Zákon o ochraně osobních údajů ředitelka gymnázia v Ledči nad Sázavou Ivana Vitisková dobře zná a řídí se jím. Až do pátku ale netušila, že normu v květnu 2018 nahradí nová a důkladnější unijní pravidla, známá pod anglickou zkratkou GDPR.
Řada jiných škol na tom není o moc lépe, ministerstvo s nimi velkou a důležitou změnu neprobírá. "Informace máme z doslechu nebo internetu," říká ředitelka základní školy v Hodkovicích nad Mohelkou Dana Kolomazníková. Ředitel gymnázia v Holešově Zdeněk Janalík začal před pár dny nařízení studovat sám, aby byl připravený. Není totiž jisté, co se stane, pokud školy včas nachystané nebudou. Stanovit to má nyní projednávaná novela zákona, která upraví aplikaci unijního nařízení v Česku.
Lepší zabezpečení dat přidělá školám práci. Nejde "jen" o ochranu vysvědčení či adres, ale například také o evidenci toho, kdo, kdy a proč si osobní údaje prohlížel. A potřebné datové audity či analýzy nedostatků.
Školy tak čeká i rozhodování, jak data zabezpečit, aby vyhověly nárokům. "Pro vyřešení technických opatření je podle mých zkušeností nejlepší přesunout školní informační systémy do cloudu. A organizační a procesní opatření vyřešit se zřizovatelem jako sjednocujícím metodickým garantem," uvažuje bezpečnostní expert Aleš Špidla, který o ochraně dat přednáší.
Provozování cloudového úložiště ovšem stojí peníze, stejně jako speciální pověřenec, který bude pro školy ochranu dat garantovat. Specialista zvyklý brát vyšší desítky tisíc korun měsíčně ale bude pro většinu škol příliš drahý. Rýsuje se tak možnost, že pověřenec bude mít na starosti více škol.
Celkové náklady zatím nikdo vyčíslit neumí, podle ministerstva školství je to předčasná otázka. Resort také ještě nedokončil příslušné metodické pokyny pro školy. O nařízení se přitom ví od května 2016.
Rada asociace krajů teprve 8. září odsouhlasila, že pro zavedení pravidel zřídí pro dotčené instituce včetně škol pracovní skupinu.
Ředitelka pražského Gymnázia Jana Nerudy Zuzana Wienerová například v pátek dostala informace od magistrátu. Objednala si také příručku a plánuje účast pracovníků školy na seminářích.
Ty plánují jednak advokátní kanceláře, ale také regiony. "U nás bude v říjnu, plánujeme i metodickou podporu," říká mluvčí Karlovarského kraje Jana Pavlíková. Do května budou podle ní krajem zřízené školy připravené.
Zájem škol o unijní nařízení byl dosud poměrně malý i proto, že se o něm mluvilo spíš kvůli firmám. Podle dalšího specialisty na GDPR, advokáta Jana Diblíka, nicméně školy při zapojení správných specialistů pořád mohou několikaměsíční práci stihnout včas.
Nechávat ředitele příliš dlouho, aby se s nařízením vypořádali sami, je riziko. "Pokud nebude jednotná metodika, budou to všechny školy dělat zvlášť, každá to bude mít jinak a nakonec všechny špatně," soudí bezpečnostní expert Špidla.
S přispěním Tomáše Macy