupnenie požadovaných údajov iným spôsobom, napríklad vytvorením dočasného účtu s obmedzenými právami alebo poskytnutím potrebných výstupov v priestoroch školy?  Ak legislatíva neustanovuje povinnosť poskytnúť administrátorský prístup, môže škola odmietnuť takúto požiadavku s odvolaním sa na ochranu osobných údajov podľa nariadenia GDPR a zákona č. 18/2018 Z. z. o ochrane osobných údajov? Aké riziká z pohľadu ochrany osobných údajov a bezpečnosti informačných systémov predstavuje poskytnutie administrátorského prístupu ŠŠI, najmä ak by tento prístup umožňoval vzdialený prístup k údajom mimo priestorov školy?  Aké opatrenia by mala škola prijať, aby zabezpečila súlad s legislatívou o ochrane osobných údajov pri poskytovaní prístupu ŠŠI k elektronickým systémom školy? Hoci sa naša škola zatiaľ nestretla s takouto požiadavkou, vieme, že iné školy boli požiadané o poskytnutie administrátorského prístupu. Radi by sme preto predbežne získali odpoveď, aby sme boli pripravení na možnú podobnú situáciu.

V príspevku sa zaoberáme otázkou, ako sa uplatňuje GDPR v prostredí rady školy ako orgánu školskej samosprávy. Rada školy nespĺňa podmienky na to, aby mohla byť prevádzkovateľom v zmysle GDPR. V príspevku sa venujeme aj aplikácii GDPR pri výberovom konaní na obsadenie miesta riaditeľa školy alebo školského zariadenia.

Aké je postavenie rady školy z právneho hľadiska a aký to má vplyv na uplatňovanie GDPR pri činnosti rady školy?

Kto navrhuje odmenu riaditeľovi školy s právnou subjektivitou? Môžu vidieť výšku odmeny členovia obecného zastupiteľstva?

Úrad na ochranu osobných údajov vydal predbežné stanovisko k preukazovanie sa negatívnym výsledkom testov/certifikátom z plošného testovania vrátane aktualizácie.

Úrad na ochranu osobných údajov SR dáva do pozornosti dokument Európskeho dozorného úradníka pre ochranu údajov (EDPS) ohľadom merania teploty.

Na základe veľkého záujmu a potreby spresniť niektoré spracovateľské operácie s osobnými údajmi v prostredí škôl úrad zverejnil v časti Metodiky úradu samostatnú metodiku zameranú  na prostredie škôl, ktorá ponúka mnoho užitočných informácií, ktoré by mali spracúvanie osobných údajov  školami spresniť a zjednotiť.

Materské školy a základné školy odmeranú teplotu nikde nezaznamenávajú, preto nevyžadujú súhlas so spracúvaním osobných údajov od zákonných zástupcov na daný účel.

Môžem ako riaditeľka školy na pedagogickej porade oznámiť pedagógom menovite osobu, ktorá podala sťažnosť na našu školu? Môžem ako riaditeľka školy na pedagogickej porade v priebehu školského roka oznamovať konkrétne mená pedagógov, ktorí si nesplnili svoje povinnosti?

Ako je to so zverejňovaním prehľadu počtu hodín nadčasovej práce pedagogických zamestnancov na verejne dostupnom mieste, napr. na nástenke v zborovni školy pravidelne raz mesačne. Za túto nadčasovú prácu si zamestnanci uplatňujú náhradné voľno v určenom čase po dohode so zamestnávateľom. Možno údaje o pedagogických zamestnancoch takto zverejňovať?  Nepodliehajú ochrane osobných údajov o zamestnancoch?

Správa o výchovno-vzdelávacej činnosti, jej výsledkoch a podmienkach (ďalej „Správa o VVČ“) obsahuje mená, priezviská žiakov a triedy, ktoré aktuálne navštevujú. V súlade s § 3 ods. 2 vyhlášky č. 9/2006 Z. z. zverejní riaditeľ školy Správu o VVČ na obvyklom mieste a na internetovej stránke školy, ak je zriadená, a to najneskôr do 31. decembra. Nie je zverejnenie mien a priezvisk žiakov v Správe o VVČ v rozpore splatnou legislatívou o ochrane osobných údajov?

V súvislosti s medializovanými informáciami, ktorými sa poukazuje na porušovanie zákonov o ochrane osobných údajov od roku 2013 zo strany poskytovateľov zdravotnej starostlivosti pri nahlasovaní osôb, ktoré sa nepodrobili povinnému očkovaniu v zmysle zákona č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, Úrad verejného zdravotníctva Slovenskej republiky vydal ÚVZ SR stanovisko.

Nový právny predpis o ochrane údajov platný pre celú Európsku úniu nahrádza súčasnú smernicu o ochrane údajov, ktorá bola v platnosti od roku 1995. GDPR nadobudne účinnosť 25. mája 2018 a dotkne sa každého, kto zhromažďuje alebo inak spracováva osobné údaje občanov EÚ.

Nový právny predpis o ochrane údajov platný pre celú Európsku úniu nahrádza súčasnú smernicu o ochrane údajov, ktorá bola v platnosti od roku 1995. Medzi najdôležitejšie zmeny patrí poskytnutie súkromnej osobe možnosti väčšej kontroly nad jej osobnými údajmi a ukladanie nových povinností organizáciám, ktoré zhromažďujú, spracovávajú a analyzujú údaje. 

MŠVVaŠ SR vydalo usmernenie, ktorého cieľom je zhrnúť podmieky, za ktorých školy a školské zariadenia môžu spracovať a poskytovať osobné údaje detí, žiakov, poslucháčov tretím stranám podĺa novej legislatívy, ktorá vstupuje do platnosti 25. mája 2018. 

V nadväznosti na prijatie nariadenia Európskeho parlamentu a Rady EÚ 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES a následne nového zákona o ochrane osobných údajov č. 18/2018 Z. z., ktorý nahrádza pôvodný zákon č. 122/2013 Z. z., stojí pred každou organizáciou úloha zosúladenia súčasného stavu ochrany osobných údajov vo svojich informačných systémoch s požiadavkami, ktoré im v tejto oblasti predpisujú vyššie spomínané záväzné právne normy. 

Dňa 4. mája 2016 bolo v úradnom Vestníku Európskej únie uverejnené nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. 4. 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „nariadenie“). Nariadenie býva často označované aj ako GDPR (General Data Protection Regulation).