ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ ŽÁKŮ, ZÁKONNÝCH ZÁSTUPCŮ A TŘETÍCH OSOB

Základní škola a mateřská škola Čestlice je příspěvkovou organizací, jejímž zřizovatelem je Obec  Čestlice.  Hlavní činností organizace je zajištění předškolního a základního vzdělávání svých žáků ve smyslu zákona č. 561/2004 Sb., školského zákona.

Je nezbytné, aby organizace v rámci své činnosti zpracovávala osobní údaje žáků a jejich zákonných zástupců, případně dalších osob. Osobní údaje organizace chrání ve smyslu nařízení Evropského parlamentu a Rady (EU) č. 2016/679 (dále jen „GDPR“). Cílem tohoto dokumentu je seznámit subjekty (žáky, zákonné zástupce a třetí osoby) se zpracováním osobních údajů organizací a informovat o právech, které mohou subjekty osobních údajů uplatnit.

Informace jsou dostupné z webových stránek organizace www.skolacestlice.cz a dále jsou k dispozici k nahlédnutí v sídle organizace. Zásady nakládání s osobními údaji subjektů budou průběžně aktualizovány a doplňovány v souladu s aktuálním účelem zpracování.

Pověřencem pro ochranu osobních údajů je:

SUMA spol. s.r.o.
Antala Staška 1074/53A,Praha 4, 140 00
IČO:63995433

Pověřenec : Tomáš Sýkora
Tel.736 480 089
Email: tomas.sykora@sumanet.cz

Zástupce pověřence: Pavel Kunst
Tel.725 751 975
Email: pavel.kunst@sumanet.cz

1. OBECNĚ K NAŘÍZENÍ GDPR

Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je uceleným souborem pravidel na ochranu dat v EU. Škola je povinna se tímto nařízením řídit. Cílem je hájit práva žáků a jejich zákonných zástupců proti neoprávněnému zacházení s jejich daty a osobními údaji, dát jim větší kontrolu nad tím, co se s jejich daty děje.

Obecné zásady a právní důvody zpracování

Při práci s osobními údaji se všichni zaměstnanci školy řídí těmito obecnými zásadami: zásada zákonnosti, korektnosti, transparentnosti, účelového omezení, minimalizace údajů, přesnosti, omezení uložení, integritou, důvěrností a odpovědností správce.

zásada zákonnosti
Zpracování osobních údajů na základě právního předpisu (zejména § 28 školského zákona). Zpracování osobních údajů na základě informovaného souhlasu.

zásada korektnosti
Správné a společensky bezvadné použití osobních údajů.

zásada transparentnosti
Všechny informace o ochraně osobních údajů určené subjektu údajů (žák, zákonný zástupce, zaměstnanec) byly stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků.

zásada účelového omezení
Shromažďování osobních údajů jen za jasně stanoveným účelem.

zásada minimalizace údajů
Nikdy se nezpracovává více údajů, než je pro daný účel nezbytně nutné.

zásada přesnosti
Zpracovávané osobní údaje musí být přesné – tj. takové, jaké je subjekt sdělil, nikoli nutně pravdivé, ačkoli se o to škola bude snažit.

zásada omezení uložení
Osobní údaje jsou uloženy jen po dobu nezbytně nutnou.

zásady integrity a důvěrnosti
Náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

odpovědnost správce (školy)
Škola zavede vhodná technická a organizační opatření, aby zajistila a byla schopna doložit, že zpracování je prováděno v souladu s nařízením EU.

Osobní údaje se mohou ve škole zpracovávat pouze v souladu s GDPR, nejčastěji na základě plnění právní povinnosti nebo na základě souhlasu subjektu údajů (žák, zákonný zástupce žáka, třetí osoba). Souhlas subjektu údajů (žák, zákonný zástupce žáka, třetí osoba) musí být informovaný, konkrétní a písemný.

Ředitel školy důsledně zakazuje předávání osobních údajů žáků třetím osobám soukromého práva (nabídky pomůcek, knih, aktivit pro žáky). Obdobně se postupuje i u osobních údajů zaměstnanců školy.

2. JAKÉ OSOBNÍ ÚDAJE ŠKOLA ZPRACOVÁVÁ?

Organizace zpracovává pouze takové údaje, které potřebuje pro účely své činnosti, a to z titulu plnění právní povinnosti. Některé osobní údaje zpracovává organizace na základě souhlasu, který je udělen zákonným zástupcem žáka.

Se souhlasem zákonných zástupců žáka jsou zpracovávány zejména osobní údaje nejen samotného žáka, ale okrajově také osobní údaje zákonných zástupců žáka, případně dalších osob v případě zmocnění pro vyzvednutí žáka ze školy.

 

Organizace sbírá zejména tyto osobní údaje:

Identifikační údaje - osobní údaje zpracovávané za účelem jednoznačné a nezaměnitelné identifikace žáka a jeho zákonných zástupců (případně dalších osob. Jedná se o jméno, příjmení, rodné číslo, datum narození, adresu trvalého pobytu, podpis zákonných zástupců.

Kontaktní údaje - Jedná se zejména o kontaktní adresu, telefonní číslo, e-mailovou adresu a další obdobné informace.

Údaje o vzdělání žáka - jedná se o osobní údaje o průběhu vzdělávání, činnosti dítěte, jeho tvorbě, výsledcích.

Údaje o komunikaci mezi zákonnými zástupci žáka a organizací - údaje zpracovávané za účelem ulehčení plnění požadavků na organizaci ze strany zákonných zástupců a dále pro unesení důkazního břemene v případě soudního řízení. Jedná se zejména o listovní a e-mailovou korespondenci, která obsahuje osobní údaje, a to zejména osobní údaje identifikační.

Profilové údaje - osobní údaje zpracovávané za účelem splnění zákonných povinností a komunikací s pedagogicko-psychologickými poradnami. Mezi profilové údaje patří například základní fyzické charakteristiky (př. věk, výška, váha), sociálně-demografické charakteristiky (př. rodinný stav, počet dětí), ale i behaviorální, znalostní, dovednostní a psychosociální charakteristiky dítěte.

Údaje o zdravotním stavu - mezi údaje o zdravotním stavu se řadí zejména údaje o očkování, zdravotních omezeních, akutních i chronických chorobách, alergiích, úrazech, psychologických diagnózách.

3. Z JAKÝCH ZDROJŮ MÁ ŠKOLA OSOBNÍ ÚDAJE?

Osobní údaje, které škola zpracovává, získává převážně od zákonných zástupců dítěte, a to zejména při přijímacím řízení dítěte do školy a následně i v průběhu jeho vzdělávání. Důležitým zdrojem je i vlastní pozorování dítěte ze strany zaměstnanců školy. V neposlední řadě údaje může škola získat od zdravotnických zařízení a pedagogicko-psychologických poraden.

4. JSTE POVINNI ŠKOLE OSOBNÍ ÚDAJE PŘEDÁVAT?

Většinu osobních údajů žáka je zákonný zástupce povinen zařízení předat již v průběhu přijímacího řízení, neboť organizace by bez těchto údajů nebyla schopná zajistit plnění právních povinností, kterými je například zajištění zdraví dětí, vedení zákonem uložené povinnosti vedení dokumentace a evidence žáků, či plnění cílů předškolního a základního vzdělávání uložených zákonem č. 561/2004 Sb., školským zákonem. Škola nezpracovává osobní údaje, které nepotřebuje přímo či nepřímo k plnění svých zákonem stanovených povinností.

5. NA ZÁKLADĚ  JAKÉHO TITULU ZPRACOVÁVÁ ŠKOLA OSOBNÍ ÚDAJE?

Nařízení GDPR stanoví kromě povinnosti zpracovávat pouze účelné informace povinnost zpracovávat tyto informace na základě právního titulu, kterým je buď souhlas, nebo plnění smlouvy, plnění právní povinnosti, plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, či ochrany oprávněného zájmu organizace.

Osobní údaje se mohou ve škole zpracovávat pouze na základě právního předpisu nebo na základě souhlasu žáků, zákonných zástupců žáků.

Osobní údaje zpracovávané na základě školského zákona jsou následující:
- údaje uvedené ve školní matrice,
- doklady o přijímání dětí, žáků, studentů a uchazečů ke vzdělávání, o průběhu vzdělávání a jeho ukončování,
- třídní kniha,
- záznamy z pedagogických rad,
- kniha úrazů a záznamy o úrazech dětí, žáků a studentů, popřípadě lékařské posudky.

Osobní údaje zpracovávané podle zvláštních zákonů jsou:
- podněty pro jednání OSPOD, přestupkové komise,
- podklady žáků pro vyšetření v PPP, hlášení trestných činů, neomluvená absence,
- údaje o zdravotní způsobilosti dítěte nebo žáka na zotavovacích akcích.

Osobní údaje zpracovávané na základě informovaného souhlasu jsou:

-zveřejňovat fotografie, obrazové snímky, obrazové a zvukové záznamy týkající se mého dítěte pořízené během výchovně vzdělávacího procesu v průběhu jeho školní docházky na webových stránkách školy a v dalších materiálech, které prezentují činnost školy,           
-seznamy žáků na mimoškolních akcích a zahraničních zájezdech,
-výtvarná a obdobná díla žáků - zveřejnění na výstavách, přehlídkách, v obrazové galerii školy
- jméno, příjmení, datum narození – údaje požadované při účasti žáků na soutěžích a olympiádách (potřeby organizátorů soutěží)
-výsledky žáků v soutěžích - nástěnka školy, webové stránky školy-prezentace školy
-v souladu s ustanovením § 35 zákona 372/2011 Sb. v platném znění o zdravotních službách a podmínkách jejich poskytování s poskytnutím zdravotnických služeb, které jdou nad rámec § 38, odst. 1, písm. c) a odst. 4., písm. b), tedy poskytnutí nezbytné péče k záchraně života nebo zamezení vážného poškození zdraví, poskytnutí neodkladné péče první pomoci, nezbytně nutné hospitalizace se související nezbytnou zdravotní péčí apod. Současně jsou zákonní zástupci výše uvedené nezletilé osoby bezodkladně informováni v případě jakéhokoli použití tohoto souhlasu

Podepsání informovaného souhlasu
Škola žádá zaměstnance, žáky a zákonné zástupce o udělení informovaného souhlasu podepsáním a vyplněním formuláře. Třídní učitelé předají zákonným zástupcům informované souhlasy, kde podpisem potvrdí souhlas/nesouhlas.

Odvolání souhlasu se zpracováním osobních údajů Váš dobrovolně udělený souhlas se zpracováním Vašich osobních údajů můžete kdykoli bezplatně odvolat, a to stejným způsobem, kterým jste souhlas udělili, při osobní návštěvě na adrese školy.

Pokud bude ve škole využíván kamerový systém, ředitel školy přijme směrnici pro provozování kamerového systému, která bude přístupná rovněž veřejnosti. Na přítomnost kamer ve škole budou žáci, zaměstnanci i zákonní zástupci předem upozorněni vhodnou formou (informativní cedulky v budově). Kamery budou využívány pouze za účelem ochrany majetku a zvýšení bezpečnosti (oprávněný zájem školy).

6. ZA JAKÝM ÚČELEM ZPRACOVÁVÁ ŠKOLA OSOBNÍ ÚDAJE?

Účely zpracování osobních údajů a právní tituly pro zpracování osobních údajů v školy jsou následující:

Zajištění řádného průběhu přijímacího řízení - v rámci přijímacího řízení poskytují zákonní zástupci řadu informací o dítěti i jich samotných, aby bylo možné rozhodnout o přihlášce k předškolnímu a základnímu vzdělávání a u přijatých dětí vést povinnou evidenci a využít je k plnění cílů předškolního a základního vzdělávání. Sběr a evidenci údajů vyžaduje zákon č. 561/2004 Sb., školský zákon a řízení probíhá dle zákona č. 500/2004 Sb., správního řádu. Při rozhodování o přijetí dítěte se posuzují sdělené informace na základě předem známých kritérií, z titulu plnění právní povinnosti.

Poskytování stravování — škola na základě zákona č. 561/2004 Sb., školského zákona a vyhlášky a školním stravování zajišťuje stravování v objektu ZŠ. Za tímto účelem sbírá a zpracovává informace o zdravotních omezeních relevantních pro přípravu a podávání jídel, a to z titulu oprávněného zájmu.

Plnění evidenčních povinností školy — ze školského zákona je škola povinna vést rozsáhlou evidenci zahrnující osobní údaje dětí i zákonných zástupců. Je povinna vést matriku, doklady o přijímání dětí ke vzdělávání, o průběhu vzdělávání a jeho ukončování, vzdělávací programy, třídní knihu, záznamy    z pedagogických porad, knihu úrazů a záznamy o úrazech dětí, popřípadě lékařské posudky, tedy z titulu plnění právní povinnosti.

Odvolání proti ne/přijetí dítěte k základnímu vzdělávání — škola na základě zákona č. 561/2004 Sb., školského zákona a zákona č. 500/2004 Sb., správního řádu, přijímá odvolání proti ne/přijetí dítěte k předškolnímu vzdělávání a zasílá jej k rozhodnutí Krajskému úřadu Středočeského kraje, a to z titulu plnění právní povinnosti.

Komunikace se zákonnými zástupci — škola komunikuje se zákonnými zástupci o všech věcech týkajících se vzdělávání dítěte, zdravotní situace, průběhu vzdělávání, vzdělávacích programech i akcích školy. Bez této komunikace by nebylo možné plnit cíl předškolního vzdělávání. Nejedná se o marketingovou komunikaci, nebo komunikaci k jinému účelu, než k plnění cílů předškolního vzdělávání. Děje se tak na základě právního titulu oprávněného zájmu.

Poskytování informací státním institucím — škola je ze zákona povinna poskytnout na vyžádání nebo, je-li to nezbytné, z vlastního podnětu informace státním institucím. Činí tak na základě titulu plnění právní povinnosti.

Organizace a zajišťování vzdělávacích programů a akcí školy — Z titulu plnění oprávněného zájmu, případně na základě souhlasu, organizuje škola různé vzdělávací programy a akce, které zaštiťuje přímo škola, nebo jiný subjekt. Některé z nich nelze provádět bez zpracování osobních údajů dětí nebo zákonných zástupců. U některých akcí, kde není provozovatelem přímo škola, je správcem osobních údajů provozovatel dané služby, který je odpovědný za poučení zákonných zástupců, případně sběr příslušných souhlasů.

Publikace fotografií dítěte na webových stránkách nebo nástěnce školy za účelem prezentace školy a jejích aktivit veřejnosti — škola na základě souhlasu zákonných zástupců dítěte umisťuje na své stránky fotografie z vybraných akcí a aktivit školy, aby prezentovala činnosti školy. Fotografie jsou většinou hromadné a nejsou opatřeny identifikací vyfocených osob.

7. JAK DLOUHO UCHOVÁVÁ ŠKOLA OSOBNÍ ÚDAJE?

Škola osobní údaje týkající se dítěte uchovává na základě povinnosti stanovené v § 28 školského zákona a podle zákona o archivnictví. A to nejen v průběhu vzdělávání dítěte, ale i po jeho skončení v zákonných lhůtách. Pro každý druh dokumentace je stanovena zvláštní lhůta dle skartačního řádu. Všechny tyto lhůty jsou blíže definovány v záznamech o zpracování, které má organizace povinnost vést a do kterých můžete nahlédnout v sídle organizace.

8. KOMU OSOBNÍ ÚDAJE MŮŽE ŠKOLA PŘEDÁVAT?

K předávání osobních údajů dochází v případech, kdy to vyžaduje zákon (např. Krajský úřad Středočeského kraje v rámci odvolacího řízení proti rozhodnutí o ne/přijetí dítěte k základnímu vzdělávání škola nebo Krajské hygienické stanici). Příjemcem údajů mohou být i společnosti, které škola pověří určitou činností, pro jejíž výkon je zpracování osobních údajů nutné (např. pořadatelé jednotlivých vzdělávacích aktivit žáků). Příjemcem údajů na internetových stránkách školy je veřejnost.

Ředitel školy důsledně zakazuje předávání osobních údajů žáků třetím osobám soukromého práva (nabídky pomůcek, knih, aktivit pro žáky). Obdobně se postupuje i u osobních údajů zaměstnanců školy.

9. JAK JSOU MÉ OSOBNÍ ÚDAJE ZABEZPEČENY?

Škola má vytvořený systém pro zabezpečení ochrany osobních údajů:
- uložení dokumentů podle spisového a skartačního řádu,
- nově vytvořena funkce pověřence pro ochranu osobních údajů (SUMA spol. s.r.o.), který provádí nezávislou kontrolní funkci ochrany osobních údajů ve škole, 
- osobní odpovědnost osob, které vedou školní matriku,
- shromažďování pouze nezbytných osobní údaje (například seznam žáků bez rodných čísel),
- již nepotřebné údaje skartovat,
- zachovávat mlčenlivost o údajích, 
- neposkytovat údaje osobám mimo výchovně vzdělávací proces,
- školní řád obsahuje pravidla o ochraně osobnosti ve škole,
- ochrana osobních údajů při práci s IT technikou.

10. JAKÁ PRÁVA MOHU V SOUVISLOSTI S OCHRANOU OSOBNÍCH ÚDAJŮ UPLATNIT?

V souladu s ustanovením článku 12 – 22 nařízení GDPR mohou subjekty uplatnit svá práva. Jednotlivá práva zaměstnanců se uplatňují písemnou žádostí adresovanou organizaci, na kterou je organizace povinna zareagovat bez zbytečného odkladu, nejpozději však do jednoho měsíce od doručení žádosti. Ve výjimečných případech je organizace oprávněna lhůtu pro vyřízení žádost prodloužit nejvýše o dva měsíce. V souladu s uvedenými ustanoveními máte právo uplatnit tato práva:

Právo na přístup k osobním údajům (čl. 15 nařízení GDPR): Žáci a jejich zákonní zástupci mohou požadovat informace o tom, jaké údaje o nich organizace zpracovává.

Právo na opravu osobních údajů (čl. 16 nařízení GDPR): Žáci a jejich zákonní zástupci mají právo požádat o opravu neúplných či nesprávných osobních údajů, které se jich týkají. Tím není dotčena povinnost zaměstnanců hlásit zaměstnavateli změny týkající se jejich osobních údajů a uvádět zaměstnavateli správné a úplné osobní údaje potřebné k realizaci práv a povinností z pracovní smlouvy.

Právo na výmaz osobních údajů (čl. 17 nařízení GDPR): V případě, že má žák nebo jeho zákonný zástupce za to, že zpracování osobních údajů týkajících se jeho osoby není oprávněné, může požádat o jejich výmaz osobních údajů, které jsou dle jeho názoru zpracovávány v rozporu s nařízením GDPR.

Právo na omezení zpracování osobních údajů (čl. 18 a 19 nařízení GDPR): Pokud má žák nebo jeho zákonný zástupce za to, že by mělo dojít k omezení zpracování jeho osobních údajů, zejm. z důvodu, že zpracování těchto osobních údajů probíhá ze strany organizace v rozporu se zákonem.

Právo na přenositelnost osobních údajů (čl. 20 nařízení GDPR): Osobní údaje žáků a jejich zákonných zástupců zpracovávané automatizovaně na základě jejich souhlasu či na základě právního titulu plnění smlouvy mohou být na žádost zaměstnance přeneseny jinému správci. K takové situace zatím ve škole nedochází.

Právo vznést námitku proti zpracování osobních údajů (čl. 21 nařízení GDPR): V případech zpracování osobních údajů žáků a jejich zákonných zástupců na základě právního titulu oprávněného zájmu mají žáci a jejich zákonní zástupci právo vznést námitku proti zpracování. V takovém případě organizace provede balanční test, ve kterém porovná protichůdné zájmy, a vznesenou námitku vyhodnotí.

S uplatněním všech svých práv se můžete obracet přímo na organizaci a to buď písemně do sídla organizace na adresu Základní škola a mateřská škola Čestlice, Na Návsi 3, Čestlice, 25101 Říčany,  nebo prostřednictvím e-mailové adresy základní@skolacestlice.cz. Obracet se můžete rovněž na osobu pověřence, jehož kontaktní údaje jsou uvedeny v úvodním ustanovení tohoto dokumentu.

Tyto podmínky jsou účinné ke dni 25. 5. 2018.

 

Mgr. Petr Svoboda, ředitel školy