K údajům až desítek tisíc dětí se mohl na internetu dostat prakticky každý. Na vině byla špatně zabezpečená testovací aplikace České školní inspekce. „Bohužel určitý problém se stal,“ připustil pro iROZHLAS.cz náměstek školní inspekce Ondřej Andrys s tím, že nyní už by měla být data nepřístupná.

Tento článek je více než rok starý.

Praha 11:36 7. 11. 2018 (Aktualizováno: 13:34 7. 11. 2018) Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

„Na půl úvazku nyní učím na základní škole a právě tam jsem aplikaci nastavoval. Ve chvíli, kdy jsem ji instaloval, jsem si uvědomil, že zadání jediného identifikačního údaje je asi problém,“ popsal pro iROZHLAS.cz učitel a IT správce Libor Klubal, který na chybu upozornil na twitteru jako první.

Nejhůře jsou na tom žáci na severu Čech, odhalily testy. Páťáci byli nejhorší ve všech předmětech

Číst článek

K údajům se dalo dostat jen po zadání kódu školy, který je dohledatelný na internetu. Nebylo nutné vyplnit žádné přihlašovací údaje. 

Osobní údaje přitom od května podléhají i evropskému nařízení o ochraně dat, známému pod zkratkou GDPR. To ukládá za nezabezpečení údaje velmi vysoké sankce.

Desítky tisíc jmen

Podle Klubala byly volně dostupné nejen jmenné seznamy tříd, ale i údaje o případných zdravotních znevýhodněních jednotlivých žáků. Proto na problém upozornil Michala Bláhu z projektu Hlídač státu, jenž kontroluje činnost státní správy a zaměřuje se především na nakládání s veřejnými financemi.

Bez jakéhokoliv zabezpečení se tak prakticky každý po stažení aplikace mohl dostat k desítkám tisíc jmen dětí. „Teoreticky mohlo dojít k zobrazení jména a příjmení u maximálně 30 tisíc žáků,“ řekl serveru iROZHLAS.cz Andrys. 

Podle Bláhy se ale mohlo čistě statisticky jednat o údaje více než 140 tisíc žáků. Ještě před zveřejněním příspěvku inspekci na problém upozornil. „Než jsem příspěvek zveřejnil, ale opravdu v řádech minut, tak jsem mluvil se šéfem IT školní inspekce. Upozornil jsem ho na problém a on řekl, že ho bude okamžitě řešit,“ uvedl pro iROZHLAS.cz Bláha.

‚Určitý problém‘

„Bohužel určitý problém se stal,“ připustil Andrys. Problém se týkal testovací aplikace inspekce s názvem InspIS. „V uplynulém období byly prováděny úpravy toho systému. Následně byly prováděny kontroly správnosti nastavení a úprav a žádné chyby ani nedostatky se během těch kontrol nevyskytly,“ popsal problém náměstek.

„Evidentně ale došlo k nějaké technické chybě, která se při té centrální chybě neobjevila. V jejím důsledku bylo za určitých okolností zobrazit jméno a příjmení testovaných žáků v dané škole,“ dodal. 

GDPR v praxi. Školy řeší podpisy na výkresech nebo jména dětí v šatnách

Číst článek

Podle Bláhy se ale nejedná o chybu, ale o špatné nastavení aplikace už od samého počátku. „Nejde o žádnou chybu. Tento způsob chování byl naprosto cíleně naplánován a naprogramován. To je cílené chování aplikace. Učitel ho spustí, zadá číslo školy a aplikace stáhne žáky. Dokonce je tam i tlačítko změnit školu. Není tam žádná ochrana, aby se pracovník jedné školy nemohl kouknout a stáhnout údaje o škole jiné,“ popsal Bláha. 

O problému už ví i resort školství. „Ministerstvo školství bylo o tomto problému ze strany České školní inspekce ihned informováno. Jedná se o technickou chybu při úpravách systému InspIS, kterou následná kontrola neodhalila. Podle ujištění ČŠI byla data okamžitě zablokována a v průběhu dnešního dne bude chyba odstraněna," uvedla mluvčí resortu Aneta Lednová. 

Redakce iROZHLAS.cz oslovila s žádostí o reakci také Úřad na ochranu osobních údajů. 

Tereza Čemusová Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít