Obecné nařízení o ochraně osobních údajů, známé pod zkratkou GDPR, ukládá školám, aby zabezpečily údaje dětí, žáků či studentů. Když se údaje ztratí nebo zpřístupní nesprávné osobě, často se bude jednat o porušení GDPR. Podle Úřadu pro ochranu osobních údajů, který dodržování pravidel GDPR kontroluje, je právě neoprávněné zveřejnění či zpřístupnění osobních údajů někomu, kdo na to nemá právo, nejčastějším problémem, ohledně kterého se na něj lidé obracejí se svými stížnostmi. Školy se nejčastěji na Úřad pro ochranu osobních údajů obracejí, pokud byl jejich software napaden softwarem zvaným ransomware. To je druh škodlivého programu, který blokuje počítačový systém nebo šifruje data v něm zapsaná a pak požaduje od školy výkupné za obnovení přístupu.
Co mám dělat, abych neporušoval GDPR?
Vydáno:
Co mám dělat, abych neporušoval GDPR?
Mgr.
Alice
Frýbová
advokátka společnosti Holubová advokáti, s. r. o.
V minulém, tomto a dalších číslech Učitelského měsíčníku představíme vždy jedno pravidlo, které by učitelé měli dodržovat, aby se vyhnuli problémům spojeným s GDPR. Pravidlo pro tento měsíc zní:
Pokud zasíláte žákům při výuce na dálku e-maily, zasílejte je výhradně ze své pracovní e-mailové adresy!
Tato rada souvisí s tím, co lze považovat za bezpečný prostředek komunikace na dálku. GDPR stanoví, že osobní údaje, tedy i informace o žácích uložené v e-mailu, mají být přiměřeně zabezpečené. Nestanoví už, kdy se jedná o přiměřené zabezpečení a kdy nikoliv. Přiměřenost se bude posuzovat i podle toho, co je předmětem komunikace. Zasílá-li učitel zadání domácích úkolů, prezentaci nebo jiné informace, které buď vůbec nejsou osobními údaji, nebo se nejedná o citlivé osobní údaje, pak je přiměřené zabezpečení jiné, než když zasílá individuální vzdělávací plán. Jinými slovy záleží na tom, co je obsaženo v komunikaci se žákem, resp. jeho rodičem.
E-mail je však vhodný pouze někdy a jen některý. Při komunikaci se žáky by se vždy mělo jednat o e-mail pracovní a ideálně by komunikace měla být šifrovaná. Ze soukromého e-mailu by učitel neměl komunikovat se žáky nikdy.
Ani pracovní e-mail však není vždy dovolený. Dokumenty obsahující citlivé osobní údaje, jako je např. individuální vzdělávací plán žáka nebo individualizované e-maily o chování žáka zasílané rodičům, by neměly odejít ani z pracovního e-mailu. Vhodné je osobní předání nebo využití školního informačního systému školy.
Komunikace nesprávným informačním kanálem může mít pro školu, a tedy i pro učitele negativní důsledky. Je možné, že Úřad pro ochranu osobních údajů zahájí šetření nebo minimálně škole zašle tzv. vytýkací dopis.