Pro školní jídelny, které zanedlouho budou řešit přihlášky na příští školní rok, je nové evropské nařízení o ochranu osobních údajů problémem k řešení již nyní. Tento článek nastíní, co nové nařízení znamená pro školní jídelny, a doporučí, jaké kroky je potřeba udělat nejpozději v létě 2017.
Nové nařízení GDPR a školní jídelny
Mgr.
Štěpán
Holub,
advokát z Holubová advokáti s. r. o., zabývá se GDPR a ochranou osobních údajů
Obecné nařízení o ochraně osobních údajů nebo také
GDPR
(General Data Protection Regulation) bude účinné od 25. května 2018, tedy již během nadcházejícího školního roku 2017/2018. Pokud tedy teď připravujete přihlášky pro strávníky, máte dvě možnosti: buď přihlášky připravíte „postaru“ a v druhém pololetí všechno pracně předěláte anebo se na GDPR připravíte již nyní. Samozřejmě máte i třetí možnost, a to GDPR ignorovat. V tom případě se ale připravte na riziko astronomických pokut. EU má totiž velký zájem, aby bylo nařízení vnímáno opravdu vážně. Pokuty za jeho nedodržování mají být „účinné, přiměřené“, ale také „odrazující“...Nařízení se dotkne zpracování jakýchkoliv osobních údajů zaměstnanců nebo žáků, mezi které patří především jejich jména, příjmení, data narození, ale i všechny údaje, ze kterých lze někoho přímo, či nepřímo identifikovat. Nařízení se vztahuje na počítačové i manuální zpracovávání osobních údajů.
To v praxi znamená, že reguluje stejně vedení papírové kartotéky se jmény jako i počítačový systém, ve kterém lze objednávat jídla na několik dní dopředu. Nařízení se tak dotkne každé školní jídelny zcela určitě.
Revoluční nařízení totiž dopadne prakticky na každý evropský subjekt, který zpracovává osobní údaje. Na rozdíl od evropských směrnic nebude GDPR ze své právní podstaty už dále prováděno národními zákony.Co je tedy nového konkrétně?
Správci osobních údajů, tedy v našem případě
provozovatelé školních jídelen, budou muset v první řadě zajistit, aby přihlášky strávníků obsahovaly souhlasy se zpracováváním osobních údajů v souladu s novým nařízením.
Tyto souhlasy bude muset umět správce i v budoucnu schopen doložit kontrolnímu orgánu. Stejně tak bude nutné mít zakotven způsob pro odvolání takového souhlasu. Zvláštní podmínky jsou upraveny pro případ, že souhlas se zpracováním osobních údajů udělí děti. V souvislosti se souhlasy nařízení zakotvuje rovněž povinnost správce informovat dotčenou osobu o způsobu nakládání s jejími osobními údaji dle nařízení.Nově bude nutné více průběžně vyhodnocovat nakládání s osobními údaji a posuzovat vliv zamýšlených operací na ochranu osobních údajů. V některých případech, zejména pokud zpracování osobních údajů provádí orgán veřejné moci či veřejný subjekt, bude muset správce a zpracovatel osobních údajů jmenovat tzv. pověřence pro ochranu osobních údajů (DPO - „Data Protection Officer“). Tato osoba poskytne správcům, zpracovatelům a jejich zaměstnancům informace a poradenství o jejich povinnostech. Kromě dalšího DPO budou správci sloužit jako jakási spojka s dozorovými úřady, budou s těmito úřady úzce spolupracovat a budou pro dozorový úřad sloužit jako kontaktní místa.
Důležitým úkolem bude nastavit vnitřní procesy tak, aby v případě porušení zabezpečení osobních údajů ohlásil správce osobních údajů bez zbytečného odkladu, zpravidla však do 72 hodin, tuto skutečnost dozorovému úřadu. V některých případech vznikne současně povinnost oznámit porušení zabezpečení také osobám, kterých se toto porušení týká.
Nařízení zakotvuje také široce medializované změny, jako právo osob, aby jejich údaje byly po určité době vymazány, tedy tzv.
„právo být zapomenut“.
GDPR rozšiřuje definici osobních údajů, mezi které nově spadá i IP adresa nebo email. V praxi bude důležité umět správně reagovat na případné žádosti o informace o zpracovávaných osobních údajích.Kromě zpřísnění dochází ale také k určitému zjednodušení. Kromě sjednocení dozorových úřadů napříč členskými státy EU je zajímavé zejména to, že nově už nebude nutné ohlašovat zpracovávání osobních údajů úřadům pro ochranu osobních údajů.
První tři kroky, které můžete udělat dnes
Povinností a změn je celá řada a vyhovět požadavkům GDPR nebude jednoduché. Začít můžete už nyní těmito kroky:
1.
V první řadě je nutné uvědomit si, že GDPR je realita, a začít se o toto nařízení zajímat. Je také vhodné určit osobu ve vedení, kterou implementací nařízení pověříte.
2.
Druhým krokem je zdokumentování, jaké osobní údaje vlastně zpracováváte, odkud tyto údaje pocházejí a s kým je sdílíte.
3.
Třetím krokem bude vyhledání odborníků, kteří vám pomohou nastavit správně procesy nakládání s osobními údaji, upravit počítačové systémy a sepsat příslušné texty souhlasů, vnitřních předpisů a dalších nezbytných právních podkladů.