Zásady zpracování osobních údajů

V rámci nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR“ nebo „nařízení“) informuje Střední odborné učiliště opravárenské, Králíky, okres Ústí nad Orlicí (dále jen „správce“ nebo „škola“), o nových právech a povinnostech týkajících se tohoto nařízení. Škola nyní plní funkci správce osobních údajů. Škola zpracovává osobní údaje žáků, zaměstnanců a dalších osob, které se podílejí na chodu této instituce. Tyto zásady jsou věnovány zejména žákům, případně jejich zákonným zástupcům.

 

V těchto Zásadách zpracování osobních údajů zjistíte, jaké osobní údaje shromažďujeme, proč je shromažďujeme, a co s nimi děláme. Uvedené informace jsou důležité, proto doufáme, že si najdete čas a pečlivě si vše přečtete. Pokud by zde bylo něco nesrozumitelné nebo byste se rádi dozvěděli další informace, můžete nás navštívit přímo ve škole nebo nás kontaktovat prostřednictvím e-mailu našeho pověřence pro ochranu osobních údajů: poverenec@jjpgroup.cz

 

V těchto zásadách o zpracování osobních údajů je zejména vysvětleno:

• Jaké informace (osobní údaje) shromažďujeme, z jakého důvodu a na základě jakého právního titulu;
• Jak tyto informace využíváme;
• Po jakou dobu budeme s těmito informacemi nakládat;
• Kdo může do osobních údajů nahlížet (tzv. příjemci osobních údajů);      
• Jaká mají žáci a jejich zákonní zástupci práva vůči správci osobních údajů;

 

Snažíme se, aby tento dokument byl přehledný a srozumitelný. Pokud se však stane, že  některé výrazy úplně neznáte, neboť se jedná o právní pojmy (jako například zpracovatel osobních údajů, pseudonymizace apod.), pak neváhejte a obraťte se na nás nebo na pověřence. Rádi vám podrobnosti vysvětlíme.

 

 

Základní informace, se kterými škola nakládá z pohledu správce a zpracovatele

 

Správní řízení

Jakožto uchazeč o studium nejprve vyplňujete přihlášku k vzdělávání, na jejímž základě je žák zařazen do přijímacího řízení. Poté dochází k rozhodnutí ředitele školy o (ne)přijetí žáka ke vzdělávání. Celý tento proces je tzv. správním řízením, kdy ředitel školy (jako správní orgán) zde rozhoduje o právech a povinnostech jmenovitě určené osoby.

 

Abychom mohli takové správní řízení konat, potřebujeme znát následující základní identifikační nebo popisné osobní údaje, jedná se o:

• Údaje o uchazeči: jméno a příjmení, datum narození, rodné číslo, místo trvalého pobytu, státní občanství, kontakt na uchazeče (e-mail nebo telefonní spojení), dále se škola může poptávat o další informace, a to údaje o předchozím vzdělání, zdravotní stav (např. alergie), zvláštní zájmy nebo problémy, zda má žák sourozence, případně nezbytné informace o zdravotním stavu (jedná o zvláštní kategorii údajů). O žácích dále shromažďujeme údaj o zdravotní pojišťovně – rámci oprávněných zájmů (při případné komunikaci)
• O zákonném zástupci: jméno a příjmení, adresa trvalého pobytu nebo adresa pro doručování písemností, kontakt (e-mail nebo telefonní spojení)

 

Tyto osobní údaje jsou zpracovávávány za účelem plnění právní povinnosti, a to vedení správního řízení (řízení o rozhodnutí o přijetí ke vzdělání).    

 

Za účelem vedení správního řízení osobní údaje archivujeme po dobu, která je stanovená ve spisovém a skartačním plánu školy. V případě žádostí o přijetí ke vzdělání a rozhodnutí o této žádosti se jedná o dobu 5 let, žádosti k základnímu vzdělání a rozhodnutí o této žádosti se jedná o dobu 10 let.

 

Řízení o přijetí k vzdělávání není jediným správním řízením, které se při vzdělávání našich žáků může konat. Další řízení mohou být např. řízení o ukončení individuálního vzdělávání žáka (§ 34b odst. 5 školského zákona), řízení o přeložení maturitní zkoušky apod. V rámci této činnosti se zpracovávají pouze údaje nezbytné pro vedení takového řízení, tj. údaje, které jsou vyjmenovány výše. U správních rozhodnutí o zahájení či ukončení individuálního vzdělávacího plánu je doba uložení 10 let.

 

Matrika žáků

 

Školský zákon ukládá všem školám povinnost vést dokumentaci o své činnosti. Mezi povinnou dokumentaci patří i vedení tzv. evidence žáka podle § 28 odst. 1 písm. b) školského zákona. V matrice se zpracovávají převážně základní identifikační a popisné osobní údaje, nicméně v určitém rozsahu se zpracovávají informace o zdravotním stavu, které jsou považovány za zvláštní kategorii osobních údajů. Ve školní matrice škola vede o svých žácích následující osobní údaje:

 

§  jméno a příjmení, rodné číslo, datum narození, státní občanství, místo narození a místo trvalého pobytu, údaje o předchozím vzdělávání vč. dosaženého stupně vzdělání, obor, formu a délku vzdělávání, datum zahájení vzdělávání ve škole, údaje o průběhu a výsledcích vzdělávání ve škole, údaje o znevýhodnění, údaje o poskytovaných podpůrných opatřeních, závěry vyšetření uvedených v doporučení školského poradenského zařízení, údaje o zdravotní způsobilosti ke vzdělávání a o zdravotních potížích, které mohou mít vliv na průběh vzdělávání, datum ukončení vzdělávání ve škole, údaje závěrečné zkoušce, údaje o maturitní zkoušce.

 

Ve školní matrice škola může vést informace také o zákonných zástupcích svých žácích. Jedná se také pouze o základní identifikační a popisné údaje:

 

• jméno a příjmení zákonného zástupce, místo trvalého pobytu nebo bydliště, kontaktní údaje (e-mail nebo telefonní spojení)

           

Tyto osobní údaje zpracováváme za účelem plnění právní povinnosti – vedení evidence žáků, vedení školní matriky. Ve školní matrice jsou tak osobní údaje zpracovávány na základě plnění právní povinnosti, která naší škole vyplývá ze školského zákona. Zpracování takovýchto údajů je proto v souladu s GDPR.

 

Dokumenty o této agendě jsou uchovávány až po dobu 45 let v závislosti na typu dokumentu.

 

Třídní kniha a jiné podpůrné vedení agent:

 

Mezi další povinné dokumenty, kde se objevují údaje žáků jsou např. třídní knihy a třídní výkazy žáků, katalogové listy, zápisy z porad, knihy úrazů aj. Účelem zpracování osobních údajů v takových dokumentech je poté řádné plnění pedagogické činnosti a plnění právních povinností při poskytování vzdělávání.

 

Doba uchování těchto dokumentů je uvedena ve spisovém a skartačním řádu školy a různí se podle typu dokumentu v rozmezí 5 až 10 let.

 

Stravování

 

Abychom mohli dětem a žákům řádně poskytovat stravovací služby, pak i za tímto účelem musíme zpracovávat informace, které jsou uváděny nejčastěji v přihláškách ke stravování.

Jedná se pouze o základní popisné a identifikační údaje, případně se také může jednat o údaje o bankovním spojení. Údaje o bankovním spojením se zpracovávájí pouze v případě, kdy se žák (zákonný zástupce) rozhodne zasílat platbu elektronicky.

 

Poskytování stravovacích služeb je uskutečňováno na základě přihlášky ke stravování.

Přihláška tak zakládá určitý (právní) vztah, kdy má provozovatel stravovacího zařízení povinnost poskytovat službu a na druhé straně příjemce takové služby má jiné závazky, typicky povinnost uhradit cenu takové služby. Přihláška ke stravování by se tak dala považovat za smluvní vztah. V takovém případě se zpracování výše uvedených osobních údajů za účelem poskytování stravovacích služeb děje na základě plnění smluvního vztahu.

 

 

Prezentace školy a bezpečnost

 

Pro účely prezentace školy využíváme internetové stránky (www.souokraliky.cz) nebo zveřejňujeme některé důležité zprávy v běžných médiích. Může se tedy stát, že za účelem informování veřejnosti o dění v naší škole a pro prezentaci školy zveřejníme jméno a příjmení žák a případně i fotografii, videozáznam či výtvarné dílo. V takovém případě nám musí subjekt zpracování dát souhlas se zveřejněním.

 

Rádi bychom vás upozornili, že pro některé zveřejňování fotografií nebo videozáznamů není souhlas se zpracováním údajů potřebný. Tak je tomu v případě, kdy na dané fotografii nebo videozáznamu není konkrétní osoba zcela identifikovatelná. Pokud i přesto budete žádat, aby taková fotografie nebo videozáznam nebyl zveřejněn, pak to chápeme a můžete se s žádostí o smazání obrátit na výše uvedené kontakty školy nebo pověřence.

 

 

Hospodářská činnost a účetnictví

 

Hlavní činností naší školy je poskytování vzdělávání. Abychom mohli plnit naší hlavní činnost řádně a svědomitě, potřebujeme zajistit běžný chod školy – např. Zajištění účetnictví, provoz telefonů, IT sítě, ale i třeba běžná údržba budovy. I v těchto smlouvách se objevují osobní údaje smluvních partnerů.

Nejčastěji se jedná o následující osobní údaje:

 

§  jméno a příjmení, identifikační číslo podnikatele, adresa provozovny nebo sídla, adresa trvalého pobytu nebo bydliště (kontaktní adresa), daňové identifikační číslo, email a telefon.

 

S těmito osobními údaji zacházíme převážně za účely plnění uzavřené smlouvy. Plnění smluvních povinností nastává typicky v případě, kdy na základě uzavřené smlouvy musíme evidovat v rámci účetnictví faktury nebo jiné daňové doklady podle zákona č. 563/1991 Sb., o účetnictví. Smlouvy se uchovávají nejdéle po dobu 10 let, protože mohou být předmětem kontroly ze stran zřizovatele a faktury po dobu 5 let.

 

 

Pověřenec pro ochranu osobních údajů

 

Jako správce osobních údajů jsme odpovědni za veškeré zpracování osobních údajů v rámci práci s jednotlivými agendami. Ke správnému plnění všech těchto povinností nám slouží pověřenec, kterým byl pro naši školu jmenován dne 25. 5. 2018 pan Jaroslav Jordán,                      e-mail: poverenec@jjpgroup.cz; telefon 777 722 720.

 

Poučení o právech subjektů osobních údajů

Subjekt zpracování může po správci požadovat seznam všech osobních údajů daného subjektu, pokud nějaké škola má. Dále má subjekt právo získat informace o:

 

§  Účelu zpracování

§  Kategorie osobních údajů

§  Příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny

§  Plánovaná doba, po kterou budou osobní údaje uloženy

§  Existence práva požadovat výmaz nebo opravu od správce zpracování, právo vnést námitku

§  Právo podat stížnost u dozorového úřadu

§  Veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů

§  Skutečnost, že dochází k automatizovanému rozhodování, profilování

Pokud správce o fyzické osobě žádné údaje nezpracovává, poskytne se informace, že osobní údaje tazatele nejsou předmětem zpracování osobních údajů ze strany správce.

 

Nepřesnost údajů

Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, je povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu jeho osobních údajů, zabývat se jeho žádostí.

 

Právo být zapomenut

Právo na výmaz (být zapomenut) představuje v GDPR jinými slovy vyjádřenou povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:

§  osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,

§  subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,

§  subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,

§  osobní údaje byly zpracovány protiprávně,

§  osobní údaje musí být vymazány ke splnění právní povinnosti,

 

Každý subjekt osobních údajů má následující práva:

• požadovat omezení zpracování osobních údajů,
• požadovat vysvětlení ohledně zpracování osobních údajů,
• požadovat informaci, jaké osobní údaje jsou na základě souhlasu zpracovávány,
• vzít souhlas se zpracováním údajů kdykoliv zpět,
• vyžádat si přístup k údajům a nechat je aktualizovat, opravit nebo doplnit,
• požadovat výmaz osobních údajů,
• v případě pochybností o dodržování pravidel souvisejících se zpracováním osobních údajů se obrátit na správce nebo stížností na Úřad pro ochranu osobních údajů (www.uoou.cz)

 

Příjemci osobních údajů

 

Příjemci osobních údajů se myslí všechny externí osoby, které spolupracují s naší školou.

Při výkonu naši činnosti se může stát, že k osobním údajům bude mít přístup i další osoba. Tak je tomu typicky v případech orgánu veřejné moci, které provádí kontrolní činnost orgánů

zřizovatele školy nebo osob, které zajišťují pro školu služby nebo jiné činnosti (např. pořadatel školních soutěží, organizátor akce spolupořádané školou apod.). Příjemci osobních údajů získávají pouze jen ty osobní údaje, které nezbytně potřebují pro zajištění a výkon činnosti vůči škole.

 

Zabezpečení osobních údajů

 

Víme, že ochrana soukromí žáka, ale i ostatních kategorií subjektů osobních údajů je důležitou součástí naší činnosti a nepodceňujeme ji. Proto se vždy snažíme zajistit dostatečná opatření, abychom zpracovávaným informacím dopřály odpovídající úroveň důvěrnosti. Pro řádné dodržování ochrany osobních údajů proto využíváme například následující bezpečnostní prvky:

• zaměstnanci školy jsou vázáni mlčenlivostí o skutečnostech, o nichž se dozvěděli při výkonu své práce;
• osobní údaje jsou ukládány do uzamykatelných prostorů, kam má přístup pouze omezený počet zaměstnanců školy;
• v případě uchovávání osobních údajů v digitálním prostředí jsou výpočetní prostředky náležitě zabezpečeny jak fyzicky (proti odcizení nebo zničení), tak i programově (proti škodlivým softwarům, nastavením elektronického zabezpečení přístupu jen oprávněným osobám nebo v neposlední řadě také využíváním bezpečných komunikačních kanálů, které využívají prvky šifrování;
• pokud předáváme osobní údaje některým příjemcům (viz. výše), vždy jsou zaručeny všechna kritéria dle našich interních předpisů pro práci s osobními údaji;
• při zveřejňování výsledků z přijímacího řízení využíváme tzv. pseudonymizaci, kdy výsledky žáků nejsou zveřejňovány pod jejich jménem, ale pod určitým identifikátorem (např. číslo přihlášky k vzdělávání);

• k osobním údajům mají v rámci organizace přístup jen ti zaměstnanci, kteří jsou oprávněni s osobními údaji nakládat;
• zabezpečení údajů je průběžně kontrolováno a aktualizováno s ohledem na způsoby jakým se s osobními údaji zachází;

 

Závěrečná ustanovení:

 

Transparentnost je nedílnou součástí GDPR. V případě dotazů neváhejte kontaktovat našeho pověřence na poverenec@jjpgroup.cz.