Informace o zpracování a ochraně osobních údajů

Co je GDPR?

Dne 25. 5. 2018 nabývá účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení“), 

které spolu se zákonem o zpracování osobních údajů (jehož návrh je aktuálně v legislativním procesu) nahradí dosavadní právní úpravu, tj. zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. 2 Nová právní úprava neznamená zásadní předěl v přístupu k ochraně osobních údajů, pouze se nad rámec dosavadní praxe stanoví několikero nových povinností pro správce a zpracovatele a práv subjektů, jejichž osobní údaje se zpracovávají. Základní principy spojené s nakládáním s osobními údaji, kterými je nutno se řídit v současné době se nikterak nemění. Lze tedy shrnout, že pokud byly osobní údaje zpracovávány v souladu se zákonem o ochraně osobních údajů, pak nebude nutné příliš do zavedených postupů zasahovat. V této souvislosti je nutné si nicméně uvědomit, že osobním údajem je například i jméno a příjmení konkrétní osoby, příp. jakýkoliv jiný údaj, který umožní konkrétní osobu ztotožnit (tedy i telefonní číslo, emailová adresa, bydliště atp.). Z novinek obsažených v nové právní úpravě lze uvést povinnost správce vést záznamy o činnostech zpracování, povinnost jmenovat pověřence pro ochranu osobních údajů. Novým postupem je potom ohlašování případů porušení zabezpečení osobních údajů Úřadu proochranu osobních údajů. Rozšíření práv subjektu údajů lze spatřovat v právu na přenositelnost osobních údajů od jednoho správce k druhému.

Škola či školské zařízení obvykle zpracovává především osobní údaje učitelů, žáků, rodičů žáků a dalších zákonných zástupců nebo dokonce třetích osob (babička, dědeček, teta, chůva, sousedka). Tito lidé mají mimo jiné právo na to, aby jejich osobní údaje byly po určité době vymazány, resp. bylo na ně zapomenuto. Nejedná se však o právo nové, neboť jej znala již předcházející právní úprava.

 

Hlavní novinky v ochraně osobních údajů dle nařízení (tedy od 25. 5. 2018)

  • zavedení institutu pověřence dle čl. 37 -39 nařízení,
  • úprava postupu, jakým se může subjekt údajů obracet na správce či zpracovatele, včetně povinnosti správce ve stanovené lhůtě žádosti vyhovět nebo informovat subjekt údajů o nepřijetí požadovaných opatření, spolu s informací o možnosti podat stížnost u dozorového úřadu či soudu v čl. 12 nařízení (např. formou interního předpisu přijatého ředitelem školy a zveřejněného na internetových stránkách, úřední desce školy apod.; v této souvislosti upozorňujeme, že žádný vnitřní předpis nemůže omezit právo subjektu údajů žádat informace od správce nebo zpracovatele jeho osobních údajů, stejně tak vnitřní předpis přijatý správcem nebo zpracovatelem nezavazuje subjekt údajů, ten se svého práva může domáhat pouze na základě nařízení bez omezení),
  • v souvislosti s nabídkou služeb informační společnosti je nově možné, aby souhlas se zpracováním osobních údajů vyjádřilo samo dítě, což je vázáno na určenou věkovou hranici (dle nařízení může udělit souhlas dítě od 16 let, přičemž jednotlivé členské státy mohou hranici snížit až na 13 let; v návrhu české právní úpravy –zákona o zpracování osobních údajů –se předběžně počítá s věkem 13 let),
  • právo vznést námitku proti zpracování osobních údajů v případě, že dochází ke zpracování údajů nezbytnému pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce (např. zpracování osobních údajů uchazeče o studium při přijímacím řízení), případně pro účely oprávněných zájmů příslušného správce či třetí strany dle čl. 21 nařízení,
  • rozšíření důvodů, pro které je možné požadovat po správci omezení zpracování údajů dle čl. 18 nařízení(dříve tzv. blokace dle § 5 odst. 1 písm. c) zákona č. 101/2000 Sb.); to neznamená, že došlo k úplnému zákazu zpracovávání, blíže viz čl. 18,
  • výslovná úprava tzv. „práva být zapomenut“ v čl. 17 odst. 2 nařízení, tedy povinnosti správce, který osobní údaje zveřejnil a je povinen je vymazat, informovat všechny další správce, kteří tyto osobní údaje zpracovávají, že subjekt údajů žádá o výmaz veškerých odkazů na tyto osobní údaje, jejich kopie či replikace,
  • „právo na přenositelnost údajů“ dle čl. 20 nařízení v případě zpracovávání osobních údajů na základě souhlasu či za účelem splnění smlouvy, pokud se zároveň provádí zpracování automatizovaně, má subjekt údajů právo získat osobní údaje, které se ho týkají ve strukturovaném, strojově čitelném formátu, případně může správce požádat, aby jeho osobní údaje byly takto poskytnuty správci dalšímu,
  • ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a subjektu údajů za podmínek uvedených v čl. 33 a 34 nařízení,
  • povinnost vedení záznamůo činnostech zpracování v rozsahu a za podmínek upravených v čl. 30 nařízení,
  • zpřísnění podmínek předávání osobních údajů do třetích zemí nebo mezinárodním organizacím dle čl. 44 a násl. nařízení. Předávání osobních údajů do třetí země, kterou se rozumí stát, jenž není členem Evropské unie, se bude moci uskutečnit předně, pokud Evropská komise rozhodla, že bude zajištěna odpovídající úroveň ochrany a takové rozhodnutí uveřejnila v Úředním věstníku Evropské unie a na svých stránkách, případně za splněnípodmínek čl. 46 nařízení. 11.5.2018

Mgr. Helena Čápová, ředitelka školy

Soubory ke stažení

clanky11563/zakladni_info_gdpr.pdf393 kBZákladní informace GDPRVloženo: 11. 02. 2020, 12:22h
clanky11563/inf_souhlas_gdpr.pdf408 kBInformovaný souhlas GDPRVloženo: 11. 02. 2020, 12:22h