GDPR pre školy 2026: kompletný checklist (32 bodov + vzory)

Aktualizované 10. mája 2026.

Každá slovenská škola je prevádzkovateľom osobných údajov podľa GDPR a zákona č. 18/2018 Z. z. Spracováva údaje žiakov, zákonných zástupcov, zamestnancov, návštevníkov akcií. Pokuty od ÚOOÚ idú do miliónov eur, ale väčšie riziko je reputačné — sťažnosti rodičov na školskú inšpekciu.

Tento článok je 32-bodový checklist pre riaditeľov a DPO. Reflektuje legislatívu 2026 (novelu 323/2025 Z.z., AI Act, novú metodiku ÚOOÚ).

🎯 Nemáte čas študovať GDPR? Logyloop ŠkolaSystém má GDPR built-in.

Automatická správa súhlasov rodičov, retention policy, evidencia spracúvania, DPO modul, audit log. Spustenie 2 týždne, od jednotiek desiatok € mesačne.

📞 Nezáväzná konzultácia | 📧 info@logyloop.com

Obsah

1. Právny základ a rola školy
2. 32-bodový checklist
3. Súhlasy rodičov — kedy áno, kedy nie
4. Fotografie a videá žiakov
5. Cloud služby (Google Workspace, MS 365)
6. Kamerové systémy v škole
7. Sankcie a kontrolné orgány
8. Vzory dokumentov
9. Časté otázky

1. Právny základ a rola školy {#pravny-zaklad}

Škola je prevádzkovateľ (controller) osobných údajov žiakov, rodičov a zamestnancov. Spracúvanie môže mať niekoľko právnych základov:

Plnenie zákonnej povinnosti (čl. 6 ods. 1 písm. c GDPR)

Bez súhlasu. Týka sa: matričná evidencia žiakov, vysvedčenia, ŠkVP, výročné správy, zápis žiaka, mzdy zamestnancov.

Plnenie úlohy vo verejnom záujme (čl. 6 ods. 1 písm. e)

Bez súhlasu. Týka sa: výučba, hodnotenie, kontaktovanie zákonného zástupcu v záujme žiaka.

Súhlas (čl. 6 ods. 1 písm. a)

Vyžaduje súhlas. Týka sa: fotografií na sociálnych sieťach, marketingu, súťaží, nepovinných krúžkov, e-newsletteru rodičom.

Oprávnený záujem (čl. 6 ods. 1 písm. f)

Bez súhlasu, ale s testom. Týka sa: kamerový systém v priestoroch školy, sledovanie IP adries na školskej sieti, alumni databáza.

2. 32-bodový GDPR checklist {#checklist}

Dokumentácia (8 bodov)

• Záznamy o spracovateľských činnostiach (čl. 30 GDPR) — kompletný prehľad čo, prečo, ako dlho
• Zásady ochrany osobných údajov (privacy policy) publikované na webe
• DPIA (Data Protection Impact Assessment) pre vysokorizikové spracúvanie (kamery, biometria)
• Zmluvy o spracúvaní (DPA) s každým spracovateľom (Google, Microsoft, hosting, mzdový SW)
• Poverenie DPO (Data Protection Officer) — povinné pre verejné školy
• Plán reakcie na incident — čo robiť pri data breach (hlásenie do 72 hodín)
• Retention policy — ako dlho držíte ktoré dáta
• Záznamy o súhlasoch — kedy, ako, čoho sa týkalo, kedy odvolaný

Práva dotknutých osôb (8 bodov)

• Právo na informácie — jasné prehlásenie v zápisovej dokumentácii
• Právo na prístup — postup ako žiak/rodič môže získať svoje údaje
• Právo na opravu — workflow pre opravy
• Právo na výmaz (po splnení zákonnej povinnosti) — typicky 10 rokov archivácie
• Právo na obmedzenie spracúvania
• Právo na prenosnosť — export dát v štruktúrovanom formáte
• Právo namietať
• Právo nebyť predmetom automatizovaného rozhodovania (dôležité pri AI hodnotení v 2026)

Bezpečnosť (8 bodov)

• Šifrovanie dát — diskové šifrovanie serverov, TLS 1.3 pre web
• Prístupové práva — princíp najmenších privilégií, role-based access
• Audit log — kto sa k čomu kedy prihlásil
• Pravidelné zálohovanie s testom obnovy
• Aktualizácie softvéru — patch management
• Antivírusová/antimalware ochrana
• Bezpečnostná politika podpísaná zamestnancami
• Two-factor authentication pre administrátorské účty

Špeciálne kategórie (8 bodov)

• Súhlasy s fotografiami žiakov — granulárne per účel
• Súhlas s e-mailingom rodičom (mimo zákonnej povinnosti)
• Kamerové systémy — informačné tabule, DPIA, retention 7-30 dní
• Cloud služby s EU/Adekvátnou krajinou data residency
• Citlivé údaje (zdravotné, alergie) zvláštna ochrana
• Deti pod 16 rokov (SR) — vyžaduje súhlas zákonného zástupcu
• Vstupné karty/biometria — DPIA povinná
• Sociálne siete školy — súhlas pre identifikovaných žiakov

3. Súhlasy rodičov — kedy áno, kedy nie {#suhlasy}

Najčastejšia chyba: žiadať súhlas aj pre to, čo je zákonná povinnosť. To je invalid súhlas a môže byť sankcionované.

Bez súhlasu (zákonná povinnosť / verejný záujem)

• Matrika žiakov, hodnotenie, vysvedčenia
• Komunikácia s rodičom v záujme žiaka
• Kontaktovanie pri zdravotnom ohrození
• Reportovanie školskej inšpekcii
• Mzdy a personalistika

So súhlasom rodiča (zákonný zástupca do 16 rokov v SR, sám žiak 16+)

• Fotografie zverejnené s identifikáciou (meno, trieda)
• Sociálne siete školy s tagovaním žiakov
• Marketingový e-mailing
• Účasť v súťažiach externých organizácií
• Nepovinné krúžky vedené externými subjektmi
• Predanie kontaktu sponzorom
• Cloud služby s dátami žiaka mimo EU

Špecifický súhlas s odvolateľnosťou

Každý súhlas musí byť:

• Špecifický — pre konkrétny účel, nie paušálny
• Informovaný — jasné čo, prečo, kto
• Slobodný — bez nátlaku
• Odvolateľný — kedykoľvek zrušiť, retroaktívne

4. Fotografie a videá žiakov {#fotografie}

Najčastejší GDPR problém v školách. Pravidlá 2026:

Bez súhlasu (novinárska licencia, čl. 90 GDPR)

• Reportážne fotky zo školských akcií (deň otvorených dverí, koncert, športové)
• Skupinové fotky bez identifikácie konkrétnych žiakov
• Fotky využité pre novinársku činnosť školského časopisu

So súhlasom zákonného zástupcu

• Fotky s menom, triedou alebo inými identifikačnými údajmi
• Sociálne siete školy (Facebook, Instagram, TikTok)
• Marketingové materiály, brožúry, videá
• Identifikované úspechy ("Pavel Novotný, 3. miesto")
• Web školy s alt textom obsahujúcim meno

Best practice 2026

• Granulárny súhlas: zvlášť "web školy", "sociálne siete", "marketing", "školský magazín"
• Možnosť odvolať kedykoľvek (a všetko vymazať)
• Retention max 5 rokov po opustení školy
• Pravidlá pre AI generative tools (vygenerované fotky/videá potrebujú rovnaký súhlas)

5. Cloud služby (Google Workspace, MS 365) {#cloud}

80+ % slovenských škôl používa Google Workspace for Education alebo Microsoft 365. GDPR požiadavky:

Data Processing Agreement (DPA)

Každý vendor musí mať podpísanú DPA. Google a Microsoft majú štandardnú DPA k dispozícii — stiahnite si a uložte.

Data residency v EU

• Google Workspace umožňuje vybrať EU regióny
• Microsoft 365 EU Data Boundary (od 2025) drží dáta v EU
• Schrems II compliance — vyžadované SCC + Transfer Impact Assessment

Sub-processors

Vendor musí transparentne zverejniť kto má k dátam prístup. Google a MS majú verejné sub-processor lists.

Práva žiakov v cloude

• Export dát (prenosnosť)
• Vymazanie po opustení školy (retention)
• Žiadny advertising / profiling (Workspace for Education to garantuje)

6. Kamerové systémy v škole {#kamery}

Kamery v zákonnom priestore školy sú na hrane. ÚOOÚ vydal v 2025 detailnú metodiku.

Povolené (bez súhlasu, oprávnený záujem)

• Vstupné brány a parkoviská
• Spoločné priestory (chodby, jedáleň)
• Recepcia / vrátnica
• Retention max 7-30 dní, potom auto-delete

Vyžaduje súhlas / DPIA

• Kamery v triedach (proctoring)
• Šatne, WC — zakázané
• AI-based monitoring (sentiment, attention) — DPIA + súhlas

Povinnosti

• Informačné tabule pri vstupe ("Sledované kamerami, prevádzkovateľ: ...")
• DPIA ak high-risk
• Záznam o spracovateľských činnostiach
• Audit log prístupu k záznamom

7. Sankcie a kontrolné orgány {#sankcie}

Kontrolné orgány:

• ÚOOÚ (Úrad na ochranu osobných údajov SR) — primárny GDPR
• Štátna školská inšpekcia — kontrola spolu s pedagogickými procesmi
• Ministerstvo školstva — metodické vedenie

Sankcie 2026:

• ÚOOÚ pokuty: až 20 mil. EUR alebo 4 % obratu (pre verejné školy redukované na úmerné sumy, typicky 1 000-10 000 €)
• Reputačný dopad: sťažnosti rodičov na školskú radu / zriaďovateľa
• Súdne spory s rodičmi (nárok na náhradu škody)

Časté kauzy 2024-2026:

• Zverejnenie kompletného menného zoznamu zamestnancov na webe (bez súhlasu)
• Fotky žiakov na sociálnych sieťach bez granulárneho súhlasu
• Nezašifrované e-maily so senzitívnymi údajmi
• Cloud bez DPA
• Kamery bez informačnej tabule

8. Vzory dokumentov {#vzory}

Logyloop ŠkolaSystém obsahuje šablóny pre:

• Súhlas zákonného zástupcu (pre fotografie, sociálne siete, e-mailing) — granulárna verzia
• Privacy policy školy — auto-generated z konfigurácie systému
• Záznamy o spracovateľských činnostiach — predvyplnené podľa modulov ktoré používate
• DPA šablóna pre lokálnych dodávateľov (catering, cleaning, IT support)
• Plán reakcie na incident — krok-za-krokom postup
• Informačná tabuľa ku kamerám — auto-generovaná

Stiahnuť šablóny → (zdarma po krátkej nezáväznej konzultácii)

9. Časté otázky {#faq}

Musí mať každá škola DPO?

Áno. Verejné školy zriadené obcou, krajom alebo ministerstvom musia mať poverenú osobu pre ochranu osobných údajov (DPO). Súkromné školy závisia od rozsahu spracúvania.

Koľko DPO stojí?

Interný DPO (zamestnanec): 1 200+ €/mesiac + školenia. Externý DPO (advokátska kancelária alebo špecializovaná firma): 200-600 €/mesiac. Outsourcing cez Logyloop ŠkolaSystém: zahrnuté v cene licencie.

Koľko rokov archivovať dáta žiaka?

Matrika a vysvedčenia: 45 rokov (zákon 245/2008 Z.z.). Triedne knihy: 5 rokov. Hodnotenie: 5 rokov. Fotky: 5 rokov po opustení školy (so súhlasom). Mzdy zamestnancov: 30 rokov.

Môžem publikovať fotky z lyžiarskeho kurzu na Facebook?

Len so súhlasom zákonného zástupcu každého fotograficky identifikovaného žiaka. Reportážne skupinové fotky bez identifikácie možno. Granulárny súhlas "sociálne siete" musí byť odlišný od súhlasu "web školy".

Čo ak rodič odvolá súhlas s fotkami z minulosti?

Musíte ich vymazať (právo na výmaz). Vrátane sociálnych sietí, archívov, marketingových materiálov. Lehota typicky 30 dní.

Smie škola používať ChatGPT pre hodnotenie?

AI Act 2024+: vysokorizikové AI systémy vo vzdelávaní vyžadujú DPIA. Hodnotenie žiakov AI = high-risk. Vyžaduje právo na ľudský review (čl. 22 GDPR), informovanie rodiča, nepoužívať citlivé údaje.

Ako hlásiť data breach?

Do 72 hodín od zistenia. ÚOOÚ má online formulár. Ak breach pravdepodobne spôsobí riziko pre práva osôb, informovať aj postihnutých (žiaci/rodičia).

Môžeme posielať newsletter rodičom?

Komunikácia v záujme žiaka (rozvrh, akcie, zdravotné info) bez súhlasu. Marketing školy (krúžky externých, sponzori, alumni) vyžaduje súhlas.

Záver

GDPR pre školy v 2026 nie je o paranoji, ale o systémovom prístupe. Kľúčové body:

1. Záznamy spracúvania — povinné, auditovateľné
2. Granulárne súhlasy s odvolateľnosťou
3. DPO s reálnou kompetenciou
4. DPA s každým vendorom (Google, Microsoft, mzdový SW)
5. Plán reakcie na incident so 72-hod hlásením

Logyloop ŠkolaSystém má GDPR built-in: súhlasy, DPO modul, retention policy, audit log, šablóny — všetko automaticky. Implementácia 2 týždne.

Nezáväzná 30-min GDPR konzultácia zdarma pre vašu školu: info@logyloop.com | kontakt.

Referencie: 80+ školských CRM/web implementácií v SR/ČR. Súvisiace: Povinnosti škôl na webe — kompletný zákonný checklist.