Stát si umyl ruce nad ochranou dat žáků. Školy ale nemají šanci to ošetřit, kritizuje datový novinář

Děti se vrátily do škol, já jsem od vás před pár dny četl na webu iROZHLAS poměrně pěknou analýzu toho, na co všechno by si měly dát pozor stran používání programu od velkých společností, jako je Microsoft, Google atd. Proč?
S nástupem COVIDu v posledních dvou letech přešlo hodně škol na on-line výuku a postupem času vykrystalizovaly nástroje, které se ve školách používají nejčastěji. Úplně nejčastěji v Česku jsou to produkty od společnosti Microsoft, jsou to Microsoft Teamsy, to asi skloňovalo hodně dětí doma v posledních letech. V některých případech jsou to třeba ještě produkty od Googlu, to se zase jmenuje Google Workspace. Obě dvě tyto služby mají verzi pro školy.

To jsou aplikace na videohovory nebo na nějakou sdílenou práci na dálku.
Jsou to aplikace na videohovory, na chat, jsou tam nástroje na editaci dokumentů apod. Tyto nástroje se začaly poměrně ve velkém ve školách při výuce používat a já jsem si všiml toho, že v některých evropských zemích je zase z druhé strany začínají zakazovat. Tak mě zajímalo proč. Protože v Česku je majoritní Microsoft, aspoň to plyne z registru smluv, tak jsem vyšel z rozhodnutí nebo z nějakého auditu, který provedl komisař pro ochranu osobních údajů v Bádensku-Württembersku v Německu, který v letošním školním roce nebo v letošním semestru používání těchto nástrojů ve školách úplně zakázal. Důvod byl poměrně jednoduchý: osobní údaje a ochrana osobních údajů.

To znamená, že by někde mohly unikat?
Ne ani tak přímo unikat, ale objevuje se několik problémů, kterým se v Německu věnovali. Jeden z nich je už poměrně dlouhodobý, a to je otázka předávání osobních údajů do zahraničí. Asi by na začátek bylo dobré si úplně vyjasnit, kde se vlastně v těchto nástrojích vezmou osobní údaje, protože už jsem zachytil i reakci: vždyť tam jsou jen jména dětí, protože dítě tam musí mít nějaké jméno, svůj účet, ale to je úplně všechno. Jenomže to není pravda. Škola pracuje s obrovským množstvím osobních údajů. Ty často tečou i v rámci výuky mezi studenty, učiteli, mezi studenty navzájem. Pokud bych měl dát úplně banální příklad, tak klasická školní esej v angličtině na téma My family, Moje rodina. Už tam může zaznít spousta věcí, které jsou chráněné a často i citlivé osobní údaje, typicky…

Maminka pracuje v nemocnici.
Nebo maminka je v nemocnici, protože má rakovinu, tak se léčí. Bum, to je informace o zdravotním stavu. Bratr žije se svým přítelem v bytě v Barceloně. Bum, to je informace o sexuální preferenci. Tatínek volil ODS. Bum, to je informace o politickém smýšlení. Na tom není vůbec nic špatného, že v rámci výuky takové informace zaznívají, protože děti se nějak rozvíjí, prostě takové debaty se tam vedou, ale…

Potíž je, kdo všechno to může číst.
Ano, pak se s informacemi musí nakládat citlivým způsobem. Hlavní problém, se kterým se teď potýkají všechny velké technologické firmy, je, že mají část svých technologií, zaměstnanců, serverů ve Spojených státech. V současné době platí režim, kdy by nemělo docházet ze strany těchto firem k předávání citlivých osobních údajů do Spojených států. Po odhalení, které provedl analytik americké NSA Edward Snowden, víme, že americké tajné služby sbírají velké množství informací právě prostřednictvím velkých technologických firem, například v rámci programu Prism, a vlastně s nimi zacházejí, jak uznají za vhodné. Rozhodně jim neposkytují ten standard, který je poskytovaný osobním údajům v Evropě. Na základě toho soudní dvůr Evropské unie řekl, že dohoda mezi EU a Spojenými státy o tom, že je možné předávat osobní údaje do zahraničí, je neplatná a nemělo by se to dít.

Pro ty firmy je to samozřejmě hodně nepříjemná situace, protože aby teď v tom současném stavu mohly plně vyhovět, tak to znamená přenést všechny servery do Evropy, všechny zaměstnance do Evropy. V současné době, kdy jsou rozbité různé dodavatelské řetězce, chybí technologie, chybí železo, na kterém by se to dalo provozovat, není tady ani dostatek lidí, to není úplně realistické. Firmy se to snaží různě řešit. Mně o tom říkali jak ve společnost Google, tak ve společnost Microsoft. To znamená, že podporují, aby se situace znovu nějak právně upravila. Snaží se nějakým způsobem chránit osobní údaje svých klientů, samozřejmě ale nemůžou zaručit, že se k nim tajné služby nedostanou.

To znamená, že jste o tomto problému mluvil se společností Google i se společností Microsoft.
Kontaktoval jsem obě dvě společnosti a není úplně jednoduché z nich dostat nějaké vyjádření. Konkrétně společnost Microsoft se se mnou začala bavit vlastně až po vydání mého článku. Já jsem je sháněl skoro 14 dní přes všechny kanály, pak jsem dostal vyjádření o dvou větách. Teprve, když vyšel ten článek, poslali obsáhlejší vyjádření. Ale jejich závěr je, že se snaží nějakým způsobem vyhovět. Nicméně tady zase můžeme citovat bádenského komisaře pro ochranu osobních údajů: není to dostatečné. Stále dochází k předávání nějakých osobních údajů bez ohledu na to, co firmy tvrdí. Zmíněný komisař si udělal i forenzní audit, aby zjistil, během asi ročního testu, co konkrétně se s daty děje, a dospěl k závěru, že ani německý Microsoft, se kterým on během auditu spolupracoval, mu není schopen plně vysvětlit a obhájit, proč se některé informace předávají do Spojených států.

My nejsme něco takového, jako je ochrana dat, schopni legislativně vyřešit v České republice?
Tam je několik problémů. Je tam otázka při předávání do zahraničí, to my nejsme v současné době tady schopni nějakým způsobem vyřešit. Na druhou stranu školám nikdo teď výslovně nezakazuje zmíněné nástroje užívat. Zákaz platí v Bádensku-Württembersku, podobný zákaz mají, tuším, v Holandsku, v Dánsku, ale v České republice nic takového neplatí. To by musel udělat náš Úřad pro ochranu osobních údajů, který nic takového neudělal, a co vím, tak se tou problematikou ani do hloubky nezabývá. Já jsem se na to ptal i ministerstva školství. Právě v Německu audit produktů od Microsoftu proběhl ve spolupráci s ministerstvem školství, které je školám doporučovalo. V České republice ministerstvo školství říká, že to je starost jednotlivých škol, že samo žádný konkrétní produkt nedoporučuje. To ovšem není pravda, protože během COVIDu ministerstvo mělo několik vzdělávacích programů pro učitele, pro školy a produkty Microsoftu tam výslovně doporučovalo.

To znamená, že stát teď přenáší zodpovědnost přímo na konkrétní školy.
Stát, vlastně ministerstvo školství si úplně jednoduše řečeno umylo ruce a řeklo, že je to problém každé jednotlivé školy, protože ta musí mít ze zákona svého pověřence pro ochranu osobních údajů. To je člověk, který by měl té problematice rozumět a měl by to tedy za školu vyřešit.

Děje se to?
Není to v silách jednotlivého pověřence, který je často najatý přes nějakou firmu třeba pro obec, která zřizuje třeba základní školu. Obec si najala nějakou firmu, která jí pomáhá s GDPR. Ta firma dodává pověřence, to znamená nějaké právní služby, ale není v jejích silách dělat něco jako forenzní audit takto složitých, nákladných, náročných produktů, jako jsou ty od společnosti Microsoft. To je důvod, proč v zahraničí, pokud k tomu docházelo, tak audity nebo analýzy vždycky dělalo nějaké ministerstvo ve spolupráci s místním úřadem pro ochranu osobních údajů. V Česku nic takového neproběhlo, ministerstvo předalo plně odpovědnost na jednotlivé školy, které to ale samozřejmě nedělají, protože toto není vůbec v rozsahu jejich sil jak po technologické, tak po právní stránce.

Řešením je tedy skutečně přestat konkrétní programy používat? Nelze být třeba o 200, 300 procent obezřetnější při jejich používání a dál jejich služby využívat?Když se v Holandsku řešil ten samý problém s produkty od společnosti Google, tak než tam dospěli ke konečnému závěru, doporučili školám začít omezovat nějakým způsobem určité funkce v těchto produktech, které přenášely informace do zahraničí. V praxi to znamenalo, že by školy měly například vypnout kontrolu pravopisu v editorech dokumentu, pak ale editor dokumentů ztrácí z velké části smysl. Neměly by v té aplikaci používat skutečná jména dětí. To jsou doporučení, která sice formálně něco splní, ale asi víme, že to není realistické. Druhá věc je, že ve chvíli, kdy děti dostanou k dispozici nějaký chat, je tam videohovor, zároveň je tam nějaký chatovací nástroj, tak škola bez ohledu na to, jak děti poučí, jak jim to vysvětlí, prostě nezaručí, že děti si nebudou mezi sebou sdílet informace, které můžou být extrémně citlivého charakteru. To řekl i německý komisař. Děti na střední škole prožívají první lásky, prostě řeší tyto věci spolu.

V nějakých soukromých chatovacích oknech.
Třeba i v nějakých soukromých chatech nebo v nějakých malých skupinových chatech kamarádů. A toto jsou informace, které by škola vůbec neměla dostat do své působnosti. Ona ty děti poučí - nedávejte tam nic soukromého - ale děti to samozřejmě budou dělat. To znamená, že ani toto řešení není pro školu úplně snadné. Čímž narážíme na druhý problém, se kterým to souvisí, a to je zpracování osobních údajů. Protože i kdyby bylo všechno v pořádku a k žádnému předávání těchto informací do zahraničí by nedocházelo, tak pro používání těchto aplikací je potřeba souhlas se zpracováním osobních údajů. Jsme na to všichni zvyklí, že když chceme nějaký takový nástroj používat, vyskočí na nás okno a my musíme kliknout na tlačítko „Ano, souhlasím“. Drtivá většina lidí podmínky ani nečte, protože je to dlouhá složitá právničina, a hlavně si nemůže vybrat, pokud nástroj chce používat.

Prostě to odkliknout musí.
Přesně tak. A tam je další problém. V Evropské unii platí, že souhlas se zpracováním osobních údajů, pokud to není dané zákonem, musíš dát dobrovolně. Není možné ho dát povinně. Nikdo ti to nemůže nařídit. Jenomže ve chvíli, kdy jde o děti školou povinné, které do školy chodit musí, ať se jim to líbí, nebo ne…

Nemají na výběr.
A když škola používá ten nástroj, tak nemají na výběr. Nemluvě o tom, že děti souhlas většinou ani dát nemohou ve svém věku. Měli by ho dávat rodiče. A rodiče v tu chvíli také nemají na výběr? Tato situace už je hodně problematická, což řekli v Německu, že není možné vynucovat tím, že si škola zvolí nějakou technologii, podepíše smlouvu, tak přece nemůže tímto způsobem dát povinnost svým studentům a jejich rodičům schválit nějaký právní kontrakt o předávání osobních údajů. To je druhá věc, na kterou narážíme. Tento problém by tady s námi zůstal nebo tady s námi pravděpodobně zůstane i po té, co se eventuálně podaří znovu nastavit způsob předávání osobních údajů do zahraničí na datacentra velkých firem, nebo pokud si firmy taková centra zřídí tady v Evropě. Problém s vynuceným souhlasem pořád zůstává.

Nicméně, bavíme se stále v rovině rizik. Žádní rodiče se zatím neozvali, že by skutečně dohledali, že někde unikla citlivá data, že si je někde ve Spojených státech někdo přečetl a zneužil je.
My se tady nebavíme o únicích dat v tom kriminálním slova smyslu. Naopak, obě dvě společnosti, jak Google, tak Microsoft, jsou na tom v bezpečnostní úrovni velmi dobře. Je to světová špička, takže pokud by data odněkud neměla utéct, tak by neměla utéct zejména od nich, řekněme po té kriminální lince. Ovšem je tady problém s tím, že je může získat tajná služba ve Spojených státech. Obě dvě firmy se brání, že se snaží to nějakým způsobem minimalizovat, že se s americkou vládou soudí. Nicméně jak víme z minulosti, tak bez ohledu na to, co společnosti deklarují veřejně, ve chvíli, kdy jsou k tomu přinuceny a jsou zároveň přinuceny o tom mlčet, jako to bylo v případě programu Prism, my se to prostě nedozvíme.

Je úplně jedno, kdo udělá jaké politické nebo smluvní závazky. Nemá to vůbec žádný vliv. Tajné služby si budou dělat, co budou chtít. Ale to si řekněme, že je poměrně, nechci říct vzdálené riziko, protože když Evropský soudní dvůr toto formuloval jako problém, tak to zjevně problém je. Ale co je možná daleko větší problém, který si lidé neuvědomují, je, že informace, které si tam studenti vyměňují, nejsou přístupné jenom těm, komu je poslali, to znamená jejich učiteli, případně kamarádům, pokud se píše v chatu jeden na jednoho, ale že všechny tyto v uvozovkách kancelářské nástroje obsahují i způsob, jak se k těm informacím, a často i k privátním chatům, může dostat administrátor, což znamená nějaký správce na škole. Studenti se o tom vůbec nemusí dozvědět. Nejsou zatím k dispozici nástroje, které by umožnily studentům se proti tomu nějakým způsobem bránit. To je další problém, který taky konstatuje německý komisař pro ochranu osobních údajů, který sám říká, že ve chvíli, kdy probíhá taková komunikace třeba mezi studenty, tak by měli používat nástroje, které jsou tzv. koncově šifrované.

Což jsou například?
Což jsou například Signal, koneckonců dělá to i WhatsApp od společnosti Meta, to znamená od společnosti, která provozuje i Facebook. Jsou to nástroje, které zaručí, že zprávu může číst jenom ten, kdo ji odeslal, a jenom ten, kdo ji přijal. Nemůže si ji přečíst nikdo mezitím, ani správce systémů, ani ten, kdo je provozuje. Ve chvíli, kdy studenti můžou komunikovat, a já jsem to viděl i u sebe v rodině, kde můj nejmladší bratr ty dotyčné nástroje ve škole má, tak děti to přijaly jako běžnou komunikační platformu. Nepoužívají ji jenom během výuky, ale píšou si mezi sebou, když hrají hry, řeší tam spolu milion věcí, protože ví, že jsou tam všichni spolužáci. A otázka toho, co tam probírají a kdo všechno to může vidět, je podle mě poměrně citlivá.

Ale znamená to tedy, že existují alternativy, že pokud skutečně škola chce nejenom nabídnout nějaké komunikační platformy, ale vyžadovat je po svých žácích a studentech, tak může sáhnout i po jiných programech než od Googlu, od Microsoftu a dalších společnosti, u kterých to může být rizikové?
Že může sáhnout po nějakých dalších nástrojích, to je pravda. Nicméně žádný z dalších nástrojů velmi pravděpodobně nepřinese tak komplexní prostředí. To znamená zároveň sdílení dokumentů, zároveň e-maily pro studenty, učitele, zároveň videohovory. A nebude to tak jednoduché k nasazení, bude to vyžadovat nějaké, pravděpodobně technické znalosti na straně školy nebo jejího dodavatele. To znamená, že tyto nástroje nebo alternativy, které budou plně chránit soukromí, jednoduše v Evropě chybí. A je to i to, co konstatovali v Německu, co konstatovali ve Španělsku. Když toto školám zakázali v Bádensku, tak jim řekli: dobře, můžete ty funkce tak nějak poskládat z těchto nástrojů, plus mínus, ale nemáte tam propojené prostředí, jednotnou správu identit. Možná vám to bude během školních hovorů padat, nebude to fungovat tak spolehlivě.

A tohle je samozřejmě pro školy obrovský problém, protože ony nemají technické znalosti, nemají „ajťáky“, kteří by se jim o to byli schopni starat, o nějaký nástroj, ač třeba některé školy se o to snaží a jim samozřejmě palec nahoru. Ale není to jednoduché a zmíněné státy si to uvědomují. To je důvod, proč jak Německo, tak i Španělsko začínají mluvit o tom, že by si vyvinuly vlastní nástroje, které by tyto funkce přinesly obdobně jako ty od Googlu nebo Microsoftu, ale zároveň by byly plně v souladu s tím, co vyžaduje GDPR. Plně by tedy chránily osobní údaje všech zúčastněných.

Že by se odstřihly od velkých technologických společností?
Ano, to je aspoň plán, ve Španělsku už se o to snaží v jedné provincii, ale je to cesta na hodně dlouhou trať. Myslím si, že daleko praktičtější, ale samozřejmě je otázka, jestli k tomu někdy dojde, by bylo, aby giganti zapracovali požadavky do svých produktů a tedy plně zajistili soulad jak s GDPR, tak s očekáváními, která rodiče a studenti můžou mít na privátnost svých konverzací. Tento problém, kromě toho, že je tam otázka právní, je řešitelný zejména na technické úrovni. To znamená zaručit prostřednictvím koncového šifrování, že bez ohledu na to, kam se data pošlou, kdo dostane k těm souborům přístup, nebude schopen je rozšifrovat. Budou je schopni rozšifrovat jenom jejich oprávnění příjemci.

Koncové šifrování, dobře. V momentě, kdy ještě tuto technologickou vymoženost pro ochranu osobních údajů a soukromí nemáme, co do té doby můžou dělat samotní žáci, možná jejich rodiče, aby se vyvarovali toho, že někde buď unikají data, nebo si je někdo může číst a my nevíme, jestli to dělá?

Nejjednodušší je se se školou bavit. I ministerstvo říká, že škola musí mít pověřence, a je naprosto v pořádku, že rodiče vznesou otázku: kdo k těm datům může mít přístup? Kdo to hlídá? Můžete to zaručit? Můžete nám to vysvětlit? A mají právo dostat odpověď, ne právní, ne technickou, ale velmi srozumitelnou odpověď, co se s daty děje. Pokud s tím rodiče nesouhlasí, mají právo vyslovit nesouhlas a škola je k tomu nemůže nutit. To samé platí samozřejmě i o zletilých studentech a i u nezletilých studentů, si myslím, že mají plné právo se ptát a tedy žádat odpovědi, pokud už jsou dost staří na to, aby tomu rozuměli, což na druhém stupni ZŠ nebo SŠ nepochybně jsou. Pokud s odpovědí nejsou rodiče či studenti spokojeni, tak se samozřejmě můžou obrátit na Úřad pro ochranu osobních údajů, který by v tomto směru měl pomáhat, poskytovat nějaké vedení jak školám, tak by měl také komunikovat s technickými firmami. Což zase z toho, co my víme, se zatím v Česku neodehrává. Ale víme, že v zahraničí to jde, víme, že zahraničí úřady to dělají. Asi bychom to měli vyžadovat i po těch našich