Powrót do bloga
GDPRŠkolyOchrana osobních údajůDPOChecklist

GDPR pro školy 2026: kompletní checklist (32 bodů + vzory)

Každá škola zpracovává osobní údaje žáků, rodičů a zaměstnanců. Tady je 32-bodový GDPR checklist: souhlasy, DPO, retention, fotografie, e-mailing, cloud, kamerové systémy. S ukázkami souhlasných formulářů.

Logyloop tým10. května 202612 min
GDPR pro školy 2026: kompletní checklist (32 bodů + vzory)

GDPR pro školy 2026: kompletní checklist (32 bodů + vzory)

Aktualizováno 10. května 2026.

Každá česká škola je správcem osobních údajů podle GDPR a zákona č. 110/2019 Sb. Zpracovává údaje žáků, zákonných zástupců, zaměstnanců, návštěvníků akcí. Pokuty od ÚOOÚ jdou do milionů korun, ale větší riziko je reputační — rodiče stížnost na školní inspekci.

Tento článek je 32-bodový checklist pro ředitele a DPO. Reflektuje legislativu 2026 (novelu 267/2025 Sb., AI Act, novou metodiku ÚOOÚ).

🎯 Nemáte čas studovat GDPR? Logyloop ŠkolaSystém má GDPR built-in.

Automatická správa souhlasů rodičů, retention policy, evidence zpracování, DPO modul, audit log. Nasazení 2 týdny, od jednotek tisíc Kč/měsíc.

📞 Nezávazná konzultace | 📧 info@logyloop.com

Obsah

  1. Právní základ a role školy
  2. 32-bodový checklist
  3. Souhlasy rodičů — kdy ano, kdy ne
  4. Fotografie a videa žáků
  5. Cloud služby (Google Workspace, MS 365)
  6. Kamerové systémy ve škole
  7. Sankce a kontrolní orgány
  8. Vzory dokumentů
  9. Časté otázky

1. Právní základ a role školy {#pravni-zaklad}

Škola je správce (controller) osobních údajů žáků, rodičů a zaměstnanců. Zpracování může mít několik právních základů:

Plnění zákonné povinnosti (čl. 6 odst. 1 písm. c GDPR)

Bez souhlasu. Týká se: matriční evidence žáků, vysvědčení, ŠVP, výroční zprávy, zápis žáka, mzdy zaměstnanců.

Plnění úkolu ve veřejném zájmu (čl. 6 odst. 1 písm. e)

Bez souhlasu. Týká se: výuka, hodnocení, kontaktování zákonného zástupce v zájmu žáka.

Souhlas (čl. 6 odst. 1 písm. a)

Vyžaduje souhlas. Týká se: fotografií na sociálních sítích, marketingu, soutěží, nepovinných kroužků, e-newsletteru rodičům.

Oprávněný zájem (čl. 6 odst. 1 písm. f)

Bez souhlasu, ale s test. Týká se: kamerový systém v prostorách školy, sledování IP adres na školní síti, alumni databáze.

2. 32-bodový GDPR checklist {#checklist}

Dokumentace (8 bodů)

  • Záznamy o činnostech zpracování (čl. 30 GDPR) — kompletní přehled co, proč, jak dlouho
  • Zásady ochrany osobních údajů (privacy policy) publikované na webu
  • DPIA (Data Protection Impact Assessment) pro vysokorizikové zpracování (kamery, biometrie)
  • Smlouvy o zpracování (DPA) s každým zpracovatelem (Google, Microsoft, hosting, mzdový SW)
  • Pověření DPO (Data Protection Officer) — povinné pro veřejné školy
  • Plán reakce na incident — co dělat při data breach (hlášení do 72 hodin)
  • Retention policy — jak dlouho držíte která data
  • Záznamy o souhlasech — kdy, jak, čeho se týkalo, kdy odvolán

Práva subjektů údajů (8 bodů)

  • Právo na informace — jasné prohlášení v zápisové dokumentaci
  • Právo na přístup — postup jak žák/rodič může získat své údaje
  • Právo na opravu — workflow pro opravy
  • Právo na výmaz (po splnění zákonné povinnosti) — typicky 10 let archivace
  • Právo na omezení zpracování
  • Právo na přenositelnost — export dat ve strukturovaném formátu
  • Právo vznést námitku
  • Právo nebýt předmětem automatizovaného rozhodování (důležité při AI hodnocení v 2026)

Bezpečnost (8 bodů)

  • Šifrování dat — disková šifrování serverů, TLS 1.3 pro web
  • Přístupová práva — princip nejmenších privilegií, role-based access
  • Audit log — kdo se k čemu kdy přihlásil
  • Pravidelné zálohování s testem obnovy
  • Aktualizace softwaru — patch management
  • Antivirový/antimalware ochrana
  • Bezpečnostní politika podepsaná zaměstnanci
  • Two-factor authentication pro administrátorské účty

Speciální kategorie (8 bodů)

  • Souhlasy s fotografiemi žáků — granulární per účel
  • Souhlas s e-mailingem rodičům (mimo zákonnou povinnost)
  • Kamerové systémy — informační tabule, DPIA, retention 7-30 dní
  • Cloud služby s EU/Adekvátní zemí data residency
  • Citlivé údaje (zdravotní, alergie) zvláštní ochrana
  • Děti pod 15 let — vyžaduje souhlas zákonného zástupce
  • Vstupní karty/biometrie — DPIA povinná
  • Sociální sítě školy — souhlas pro identifikované žáky

3. Souhlasy rodičů — kdy ano, kdy ne {#souhlasy}

Nejčastější chyba: žádat souhlas i pro to, co je zákonná povinnost. To je invalid souhlas a může být sankcionováno.

Bez souhlasu (zákonná povinnost / veřejný zájem)

  • Matrika žáků, hodnocení, vysvědčení
  • Komunikace s rodičem v zájmu žáka
  • Kontaktování při zdravotním ohrožení
  • Reportování školské inspekci
  • Mzdy a personalistika

Se souhlasem rodiče (zákonný zástupce do 15 let, sám žák 15+)

  • Fotografie zveřejněné s identifikací (jméno, třída)
  • Sociální sítě školy s tagováním žáků
  • Marketingový e-mailing
  • Účast v soutěžích externích organizací
  • Nepovinné kroužky vedené externími subjekty
  • Předání kontaktu sponzorům
  • Cloud služby s daty žáka mimo EU

Specifický souhlas s odvolatelností

Každý souhlas musí být:

  • Specifický — pro konkrétní účel, ne paušální
  • Informovaný — jasné co, proč, kdo
  • Svobodný — bez nátlaku
  • Odvolatelný — kdykoli zrušit, retroaktivně

4. Fotografie a videa žáků {#fotografie}

Nejčastější GDPR problém ve školách. Pravidla 2026:

Bez souhlasu (novinářská licence, čl. 90 GDPR)

  • Reportážní fotky ze školních akcí (otevřené den, koncert, sportovní)
  • Skupinové fotky bez identifikace konkrétních žáků
  • Fotky využité pro novinářskou činnost školního časopisu

Se souhlasem zákonného zástupce

  • Fotky s jménem, třídou nebo jinými identifikačními údaji
  • Sociální sítě školy (Facebook, Instagram, TikTok)
  • Marketingové materiály, brožury, videa
  • Identifikované úspěchy ("Pavel Novotný, 3. místo")
  • Web školy s alt textem obsahujícím jméno

Best practice 2026

  • Granulární souhlas: zvlášť "web školy", "sociální sítě", "marketing", "školský magazín"
  • Možnost odvolat kdykoli (a vše smazat)
  • Retention max 5 let po opuštění školy
  • Pravidla pro AI generative tools (vygenerované fotky/videa potřebují stejný souhlas)

5. Cloud služby (Google Workspace, MS 365) {#cloud}

80+ % českých škol používá Google Workspace for Education nebo Microsoft 365. GDPR požadavky:

Data Processing Agreement (DPA)

Každý vendor musí mít podepsanou DPA. Google a Microsoft mají standardní DPA k dispozici — stáhněte si a uložte.

Data residency v EU

  • Google Workspace umožňuje vybrat EU regiony
  • Microsoft 365 EU Data Boundary (od 2025) drží data v EU
  • Schrems II compliance — vyžadováno SCC + Transfer Impact Assessment

Sub-processors

Vendor musí transparentně zveřejnit kdo má k datům přístup. Google a MS mají veřejné sub-processor lists.

Práva žáků v cloudu

  • Export dat (přenositelnost)
  • Smazání po opuštění školy (retention)
  • Žádný advertising / profiling (Workspace for Education to garantuje)

6. Kamerové systémy ve škole {#kamery}

Kamery v zákonném prostoru školy jsou na hraně. ÚOOÚ vydal v 2025 detailní metodiku.

Povolené (bez souhlasu, oprávněný zájem)

  • Vstupní brány a parkoviště
  • Společné prostory (chodby, jídelna)
  • Recepce / vrátnice
  • Retention max 7-30 dní, pak auto-delete

Vyžaduje souhlas / DPIA

  • Kamery v třídách (proctoring)
  • Šatny, WC — zakázáno
  • AI-based monitoring (sentiment, attention) — DPIA + souhlas

Povinnosti

  • Informační tabule u vstupu ("Sledováno kamerami, správce: ...")
  • DPIA pokud high-risk
  • Záznam o činnostech zpracování
  • Audit log přístupu k záznamům

7. Sankce a kontrolní orgány {#sankce}

Kontrolní orgány:

  • ÚOOÚ (Úřad pro ochranu osobních údajů) — primární GDPR
  • Česká školní inspekce — kontrola spolu s pedagogickými procesy
  • Ministerstvo školství — metodické vedení

Sankce 2026:

  • ÚOOÚ pokuty: až 20 mil. EUR nebo 4 % obratu (pro veřejné školy redukováno na úměrné částky, typicky 50-500 k Kč)
  • Reputační dopad: stížnosti rodičů na školní radu / zřizovatele
  • Soudní spory s rodiči (nárok na náhradu škody, pokuta z mocenského rozhodnutí soudu)

Časté kauzy 2024-2026:

  • Zveřejnění kompletního jmenného seznamu zaměstnanců na webu (bez souhlasu)
  • Fotky žáků na sociálních sítích bez granulárního souhlasu
  • Nezašifrované e-maily se senzitivními údaji
  • Cloud bez DPA
  • Kamery bez informační tabule

8. Vzory dokumentů {#vzory}

Logyloop ŠkolaSystém obsahuje šablony pro:

  • Souhlas zákonného zástupce (pro fotografie, sociální sítě, e-mailing) — granulární verze
  • Privacy policy školy — auto-generated z konfigurace systému
  • Záznamy o činnostech zpracování — předvyplněné podle modulů které používáte
  • DPA šablona pro lokální dodavatele (catering, cleaning, IT support)
  • Plán reakce na incident — krok-za-krokem postup
  • Informační tabule ke kamerám — auto-generovaná

Stáhnout šablony → (zdarma po krátké nezávazné konzultaci)

9. Časté otázky {#faq}

Musí mít každá škola DPO?

Ano. Veřejné školy zřízené obcí, krajem nebo ministerstvem musí mít pověřenou osobu pro ochranu osobních údajů (DPO). Soukromé školy závisí na rozsahu zpracování.

Kolik DPO stojí?

Interní DPO (zaměstnanec): 30+ k Kč/měsíc + školení. Externí DPO (advokátní kancelář nebo specializovaná firma): 5-15 k Kč/měsíc. Outsourcing přes Logyloop ŠkolaSystém: zahrnuto v ceně licence.

Kolik let archivovat data žáka?

Matrika a vysvědčení: 45 let (zákon 561/2004). Třídní knihy: 5 let. Hodnocení: 5 let. Fotky: 5 let po opuštění školy (s souhlasem). Mzdy zaměstnanců: 30 let.

Můžu publikovat fotky z lyžařského kurzu na Facebook?

Pouze se souhlasem zákonného zástupce každého fotograficky identifikovaného žáka. Reportážní skupinové fotky bez identifikace lze. Granulární souhlas "sociální sítě" musí být odlišný od souhlasu "web školy".

Co když rodič odvolá souhlas s fotkami z minulosti?

Musíte je smazat (právo na výmaz). Včetně sociálních sítí, archivů, marketingových materiálů. Lhůta typicky 30 dní.

Smí škola používat ChatGPT pro hodnocení?

AI Act 2024+: vysokorizikové AI systémy v vzdělávání vyžadují DPIA. Hodnocení žáků AI = high-risk. Vyžaduje právo na lidský review (čl. 22 GDPR), informování rodiče, nepoužívat citlivé údaje.

Jak hlásit data breach?

Do 72 hodin od zjištění. ÚOOÚ má online formulář. Pokud breach pravděpodobně způsobí riziko pro práva osob, informovat i postižené (žáci/rodiče).

Můžeme posílat newsletter rodičům?

Komunikace v zájmu žáka (rozvrh, akce, zdravotní info) bez souhlasu. Marketing školy (krouzky externích, sponzoři, alumni) vyžaduje souhlas.

Závěr

GDPR pro školy v 2026 není o paranoie, ale o systémovém přístupu. Klíčové body:

  1. Záznamy zpracování — povinné, auditovatelné
  2. Granulární souhlasy s odvolatelností
  3. DPO s reálnou kompetencí
  4. DPA s každým vendorem (Google, Microsoft, mzdový SW)
  5. Plán reakce na incident s 72-hod hlášením

Logyloop ŠkolaSystém má GDPR built-in: souhlasy, DPO modul, retention policy, audit log, šablony — všechno automaticky. Implementace 2 týdny.

Nezávazná 30-min GDPR konzultace zdarma pro vaši školu: info@logyloop.com | kontakt.

Reference: 80+ školských CRM/web implementací v ČR/SR. Související: Povinnosti škol na webu — kompletní zákonný checklist.

Inne artykuły

Povinnosti škol na webu: Co musíte zveřejňovat podle zákona v ČR

Povinnosti škol na webu: Co musíte zveřejňovat podle zákona v ČR

Kompletní přehled zákonných povinností pro školní weby v České republice. 14 povinných položek, novela 2025, GDPR a přístupnost.

WCAG 2.1 AA pro školní weby: praktický guide pro ředitele (2026)

WCAG 2.1 AA pro školní weby: praktický guide pro ředitele (2026)

Zákon č. 99/2019 Sb. vyžaduje od každé školy WCAG 2.1 úroveň AA. Tady je co to znamená v praxi: 25 nejčastějších WCAG fail-ů na školních webech, jak je auditovat, opravit, kolik to stojí a jak vyhnout pokuty od MV ČR.

Cloud ERP vs on-premises (2026): kompletní srovnání pro české a slovenské firmy

Cloud ERP vs on-premises (2026): kompletní srovnání pro české a slovenské firmy

Migrace na cloud ERP je v roce 2026 pro většinu firem správná volba — ale ne pro všechny. Tady je TCO srovnání, GDPR analýza, latency benchmarks a checklist 12 faktorů, podle kterých se rozhodnout.