Úniku dat si všiml učitel Libor Klubal, který následně upozornil server Hlídač státu zabývající se veřejnou kontrolou státních a veřejných institucí. Ten informaci zveřejnil na Facebooku s komentářem, že jsou ohroženy údaje až 140 tisíc žáků a je možné se dostat i k jejich citlivým údajům.
"Česká školní inspekce umožňuje komukoliv stáhnout seznam žáků minimálně 6. a 9. tříd základních škol včetně informací o jejich zdravotním znevýhodnění. Pozitivně jsme to včera otestovali a stáhli tisíce údajů během jedné hodiny," uvedl server na Facebooku.
Jak včera upozornil Libor Klubal, Česká školní inspekce umožňuje komukoliv stáhnout seznam žáků minimálně 6. a 9.tříd ZŠ včetně infa o jejich zdravotním znevýhodnění. Pozitivně jsme to včera otestovali a stáhli tisíce údajů během 1 hod. Ohroženy jsou osobní údaje včetně citlivých OÚ více než 140.000 žáků. Autory aplikace jsou dle (c) aplikací, použitých knihoven a komunikačních protokolů Ness Czech a itelligence, a.s.. Aplikace je podle data buildu stará 1 rok. Ministerstvo školství, mládeže a tělovýchovy a Úřad pro ochranu osobních údajů byly informováni před 24 hodinami, zatím bez reakce. Česká školní inspekce včera i dnes. původní zdroj zprávy: https://twitter.com/Libor_Klubal/status/1059845162254434310 cc Deník N iROZHLAS.cz Hospodářské noviny iDNES.cz Aktuálně.cz Novinky.cz Seznam Zprávy ČT24
Zveřejnil(a) Hlídač státu dne 07. November 2018
Platforma InspIS SET, na které mělo k úniku dat dojít, slouží k elektronickému ověřování výsledků žáků v jakémkoli ročníku i předmětu a slouží k domácímu i školnímu testování, výsledky jsou pak v systému k dispozici výhradně rodičům a jejich dětem.
Podle Klubala byl problém hlavně v nedostatečném zabezpečení platformy. "Jediný identifikační údaj, který platforma vyžaduje, bylo redizo školy (resortní identifikátor právnické osoby, který bývá uveden na webových stránkách škol nebo je dohledatelný v rejstříku ministerstva školství, pozn. red.). Jiné zabezpečení není. Došlo mi, že ve chvíli, kdy zadám redizo, mohu do systému zadat i jiné a dostat se tak jednoduše k údajům jiné školy," vysvětlil Aktuálně.cz Klubal.
GDPR v podání České školní inspekce? Ve volně dostupné testovací aplikaci stačí zadat REDIZO jakékoliv školy a stáhnete si jmenný seznam žáků s třídou a případným zdravotním znevýhodněním. co na to @michalblaha? #gdpr #fail
— Libor Klubal (@Libor_Klubal) November 6, 2018
Česká školní inspekce uznává, že problém v aplikaci byl, vyvrací však, že by se týkal tak velkého množství žáků, jak uvedl Hlídač státu. Na vině podle něj byla technická chyba, která nastala při úpravách systému a neodhalila ji ani následná kontrola.
"V důsledku této chyby bylo možné za určitých okolností zobrazit jméno a příjmení testovaných žáků v dané škole. Teoreticky tak mohlo dojít k zobrazení jména a příjmení u maximálně třiceti tisíc žáků, jakákoli jiná čísla jsou ale zcela nesmyslná," vysvětlil pro Aktuálně.cz náměstek ústředního školního inspektora Ondřej Andrys.
K žádnému prozrazení zadání testů, výsledků testování nebo jiných údajů podle něj nedošlo.
A odmítl také, že by bylo možné zjistit zdravotní indispozice žáků. "U žáků je uvedena informace, z jakého předmětu budou testováni, přičemž v některých případech je u toho předmětu ještě poznámka "SVP", tedy speciální vzdělávací potřeby. To znamená, že tento žák bude mít nějakým způsobem test upraven, například získá delší čas na jeho vyplnění. Tato informace nicméně neumožňuje určit konkrétní důvody, proč tomu tak je, a už vůbec neposkytuje informaci o nějakém konkrétním postižení nebo znevýhodnění žáka," dodal Andrys.
Podle Michala Bláhy z Hlídače státu je však tato argumentace chybná. "Nevíte sice, jakou má žák indispozici, ale víte, že má nějaký problém. To je jednoznačná indikace jeho omezení nebo zdravotního stavu, což je citlivý údaj a jeho zveřejnění je špatné. Navíc v drtivé většině tyto plány vychází ze zdravotního omezení," sdělil Bláha.
V současné době už nelze jméno a příjmení testovaných žáků identifikovat. Česká školní inspekce podle ministerstva školství slíbila, že chybu během středy odstraní.
