S pandemií koronaviru se za poslední dva roky rapidně zvýšilo užívání distančních forem výuky, a to napříč českým školstvím od základních škol po univerzity. Řada nástrojů, které se pro tyto účely využívají, jsou ovšem značně nevyhovující a mohou způsobit bezpečnostní incidenty, týkající se právě žáků českých škol.

Pokud jsme pak v nadpisu vedle pandemie zmínili i zrušení Privacy Shieldu, tedy právního nástroje, který ještě donedávna zaštiťoval předávání osobních údajů do USA, je to právě proto, že takové předání dnes
představuje jedno z největších rizik pro děti a učitele, kteří nástroje distanční výuky používají.

Není asi překvapením, že těmito nástroji jsou zejména služby poskytované společnostmi Google (Google
Meet, Disk, obecně Google Workspace) a Microsoft (Office 365, včetně aplikace Teams). Pokud u souborů
cookies těchto společností často zmiňujeme riziko v podobě předávání do USA, u těchto aplikací je tomu
stejně s tím rozdílem, že zatímco proti sběru cookies se do určité míry dá bojovat, české školy, a zejména pak školáci, nemají často na výběr a tyto aplikace musí používat i bez udělení souhlasu. A i kdyby v tomto případě k udělení souhlasu došlo, můžeme jen spekulovat, jak svobodný by byl.

U zmíněných aplikací je pak problém i jejich samotné nastavení, kdy si zúčastnění často neuvědomují, že
obsah jejich zpráv může být dostupný správci, který např. dané řešení pro celou školu spravuje. Může tak
docházet k situaci, kdy jsou soukromé zprávy dětí dostupné jejich učitelům, maily a hodnocení učitelů mohou být dostupné danému školnímu administrátorovi.

Vše pak může být sledováno danou aplikací, která data přenese bez vědomí zúčastněných do USA, kde k nim díky tamnímu právnímu řádu mohou mít relativně snadný přístup bezpečnostní složky.

V okolních státech EU už se tato problematika začíná řešit na celostátní úrovni, ať už např. vývojem vlastních technologických řešení za účelem náhrady zmíněných, nebo technologickou osvětou dětí a škol
s doporučením, které již existující možnosti jsou pro účely distanční výuky bezpečné.

V Česku se ovšem nic takového neděje a pokud bychom celou věc zjednodušili, Ministerstvo školství,
mládeže a tělovýchovy dává od celé věci ruce pryč. Respektive je dle ní celá věc odpovědností jednotlivých škol a jejich pověřenců. Že ti často nemají dostatečné prostředky, aby se s problémem vypořádali, neřeší.

Nezbývá tak prozatím, po vzoru bádensko-württemberský komisaře pro ochranu osobních údajů, tuzemským školám doporučit open-source řešení, které s osobními údaji dětí a zaměstnanců škol zacházejí bezpečněji, než ty zmíněné výše. Pro příklad můžeme zmínit Moodle nebo pro účely videohovorů Jitsi Meet.

10 miliard. Druhá nejvyšší pokuta v historii GDPR byla udělena Instagramu

Konkrétně společnosti Meta, pod kterou Instagram (nebo Facebook a WhatsApp) spadá. Irský
dozorový úřad (DPC) udělil Metě pokutu 405 miliónů euro za několik prohřešků, kterých se měl Instagram dopustit v souvislosti se zpracováním osobních údajů nezletilých na této sociální síti.

Jde o druhou nejvyšší pokutu v historii účinnosti Nařízení GDPR a zároveň třetí pro Metu v relativně krátkém čase. V minulosti bylo Metě uloženo zaplatit 225 milionů euro za problémy spojené s WhatsAppem a 17 milionů euro za únik dat.

DPC původně začalo vyšetřování v roce 2020 kvůli možnosti nezletilých zakládat firemní účty, kdy bylo Instagramem automaticky nastaveno, že kontaktní osobní údaje těchto dětí-správců budou veřejně přístupné. 

V průběhu vyšetřování bylo dále zjištěno, že dětem ve věku 13 až 17 let jsou účty Instagramem
automaticky nastavené jako viditelné. Tedy vše, co na Instagramu děti sdílely, mohl vidět jakýkoliv uživatel této sociální sítě po celém světě.

Meta se hodlá proti rozhodnutí odvolat. Jejím hlavním argumentem je, že vyšetřování pracuje se stavem k roku 2020. Od té doby ovšem došlo dle Mety k velkému vývoji ochrany soukromí dětí na Instagramu.

Vedle výše zmíněných nedostatků, které měl Instagram dle Mety napravit, bylo přistoupeno k dalším bezpečnostním opatřením. Nově například nelze zmínit účet nezletilých v příspěvku, pokud není jeho autorem sledující daného dítěte.

I tak lze ovšem pochybovat o tom, jestli tato argumentace přinese Metě ovoce. Je možné, že ve
finále dojde ke snížení výše pokuty, její úplné zrušení je však velmi nepravděpodobné. DPC totiž ve svém vyjádření k celé věci uvedl, že mimo samotné špatné nastavení soukromí dětí vytýká Metě předávání osobních údajů uživatelů Instagramu do USA, které je v současné chvíli velmi komplikované, v drtivé většině případů pak nezákonné.

Pokud tak budeme na závěr trochu spekulovat, v konečném důsledku může mít celá kauza pro Metu mnohem větší dohru v podobě zákazu poskytování služeb na území EU, pokud bude k předávání dále docházet. Je ale velmi pravděpodobné, že Meta, potažmo evropské a americké úřady, situaci nenechá zajít až tak daleko.