Ředitelé například budou muset sehnat nové souhlasy k fotografování žáků. Dosud stačilo, aby rodiče podepsali souhlas se zpracováním osobních údajů. To by ale u nového nařízení neobstálo. V souhlasu bude třeba jasně vymezit, jak bude s fotografií nakládáno a také informovat rodiče, že mohou souhlas odvolat nebo požádat o jeho vymazání. Bude také nutné získat souhlasy fotografovaných učitelů.
Doporučuji ředitelům, aby si vytvořili nový formulář s možnostmi ´nehodící se škrtněte´, kde vypíšou, kde všude se může fotografie objevit - jestli na webu, Facebooku nebo třeba na tablu. Rodiče tak sami určí, kde dovolí, aby se fotografie jejich dítěte objevila,“ říká specialista na GDPR Radomír Pivoda.
Pokud rodič neposkytne souhlas s focením dítěte, nesmí být fotografováno. Výjimku ale budou tvořit například některé školní akce.
„Je třeba umět najít argumenty pro to, proč děti fotím. Například že účelem bylo monitorovat akci, nikoliv fotit děti. Pak fotím na základě zpravodajské licence, což je přípustné. Je zkrátka třeba k nařízení přistupovat se selským rozumem a umět vysvětlit účel, za kterým fotku pořizuji, případně zpracovávám osobní údaje,“ říká Pivoda.
Ředitelé si budou muset zvyknout na to, že chrání osobní údaje dětí. K tomu je třeba, aby zpracovávali jen nezbytně nutné osobní údaje a vedli záznamy o tom, jak s osobními údaji dětí a zaměstnanců nakládají. „Ředitelé musí být schopni doložit, jak k osobním údajům přišli, kdo s nimi jak pracoval, kdo je případně smazal, jaká jsou k nim uživatelská oprávnění. Musí být schopni předložit doklad, kdy byl spis o žákovi, který už ze školky nebo školy odešel, skartován,“ pokračuje Pivoda.
Nástěnku schovejte pod záclonku, radila pověřenkyně
Na nástěnce by nově neměly být vyvěšeny informace o tom, které dítě je na co alergické, na skříňce dítěte by neměla být fotka a jméno, což by mohlo vést k identifikaci dítěte. Bude zkrátka potřeba zajistit, aby se k veřejnosti nedostaly žádné údaje, podle kterých by šlo dítě identifikovat.
„Dozvěděla jsem se, že nesmím mít nástěnku, na které mám už asi patnáct let kontakt na plavecký bazén nebo divadlo a které jsou běžně dostupné na internetu. Nástěnku musím buď zničit, nebo si před ni pověsit záclonku, aby na kontakty nebylo vidět,“ říká ředitelka z Plzeňského kraje, která si nepřála uvádět své jméno. Takovou radu dostala od své pověřenkyně, která bude škole v problematice GDPR pomáhat. Svého pověřence musí do 25. května mít každá škola.
Dále bude potřeba likvidovat dokumenty, které již nejsou potřeba, například starší kopie osobních dokladů nebo životopisy zaměstnanců, se kterými byl rozvázán pracovní poměr. A také dokumenty, které potřeba jsou, naopak uchovávat v zamykatelných skříňkách. Na internetu se už dokonce objevily inzeráty na skříně certifikované na GDPR. „To je nesmysl. Jakýkoliv zámek je dobrý. Zamčená skříňka stačí,“ říká Pivoda.
Jak tedy data zabezpečit? Odborníci doporučují pseudonymizaci - tedy například místo toho, aby byly vyvěšeny výsledkové listiny se jmény žáků, přidělit každému dítěti číslo, podle kterého bude moct dohledat svůj výsledek.
Heslo nemá dávat smysl
Nejpoužívanějšími uživatelskými hesly jsou obecně buď číselná řada 1-5 nebo jednoduše „heslo“. Kreativnější uživatelé zabezpečují počítač heslem „heslo12345“. To ale u nového nařízení rozhodně neobstojí.
Heslo do školních počítačů by mělo mít minimálně osm znaků, použité slovo by nemělo dávat smysl, nesmí být spojeno s informacemi o uživateli, mělo by obsahovat malá i velká písmena, číslice a speciální znaky.
Změnit se ale bude muset také způsob komunikace. Doposud posílali ředitelé údaje externím účetním v kostře e-mailu nebo nezabezpečeném dokumentu. To je ale podle nařízení špatně.
„E-mail je pokládán za nezabezpečený způsob komunikace. Jednou z variant je šifrovat komunikaci, ale to je moc složité. Nejjednodušší opatření je neposílat podklady v těle e-mailu, ale v příloze, kterou lze opatřit heslem. Opět je ale třeba heslo účetním sdělit jinak než e-mailem,“ říká Pivoda.
Ředitelé by se měli vyvarovat zpracování osobních údajů, které nejsou úplně nezbytné. Například už nebude možné používat rodná čísla jako variabilní symbol u plateb za výlety nebo obědy školáka. V takovém případě by totiž opět musel být podepsán souhlas rodičů. Problém by mohl nastat také v případě, kdyby některý učitel chtěl nahrát hodinu zpěvu. „Ze záznamu hlasu je možné identifikovat, kdo zpívá, což je opět považováno za osobní údaj,“ říká Pivoda.
Také už nelze jen tak zkopírovat doklad a uchovat jeho kopii. „Pokud je třeba ověřit identitu, je třeba opsat občanský průkaz a napsat záznam o tom, kdy a kým byla správnost údajů ověřena,“ vysvětlil Pivoda.
Staré dokumenty se musí likvidovat, nikoliv házet do tříděného odpadu. V loňském roce totiž například jeden učitel dostal pokutu, když vyhodil do kontejneru balík starých omluvenek. Někdo cizí je našel, školu udal a ta za to musela zaplatit 70 tisíc korun.
Udělali jste chybu? Pak musíte „prásknout“ sami sebe
Kontrola z Úřadu pro ochranu osobních údajů bude chodit především na udání a na podněty rodičů či zaměstnanců. Pokud ale dojde k úniku dat, ředitelé se musí udat sami - tedy nahlásit do 72 hodin, že došlo k úniku dat, a poslat tak sami na sebe kontrolu. Za nedodržení GDPR hrozí vysoké pokuty, a to až ve výši dvacet milionů eur, tedy zhruba půl miliardy korun.
Škola by se tak mohla teoreticky do problémů dostat i kvůli banální otázce na povolání rodičů. „Jedná se o nadbytečný osobní údaj, protože tuto informaci nepotřebujete k tomu, co ukládá školský zákon. Záleží ale na individuálním posouzení. Rodiče si na školu mohou došlápnout s kdejakou záminkou, a nyní mají díky GDPR novou munici,“ dodal Pivoda.
Ředitelky mateřských škol se nejvíc bojí toho, že jim kvůli nařízení přibude administrativa. „Je to další administrativní zátěž pro ředitele škol i pro pracovníky. Myslím, že nebude tolik času na pedagogickou činnost, což by mělo být gro českého školství. Místo toho budeme hlídat, abychom se skoro nedopustili nějakého zločinu,“ říká ředitelka ZŠ a MŠ Nechanice Hana Špatenková
„Máme toho plnou hlavu, nevíme, jak to uchopit. Bude to spousta práce navíc. Máme se starat o děti, místo toho budeme papírovat, uzavírat smlouvy,“ přitakává zástupkyně ředitelky mateřské školy Čtyřlístek v Lysé nad Labem Eva Sobotová.
„Místo toho, aby nám nějakou starost ubrali, nám nakládají pořád víc a víc práce. Osobní údaje jsou citlivá věc a měly by být chráněny, ale myslím, že to bohatě splňovalo původní nařízení,“ uvedla ředitelka MŠ Lužice Iva Ladrová.
Autor: Michaela Bůnová