Moodle a přípravy na GDPR

V květnu 2018 vstupuje v platnost nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR). Jde o novou legislativu EU, která výrazně zvyšuje ochranu osobních dat občanů. GDPR se týká nejen všech firem a institucí, ale také jednotlivců a online služeb, které zpracovávají data uživatelů. Bude tak mít velký dopad na oblast bezpečnosti IT.

Dle Symantecu (viz zde) však stále více jak 80% firem není na toto nařízení připraveno – a přitom za jeho nedodržení hrozí astronomické pokuty.

Moodle v současné době tomuto evropskému nařízení nevyhovuje, a tak je třeba urychleně řešit „co s tím“.

Výkonný ředitel a zakladatel Moodle Martin Dougiamas si je tohoto problému naštěstí vědom a tak přislíbil, že Moodle podnikne všechny potřebné kroky k tomu, aby tento e-learningový systém vyhovoval GDPR ještě před platností tohoto nařízení v Evropě.

Je třeba vyřešit požadavky například na „možnost exportovat své osobní údaje a další záznamy“ nebo „poskytnout uživateli právo na to být zapomenut“ – čili smazat veškeré studijní záznamy uživatele ze vzdělávacího systému.

Postoj Moodle k ochraně dat a jeho nová bezpečnostní politika

Dne 22. srpna Moodle oficiálně zveřejnil aktualizované směrnice pro ochranu osobních dat uživatelů ve spojení s GDPR. Blíže se s nimi můžeme seznámit na stránce “GDPR For Administrators”. Tato stránka obsahuje kontrolní seznam 12 otázek týkajících se Moodlu. Jde například o následující otázky:

  • Používají vaše stránky nezletilí?
  • Používáte osobní údaje svých uživatelů pro marketingové účely?
  • Vyžadujete od uživatelů předchozí souhlas s pravidly používání stránek?
  • Sdílíte sesbíraná data s třetími stranami?
  • Má vaše organizace více než 250 zaměstnanců?

Na této stránce nalezneme také doporučenou strukturu Pravidel používání stránek, která obsahuje 10 bodů aktualizovaných s ohledem právě na požadavky GDPR.

Nová dokumentace a seznam změn a úkolů v Moodle Trackeru

Pro další technické detaily Moodle zveřejnil také dva úkoly na tracker.moodle.org. V současné době jde o otevřené případy, ke kterým se tak může komunita vyjadřovat a navrhovat své nápady k implementaci změn, které s GDPR přicházejí.

Anonymizovaná data k analýze jen se souhlasem a další omezení

V otevřené diskusi, kterou zahájil právě Martin Dougiamas, zaznělo také upozornění na další požadavky, které GDPR přináší. Jedná se zejména o omezení ve využívání anonymních dat pro generalizaci – například při analýze demografických údajů.

Mezi tyto požadavky patří však také následující:

  • Uživatelé by měli dávat svolení i k využívání anonymizovaných dat
  • Uživatelé mohou kdykoli toto svolení vzít zpět
  • Organizace by měly upřednostňovat minimální využívání dat uživatelů a tato data vymazat obratem jakmile již nějsou potřeba
  • Vytvořit podskupinu tzv. „citlivých údajů“, které by nesměly být shromažďovány a dále využívány za žádných okolností

Bohužel analýza celkového dopadu GDPR na oblast e-learningového vzdělávání je stále na začátku, a tak není prozatím  úplně jasno například v tom, jak konkrétně mohou organizace nakládat se studijními záznamy uživatelů.

GDPR začne platit v květnu roku 2018 s dvouletým zkušebním obdobím. Další informace získáte například na stránkách Úřadu pro ochranu osobních údajů (zde).