Na GDPR je systém MyCat připravený


21. 05. 2018

 

Nová legislativa EU zpřísňující ochranu osobních údajů dělá vrásky celé řadě firem, organizací a institucí, které s osobními daty pracují. A stejně tak dělá vrásky jazykovým školám. Právě pro vás jsme připravili následující článek, ve kterém si představíme změny a nové povinnosti, které z GDPR pro jazykové školy vyplývají.

GDPR (General Data Protection Regulation) je nová legislativa EU na ochranu osobních údajů, které vejde v platnost 25. května 2018. Protože systém MyCat s osobními daty pracuje, již dlouhou dobu se na novou legislativu chystáme, takže je systém na GDPR kompletně připravený. Pojďme se blíže podívat na to, co GDPR znamená pro jazykové školy a rozebrat otázky, na které se nás nejčastěji ptáte.  

Jaká data mohu evidovat?

Směrnice GDPR stanovila 6 legitimních důvodů pro uchovávání dat:

  • splnění právní povinnosti
  • plnění smlouvy
  • oprávněný zájem subjektu
  • souhlas se zpracováním údajů
  • ochrana životně důležitých zájmů subjektu (jazykové školy)
  • nezbytnost údajů pro splnění úkolu prováděného ve veřejném zájmu

Pro plnění dohodnutých podmínek smlouvy potřebujete zaevidovat jméno, kontaktní údaje, nezbytné ke komunikaci o výuce, jazykovou úroveň studenta, výsledky testování, informace o docházce, nikoliv však např. rodinný stav, či politické preference, které jsou pro výuku nepodstatné.

 

Mohu evidovat osobní údaje studentů, kteří již naši jazykovou školu nenavštěvují?

V zásadě NE. Máte právo uchovávat osobní údaje pouze po dobu trvání smluvního vztahu. Nicméně pokud si zajistíte samostatný souhlas se zpracováním údajů (ne jako součást přihlášky či smlouvy) a studentovi vysvětlíte, k čemu se zavazuje a jak souhlas v budoucnu odvolat, máte vyhráno! Oprávněným důvodem je v tomto případě splnění právní povinnosti, kdy se typicky jedná o fakturační údaje, nebo třeba o pomaturitní studium, u kterého vzniká povinnost uchovávat údaje po 10 let.

Co ještě spadá pod oprávněný zájem?

Oprávněný zájem lze také aplikovat jako ochranu zájmu jazykové školy. Osobní údaje klienta mohou škole sloužit např. jako důkazní materiál pro případ následné reklamace služeb, či dokonce žaloby ze strany klienta.

V případě reklamace je zapotřebí počítat s tím, že má klient povinnost uplatnit reklamaci neprodleně po zjištění předmětu reklamace. Tuto lhůtu však není možné jednoznačně stanovit a je na vás, jak ji stavíte a jak ji následně při kontrole odůvodníte. U zajištění důkazních materiálu pro potenciální soudní spor s klientem je možné opřít oprávněný zájem o tříletou promlčecí lhůtu, která je stanovena zákonem.

Které konkrétní údaje o studentech, lektorech, překladatelích a klientech bude možné i nadále evidovat?

Jak již bylo řečeno výše, pro shromažďování osobních údajů musíte mít legitimní účel. Vytvořte si seznam údajů, které o klientech, dodavatelích a zaměstnancích evidujete (jméno, příjmení, e-mail, telefonní číslo, adresa…) a u každého z nich uveďte, za jakým z legitimních účelů je evidujete. Tento seznam si schovejte, v případě kontroly je to jeden z nejdůležitějších dokumentů, které musíte předložit.

Co mě opravňuje k uchovávání kontaktních údajů o lektorech, překladatelích a partnerech?

V případě, že se jedná o osoby, se kterými máte uzavřenou smlouvu o spolupráci, je legitimita dána smluvním vztahem, protože je jasné, že pro spolupráci potřebujete e-mail, telefonní číslo, Skype či korespondenční adresu. Pokud mezi vámi žádná smlouva není, ale jedná se například o zástupce firmy, která vám dodává učebnice, a vy si jeho číslo uložíte do telefonu či adresáře poštovního klienta, jedná se o oprávněné uchování.

Jaké údaje mohu evidovat o lektorech?

U lektorů potřebujete znát dosaženou úroveň vzdělání, certifikaci a další reference odbornosti. Zvažte však, jestli jste oprávnění je uchovávat. Nedoporučujeme uchovávat CV či kopii dokladů o vzdělání – po ověření při přijímacím pohovoru je vraťte nebo skartujte. V souvislosti s provozem vaší školy určitě lektoři mají přístup do vašeho systému, evidujete tedy i přístupové údaje do systému – ty jsou nutné pro plnění smlouvy lektora.

Legitimní je i uchovávání kontaktních údajů lektorů, kteří s vámi teprve budou spolupracovat, nebo spolupracovali v minulosti. Jedná se totiž o vaše potenciální partnery, se kterými chcete spolupracovat. Nicméně pozor, certifikáty, kvalifikace či kopie dokladu uchovávat nesmíte.

Jak je to s údaji o studentech?

U studentů pro zajištění plnění smlouvy potřebujete znát jméno, kontaktní údaje, jazykovou, úroveň, informace o dosavadních zkušenostech s využitím jazyka, výsledek vstupního testu a datum narození. U dospělých studentů potřebujete také navíc údaje pro fakturaci a údaje pro doručení faktury, tedy adresu fakturační a kontaktní a pro rychlou komunikaci také telefon.

U dětí pro podpis Souhlasu se zpracováním osobních údajů potřebujete souhlas zákonného zástupce, který je nutný například, když potřebujeme znát zdravotní stav dítěte (letní jazykové tábory) nebo v případě, kdy chcete pracovat s fotografiemi či videonahrávkami dětí. Z toho důvodu je oprávněným údajem datum narození – bez něj totiž nemůžete přesně vědět, zdali se jedná o dítě, či o dospělého. V případě, že u vás studenti pouze vykonávají zkoušky, nepotřebujete od nich souhlas, protože informace přebíráte od jiné instituce. Musíte je však o zpracování informovat.

Co platí o zaměstnancích?

S údaji vašich zaměstnanců musíte pracovat velice obezřetně. Podrobně se mu věnuje dokument WP 249.  Nicméně je nutné podotknout, že souhlas se zpracováním osobních údajů není vhodné používat, protože vztah mezi zaměstnancem a zaměstnavatelem není rovnoprávný. Tento souhlas je možné používat například v případě pořizování fotografií zaměstnanců na web a podobně. V některých případech lze odůvodnit publikaci fotografie na webu školy i oprávněným zájmem, pro zveřejnění fotografií lektorů však souhlas potřebujete.

CV uchazečů o zaměstnání a kopie osobních dokladů po ukončení výběrového řízení stejně jako u lektorů skartujte, nebo pokud je to pro výkon pozice relevantní, si vyžádejte souhlas. Uchovávání těchto dokumentů je nutné jen v případě, že se jedná o zaměstnanci ze zemí mimo EU.

Jak je to s marketingem? A co fotografie?

Pořádně zrevidujte vaši marketingovou strategii. Stávajícím studentům můžete zasílat nabídky na další kurzy bez souhlasu, ale musí u nich být informace, že se jedná o obchodní sdělení a možnost odhlásit se z něj.

U fotografií a videí k propagačním účelům potřebujete souhlas se zpracováním, protože jsou propojeny s konkrétními studenty a tím pádem také osobními údaji. Pokud máte videozáznam jako prostředek kontroly a ve vhodném čase jej smažete, souhlas nepotřebujete. Pakliže to navíc napíšete do obchodních podmínek či smlouvy, máte i legitimní základ.

Předávání osobních údajů

Osobní údaje, jako jsou seznamy žáků s datem narození či s výsledky zkoušek, musíte předávat zabezpečenou cestou, za kterou se e-mail nedá stoprocentně považovat. Přemýšlejte proto, zdali neexistují jiné cesty, třeba bezpečné úložiště, zabezpečený systém. Obezřetnost platí i u kontaktních formulářů na webu. Zabezpečený protokol https je nutností a ideální je zapsání přihlášky do systému prostřednictvím API.

Nejedná se jen o elektronické údaje, nezapomínejte i na papírovou formu a co nepotřebujete, skartujte, citlivé údaje nenechávejte ležet na stole či v autě a rozhodně je nepoužívejte jako šmíráky. To by se mohlo prodražit.

Informace o zpracování údajů umístěte na váš web

Důkazem o tom, že pracujete v souladu s GDPR, jsou informace o zpracování osobních údajů, které zveřejněte na své webové stránky i do prostor kanceláře školy. Dokument napište srozumitelným jazykem a důkladně informujte o tom, jaká data, jakým způsobem a za jakým účelem zpracováváte a komu je předáváte.

Součástí příprav na GDPR je také revize smluvních vztahů. Nezapomínejte, že souhlasy nesmí být součástí smluv ani obchodních podmínek. Tyto a zejména smlouvy se zpracovateli (externí účetní firmy, marketingové firmy) doporučujeme vypracovat s právníkem. Pokud máte jakýkoliv další dotaz, neváhejte se na nás obrátit.

MyCat se totiž GDPR nebojí!