Často kladené otázky

OTÁZKA: Musí mít obec podepsaný souhlas zákonného zástupce se zpracováním osobních údajů při vítání občánků (jmenný seznam dětí, zápis do kroniky)?

Zde použijeme čl. 6, písmeno e) veřejný zájem obce na pořádání obecních akcí, které slouží k podpoře života obce jako společenství občanů. Souhlas není potřeba. Stejně tak se postupuje i u zápisů do obecní kroniky, kde je rovněž veřejný zájem obce. Zpracování však musí být přiměřené účelu - u kronik (zákon o obecních kronikách) se lze opřít i o "informaci a poučení budoucím generacím". Není třeba uvádět konkrétní data narození, stačí uvést narození dětí v daném roce.

OTÁZKA: Musí mít obecní knihovna zřízenou funkci pověřence ochrany osobních údajů? Je nutno získat od čtenářů souhlas se zpracováním osobních údajů?

Knihovna na rozdíl od obcí a škol není orgánem veřejné moci ani veřejným subjektem ve smyslu zákona o zpracování osobních údajů, proto se jí povinnost jmenovat pověřence netýká. Knihovna ve své podstatě nakládá s osobními údaji svých čtenářů a zaměstnanců, vede evidenci zapůjčených knih a slouží jako komunitní, informační a společenské centrum. Nakládání s osobními údaji by mělo být ošetřeno v knihovním řádu příslušné knihovny. Zde se využije písmeno c) plnění právní povinnosti a písmeno b) plnění smlouvy mezi čtenářem a knihovnou, proto není třeba žádat o souhlas od čtenářů.

OTÁZKA: Je povinností obce, nebo školy, aby v rámci ochrany osobních údajů musela své dokumenty obsahující osobní údaje šifrovat?

Obecné nařízení neupravuje povinnost obcí, nebo škol, aby v rámci osobních údajů museli šifrovat. Povinnost správce osobních údajů je zavést taková technická a organizační opatření, aby byla data vhodně zabezpečena. Šifrování je jedna z možností, nikoliv povinností jak chránit své data. Šifrování určitě nebudeme používat při běžných operacích s osobními údaji. Šifrování se naopak doporučuje při hromadných operacích s citlivými osobními údaji, kde je riziko újmy subjektu údaje vysoké.

OTÁZKA: Na webových stránkách školy jsou fotografie z kulturních a společenských akcích, na kterých jsou děti. Musím tyto fotografie stáhnout z fotogalerie?

Zveřejňování rozumného množství ilustrativních fotografií z akcí školy na webových stránkách v případě, že se nejedná o fotografie zaměřené na konkrétní jednotlivce a ti nejsou označeni, lze provádět v oprávněném zájmu školy. Tento oprávněný zájem je v souladu s veřejným zájmem školy na zachycení historie školy včetně přiměřené prezentace její činnosti. Detailnější fotky, jméno a třídu pak může škola podle ministerstva dál zveřejňovat s informovaným souhlasem žáka (ZŠ), případně zákonného zástupce dítěte (MŠ). 

Sečteno podtrženo: Fotografii bez souhlasu je možné nadále používat pro účely vědecké, umělecké a zpravodajské za podmínky přiměřenosti. Ilustrační fotografie z akcí (ples, besídka, výlet) bez souhlasu použít lze, ale nesmí tam být lidé v nelichotivých pozicích, nebo konkrétně označení lidé. Je třeba umět najít argumenty pro to, proč děti fotím. Například že účelem bylo monitorovat akci, nikoliv fotit děti. Pak fotím na základě zpravodajské licence, což je přípustné. Je zkrátka třeba k nařízení přistupovat se selským rozumem.

Podobné je to například u jmenovek na skříňkách v šatně. Označené můžou být tak, aby si je dítě poznalo. Údaje ve třídní knize může škola chránit například tím, že ji učitel o přestávce zamkne do šuplíku stolu.

OTÁZKA: Mohou si děti ve škole nadále podepsat výkres? Je nutné zabezpečovat shromažďované osobní údaje v trezoru?

Ano. Veškeré své výtvory (výkresy a jiná umělecká díla) lze nadále podepsat. V tomto případě se nejedná o zpracování osobních údajů. K žádné změně v tomto směru nedochází, proto netrhejte výkresy dětí a nechte je normálně dále krášlit Vaše školní prostory.

V zásadě platí, že čím větší riziko zneužití dat, tím má být vyšší zabezpečení. V případě škol nemusí jít o trezory, stačí uzamčená místnost a uzamčená budova s omezeným vstupem. Pokud ve školní kuchyni visí seznam dětí s potravinovými alergiemi, je riziko zneužití minimální - seznam je v místnosti, kam má přístup jen omezený počet lidí, neoprávněné osoby tam přístup nemají. Jakýkoliv zámek na skříni a její uzamčení je dobrým způsobem zabezpečení, něco jako certifikované skříně splňující požadavky GDPR je jen snaha prodejců vytáhnout z vystrašených vedoucích pracovníků peníze :-)

OTÁZKA: Na co dalšího si dát ve škole (školce) pozor? 

Na nástěnce by nově neměly být vyvěšeny informace o tom, které dítě je na co alergické, na skříňce dítěte by neměla být fotka a jméno, což by mohlo vést k identifikaci dítěte. Bude zkrátka potřeba zajistit, aby se k veřejnosti nedostaly žádné údaje, podle kterých by šlo dítě identifikovat. 

Naopak bude nutno zlikvidovat dokumenty, které již nejsou k běžné činnosti potřeba např. starší kopie osobních dokladů, nebo životopisy zaměstnanců, kteří již v organizaci nepracují a s nimiž byl z různého důvodu rozvázán pracovní poměr.

Hesla do školních počítačů by měly mít minimálně osm znaků, použité slovo by nemělo dávat smysl, nesmí být spojeno s informacemi o uživateli, mělo by obsahovat kombinaci malých a velkých písmen, číslice a speciální znaky. A hlavně nemít heslo napsáno na štítku a přilepené na monitoru :-)

Dále by se měli ředitelé organizací vyvarovat zpracování osobních údajů, které nejsou úplně nezbytné. Například už nebude možné používat rodná čísla jako variabilní symbol u plateb za výlety nebo obědy školáka. V takovém případě by totiž opět musel být podepsán souhlas rodičů. 

Není nutné rovněž znát v dotazníku "povolání rodičů". Jedná se o nadbytečný osobní údaj, který organizace nepotřebuje k tomu, co ukládá školský zákon. Tím by organizace nesplnila požadavek minimalizace osobních údajů a mohlo by to být napadnutelné.

Také už nelze jen tak v rámci úspory času zkopírovat doklad totožnosti a uchovat si jeho kopii. Pokud je potřeba si ověřit identitu, je potřeba si průkaz totožnosti opsat a o této skutečnosti provést záznam, kdy a kým byla správnost osobních údajů ověřena.

OTÁZKA: Kdo je typickým zpracovatelem v oblasti dodávek služeb IT?

Provozovatel byť jen části informačního systému pro správce osobních údajů, externí správce sítě, externí bezpečnostní správce, poskytovatel datového úložiště (cloudu). U obcí např. ALIS, GORDIC atd.

OTÁZKA: Podléhá požadavkům GDPR účetnictví (prodejní doklady, mzdová a personální agenda) a co je třeba posoudit při zabezpečení této agendy?

Zde se použije ve vztahu k čl. 6 písmeno c) plnění právní povinnosti. Obecné nařízení o ochraně osobních údajů (GDPR) se týká všech subjektů, které zpracovávají osobní údaje fyzických osob, například zaměstnanců či klientů. Doporučuje se přihlédnout ke stavu techniky na níž probíhá zpracování. Při posuzování vhodné úrovně zabezpečení je třeba zohlednit rizika při zpracování osobních údajů (zničení, ztráta, neoprávněné přístupy atd.)

OTÁZKA: Mohou školy zveřejňovat jména a příjmení žáků, třídu a jejich fotky například ve školním časopise, na sociálních sítích a na webu školy?

V propagačních materiálech školy (zpravodaj, ročenka, školní web, nástěnky) lze s obecným souhlasem žáků nebo zákonných zástupců dětí uveřejňovat výhradně textové či obrazové informace o jejich úspěších s uvedením pouze jména (případně ročníku či třídy). Souhlas lze kdykoliv odvolat a subjekt má právo požadovat zablokování a odstranění informace či fotografie.

OTÁZKA: Je potřeba souhlas se zpracováním osobních údajů v rámci služby SMS Infokanál obce? 

Právním titulem pro zpracování kontaktních údajů jako je jméno, příjmení, trvalé bydliště a telefonní číslo je v posuzovaném případě dle článku 6 odst. 1 písm. b) obecného nařízení smlouva mezi městem a občanem o poskytování služby SMS Infokanál. Takovéto zpracování identifikačních a kontaktních údajů nevyžaduje souhlas občana se zpracováním těchto údajů. Město je jako správce oprávněno uvedené osobní údaje zpracovávat za účelem uzavření a plnění smlouvy, tedy k identifikaci, registraci a informování občanů o různých událostech a krizových situacích.

OTÁZKA: Jak je to s osobním údajem a žádostí o dotaci?

Dochází-li ke zpracování osobních údajů v rámci žádosti o dotaci, konkrétně při jejím doložení, není pro takové zpracování nutný souhlas subjektu údajů, neboť jde o zpracování jako důsledek plnění právní povinnosti dle článku 6 odst. 1 písm. c) obecného nařízení GDPR. 

OTÁZKA: Jak je to s činností spolku a osobními údaji?

Pokud jde o činnost spolku, tak pro vnitřní potřeby spolku se souhlas člena se zpracováním osobních údajů nevyžaduje, zpracování probíhá na základě plnění právní povinnosti dle ustanovení článku 6 odst. 1 písm. c) obecného nařízení. Pokud však jde o zpracování formou zveřejnění seznamu členů, je nutný souhlas člena spolku s takovýmto způsobem zpracování dle ustanovení článku 6 odst. 1 písm. a) obecného nařízení, tak jak to předvídá ustanovení § 236 odst. 3 zákona č. 89/2012 Sb., občanský zákoník.