Je to nová úprava nakládání s osobními údaji fyzických osob, jejímž primárním účelem je chránit tyto údaje před zneužitím, zabránit nakládání s osobními údaji nad rámec zákona či vlastního přání subjektu těchto údajů. Dále nařízení přináší či zpřesňuje další práva subjektů údajů, zejména na informace o tom, jaké údaje o nich jsou zpracovávány, kým a jakým způsobem. Toto může pro správce osobních údajů, kterými jsou i školy, znamenat zvýšenou zátěž, ovšem stále je nutné na problematiku nahlížet optikou vyšší míry ochrany, která je zejména u dětí a mladistvých důležitá.
- Nezapomínejme, že již nyní je účinný Zákon o ochraně osobních údajů, který definoval osobní údaje, stanovoval povinnosti správců a zpracovatelů osobních údajů, způsoby nakládání s osobními údaji i rozsah pravomocí Úřadu pro ochranu osobních údajů. Tyto povinnosti nařízení GDPR sice do jisté míry modifikuje, ale základy jsou podobné. Pokud tedy školy doposud postupovaly v souladu s platnou právní úpravou, měly přípravu na nařízení jednodušší. MŠMT se maximálně snaží s dostatečným předstihem školám pomoci se na tuto změnu připravit. Doporučovali jsme před účinností nařízení zkontrolovat, jakým způsobem je s osobními údaji ve školách nakládáno a případně přizpůsobit procesy novým požadavkům. K tomu by právě měly pomoci školám podrobné materiály připravené a vydané ministerstvem (metodická pomůcka a ryze praktický Stručný návod na zabezpečení procesů souvisejících s GDPR ve školách), které jsou školám k dispozici a které si kladou za cíl jim zásadně zjednodušit přípravu na účinnost nařízení.
- Změnou, která se nejviditelněji projeví hned s účinností nařízení, je především skutečnost, že školy nyní musí jmenovat tzv. pověřence pro ochranu osobních údajů; ve většině případů zřejmě ve spolupráci se zřizovatelem (ministerstvo pro jím zřizované organizace pověřence již zajistilo). Školy také musí připravit tzv. záznamy o činnosti zpracování podle čl. 30 nařízení GDPR, které obsahují informace o zpracovávaných osobních údajích, způsobech zpracování a přijatých opatřeních k ochraně těchto údajů; podrobné vzorové záznamy ministerstvo pro školy připravilo – jsou ve strojově čitelném formátu, aby si je školy mohly samy upravovat podle vlastních potřeb.
- S dostatečným časovým předstihem jsme vytvořili a na webových stránkách www.msmt.cz jsme zveřejnili Metodickou pomůcku k aplikaci obecného nařízení o ochraně osobních údajů a zákona o zpracování osobních údajů v podmínkách školství. Metodická pomůcka nejdříve na 15 stránkách přibližuje novou právní úpravu, předkládá konkrétní úkoly, které je nutné učinit do nabytí účinnosti nařízení, shrnuje základní zásady přístupu k ochraně osobních údajů a také zdůrazňuje hlavní novinky v ochraně osobních údajů, které nařízení GDPR přináší. Dále pak obsahuje komentář k nařízení GDPR, tedy té části, která na školy bezprostředně dopadá, a to s konkrétními příklady ze školského prostředí, aby si ředitelé mohli lépe nutné kroky představit. To by mělo ředitelům škol i dalším subjektům pomoci se zorientovat v novém nařízení a usnadnit další práci s tímto právním předpisem.
- V polovině března roku 2018 pak ministerstvo zveřejnilo praktický Stručný návod na zabezpečení procesů souvisejících s nařízením GDPR ve školách (nástin pracovního postupu), který dává konkrétní praktický návod školám, na co se zaměřit při analýze činností, při nichž jsou zpracovávány osobní údaje, jakým způsobem poskytovat informace o zpracování osobních údajů, či jaké náležitosti mají mít zpracovatelské smlouvy, přičemž je nemalá pozornost věnována také smlouvám s poskytovateli tzv. cloudových služeb, které jsou školami čím dál častěji využívány. Dále přináší materiál návrh znění vnitřní směrnice pro ochranu osobních údajů a zejména vzorové listy pro zpracování záznamů o činnostech zpracování, jejichž vedení je vyžadováno nařízením. K tomuto je třeba zdůraznit, že veškeré metodické materiály ministerstvo konzultovalo s gestory problematiky, tedy s Ministerstvem vnitra a Úřadem pro ochranu osobních údajů.
- Mezitím proběhla prostřednictvím Národního institutu dalšího vzdělávání školení ředitelů škol ve všech krajích zaměstnanci ministerstva.
- Připravenými materiály jsme ředitelům škol chtěli zásadně usnadnit implementaci GDPR v prostředí jejich školy. Na školeních ředitelé škol tuto metodickou pomoc velmi ocenili.
Na webových stránkách resortu školství jsme zveřejnili i nejčastější dotazy a odpovědi, které se GDPR v prostředí škol týkají. Toto téma jsme včas diskutovali se Svazem měst
a obcí a Sdružením místních samospráv. Zaměstnanci ministerstva se rovněž aktivně účastnili několika vzdělávacích akcí pořádaných těmito organizacemi, kde seznámili účastníky s metodickou podporou, kterou ministerstvo poskytuje. - Nařízení GDPR by nemělo přinést zásadní zvýšení nákladů školám. Novým nákladem bude jistě přijetí pověřence; toto by ředitelům měli pomoci vyřešit zřizovatelé.
- Nařízení stanovuje pokuty za nedodržení konkrétních povinností. Tyto pokuty bude ukládat národní dozorový úřad. Výše se bude lišit s ohledem na porušenou povinnost i rozsah
takového porušení. S přihlédnutím ke konkrétním okolnostem případu (nařízení se v obecné rovině týká jak velkých společností eshopů či FB, tak malých škol) však zřejmě nelze očekávat, že by byly dozorovým úřadem případně pokuty ukládány v maximální možné výši.