Co mám dělat, abych neporušoval GDPR?

Mgr. Alice Kubů Frýbová

Vydáno:

Obecné nařízení o ochraně osobních údajů, známé pod zkratkou GDPR, ukládá školám, aby zabezpečily údaje dětí, žáků či studentů. Když se údaje ztratí nebo zpřístupní nesprávné osobě, často se bude jednat o porušení GDPR. Podle Úřadu pro ochranu osobních údajů, který dodržování pravidel GDPR kontroluje, je právě neoprávněné zveřejnění či zpřístupnění osobních údajů někomu, kdo na to nemá právo, nejčastějším problémem, se kterým se na něj lidé obracejí se svými stížnostmi. Školy se nejčastěji na Úřad pro ochranu osobních údajů obracejí, pokud jejich software byl napaden softwarem zvaným ransomware. To je druh škodlivého programu, který blokuje počítačový systém nebo šifruje data v něm zapsaná a pak požaduje od školy výkupné za obnovení přístupu.

V tomto a dalších číslech Učitelského měsíčníku představíme vždy jedno pravidlo, které by učitelé měli dodržovat, aby se vyhnuli problémům spojených s GDPR. Dnešní pravidlo zní:
Nesdělujte informace o dětech, žácích nebo studentech svým příbuzným či známým.
Jednou z hlavních zásad zpracování osobních údajů je zpracovávat osobní údaje k vymezenému účelu. Tímto účelem je poskytování vzdělávání. Proto údaje o žácích samozřejmě můžete probírat v rámci školy s ostatními pedagogy, kteří dané žáky učí nebo učili, a vyměňovat si zkušenosti. Údaje o žácích, jejich prospěchu, chování či speciálních vzdělávacích potřebách byste však neměli šířit mezi svými známými či příbuznými ani je nesmíte bez důvodu předávat soukromým společnostem. Stejné pravidlo je zakotveno i v zákoně č. 561/2004 Sb., školský zákon, v § 22b, podle kterého je „pedagogický pracovník (…) povinen zachovávat mlčenlivost a chránit před zneužitím osobní údaje, informace o zdravotním stavu dětí, žáků a studentů a výsledky poradenské pomoci školského poradenského zařízení a školního poradenského pracoviště, s nimiž přišel do styku“. Sdělení informací o dětech někomu, kdo na to nemá právo, tak může mít dva důsledky. Za prvé představuje porušení GDPR a za druhé porušení pracovních povinností zaměstnance.

Související dokumenty

Pracovní situace

Časté dotazy škol z oblasti GDPR
Zpracovávání osobních údajů v podobě výsledků vzdělávání
GDPR - pro školy
Evidenční list dítěte nepřijatého k předškolnímu vzdělávání
Kamerové systémy v mateřské škole
Ochrana osobních údajů v praxi poradenských pracovníků
Poskytování osobních údajů školami Policii ČR
Předávání osobních údajů žáků pojišťovnám
Metodická pomůcka k aplikaci GDPR ve školství - vydaná MŠMT
GDPR: Jak zjistit, že škola (ne)potřebuje souhlas?
Kritéria výběru externího pověřence pro ochranu osobních údajů
Obecné nařízení o ochraně osobních údajů ve školách a školských zařízeních – charakteristika, podmínky legálního zpracování osobních údajů, informační povinnost správce
Informační povinnost školy nebo školského zařízení – příklady
Informační povinnost správce v případě, že osobní údaje nebyly získány od subjektu údajů
Záznamy o činnostech zpracování a školní jídelny
Záznamy o činnostech zpracování a školní družiny
Záznamy o činnostech zpracování - základní školy
Vyvěšení seznamu žáků „po nástupu GDPR“
Narušování online výuky
Bezpečnost osobních údajů podle zákona o ochraně osobních údajů

Poradna

Ukončení předškolního vzdělávání
Výkaz práce
Povinné předškolní vzdělávání
GDPR
GDPR dokument
Výběr příspěvku Sdružení rodičů
Úhrada konference Škola jako místo setkávání ze Šablon
Kontrola rodného listu a totožnosti zákonného zástupce u zápisu do první třídy
Pověřenec GDPR
GDPR a udělení napomenutí třídního učitele
Možnost hradit část dalšího vzdělávání z ONIV
Celková doba přerušení vzdělávání ve střední škole
Výuka Aj
Zveřejňování fotografií
Fotografie a videa rodičů ze školní akademie
Skartační předpisy u dotazníků při šetření šikany
Přestup žáka cizince
Postup školy v případě, že přijatá žákyně se neúčastnila vzdělávání a zákonný zástupce nekomunikuje
Změna druhého cizího jazyka
Podpůrná opatření od 1. 1. 2026