Jedním z výrazných průvodních jevů covidové pandemie bylo masivní zavádění platforem pro distanční (online) výuku ve školách. Je přitom pochopitelné, že v době vrcholící pandemie a lockdownů bylo primárním cílem škol a jejich zřizovatelů co nejrychlejší zavedení funkčního a široce použitelného řešení. Na otázky spojené s ochranou soukromí a osobních údajů uživatelů přichází čas až nyní.
Cílem tohoto příspěvku není, a vzhledem ke komplexnosti tématu ani být nemůže, detailní rozbor všech aspektů zpracování osobních údajů spojeného s distanční výukou, pouze spíše poukázání na zajímavou a doposud nepříliš reflektovanou stránku našeho nedávného hromadného „exodu“ do online prostředí.
Komisař zakázal používání nástroje MS Teams
Zřejmě nejvýrazněji do této diskuse přispěl Státní komisař pro ochranu údajů a svobodu informací v Bádensku-Württembersku (dále jen „Komisař“), který v roce 2021 provedl pilotní testovací projekt jednoho z nejrozšířenějších software využívaného pro online výuku, a to Teams z kancelářského balíčku Microsoft Office 365. Výsledky poté publikoval ve svém závěrečném doporučení z dubna 2021 (Empfehlung zum Pilotprojekt zur Nutzung MS 365 an Schulen[1]), ve kterém uvedl řadu důvodů, proč je tento nástroj dle jeho názoru v rozporu s požadavky GDPR.[2] Hlavním důvodem pro tento závěr bylo, že program zasílá bez zjevného důvodu řadu informací do USA, kde je ochrana soukromí a osobních údajů slabší než v EU.[3] Ve školách spadajících do jeho působnosti Komisař s odkazem na svá zjištění používání nástroje MS Teams zakázal.
Je to právě nástroj MS Teams, který výrazně převažuje na českých školách[4] a jehož zavedení podporovalo i Ministerstvo školství, mládeže a tělovýchovy ve svých metodických pokynech (dále jen „MŠMT“).[5]
Obdobným výhradám, vč. zákazů využívání některých funkcí, čelí nicméně v EU (např. v Dánsku nebo Nizozemí) i nástroje poskytované společností Google. Rizika spojená s využíváním těchto online platforem pro distanční výuku jsou – z pohledu ochrany soukromí a osobních údajů – velmi podobná, ne-li totožná, jako v případě MS Teams a pro potřeby tohoto příspěvku se tak lze dopustit jisté paušalizace.
Škola jako správce
Rozhodnutí o konkrétním typu online platformy musí pochopitelně přijít (alespoň formálně) ze strany školy, která se tak stává správcem osobních údajů, k jejichž shromáždění a dalšímu zpracování v této souvislosti dojde. Uvedené platí i v případě, kdy výběr, příp. i hromadné pořízení potřebných licencí, provede zřizovatel školy – formální rozhodnutí vůči budoucím uživatelům činí vždy škola.
Zástupci škol v nezáviděníhodném postavení
Již v tomto bodě jsou zástupci škol v nezáviděníhodném postavení. V roli správce osobních údajů by měla škola v souladu s GDPR pečlivě vybrat takové řešení, které bude nejméně zasahovat do práv žáků i učitelů. Takový postup nicméně zásadně zkomplikoval fakt, že školy potřebovaly především rychle nalézt takové řešení, které bude snadno dostupné a které se co nejvíce přiblíží reálné podobě výuky. Je tedy pochopitelné, že v naprosté většině sáhly po službách zavedených značek, jejichž kancelářské balíčky z většiny již v nějakém rozsahu využívaly.
Žádné detailní hodnocení zvoleného řešení z pohledu naplnění požadavků GDPR se nekonalo také z důvodu, že k tomu školy nedisponují dostatečnými předpoklady. Až na možné výjimky nemají ani personální kapacity, ani znalosti a technické možnosti zvolený produkt posoudit.
Dále je třeba připomenout, že ve vztahu ke společnostem, jako je Microsoft nebo Google, má běžný uživatel (tj. školy i jejich zřizovatelé) poměrně slabé postavení. Potřebné licence byly sice (vzhledem k okolnostem) nabízeny zdarma či výhodně, stále však za podmínek, které stanoví poskytovatel, bez možnosti změn či odchylek. I kdyby tedy školy důsledné vyhodnocení rizik spojených se zpracováním osobních údajů provedly, žádné odchylky od standardních smluvních podmínek by téměř jistě nevymohly.
Jednou z mála možností, jak alespoň trochu omezit rozsah zpracovávaných dat, může být vypnutí ukládání informací o hledaných výrazech či zhlédnutých videích nebo omezení sběru informací blokováním reklam. Uvedené možnosti jsou nicméně otázkou nastavení jednotlivých uživatelských účtů, školy tak mohou své uživatele v tomto směru pouze poučit. Dále mohou zvážit nutnost využívání kamer nebo nahrávání, resp. omezit je na skutečně nezbytné případy.[6]
Školy se ocitly v situaci, kdy zaváděly řešení, u něhož jim nebyly zcela zřejmé veškeré okolnosti sběru a zpracování osobních údajů, a ani nebylo v jejich silách podmínky zpracování dat případně upravit. Splnění všech povinností správce osobních údajů je v takové situaci vlastně nemožné, škola nemá dostatek informací k tomu, aby mohla např. vést (správné a přesné) záznamy o zpracování, transparentně informovat subjekty údajů nebo jim v plné míře umožnit uplatnění jejich práv.
Zpracování údajů poskytovateli služeb
Jeden z největších problémů používání platforem, jako je MS Teams, představuje fakt, že dle smluvních podmínek získává poskytovatel (zde společnost Microsoft) jejím prostřednictvím velké množství informací o tom, jak jednotliví uživatelé službu používají. Dle zjištění Komisaře lze fakticky hovořit o velmi podrobném a kontinuálním sledování a zaznamenávání veškerého chování uživatelů, včetně analýzy sdíleného obsahu a komunikace.
Za zmínku stojí v této souvislosti i to, že v citované zprávě Komisař uvádí, že ani vlastním šetřením, ani při jednání se zástupci společnosti Microsoft se nepodařilo získat přesný přehled veškerého zpracování osobních údajů, ke kterému při používání MS Teams dochází. Byly zjištěny masivní datové toky, u nichž nebylo možné zjistit důvod jejich přenosu, a tedy ani odlišit konkrétní účely zpracování (tj. do jaké míry se jedná o smluvní plnění a kde již jde např. o vlastní obchodní a marketingové zájmy společnosti).
V takové situaci je jen obtížné, ale spíše nemožné, nalézt právní základ pro samotné zpracování údajů, a to jak na straně škol, tak na straně poskytovatele platformy.
Informace o tom, jak uživatelé s nástroji pracují, jsou pro poskytovatele vysoce ceněnou komoditou a sběr údajů pro vlastní účely si tyto společnosti vyhrazují v podmínkách použití konkrétních nástrojů. Není přitom reálné, že by jakýkoli jednotlivý uživatel dosáhl v tomto bodě změny. V souvislosti se zavedením platforem pro online výuku do škol se předmětem tohoto zpracování stal nesmírně velký objem dat, která mohou být a jistě i budou využita k podrobné analýze a k dalšímu vývoji nejen těchto nástrojů, ale třeba i v rámci prodejní strategie u dalších produktů.
Předávání údajů do USA
S otázkou transferu dat k poskytovatelům online platforem je v tomto případě úzce spojena i otázka předávní osobních údajů do třetích zemí, konkrétně do USA, kde poskytovatelé nejrozšířenějších platforem (společnosti Google a Microsoft) sídlí. Přinejmenším od rozhodnutí ve věci Schrems II je však předávání osobních údajů do USA jen obtížně realizovatelné. Obecně se má za to, že ani nové smluvní doložky společnosti Microsoft situaci neřeší, neboť žádné smluvní ujednání samozřejmě nemůže vyloučit účinnost místních právních předpisů a zamezit přístupu amerických tajných služeb k datům umístěným na území USA.
Postavení žáků a vyučujících
Subjekty údajů v případě zpracování osobních údajů, ke kterému dochází při využívání platforem pro online výuku, jsou samozřejmě uživatelé těchto platforem, tedy primárně učitelé a žáci, příp. jejich rodiče.
Pokud jde o učitele, zvolenou platformu jim určil zaměstnavatel jakožto pracovní prostředek, který jsou povinni pro výkon svého zaměstnání vykonávat. V případě žáků pak bylo online prostředí předloženo jako jediná možnost účasti na výuce, resp. v případě základních škol jako nedílná součást splnění povinné školní docházky. Ani jedna ze skupin neměla možnost výběru prostředí, ve kterém budou pracovat a jehož prostřednictvím bude docházet i ke zpracování jejich osobních údajů, a to včetně funkcí, které nejsou pro samotný provoz služby nezbytné (viz výše zmíněné předávání dat pro vlastní účely poskytovatele). Formálně je tak zpracování osobních dat založeno na plnění právních povinností školy a žáků, resp. smluvních povinností vyučujících.
Jakékoli ošetření zavedení zvolených platforem či některého z aspektů zpracování osobních údajů souhlasem ze strany žáků a učitelů není možné, a to jak z organizačních důvodů (volbu virtuálního prostředí nelze logicky ponechat na každém uživateli), ale zejména z právního hlediska s ohledem na zjevně nerovné postavení účastníků jak ve vztahu škola – žák, tak škola – vyučující/zaměstnanec.
Obdobně jako v případě samotných škol mají i uživatelé jen limitované (pokud vůbec nějaké) možnosti tyto funkce omezit. Jak bylo již uvedeno, mohou např. vypnout ukládání některých informací, blokovat reklamy či trvat na minimalizaci nahrávání.
Nelze přitom opomenout, že v prostředí škol, a zejména nižších stupňů, tvoří valnou většinu uživatelů online platforem děti, tj. osoby, kterým je i podle GDPR nutno dopřát zvýšenou ochranu. Přitom právě děti jsou skupinou uživatelů, pro které je typické využívání online komunikace způsobem, který příliš nezohledňuje možná bezpečnostní rizika. Dětmi sdílené informace mohou zahrnovat i vysoce citlivá data.
Případná interní organizační opatření směřující k omezení sdílení určitého typu informací, a tedy k vyšší ochraně soukromí, pak mají u těchto uživatelů jen omezený (spíše mizivý) efekt. Mimo jiné i proto, že vymáhání a postihování porušení zákazu sdílení citlivých dat, např. v rámci chatu, nemá škola jak zajistit.
Bezpečnostní rizika
V neposlední řadě je nutno zmínit i bezpečnostní rizika spojená s online platformami v prostředí škol.
Uživatelé (žáci a vyučující) přistupují k dané službě pomocí účtů, které pro ně zřídila daná škola, jakožto držitel příslušné licence. Pravidla fungování těchto služeb přitom nevylučují, že se k obsahu účtů jednotlivých uživatelů nedostanou zástupci školy v roli administrátorů. Obsahem účtů mohou přitom být i soukromé konverzace jednotlivých uživatelů (chaty), přičemž, jak bylo již uvedeno, regulování obsahu takové konverzace je v praxi neproveditelné. Ochranu komunikace koncovým šifrováním produkty společností Microsoft nebo Google nenabízejí.
Přístup dozorových úřadů
Jak již zaznělo, v některých zemích EU příslušné dozorové úřady přistupují k určité regulaci online platforem s přesahem do USA. V České republice se tak zatím neděje. Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) v souvislosti s online výukou žádné podobné vyjádření týkající se omezení rozsahu služeb nevydal, pouze doporučuje důkladně se seznámit se smluvními podmínkami.
Posouzení zůstává na jednotlivých školách
Posouzení rizik při zpracování osobních údajů tedy zůstává na jednotlivých školách, ačkoli všem zúčastněným musí být zřejmé, že to překračuje technické i právní znalosti většiny z nich. Plnění povinností vyplývajících z GDPR je tak v lepším případě pouze formální.
Tato situace samozřejmě není řešitelná cestou dozorové či dokonce represivní aktivity ÚOOÚ, ale nejlépe podporou škol při hledání alternativních řešení, která nebudou spojena s masivním sběrem informací o uživatelích a jejich předáváním do USA, a to zřejmě především ze strany MŠMT.
Jít cestou hledání a zavádění vhodnějších alternativ
Skutečnost, že splnění požadavků GDPR vyžaduje nemalé úsilí a podporu z vyšších úrovní, ostatně reflektuje ve svém postupu i Komisař, když k zákazu MS Teams přistoupil až nyní a nikoli na vrcholu pandemie. Hledání a zavádění vhodnějších alternativ je tak zřejmě jediným správným řešením nejen v Bádensku-Württembersku, ale i u nás, neboť v menší či větší míře školy ve virtuálním prostoru již jistě zůstanou.
Ludmila Probstová
Autorka je GDPR specialistka ve společnosti Bosch
[1] Viz webové stránky Komisaře: https://www.baden-wuerttemberg.datenschutz.de/.
[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů).
[3] Především jde o známý problém s poměrně širokým oprávněním zpravodajských služeb založeným na zákoně o dohledu nad zahraničním zpravodajstvím („FISA“), směrnici prezidenta č. 28 („PPD-28“) a zákoně „Patriot Act“.
[4] Určitým vodítkem v tomto směru mohou být smlouvy zveřejněné školami a jejich zřizovateli v Registru smluv.
[5] Nikoli výslovně, ale formou odkazů na srovnání, která jednoznačně vychází ve prospěch MS Teams, příp. Google Meet či Google Classroom (viz Metodické doporučení MŠMT pro vzdělávání distančním způsobem, www.edu.cz, nebo přehled komunikačních platforem MŠMT na https://nadalku.msmt.cz/cs/komunikace).
[6] Český Úřad pro ochranu osobních údajů ovšem vymáhání zapnutí kamer v rámci výuky naopak podpořil, jako součást úkolu plněného ve veřejném zájmu (viz www.uoou.cz, sekce „Často kladené otázky podle oblastí zpracování údajů/ Ze školství“).