Školy jsou jedním ze správců osobních údajů, kteří zpracovávají osobní údaje na základě zvláštního zákona (převážně na základě zákona č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), dále zpracovávají osobní údaje v rámci kamerových systému, je tedy nutné aby zřizovatelé školských zařízení připravili svoje organizace na splnění požadavků GDPR.
GDPR je souborem pravidel pro digitální společnost, který by měl být používán jednotně v celé EU. Obecné nařízení přebírá všechny zásady, na nichž evropský systém ochrany osobních údajů stojí a stanoví, že ochrana cestuje přes hranice současně s osobními údaji.
V souladu s tím dále obecné nařízení rozvíjí a posiluje práva lidí, a to v obou složkách: mít (získávat) informace o tom, které jejich údaje jsou zpracovávány a proč a domáhat se dodržování pravidel, včetně nápravy stavu. Obecné nařízení klade systematicky důraz na vymahatelnost práv občanů a povinností správců (odpovědných za zpracování). Obsahuje proto propracovanější a náročnější pravidla pro správce a zpracovatele a současně posiluje a vymáhá od nich výrazně aktivnější přístup. Před zahájením nového zpracování je třeba posoudit vliv jednotlivých zpracování na ochranu osobních údajů a za určitých podmínek si vyžádat předběžnou konzultaci u příslušného dozorového úřadu. Klíčem k nastavování povinností pro správce je rizikovost, která je samozřejmě dovozována z rozsahu zpracování, zpracovávaných osobních údajů a používaných technologií.
GDPR zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Uplatnění principu zodpovědnosti bude představovat nemalé časové a finanční investice.
Ty se budou týkat zejména těchto oblastí:
- implementace záměrné a nezbytné ochrany dat
- vypracování posouzení vlivu na ochranu osobních údajů, v angličtině DPIA neboli Data Protection Impact Assessment
- jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
- vedení záznamů o činnostech zpracování
- konzultace s dozorovým orgánem před samotným zpracováním osobních údajů
Odkazy na informace k problematice GDPR
http://www.privacy-regulation.eu/cs/index.htm – celé znění nařízení
https://www.uoou.cz/obecne-narizeni-eu-gdpr/ds-3938/p1=3938 – informace dozorového orgánů, Úřad na ochranu osobních údajů