Nariadenie GDPR sa týka všetkých, ktorý spracovávajú osobné údaje. Školy pracujú s veľkým množstvom osobných údajov. Patria sem napríklad informácie o žiakoch, ako sú známky, zdravotné informácie, obrázky, ale aj údaje o zamestnancoch a uchádzačom o zamestnanie. Nariadeniu GDPR sa určite žiadna škola nevyhne.
Ochrana osobných údajov v školách
Pokiaľ ide o školy a vzdelávací sektor vo všeobecnosti, dôraz sa kladie na ochranu údajov a bude sa musieť oveľa viac dohliadať najmä pri vedúcich predstaviteľoch školy. Dosiahnutie súladu s GDPR si bude vyžadovať bezpodmienečnú podporu od všetkých zamestnancov, vedúcich, učiteľov a podporných pracovníkov. GDPR nie je bežným každodenným tzv. podnikaním pre školy, takže budú musieť túto zmenu urobiť spolu so všetkými pravidelnými výučbovými a učebnými povinnosťami, ktoré naďalej pokračujú.
GDPR a zamestnanci školy
Rovnakým spôsobom, ako zabezpečenie chodu pre celú školu, ktorú bežne vedie jeden z vyšších vedúcich, sa odporúča, aby sa ochrana údajov riadila rovnakým prístupom. Na školách by mal byť vymenovaný niekto, kto bude zodpovedný za implementáciu GDPR a kontrolu nad ochranou osobných údajov. Môže to byť aj externá zodpovedná osoba. Školy sa musia pozrieť na to, čo vyhovuje ich organizačnej štruktúre. Ak chcú využiť externého úradníka pre ochranu údajov, musia si uistiť, či má dostatočné vedomosti o škole, aby mohol riadne poradiť a poskytovať poradenstvo šité na mieru. Samozrejme sa vyžaduje aj odborná príprava pre všetkých zamestnancov školy.
Externé tretie strany
Akékoľvek vzťahy s tretími stranami, ktoré spracovávajú osobné údaje, budú musieť mať dohodnuté spracovateľské dohody (v podstate transparentné dohody o tom, čo sa stane s údajmi, aby sa zabezpečilo, že sú kompatibilné s GDPR). Pokiaľ ide o existujúce zmluvy, školy sa nato potrebujú pozrieť. Každá zmluva, ktorá neobsahuje potrebné ustanovenia, bude potrebné zmeniť a doplniť. Školy potrebujú pochopiť, kde sa spracovávajú ich údaje. Potrebujú pochopiť, čo spracúvajú a či sa to robí interne alebo treťou stranou, alebo oboma. Takto určia, ako sa spracúvajú ich údaje a kto ich robí, a potom budú môcť identifikovať technológiu, ktorou spracovávajú údaje a ako sa zabezpečujú.
Povinnosti pre školy
- Školy musia dokumentovať každý systém používaný na spracovanie osobných údajov. Musia tiež mapovať, ako sa tieto údaje prenášajú do iných systémov alebo tretích strán.
- Školy musia určiť úradníka pre ochranu údajov (DPO), aby zabezpečili, že ich škola bude plne v súlade s novými predpismi.
- Pre spracovateľov tretích strán musia mať uzavreté zmluvy, v ktorých sa ustanovuje, že s osobnými údajmi sa zaobchádza v súlade s GDPR.
- Ak boli osobné údaje ohrozené, je potrebne aby sa to nahlásilo do 72 hodín od objavenia porušenia.
- Zabezpečiť odbornú prípravu pre zamestnancov a zachovať dôležitosť kultúry dodržiavania údajov.
Zverejňovanie údajov žiakov
Spracovanie osobných údajov detí mladších ako 16 rokov na základe súhlasu dotknutej osobe je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol alebo schválil zákonný zástupca dieťaťa. V školskom zákone nie je jasne definované zverejňovanie osobných údajov detí, žiakov a poslucháčov, ich zverejňovanie v rôznych časopisoch, na webových stránkach, na sociálnych sieťach, prípadne školských nástenkách podlieha povinnosti prevádzkovateľa vyžiadať si súhlas dotknutých osôb. Tu ide najmä o zverejňovanie mena a priezviska spolu s iným údajom, ako je dátum narodenia, trieda, príslušnosť ku škole. Ak sa daný súhlas viaže na viac účelov, je potrebné každý účel mať zvlášť definovaný.