Obavy o soukromí dětí. Zahraniční úřady zakazují školám služby od Googlu a Microsoftu, Česko tápe

Rozšířené nástroje pro dálkovou výuku odesílají citlivé informace do zámoří, kde k nim americký zákon dává přístup zpravodajským službám. Také nezaručují, že se k soukromým chatům dětí nedostanou například učitelé. Zatímco první regionální vlády v Evropě vyvíjejí bezpečnější alternativy, v Česku zůstává posouzení rizik na jednotlivých školách. Ty v praxi nemají moc na výběr.

Tento článek je více než rok starý.

Česko Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Logo společnosti Microsoft na budově v New Yorku.

Logo společnosti Microsoft na budově v New Yorku. | Zdroj: Reuters

Když české školy za pandemie koronaviru přecházely na distanční výuku, často sahaly po nástrojích od společností Google a Microsoft pro pořádání hromadných hovorů nebo sdílení dokumentů. Úřady evropských zemí ale začínají školám služby od dvojice amerických firem zakazovat. Důvodem jsou obavy o soukromí dětí i učitelů.

„Když učitelé čtou e-maily, upravují dokumenty nebo vytvářejí prezentace, obvykle netuší, že je jejich činnost kompletně sledována a zaznamenávána,“ napsal loni v dubnu do technické analýzy (překlad z němčiny nástrojem DeepL) bádensko-württemberský komisař pro ochranu osobních údajů.

Pokud používají Microsoft Office 365 pořízené bádensko-württemberským ministerstvem školství, tak „se s tím však musí smířit a nemají prakticky žádnou možnost, jak se sledování a samoúčelnému dalšímu zpracování svých údajů společností Microsoft vyhnout,“ konstatuje Stefan Brink.

Formulář pro dávky na bydlení posílal informace Googlu. Ministerstvo problém opravilo jen zčásti

Číst článek

V závěrečném doporučení (překlad nástrojem DeepL) komisař jmenuje celou řadu problémů, kvůli kterým je používání softwaru od společnosti Microsoft v rozporu s nařízením o ochraně osobních údajů GDPR i německým právem. Hlavní důvod: programy řadu informací posílají do USA, kde je ochrana soukromí slabší než v Evropě.

Obchodní zájmy

Podle Brinka si společnost Microsoft vyhrazuje, že bude pro své komerční a obchodní zájmy zpracovávat informace o tom, jak lidé jeho programy využívají. Podle komisaře jde o „kompletní a podrobné sledování a zaznamenávání veškerého chování uživatelů a analýzu e-mailů.“

Taková praxe by v některých případech mohla podle komisaře vést i tomu, že by se v zahraničí zpracovávaly informace o rasovém a etnickém původu, případně sexuální orientaci. To přitom GDPR výslovně zakazuje.

I proto Brink letos používání nástrojů MS 365 v bádensko-württemberských školách zakázal.

Microsoft přitom není jediný, který kvůli sběru citlivých informací o studentech narazil. Dánský úřad pro ochranu osobních údajů podobně kritizoval kancelářský balík Google Workspace. V Nizozemí pak školy musejí omezit používání internetového prohlížeče Chrome a laptopů Chromebook, oboje rovněž od společnosti Google.

Podle technické příručky nizozemského úřadu Kennisnet (překlad z holandštiny nástrojem DeepL) musí školy vypnout řadu služeb, které Google ve svých programech nabízí, včetně kontroly pravopisu, automatického překladu stránek či zjišťování polohy uživatelů. Školy by se také měly vyhnout prohlížeči Chrome a vyhledávači Google. Naopak by měly na studentské a školní počítače nainstalovat nástroje pro blokování reklamy.

Česko: odpovědnost nesou školy

Podle registru smluv jsou v českých školách řádově častější nástroje od Microsoftu než od Googlu. Součástí balíku MS 365 je, kromě textového a tabulkového editoru, i program Teams. Ten propojuje chat, sdílení dokumentů i videohovory, řada škol ho tedy během pandemie používala k výuce. Prostřednicím metodických materiálů je v tom podporovalo i ministerstvo školství.

Server iROZHLAS.cz se proto resortu ptal, zda nějakým způsobem zohlednil možné problémy s ochranou soukromí žáků a učitelů. Například v Nizozemí zpracovala a zveřejnila posouzení dopadů na soukromí vláda, jednotlivé školy a firmy tak nemusejí zpracovávat vlastní posouzení a mohou se rovnou rozhodnout, jak a které programy využijí.

„Ministerstvo centrálně využívaní těchto služeb ve školách neřeší. To má v kompetenci vedení školy, které musí postupovat v souladu s pravidly GDPR,“ odpověděla mluvčí ministerstva Aneta Lednová. Podle ní ze strany ministerstva „nejsou konkrétně doporučovány nebo zakazovány konkrétní platformy“ a ministerstvo v rámcovém programu pro základní vzdělávání klade důraz i na „kyberbezpečnost v rámci rozvoje digitálních kompetencí“.

Ministerstvo vnitra dostalo milionovou pokutu za nesprávné shromažďování osobních dat lidí v izolaci

Číst článek

Pro vyhodnocení, jakým způsobem kancelářské programy zpracovávají data uživatelů, ale znalosti vyučované na základní škole nestačí. Vyžaduje technický i právní přehled nad znalostmi mnoha školních či obecních pověřenců pro ochranu osobních údajů.

Podle Josefa Bátrly, advokáta specializovaného na informační technologie, se ve veřejné správě nevěnuje ochraně soukromí přílišná pozornost. „Mnoho obcí, a školy pak zprostředkovaně, implementovalo GDPR pouze formálně a s chybami,“ napsal serveru iROZHLAS.cz Bátrla s tím, že veřejný sektor má často potíže pověřence vybrat a následně ho správně úkolovat.

I z technického pohledu jde o náročný úkol. Jak napsal bádensko-württemberský komisař, při kontrole nástrojů od Microsoftu „byla identifikována připojení k přibližně 500 různým serverům.“ Vzhledem k tomu, že část informací putuje do USA, vyvstávají podle komisaře otázky „týkající se oddílu 702 zákona o dohledu nad zahraničním zpravodajstvím (FISA), směrnice prezidenta č. 28 (PPD-28) a zákona USA PATROT Act.“ V důsledku mohou data Evropanů sbírat a zpracovávat americké tajné služby, což před časem konstatoval i Evropský soud pro lidská práva.

Vyjádření Microsoftu

Po vydání článku zaslala společnost Microsoft další vyjádření, podle kterého neposkytuje „žádné třetí straně přímý, nepřímý, všeobecný ani volný přístup k zpracovávaným datům.“ Rovněž také uvedla, že „její produkty nebo cloudové služby nesledují nebo dokonce nezaznamenávají, co uživatelé jejich produktů dělají a neanalyzují data a informace, které uživatelé do produktů ukládají.“

Společnost zdůraznila, že „v celé své historii nikdy nevydal data jakékoli veřejné instituce z Evropské unie, včetně České republiky, jakýmkoli úřadům činným v trestním řízení nebo jiným státním institucím žádného státu na světě,“ a že ochranu soukromí bere vážně, pročež neustále vylepšuje možnosti, jak mohou uživatelé svá data spravovat.

Server iROZHLAS zjišťoval, jak se k situaci staví společnost Microsoft. „Jsme přesvědčeni, že Microsoft 365 lze ve školách i obecně používat v souladu s GDPR,“ odpověděla šéfka komunikace pro centrální a východní Evropu Lenka Čábelová. Odkázala přitom na vyjádření německého zastoupení firmy. To píše, že společnost dodržuje lokální zákony a z „velké části ukládá data v datových centrech v Evropské unii“. Konkrétní odpovědi (překlad z němčiny nástrojem DeepL) na zjištění bádensko-württemberského komisaře ale neuvádí.

Podobně reagovalo i české zastoupení společnosti Google, které zdůrazňuje, že „školy vlastní svá data“ a že „služba Google Workspace pro vzdělávání nikdy nevyužívá údaje studentů k reklamním ani jiným komerčním účelům.“ Firma pak doufá, že Spojené státy a Evropská unie co nejdříve dojednají podmín

ky, za kterých by bylo opět možné zpracovávat data evropských zákazníků v datových centrech v USA.

Chybí alternativa

Školy, které by se chtěly právním a technickým otázkám vyhnout, mají komplikovanou pozici. „Z pohledu technologické neutrality jsme již zpočátku hledali také alternativní open source řešení,“ napsala serveru iROZHLAS Eva Pavlíková z neziskové organizace Česko.Digital. Ta na začátku pandemie pomáhala školám nastartovat online výuku. Bohužel podle Pavlíkové na českém trhu chybí nástroje srovnatelné co do funkcí a stability s těmi od Googlu a Microsoftu.

Rok od zavření škol. ‚Dobré podmínky má víc dětí, zvyšuje se ale podíl absencí,‘ varuje šéfinspektor

Číst článek

To nepřímo potvrzuje i bádensko-württemberský komisař, který právě proto vydal zákaz až nyní a ne už během lockdownů. Bádensko-württemberské ministerstvo školství nyní plánuje vyvinout vlastní nástroj pro školy, přičemž v mezičase by učitelé měli používat mix otevřených nástrojů jako Moodle nebo Jitsi. Ty data do zahraničí nepředávají.

Podobou cestou chce jít i Barcelona. Používání open source alternativ ale většinou není tak jednoduché jako u komerčních služeb a na straně škol vyžaduje technické znalosti. Představu, co konkrétně obnáší nasazení videokonferenčního nástroje Jitsi Meet, dává dvojice článků od Davida Dvořáka z ostravské základní školy Zelená.

Řada škol proto zůstává u komerčních služeb, které už má předplacené. Příkladem je Univerzita Karlova v Praze, která využívá jak Google Workspace, tak MS 365. „Je v zájmu univerzity, aby situace kolem využívání online nástrojů vhodných i po stránce ochrany osobních údajů byla vyřešena co nejdříve,“ napsala serveru iROZHLAS.cz Marcela Uhlíková z tiskového oddělení rektorátu školy. Ještě před začátkem semestru by podle ní měla na škole vzniknout analýza, skrze jaké online nástroje probíhá výuka na jednotlivých fakultách.

Univerzita „centrálně zajišťuje řešení Microsoft 365, tuto doporučenou platformu bere za ověřenou,“ doplnila Uhlíková. Rovnou ale přiznala, že „fakulty jsou v tomto směru autonomní a jejich rozhodnutí je na dobrovolné bázi.“ Vedení školy nicméně doporučuje Microsoft Teams.

Škola sama si nezpracovávala posouzení dopadů na ochranu osobních údajů. Podle Uhlíkové to nebylo třeba, jelikož škole vyhovovaly smluvní podmínky, které ji předložila společnost SoftwareOne zastupující Microsoft. „Obecná pravidla Microsoftu (univerzita, pozn. red.) podpisem smlouvy akceptovala,“ uzavřela mluvčí.

Škola mluví za studenty i rodiče

Právě s podmínkami použití, které jsou pro používání komerčních nástrojů nezbytné, se podle bádensko-württemberského komisaře pojí další problém. Souhlas se zpracováním osobních údajů by měli potvrzovat studenti, případně jejich rodiče. Navíc by to měl být souhlas dobrovolný. Běžně ale souhlas dává škola při nákupu programů a studenti na výběr nemají. Zejména pokud jsou stále školou povinní.

„Pokud nějaký produkt Microsoftu používáte s účtem, který vám poskytla organizace, (…) pak tato organizace může [z]ískat přístup k vašim datům, včetně (…) obsahu vaší komunikace a souborů spojených s vaším produktem společnosti Microsoft (…),“ píše se v podmínkách MS 365.

Registrační systém na antigenní testy posílá data reklamním gigantům, ministerstvo chystá audit

Číst článek

Jak vysvětluje komisař Brink, zejména v případě mladších žáků není možné zaručit, že při používání školních nástrojů o sobě či někom jiném neuvedou citlivé informace, které se tak dostanou ke školnímu administrátorovi nebo do zahraničí. „Pokud by navíc taková prohlášení byla učiněna v soukromých chatech nebo jiných formách komunikace pouze mezi žáky, mohla by škola dodržování takového zákazu jen stěží vynutit,“ dodává Brink.

Bádensko-württemberský komisař proto zdůrazňuje, že by komunikace s učiteli i mezi studenty navzájem měla být zabezpečená takzvaným koncovým šifrováním. To by zaručilo, že ji můžou přečíst jen oprávnění příjemci a nikdo jiný. Tuto technologii ale produkty od Microsoftu a Googlu nenabízejí.

Čtěte podmínky použití

Podporu při online výuce by českým školám měl poskytovat Národní institut pro vzdělávání. „Rozhodnutí o využívání cloudových služeb uvedených společností je rozhodnutím ředitele školy,“ zdůrazňuje Ondřej Neumajer, který má v institutu na starosti online vzdělávání. Jak ale vzápětí přiznává, „některých pedagogických cílů stanovených v Rámcových vzdělávacích programech není možné dosáhnout bez využití moderních digitálních prostředků pro sdílení informací, jejímiž příklady jsou zmíněné produkty (od Microsoftu a Googlu, pozn. red.).“ Školy se tak ocitají v problematické situaci.

‚Čekáme na nový web.‘ Tuzemská ministerstva zaskočil zákon o cookies, pokutu ale nedostanou

Číst článek

Institut proto alespoň podporuje vzdělávání učitelů v kybernetické bezpečnosti, například podcastem KYBcast nebo skrze projekt DigiKoalice. Neumajerovi není známo, že by Úřad pro ochranu osobních údajů zakazoval školám používání zahraničních nástrojů, jako se to stalo v Německu, Nizozemí či Dánsku. „Pouze silně doporučuje ředitelům škol, aby se vždy seznámili se smluvními podmínkami, včetně podmínek ochrany osobních údajů,“ doplňuje expert na online vzdělávání.

Samotný úřad pro ochranu osobních údajů eviduje v souvislosti s online výukou několik podání, která se většinou týkala nesouhlasu s nahráváním výuky či zkoušky. „Úřad také obdržel stížnost na instalaci platformy Google Classroom, a to do soukromého mobilu žáka,“ napsal mluvčí úřadu Milan Řepka. Rodičům tehdy vadilo, že by jejich dítě mělo dát souhlas s podmínkami společnosti Google bez jejich vědomí.

„Rodiče žáka byli úřadem informováni, (…) aby se nejdříve obrátili na školu prostřednictvím pověřence pro ochranu osobních údajů a záležitost zkonzultovat s ním,“ vysvětlil mluvčí a dodal, že na úřad se pak rodiče mohou obrátit, pokud nebudou s odpovědí školy spokojení.

Ombudsman i rozvědka. Úřady předávají reklamním firmám data o návštěvnících webu, často nevědomky

Číst článek

Co mohou dělat rodiče

Odpovědi úřadu, ministerstva školství i pedagogického institutu tak kladou odpovědnost na školu a jejího pověřence pro ochranu osobních údajů. Na toho se mohu rodiče či zletilí studenti obracet, pokud nebudou chtít své osobní údaje svěřovat firmám mimo EU. Školní administrátor může alespoň omezit, která data se sbírají a odesílají do zahraničí.

Částečně mohou sběr informací blokovat i samotné studentky a studenti. V případě, že používají školní účet Google, mohou vypnout ukládání informací o hledaných výrazech či zhlédnutých videích a dříve sebraná data smazat. Společnost Microsoft pak svůj kancelářský balík včetně programu Teams umožňuje používat i přímo z webového prohlížeče, kde je možné sběr informací omezit nástrojem na blokování reklam.

Je ale třeba předpokládat, že vše, co studenti udělají prostřednictvím služeb poskytnutých školou, mohou pracovnici školy vidět. Pro komunikaci mezi sebou, ale třeba i se školním výchovným poradcem, je lepší používat šifrované nástroje, jako třeba aplikaci Signal nebo alespoň WhatsApp.

Jan Cibulka Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Nejčtenější

Nejnovější články

Aktuální témata

Doporučujeme