ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ ŽÁKŮ, ZÁKONNÝCH ZÁSTUPCŮ A TŘETÍCH OSOB
Základní škola a Mateřská škola Prakšice, příspěvková organizace, se sídlem Prakšice 100 (dále jen „ZŠ“) je příspěvkovou organizací, jejímž zřizovatelem je obec Prakšice. Hlavní činností organizace je zajištění předškolního a základní vzdělávání svých žáků ve smyslu zákona č. 561/2004 Sb., školského zákona.
Je nezbytné, aby organizace v rámci své činnosti zpracovávala osobní údaje žáků a jejich zákonných zástupců, případně dalších osob. Osobní údaje organizace chrání ve smyslu nařízení Evropského parlamentu a Rady (EU) č. 2016/679 (dále jen „GDPR“). Cílem tohoto dokumentu je seznámit subjekty (žáky, zákonné zástupce a třetí osoby) se zpracováním osobních údajů organizací a informovat o právech, které mohou subjekty osobních údajů uplatnit.
Informace jsou dostupné z webových stránek organizace (www.zspraksice.cz) a dále jsou k dispozici k nahlédnutí v sídle organizace. Zásady nakládání s osobními údaji subjektů budou průběžně aktualizovány a doplňovány v souladu s aktuálním účelem zpracování.
Pověřencem pro ochranu osobních údajů byl jmenován:
Mgr. Jindřich Reňák, tel. +420 572 805 005, +420 605 515 870,
e-mail jindrich.renak@ub.cz.
Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je uceleným souborem pravidel na ochranu dat v EU. Škola je povinna se tímto nařízením řídit. Cílem je hájit práva žáků a jejich zákonných zástupců proti neoprávněnému zacházení s jejich daty a osobními údaji, dát jim větší kontrolu nad tím, co se s jejich daty děje.
Obecné zásady a právní důvody zpracování
Při práci s osobními údaji se všichni zaměstnanci školy řídí těmito obecnými zásadami: zásada zákonnosti, korektnosti, transparentnosti, účelového omezení, minimalizace údajů, přesnosti, omezení uložení, integritou, důvěrností a odpovědností správce.
zásada zákonnosti | Zpracování osobních údajů na základě právního předpisu (zejména § 28 školského zákona). Zpracování osobních údajů na základě informovaného souhlasu. |
zásada korektnosti | Správné a společensky bezvadné použití osobních údajů. |
zásada transparentnosti | Všechny informace o ochraně osobních údajů určené subjektu údajů (žák, zákonný zástupce, zaměstnanec) byly stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků. |
zásada účelového omezení | Shromažďování osobních údajů jen za jasně stanoveným účelem. |
zásada minimalizace údajů | Nikdy se nezpracovává více údajů, než je pro daný účel nezbytně nutné. |
zásada přesnosti | Zpracovávané osobní údaje musí být přesné – tj. takové, jaké je subjekt sdělil, nikoli nutně pravdivé, ačkoli se o to mateřská škola bude snažit. |
zásada omezení uložení | Osobní údaje jsou uloženy jen po dobu nezbytně nutnou. |
zásady integrity a důvěrnosti | Náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. |
odpovědnost správce (školy) | Škola zavede vhodná technická a organizační opatření, aby zajistila a byla schopna doložit, že zpracování je prováděno v souladu s nařízením EU. |
Osobní údaje se mohou ve škole zpracovávat pouze v souladu s GDPR, nejčastěji na základě plnění právní povinnosti nebo na základě souhlasu subjektu údajů (žák, zákonný zástupce žáka, třetí osoba). Souhlas subjektu údajů (žák, zákonný zástupce žáka, třetí osoba) musí být informovaný, konkrétní a písemný.
Ředitel školy důsledně zakazuje předávání osobních údajů žáků třetím osobám soukromého práva (nabídky pomůcek, knih, aktivit pro žáky). Obdobně se postupuje i u osobních údajů zaměstnanců školy.
Organizace zpracovává pouze takové údaje, které potřebuji pro účely své činnosti, a to z titulu plnění právní povinnosti. Některé osobní údaje zpracovává organizace na základě souhlasu, který je udělen zákonným zástupcem žáka.
Se souhlasem zákonných zástupců žáka jsou zpracovávány zejména osobní údaje nejen samotného žáka, ale okrajově také osobní údaje zákonných zástupců žáka, případně dalších osob v případě zmocnění pro vyzvednutí žáka ze ZŠ.
Organizace sbírá zejména tyto osobní údaje:
Identifikační údaje - osobní údaje zpracovávané za účelem jednoznačné a nezaměnitelné identifikace žáka a jeho zákonných zástupců (případně dalších osob. Jedná se o jméno, příjmení, rodné číslo, datum narození, adresu trvalého pobytu, podpis zákonných zástupců.
Kontaktní údaje - Jedná se zejména o kontaktní adresu, telefonní číslo, e-mailovou adresu a další obdobné informace.
Údaje o vzdělání žáka — jedná se o osobní údaje o průběhu vzdělávání, činnosti dítěte, jeho tvorbě, výsledcích.
Údaje o komunikaci mezi zákonnými zástupci žáka a organizací — údaje zpracovávané za účelem ulehčení plnění požadavků na organizaci ze strany zákonných zástupců a dále pro unesení důkazního břemene v případě soudního řízení. Jedná se zejména o listovní a e-mailovou korespondenci, která obsahuje osobní údaje, a to zejména osobní údaje identifikační.
Profilové údaje – osobní údaje zpracovávané za účelem splnění zákonných povinností a komunikací s pedagogicko-psychologickými poradnami. Mezi profilové údaje patří například základní fyzické charakteristiky (př. věk, výška, váha), sociálně-demografické charakteristiky (př. rodinný stav, počet dětí), ale i behaviorální, znalostní, dovednostní a psychosociální charakteristiky dítěte.
Údaje o zdravotním stavu — Mezi údaje o zdravotním stavu se řadí zejména údaje o očkování, zdravotních omezeních, akutních i chronických chorobách, alergiích, úrazech, psychologických diagnózách.
1. 3. Z JAKÝCH ZDROJŮ MÁ ZŠ OSOBNÍ ÚDAJE?
Osobní údaje, které ZŠ zpracovává, získává převážně od zákonných zástupců dítěte, a to zejména při přijímacím řízení dítěte do ZŠ a následně i v průběhu jeho vzdělávání. Důležitým zdrojem je i vlastní pozorování dítěte ze strany zaměstnanců ZŠ. V neposlední řadě údaje může ZŠ získat od zdravotnických zařízení a pedagogicko-psychologických poraden.
Většinu osobních údajů žáka je zákonný zástupce povinen zařízení předat již v průběhu přijímacího řízení, neboť organizace by bez těchto údajů nebyla schopná zajistit plnění právní povinností, kterými je například zajištění zdraví dětí, vedení zákonem uložené povinnosti vedení dokumentace a evidence žáků, či plnění cílů předškolního a základního vzdělávání uložených zákonem č. 561/2004 Sb., školským zákonem. ZŠ nezpracovává osobní údaje, které nepotřebuje přímo či nepřímo k plnění svých zákonem stanovených povinností.
Nařízení GDPR stanoví kromě povinnosti zpracovávat pouze účelné informace povinnost zpracovávat tyto informace na základě právního titulu, kterým je buď souhlas, nebo plnění smlouvy, plnění právní povinnosti, plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, či ochrany oprávněného zájmu organizace.
Osobní údaje se mohou ve škole zpracovávat pouze na základě právního předpisu nebo na základě souhlasu žáků, zákonných zástupců žáků.
Osobní údaje zpracovávané na základě školského zákona jsou následující:
- údaje uvedené ve školní matrice,
- doklady o přijímání dětí, žáků, studentů a uchazečů ke vzdělávání, o průběhu vzdělávání a jeho ukončování,
- třídní kniha,
- záznamy z pedagogických rad,
- kniha úrazů a záznamy o úrazech dětí, žáků a studentů, popřípadě lékařské posudky.
Osobní údaje zpracovávané podle zvláštních zákonů jsou:
- podněty pro jednání OSPOD, přestupkové komise,
- podklady žáků pro vyšetření v PPP,
- hlášení trestných činů, neomluvená absence,
- údaje o zdravotní způsobilosti dítěte nebo žáka na zotavovacích akcích.
Osobní údaje zpracovávané na základě informovaného souhlasu jsou:
- potvrzení o bezinfekčnosti,
- zdravotní pojišťovna žáka
- národnost žáka
- audio a videozáznam žáka
- seznamy žáků na mimoškolních akcích a zahraničních zájezdech,
- seznamy žáků na soutěžích a olympiádách, dosažené výsledky
- seznamy zákonných zástupců pro spolek – Spolek rodičů a přátel školy při ZŠ Prakšice,
- jména osob, které budou odvádět dítě z mateřské školy, školní družiny,
- kontakt na zákonné zástupce (není shodný s adresou dítěte),
- fotografie za účelem propagace školy
- zveřejnění výtvarných a obdobných děl žáků na výstavách a přehlídkách, soutěžích
- údaje o způsobu testování a výsledků testování žáka na OPL
- číslo účtu zákonného zástupce
- záznamy z kamerového systému školy pořizované za účelem bezpečnosti žáků a ochrany jejich majetku.
- zdravotní stav dítěte, logopedické problémy
- zvláštní zájmy a problémy dítěte
- zájem o zařazení do ŠD
- informace o předcházejícím vzdělávání (MŠ)
Účely zpracování osobních údajů a právní tituly pro zpracování osobních údajů v ZŠ jsou následující:
Zajištění řádného průběhu přijímacího řízení - v rámci přijímacího řízení poskytují zákonní zástupci řadu informací o dítěti i jich samotných, aby bylo možné rozhodnout o přihlášce k předškolnímu a základnímu vzdělávání a u přijatých dětí vést povinnou evidenci. Sběr a evidenci údajů vyžaduje zákon č. 561/2004 Sb., školský zákon a řízení probíhá dle zákona č. 500/2004 Sb., správního řádu. Při rozhodování o přijetí dítěte se posuzují sdělené informace na základě předem známých kritérií, z titulu plnění právní povinnosti.
Zajištění předškolního, základního vzdělávání pro děti se speciálními vzdělávacími potřebami - ZŠ na základě zákona č. 561/2004 Sb., školského zákona zajišťuje předškolní a základní vzdělávání svých žáků. Za tímto účelem zpracovává specifické profilové údaje a údaje o zdravotním stavu a získává doplňující informace jak od zákonných zástupců, tak od zdravotnických zařízení, z titulu plnění právní povinnosti.
Odvolání proti ne/přijetí dítěte k předškolnímu, základnímu vzdělávání — ZŠ na základě zákona č. 561/2004 Sb., školského zákona a zákona č. 500/2004 Sb., správního řádu, přijímá odvolání proti ne/přijetí dítěte k předškolnímu a základnímu vzdělávání a zasílá jej k rozhodnutí Krajskému úřadu Zlín, a to z titulu plnění právní povinnosti.
Poskytování stravování — ZŠ na základě zákona č. 561/2004 Sb., školského zákona a vyhlášky a školním stravování zajišťuje stravování v objektu ZŠ. Za tímto účelem sbírá a zpracovává informace o zdravotních omezeních relevantních pro přípravu a podávání jídel, a to z titulu oprávněného zájmu.
Plnění evidenčních povinností ZŠ — ze školského zákona je ZŠ povinna vést rozsáhlou evidenci zahrnující osobní údaje dětí i zákonných zástupců. Je povinna vést matriku, doklady o přijímání dětí ke vzdělávání, o průběhu vzdělávání a jeho ukončování, vzdělávací programy, třídní knihu, záznamy z pedagogických porad, knihu úrazů a záznamy o úrazech dětí, popřípadě lékařské posudky, tedy z titulu plnění právní povinnosti.
Plnění cílů předškolního a základního vzdělávání ZŠ — školský zákon stanoví řadu cílů vzdělávání, které je ZŠ povinna naplňovat. K tomu je nezbytné zpracovávat jak údaje získané od zákonných zástupců dítěte a zdravotnických zařízení při přijímacím řízení, tak zejména informace z průběhu vzdělávání pocházející z pozorování dítěte, organizace tak činí z titulu plnění právní povinnosti.
Komunikace se zákonnými zástupci — ZŠ komunikuje se zákonnými zástupci o všech věcech týkajících se vzdělávání dítěte, zdravotní situace, průběhu vzdělávání, vzdělávacích programech i akcích ZŠ. Bez této komunikace by nebylo možné plnit cíl předškolního a základního vzdělávání. Nejedná se o marketingovou komunikaci, nebo komunikaci k jinému účelu, než k plnění cílů předškolního a základního vzdělávání. Děje se tak na základě právního titulu oprávněného zájmu.
Poskytování informací státním institucím — ZŠ je ze zákona povinna poskytnout na vyžádání nebo, je-li to nezbytné, z vlastního podnětu informace státním institucím. Činí tak na základě titulu plnění právní povinnosti.
Organizace a zajišťování vzdělávacích programů a akcí školy — Z titulu plnění oprávněného zájmu, případně na základě souhlasu, organizuje ZŠ různé vzdělávací programy a akce, které zaštiťuje přímo ZŠ, nebo jiný subjekt. Některé z nich nelze provádět bez zpracování osobních údajů dětí nebo zákonných zástupců. U některých akcí, kde není provozovatelem přímo ZŠ, je správcem osobních údajů provozovatel dané služby, který je odpovědný za poučení zákonných zástupců, případně sběr příslušných souhlasů.
Publikace fotografií dítěte na webových stránkách nebo nástěnce školy za účelem prezentace ZŠ a jejích aktivit veřejnosti — ZŠ na základě souhlasu zákonných zástupců dítěte umisťuje na své stránky fotografie z vybraných akcí a aktivit ZŠ, aby prezentovala činnosti ZŠ. Fotografie jsou většinou hromadné a nejsou opatřeny identifikací vyfocených osob.
ZŠ osobní údaje týkající se dítěte uchovává na základě povinnosti stanovené v § 28 školského zákona a podle zákona o archivnictví. A to nejen v průběhu vzdělávání dítěte, ale i po jeho skončení v zákonných lhůtách. Pro každý druh dokumentace je stanovena zvláštní lhůta dle skartačního řádu. Všechny tyto lhůty jsou blíže definovány v záznamech o zpracování, které má organizace povinnost vést a do kterých můžete nahlédnout v sídle organizace.
K předávání osobních údajů dochází v případech, kdy to vyžaduje zákon v rámci odvolacího řízení proti rozhodnutí o ne/přijetí dítěte k předškolnímu, základnímu vzdělávání ZŠ nebo Krajské hygienické stanici. Příjemcem údajů mohou být i společnosti, které ZŠ pověří určitou činností, pro jejíž výkon je zpracování osobních údajů nutné (např. pořadatelé jednotlivých vzdělávacích aktivit žáků). Příjemcem údajů na internetových stránkách ZŠ je veřejnost.
Ředitel školy důsledně zakazuje předávání osobních údajů žáků třetím osobám soukromého práva (nabídky pomůcek, knih, aktivit pro žáky). Obdobně se postupuje i u osobních údajů zaměstnanců školy.
Škola má vytvořený systém pro zabezpečení ochrany osobních údajů:
- uložení dokumentů podle spisového a skartačního řádu,
- nově vytvořena funkce pověřence pro ochranu osobních údajů (Data Protection Officer), který provádí nezávislou kontrolní funkci ochrany osobních údajů ve škole,
- osobní odpovědnost osob, které vedou školní matriku,
- shromažďování pouze nezbytných osobní údaje (například seznam žáků bez rodných čísel),
- již nepotřebné údaje skartovat,
- zachovávat mlčenlivost o údajích,
- neposkytovat údaje osobám mimo výchovně vzdělávací proces,
- školní řád obsahuje pravidla o ochraně osobnosti ve škole,
- stanoven účel a způsob provozování kamerového systému,
- ochrana osobních údajů při práci s IT technikou.
10. JAKÁ PRÁVA MOHU V SOUVISLOSTI S OCHRANOU OSOBNÍCH ÚDAJŮ UPLATNIT?
V souladu s ustanovením článku 12 – 22 nařízení GDPR mohou subjekty uplatnit svá práva. Jednotlivá práva zaměstnanců se uplatňují písemnou žádostí adresovanou organizaci, na kterou je organizace povinna zareagovat bez zbytečného odkladu, nejpozději však do jednoho měsíce od doručení žádosti. Ve výjimečných případech je organizace oprávněna lhůtu pro vyřízení žádost prodloužit nejvýše o dva měsíce. V souladu s uvedenými ustanoveními máte právo uplatnit tato práva:
Právo na přístup k osobním údajům (čl. 15 nařízení GDPR): Žáci a jejich zákonní zástupci mohou požadovat informace o tom, jaké údaje o nich organizace zpracovává.
Právo na opravu osobních údajů (čl. 16 nařízení GDPR): Žáci a jejich zákonní zástupci mají právo požádat o opravu neúplných či nesprávných osobních údajů, které se jich týkají. Tím není dotčena povinnost zaměstnanců hlásit zaměstnavateli změny týkající se jejich osobních údajů a uvádět zaměstnavateli správné a úplné osobní údaje potřebné k realizaci práv a povinností z pracovní smlouvy.
Právo na výmaz osobních údajů (čl. 17 nařízení GDPR): V případě, že má žák nebo jeho zákonný zástupce za to, že zpracování osobních údajů týkajících se jeho osoby není oprávněné, může požádat o jejich výmaz osobních údajů, které jsou dle jeho názoru zpracovávány v rozporu s nařízením GDPR.
Právo na omezení zpracování osobních údajů (čl. 18 a 19 nařízení GDPR): Pokud má žák nebo jeho zákonný zástupce za to, že by mělo dojít k omezení zpracování jeho osobních údajů, zejm. z důvodu, že zpracování těchto osobních údajů probíhá ze strany organizace v rozporu se zákonem.
Právo na přenositelnost osobních údajů (čl. 20 nařízení GDPR): Osobní údaje žáků a jejich zákonných zástupců zpracovávané automatizovaně na základě jejich souhlasu či na základě právního titulu plnění smlouvy mohou být na žádost zaměstnance přeneseny jinému správci. K takové situace zatím ve škole nedochází.
Právo vznést námitku proti zpracování osobních údajů (čl. 21 nařízení GDPR): V případech zpracování osobních údajů žáků a jejich zákonných zástupců na základě právního titulu oprávněného zájmu mají žáci a jejich zákonní zástupci právo vznést námitku proti zpracování. V takovém případě organizace provede balanční test, ve kterém porovná protichůdné zájmy, a vznesenou námitku vyhodnotí.
S uplatněním všech svých práv se můžete obracet přímo na organizaci a to písemně do sídla organizace. Obracet se můžete rovněž na osobu pověřence, jehož kontaktní údaje jsou uvedeny v úvodním ustanovení tohoto dokumentu.
Pokud máte za to, že dochází ke zpracování osobních údajů v rozporu s nařízením GDPR, můžete podat stížnost u dozorového úřadu, přičemž není omezeno ani vaše právo na soudní ochranu. Dozorovým úřadem je Úřad pro ochranu osobních údajů, IČO: 70837627, se sídlem Pplk. Sochora 27, 170 00 Praha 7.