Minulý týden začalo platit obecné nařízení o ochraně osobních údajů známé pod zkratkou GDPR. Vysoká škola ekonomická (VŠE) se na naplnění požadavků připravovala od začátku letošního roku. Jaké změny musela ekonomka implementovat a jaká práva a povinnosti nařízení přináší studentům a zaměstnancům se dočtete v článku.
Principy nařízení příslušné oddělení zohledňovalo už před tímto obdobím. „Byla připravena nová rozsáhlá směrnice, která nahrazuje již zastaralou směrnici o ochraně osobních údajů,“ upřesňuje Karel Nenadál, ředitel Výpočetního centra (VC). V této souvislosti nedošlo ke změnám funkcionality ani práv v informačním systému InSIS. Výhledově je ale možné očekávat nové funkce usnadňující automatizaci některých požadavků. Za účelem dosažení přehledu o zpracování osobních údajů VŠE zřídila registr zpracování osobních údajů, který bude provozovat právě VC.
Nařízení učitelům nepřináší žádné nové povinnosti. Fyzické dokumenty museli i před tím zabezpečit před neoprávněným přístupem. „Pokud s nimi bude nutné operovat, budou je muset ochránit typicky uzamčením ve vhodném prostoru,“ dodává Nenadál. Zabezpečení elektronických dat se řeší omezením fyzického přístupu k nosičům a minimalizací okruhu osob se vzdáleným přístupem. „Jedná se zejména o zabezpečení dostatečně silným heslem, přístupem pouze ze školní sítě nebo pouze z určitých koncových stanic,“ vysvětluje ředitel Výpočetního centra. Ekonomka si dále ponechává pouze data, které potřebuje uchovávat. A to do doby, dokdy jejich uchovávání bude pro ni nutné. Toto pravidlo platí například i pro kamerový systém.
Údaje o studentech a zaměstnancích VŠE eviduje ze zákona
VŠE dále zavedla pozici pověřence pro ochranu osobních údajů, kterým bude Karel Nenadál. Jeho povinností bude například poskytování informací a poradenství v oblasti zpracování osobních údajů, monitorování souladu s právními předpisy týkající se ochrany osobních údajů a spolupráci s dozorovým úřadem.
Většinu osobních údajů škola eviduje ze zákona. „Evidence na základě souhlasu jsou výjimečné. V takovém případě bude nutno případ od případu posoudit, zda text souhlasu respektuje požadavky nařízení. Pokud ne, tak si vyžádat souhlas nový,“ doplňuje Nenadál. Způsob realizace škola zvažuje, nejspíše získá souhlas přes aplikaci zajišťující komunikaci se subjekty. Studenti a zaměstnanci mohou využít také práva „být zapomenut“. To lze ale uplatit pouze v případě, že je osobní údaj evidován na základě souhlasu se zpracováním. Uplatnění práva bude probíhat formou podání návrhu pověřenci.
