Prohlášení o ochraně osobních údajů

Tím, že vaše dítě navštěvuje naši školu, tj. Mateřskou školu Město Albrechtice, příspěvkovou organizaci, Celní 11, 793 95 Město Albrechtice, svěřujete nám, jako správci osobních údajů, osobní údaje dětí. Pokud by tomu tak nebylo, nemohli bychom jim poskytovat vzdělávání odpovídající příslušným právním předpisům, stejně jako jim nabízet a provozovat další činnosti, které s naší činností souvisí.

Správce všechny osobní údaje zpracovává v souladu s Nařízením Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) a se zákonem č. 110/2019 Sb., o zpracování osobních údajů.

Informace, se kterými nakládáme a doba jejich zpracování

Správní řízení

Zákonný zástupce nejdříve vyplňuje přihlášku k předškolnímu vzdělávání. Na jejím základě rozhodne ředitelka školy o přijetí či nepřijetí dítěte k předškolnímu vzdělávání. Jedná se o správní řízení, kdy ředitelka školy jako správní orgán zde rozhoduje o právech a povinnostech jmenovitě určené osoby podle zákona § 9 zákona č. č. 500/2004 Sb., správní řád.

Ke konání takového správního řízení potřebujeme znát následující údaje:

  • u dětí: jméno a příjmení, datum narození, případně rodné číslo, místo trvalého pobytu nebo adresa pro doručování písemností, státní příslušnost. Můžeme se také doptávat na další informace, a to na údaj o předchozím vzdělávání, zdravotním stavu (např. alergie), dále informace o zdravotní pojišťovně
  • u zákonných zástupců: jméno a příjmení, adresa trvalého pobytu nebo adresa pro doručování písemností), telefonní číslo nebo e-mail

Tyto osobní údaje zpracováváme za účelem plnění právní povinnosti. Právním titulem pro zacházení s těmito informacemi je podle článku 6 odst. 1 písm. c) GDPR4 plnění právní povinnosti, a to podle ust. § 34, § 34a, § 34b a/nebo § 36, § 46 zákona č. 561/2004 Sb., školský zákon a dále zákon č. 500/2004 Sb., správní řád, jakož i prováděcí právní předpisy k uvedeným zákonům.

Takto získané osobní údaje shromažďujeme (archivujeme) po dobu stanovenou ve spisovém a skartačním řádu školy. V rámci správního řízení se zpracovávají pouze údaje nezbytné pro vedení takového řízení, tj. údaje, které jsou uvedeny výše.

Matrika dětí, žáků a studentů a ostatní dokumentace škol

Podle školského zákona jsou školy povinny vést předepsanou dokumentaci o své činnosti. K takové povinné dokumentaci patří i vedení tzv. evidence dětí podle § 28 odst. 1 písm. b) školského zákona. Jedná se o tzv. školní matriku. Její náležitosti jsou stanoveny v § 28 odst. 2 školského zákona. Ve školní matrice jsou vedeny následující osobní údaje:

  • u dětí: jméno a příjmení, rodné číslo, datum narození, státní občanství, místo narození a místo trvalého pobytu, popřípadě místo pobytu na území České republiky podle druhu pobytu pro cizince nebo místo pobytu v zahraničí, nepobývá-li dítě nebo žák na území ČR, údaje o předchozím vzdělávání, datum zahájení vzdělávání ve škole, údaje o znevýhodnění uvedeném v § 16 školského zákona, údaje o poskytovaných podpůrných opatřeních, závěry vyšetření uvedených v doporučení školského poradenského zařízení, údaje o zdravotní způsobilosti ke vzdělávání a o zdravotních obtížích, které by mohly mít vliv na průběh vzdělávání, datum ukončení vzdělávání na škole. V tomto případě se jedná převážně o základní identifikační nebo popisné údaje s výjimkou údajů o zdravotním stavu. V tomto případě se jedná o zvláštní kategorii osobních údajů – tzv. citlivé údaje.
  • u zákonného zástupce: jméno a příjmení zákonného zástupce, místo trvalého pobytu nebo bydliště, pokud nemá na území České republiky místo trvalého pobytu, adresu pro doručování písemností, telefonické spojení (zde se jedná o základní identifikační nebo popisné osobní údaje). V zájmu zajištění efektivní a rychlé komunikace se zákonnými zástupci nám mohou dát dobrovolně svoji e-mailovou adresu. Takový osobní údaj je následně zpracován na základě oprávněného zájmu správce osobních údajů podle čl. 6. odst. 1 písm. f) GDPR.

Následující osobní údaje zpracováváme za účelem plnění právní povinnosti: vedení evidence dětí pro školní matriku. Ve školní matrice jsou tak osobní údaje zpracovávány na základě plnění právní povinnosti, která vyplývá ze školského zákona. Zpracování takových osobních údajů je proto v souladu s článkem 6 odst. 1 písm. c) GDPR.

Údaje ve školní matrice se uchovávají po dobu, kterou stanovuje zákon o archivnictví a spisové službě, a to pod dobu 50 let, ledaže se jedná o archiválie podle bodu 16 přílohy č. 2, zákona o archivnictví a spisové službě, které se vždy povinně předkládají státnímu archivu k výběru za archiválie.

Mezi další dokumenty, jež škola zpracovává, patří další povinné dokumenty, v nichž se objevují osobní údaje dětí. Jedná se například o třídní knihy, docházky dětí, omluvné listy, diagnostické záznamy, kniha úrazů apod.

Účelem zpracování osobních údajů v takových dokumentech je následně řádné plnění pedagogické činnosti a plnění právních povinností při poskytování vzdělávání. Doba uchovávání těchto dokumentů je uvedena ve spisovém a skartačním řádu školy a různí se podle typu dokumentu.

Evidence záznamů v třídní knize jsou ukládány po dobu 10 let, evidence některých úrazů jsou ukládány po dobu 5 let a zápisy z pedagogických rad 5 let. Takové zpracování je opět prováděno na základě plnění právních povinností, a tedy v souladu s článkem 6 odst. 1 písm. c) GDPR.

Příjemci osobních údajů

Pro zajištění výše vymezeného účelu může docházet k poskytnutí osobních údajů jednotlivých subjektů rovněž zpracovatelům osobních údajů, a to na základě smluv o zpracování osobních údajů uzavřených mezi správcem a zpracovatelem v souladu s čl. 28 na základě produktových podmínek poskytovatele daného komunikačního prostředku či aplikace, ve kterých se tento z pozice zpracovatele zavazuje k dodržování příslušných ustanovení o zpracování osobních údajů.

Práva zákonných zástupců subjektů údajů

  • být informován o skutečnostech, které se týkají procesů zpracování osobních údajů
  • na přístup k osobním údajům
  • žádat opravu nebo doplnění osobních údajů, které se dítěte nebo jej týkají
  • právo na výmaz osobních údajů, a to za předpokladu, že 1) údaje již nejsou potřebné k vzhledem k deklarovanému účelu (leda že je zde zákonný požadavek na archivaci, 2) subjekt osobních údajů odvolal souhlas se zpracováním osobních údajů nebo 3) byly vzneseny oprávněné námitky proti zpracování
  • vzít zpět souhlas se zpracováním osobních údajů
  • požadovat omezení zpracování osobních údajů
  • v případě pochybností o dodržování povinností souvisejících se zpracováním osobních údajů se obrátit na správce nebo se stížností na Úřad pro ochranu osobních údajů (www.uoou.cz)

Účely, k nimž GDPR nevyžaduje váš souhlas

Bez vašeho souhlasu mohou být osobní údaje ve škole zpracovávány pouze v souladu s GDPR na základě těchto právních titulů:

  • zpracování, které je nezbytné pro splnění právní povinnosti – většina povinností vyplývá ze školského zákona a zákona o archivnictví;
  • zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce – kdy jde o veřejný zájem;
  • zpracování, které je nezbytné pro účely oprávněných zájmů mateřské školy – těmito zájmy jsou zejména ochrana práv školy, zejména ochrana reputace a dobrého jména, ochrana majetku školy, ochrana majetku a zdraví dětí, zákonných zástupců i zaměstnanců školy, vymáhání pohledávek školy;
  • zpracování, které je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů – jde o situaci, kdy škola vystupuje jako smluvní partner.

Jednotlivé dílčí účely, které nevyžadují souhlas a využívají výše zmíněné právní tituly:

  • přijímací řízení k vzdělávání – jde o plnění povinností vyplývajících z ustanovení § 20, § 28, § 36 a § 46 školského zákona, dále jde o veřejný zájem školy spočívající v realizaci vzdělávání a zajištění denního režimu dítěte ve škole a oprávněný zájem spočívající v potřebě znát historii vzdělávání žáka a zajištění jeho vzdělávacích potřeb;
  • rozhodnutí o přijetí k vzdělávání – jde o plnění povinností vyplývajících z ustanovení § 165 školského zákona;
  • žádost o odklad povinné školní docházky – jde o plnění povinností vyplývajících z ustanovení § 37 školského zákona;
  • posudek zdravotní způsobilosti – jde o plnění povinností vyplývajících z ustanovení § 22 a § 28 školského zákona;
  • stravování v MŠ – jde o plnění povinností vyplývajících z ustanovení § 28 školského zákona; zároveň jde o plnění smlouvy o poskytování služeb stravování (škola potřebuje znát např. číslo účtu pro bezhotovostní platby);
  • prezentace školy – jde o oprávněný zájem školy na prezentaci výsledků její činnosti, propagaci školy a hájení jejího dobrého jména a pověsti; osobní údaje jsou bez souhlasu zpracovány pouze v rozumně očekáváné míře; nedochází k profilování dětí ani zákonných zástupců na sociálních sítích; Pro účely prezentace školy využíváme internetové stránky (www.msma.cz) nebo zveřejňujeme některé důležité zprávy v běžných médiích (například místní tisk, TKR Město Albrechtice, Zpravodaj města Město Albrechtice apod.) Může se tedy stát, že za účelem informování veřejnosti o dění v naší škole a pro nekomerční prezentaci naší školy zveřejníme jméno a příjmení dítěte, případně i fotografii, videozáznam nebo výtvarné dílo. V takovém případě se jedná o oprávněný zájem školy.
  • seznámení se školním řádem a školním vzdělávacím programem – jde o plnění povinností vyplývajících z ustanovení § 30 školského zákona;
  • pořádání školních akcí – jde o veřejný zájem na zajištění vzdělávání dětí; osobní údaje mohou být bez souhlasu předány i organizátorovi aktivity;
  • zveřejňování autorských děl dětí – jde o veřejný zájem na zajištění vzdělávání dětí; zároveň může jít o oprávněný zájem školy na prezentaci jejího dobrého jména a pověsti, což zahrnuje i prezentaci např. výtvarných děl dětí nebo záznamů vystoupení dětí ( pěvecký sbor apod.);
  • organizování školy v přírodě a školních výletů – jde o veřejný zájem na zajištění vzdělávání žáků; zároveň jde o oprávněný zájem školy na zajištění bezpečného průběhu školy v přírodě; také půjde o zpracování na základě plnění smlouvy (úhrada ubytování, stravného apod.)

Hospodářská činnost a účetnictví

Hlavní činností školy je poskytování vzdělávání. Podmínkou řádného plnění zmíněné činnosti je potřeba zajistit řádné provozní podmínky. Vedení účetnictví, provoz internetové sítě, stejně jako údržby budov a veškerého vybavení. V tomto směru uzavíráme smlouvy, ve kterých jsou uváděny osobní údaje smluvních partnerů.

Nejčastěji se jedná o následující údaje: jméno a příjmení, identifikační číslo podnikatele, adresu provozovny nebo sídla, adresu trvalého pobytu nebo bydliště (kontaktní adresa), daňové identifikační číslo, e-mail a telefon.

Tyto údaje jsou vedeny za účelem uzavření smlouvy, tj. podle čl. 6 odst. 1 písm. b) GDPR, ale zároveň i pro plnění smluvní povinnosti, tj. podle čl. 6 odst. 1 písm. c) GDPR. Plnění smluvních povinností nastává typicky v případě, kdy na základě uzavřené smlouvy musíme evidovat v rámci účetnictví faktury nebo jiné daňové doklady podle zákona č. 563(1991 Sb., o účetnictví. Smlouvy se uchovávají nejdéle po dobu 10 let, protože mohou být předmětem kontroly ze strany zřizovatele
 a faktury po dobu 5 let.

Zabezpečení osobních údajů

Dbáme na maximální zabezpečení svěřených osobních údajů. Při jejich zpracovávání zachováváme odpovídající úroveň bezpečnostních opatření, abychom zajistili důvěrnost svěřených informací:

  • zaměstnanci školy jsou vázáni mlčenlivostí o skutečnostech, které se dozvěděli při výkonu své práce
  • osobní údaje jsou ukládány do uzamykatelných prostorů, do nichž má přístup pouze omezený počet pověřených pracovníků
  • v případě uchovávání osobních údajů v digitální formě (počítače, externí disky apod.) jsou tyto technické prostředky zabezpečeny jak fyzicky (proti odcizení či zničení), tak i softwarově (antivirové programy, zaheslování), data jsou zálohována odděleně od zmíněných nosičů
  • v případě, že předáváme osobní údaje některým výše uvedeným příjemcům, vždy se ujišťujeme:
    • že se jedná o osoby oprávněné s údaji nakládat
    • že nezískají některé údaje nadbytečně, které nezbytně nepotřebují pro výkon své činnosti
    • že taková osoba bude s osobními údaji zacházet s náležitou péčí a opatrností
    • že takový příjemce bude dodržovat stejnou mlčenlivost, jakou jsou vázáni zaměstnanci školy
  • při zveřejňovaní výsledků zápisu využíváme tzv. pseudonymizaci, kdy rozhodnutí o přijetí dětí nejsou zveřejňovány pod jejich jménem, ale pod registračním číslem
  • k osobním údajům mají v rámci organizace přístup jen ti zaměstnanci, kteří jsou oprávněni s osobními údaji nakládat
  • zabezpečení osobních údajů je průběžně aktualizováno a kontrolováno s ohledem na způsoby, jak je s nimi nakládáno

Poučení o právech subjektů osobních údajů

Každý subjekt osobních údajů má následující práva:

  • požadovat omezení zpracování osobních údajů
  • požadovat vysvětlení ohledně zpracování osobních údajů
  • požadovat informaci, jaké osobní údaje jsou na základě souhlasu zpracovávány
  • vzít souhlas se zpracováním osobních údajů kdykoliv zpět
  • vyžádat si přístup k údajům a nechat je aktualizovat, opravit nebo doplnit
  • požadovat výmaz osobních údajů
  • v případě pochybností o dodržování pravidel souvisejících se zpracováním osobních údajů se obrátit na správce nebo se stížností na Úřad pro ochranu osobních údajů (www.uoou.cz)

Obecné zásady a právní důvody zpracování

Při práci s osobními údaji se všichni zaměstnanci školy řídí těmito obecnými zásadami: zásada zákonnosti, korektnosti, transparentnosti, účelového omezení, minimalizace údajů, přesnosti, omezení uložení, integritou, důvěrností a odpovědností správce.

zásada zákonnosti

  • zpracování osobních údajů na základě právního předpisu (zejména § 28 školského zákona)
  • Zpracování osobních údajů na základě informovaného souhlasu

zásada korektnosti

  • správné a společensky bezvadné použití osobních údajů

ásada transparentnosti

  • všechny informace o ochraně osobních údajů určené subjektu údajů (žák, zákonný zástupce, zaměstnanec) byly stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků

zásada účelového omezení

  • shromažďování osobních údajů jen za jasně stanoveným účelem

zásada minimalizace údajů

  • nikdy se nezpracovává více údajů, než je pro daný účel nezbytně nutné

zásada přesnosti

  • zpracovávané osobní údaje musí být přesné – tj. takové, jaké je subjekt sdělil, nikoli nutně pravdivé, ačkoli se o to škola bude snažit

zásada omezení uložení

  • osobní údaje jsou uloženy jen po dobu nezbytně nutnou

zásady integrity a důvěrnosti

  • náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením

odpovědnost správce (školy)

  • škola zavede vhodná technická a organizační opatření, aby zajistila a byla schopna doložit, že zpracování je prováděno v souladu s nařízením EU

Osobní údaje se mohou ve škole zpracovávat pouze v souladu s GDPR, nejčastěji na základě plnění právní povinnosti, ve veřejném zájmu nebo na základě souhlasu subjektu údajů (zákonný zástupce žáka). Souhlas subjektu údajů (zákonný zástupce žáka) musí být informovaný, konkrétní a písemný. Ředitelka školy důsledně zakazuje předávání osobních údajů žáků třetím osobám soukromého práva (nabídky pomůcek, knih, aktivit pro děti). Obdobně se postupuje i u osobních údajů zaměstnanců školy.

Přehled právních titulů zpracování osobních údajů

Osobní údaje se mohou ve škole zpracovávat pouze v souladu s GDPR na základě těchto právních titulů:

  • zpracování, které je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů dle čl. 6 odst. 1 písm. b) GDPR – jde o situaci, kdy škola vystupuje jako smluvní partner;
  • zpracování, které je nezbytné pro splnění právní povinnosti dle čl. 6 odst. 1 písm. c) GDPR – většina povinností vyplývá ze školského zákona a zákona o archivnictví,
  • zpracování, které je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby dle čl. 6 odst. 1 písm. d) GDPR – půjde o velmi výjimečné situace při ochraně života a zdraví,
  • zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce dle čl. 6 odst. 1 písm. e) GDPR – preprimární vzdělávání je veřejným zájmem; je totiž realizací základního lidského práva na vzdělání ve smyslu čl. 33 Listiny základních práv a svobod;
  • zpracování, které je nezbytné pro účely oprávněných zájmů mateřské školy dle čl. 6 odst. 1 písm. f) GDPR – těmito zájmy jsou zejména ochrana práv školy, zejména ochrana reputace a dobrého jména, ochrana majetku školy, ochrana majetku a zdraví dětí, zákonných zástupců i zaměstnanců školy, vymáhání pohledávek školy;
  • zpracování se souhlasem zákonných zástupců dle čl. 6 odst. 1 písm. a) GDPR – jde spíše o výjimečné zpracování, které jde nad rámec plnění zákonných povinností, např. výjimečné zveřejnění fotografie na sociálních sítích, kde dochází k profilování; souhlas subjektu údajů (zákonný zástupce žáka, třetí osoba) musí být informovaný, svobodný a konkrétní.

Účely, k nimž GDPR vyžaduje souhlas zákonného zástupce

Následující zpracování jsou zcela dobrovolná a záleží pouze na zákonných zástupcích, zda na ně přistoupí.

  • zveřejňování fotografií za účelem propagace
  • seznamy dětí na mimoškolních akcích, výletech

Příjemci osobních údajů

Se svěřenými osobními údaji nakládáme s velkou obezřetností. Přístup k nim a možnost nakládat s nimi mají pouze osoby, které jsou k tomu ředitelkou školy pověřeni. Při výkonu činnosti školy může dojít k případům, že k osobním údajům bude mít přístup i další osoba. Například při vykonávání kontroly orgánem veřejné moci, orgánů zřizovatele školy nebo osob, které zajišťují pro školu služby nebo jiné činnosti (například pořadatelé kulturních představení). Příjemci osobních údajů v takovém případě získávají informace pouze v nezbytném rozsahu, odpovídajících potřebám k zajištění a výkonu činností vůči škole.

Závěr:

Ve škole se snažíme nakládat jen s osobními údaji, které nezbytně potřebujeme pro výkon svěřené činnosti, tj. poskytování vzdělávání. Opíráme se přitom ve většině případů o plnění zákonné povinnosti. Dalšími právními tituly pro zacházení s osobními údaji je zpracování nezbytné pro plnění smlouvy nebo oprávněné zájmy správce. Ve zcela výjimečných případech se může stát, že pro určitá zpracování nebo pro určité osobní údaje bychom si museli vyžádat souhlas se zpracováním. Takový souhlas má právo zákonný zástupce kdykoliv odvolat

Správce osobních údajů:

Mateřská škola Město Albrechtice, příspěvková organizace, Celní 11, 793 95 Město Albrechtice
e-mail: reditelna@msma.cz
datová schránka: hqpkuth
zastoupena ředitelkou školy: Bc. Pavlína Šlorová
telefon: +420 724 995 219
Pověřenec osobních údajů:
Mgr. Karel Knapp
e-mail: karel.knapp@zsma.cz
telefon: +420 777 719 360