Komentovat Od 25. května 2018 bude účinné Nařízení EU o ochraně osobních údajů (GDPR), které zvyšuje ochranu osobních dat, jež různé subjekty o lidech shromažďují, a zpřísňuje pravidla pro nakládání s těmito informacemi. Nařízení bude platit pro celou Evropskou unii a dopadne na mnoho subjektů, i na školy a školní jídelny.
Co jsou osobní údaje
Za osobní údaje se považují jakákoli data, která mohou vést k identifikaci osoby. Považuje se za ně zejména jméno a příjmení osoby, její datum narození, ale také všechny další údaje, ze kterých lze osobu přímo nebo nepřímo identifikovat. V podmínkách školní jídelny to může být rodné číslo, telefon, e-mail nebo IP adresa (slouží k bližší identifikaci počítače v síti) apod. To platí jak pro ruční, tak pro počítačové zpracování údajů.
Souhlas s evidencí osobních údajů
Novinkou je, že pokud zpracování údajů není nutné ke splnění smlouvy nebo ke splnění zákonné povinnosti, subjekt si musí vyžádat souhlas osoby, jejíž osobní data chce evidovat.
Souhlas musí mít trvale přístupný a musí ho být schopen i budoucnu doložit. Osoba, jejíž údaje jsou shromažďovány, má právo si vyžádat informaci, jaké osobní údaje o ní subjekt eviduje, a má právo souhlas odvolat.
Subjekt může evidovat pouze taková data, která pro svou činnost potřebuje.
V případě, že shromažďování údajů je nutné ke splnění smlouvy nebo zákonné povinnosti, povinnost zajistit souhlasy evidovaných osob odpadá. To se mj. týká i školních jídelen, které si nemusí žádat zvláštní souhlasy strávníků/rodičů pro evidování dat potřebných k zajištění stravovacích služeb.
Zpracování a únik dat
Při zpracování dat musí subjekt ve zvýšené míře dávat pozor na to, aby se data nedostala mimo okruh povolaných osob. V případě úniku dat musí subjekt bez zbytečného odkladu, zpravidla do 72 hodin, oznámit tuto skutečnost dozorovému úřadu, v některých případech dokonce i osobám, kterých se data týkají. Dozorovým orgánem je Úřad pro ochranu osobních údajů.
Určitým zjednodušením je, že zpracovávání osobních údajů nebude nutno úřadu ohlašovat.
Přihlášky ke stravování nemusí obsahovat souhlas
Na začátku školního roku 2017/2018 je pro školní jídelny velmi aktuální otázka, zda musí přihlášky ke stravování rozšiřovat o souhlas se zpracováním osobních dat. Z právních rozborů, ze stanoviska asociace ASPOS i ze stanoviska MŠMT vyplývá, že na přihláškách takový souhlas být nemusí.
Tiskový odbor MŠMT zaslal redakci portálu Jídelny.cz následující sdělení:
Podle názoru MŠMT není nutné, aby školní jídelna coby školské zařízení požadovala souhlas se zpracováním osobních údajů za účelem zabezpečení školního stravování žáků.
Podle čl. 6 nařízení GDPR účinného od 25. 5. 2018 je zpracování osobních údajů zákonné, pokud jsou zpracovávány v odpovídajícím rozsahu a zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje.
Právnická osoba, která vykonává činnost školy, má zákonem stanovenou povinnost zajistit školní stravování a to přednostně v zařízeních školního stravování.
Z výše uvedeného se dá tedy vyvodit, že zajišťování školního stravování umožňuje správcům osobních údajů jejich zpracování v souladu s nařízením GDPR, pokud jsou zpracovávány v rozsahu nezbytném pro samotné zabezpečení školního stravování.
MŠMT ale není gestorem problematiky ochrany osobních údajů a nemá pravomoc závazného výkladu právních předpisů. Výše uvedený výklad příslušných ustanovení má proto pouze informativní povahu.
Podrobnější rozbor problematiky je zveřejněn na stránkách asociace ASPOS.
Začněte se připravovat již nyní
Přestože nařízení EU o ochraně osobních údajů začne platit až na konci školního roku, je potřebné, aby se školní jídelny na změny začaly připravovat již nyní. Nejedná se totiž jen o souhlas s evidováním dat o strávnících a změny nebude snadné provést ihned.
- Promyslet, které informace o strávníkovi jídelna opravdu potřebuje evidovat, připravit se na to, jakým způsobem o tom strávníka informovat.
- Evidence dat, ať v papírové nebo elektronické podobě, by měla být důkladně zabezpečena. Není možné, aby se tiskové sestavy s daty strávníků byly volně přístupné na stole v kanceláři vedoucí, kde se ji může prohlédnout jakýkoli návštěvník.
- Nepotřebné výtisky sestav s daty strávníků není možné odkládat do sběru, je třeba je skartovat. V této souvislosti je možno doporučit, aby se tiskové sestavy zbytečně netiskly, protože pak bude třeba rozlišovat, jaká data obsahují, nebo bude nutno je skartovat všechny.
- Data v elektronické podobě by měla být bezpečně uložena. Je třeba zvážit, zda jde o nesíťový počítač, nepřipojený k internetu, nebo o počítač v síti. V případě sítě by data měla být uložena na zabezpečených serverech (typu SQL) a měl by k nim mít přístup jen pověřený pracovník. Samozřejmostí by mělo být zabezpečení kanceláře s počítačem a její uzamknutí. Zabezpečeny by měly být i zálohy dat. Přístup k osobním datům by měl být pouze na heslo. Konzultujte tuto problematiku s vašimi správci počítačů, případně s dodavateli sw.
- Pro komunikaci s internetovými aplikacemi, které pracují s osobními daty strávníků, používat výhradně zabezpečené internetové stránky (v adrese mají „https“).
- Je třeba připravit postup pro případ, kdy se osobní data dostanou mimo okruh pověřených osob (vyhození tiskových sestav do kontejneru, zcizení počítače nebo USB apod.)
Ing. Pavel Ludvík – vedoucí redakce portálu Jídelny.cz
Diskuze
Autor: Košlerová Lenka1
GDPR
Dobrý den, jak je to prosím se souhlasem s uchováváním dat firem, které do školní jídelny dováží potraviny? Uchováváme faktury a smlouvy o dodávání zboží. Musíme mít také jejich souhlas a pokud ano, najdu někde vzor? Děkuji Košlerová