Bezpečná ochrana osobních údajů na školách
Společnost Doverville nabízí, ve spolupráci s renomovanými odborníky, i poradenství a audity v oblasti GDPR, a to jak pro komerční sféru, tak i organizace státní správy i samosprávy. Přinášíme Vám rozhovor s našim spolupracovníkem, vedoucím auditorem ochrany osobních údajů a odborníkem na GDPR Bc. Radkem Kubíčkem, MBA, na specifické téma ochrany osobních údajů a implementaci GDPR pro školy a školská zařízení v ČR.
Jak dlouho se zabýváte problematikou ochrany osobních údajů?
Voblasti personálních a procesních auditů se zaměřením na ochranu osobních údajů se pohybuji již pátým rokem. Společnost 2K CONSULTING s.r.o., v níž jsem jednatelem, se již od začátku zabývala mj. auditní činností ve veřejné správě. Po pětileté praxi v oblasti ochrany osobních údajů pro mne GDPR není strašákem, ale výzvou, kam se posunout dále. Díky tomu se aktuálně aktivně zapojuji i dopracovních skupin Spolku pro ochranu osobních údajů, z. s., a Komory certifikovaných pověřenců GDPR, z. s.
Máte zkušenosti také se školstvím? V čem vidíte aktuální problém na školách?
Kromě auditní činnosti nabízíme v našem portfoliu služeb také projektový i vzdělávací servis pro mateřské, základní a střední školy, proto jsem se statutárními zástupci pravidelně v kontaktu a vím, co školy v současné době trápí. Školní klima znám dobře, a uvědomuji si, že GDPR může být stresující pro všechny. Už nyní mají pedagogové dost administrativní zátěže a další povinnosti jim přibudou. Bezpečnost na školách vnímám jako uspokojivou pouze po stránce fyzické bezpečnosti. V oblasti kybernetické bezpečnosti narážíme mezi školami na velké rozdíly, protože jen malé procento z nich má za sebou bezpečnostní audit. Některé školy si neuvědomují, že už jen to, že pedagogové a další pracovníci školy nemají počítač zabezpečený heslem, může být velký problém.
Co nařízení GDPR bude tedy pro školy znamenat?
Nejdůležitější je zjistit, jak na tom školy a školská zařízení jsou v oblasti ochrany osobních údajů v tuto chvíli. Během vstupních auditů zjišťujeme, že mnohé školy mají mezery ve znalosti zákona č. 101/2000 Sb. o ochraně osobních údajů a mnohdy třeba vůbec neví, že mají povinnost registrace u Úřadu pro ochranu osobních údajů, čímž porušují již stávající legislativu. Pro zhodnocení stávajícího stavu ochrany osobních údajů a bezpečnosti při jejich zpracování si školy musí provést vstupní GDPR audit. Díky ní budou schopni identifikovat, jaké změny bude nutné vnávaznosti na nařízení GDPR provést, jak upravit stávající dokumentaci a jaké doplnit směrnice. Po zpracování vstupní analýzy pak v procesu implementace GDPR bude následovat zpracování analýzy rizik, školení zaměstnanců a další činnosti.
Kdy je potřeba s implementací GDPR začít a jaké to pro školy a školská zařízení znamená náklady?
Vstupní analýza GDPR je základem pro další implementaci tohoto nařízení. Aby se vše stihlo do 25. května 2018, kdy nařízení nabývá účinnosti, mám pocit, že už nyní je pozdě. Pokud se mají přijmout organizační, procesní a technická opatření, bude to jistě znamenat velký zásah do rozpočtu nejen na rok 2018, ale i na další léta. Je nutné si uvědomit, že se jedná dlouhodobý proces. Pozitivní zprávou však je, že některé náklady spojené s auditem ochrany osobních údajů a kybernetické bezpečnosti lze hradit v rámci realizací projektu z OP VVV. Zde mohou školy rezervu ze šablon uplatnit v rámci provozních nákladů. Dle dotazů na MŠMT se jedná o uznatelný náklad.
Jak poznat, která organizace může na škole realizovat audit, je spolehlivá a má zkušenosti s ochranou osobních údajů?
Bohužel společností, které se prezentují jako odborníci na GDPR je spousty. Řada z nich však vznikla letos bez jakékoliv historie či zkušeností. Já vždy říkám, že hodně o Vás hovoří reference a historie zakázek, které jste schopni doložit. Kromě toho je důležité požadovat také praxi auditorů v oblasti ochrany osobních údajů. V neposlední řadě by nás mělo zajímat, jak se daná společnost angažuje v rámci odborných spolků a asociací, které jsou ve spojení s Úřadem pro ochranu osobních údajů, MV ČR, MŠMT ČR a dalších institucí. I proto jsem rád, že tento servis bude pro školy zařizován přes Asociaci Bezpečná škola, z. s.
Co role pověřence pro ochranu osobních údajů ?
Podle toho, co k výkonu funkce pověřence vím ohledně výkladů pracovní skupiny WP 29, nejsou žádné podmínky pro výkon této funkce stanoveny. Bohužel se nám zde každý „pojišťovák“ začíná prezentovat jako odborník na ochranu osobních údajů. I proto budeme s mými kolegy na pracovních skupinách požadovat vytvoření registru certifikovaných pověřenců, kde si budeme tyto lidi prověřovat. Školy a školská zařízení nakládají s citlivými údaji a měly by mít kvalifikovaný dohled. Další věc je dopravní dostupnost pověřence a pojištění odpovědnosti za škodu způsobenou třetím osobám. Určitý registr by mohl vzniknout i v rámci působnosti Asociace Bezpečná škola, z. s. Některé informace musí být transparentní, aby budily důvěryhodnost také zákonných zástupců dětí na školách. Věřím, že i Asociace Bezpečná škola, z. s., bude schopna některé odborníky ke spolupráci doporučit.
Na závěr, z čeho máte v souvislosti s GPDR největší obavy?
GDPR bude nástrojem pro udávání, vydírání a zastrašování. Jakákoliv fyzická osoba, může dát podnět k prošetření, že jeho osobní údaje byly zneužity. Pokud vezmeme v úvahu vysoké pokuty v případě zjištění pochybení při nakládání s osobními údaji, mohou se organizace dostat do velmi složité situace. Důležité je nepodceňovat situaci a být připraven. Až se stane problém, bude už pozdě.