Vlákno názorů k článku Jitsi meet: zkušenosti s vlastní videokonferenční platformou od mad - Situace je aktualne hur nez tristni. Vetsina skol automaticky...

Situace je aktualne hur nez tristni.

Vetsina skol automaticky voli Google Suite. Vlada a ministerstvo jim na jare ulozilo zajistit distancni vyuku, ale zcela se vykaslali na jakekoliv navody nebo metodicke pokyny,

Co se tyce zakladnich skol, jejich IT je podfinancovane, lide neznali a casto neschopni nejen technicky. Implementace GDPR na spouste skol probehla tak, ze se resila jen jako pravni problem, proste se najal nejlevnejsi pravnik ze soukrome firmy, ktery dostava mesicni platby za to, ze je externim "garantem" pro GDPR, skola dostala jen jeho (falesne) ujisteni, ze zodpovednost jde za nim (neni to pravda).

Aby skolam s vyuzitim teto "bezplatne" sluzby pomohli, vyrojila se kavalkada "IT specialistu" na zivnostak, kteri nabizeji placene sluzby podpory a zaskoleni zamestnancu pro Google suite. Nestiti se na svych webovych strankach uvadet pocet "klientu", ktere takto Google ziskali.

Doporucuji: https://www.uoou.cz/kontrola-zpracovani-osobnich-udaju-zaku-v-souvislosti-s-pouzivanim-sluzby-google-suite-v-zakladni-skole-zakladni-skola-trutnov-2-mladeznicka-536/ds-4889

A ted konkretne. Nase ZS zalozila skolni ucet s komplet udaji o skole (nazev, sidlo). To zcela presne vymezuje bydliste (diky spadovosti skol na rekneme okruh 5 km)

Na "skolnim" uctu vytvorila jednotlive tridy (coz zcela presne udava vek, chcete-li datum narozeni zaku).

Bez predchoziho souhlasu rodicu v tech tridach rovnou vytvorili ucty zaku ve tvaru krestni jmeno a prijmeni. Navic se odvolavali na to, ze skola s tim nema pravne nic, jde o vztah mezi rodici zaka a Google, jehoz podminky musi rodic pred prvnim prihlasenim akceptovat.

V tu chvili ma strycek Google, ktery Vase data chrani a pouziva pouze "ke zlepsovani poskytovanych sluzeb svych a svych obchodnich partneru". Zakladni a zasadni sluzbou, kterou Google poskytuje, je placena inzerce s vyuzitim "anonymnich" dat o uzivateli, jeho preferencich a zejmena o jeho socialnich kontaktech.

Takto ma Google k dispozici udaje o jmene a prijmeni, bydlisti, veku + seznam spoluzaku.
Dale, verim tomu, ze 50% uzivatelu si neuvedomuje, ze by melo prihlaseni probehnout v novem, idelane anonymnim okne browseru, a hlavne, ze by se pak meli odhlasit.

Jinak ma Google k dispozici seznam ostatnich accountu pouzivanych stejnym browserem, ma k dispozici historii prochazeni (nijak se netyka vyuky).

Opravdu nestojim o to, aby jednou synovi zacaly chodit reklamy na zbozi zakoupene a "doporucovane" spoluzaky.

Skolu jsem informoval, ze porusili GDPR, ze trvam na okamzite anonymizaci uctu, minimalne tak, aby
zaci byli identifikovani jako "Frantisek K" nebo prezdivkami, misto neschvaleneho poskytovani zbytecnych udaju treti strane.

Zaroven jsem zadal o protokol o likvidaci protipravne (bez souhlasu rodicu) predanych dat treti strane (Google).

Vysledek:

- skola si plati nejakeho pravnickeho eleva jako GDPR poverence, ale ten se umi jen odkazat na zakonne lhuty
- pry jim sabotuju distancni vyuku, kdyz po nich chci, aby respektovali GDPR (zalezitost nekolik let stara),
a distancni vyuku pry chystali mene nez mesic (mam za to, ze od dubna do zari bylo casu dost).
- zadny protokol o likvidaci dat nejsou schopni z Google vyrazit, ten jim na GDPR kasle. Mohou pouze za sebe
prohlasit, ze oni data ve sluzbe Google "smazali" (mysli si to). Smesne.
- aby se mi pomstili, byt jsem jim :Frantiska F" navrhl, prejmenovali takto pouze spoluzaky mych deti, a moje
deti dostali 3 pismennou zkratku (ucitelka nastesti zvlada)

Podotykam, ze jako rodic na uctu ditete nemohu ani zmenit jeho udaje (administratorem tech uctu je skola),
ani kloudne zobrazit historii.

Z meho pohledu, pokud ma skola problem zverejnit fotky zaku na webu skoly chranene loginem,
ale nema problem spolupracovat s Google a bez souhlasu rodicu mu predavat data o zacich, je zde neco fatalne
spatne.

A pokud cely problem vnima jen jako "buzerovani" z me strany, coz bohuzel vnima, tak se mi chce uz jen zvracet.
BTW, to "smazani" a "anonymizace" probehlo patrne jen ve dvou tridach mych deti, na zbytek se
skola vykaslala. Nestezujes si, nemas narok ....

"Distancni vyuka" pres Google Suite az do dnes probehla v rozsahu 90 minut u obou deti

Zodpovědně prohlašuji, že v kapitole školství bude peněz dost. Problém ovšem je, že nedorazí na konec řetězce - tedy do konkrétní školy. Hodně peněz totiž cestou narazí na opravu vynalézavé způsoby odklánění :-)

Záleží jaké nakládání s osobními údaji dětí odsouhlasí rodiče škole. Já jsem známý potížista, který nedává svolení k jejich užívání na internetu, zejména sociálních sítích a nevím o tom, že by se našel ještě někdo takový. Ale na druhou stranu mě nic takového nepotkalí, naše zš škola používá google meet, kde se posílá odkaz na schpzku a je jedno z jakého to jde účtu. Jediný zádrhel byla online angličtina, kde učitelka chtěla, abych synovi vytvořil účet na nějakém polském webu, jehož podmínky jsem odmítnul odsouhlasit (spam, předávání os. údajů spřáteleným stranám) tudíž mi účet nebyl vytvořen o čemž jsem promptně paní učitelku informoval. Nějak se s tím vyrovnala.

Já to mám vyřešené tak, že jsem na všech souhlasech napsal, že mi nevadí prezentace činnosti dětí na webu (třeba webu školy), ale nejsmějí to být obecně sociální sítě a některé jmenovitě. Nemám čas řešit, kde se co objevilo, ale podle chování škol i dalších oganizací to vypadá, že GDPR řeší jen proto, že musejí, a pak na to úplně natvrdo prdí. Pokrytectví, bezohlednost, povýšenost, neznalost, neschopnost, lenost.

Tohle je mimochodem další věc - poskytnutí platformy pro prezentace školy opět koncepčně Ministerstvem (kým jiným?), aby se zabránilo tomuto bastličství a diletantství (zjevně často žalovatelným). Proč už na to nevzniknul tlak od škol? Vždyť si samy ty školy nabíhají na průser.

Chlape, jste fakt dobrej, velký respekt Vám! Samozřejmě teď Vám to lempli ze všech stran budou dávat sežrat, že jste si dovolil se postavil za svá práva, ale to je v ČR standardem - v současnosti něco podobného řeším (s průtahy odporujícími zákonu) s městským úřadem, v minulosti jsem to zažil i s dalšími aparáty.
Nahlodal jste mě - sice je u nás výuka přes Teams, což není až takový odpad jak Google, ale právně je to pořád špatně. Bylo by vhodné, aby to vyústilo v jednotné, právní, vládní řešení.

A ten odkaz za ÚOOÚ - že by první vlaštovky nápravy?

Ano, ta pokuta mě taky zarazila. Bylo to jen varování, nebo více nejde...?

Ono je to ještě trochu horší - školy jsou právními subjekty (kdyby se nevymýšlely v minulosti <|>viny, nemuselo tomu tak být), takže jestli to správně chápu, jsou za své jednání samostatně odpovědné. Na druhou stranu kdo by měl jednotně a koncepčně vytvářet podporu školám? Ministerstvo. Takže by se mělo zbráborat a rychle začít něco dělat, ale tahle vláda na nějakou koncepční činnost nevypadá. Takže tohle spíš vyžaduje plošný útok.

S tímhle přístupem skončíte u MS řešení. Ono to totiž funguje tak, že zákony se nevytváří ve vzduchoprázdnu, jejich znění je ovlivňováno lobisty z firemního prostředí. Všiml jsem si toho, když byly prosazeny zákony předcházející GDPR. Po schválení zákona se jakoby náhodou ukázalo, že jediným dodavatelem schopným garantovat všechny podmínky byl právě jen Microsoft a nikdo jiný. Samotné technické posuzování kvalit řešení od jiných výrobců se nekonalo, protože ta řešení z právních důvodů stejně nemohla být zavedena.

Google třeba nemůže splnit, aby data uživatelů byla jen na serverech v Evropě, protože z principu je chtějí mít distribuovaná po celém světě. Tím jsou u řady institucí zcela mimo hru. Microsoft to garantovat může, dedikované servery v Evropě má. Google v tom ale není jediný. Naprostá většina amerických technologických firem má servery v USA. I ty jsou pro evropské zákazníky mimo hru. Tržnímu prostředí v EU to neprospívá, protože tam zcela dominuje Microsoft. V USA mají aspoň nějakou konkurenci.

Google má v Evropě serverovny v UK, Holandsku, Francii, Švýcarsku, Německu a Finsku.
https://cloud.google.com/about/locations

Nevím jestli Google dokáže vyhovět GDPR. Pokud ne, tak bych si tipnul, že je za tím hlavně obchodní model Googlu. Ten v podstatě spočívá ve sběru osobních dat a jejich dalším prodeji, což se s evropskou legislativou nemá moc rádo. MS má těžiště svých příjmů úplně jinde, takže je pro něj zřejmě menší problém regulacím vyhovět.

Ano, Google má servery po celém světě. Ale data v téhle síti nejsou lokalizovaná, mohou se všelijak přesouvat. Kdysi to nějaký expert od Googlu zdůvodňoval tím, že takhle jsou schopni minimalizovat latence při přístupu k datům.Teď jsem narychlo našel tenhle odkaz, který to zčásti potvrzuje: https://support.google.com/mail/thread/16697922?hl=en . V případě některých googlích služeb to nemusí platit, vývoj jde překotně dopředu. Právní oddělení naší univerzity rozhodlo, že z tohoto důvodu služby od Googlu (kde hrozí zanesení osobních dat do jejich systému) používat nesmíme. Já to interpretuji tak, že legislativě některých států (nehovořím o ČR) Google v současné době vyhovět nedokáže.

Pokud to tak je, jde o volbu Googlu. MS i Amazon umí ukládat data v rámci jedné zóny. Azure mám více nastudovaný. Umí mimo jiné ukládat s replikací na geograficky oddělené lokality v rámci regionu (třeba Nizozemí a Irsko), nebo můžete použít třeba CDN.