Otevřený dopis: právně-společenské riziko distančního vzdělávání u řady softwarových nástrojů

Zasláno dne 8. 10. 2020 Ing. Robertu Plagovi, Ph.D.,
ministru školství, mládeže a tělovýchovy

Vážený pane ministře,

dovolte nám seznámit Vás s vážnou otázkou, která se zatím v distančním vzdělávání (na všech stupních škol) neřešila: riziky pro osobní údaje žáků a studentů (ale také jejich rodin a pedagogů) v případě používání nemalé části softwarových nástrojů. Týká se to především oblíbených rozličných nástrojů od společností Microsoft a Google – ale i dalších, které spadají pod kontroverzní americký zákon FISA (Foreign Intelligence Surveillance Act) a které zpracovávají osobní údaje v USA či jeho právním režimu. V červnu t.r. rozhodl Soudní dvůr Evropské unie v zásadní kauze C C‑311/18 (Schrems II), že osobní údaje Evropanů nejsou v právním režimu Spojených států amerických v bezpečí zejména díky režimu FISA a osobní údaje není proto možné zpracovávat ve vztahu k USA na základě tzv. dohody Privacy Shield, kterou SDEU rozhodnutím zrušil.

Možnost zpracování osobních údajů Evropanů v USA je tak možná v zásadě jen na základě jejich svobodného souhlasu (ten v případě povinné účasti na výuce pomocí daného software nelze použít) nebo na základě tzv. standardních smluvních podmínek, které by zaručily bezpečnost osobních údajů (např. umístění v úložištích v Evropě, bezpečné šifrování apod.) Není však zřejmé, zda poskytovatelé softwaru pro distanční vzdělávání své podmínky a ev. též možnosti uživatelského nastavení s ohledem na rozsudek Schrems II upravili či nikoli (z dostupných informací jsou podmínky různé pro různé typy škol). Ovšem SDEU vyjádřil pochybnosti i ohledně zpracování dat na základě standardních smluvních podmínek, pokud zpracování probíhá v USA, kdy by měl předávání dat posuzovat národní úřad pro ochranu osobních údajů (zatím není takovéto stanovisko k dispozici).

Používání nástrojů jako Google Classroom či MS Teams a další není možné bez poskytnutí osobních údajů žáků, studentů, ale často i jejich rodin a pedagogů (nejde samozřejmě jen o jména a příjmení, i bez nich tyto software využívají celou řadu údajů o identitě a online chování uživatelů, které je jednoznačně ztotožňují).

V Evropě čelí například společnost Google řadě právních podání od spotřebitelských svazů či subjektů údajů za klamavé či neexistující možnosti nastavení soukromí ve svých produktech. Dá se očekávat nárůst těchto kauz i první závazná soudní rozhodnutí.

U povinné školní docházky pak nabývá tento problém až ústavně-právní roviny: stát prostřednictvím povinné školní docházky (resp. povinnosti účastnit se distanční výuky dle novely školského zákona) nutí v případě používání software těchto společností žáky, studenty i další osoby k poskytnutí osobních údajů do jurisdikce, kde jsou ohroženy zneužitím.

Nejde jen o formální nesoulad s právem EU a přeci jen snad vzdálenější riziko využívání těchto údajů bezpečnostními složkami dle problematického zákona FISA – hmatatelným, nezákonným a denně obtěžujícím dopadem je zařazení osobních údajů takto nuceně poskytnutých do online aukcí osobních údajů (na kterých je založena většina online reklamy) a pro vlastní reklamní ekosystémy. Do online světa by se tak dostal značný objem osobních údajů osob, které služby daných společností z nejrůznějších důvodů nevyužívají. Je zřejmé, že povinnosti plynoucí ze školní výuky by neměly vést ke komerčnímu využívání dat soukromým sektorem, navíc ve velmi značných objemech. Jde rovněž o riziko bezpečnostní – masa osobních údajů ze vzdělávacího sektoru České republiky se dostává do rukou často monopolních společností v zahraniční jurisdikci. Máme za to, že by stát měl dbát na to, aby takovéto de facto obdoby školských matrik a dalších systémů resortu MŠMT nebyly poskytovány – navíc nuceně – do moci soukromého sektoru s bezprecedentním postavením na globálním trhu a pod jurisdikcí, o které Soudní dvůr Evropské unie vyslovil, že nezajišťuje osobním údajům bezpečí.

Víme, že jednotlivé školy mají volnost v rozhodování o použití konkrétních metod vzdělávání na dálku, tedy i volnost ve volbě software. Proto je potřeba, aby školy dostaly od MŠMT podporu zajišťující, že nebudou závažně porušovat legislativu na ochranu osobních údajů.

Nabízí se, aby MŠMT zohlednilo otázku ochrany osobních údajů žáků, studentů, pedagogů a rodičů, v první řadě analýzou ochrany osobních údajů od největších poskytovatelů software pro distanční výuku.

S ohledem na zjištěné se pak jako možné nástroje zajištění korektního zacházení s osobními údaji při distanční výuce nabízí vyjednání úpravy těchto podmínek; doporučení pro využití finanční podpory škol určené na nákup techniky i programového vybavení; úprava Metodiky pro vzdělávání distančním způsobem (je kvalitně připravena, ale výše uvedený trvající problém toku osobních údajů žáků nijak neřeší a např. ani parametr soukromí neuvádí v přehledu nástrojů pro videokonference).

Potřeba je i podobné podpory školám nespadajícím do povinné školní docházky; velmi vhodné by bylo například pomoci vysokým školám doporučeními pro realizaci grantové výzvy Centrálních rozvojových programů pro veřejné VŠ apod.

Naléhavě tedy doporučujeme, aby MŠMT, nejspíše v součinnosti s ÚOOÚ, problém poskytování osobních údajů v distanční výuce ošetřil vůči všem typům škol, zejména pak těm spadajícím do povinné školní docházky.  Iuridicum Remedium je připraveno v případě zájmu MŠMT pomoci při řešení problému osobních údajů při distanční výuce, mj. též pomoci zapojit širší IT a právní komunitu. Jako členové evropské sítě digitálněprávních organizací European Digital Rights (EDRi) můžeme sdílet příklady dobré praxe, jako např. nedávný krok katalánské vlády, která odmítla plošné zavádění využívání Google Suite ve vzdělávání.

Jsme si vědomi, že školství aktuálně řeší mnoho dalších otázek daných distanční výukou – námi předestřený problém si však bohužel rovněž žádá ošetření co nejvčasnější.

Před třemi lety jsme díky iniciativě náměstka MŠMT Jaroslava Fidrmuce spolupracovali s MŠMT na zavedení povinného využívání licencí Creative Commons pro licencování výstupů projektů podpořených z OP VVV. MŠMT tak bylo jedním z prvních úřadů, který povinné využívání těchto veřejných licencí zavedl a pomohlo tak šíření znalostí ve veřejném zájmu.

Věříme, že i v řešení tohoto závažného rizika distančního vzdělávání se podaří dosáhnout výsledku prospěšného celé společnosti. Rádi v tomto budeme nápomocni.

Za Iuridicum Remedium,  z. s. / program Digitální svobody

JUDr. Ing. Helena Svatošová