Zásady ochrany osobních údajů žáků, zákonných zástupců a třetích osob
Mateřská škola Valašské Meziříčí, Kraiczova 362, okres Vsetín, příspěvková organizace, se sídlem Kraiczova 362, Valašské Meziříčí (dále jen „MŠ“) je příspěvkovou organizací, jejímž zřizovatelem je město Valašské Meziříčí. Hlavní činností organizace je zajištění předškolního vzdělávání svých žáků ve smyslu zákona č. 561/2004 Sb., školského zákona.
Je nezbytné, aby organizace v rámci své činnosti zpracovávala osobní údaje žáků a jejich zákonných zástupců, případně dalších osob. Osobní údaje organizace chrání ve smyslu nařízení Evropského parlamentu a Rady (EU) č. 2016/679 (dále jen „GDPR“). Cílem tohoto dokumentu je seznámit subjekty (žáky, zákonné zástupce a třetí osoby) se zpracováním osobních údajů organizací a informovat o právech, které mohou subjekty osobních údajů uplatnit.
Informace jsou dostupné z webových stránek organizace Mateřská škola Valašské Meziříčí, Kraiczova 362, okres Vsetín, příspěvková organizace a dále jsou k dispozici k nahlédnutí v sídle organizace. Zásady nakládání s osobními údaji subjektů budou průběžně aktualizovány a doplňovány v souladu s aktuálním účelem zpracování.
Pověřencem pro ochranu osobních údajů byla jmenována Michaela Škrobánková, tel.: +420 733 137 754, e-mail:
1. Obecně k nařízení GDPR
Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data ProtectionRegulation) je uceleným souborem pravidel na ochranu dat v EU. Škola je povinna se tímto nařízením řídit. Cílem je hájit práva žáků a jejich zákonných zástupců proti neoprávněnému zacházení s jejich daty a osobními údaji, dát jim větší kontrolu nad tím, co se s jejich daty děje.
Obecné zásady a právní důvody zpracování
Při práci s osobními údaji se všichni zaměstnanci školy řídí těmito obecnými zásadami: zásada zákonnosti, korektnosti, transparentnosti, účelového omezení, minimalizace údajů, přesnosti, omezení uložení, integritou, důvěrností a odpovědností správce.
zásada zákonnosti | Zpracování osobních údajů na základě právního předpisu (zejména § 28 školského zákona). Zpracování osobních údajů na základě informovaného souhlasu |
zásada korektnosti | Správné a společensky bezvadné použití osobních údajů |
zásada transparentnosti | Všechny informace o ochraně osobních údajů určené subjektu údajů (žák, zákonný zástupce, zaměstnanec) byly stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků |
zásada účelového omezení | Shromažďování osobních údajů jen za jasně stanoveným účelem |
zásada minimalizace údajů | Nikdy se nezpracovává více údajů, než je pro daný účel nezbytně nutné |
zásada přesnosti | Zpracovávané osobní údaje musí být přesné – tj. takové, jaké je subjekt sdělil, nikoli nutně pravdivé, ačkoli se o to mateřská škola bude snažit |
zásada omezení uložení | Osobní údaje jsou uloženy jen po dobu nezbytně nutnou |
zásady integrity a důvěrnosti | Náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením |
odpovědnost správce (školy) | Škola zavede vhodná technická a organizační opatření, aby zajistila a byla schopna doložit, že zpracování je prováděno v souladu s nařízením EU |
Osobní údaje se mohou ve škole zpracovávat pouze v souladu s GDPR, nejčastěji na základě plnění právní povinnosti nebo na základě souhlasu subjektu údajů (žák, zákonný zástupce žáka, třetí osoba). Souhlas subjektu údajů (žák, zákonný zástupce žáka, třetí osoba) musí být informovaný, konkrétní a písemný.
Ředitel školy důsledně zakazuje předávání osobních údajů žáků třetím osobám soukromého práva (nabídky pomůcek, knih, aktivit pro žáky). Obdobně se postupuje i u osobních údajů zaměstnanců školy.
2. Jaké osobní údaje MŠ zpracovává?
Organizace zpracovává pouze takové údaje, které potřebuji pro účely své činnosti, a to z titulu plnění právní povinnosti. Některé osobní údaje zpracovává organizace na základě souhlasu, který je udělen zákonným zástupcem žáka.
Se souhlasem zákonných zástupců žáka jsou zpracovávány zejména osobní údaje nejen samotného žáka, ale okrajově také osobní údaje zákonných zástupců žáka, případně dalších osob v případě zmocnění pro vyzvednutí žáka z MŠ.
Organizace sbírá zejména tyto osobní údaje:
- Identifikační údaje - osobní údaje zpracovávané za účelem jednoznačné a nezaměnitelné identifikace žáka a jeho zákonných zástupců (případně dalších osob. Jedná se o jméno, příjmení, rodné číslo, datum narození, adresu trvalého pobytu, podpis zákonných zástupců.
- Kontaktní údaje - Jedná se zejména o kontaktní adresu, telefonní číslo, e-mailovou adresu a další obdobné informace.
- Údaje o vzdělání žáka - jedná se o osobní údaje o průběhu vzdělávání, činnosti dítěte, jeho tvorbě, výsledcích.
- Údaje o komunikaci mezi zákonnými zástupci žáka a organizací - údaje zpracovávané za účelem ulehčení plnění požadavků na organizaci ze strany zákonných zástupců a dále pro unesení důkazního břemene v případě soudního řízení. Jedná se zejména o listovní a e-mailovou korespondenci, která obsahuje osobní údaje, a to zejména osobní údaje identifikační.
- Profilové údaje - osobní údaje zpracovávané za účelem splnění zákonných povinností a komunikací s pedagogicko-psychologickými poradnami. Mezi profilové údaje patří například základní fyzické charakteristiky (př. věk, výška, váha), sociálně-demografické charakteristiky (př. rodinný stav, počet dětí), ale i behaviorální, znalostní, dovednostní a psychosociální charakteristiky dítěte.
- Údaje o zdravotním stavu - Mezi údaje o zdravotním stavu se řadí zejména údaje o očkování, zdravotních omezeních, akutních i chronických chorobách, alergiích, úrazech, psychologických diagnózách.
3. Z jakých zdrojů má MŠ osobní údaje?
Osobní údaje, které MŠ zpracovává, získává převážně od zákonných zástupců dítěte, a to zejména při přijímacím řízení dítěte do MŠ a následně i v průběhu jeho vzdělávání. Důležitým zdrojem je i vlastní pozorování dítěte ze strany zaměstnanců MŠ. V neposlední řadě údaje může MŠ získat od zdravotnických zařízení a pedagogicko-psychologických poraden. Údaj o přijetí dítěte do jiných mateřských škol získává MŠ od jiných mateřských škol.
4. Jste povinni MŠ osobní údaje předávat?
Většinu osobních údajů žáka je zákonný zástupce povinen zařízení před již v průběhu přijímacího řízení, neboť organizace by bez těchto údajů nebyla schopná zajistit plnění právní povinností, kterými je například zajištění zdraví dětí, vedení zákonem uložené povinnosti vedení dokumentace a evidence žáků, či plnění cílů předškolního vzdělávání uložených zákonem č. 561/2004 Sb., školským zákonem. MŠ nezpracovává osobní údaje, které nepotřebuje přímo či nepřímo k plnění svých zákonem stanovených povinností.
5. Na základě jakého titulu zpracovává MŠ osobní údaje?
Nařízení GDPR stanoví kromě povinnosti zpracovávat pouze účelné informace povinnost zpracovávat tyto informace na základě právního titulu, kterým je buď souhlas, nebo plnění smlouvy, plnění právní povinnosti, plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, či ochrany oprávněného zájmu organizace.
Osobní údaje se mohou ve škole zpracovávat pouze na základě právního předpisu nebo na základě souhlasu žáků, zákonných zástupců žáků.
Osobní údaje zpracovávané na základě školského zákona jsou následující:
- údaje uvedené ve školní matrice
- doklady o přijímání dětí, žáků, studentů a uchazečů ke vzdělávání, o průběhu vzdělávání a jeho ukončování
- třídní kniha
- záznamy z pedagogických rad
- kniha úrazů a záznamy o úrazech dětí, žáků a studentů, popřípadě lékařské posudky
Osobní údaje zpracovávané podle zvláštních zákonů jsou:
- podněty pro jednání OSPOD, přestupkové komise
- podklady žáků pro vyšetření v PPP
- hlášení trestných činů, neomluvená absence
- údaje o zdravotní způsobilosti dítěte nebo žáka na zotavovacích akcích
Osobní údaje zpracovávané na základě informovaného souhlasu jsou:
- potvrzení o bezinfekčnosti
- seznam žáků a jejich značek u skříněk v šatně
- seznam dětí umístěný na dveřích třídy, v případě že je třeba je přeřadit z mimořádných důvodů do jiné třídy
- seznamy žáků na mimoškolních akcích a zahraničních zájezdech
- seznamy žáků na soutěžích a olympiádách
- seznamy zákonných zástupců pro spolek – klub přítel školy
- jména osob, které budou odvádět dítě z mateřské školy, školní družiny
- kontakt na zákonné zástupce (není shodný s adresou dítěte)
- fotografie za účelem propagace či zvýšení zájmu žáků o studium na dané škole
- zveřejnění výtvarných a obdobných děl žáků na výstavách a přehlídkách
- záznamy z kamerového systému školy pořizované za účelem bezpečnosti žáků a ochrany jejich majetku
6. Za jakým účelem zpracovává MŠ osobní údaje?
Účely zpracování osobních údajů a právní tituly pro zpracování osobních údajů v MŠ jsou následující:
- Zajištění řádného průběhu přijímacího řízení - v rámci přijímacího řízení poskytují zákonní zástupci řadu informace o dítěti i jich samotných, aby bylo možné rozhodnout o přihlášce k předškolnímu vzdělávání a u přijatých dětí vést povinnou evidenci a využít je k plnění cílů předškolního vzdělávání. Sběr a evidenci údajů vyžaduje zákon č. 561/2004 Sb., školský zákon a řízení probíhá dle zákona č. 500/2004 Sb., správního řádu. Při rozhodování o přijetí dítěte se posuzují sdělené informace na základě předem známých kritérií, z titulu plnění právní povinnosti.
- Zajištění předškolního vzdělávání pro děti se speciálními vzdělávacími potřebami - MŠ na základě zákona č. 561/2004 Sb., školského zákona zajišťuje předškolní vzdělávání svých žáků. Za tímto účelem zpracovává specifické profilové údaje a údaje o zdravotním stavu a získává doplňující informace jak od zákonných zástupců, tak od zdravotnických zařízení, z titulu plnění právní povinnosti.
- Odvolání proti ne/přijetí dítěte k předškolnímu vzdělávání - MŠ na základě zákona č. 561/2004 Sb., školského zákona a zákona č. 500/2004 Sb., správního řádu, přijímá odvolání proti ne/přijetí dítěte k předškolnímu vzdělávání
- Poskytování stravování — - — MŠ na základě zákona č. 561/2004 Sb., školského zákona a vyhlášky a školním stravování zajišťuje stravování v objektu MŠ. Za tímto účelem sbírá a zpracovává informace o zdravotních omezeních relevantních pro přípravu a podávání jídel, a to z titulu oprávněného zájmu.
- Plnění evidenčních povinností MŠ - ze školského zákona je MŠ povinna vést rozsáhlou evidenci zahrnující osobní údaje dětí i zákonných zástupců. Je povinna vést matriku, doklady o přijímání dětí ke vzdělávání, o průběhu vzdělávání a jeho ukončování, vzdělávací programy, třídní knihu, záznamy z pedagogických porad, knihu úrazů a záznamy o úrazech dětí, popřípadě lékařské posudky, tedy z titulu plnění právní povinnosti.
- Plnění cílů předškolního vzdělávání MŠ - — školský zákon stanoví řadu cílů vzdělávání, které je MŠ povinna naplňovat. K tomu je nezbytné zpracovávat jak údaje získané od zákonných zástupců dítěte a zdravotnických zařízení při přijímacím řízení, tak zejména informace z průběhu vzdělávání pocházející z pozorování dítěte, organizace tak činí z titulu plnění právní povinnosti.
- Komunikace se zákonnými zástupci - MŠ komunikuje se zákonnými zástupci o všech věcech týkajících se vzdělávání dítěte, zdravotní situace, průběhu vzdělávání, vzdělávacích programech i akcích MŠ. Bez této komunikace by nebylo možné plnit cíl předškolního vzdělávání. Nejedná se o marketingovou komunikaci, nebo komunikaci k jinému účelu, než k plnění cílů předškolního vzdělávání. Děje se tak na základě právního titulu oprávněného zájmu.
- Poskytování informací státním institucím - MŠ je ze zákona povinna poskytnout na vyžádání nebo, je-li to nezbytné, z vlastního podnětu informace státním institucím. Činí tak na základě titulu plnění právní povinnosti.
- Organizace a zajišťování vzdělávacích programů a akcí školky - Z titulu plnění oprávněného zájmu, případně na základě souhlasu, organizuje MŠ různé vzdělávací programy a akce, které zaštiťuje přímo MŠ, nebo jiný subjekt. Některé z nich nelze provádět bez zpracování osobních údajů dětí nebo zákonných zástupců. U některých akcí, kde není provozovatelem přímo MŠ, je správcem osobních údajů provozovatel dané služby, který je odpovědný za poučení zákonných zástupců, případně sběr příslušných souhlasů.
- Publikace fotografií dítěte na webových stránkách nebo nástěnce školky za účelem prezentace MŠ a jejích aktivit veřejnosti - MŠ na základě souhlasu zákonných zástupců dítěte umisťuje na své stránky fotografie z vybraných akcí a aktivit MŠ, aby prezentovala činnosti MŠ.
7. Jak dlouho uchovává MŠ osobní údaje?
MŠ osobní údaje týkající se dítěte uchovává na základě povinnosti stanovené v § 28 školského zákona a podle zákona o archivnictví. A to nejen v průběhu vzdělávání dítěte, ale i po jeho skončení v zákonných lhůtách. Pro každý druh dokumentace je stanovena zvláštní lhůta dle skartačního řádu. Všechny tyto lhůty jsou blíže definovány v záznamech o zpracování, které má organizace povinnost vést a do kterých můžete nahlédnout v sídle organizace.
8. Komu osobní údaje může MŠ předávat?
K předávání osobních údajů dochází v případech, kdy to vyžaduje zákon. Příjemcem údajů mohou být i společnosti, které MŠ pověří určitou činností, pro jejíž výkon je zpracování osobních údajů nutné (např. pořadatelé jednotlivých vzdělávacích aktivit žáků). Příjemcem údajů na internetových stránkách MŠ je veřejnost.
Ředitel školy důsledně zakazuje předávání osobních údajů žáků třetím osobám soukromého práva (nabídky pomůcek, knih, aktivit pro žáky). Obdobně se postupuje i u osobních údajů zaměstnanců školy.
9. Jak jsou mé osobní údaje zabezpečeny?
Škola má vytvořený systém pro zabezpečení ochrany osobních údajů:
- uložení dokumentů podle spisového a skartačního řádu
- nově vytvořena funkce pověřence pro ochranu osobních údajů (Data Protection Officer), který provádí nezávislou kontrolní funkci ochrany osobních údajů ve škole
- osobní odpovědnost osob, které vedou školní matriku
- shromažďování pouze nezbytných osobní údaje (například seznam žáků bez rodných čísel)
- již nepotřebné údaje skartovat
- zachovávat mlčenlivost o údajích
- neposkytovat údaje osobám mimo výchovně vzdělávací proces
- školní řád obsahuje pravidla o ochraně osobnosti ve škole
- ochrana osobních údajů při práci s IT technikou
10. Jaká práva mohu v souvislosti s ochranou osobních údajů uplatnit?
V souladu s ustanovením článku 12 – 22 nařízení GDPR mohou subjekty uplatnit svá práva. Jednotlivá práva zaměstnanců se uplatňují písemnou žádostí adresovanou organizaci, na kterou je organizace povinna zareagovat bez zbytečného odkladu, nejpozději však do jednoho měsíce od doručení žádosti. Ve výjimečných případech je organizace oprávněna lhůtu pro vyřízení žádost prodloužit nejvýše o dva měsíce. V souladu s uvedenými ustanoveními máte právo uplatnit tato práva:
- Právo na přístup k osobním údajům (čl. 15 nařízení GDPR): Žáci a jejich zákonní zástupci mohou požadovat informace o tom, jaké údaje o nich organizace zpracovává.
- Právo na opravu osobních údajů (čl. 16 nařízení GDPR): Žáci a jejich zákonní zástupci mají právo požádat o opravu neúplných či nesprávných osobních údajů, které se jich týkají. Tím není dotčena povinnost zaměstnanců hlásit zaměstnavateli změny týkající se jejich osobních údajů a uvádět zaměstnavateli správné a úplné osobní údaje potřebné k realizaci práv a povinností z pracovní smlouvy.
- Právo na výmaz osobních údajů (čl. 17 nařízení GDPR): V případě, že má žák nebo jeho zákonný zástupce za to, že zpracování osobních údajů týkajících se jeho osoby není oprávněné, může požádat o jejich výmaz osobních údajů, které jsou dle jeho názoru zpracovávány v rozporu s nařízením GDPR.
- Právo na omezení zpracování osobních údajů (čl. 18 a 19 nařízení GDPR): Pokud má žák nebo jeho zákonný zástupce za to, že by mělo dojít k omezení zpracování jeho osobních údajů, zejm. z důvodu, že zpracování těchto osobních údajů probíhá ze strany organizace v rozporu se zákonem.
- Právo na přenositelnost osobních údajů (čl. 20 nařízení GDPR): Osobní údaje žáků a jejich zákonných zástupců zpracovávané automatizovaně na základě jejich souhlasu či na základě právního titulu plnění smlouvy mohou být na žádost zaměstnance přeneseny jinému správci. K takové situace zatím ve škole nedochází.
- Právo vznést námitku proti zpracování osobních údajů (čl. 21 nařízení GDPR): V případech zpracování osobních údajů žáků a jejich zákonných zástupců na základě právního titulu oprávněného zájmu mají žáci a jejich zákonní zástupci právo vznést námitku proti zpracování. V takovém případě organizace provede balanční test, ve kterém porovná protichůdné zájmy, a vznesenou námitku vyhodnotí. Organizace zveřejňuje z titulu oprávněného zájmu jména a přezdívky dětí za každou třídu na nástěnce u šatny.
S uplatněním všech svých práv se můžete obracet přímo na organizaci a to buď písemně do sídla organizace na adresu Mateřská škola Valašské Meziříčí, Kraiczova 362, okres Vsetín, příspěvková organizace nebo prostřednictvím e-mailové adresy reditelka@mskraiczova.cz. Obracet se můžete rovněž na osobu pověřence, jehož kontaktní údaje jsou uvedeny v úvodním ustanovení tohoto dokumentu.
Pokud máte za to, že dochází ke zpracování osobních údajů v rozporu s nařízením GDPR, můžete podat stížnost u dozorového úřadu, přičemž není omezeno ani vaše právo na soudní ochranu. Dozorovým úřadem je Úřad pro ochranu osobních údajů, IČO: 70837627, se sídlem Pplk. Sochora 27, 170 00 Praha 7.
Tyto podmínky jsou účinné ke dni 25. 5. 2018.