9
Jak zajistit soulad procesu zpracování osobních údajů s GDPR?
JUDr. Eva Wierzbicka Mendrok, LL.M, Mgr. Tomáš Vavro, Mgr. Marek Zeman
Tato kapitola by měla své využití zejména před nabytím účinnosti GDPR, tj. do 25. 5. 2018, nicméně, pokud tak některé školy či školská zařízení dosud neučinily nebo tak učinily jen částečně, pro zajištění souladu procesu zpracování osobních údajů s podmínkami a požadavky GDPR, je potřeba bezodkladně učinit následující kroky Tento výklad se samozřejmě uplatní i v případě kontroly správnosti postupu správce v rámci zpracování osobních údajů podle GDPR.
1. Analýza současné situace v oblasti zpracovávání osobních údajů neboli zjištění veškeré činnosti, při kterých škola nebo školské zařízení osobní údaje zpracovává, a provedení samotné analýzy zpracovávaných osobních údajů.
Na základě takto uskutečněné analýzy, by škola měla dospět k závěru: které údaje se zpracovávají, jakým způsobem, jaký je právní důvod zpracování osobních údajů, v jakém rozsahu se zpracovávají a za jakým účelem. Zmapování stávající situace ohledně zpracovávání osobních údajů by mělo být provedeno i z praktického hlediska – co se s poskytnutými údaji skutečně děje, jak se ukládají, zda se nějak zasílají, komu se předávají, jak dlouho se uchovávají.
Tento vstupní audit by měl tedy ve svém důsledku zjistit, zda:
- se osobní údaje subjektů údajů zpracovávají na základě zákona nebo se souhlasem subjektu údajů,
- osobní údaje nejsou zpracovávány nad rámec zákonných povinností ke zpracování,
- jsou údaje, které škola zpracovává skutečně nezbytné pro její činnost,
- veškeré osobní údaje jsou zpracovávány řádně a v souladu s právními předpisy.
Provedení vstupního auditu ohledně zpracování osobních údajů bude podkladem pro splnění povinnosti školy či školského zařízení podle čl. 30 GDPR, z něhož vyplývá povinnost školy či školského zařízení vést záznamy o činnostech zpracování osobních údajů, za něž odpovídají. Pro tyto účely je tedy vhodné vést tzv. karty záznamů o činnosti zpracování, které musejí obsahovat údaje obsažené v čl. 30 odst. 1 GDPR, z nichž lze pro příklad uvést: jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů, účely zpracování apod.
Ministerstvo školství pro tento případ připravilo mimo jiné vzory záznamů o činnostech, ze kterých může škola či školské zařízení při koncipování vlastních dokumentů vycházet.
2. Analýza právních důvodů zpracování osobních údajů by měla dospět k tomu, zda jsou osobní údaje subjektů údajů zpracovávány na základě zákona či v souvislosti s udělením souhlasu subjektem údajů. Pokud tedy škola či školské zařízení zpracovává osobní údaje i na základě souhlasu, je potřena provést kontrolu poskytnutých souhlasů se zpracováním.
Kontrola poskytnutých souhlasů se má zaměřit především na to, zda udělené souhlasy mají veškeré náležitosti vyžadované GDPR: informace o rozsahu zpracovávaných údajů, konkrétní účel zpracování osobních údajů a doba zpracování. Doporučuje se tedy, aby poskytované souhlasy byly formulovány dostatečně konkrétně (ministerstvo školství ve své metodice doporučuje následující příklad: „Souhlasím po dobu školního roku x/y se zveřejněním fotografií mého dítěte pořízených během akcí mateřské školy na webových stránkách školy, pokud nebude podobizna dítěte spojena s jeho jménem.”).
3. Kontrola uzavřených smluv se zpracovateli osobních údajů (informačními společnostmi), na jejichž základě se zpracovávají osobní údaje prostřednictvím informačního systému provozovaného externím dodavatelem.
Za zpracování osobních údajů odpovídá v souladu s GDPR vždy správce, kterým je v tomto konkrétním případě škola nebo školské zařízení. Správce však může osobní údaje zpracovávat prostřednictvím zpracovatele (např. poskytovatele informačního systému), a to na základě smlouvy o zpracování osobních údajů. Nejdříve by bylo potřeba postavit najisto, zda informační systém, jehož činnost spravuje externí zpracovatel osobních údajů, škola vlastní, tedy k němu má zdrojové kódy a zpracovává jej sama, či data v něm obsažená spravuje třetí osoba (poskytovatel informačních služeb), která zabezpečuje funkčnost informačního systému. Je tedy nutná kontrola obsahu smlouvy, a to zejména co do podmínek přístupu jednotlivých třetích osob k osobním údajům vedeným v systémech. Smlouva o zpracování osobních údajů nemusí být samostatným dokumentem, ale může být implementována do jiné smlouvy, např. o poskytování služeb informační společnosti, dodavatelské smlouvy apod. Smlouvy o zpracování osobních údajů mají přesně stanovené povinné náležitosti (podle čl. 28 Obecného…