Komplexní řešení ochrany osobních údajů v prostředí vysokých škol
Poskytovatel: Ministerstvo školství, mládeže a tělovýchovy
Program: Centralizované rozvojové projekty
Období realizace: 01.01.18 - 31.12.18
Pracoviště:
Univerzita Pardubice - Sekretariát CITS
Hlavní řešitel: Klápšťová Olga
Popis:
V dubnu loňského roku přijaly Evropský parlament a Rada EU nové nařízení k ochraně osobních údajů známé pod zkratkou GDPR (General Data Protection Regulation). Toto nařízení, které vstupuje v účinnost 25. 5. 2018, vyžaduje pod hrozbou vysokých finančních sankcí daleko vyšší úroveň ochrany osobních údajů (dále OÚ), než tomu bylo u nás dosud, zavádí širokou škálu práv chráněných fyzických osob (subjektů údajů) a stanovuje řadu povinností pro organizace, které osobní údaje sbírají a využívají (správci dat resp. zpracovatelé dat). V případě vysokých škol je rozsah zpracování osobních údajů velmi široký: od osobních dat zájemců o studium, studijních údajů posluchačů či pracovně-ekonomických dat zaměstnanců, přes obchodní činnost, ubytovací a stravovací služby, provozní služby, ochranu majetku a bezpečnost, až po plejádu dat vztahující se k výzkumně/vývojovým činnostem, projektům či třeba vysoce citlivým údajům např. ze zdravotnického výzkumu. Široce rozvinutá a využívaná digitální infrastruktura s desítkami tisíc uživatelů spolu s vysokou úrovní automatizace (desítky až stovky různých informačních systémů na většině vysokých škol) představují pro zajištění OÚ další výzvu. Složitost a bezbřehost problematiky využívání a ochrany OÚ na vysokých školách vyžaduje spojení sil a komplexní přístup k řešení. A to je právě cílem tohoto projektu, do něhož jsou zapojeny všechny VVŠ: připravit společně ucelené řešení zahrnující analýzy, interní legislativu (směrnice a předpisy), metodiku (návody, postupy, doporučení), dokumentaci (včetně registru se záznamy o všech činnostech zpracování OÚ), opatření k zabezpečení systémů/procesů a zajištění práv subjektů údajů, vzdělávání a informovanost v oblasti ochrany OÚ ? a toto implementovat na jednotlivých VVŠ dle jejich konkrétních podmínek a potřeb. Komplexní zajištění a ochrana osobních údajů je dlouhodobá záležitost, která zdaleka nekončí datem 25. 5. 2018; vzhledem k rozsahu problematiky se k tomuto datu dá realisticky očekávat realizace jen klíčových prvků řešení a detailní plán dalšího postupu, což by mělo být ovšem dostatečné pro prokázání základního souladu s GDPR. Mnohé z úkolů a činností budou pokračovat ve druhé polovině roku 2018 a dále (implementace GDPR do dalších oblastí a systémů; příprava společných řešení a nastavení dlouhodobé spolupráce VVŠ; aktualizace, doplňování a vylepšování prvků ochrany). Koordinátorem předloženého projektu je Masarykova univerzita, která se problematikou implementace GDPR ve vysokoškolském prostředí zabývá již delší dobu a má mj. i praktické zkušenosti získané v rámci pilotního projektu na GDPR Fondu rozvoje CESNET.
V dubnu loňského roku přijaly Evropský parlament a Rada EU nové nařízení k ochraně osobních údajů známé pod zkratkou GDPR (General Data Protection Regulation). Toto nařízení, které vstupuje v účinnost 25. 5. 2018, vyžaduje pod hrozbou vysokých finančních sankcí daleko vyšší úroveň ochrany osobních údajů (dále OÚ), než tomu bylo u nás dosud, zavádí širokou škálu práv chráněných fyzických osob (subjektů údajů) a stanovuje řadu povinností pro organizace, které osobní údaje sbírají a využívají (správci dat resp. zpracovatelé dat). V případě vysokých škol je rozsah zpracování osobních údajů velmi široký: od osobních dat zájemců o studium, studijních údajů posluchačů či pracovně-ekonomických dat zaměstnanců, přes obchodní činnost, ubytovací a stravovací služby, provozní služby, ochranu majetku a bezpečnost, až po plejádu dat vztahující se k výzkumně/vývojovým činnostem, projektům či třeba vysoce citlivým údajům např. ze zdravotnického výzkumu. Široce rozvinutá a využívaná digitální infrastruktura s desítkami tisíc uživatelů spolu s vysokou úrovní automatizace (desítky až stovky různých informačních systémů na většině vysokých škol) představují pro zajištění OÚ další výzvu. Složitost a bezbřehost problematiky využívání a ochrany OÚ na vysokých školách vyžaduje spojení sil a komplexní přístup k řešení. A to je právě cílem tohoto projektu, do něhož jsou zapojeny všechny VVŠ: připravit společně ucelené řešení zahrnující analýzy, interní legislativu (směrnice a předpisy), metodiku (návody, postupy, doporučení), dokumentaci (včetně registru se záznamy o všech činnostech zpracování OÚ), opatření k zabezpečení systémů/procesů a zajištění práv subjektů údajů, vzdělávání a informovanost v oblasti ochrany OÚ ? a toto implementovat na jednotlivých VVŠ dle jejich konkrétních podmínek a potřeb. Komplexní zajištění a ochrana osobních údajů je dlouhodobá záležitost, která zdaleka nekončí datem 25. 5. 2018; vzhledem k rozsahu problematiky se k tomuto datu dá realisticky očekávat realizace jen klíčových prvků řešení a detailní plán dalšího postupu, což by mělo být ovšem dostatečné pro prokázání základního souladu s GDPR. Mnohé z úkolů a činností budou pokračovat ve druhé polovině roku 2018 a dále (implementace GDPR do dalších oblastí a systémů; příprava společných řešení a nastavení dlouhodobé spolupráce VVŠ; aktualizace, doplňování a vylepšování prvků ochrany). Koordinátorem předloženého projektu je Masarykova univerzita, která se problematikou implementace GDPR ve vysokoškolském prostředí zabývá již delší dobu a má mj. i praktické zkušenosti získané v rámci pilotního projektu na GDPR Fondu rozvoje CESNET.
