GDPR na poslední chvíli

Vydáno:

Datum účinnosti nařízení Evropského parlamentu a Rady (EU) č. 2016/679, známého jako GDPR, je tady. Po období spekulací, spousty informací, až dezinformací a příprav začíná platit jeden ze zřejmě nejdiskutovanějších právních předpisů z oblasti ochrany osobních údajů, které kdy byly vydány.

Na přípravu implementace GDPR měly příslušné subjekty čas od 27. 4. 2016, ale jak se ukazuje, ani tato doba nebyla dostatečná k tomu, aby se na ni školy stihly připravit. Nutno podotknout, že vinu nelze dávat pouze školám, protože do okamžiku uzávěrky tohoto článku například stále není schválen adaptační zákon a pokyny či metodiky jednotlivých resortů byly vydány rovněž poměrně pozdě. Na druhou stranu Česká republika zdaleka není jediným státem EU, který má v tomto ohledu časový skluz.
Absence metodik a postupů k implementaci GDPR se logicky projevila v nechuti škol se do tohoto kroku vůbec pustit. Zástupci mnoha škol odkládali implementaci na nejzazší možnou chvíli, resp. do okamžiku, kdy už bylo jasné, že nebude vyjednána žádná výjimka ani odklad platnosti GDPR, jak mylně uváděla některá média.
Řada škol se proto do implementace pustila až v posledních týdnech před zahájením platnosti nařízení, mnohdy na pokyn zřizovatele nebo v souladu s jeho jednotnou strategií. Přesto je ale v tuto chvíli v ČR poměrně značný počet škol, které doslova několik dnů před zahájením platnosti nařízení stále ještě nezačaly GDPR implementovat. Co s tím? Možností je několik.
Implementace GDPR vlastními silami
Vezmeme-li v úvahu rozsah agendy související s GDPR, schopnost pochopit v krátkém čase celou problematiku a v ideálním případě nastudovat alespoň elementárně metodiku MŠMT (když už ne přímo celý rozsah nařízení) a pokud k tomu přihlédneme k omezeným personálním kapacitám ve škole, jeví se možnost implementovat GDPR vlastními silami jako vysoce riziková, nikoliv však nereálná. Takové řešení ovšem předpokládá okamžitě vyčlenit jednu osobu ve škole, která se bude GDPR po nějakou dobu plně věnovat.
Dodavatelské řešení
Komerční sféra poměrně pružně zareagovala na hlad po informacích a poptávku po službách souvisejících s implementací GDPR. Soukromé subjekty tak do jisté míry suplují pomalý postup metodického vedení jednotlivých resortů.
V časové tísni se dodávka implementace GDPR na klíč jeví jako nejbezpečnější řešení, protože externí dodavatel (pokud je dobře zvolený) má obvykle zkušenosti z předchozích implementací, měl by znát úskalí nařízení a související legislativy a má již většinou rámcové vzory jednotlivých dokumentů. Nevýhodou externí dodávky implementace GDPR je ale pochopitelně cena, neboť soukromý subjekt si za své služby nechá adekvátně zaplatit.
Pozor na "podezřelé nabídky"
Škála nabídek služeb poskytujících implementaci GDPR do škol je opravdu široká. Školám jsou nabízeny služby informačních seminářů, služby implementace GDPR nebo pouze služby výkonu funkce pověřence. Úroveň nabídek je bohužel stejně rozmanitá jako velikost jejich objemu a rozeznat na první pohled kvalitní nabídku od nekvalitní nemusí být snadné.
Na trhu se vyskytují nabídky implementace GDPR v cenových relacích od několika málo stokorun až po desítky tisíc korun. Pozor zejména na podezřele levné nabídky. Pokud má implementátor GDPR skutečně poctivě odvést svoji práci, musí školu minimálně jednou navštívit a provést zjištění stavu na místě, vyžádat si řadu podkladů, zhotovit analýzy a vybavit školu kompletní zpracovanou dokumentací. To vše je práce na mnoho desítek hodin a z logiky věci plyne, že takovou činnost nelze zvládnout za částku v řádech několika stokorun.
Ruku v ruce by s ohledem na cenu měla jít znalost školského prostředí, protože případná vzorová dokumentace, kterou má zkušený implementátor k dispozici, se příznivě promítne do doby celé implementace, což je v tomto období počátku účinnosti GDPR zcela zásadní faktor. Navíc implementátor se zkušenostmi ze školního prostředí, zvláště pokud službu aktivně nabízí a provozuje, může velmi pružně stavět na svých zkušenostech týkajících se specifických řešení v oblasti ochrany osobních údajů na předchozích školách a tím škole poskytuje nezanedbatelné know-how.
Při výběru vhodného dodavatele implementace GDPR hraje jistě roli i důvěra v ověřený subjekt. Řada škol, které již mají implementaci za sebou, například využila nabídky implementace GDPR od poskytovatele svého školního informačního systému, kteří ve většině případů tuto službu také nabízejí. U takových dodavatelů lze předpokládat velmi dobrou orientaci ve školním prostředí i zkušenosti s kvalitním zabezpečením dat. V rámci dobré praxe, zvláště u GDPR, je určitě vhodné si vyžádat referenci.
A nakonec pověřenec
Při zajišťování pověřence, pokud jej nesdílíte s obcí, myslete především na to, že
 by se měl již při vlastní implementaci
aktivně účastnit a vyjadřovat
 v procesu uvádění do souladu k dílčím skutečnostem i s ohledem na čl. 39, Úkoly pověřence pro ochranu osobních údajů, především odst. b), kde je mezi úkoly pověřence uveden monitoring souladu s nařízením, z čehož obvykle plyne zmiňovaná dostatečná odbornost a znalost legislativy potřebné pro výkon této funkce.
V případě, že chcete jmenovat pověřence z vlastních personálních zdrojů, měl by se ve zbývajícím čase do účinnosti nařízení dostatečně proškolit s ohledem na praktický dopad činnosti pověřence na vaší škole.
Závěrem
Přestože nařízení EU č. 2016/679 během několika dní vstoupí v účinnost, stále je možné i na dosud "nedotčených" školách relativně v krátkém čase GDPR implementovat a splnit tak povinnosti z něj plynoucí. Jako v mnoha jiných případech platí, že je lepší začít byť se zpožděním, ale přece než nedělat vůbec nic. To by se totiž v budoucnu nemuselo zejména při neočekávaném datovém incidentu vyplatit.
Přeji nám všem, abychom období horlivé ochrany osobních údajů přežili bez úhony a se zachováním zdravého rozumu.

Související dokumenty

Pracovní situace

Souhlas se zpracováním osobních údajů ve školách - nejčastější situace
Obecné nařízení o ochraně osobních údajů ve školách a školských zařízeních – charakteristika, podmínky legálního zpracování osobních údajů, informační povinnost správce
Informační povinnost školy nebo školského zařízení – příklady
Informační povinnost správce v případě, že osobní údaje nebyly získány od subjektu údajů
Záznamy o činnostech zpracování a školní jídelny
Záznamy o činnostech zpracování a školní družiny
Záznamy o činnostech zpracování - základní školy
Vyvěšení seznamu žáků „po nástupu GDPR“
Časté dotazy škol z oblasti GDPR
Narušování online výuky
Bezpečnost osobních údajů podle zákona o ochraně osobních údajů
Zveřejnění údaje o platu
Shrnutí základních legislativních změn ovlivňujících činnost škol a školských zařízení ve školním roce 2017/2018
GDPR - pro školy
Evidenční list dítěte nepřijatého k předškolnímu vzdělávání
Kamerové systémy v mateřské škole
Ochrana osobních údajů v praxi poradenských pracovníků
Poskytování osobních údajů školami Policii ČR
Předávání osobních údajů žáků pojišťovnám
Metodická pomůcka k aplikaci GDPR ve školství - vydaná MŠMT

Poradna

GDPR
Jmenování ředitele
Zveřejňování fotografií
Pracovní náplň
Nekomunikace
Zřizovatel
Doplňková činnost
Zástup
Pracovnělékařské služby
Jmenování ředitelky
Poplatky školní družina
Vychovatelka ŠD
Pracovní neschopnost
Škola v přírodě
Střet zájmů
Doprovod do školy
DPČ
Zákoník práce
Výpověď
Úvazky