Zpracování osobních údajů a GDPR

9. 3. 2018
EU_obrazek

V posledních měsících se množí dotazy ohledně ochrany osobních údajů při testování a dotazníkových šetřeních. Jak s osobními údaji ve Scio pracujeme? 

Obecně společnost Scio při nakládání s osobními údaji zákazníků postupuje vždy v souladu se zákonem č.101/2000 Sb., o ochraně osobních údajů a informací a v souladu s Obecným nařízením (EU) 2016/679, o ochraně osobních údajů (dál jen „GDPR“). Společnost Scio je, v souladu se stávající právní úpravou, registrována u Úřadu pro ochranu osobních údajů v registru zpracování osobních údajů, a v souladu s novou právní úpravou připravuje veškerou nezbytnou dokumentaci, která registraci u ÚOOÚ nahradí.

Jaké údaje uchováváme

Údaje o žácích uchováváme vždy jen v nezbytném rozsahu. Na základě jména, příjmení, pohlaví a data narození vygenerujeme v prvním kroku tzv. hash, tedy soubor znaků, který umožní zpracovat údaje z testování, aniž bychom museli zpracovávat také osobní údaje žáků. Zároveň to znamená, že z hashe nelze zjistit původní údaje – matematicky se jedná o surjektivní zobrazení, které je z principu jednosměrné. Mimo hashe se u každého žáka v aplikaci ScioDat ukládá přezdívka, která má umožnit snadnější orientaci učitelům. Standardně se jako přezdívka nastaví jméno a příjmení žáka, nicméně doporučujeme v aplikaci ScioDat následně změnit přezdívky žáka na iniciály, nebo jiný údaj podle kterého nelze žáka identifikovat. Poté veškeré údaje zpracováváme pouze pod tímto hashem a přezdívkou.

Tzv. pseudonymizaci, která je na základě GDPR doporučována jako vhodný prostředek k ochraně osobních údajů, používáme již od roku 2010. Z hlediska zabezpečení a ochrany osobních údajů tak současnou legislativu o mnoho let předcházíme. Dalším opatřením k ochraně osobních údajů a k naplnění práv subjektů údajů, které uplatňujeme, je minimalizace zpracovávaných osobních údajů na údaje zcela nezbytné pro poskytování našich služeb. To jsou zejména údaje o odpovědích v testech a dotaznících a výsledky těchto testů a dotazníků. Údaje uchováváme po dobu docházky žáků do školy, tedy do konce školního roku, kdy by měl ročník, do kterého žák dochází, maturovat. Případně do doby, kdy jsme školou, žákem, nebo jeho zákonným zástupce informování o ukončení školní docházky, nebo když jsme požádáni o smazání dat o žákovi. Eventuálně uchováváme údaje k vědeckým účelům do doby kdy lze předpokládat, že žák již ukončil případné studium na vysoké škole, v takovém případě však údaje uchováváme bez přezdívek žáků a čísel v třídním výkaze.

Tyto údaje jsou pro nás anonymní – nedokážeme např. k výsledkům testování přiřadit osobní údaje žáků, tedy přiřadit výsledek ke konkrétnímu žákovi. Takové přiřazení může učinit jen škola, která má k dispozici seznam hashů spolu se seznamem žáků, kteří se účastnili testování. Celý proces prošel prvotním auditem souladu s GDPR jako vyhovující, nicméně nelze vyloučit, že budou přijata ještě další dodatečná opatření k zajištění bezpečnosti osobních údajů. Od 17. května bude v aplikaci ScioDat k dispozici návrh smlouvy o zpracovávání osobních údajů. Data jsou uložena na našem serveru, který je technicky zabezpečen v souladu s nejnovějšími trendy IT bezpečnosti.

Doporučení pro školy

K zajištění souladu se zákonem č.101/2000 Sb., o ochraně osobních údajů a informací a od jeho účinnosti i s GDPR, doporučujeme školám, aby zajistily přijetí základních bezpečnostních opatření, zejména zajistily:

  • aby přístupové údaje do profilu školy v aplikaci ScioDat byly poskytnuty jen oprávněným osobám
  • aby oprávněné osoby byly poučeny, že přístupové údaje mají chránit a neposkytnout je neoprávněným osobám
  • aby přístupové údaje do aplikace ScioDat nebylo možné neoprávněn získat, např. přístupové údaje se nemají tisknout, vyvěšovat na viditelná místa například v kabinetě apod.

Škola by dále měla změnit přezdívky žáků v aplikaci. Po vytvoření žáků jsou jejich přezdívky nastaveny na jméno a příjmení. Pro lepší ochranu údajů doporučujeme nastavit jiné přezdívky. Nejsou žádná pravidla pro jejich vytváření, je zcela na škole či učitelích, jak budou přezdívky vypadat, pokud ale mají splnit svůj účel, neměl by být podle nich žák identifikovatelný pro nezasvěcenou osobu.

Mapa školy - dotazníkové šetření

Informace, jež shromažďujeme při dotazníkovém šetření Mapa školy, jsou vždy zcela anonymní. Údaje jsou identifikovány maximálně na úrovni třídy, nikdy jednotlivých respondentů. Každá skupina respondentů, např. žáci jedné třídy, má svůj přístupový údaj, v rámci této skupiny však ani Scio ani škola z principu nemůže identifikovat jednotlivé respondenty. Nejedná se tedy o osobní údaje.

 

Jakékoli další dotazy rádi zodpovíme na skoly@scio.cz.

 

Nebojte se zeptat

Rádi vám pomůžeme s výběrem vhodného projektu pro vaši školu, poradíme s administrací či vyřídíme objednávku.

telefon 234 705 055

Nevybrali jste?

Vyzkoušejte našeho on-line poradce, který vám usnadní výběr vhodného projektu na základě toho, co je pro vás a vaši školu důležité.

online poradce on-line poradce