Autor: dmikolji
Tekst prenosimo s bloga: Tajnik škole – Blog za zaposlene u osnovnim i srednjim školama
Link na izvorni tekst: Opća uredba o zaštiti podataka u školi
Opća uredba o zaštiti podataka ili skraćeno GDPR – General Dana Protection Regulation (dalje: Uredba) stupa na snagu 25. 5. 2018. u svim zemljama Europske unije. Sažetak vezan za primjenu Uredbe, pročitajte u tekstu koji slijedi.
Koji je osnovni koncept Uredbe?
Rečenica koja najbolje opisuje osnovni smisao je ”privacy by default & privacy by design“ što u prijevodu znači da je privatnost početna postavka i da je u organizacijama potrebno implementirati sustav koji će osigurati zaštitu privatnosti.
Koji propisi stupaju na snagu, a koji prestaju važiti?
Osim Uredbe, 25. 5. 2018. na snagu stupa i Zakon o provedbi Opće uredbe o zaštiti podataka (dalje: Zakon), a prestaju važiti Zakon o zaštiti osobnih podataka, Uredba o načinu vođenja i obrascu o zbirkama osobnih podataka i Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka.
Što se smatra osobnim podatkom, a što obradom?
Osobni podatak je svaki podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može utvrditi uz pomoć dodatnih identifikatora. Ime i prezime Ivan Horvat samo po sebi ne bi se moglo smatrati osobnim podatkom, ali uz pomoć dodatnih identifikatora, Ivan Horvat, učenik 2. razreda I. gimnazije – dobijemo osobni podatak.
Obrada se odnosi na svaki automatizirani ili neautomatizirani postupak koji se obavlja na osobnim podacima. U praksi to znači da je obrada: unošenje osobnih podataka u COP-u, arhiviranje natječajne dokumentacije, popis učenika u bilo kojem formatu ili obliku, izlučivanje gradiva koje sadrži osobne podatke, odnosno bilo kakvo digitalno ili fizičko čuvanje podataka.
Kada je obrada zakonita?
Uredba predviđa šest slučajeva u kojima se obrada smatra zakonitom, a za potrebe ovoga sažetka izdvojiti ću dvije koje će u školi biti najučestalije.
Privola označava izričiti pristanak kojim ispitanik (roditelj učenika/učenik/radnik) daje pristanak da se njegovi osobni podaci obrađuju u točno određenu svrhu (npr. objava fotografija s izvanučioničke nastave na web stranici škole).
Zakonska obrada – obrada osobnih podataka koja se provodi temeljem zakonske osnove (npr. vođenje matične knjige radnika, FINA registar, e-Matica učenika itd.)
Koje osobne podatke škola obrađuje?
Škola, u pravilu, obrađuje podatke učenika i radnika.
Osobne podatke zaposlenih radnika škola obrađuje zbog ostvarivanja prava i obveza iz radnog odnosa, te obrađuje i podatke kandidata koji su se prijavili na javni natječaj ili poslali otvorenu molbu.
Osobne podatke učenika škola obrađuje zbog provođenja odgojno-obrazovne djelatnosti.
Koji su glavni izazovi?
Prvi zadatak je usklađivanje svih poslovnih procesa s Uredbom, što znači da je škola dužna osigurati da se svi podaci obrađuju zakonito. Potrebno je zaštititi fizički pristup mjestu gdje se pohranjuju osobni podaci (zaključati ormare), postaviti lozinke na računalima koja imaju pristup osobnim podacima, osigurati da se osobni podaci ne daju trećim osobama i educirati sve zaposlenike.
Škole su dužne imenovati Službenika za zaštitu podataka.
Zadaće službenika su:
- informirati i savjetovati voditelja obrade ili izvršitelja obrade te zaposlenika, koji obavljaju obradu, o njihovim obvezama iz Uredbe;
- pratiti poštivanje Uredbe te drugih odredaba Unije ili RH o zaštiti osobnih podataka; pratiti poštivanje politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizati svijest i osposobljavanje osoblja koje sudjeluju u postupcima obrade;
- pružati savjete, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja ;
- surađivati s nadzornim tijelom;
- djelovati kao kontaktna točka za nadzorno tijelo za pitanja u pogledu obrade, što uključuje i prethodno savjetovanje.
Otvoreno je pitanje može li tko od zaposlenika škole obavljati poslove Službenika za zaštitu podataka, a da ne bude u sukobu interesa.
Uredba potiče udruženja i druga tijela koja predstavljaju kategorije voditelja obrade na izradu kodeksa ponašanja koji uzima u obzir posebna obilježja različitih sektora. Bilo bi dobro da je Ministarstvo znanosti i obrazovanja izradilo kodeks za odgojno-obrazovne ustanove koji bi školama olakšao implementaciju Uredbe.
Tko provodi nadzor i kakve su kazne?
Uredba predviđa da sankcije moraju biti učinkovite, proporcionalne i odvraćajuće.
Nadzor provodi Agencija za zaštitu osobnih podataka i ona izriče upravne novčane kazne temeljem Zakona. Ako se upravna novčana kazna izriče protiv pravne osobe s javnim ovlastima ili protiv pravne osobe koje obavlja javnu službu (škole), izrečena upravna novčana kazna ne smije ugroziti obavljanje službe.
Posebno bih istaknuo novčane kazne (do 50.000,00 kn) za škole koje imaju videonadzor u slučaju ako ne istaknu obavijest da je prostor pod videonadzorom, zajedno s podacima o voditelju obrade i podacima za kontakt putem kojih ispitanih može ostvariti svoja prava.