Praktické důsledky GDPR
v e-learningu IS MU
Mgr. Veronika Smítková Právní odbor RMU 1
Co je GDPR?
▪ Nařízení (EU) 2016/679 tzv. Obecné nařízení o ochraně
osobních údajů (General Data Protection Regulation -
GDPR)
▪ platné od 27.4.2016, účinné od 25.5.2018
▪ přímá působnost jako zákon
▪ zákon č. 101/2000 Sb. o zpracování osobních údajů
bude pouze upřesňovat některá ustanovení GDPR
(chystá se novela)
Mgr. Veronika Smítková Právní odbor RMU 2
Co GDPR přináší nového?
▪ posílení práva subjektu údajů na kontrolu zpracování OÚ
▪ přísnější pravidla pro souhlas
▪ právo být zapomenut
▪ rozšíření definice osobních údajů
▪ lokační údaje, síťový identifikátor
▪ více povinností správce
▪ záznamy zpracování
▪ posouzení vlivu
▪ pověřenec pro ochranu osobních údajů (Data Protection Officer – DPO)
Mgr. Veronika Smítková Právní odbor RMU
3
Co jsou osobní údaje?
▪ jakákoliv informace, která se týká určené nebo přímo či
nepřímo určitelné fyzické osoby
▪ nejen identifikační údaje, na jejichž základě lze konkrétní
osobu určit, ale i veškeré informace, které se určeného či
určitelného člověka týkají, byť jej ani samy o sobě, ani v
kombinaci s dalšími informacemi neidentifikují
▪ např. jméno, identifikační číslo (UČO), adresa, pohlaví,
věk, e-mailová adresa, zdravotní znevýhodnění, lokační
údaje, síťový identifikátor (IP adresa)
Mgr. Veronika Smítková Právní odbor RMU 4
Co jsou „citlivé“ osobní údaje?
Tzv. zvláštní kategorie osobních údajů:
▪ údaje o rasovém či etnickém původu, politických
názorech, náboženském vyznání či filozofickém
přesvědčení nebo členství v odborech,
▪ genetické údaje,
▪ biometrické údaje pro účel jedinečné identifikace
fyzické osoby
▪ údaje o zdravotním stavu či o sexuálním životě nebo
sexuální orientaci
Zpracovávat lze pouze za podmínky souhlasu nebo některé
z podmínek čl. 9!
Mgr. Veronika Smítková Právní odbor RMU 5
Co NEjsou osobní údaje?
▪ údaje, které se nevztahují ani nemohou být vztaženy ke
konkrétní osobně
▪ původně osobní údaje, které byly anonymizovány tak, že
není možná identifikace konkrétní osoby (ani vyčleněním
ze souboru)
Mgr. Veronika Smítková Právní odbor RMU 6
Co je zpracování osobních údajů?
▪ zpracování OÚ = jakákoliv operace nebo soustava operací, které
správce nebo zpracovatel systematicky provádějí s osobními údaji,
automatizovaně nebo jinými prostředky
▪ nevztahuje se na zpracování pro osobní potřebu
▪ např. shromáždění, zaznamenání, uspořádání,
strukturování, uložení, přizpůsobení nebo pozměnění,
vyhledání, nahlédnutí, použití, zpřístupnění přenosem,
šíření nebo jakékoliv jiné zpřístupnění, seřazení či
zkombinování, omezení, výmaz nebo zničení;
Mgr. Veronika Smítková Právní odbor RMU 7
Správce vs. Zpracovatel
▪ Správce určuje účel a prostředky zpracování OÚ
▪ zpracování os. údajů v e-learningu = MU je správcem
▪ Zpracovatel zpracovává os. údaje pro správce (např.
opravy přijímacích testů), smlouva se správcem
▪
Za dodržování GDPR je odpovědný správce, tj. MU!!!
Mgr. Veronika Smítková Právní odbor RMU 8
Mám jako učitel nějakou zodpovědnost, co se týká problematiky GDPR?
Hrozí mi případně nějaká pokuta, v případě nějakého pochybení? Pokud
ano, tak jakého?
Kdy můžeme zpracovávat OÚ?
Když máme ke zpracování správný právní titul!
„ze zákona“
▪ smlouva
▪ právní povinnost
▪ životně důležitý zájem
▪ veřejný zájem / výkon
veřejné moci
▪ oprávněný zájem správce
ostatní případy
▪ souhlas subjektu
Mgr. Veronika Smítková Právní odbor RMU 9
Zpracování OÚ bez potřeby souhlasu
Mgr. Veronika Smítková Právní odbor RMU 10
▪ např. uskutečňování akreditovaných studijních programů
a programů celoživotního vzdělávání (resp. plnění
studijních povinností studentem)
Existují tzv. e-kurzy, které vytváří akademici MU, jsou součástí IS MU,
například zde https://is.muni.cz/elportal/ekurzy. Jsou určené i pro veřejnost.
Někdy zdarma, někdy za poplatek, který zaplatí prostřednictvím Obchodního
centra v IS MU. Je v pořádku, že sbíráme osobní údaje od lidí z veřejnosti? U
těch zdarma mohou vyplnit, co chtějí (tedy nekontrolujeme, jaké údaje
vyplňují). U placených kurzů však obvykle potřebujeme nějaké minimum
správně vyplněných údajů pro ekonomické důvody.
Souhlas se zpracováním osobních údajů
Mgr. Veronika Smítková Právní odbor RMU 11
▪ svobodný, konkrétní, informovaný, jednoznačný
▪ aktivně udělený, nikoliv konkludentně!
▪ např. pro udělení souhlasu musí alespoň zaškrtnout
políčko
Existují v ISu i neveřejné kurzy určené pro talentované středoškoláky
(olympiády PřF, programovací kurzy FI). Můžeme nakládat s osobními údaji
sbíranými od těchto středoškoláků? Univerzita má zájem podchytit
talentované studenty.
Právo na výmaz
Mgr. Veronika Smítková Právní odbor RMU 12
Kdy musíme údaje na žádost smazat?
▪ OÚ již nejsou potřebné pro daný účel
▪ odvolání souhlasu
▪ subjekt vznese námitku a nepřevažují důvody pro správce
▪ protiprávní zpracování OÚ
▪ výmaz pro splnění právní povinnosti
▪ OÚ pro služby inf. společnosti
Co když po mně (po vyučujícím) bude student požadovat tzv. "právo být
zapomenut"? Musím smazat například jeho odevzdané domácí úkoly a zajistit
smazání jeho dat i z webových služeb, kde jsem požadoval, aby zpracoval
svůj úkol (např. Medial, Prezi)? Nebo si musí on sám požádat?
Zásady zpracování OÚ
Mgr. Veronika Smítková Právní odbor RMU 13
▪ zákonnost
▪ korektnost a transparentnost
▪ zásada účelového omezení
▪ zásada minimalizace údajů
▪ zásada přesnosti
▪ zásada omezení uložení
▪ zásada integrity a důvěrnosti
▪ zásada odpovědnosti
Zásady zpracování OÚ
Zákonnost
Mgr. Veronika Smítková Právní odbor RMU 14
▪ zpracování není v rozporu s žádnými právními předpisy
▪ mám ke zpracování právní titul
▪ smlouva, právní povinnost, veřejný zájem, oprávněný
zájem správce, nebo
▪ souhlas studenta
Zásady zpracování OÚ
Korektnost a transparentnost
Mgr. Veronika Smítková Právní odbor RMU 15
▪ „postupovat fér“
▪ informovat subjekt údajů co, jak a proč s údaji o něm
dělám
Mám výukový web a zpracovávám si statistiky pomocí nástrojů Google
Analytics, abych věděla, kde studenti klikají a na které stránky výukového
webu chodí. Ukládám takto ve službě Google Analytics tedy IP adresy
studentů, což jsou osobní údaje. Změní se pro mne něco po zavedení GDPR?
Mám nějaké povinnosti jako učitel v tomto případě?
Zásady zpracování OÚ
Zásada účelového omezení
Mgr. Veronika Smítková Právní odbor RMU 16
▪ omezení zpracování jen na účel (právní titul), na základě
kterého jsou zpracovávány
▪ X možnost „dalšího zpracování“ (souhlas, veř. zájem –
archivace, výzkum, statistika,…)
Účastníci konference OSK se nám podepisují na prezenční listině. Jde o
akademiky a doktorandy MU. Je v pořádku, pokud bychom i v následujících
letech (např. i více než 3 roky po podpisu na prezenčce) obesílali účastníky s
pozvánkou na nový/další ročník?
Zásady zpracování OÚ
Zásada minimalizace údajů
Mgr. Veronika Smítková Právní odbor RMU 17
▪ zpracovávat jen OÚ, které skutečně potřebuji pro daný
účel
Mohu ve výuce natáčet studenty na video pro účely poskytnutí jim zpětné
vazby? Typicky prezentace v anglické výuce nebo měkké dovednosti typu
schopnost prezentovat aj. Mohu ty záznamy nahrát do ISu? Jakou formou
mi mají dát souhlas, aby bylo vše správně podle GDPR?
Zásady zpracování OÚ
Zásada přesnosti
Mgr. Veronika Smítková Právní odbor RMU 18
▪ povinnost aktualizovat, příp. na požádání opravit
zpracovávané OÚ
▪ např. chybné známky, hodnocení…
Učitel používá jiný e-learningový systém ve své výuce a přenáší si tam
jméno, příjmení, učo, ... student. Tento systém mu spravuje jeho CVT
fakulty (tedy je na serverech fakulty, není mimo univerzitu). Známky
zpět zapisuje do IS MU. Je v pořádku mít osobní údaje na dvou
místech/systémech?
Zásady zpracování OÚ
Zásada omezení uložení
Mgr. Veronika Smítková Právní odbor RMU 19
▪ neuchovávat po dobu delší, než je nezbytné, ve formě
umožňující identifikaci
▪ povinnost smazat nebo anonymizovat OÚ po uplynutí
doby účelu
př. založené účty v ISu pro jednorázové účastníky e-kurzů
Zásady zpracování OÚ
Zásada integrity a důvěrnosti
Mgr. Veronika Smítková Právní odbor RMU 20
▪ zabezpečení před neoprávněným a protiprávním
zpracováním je klíčovým pro GDPR
▪ vhodná technická a organizační opatření
▪ pseudonymizace a šifrování osobních údajů
▪ např. při používání externích nebo veřejných systémů
(Median) zvážit pseudonymizaci
Zásady zpracování OÚ
Zásada odpovědnosti
Mgr. Veronika Smítková Právní odbor RMU 21
▪ správce (MU) odpovídá za dodržení všech zásad GDPR
▪ správce musí doložit soulad s GDPR (postupy, opatření,
souhlasy)
▪ pečlivý výběr zpracovatele OÚ, externího systému
Když ve výuce používám jako jednotlivec/učitel/ externí systémy a služby
(neběží na našich serverech na MU), jako je duoLingo, Medial, Padlet či
Socrative, mám nějakou zodpovědnost ohledně GDPR? Musím přenést
odpovědnost na poskytovatele těchto služeb? Jak? Obvykle jde o free služby,
které se užívají bez smluvního ujednání nebo za všeobecných podmínek
zveřejněných na jejich stránkách, anebo jen všeobecných pravidel používání.
Nevíte, jak na to?
Zeptejte se pověřence!
Mgr. Veronika Smítková Právní odbor RMU 22
23
Kontakt pro dotazy:
Právní odbor RMU
smitkova@rect.muni.cz
nechvatalova@rect.muni.cz