GDPR na poslední chvíli

Vydáno: 6 minut čtení

Datum účinnosti nařízení Evropského parlamentu a Rady (EU) č. 2016/679, známého jako GDPR, je tady. Po období spekulací, spousty informací, až dezinformací a příprav začíná platit jeden ze zřejmě nejdiskutovanějších právních předpisů z oblasti ochrany osobních údajů, které kdy byly vydány.

Řízení školy onlineNa přípravu implementace GDPR měly příslušné subjekty čas od 27. 4. 2016, ale jak se ukazuje, ani tato doba nebyla dostatečná k tomu, aby se na ni školy stihly připravit. Nutno podotknout, že vinu nelze dávat pouze školám, protože do okamžiku uzávěrky tohoto článku například stále není schválen adaptační zákon a pokyny či metodiky jednotlivých resortů byly vydány rovněž poměrně pozdě. Na druhou stranu Česká republika zdaleka není jediným státem EU, který má v tomto ohledu časový skluz.
Absence metodik a postupů k implementaci GDPR se logicky projevila v nechuti škol se do tohoto kroku vůbec pustit. Zástupci mnoha škol odkládali implementaci na nejzazší možnou chvíli, resp. do okamžiku, kdy už bylo jasné, že nebude vyjednána žádná výjimka ani odklad platnosti GDPR, jak mylně uváděla některá média.
Řada škol se proto do implementace pustila až v posledních týdnech před zahájením platnosti nařízení, mnohdy na pokyn zřizovatele nebo v souladu s jeho jednotnou strategií. Přesto je ale v tuto chvíli v ČR poměrně značný počet škol, které doslova několik dnů před zahájením platnosti nařízení stále ještě nezačaly GDPR implementovat. Co s tím? Možností je několik.

Implementace GDPR vlastními silami

Vezmeme-li v úvahu rozsah agendy související s GDPR, schopnost pochopit v krátkém čase celou problematiku a v ideálním případě nastudovat alespoň elementárně metodiku MŠMT (když už ne přímo celý rozsah nařízení) a pokud k tomu přihlédneme k omezeným personálním kapacitám ve škole, jeví se možnost implementovat GDPR vlastními silami jako vysoce riziková, nikoliv však nereálná. Takové řešení ovšem předpokládá okamžitě vyčlenit jednu osobu ve škole, která se bude GDPR po nějakou dobu plně věnovat.

GDPR - informace, které se Vám budou hodit.

V Pracovních situacích na online.rizeniskoly.cz jsme pro Vás připravili několik situací a vzorů, které Vám s řešením GDPR pomohou

Celá sekce je neustále průběžně doplňována.

Ještě nemáte licenci Řízení školy online? Můžete si jej na 30 dní bezplatně vyzkoušet. Stačí se zaregistrovat na www.rizeniskoly.cz/registrace.

Všichni zákazníci naší redakce školství mají možnost využít služeb odborné poradny.

Neváhejte se zeptat na cokoliv k GDPR!

Dodavatelské řešení

Komerční sféra poměrně pružně zareagovala na hlad po informacích a poptávku po službách souvisejících s implementací GDPR. Soukromé subjekty tak do jisté míry suplují pomalý postup metodického vedení jednotlivých resortů.
V časové tísni se dodávka implementace GDPR na klíč jeví jako nejbezpečnější řešení, protože externí dodavatel (pokud je dobře zvolený) má obvykle zkušenosti z předchozích implementací, měl by znát úskalí nařízení a související legislativy a má již většinou rámcové vzory jednotlivých dokumentů. Nevýhodou externí dodávky implementace GDPR je ale pochopitelně cena, neboť soukromý subjekt si za své služby nechá adekvátně zaplatit.

Pozor na "podezřelé nabídky"

Škála nabídek služeb poskytujících implementaci GDPR do škol je opravdu široká. Školám jsou nabízeny služby informačních seminářů, služby implementace GDPR nebo pouze služby výkonu funkce pověřence. Úroveň nabídek je bohužel stejně rozmanitá jako velikost jejich objemu a rozeznat na první pohled kvalitní nabídku od nekvalitní nemusí být snadné.
Na trhu se vyskytují nabídky implementace GDPR v cenových relacích od několika málo stokorun až po desítky tisíc korun. Pozor zejména na podezřele levné nabídky. Pokud má implementátor GDPR skutečně poctivě odvést svoji práci, musí školu minimálně jednou navštívit a provést zjištění stavu na místě, vyžádat si řadu podkladů, zhotovit analýzy a vybavit školu kompletní zpracovanou dokumentací. To vše je práce na mnoho desítek hodin a z logiky věci plyne, že takovou činnost nelze zvládnout za částku v řádech několika stokorun.
Ruku v ruce by s ohledem na cenu měla jít znalost školského prostředí, protože případná vzorová dokumentace, kterou má zkušený implementátor k dispozici, se příznivě promítne do doby celé implementace, což je v tomto období počátku účinnosti GDPR zcela zásadní faktor. Navíc implementátor se zkušenostmi ze školního prostředí, zvláště pokud službu aktivně nabízí a provozuje, může velmi pružně stavět na svých zkušenostech týkajících se specifických řešení v oblasti ochrany osobních údajů na předchozích školách a tím škole poskytuje nezanedbatelné know-how.
Při výběru vhodného dodavatele implementace GDPR hraje jistě roli i důvěra v ověřený subjekt. Řada škol, které již mají implementaci za sebou, například využila nabídky implementace GDPR od poskytovatele svého školního informačního systému, kteří ve většině případů tuto službu také nabízejí. U takových dodavatelů lze předpokládat velmi dobrou orientaci ve školním prostředí i zkušenosti s kvalitním zabezpečením dat. V rámci dobré praxe, zvláště u GDPR, je určitě vhodné si vyžádat referenci.

A nakonec pověřenec

Při zajišťování pověřence, pokud jej nesdílíte s obcí, myslete především na to, že by se měl již při vlastní implementaci aktivně účastnit a vyjadřovat v procesu uvádění do souladu k dílčím skutečnostem i s ohledem na čl. 39, Úkoly pověřence pro ochranu osobních údajů, především odst. b), kde je mezi úkoly pověřence uveden monitoring souladu s nařízením, z čehož obvykle plyne zmiňovaná dostatečná odbornost a znalost legislativy potřebné pro výkon této funkce.
V případě, že chcete jmenovat pověřence z vlastních personálních zdrojů, měl by se ve zbývajícím čase do účinnosti nařízení dostatečně proškolit s ohledem na praktický dopad činnosti pověřence na vaší škole.

Závěrem

Přestože nařízení EU č. 2016/679 během několika dní vstoupí v účinnost, stále je možné i na dosud "nedotčených" školách relativně v krátkém čase GDPR implementovat a splnit tak povinnosti z něj plynoucí. Jako v mnoha jiných případech platí, že je lepší začít byť se zpožděním, ale přece než nedělat vůbec nic. To by se totiž v budoucnu nemuselo zejména při neočekávaném datovém incidentu vyplatit.
Přeji nám všem, abychom období horlivé ochrany osobních údajů přežili bez úhony a se zachováním zdravého rozumu.

Řízení školy online

Zdroj: Časopis Řízení školy 5/2018, autor Aleš Felner
 

Více informací k GDPR 

Naleznete např.:
Informace jsou vždy připraveny přesně na míru jejím čtenářům tak, aby nebyli zahrnováni přemírou informací.