Bezpečná ochrana osobních údajů ve školách

Bezpečná ochrana osobních údajů ve školách

Přinášíme vám rozhovor s vedoucím auditorem ochrany osobních údajů a odborníkem na GDPR  Bc. Radkem Kubíčkem, MBA, na téma bezpečné ochrany osobních údajů a implementaci GDPR pro školy a školská zařízení v ČR.

 

Jak dlouho se zabýváte problematikou ochrany osobních údajů? 
V oblasti personálních a procesních auditů se zaměřením na ochranu osobních údajů se pohybuji již pátým rokem. Společnost 2K CONSULTING, s. r. o., v níž jsem jednatelem, se od začátku zabývala mj. auditní a kontrolní činností ve veřejné správě. Po pětileté praxi v oblasti ochrany osobních údajů a risk managamentu pro mne GDPR není strašákem, ale výzvou. Díky tomu se aktivně zapojuji i do pracovních skupin Spolku pro ochranu osobních údajů, Komory certifikovaných pověřenců GDPR a MV ČR.

Máte zkušenosti také se školstvím? V čem vidíte aktuální problém ve školách? 
Kromě auditní činnosti nabízíme v našem portfoliu služeb i projektový a vzdělávací servis pro mateřské, základní a střední školy. Díky pravidelnému kontaktu se statutárními zástupci vím, co školy v současné době trápí. Školní klima znám dobře a uvědomuji si, že GDPR může být stresující pro všechny. Už nyní mají pedagogové dost administrativní zátěže a další povinnosti jim přibudou.  Bezpečnost ve školách vnímám jako uspokojivou pouze po stránce fyzické bezpečnosti. V oblasti kybernetické bezpečnosti narážíme mezi školami na velké rozdíly, protože jen malé procento z nich má za sebou bezpečnostní audit. Některé školy si neuvědomují, že už jen to, že pracovníci školy nemají počítač zabezpečený heslem, může být velký problém.

Co bude tedy nařízení GDPR pro školy znamenat? 
Nejdůležitější je zjistit, jak na tom školy a školská zařízení jsou v oblasti ochrany osobních údajů v tuto chvíli. Během vstupních auditů zjišťujeme, že mnohé školy mají mezery ve znalosti zákona č. 101/2000 Sb. o ochraně osobních údajů a mnohdy třeba vůbec neví, že mají povinnost registrace u Úřadu pro ochranu osobních údajů, čímž porušují již stávající legislativu. Pro zhodnocení stávajícího stavu ochrany osobních údajů a bezpečnosti při jejich zpracování si školy musí provést vstupní audit. Díky němu budou schopny identifikovat, jaké změny bude nutné v návaznosti na nařízení GDPR provést, jak upravit stávající dokumentaci a jaké doplnit směrnice.

Kdy je potřeba s implementací GDPR začít a jaké to pro školy a školská zařízení znamená náklady? 
Vstupní audit je základem pro další implementaci nařízení GDPR. Aby se vše stihlo do 25. května 2018, kdy nařízení nabývá účinnosti, mám pocit, že už nyní je pozdě. Pokud se mají přijmout organizační, procesní a technická opatření, bude to jistě znamenat velký zásah do rozpočtu nejen na rok 2018, ale i na další léta. Je nutné si uvědomit, že se jedná dlouhodobý proces, který začíná zpracováním auditu, pokračuje analýzou rizik, školením zaměstnanců a jmenováním pověřence pro ochranu osobních údajů.
Pozitivní zprávou však je, že některé náklady spojené s auditem ochrany osobních údajů a kybernetické bezpečnosti lze hradit v rámci realizace projektu z OP VV, kde si mohou školy rezervu ze šablon uplatnit v rámci provozních nákladů. Dle informací z MŠMT se jedná o uznatelný náklad.

Kde všude jste již implementaci GDPR ve školách nastavovali a jak na tuto problematiku nahlížejí zřizovatelé, popř. ředitelé škol? 
Vstupní audity realizujeme po celé ČR, několik jich již proběhlo, některé jsou před vyhodnocením. Ze strany zřizovatele škol se setkáváme se dvěma přístupy. Když nás osloví obec nebo město, většinou se domluvíme i na auditech v jejich příspěvkových organizacích (MŠ, ZŠ).  Někteří zřizovatelé se však domnívají, že vydaná metodika MŠMT je dostatečným návodem k tomu, aby si školy audit realizovaly samy. Vystavují se však velikému riziku, že vnitřní směrnice a souhlasy se zpracováním osobních údajů nebudou mít zpracovány správně. Nikdo je neupozorní na to, v jakém stavu mají IT zařízení a jak řešit kybernetickou bezpečnost.  Dle dostupných informací vznikne i registr právnických osob, kde bude uvedeno, kdo organizaci audit zpracoval.

Jak poznat, která organizace může ve škole realizovat audit, je spolehlivá a má zkušenosti s ochranou osobních údajů? 
Bohužel společností, které se prezentují jako odborníci na GDPR, je spousta. Řada z nich však vznikla letos bez jakékoliv historie či zkušeností. Já vždy říkám, že hodně o vás hovoří reference a historie zakázek, které jste schopni doložit. Kromě toho je důležité požadovat také praxi auditorů v oblasti ochrany osobních údajů. V neposlední řadě by vás mělo zajímat, jak se daná společnost angažuje v rámci odborných spolků a asociací, které jsou ve spojení s ÚOOÚ, MV ČR, MŠMT ČR apod. Např. v rámci Asociace Bezpečná škola vznikne i pracovní skupina pro GDPR, kde budeme chtít mít zástupce mateřských, základních a středních škol ze všech regionů.

Co role pověřence pro ochranu osobních údajů ?
Podle výkladu pracovní skupiny WP29 nejsou žádné podmínky pro výkon této funkce stanoveny. Kvalifikační předpoklady jsou v tuto chvíli konzultovány na MV ČR. S mými kolegy na pracovních skupinách budeme proto požadovat vytvoření registru certifikovaných pověřenců, kde si budeme tyto lidi prověřovat. Půjde nám hlavně o praxi v oblasti auditní činnosti a kybernetické bezpečnosti. Školy a školská zařízení nakládají s citlivými údaji a měly by mít kvalifikovaný dohled. Další věc je dopravní dostupnost pověřence a pojištění odpovědnosti za škodu způsobenou třetím osobám. Určitý registr by mohl vzniknout i v rámci působnosti Asociace Bezpečná škola.
Informace musí být transparentní také vůči zákonným zástupcům dětí, proto věřím, že i Asociace Bezpečná škola bude schopna vybrané odborníky ke spolupráci doporučit.

Na závěr, z čeho máte v souvislosti s GPDR největší obavy? 
GDPR bude nástrojem pro udávání, vydírání a zastrašování. Jakákoliv fyzická osoba může dát podnět k prošetření, že její osobní údaje byly zneužity. Pokud vezmeme v úvahu vysoké pokuty v případě zjištění pochybení při nakládání s osobními údaji, mohou se organizace dostat do velmi složité situace. Důležité je nepodceňovat situaci a být připraven. Až nastane problém, bude už pozdě.

ZDROJ: Učitelské noviny 12/2017