Školní informační systémy v kontextu ochrany osobních údajů
Technologický vývoj nás žene neúprosně kupředu a tak není divu, že se informační a komunikační technologie dostávají ve velké míře i do škol. Školní informační systémy nejsou žádnou novinkou pro studenty univerzit a dalších typů vysokých škol, domnívám se však, že v prostředí českých základních a středních škol se dostávají do širšího povědomí teprve v posledních letech.
Školní informační systémy jsou různorodé, většinou však disponují několika základními funkcemi mezi něž spadá evidence žáků a zaměstnanců školy, klasifikace a docházka žáků, tvorba rozvrhů a suplování. V systémech bývá zahrnuta i platforma pro komunikaci mezi školou a rodiči, pro školní knihovnu nebo i pro školní jídelnu. Samozřejmostí je speciální přístup do systému pro rodiče, kteří mohou zkontrolovat elektronický výpis žákovské knížky a zároveň třeba zaplatit potomkovi obědy.
Co však musí splňovat všechny systémy bez výjimky je důraz na ochranu osobních údajů, kterých se, především v tom školním prostředí, vyskytuje opravdu hodně. Od loňského roku je ochrana osobních údajů legislativně ukotvena v rámci evropského nařízení GDPR (General Data Protection Regulation), které nahradilo český zákon z roku 2001.[1]Poskytovatelé školních informačních systémů tak museli přikročit ke změnám, aby jejich systémy tomuto nařízení odpovídaly. Není to však pouze o poskytovatelích, ale i samotných školách, které se mohly opřít o metodiku MŠMT.[2]I přesto však ve školách propukla panika a ředitelé si nevěděli rady například s tím, jestli mohou zveřejňovat na webu školy fotografie ze školních akcí.[3]Až tak velké změny ale GDPR nepřineslo. Domnívám se, že v mnoha případech se jednalo o jisté nepochopení nebo neznalost již původní legislativy či její braní na lehkou váhu. Myslím, že každý se někdy setkal ve školském zařízení s tím, že si studijní referentka odskočila uvařit kávu aniž by, např. uzamčením, zamezila přístupu ke svému počítači a tedy přístupu k žákovským údajům.
Dalším nárokem na chod systému je zabezpečené šifrované spojení s protokolem HTTPS. Školy ho mohou získat vystavením bezpečnostního certifikátu. Ochranu musí mít vyřešenou i samotné fyzické úložiště systému. To by, stejně jako elektronický systém, nemělo být přístupné nepovolaným osobám. Poměrně častým řešením jsou cloudová úložiště, za která ručí poskytovatel systému.[4]Tento trend se objevuje například i v systémech, které používají knihovny. Z českých poskytovatelů školních informačních systémů tuto službu nabízí například iŠkola nebo Bakaláři. Je však otázkou, jestli se jedná o nejlepší řešení. Škola má za bezpečné uchovávání dat stále sdílenou zodpovědnost a s poskytovatelem, který se stává správcem údajů si musí ujasnit, ideálně smluvně, kdo a v jaké situaci případně ponese vinu za únik dat.[5]K zamyšlení je také skutečnost, jestli je správným řešením, aby byla data uložena u externí soukromé společnosti.
Další službou, kterou poskytovatelé informačních systémů školám nabízí, je služba pověřence. Toho je povinna jmenovat každá veřejná instituce a jeho úkolem je pomáhat organizaci být v souladu s nařízeními GDPR a zároveň garantovat správnost nakládání s osobními údaji.[6]
Novinkou pro některé školy může být udělování souhlasu se zpracováním osobních údajů. V případě škol je tato agenda mířena především na rodiče, kteří musí udělit souhlas za své nezletilé potomky. Druhou inovací je potom souhlas uživatelů s používáním webové aplikace, což je spojeno s problematikou cookies.[7]
V Informačním systému Masarykovy univerzity se osobní údaje skrývají pod agendou Soukromí. Zde je možnost udělit nebo odebrat souhlas se zpracováním osobních údajů a s poskytováním služeb ISu. Svým způsobem mi přijde divné, že musím udělovat souhlas třeba s používáním univerzitního emailu a přitom mám jako student v podstatě povinnost disponovat emailovou adresou, která bude spolehlivě dostupná. V tomto směru mám pocit, že GDPR nevyřešilo vůbec nic, protože lidé budou dále souhlasit s podmínkami, které ani nečetli a pokud ano, tak se jim nejspíše nelíbí, ale svůj souhlas musí udělit, protože daný produkt prostě potřebují a chtějí používat. Další novinkou je, že IS nezobrazuje profily uživatelů, kteří nemají aktivní vztah k Masarykově univerzitě. I tohle jde však přes jiné agendy obejít a uživatele přesto vyhledat. Pokud je absolvent, jeho profil je například přiřazen k závěrečné práci, která je zveřejněna a dostupná k vyhledání.
Z dat, které je možné získat na webových stránkách jednotlivých informačních systémů vyplývá, že kvůli GDPR všechny přikročily ke změnám a aktualizacím ve svých systémech. Co mě ovšem zarazilo, že některé modulární systémy úpravu GDPR nenabízí ve své základní verzi, ale až v nějakém rozšíření, za nějž si škola pochopitelně musí připlatit. Přijde mi to zvláštní, zejména v tom kontextu, že základní balíček často obsahuje třeba evidenci školní knihovny (což mě těší!), ale za implementaci GDPR, která by měla být automatická, si škola musí připlatit. Musím přiznat, že to na mě působí spíše tak, že se poskytovatelé ze škol snaží vyždímat ještě více peněz za služby, které školy nepotřebují nebo by za ně platit neměly, nicméně je to pro ně jednodušší, takže se možná ještě rády „plácnou přes kapsu“.
Nyní nezbývá než doufat, že se systémy budou snažit poskytnout co největší ochranu a že se budou stále zlepšovat a poskytovat kvalitnější služby. I přesto si však dovolím podotknout, že nejrizikovějším faktorem je vždy člověk a proto věřím, že školská zařízení budou více investovat do proškolování svých zaměstnanců, aby alespoň částečně zabránily jejich potenciálně nebezpečnému chování.
[1]Základní příručka k GDPR. Úřad pro ochranu osobních údajů[online]. [cit. 2019–02–17]. Dostupné z: https://www.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/archiv=0&p1=3938
[2]Základní informace. Bakaláři: mezi školou a rodinou[online]. [cit. 2019–02–17]. Dostupné z: https://www.bakalari.cz/Static/GDPR/informace
[3]ŠTEFAN, Václav. GDPR znamená pro školy víc administrativy, fotky dětí ale můžou zveřejňovat dál. iRozhlas[online]. Praha: Český rozhlas, 6. 5. 2018 [cit. 2019–02–17]. Dostupné z: https://www.irozhlas.cz/zpravy-domov/gdpr-skola-ochrana-dat_1805061311_gol
[4]Obecné nařízení na ochranu osobních údajů (GDPR). Bakaláři: mezi školou a rodinou[online]. [cit. 2019–02–17]. Dostupné z: https://www.bakalari.cz/Static/GDPR
[5]Je nejlepším řešením GDPR přechod na cloud?. GDPR: obecné nařízení o ochraně osobních údajů prakticky[online]. [cit. 2019–02–17]. Dostupné z: https://www.gdpr.cz/blog/je-nejlepsim-resenim-gdpr-prechod-na-cloud/
[6]Pověřenec ochrany osobních údajů. Škola online: nejrozšířenější webový školní informační systém[online]. [cit. 2019–02–17]. Dostupné z: http://www.skolaonline.cz/GDPR/Slu%C5%BEbypov%C4%9B%C5%99enceGDPR.aspx
[7]Obecné nařízení na ochranu osobních údajů (GDPR). Bakaláři: mezi školou a rodinou[online]. [cit. 2019–02–17]. Dostupné z: https://www.bakalari.cz/Static/GDPR
