Úřad pro ochranu osobních údajů (ÚOOÚ) vydal v polovině března výroční zprávu za rok 2024. Ačkoliv jde o dokument, který ve školském prostředí nevyvolává téměř žádnou odezbu, není dobré ji zcela ignorovat. Poukazuje totiž na chyby, k nimž dochází nejen u správců osobních údajů v soukromém sektoru, ale i u veřejných institucí, tedy i škol. Mnoho změn a událostí na poli zpracování dat a ochrany soukromí se navíc škol přímo týká. Jedná se například o rozšiřování digitálních agend, tím pádem nárůst počtu zpracovávaných osobních údajů, větší propojování databází, využívání kamerových systémů ve školách nebo zapojování žáků do různých aplikací k procvičování či on-line soutěžení.
Přístup veřejné správy k tématu zpracování osobních údajů a jejich ochrany je v českém prostředí velmi rezervovaný. Obzvlášť menší organizace nemají pocit, že by se jich to týkalo. Jsou přesvědčeny, že právě proto, že jsou součástí veřejné správy, nemohou s osobními údaji dělat nic, co by zákon nedovoloval, a navíc jich zpracovávají tak malé množství a jde o tak „běžné“ osobní údaje, že nikoho nemohou zajímat.
To je bohužel velký omyl, o jehož vážnosti svědčí i to, že si ty stejné organizace často neuvědomují, že jsou připojeny do veřejné (!) internetové sítě, kde se osobní údaje ve valné většině zpracovávají v nástrojích, jež jsou založeny na cloudových řešeních – běží tzv. on-line. Pravděpodobnost rizika bezpečnostního incidentu je tak podobná jako u všech jiných organizací. A možná dokonce i větší – právě kvůli nedostatku povědomí o vlastní zranitelnosti v kyberprostoru.
S rozšiřováním digitalizace roste i objem zpracovávaných osobních údajů
Výroční zpráva ÚOOÚ za rok 2024 potvrzuje trend přibývání nových oblastí digitálního zpracování dat (např. se masivně nasazují prvky umělé inteligence). S tím také roste množství osobních údajů, které se shromažďují a zpracovávají. Dle zprávy také neustále roste zájem o osobní údaje uživatelů internetu a datových služeb s cílem zpeněžení těchto údajů či přímo za účelem jejich zneužití.
Není také novinkou, že např. hackeři se na menších organizacích a jejich systémech učí. Tedy jejich cílem není ani tak přímo poškodit subjekt, který čelí jejich útoku, ale spíš se naučit vyhledat chyby a pak zkušenosti využít tam, kde skutečně chtějí. Na druhou stranu je ovšem třeba říci, že většina bezpečnostních incidentů pochází zevnitř organizace – nejčastěji se dějí vlivem lidské chyby.
Subjekty údajů objevují svá práva
S růstem zpracovávaných osobních údajů roste také povědomí o právech subjektu údajů, které mají vůči správci. Lze také pozorovat určité opadnutí ostychu podat na ÚOOÚ podnět nebo stížnost k prošetření postupu správce, jenž zpracovává osobní údaje stěžovatele. Jejich počet neustále mírně roste.
Školy často zpřístupňují osobní údaje neoprávněným osobám
Dle výroční zprávy se ÚOOÚ průběžně zabývá stížnostmi na zpracování osobních údajů speciálně pedagogickými centry. Ve školách jsou standardně řešena podání obsahující neoprávněné zveřejňování či zpřístupňování osobních údajů žáků, studentů, zákonných zástupců či pedagogů.
V praxi jde často o poskytování různých zápisů z jednání, kdy jedna ze zúčastněných stran požádá o kopii zápisu, který je jí vydán, ale už bez anonymizace osobních údajů dalších účastníků.
Téma kamer opět na scéně
Další problematickou oblastí jsou kamerové systémy ve školách. ÚOOU se přímo zabýval případem umístění kamer v odborných učebnách. Žáci a zaměstnanci podepsali souhlas se zpracováním obrazového i zvukového záznamu v rámci školy. Není překvapením, že ÚOOÚ ve svém vyhodnocení případu zdůraznil, že v praxi zpravidla považuje kamery umístěné v učebnách školy za nepřiměřené oproti zájmům a základním právům a svobodám dotčených subjektů údajů. Dále upozornil, že využívat kamerový systém na základě souhlasu nepovažuje za vhodné. Lze totiž pochybovat o dobrovolnosti jeho udělení.
Kamerový systém je ve školách instalován na základě oprávněného zájmu správce za účelem ochrany majetku v situacích, kdy v určitých místech docházelo k opakovaným incidentům, škodám na majetku apod. Před instalací kamerového systému je nezbytná spolupráce s pověřencem a taky vypracování balančního testu, který vyhodnotí, zda je oprávněný zájem správce legitimní a dostatečně vážný, aby byl důvod zasáhnout do soukromí monitorovaných osob.
Využití biometrických údajů je nepřiměřené
ÚOOÚ se ve výroční zprávě vrátil také k tématu docházkových systémů využívajících biometrické údaje, konkrétně otisky prstů. Ačkoliv mezi školami nepozorujeme žádný výrazný trend v zavádění těchto systémů, lze očekávat, že v souvislosti s tlakem na zvýšení bezpečnosti ve školách, se začne i o těchto systémech více uvažovat.
ÚOOÚ při kontrole tohoto docházkového systému konstatoval, i v souladu se svým dřívějším stanoviskem, že pro účel evidence docházky je využití takového systému nepřiměřené. Ačkoliv se otisky prstů evidovaly v systému jen ve tvaru tzv. hashe, jde stále o tak jedinečnou informaci, že pro její užití musí mít správce skutečně vážný důvod. Navíc otisk prstu patří k tzv. zvláštním osobním údajům (dle čl. 9 obecného nařízení o ochraně osobních údajů, GDPR). Ty se mohou zpracovávat jen za podmínek, které jsou stanoveny v čl. 9 odst. 2 GDPR. Tuto podmínku správce ovšem nesplnil.
Za bezpečnostním incidentem stojí často lidská chyba
Nelze opomenout ani aspekt ochrany osobních údajů a téma bezpečnosti. Za rok 2024 eviduje ÚOOÚ téměř 340 ohlášených bezpečnostních incidentů. K nejčastějším patřily u orgánů veřejné správy útoky prostřednictvím phishingu, často také správci odeslali e-mail jinému příjemci než tomu zamýšlenému a setkávali se i s útoky typu ransomware.
Z uvedených bezpečnostních incidentů vyplývá, že příčinou je obvykle lidská chyba. Proto je důležité provádět pravidelná školení všech zaměstnanců organizace. O takové školení neváhejte požádat svého pověřence.
Lenka Matějová