Ochrana osobních dat v modulu TŘÍDA
1. Obecný úvod
Modul TŘÍDA používá technologii tzv. „cloud computingu“, což je nový na internetu založený a používaný model počítačových technologií. Lze ho také charakterizovat jako poskytování služeb či programů uložených na serverech na internetu s tím, že uživatelé k nim mohou přistupovat například pomocí webového prohlížeče nebo klienta dané aplikace a používat je prakticky odkudkoliv. Uživatelé neplatí (za předpokladu, že je služba placená) za vlastní software, ale za jeho užití.
1.1 Aplikace TŘÍDA se řadí mezi modely:
Komunitní (Comunity cloud computing) — jedná se o model, kdy je infrastruktura cloudu sdílena mezi několika organizacemi, skupinou lidí, kteří ji využívají. Tyto organizace spojuje stejný obor zájmu.
Z hlediska distribuce jde o model SAAS — software jako služba (ze "Software as a Service") — aplikace je licencována jako služba pronajímaná uživateli. Škola si tedy kupuje (získává) přístup k aplikaci, ne aplikaci samotnou. SaaS je ideální pro ty, kteří potřebují jen běžné aplikační software a požadují přístup odkudkoliv a kdykoliv.
Vzhledem k tomu, že aplikace pracuje s osobními údaji žáků školy, je nutné přesně vymezit tuto problematiku v dikci Zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů (dále jen Zákon)
2. Konkretizace problému
(stanovení účelu a prostředků, k němuž mají být osobní údaje zpracovány, §5, odst. 1), písm. a) a b) Zákona)
2.1 Popis operací s registračními a dalšími údaji:
Registrační údaje slouží k přihlášení do modulu Třída. Žák není centrálně registrován, jeho registrace a přihlášení platí pouze pro tento modul. Po přihlášení a zadání jedinečného kódu se žák přihlásí k učitelem (předmětu, oboru, kroužku, kurzu apod.) založené a pro okolní svět zcela uzavřené třídy. Jediným přístupem do třídy je neopakovatelný kód třídy. Kód generuje systém a je dostupný učiteli, který kód předá žákům při registraci osobně, nebo jej žákovi zašle pomocí e-mailové komunikace v rámci modulu. Žák v mailu klikne na odkaz, který jej přesměruje do registrace s připraveným vstupním kódem. Seznam žáků ve třídě reguluje učitel pomocí funkce vyloučit ze třídy.
Přístup do třídy je umožněn pouze na základě specifického kódu, který vznikne při založení třídy učitelem! Nikdo jiný, mimo učitele nemá ke kódu přístup. Učitel jako jediný administruje žáky ve třídě.
Třída poté slouží ke komunikaci mezi učitelem a žáky. Učitel zadává úkoly a testy. Princip komunikace na tzv. ZDI, je shodný s komunikací na známé sociální síti Facebooku s tím, že v modulu Třída není oproti Facebooku možné další síťování. Komunikace ve Třídě je uzavřena mezi určenou (pozvanou) skupinu žáků a učitele.
Žáci mohou na ZEĎ umisťovat obrázky, videa, soubory a odkazy, které slouží k další komunikaci mezi žáky a učitelem. Dále mohou psát komentáře a osobní vzkazy pouze učiteli. Žák také reaguje na učitelem zadané úkoly a na učitelem zadané testy. Vyhodnocené testy jsou dostupné pouze manažerovi výuky, kterým je učitel, stejně jako vyhotovené úkoly. Ty má možnost žák předávat buď pouze učiteli, nebo je zveřejňuje na ZDI pro všechny členy třídy.
Veškerá komunikace je ukládána na server do databází tak, aby mohl žák i učitel mít data neustále přístupná skrze aplikaci. S daty učitele, žáka a celé třídy v rámci modulu a databází nebude dále nakládáno. Registrační údaje žáka jsou řádně zabezpečeny, stejně jako registrační údaje učitele. S údaji žáka nebude nakládáno jinak než pro potřebu komunikace v rámci modulu (interakce mezi žáky a učitelem, zasílání mailů mezi žáky a učitelem, zasílání potřebných údajů ze strany provozovatele pro další používání – zapomenuté heslo, informace o odstávce serverů, údržbě apod.
2.2 Struktura požadovaných dat
(rozsah osobních údajů. § 11, odst. 1), Zákona)
2.2.1 Registrační údaje:
Jméno
Příjmení
2.2.2 Údaje zaznamenané v rámci modulu
Komunikace žáka (odpovědi, dotazy) v rámci komunikačního prostoru včetně vložených příloh a odkazů
Vyhotovené úkoly včetně příloh a odkazů
Vyhotovené testy
3. Vyhodnocení
Z výše uvedeného vyplývá, že naše společnost nevystupuje v celém procesu jako subjekt, který s údaji primárně nakládá a rozhoduje o druzích prostředků, které budou pro zpracování osobních údajů použity, ale výhradně z pozice poskytovatele pronájmu výpočetního výkonu či úložného prostoru.
Podle stanoviska Úřadu pro ochranu osobních údajů[1] není naše společnost v tomto případě zpracovatelem ve smyslu § 4 písm. k) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.
Školu jako správce osobních údajů (tedy subjekt, který si cloud computing najímá) to naopak nezbavuje povinností, které jsou na něj zákonem č. 101/2000 Sb. kladeny a v této souvislosti je nutné zmínit zejména povinnost stanovenou v § 13 zákona č. 101/2000 Sb., která se týká zabezpečení osobních údajů.
Naše společnost naopak garantuje dostatečnou prevenci před riziky a to jak po praktické stránce v oblasti šifrování dat, tak i po stránce formální, kdy má připraveny vnitřní procesy pro udělení normy ISO 27000 týkající se bezpečnosti informací.
[1] ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ. ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ. Lze využít cloud computing pro zpracování osobních údajů?: Otázky kladené v souvislosti se zákonem č. 101/2000 Sb., o ochraně osobních údajů, v platném znění [online]. 27.9.2012 [cit. 27.9.2012]. Dostupný na WWW: <http://www.uoou.cz/uoou.aspx?menu=14&loc=331#a71>.