Unikla data o tisících dětí
V aplikaci České školní inspekce si kdokoli mohl zjistit osobní údaje třeba i o vašem dítěti.
Dominika Hromková
Když letos vstoupila v platnost přísná regulace o užívání osobních údajů GDPR, školy začaly mazat jména dětí pod fotografiemi nebo stahovat fotky z webů úplně. Přitom, jak se včera ukázalo, ve volně dostupné aplikaci InspIS na stránkách České školní inspekce (ČŠI) si kdokoli mohl stáhnout jmenné seznamy celých tříd i s informacemi, jestli má být daný žák v testu nějak zvýhodněn. Tedy, že zřejmě trpí zdravotním problémem a vyžaduje speciální přístup.
Dostupnost dat zaznamenal učitel Libor Klubal, když aplikaci instaloval u nich ve škole. „Uvědomil jsem si, že do ní můžu zadat libovolnou identifikaci školy a informace tak zobrazit. Získal jsem jména, příjmení, třídu a údaj o případném zdravotním znevýhodnění skrývající se pod zkratkou SVP (speciální vzdělávací přístup – pozn. red.),“popsal Klubal.
Přístup mohl mít kdokoliv
Aplikaci na školní počítač instaloval, protože jejím prostřednictvím si příští týden ČŠI bude u žáků na různých školách testovat úroveň jejich vzdělání. Typicky se to týká šestých a devátých tříd, ale například v Klubalově škole testy v aplikaci budou dělat žáci osmé třídy. Celkem je pak v ní podle náměstka školní inspekce Ondřeje Andryse registrováno 30 tisíc žáků. To znamená, že k údajům až o tolika dětech se mohl teoreticky dostat kdokoliv zvenku.
Klubal pak na případ upozornil Michala Bláhu z nadace Hlídač státu a ten jej pak jako první zveřejnil. „Děti do aplikace klasicky musí zadat jméno, heslo a kód, který jim spustí vlastní individuální test. To je v pohodě. Problematické ale je, že učitel musí udělat přípravu testů. Spočívá v tom, že si program spustí přes ikonku administrace,“vylíčil Bláha, jak si sám ověřil, že se k údajům může skutečně dostat každý. Aplikace se mu pak spustila v módu, kdy se neptala na žádné jméno ani heslo. Stačilo jen zadat registrační číslo školy. Jejich seznam je na webu ministerstva školství.
„Z mého pohledu se jedná o neoprávněné zveřejnění údajů citlivé povahy nezletilých osob. Není absolutně zájem na tom, aby veřejnost měla k těmto informacím přístup,“myslí si odborník na GDPR a advokát Radomír Pivoda.
Podle Bláhy to vypadá, že aplikace byla od začátku chybně naprogramována. Její současná verze je stará rok a celou tu dobu se do ní mohl kdokoliv dostat.
Inspekce problém připustila. Namítá však, že šlo jen o technickou chybu, která vznikla v uplynulé době při úpravách nastavení. Ještě včera ráno pak přístup zablokovala. „K údajům se už dostane jen škola. Žádné adresy ani rodná čísla nebyla prozrazena. Zanalyzujeme si teď, jestli vůbec došlo k vnějším vstupům mimo ten z Hlídače státu. Podmínky pro vstup totiž nebyly úplně triviální,“řekl Andrys.
Ministerstvo školství se za inspektory postavilo. „Jedná se o technickou chybu při úpravách systému InspIS, kterou následná kontrola neodhalila,“uvedlo ministerstvo.
Údaj není citlivý, tvrdí úřad
Případem se teď zabývá Úřad pro ochranu osobních údajů. „Očekáváme, že nás se situací obeznámí Česká školní inspekce. Podle informací, které máme zatím jen z médií, by se mohlo jednat o porušení zabezpečení osobních údajů. Je však potřeba vyčkat na něco konkrétního,“sdělil včera odpoledne mluvčí úřadu Tomáš Paták.
Podle něj úřad požaduje hlavně nápravu pochybení, k pokutě by přistoupil až v krajním případě. Jak velká by mohla být, ale mluvčí odhadnout nechtěl. Záleží například na tom, jak moc citlivé údaje unikly, a zkratku SVP úřad za citlivou nepovažuje. „Bylo by to citlivé až v případě, že by u žáka bylo uvedeno přesné znevýhodnění,“doplnil Paták.
Pivoda ale připomněl podobný případ, v němž Úřad pro ochranu osobních údajů vyhodnotil, že se o citlivé údaje jedná. „Když úřad udělil pokutu za to, že není možné zveřejňovat jmenný seznam dětí s nezaplacenými obědy, nedává smysl, aby nebyla uložena pokuta za zveřejnění údajů o 30 tisících dětí,“dodal.