V květnu 2018 vstupuje v platnost nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR). Jde o novou legislativu EU, která výrazně zvyšuje ochranu osobních dat občanů. GDPR se týká nejen všech firem a institucí, ale také jednotlivců a online služeb, které zpracovávají data uživatelů. Bude tak mít velký dopad na oblast bezpečnosti IT.
Dle Symantecu (viz zde) však stále více jak 80% firem není na toto nařízení připraveno – a přitom za jeho nedodržení hrozí astronomické pokuty.
Moodle v současné době tomuto evropskému nařízení nevyhovuje, a tak je třeba urychleně řešit „co s tím“.
Výkonný ředitel a zakladatel Moodle Martin Dougiamas si je tohoto problému naštěstí vědom a tak přislíbil, že Moodle podnikne všechny potřebné kroky k tomu, aby tento e-learningový systém vyhovoval GDPR ještě před platností tohoto nařízení v Evropě.
Je třeba vyřešit požadavky například na „možnost exportovat své osobní údaje a další záznamy“ nebo „poskytnout uživateli právo na to být zapomenut“ – čili smazat veškeré studijní záznamy uživatele ze vzdělávacího systému.
Postoj Moodle k ochraně dat a jeho nová bezpečnostní politika
Dne 22. srpna Moodle oficiálně zveřejnil aktualizované směrnice pro ochranu osobních dat uživatelů ve spojení s GDPR. Blíže se s nimi můžeme seznámit na stránce “GDPR For Administrators”. Tato stránka obsahuje kontrolní seznam 12 otázek týkajících se Moodlu. Jde například o následující otázky:
- Používají vaše stránky nezletilí?
- Používáte osobní údaje svých uživatelů pro marketingové účely?
- Vyžadujete od uživatelů předchozí souhlas s pravidly používání stránek?
- Sdílíte sesbíraná data s třetími stranami?
- Má vaše organizace více než 250 zaměstnanců?
Na této stránce nalezneme také doporučenou strukturu Pravidel používání stránek, která obsahuje 10 bodů aktualizovaných s ohledem právě na požadavky GDPR.
Nová dokumentace a seznam změn a úkolů v Moodle Trackeru
Pro další technické detaily Moodle zveřejnil také dva úkoly na tracker.moodle.org. V současné době jde o otevřené případy, ke kterým se tak může komunita vyjadřovat a navrhovat své nápady k implementaci změn, které s GDPR přicházejí.
- Issue MDL-59286: Collection of changes in Moodle that will assist in GDPR compliance
- Issue MDL-59617: Create documentation for GDPR compliance for Moodle Administrators
Anonymizovaná data k analýze jen se souhlasem a další omezení
V otevřené diskusi, kterou zahájil právě Martin Dougiamas, zaznělo také upozornění na další požadavky, které GDPR přináší. Jedná se zejména o omezení ve využívání anonymních dat pro generalizaci – například při analýze demografických údajů.
Mezi tyto požadavky patří však také následující:
- Uživatelé by měli dávat svolení i k využívání anonymizovaných dat
- Uživatelé mohou kdykoli toto svolení vzít zpět
- Organizace by měly upřednostňovat minimální využívání dat uživatelů a tato data vymazat obratem jakmile již nějsou potřeba
- Vytvořit podskupinu tzv. „citlivých údajů“, které by nesměly být shromažďovány a dále využívány za žádných okolností
Bohužel analýza celkového dopadu GDPR na oblast e-learningového vzdělávání je stále na začátku, a tak není prozatím úplně jasno například v tom, jak konkrétně mohou organizace nakládat se studijními záznamy uživatelů.
GDPR začne platit v květnu roku 2018 s dvouletým zkušebním obdobím. Další informace získáte například na stránkách Úřadu pro ochranu osobních údajů (zde).