GDPR Academy

Štyri chyby v spracúvaní osobných údajov v oblasti vysokého školstva

Všeobecné nariadenie o ochrane údajov platí vo všetkých členských krajinách EÚ rovnako. Preto sa tak radi inšpirujeme praktickými príkladmi, či upozorneniami na nedostatky v spracúvaní osobných údajov, o ktorých informujú dozorujúce orgány v rámci štátov EÚ.

Tentokrát je to úrad z Francúzska (Commission Nationale de l’Informatique et des Libertés), ktorý vyzval na odstránenie nedostatkov inštitúcie poskytujúce vysokoškolské vzdelávanie.

Nestanovenie doby uchovávania osobných údajov študentov

Nariadenie vo svojich základných zásadách ukladá prevádzkovateľom povinnosť (bez ohľadu na to, v ktorej oblasti pôsobia), aby osobné údaje spracúvali a uchovávali len počas nevyhnutnej doby. Ide o zásadu minimalizácie uchovávania podľa čl. 5 ods. 1 písm. e) GDPR.

Úrad vytkol prevádzkovateľom, že osobné údaje študentov nie je možné uchovávať neobmedzene resp. akokoľvek dlho. Každá lehota uchovávania osobných údajov musí byť odôvodnená, a to napríklad zákonnou povinnosťou.

Neinformovanie študentov o spracúvaní ich osobných údajov

Riadne poskytovanie transparentných informácií o tom, ako budú osobné údaje spracúvané vyplýva z čl. 13 GDPR (v prípade, keď prevádzkovateľ získava osobné údaje priamo od dotknutých osôb) a čl. 14 GDRP (v prípade, keď prevádzkovateľ nezískava osobné údaje od dotknutej osoby). Preto každý, kto údaje získava musí dotknuté osoby informovať napríklad o tom, prečo údaje potrebuje, či mu to prikazuje zákon alebo je to jeho oprávneným záujmom. Takéto informovanie má svoje pravidlá. 

Prevádzkovatelia poskytujúci vzdelávanie boli preto vyzvaní, aby skontrolovali, či:

  • informácie, ktoré poskytujú nie sú zastaralé, to znamená, či ich aktualizovali na pravidlá GDPR (teda tie, ktoré platia od 25. mája 2018),
  • sú aktuálne všetky informačné povinnosti, ktoré sú poskytované študentom; napríklad v rámci registračných formulárov, na internetových stránkach školy, informačných bulletinoch, jednoducho na všetkých miestach, kde je informácia o spracúvaní osobných údajov študentom poskytovaná,
  • informácie, ktoré študentom poskytujú skutočne obsahujú všetky údaje podľa GDPR a nie len časť z nich (napríklad len povinné údaje bez tzv. doplnkových informácií).

Nedostatky v zmluvách

Vždy, keď dochádza k spolupráci s externým subjektom, súčasťou ktorej:

  • bude spracúvanie osobných údajov alebo
  • je nevyhnutný systematický prístup k osobným údajom zo strany externého subjektu,
    je dôležité, aby bola uzatvorená zmluva. A nie hocijaká.

Kontrolnú úrad preto vysokým školám vytkol, že takéto zmluvy nemajú, alebo nie sú riadne podpísané a neobsahujú náležitosti, ktoré sú vyžadované podľa GDPR, konkrétne jeho čl. 28.

Riadna politika bezpečnostných hesiel

Každý prevádzkovateľ je povinný prijať rôzne technické a organizačné opatrenia, aby ochránil spracúvané osobné údaje. Jedným z nich je práve využívanie bezpečnostných hesiel, prostredníctvom ktorých sa používatelia (oprávnené osoby) prihlasujú do informačných systémoch. Heslá však musia spĺňať isté kritéria, aby skutočne osobné údaje chránili. Je to napríklad:

  • minimálna dĺžka hesla,
  • kombinácia znakov,
  • uhádnuteľnosť hesla v spojitosti s používateľom.

V opačnom prípade, napríklad keď ide o heslo typu “123456”, “admin”, “heslo”, “0000” a pod., ktoré možno jednoducho uhádnuť, je vážne ohrozená napríklad dôvernosť osobných údajov.

 

Scroll to Top

Odoslané

Vašu požiadavku spracujeme, a pokúsime sa Vám odpovedať čo najskôr.