GDPR na školách: potíže se zpětnými souhlasy i fotkami

Od 25. května si školy budou muset více hlídat osobní data, která spravují. Evropské nařízení (GDPR) přináší víc práv lidem, jichž se data týkají, i víc povinností školám. Univerzity se na novinku chystají několik měsíců, problémy jim dělá získat zpětně souhlasy od lidí nebo porozumět různým výkladům předpisů.

Jméno, příjmení, rodné číslo, ale například i datum imatrikulace, informace o závěrečných pracích nebo studijní výsledky jsou data, která si nově budou muset české vysoké školy a univerzity mnohem pečlivěji hlídat. Už 25. května začíná platit nové evropské nařízení pro nakládání s osobními údaji.

Nová, jednotná evropská pravidla, známá pod zkratkou GDPR (General Data Protection Regulation), mají sílu zákona a týkají se všech institucí a úřadů, tedy i vysokých škol. Znamenají nejen přísnější pravidla pro vedení osobních údajů, ale také větší práva pro ty, jichž se osobní údaje týkají, tedy třeba pro studenty nebo zaměstnance univerzit.

„Správci musí daleko pečlivěji než dosud zvažovat, které osobní údaje budou shromažďovat, za jakým účelem, jak dlouho je budou uchovávat, jak je ochránit před úniky a také komu mohou získané údaje dále poskytovat,“ říká Miroslav Bartošek z Ústavu výpočetní techniky Masarykovy univerzity v Brně. „Lidé naproti tomu mohou požadovat od správců například informace o tom, které osobní údaje a proč o nich shromažďují, požadovat přístup ke svým údajům, či dokonce žádat o jejich vymazání,“ upozorňuje Bartošek, který vede společný projekt univerzit o GDPR.

Univerzity si musí udělat pořádek

Příprava na nové povinnosti přitom znamená, že nejprve si univerzity musí ujasnit, jaké osobní údaje vlastně zpracovávají a jak. To je fáze, která by už nyní měla na školách naplno běžet. Správci databází například musí zkontrolovat, které údaje zpracovávají na základě zákona a které na základě souhlasu, jestli neukládají některé údaje nad rámec zákona nebo udělených souhlasů a také zda údaje, které univerzita zpracovává, jsou skutečně potřebné pro fungování univerzity, nebo je má uložené jen navíc.

„Stejně tak by univerzity měly zkontrolovat poskytnuté souhlasy se zpracováním údajů, zda mají náležitosti podle nařízení a případné nedostatky napravit,“ vybízí Dana Prudíková, náměstkyně sekce legislativy a mezinárodních vztahů ministerstva školství.

Ale tím revize materiálů, které již univerzity mají, nekončí. Pokud jim údaje zpracovává externí poskytovatel, třeba externí IT firma, školy s ním budou muset uzavřít dodatek ke smlouvám a uvést smlouvy do souladu s nařízením. Právě proto, aby zajistily větší ochranu osobních údajů.

„Vysoká škola by měla zkontrolovat své smlouvy, které má uzavřeny s jednotlivými poskytovateli informačních systémů a dalších IT služeb. Přitom by se měla zaměřit na kontrolu způsobu zpracování ve smyslu článku 28 nařízení o GDPR, přístupu do informačního systému a zabezpečení, rozsahu, účelu a doby zpracování,“ vysvětluje Prudíková. Hlavně může jít o nastavení hesel a zamezení úniku údajů. Univerzita by si také měla nastavit sankce vůči IT firmě, kdyby své povinnosti porušila.

Pseudonymizace i pověřenci pro osobní data

Ministerstvo například univerzitám doporučuje zavést pravidlo pseudonymizace, které může škola nastavit vnitřním předpisem. Znamená to, že data o studentech nebo zaměstnancích bude vést pod jejich pseudonymem, třeba kódem, a nikoli pod jejich pravým jménem. Jde o skrytí identity, kdy se dají zpracovávat údaje týkající se stejného člověka, aniž by bylo nutné znát jeho totožnost.

Další novinkou je povinnost univerzit ustanovit zvláštního pověřence pro ochranu osobních údajů. Může to být někdo z řad jejích zaměstnanců, ale i člověk stojící mimo školu, se kterým uzavře smlouvu o poskytování služeb. Musí to ale být odborník, který dobře zná právní úpravu osobních údajů a také má v této oblasti praxi.

Evropské nařízení sice nestanovuje žádné minimální dosažené vzdělání nebo vykonání nějaké zkoušky pro pověřence, ale tento specialista by měl pomáhat správci nebo zpracovateli při hlídání toho, zda univerzita údaje schraňuje správně, a správcům radit.

„Pověřenec také spolupracuje s dozorovým úřadem, kterým je Úřad pro ochranu osobních údajů a je pro něj kontaktní osobou,“ pokračuje Prudíková. Právě na pověřence se pak bude obracet kdokoli, jehož se osobní data týkají a chce kolem nich cokoliv řešit, třeba do nich nahlédnout.

Týmy právníků i personalistů

Povinnost ustanovit zmocněnce pro GDPR už některé univerzity vzaly za svou. Například na Univerzitě Hradec Králové už na tuto pozici vypsali výběrové řízení. „Bude mít na starosti i školení zaměstnanců a jejich metodické vedení v oblasti GDPR,“ prozrazuje mluvčí hradecké univerzity Jakub Novák.

Na Karlově univerzitě tohoto ambasadora ochrany osobních údajů ustanovili začátkem roku, své funkce se ujal v polovině května. „Už od loňského roku ale pracuje na přípravách na dopad nařízení pracovní skupina složená z především z pracovníků IT, právníků, personalistů a dalších metodiků pro oblast nakládání s dokumenty. Na jednotlivých fakultách a součástech UK pak působí koordinátoři, kteří této pracovní skupině pomáhají, například s distribucí informací a sběrem dat, revidováním dokumentů a podobně,“ popisuje přípravy mluvčí Univerzity Karlovy Václav Hájek.

Na Univerzitě Palackého v Olomouci pozici pověřence pro GDPR zřídili dokonce už loni na podzim. Stal se jím univerzitní kancléř. „Provádí třeba audit v oblasti zpracování osobních údajů, monitoruje praxi při jejich zpracování a má na UP na starosti také konzultace a školení v oblasti osobních údajů,“ popisuje Ondřej Kučera, koordinátor bezpečnosti a informačních systémů Univerzity Palackého.

Úskalí: Souhlasy od lidí či fotky

Přestože se mnoho českých univerzit na novinku chystá již několik měsíců, často narážejí na potíže – někdy technické, jindy spíše výkladové. Například na Západočeské univerzitě v Plzni řeší fotodokumentaci lidí působících na univerzitě. „Výklad, co ještě je a co již není osobní údaj, je někdy sporný. Problém představuje zejména zpětné získávání souhlasů v tomto přechodném období, pokud potřebujeme fotografie pořízené dříve znovu použít na univerzitní materiály či webové stránky,“ popisuje vedoucí odboru vnějších vztahů univerzity Kamila Kolářová.

Podle nových pravidel totiž škola musí mít souhlas fotografovaných lidí, pokud chce jejich fotky použít do propagačních materiálů školy. „Kde je to vhodné, využijeme takzvaný konkludentní souhlas s probíhajícím fotografováním, to bude doplněno o informační cedule s upozorněním, že se na akci fotí, kde budou fotografie použity a jakým způsobem je možné souhlas odvolat.“

Nové a nové otazníky

Pro Vysokou školu báňskou – Technickou univerzitu v Ostravě je zase problém fungovat s novými pravidly GDPR tak, aby vyvážili práva lidí, jichž se údaje týkají, se zájmy univerzity. „Vyvažování práv subjektu údajů a našich zájmů bude asi dlouhodobě největším oříškem. V souvislosti s GDPR nám vyvstávají desítky až stovky dotazů, na které ještě stále hledáme odpovědi,“ podotýká mluvčí Petra Halíková.

Na Univerzitě Palackého v Olomouci se na nová pravidla GDPR připravují více než rok. Dojde například ke změnám v univerzitních systémech. „Změny nejsou nijak dramatické, ale musí se udělat. Například někde se bude muset doplnit kolonka, kde bude mít student nebo zaměstnanec vedle souhlasu i možnost označit nesouhlas se shromažďováním osobních údajů a podobně,“ vysvětluje koordinátor bezpečnosti a IT systémů Kučera.

„Nebudeme umožňovat více nahlížet do databází, protože v některých databázích máme informace, které se dnes dají klasifikovat jako osobní údaje. Týká se to například údajů o kvalifikačních pracích, kde dnes sdělujeme i nějaká metadata,“ pokračuje Kučera. Takže nakonec se veřejné nahlížení spíš omezí.

„Co se ale naopak zlepší, budou možnosti konkrétních lidí, jichž se údaje týkají, nahlížet do databáze. Pokud se dotáží, dozvědí se, jaká data o nich shromažďujeme,“ plánuje Kučera.

Na Karlově univerzitě mají speciální aplikaci

Originálně k problému řešení novinek v GDPR přistoupili na Univerzitě Karlově. Bylo pro ně těžké zpracování osobních údajů vůbec zmapovat. U organizace typu Univerzity Karlovy se totiž jedná o desítky agend se stovkami různých typů dokumentů, s nimiž každodenně pracují tisíce lidí. Vyvinuli proto speciální webovou aplikaci, která zaměstnancům univerzity se zavedením GDPR pomáhá.

„Aplikace zaměstnancům podílejícím se na implementaci GDPR umožňuje nalézt potřebné informace. Zároveň se prostřednictvím aplikace mohou zaměstnanci dotazovat pracovní skupiny, která je na univerzitě pověřena implementací nařízení. Dalším krokem je plánovaný e-learning, který dále zlepší povědomí zaměstnanců o ochraně osobních údajů,“ popisuje mluvčí univerzity Václav Hájek.

Pokuta až 10 milionů

Na dodržování pravidel GDPR bude dohlížet Úřad pro ochranu osobních údajů, který bude také rozhodovat o udělování sankcí. Horní hranicí pokuty je 10 milionů korun. „Samotné zpoždění zavedení GDPR by pravděpodobně k udělení sankce nevedlo, postih lze předpokládat, pokud by došlo k úniku či zneužití dat,“ upozorňuje Magdalena Frouzová, mluvčí Zastoupení Evropské komise v Česku.

Výše pokut se bude odvíjet od toho, jak se daná univerzita k problému postaví. Tedy zda zavedla opatření, která riziko zneužití osobních údajů minimalizují, například jmenovala pověřence, zabezpečila IT systémy, proškolila zaměstnance a tak dále a jestli spolupracuje při nápravě škod. Také se bude zvažovat, zda se jedná o opakovaný únik osobních údajů, důležitý je i rozsah a citlivost zneužitých dat.

A projekty za 51 milionů

Se zaváděním novinek v GDPR chce univerzitám pomoci stát. Přes ministerstvo školství si univerzity podaly celkem tři rozvojové projekty, které jim mají pomoci s přípravou na přechod na nový systém správy ochrany dat. Řešitelem prvního z nich je České vysoké učení v Praze. Zapojilo se do něj všech 26 veřejných vysokých škol a byl podpořen finanční částkou téměř 17 milionů korun.

Druhý a třetí projekt, v nichž je téměř 19 a 15 milionů korun, řeší Masarykova univerzita v Brně. I do nich se zapojily všechny české univerzity a vysoké školy. Například projekt s názvem Komplexní řešení ochrany osobních údajů v prostředí vysokých škol mohou má zajistit, aby ke dni, kdy začne evropské nařízení platit, všechny školy dokázaly prokázat, že jsou schopny jej naplnit.

„Cílem je spojit síly a pomoci vysokým školám s implementací GDPR v různých oblastech. Větší část finanční podpory jde jako příspěvek školám na podporu jejich přípravných prací, další financuje společnou část projektu – činnost pracovních skupin, které připravují návrhy řešení,“ přibližuje vedoucí jednoho z projektů Miroslav Bartošek z Masarykovy univerzity.

Pracovních skupin je osm a týkají se právních aspektů, IT, výzkumných dat nebo vzdělávání a informovanosti lidí. „Ve všech těchto oblastech se snažíme analyzovat požadavky GDPR a navrhovat řešení, která by vysoké školy mohly převzít nebo se jimi aspoň inspirovat,“ dodává Bartošek.

Autorka je redaktorkou Hospodářských novin.