GDPR

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ ŽÁKŮ A JEJICH ZÁKONNÝCH ZÁSTUPCŮ ŠKOLOU

Správce a jeho pověřenec pro ochranu osobních údajů

Tento dokument obsahuje základní informace o ochraně osobních údajů a jejich zpracování Obchodní akademií Heroldovy sady.

Správce osobních údajů

Správcem osobních údajů je Obchodní akademie, Heroldovy sady 1, Praha 10, PSČ: 101 00, IČ: 61385387, zapsaná v rejstříku škol a školských zařízení pod Red IZO: 600006573, zastoupená ředitelem školy Mgr. Richardem Žertem.

Kontakt:
E-mail: skola@heroldovysady.cz
Tel.: +420 271 742 313

Pověřenec pro ochranu osobních údajů

Pověřencem pro ochranu osobních údajů je jmenována Mgr. Zuzana Štěpánková.
Na pověřence se lze obracet s žádostí o jakékoliv informace týkající se zpracování osobních údajů, jakož i za účelem uplatnění jakýchkoliv práv souvisejících se zpracováním osobních údajů.

Kontakt na pověřence pro ochranu osobních údajů:
E-mail: poverenec@heroldovysady.cz
Telefon: 739 669 467

Úvod

Obecné nařízení Evropského parlamentu a rady (EU) 2016/679, o ochraně osobních údajů (GDPR)

GDPR je ucelenou právní úpravou ochrany osobních údajů. Škola stejně jako všichni ostatní správci a zpracovatelé osobních údajů je povinna se tímto nařízením řídit. 

Cílem právní úpravy GDPR je ochrana subjektů údajů (studentů a jejich zákonných zástupců, pracovníků školy) před neoprávněných zacházením s jejich osobními údaji, a to včetně umožnění větší kontroly nad tím, co se s jejich osobními údaji děje.

Definice pojmů

Osobní údaj – veškeré informace, které lze přiřadit konkrétní fyzické osobě
Zpracování osobních údajů – jakákoliv operace s osobními údaji (včetně shromažďování, uložení, použití i výmazu).
Anonymizace – operace s osobními údaji, po jejímž provedení nadále nebude možné údaje přiřadit ke konkrétní osobě (takové údaje pak již nejsou osobními údaji ve smyslu GDPR)
Pseudonymizace – operace s osobními údaji, po jejímž provedení nebude bez použití dodatečných informací možné údaje přiřadit ke konkrétní osobě (v prostředí školy např. registrační čísla v rámci přijímacího řízení)
Správce – určuje účely a prostředky zpracování osobních údajů (nebo mu jsou určeny zákonem) – škola
Zpracovatel – zpracovává osobní údaje pro správce – např. provozovatel školního informačního systému
Citlivé osobní údaje – „zvláštní kategorie osobních údajů“ – údaje o zdravotním stavu, údaje o rasovém či etnickém původu, náboženském vyznání či filozofickém přesvědčení.

Kategorie zpracovávaných osobních údajů a účel jejich zpracování

Přijímací řízení

Osobní údaje uchazeče: Jméno, příjmení, datum a místo narození, rodné číslo, adresa trvalého bydliště, příp. doručovací adresa, státní občanství, kontakt na uchazeče (telefon, e-mail), informace o podpůrných opatřeních, kontakt na zákonného zástupce, potvrzení o zdravotní způsobilosti uchazeče. Spolu s těmito údaji jsou v rámci přihlášky ke studiu zpracovávány také údaje o školách, na které se uchazeč hlásí, a údaje o prospěchu na základní škole. V rámci přihlášky ke studiu na střední škole je uveden případně také stupeň podpůrných opatření.

Osobní údaje zákonných zástupců: jméno a příjmení, příp. bydliště, liší-li se od trvalého bydliště uchazeče, datum narození, kontakt (telefonní číslo a e-mailová adresa).

Údaje z přijímacího řízení jsou uchovávány po dobu 10 let.

Školní matrika

Školní matrika je evidence žáků vedená na základě zákona (§ 28, odst. 2, školského zákona) v tomto rozsahu:

  • jméno a příjmení, rodné číslo, popřípadě datum narození, nebylo-li rodné číslo žákovi přiděleno, dále státní občanství, místo narození a místo trvalého pobytu, popřípadě místo pobytu na území České republiky podle druhu pobytu cizince nebo místo pobytu v zahraničí, nepobývá-li žák na území České republiky,
  • údaje o předchozím vzdělávání, včetně dosaženého stupně vzdělání,
  • datum zahájení vzdělávání ve škole,
  • údaje o průběhu a výsledcích vzdělávání ve škole, vyučovací jazyk,
  • údaje o znevýhodnění žáka uvedeném v § 16 ŠZ, údaje o mimořádném nadání, údaje o podpůrných opatřeních poskytovaných žákovi školou v souladu s § 16 ŠZ, a o závěrech vyšetření uvedených v doporučení školského poradenského zařízení,
  • údaje o zdravotní způsobilosti ke vzdělávání a o zdravotních obtížích, které by mohly mít vliv na průběh vzdělávání,
  • datum ukončení vzdělávání ve škole
  • jméno a příjmení zákonného zástupce, místo trvalého pobytu nebo bydliště, pokud nemá na území České republiky místo trvalého pobytu, a adresu pro doručování písemností, telefonické spojení.

Údaje z matriky jsou poskytovány na základě školského zákona (§ 28, odst. 5 ŠZ) Ministerstvu a Krajskému úřadu (v Praze Magistrátu) pro statistické účely a dále také České školní inspekci

Údaje ve školní matrice jsou zpracovávány po dobu stanovenou zákonem, tedy 50 let, nejde-li o archiválie ve smyslu bodu 16 přílohy č. 2 zákona č. 499/2004 Sb..

Další kategorie údajů a další účely zpracování

Část z výše vyjmenovaných údajů (většinou jen jméno a příjmení, příp. datum narození) je dále zpracovávána pro následující účely:

  • kniha úrazů a záznamy o úrazech žáků (v rozsahu a po dobu stanoveném právním předpisem – 5 let, resp. 10 let)
  • seznamy žáků pro účast na mimoškolních akcích, výletech apod. (v rozsahu jméno, příjmení, příp. označení skupiny, třídy, po dobu nezbytně nutnou – trvání akce)
  • seznamy žáků pro účast na soutěžích (v rozsahu jméno, příjmení, příp. označení skupiny, třídy, po dobu nezbytně nutnou – trvání soutěže, vyhlášení/zveřejnění výsledků)
  • údaje žáků nezbytné pro účast v různých projektech – např. Erasmus

Fotografie, videozáznamy

  • fotografie či videa na webových stránkách školy, na Facebooku školy
  • fotografie ve školních novinách či časopise, v prostorách školy
  • zveřejnění výtvarných a obdobných děl žáků ve škole či na webových stránkách (Facebooku) školy

Doba zpracování těchto údajů se liší dle konkrétního účelu zpracování (a tento účel nepřekročí) nebo podle doby, na kterou je k takovému zpracování udělen souhlas. Doba, na kterou je souhlas udělován, znamená v případě užití fotografií a videozáznamů období, po které např. mohou být fotografie zobrazeny na webových stránkách školy apod., pro první užití takové fotografie ale vždy platí, že bude omezeno na dobu docházky žáka do školy, tedy např. fotografie žáka může být na web školy vložena pouze po dobu, po kterou je žákem školy, na webu však může zůstat i poté, a to po dobu, na kterou byl platně poskytnut souhlas s takovým užitím, a za předpokladu, že dotyčný nepožádá o její odstranění.

Právní titul (důvod) zpracování osobních údajů

Osobní údaje jsou ve škole zpracovávány zpravidla na základě:

  • právního předpisu
  • smlouvy
  • souhlasu 

Dalšími spíše výjimečně užívanými právními tituly pro zpracování je ochrana životně důležitých zájmů subjektu údajů (např. předání osobních údajů žáka zdravotnickému zařízení v případě úrazu) a oprávněný zájem správce (viz dále).

Osobní údaje zpracovávané na základě právního předpisu

Školský zákon a prováděcí právní předpisy ke školskému zákonu ukládají zpracovávání osobních údajů:

  • údaje ve školní matrice
  • doklady o přijímání žáků ke vzdělávání, o průběhu vzdělávání a jeho ukončení
  • třídní kniha
  • záznamy z pedagogických rad
  • kniha úrazů a záznamy o úrazech žáků

Osobní údaje zpracovávané podle zvláštních zákonů

  • hlášení trestných činů
  • údaje o zdravotní způsobilosti žáka na zotavovacích akcích

Osobní údaje zpracovávané na základě informovaného souhlasu

Na základě předchozího souhlasu, který obsahuje veškeré nezbytné informace o způsobu a účelu zpracování, zpracovává škola osobní údaje následujícím způsobem:

  • údaje poskytnuté pro účely výjezdu do ciziny v rámci projektu Erasmus
  • seznamy žáků pro účast na mimoškolních akcích, výletech apod., pokud je třeba je předat třetí osobě (cestovní kancelář, dopravce)
  • seznamy žáků pro účast na soutěžích (pokud je třeba je předat třetí osobě – pořadatel soutěže)
  • fotografie či videa pro účely propagace školy (v tištěných materiálech, na internetu – na webových stránkách školy, na Facebooku)
  • zveřejnění výtvarných a obdobných děl žáků
  • zveřejnění výsledků soutěží a olympiád
  • údaje poskytnuté v souvislosti s využíváním ISIC karty 

Informovaný souhlas je předkládán žákům, resp. zákonným zástupcům na začátku školního roku nebo dle potřeby později. Zákonný zástupce je oprávněn souhlas kdykoliv částečně nebo zcela odvolat.

Při poskytnutí, odmítnutí poskytnutí či odvolání souhlasu zákonným zástupcem bere škola ohled také na názor žáka, který je vzhledem ke svému věku schopen posoudit dopad odmítnutí souhlasu (jedná se zejména o situace, kdy nám sice rodič udělí souhlas s fotografováním žáka, avšak žák se fotit nechce).

Osobní údaje zpracovávané na základě oprávněného zájmu správce

V omezené míře může škola zpracovávat osobní údaje žáků, příp. zákonných zástupců i bez souhlasu a bez toho, aby jí to výslovně ukládal zákon. V praxi se jedná spíše o výjimky, a to:

  • využití fotografií žáků v rámci tzv. zpravodajské licence – jedná se o fotky žáků při činnosti ve škole nebo na školních akcích, kdy účelem je informovat o činnosti školy nebo uskutečněné akci, žáci jsou vyfocené ve skupině, bez bližší identifikace jednotlivých žáků, takové použití fotek je možné např. do školního časopisu nebo do aktualit na webových stránkách školy, nikoliv však pro účely propagace školy, takové užití je podmíněno souhlasem (viz výše)

Předávání osobních údajů třetím subjektům, využití služeb zpracovatele osobních údajů

Povinnost předávat osobní údaje třetím subjektům daná zákonem

Škola je povinna předávat údaje školní matriky Magistrátu hlavního města Prahy a Ministerstvu školství, mládeže a tělovýchovy tak, jak je popsáno výše. Některé údaje předává škola České školní inspekci a v souvislosti s maturitní zkouškou pak Centru pro zjišťování výsledků vzdělávání.

Škola dále předává osobní údaje svému zřizovateli, kterém je hlavní město Praha např. ve výročních správách, dála také v rámci správního řízení.

Školní informační systém bakaláři

Ke zpracování osobních údajů zejména pro účely školní matriky využívá škola školní informační systém Bakaláři poskytovatele BAKALÁŘI Software, s. r. o., IČO: 27483045, se sídlem Sukova třída 1548, 530 02, Pardubice.

Využití cloudových služeb

Škola využívá služeb společnosti Google zejména pro e-mail. Mimo to je každému uživateli k dispozici i diskový prostor v cloudu společnosti Google. Toto uložiště není určeno k ukládání osobních údajů. Zasílání osobních údajů e-mailem se řídí přísnými pravidly a používá se dodatečné zabezpečení.

Předávání osobních údajů jiným subjektům

Škola zásadně nepředává osobní údaje žáků a jejich zákonných zástupců bez jejich předchozího výslovného souhlasu žádným třetím osobám soukromého práva (nabídky pomůcek, knih, aktivit pro žáky). Údaje je nezbytné předávat např. cestovním kancelářím při zahraničních zájezdech, nebo v rámci projektu Erasmus.

Zvláštní ustanovení o zpracování osobních údajů v souvislosti se zavedením vnitřního oznamovacího systému dle zákona o ochraně oznamovatelů 

Kategorie zpracovávaných osobních údajů

V rámci vnitřního oznamovacího systému zpracovává škola o oznamovatelích a dalších osobách: 

  • identifikační údaje oznamovatele
  • další osobní údaje osob, které oznamovatel v oznámení uvede

Účel zpracovávání osobních údajů

Osobní údaje v rámci vnitřního oznamovacího systému potřebuje škola zpracovávat proto, abychom mohli řádně vyřešit oznámení podezření o protiprávním jednání, kontaktní údaje oznamovatele pak zpracovává také proto, aby mohl být vyrozuměn o výsledku řešení jeho oznámení.

Právní titul zpracovávání osobních údajů

Osobní údaje v rámci vnitřního oznamovacího systému zpracovává škola proto, že jí zákon č. 171/2023 Sb., o ochraně oznamovatelů, ukládá přijímat a vyřizovat oznámení dle tohoto zákona, k čemuž je zpracování osobních údajů oznamovatelů a dalších osob nezbytné.

Doba zpracovávání osobních údajů

Dobu vedení oznámení v evidenci oznámení ve vnitřním oznamovacím systému stanoví zákon na 5 let od přijetí oznámení. 

Předávání osobních údajů, zpracovatelé osobních údajů

V postavení zpracovatele osobních údajů je příslušná osoba. Bez předchozí informace a souhlasu oznamovatele nejsou údaje oznamovatele předávány žádné třetí osobě.

Práva subjektů údajů

Každý, jehož osobní údaje jsou správcem zpracovávány (dále jen „subjekt údajů“), má následující práva. Za nezletilého je pak může uplatnit zákonný zástupce.

Právo na přístup

Každý má právo se dozvědět, zda jsou nebo nejsou jeho údaje zpracovávány – pokud ano, pak má právo získat přístup k těmto údajům a dále k informacím o účelech, kategoriích údajů, příjemcích, době uložení, o právu podat stížnost, o zdroji údajů (pokud nejsou od subjektu), že dochází k automatizovanému rozhodování, a dále má právo získat kopii těchto údajů.

Právo na informace

Škola informuje zákonné zástupce a žáky o veškerých způsobech zpracování jejich osobních údajů, a to ať už jde o údaje získané od subjektu údajů, tak i v případě, že údaje získá škola jiným způsobem. Subjekt údajů má také právo požádat Školu o poskytnutí informace o zpracování jeho osobních údajů a Škola mu vyhoví.

Právo na opravu

Subjekt údajů má právo, aby Škola bez zbytečného odkladu opravila nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů.

Právo na výmaz („právo být zapomenut“)

Subjekt údajů má právo, aby Škola bez zbytečného odkladu vymazala osobní údaje, které se daného subjektu údajů týkají, a Škola je vymaže. Podmínkou pro výmaz však je splnění některé podmínky stanovené GDPR:

  • Osobní údaje už nejsou potřeba k účelu, ke kterému byly shromážděny
  • Subjekt údajů odvolá souhlas a neexistuje zároveň jiný právní důvod (titul) ke zpracování
  • Subjekt údajů vznese námitku proti zpracování a neexistuje žádný převažující důvod pro zpracování
  • Osobní údaje jsou zpracovávány protiprávněVýmaz ukládá právní předpis
  • Jde o údaje o žákovi shromážděné v souvislosti se službami informační společnosti 

Právo na omezení zpracování

Subjekt údajů má právo, aby Škola omezila zpracování osobních údajů, v případech stanovených GDPR (subjekt popírá přesnost údajů; zpracování je protiprávní, avšak subjekt odmítá výmaz; správce údaje nepotřebuje k původnímu účelu, ale subjekt je požaduje pro uplatnění svých nároků; subjekt údajů vznesl námitku). Zpracování údajů se v takovém případě omezí jen na jejich uložení, není-li dán souhlas subjektu s jiným zpracováním.

Právo vznést námitku

Subjekt údajů má právo vznést námitku proti zpracování osobních údajů a Škola dále takové údaje nezpracovává, v případě:
Jde o zpracování osobních údajů nezbytné pro plnění úkolu ve veřejném zájmu nebo na něm má oprávněný zájem správce, a správce neprokáže převažující zájem na zpracování nad právy a svobodami subjektu údajů.
Jde o zpracování pro účely přímého marketingu.

Právo odvolat souhlas

Pokud je zpracování osobních údajů založeno na souhlasu se zpracováním osobních údajů poskytnutém subjektem údajů, má tento subjekt údajů právo tento souhlas kdykoliv odvolat.

Právo podat stížnost

Pokud se subjekt údajů domnívá, že došlo k porušení právních předpisů v souvislosti s ochranou jeho osobních údajů, má právo podat stížnost k Úřadu pro ochranu osobních údajů.