Prečo riešiť súkromie v školách
Školy spracúvajú veľké množstvo osobných údajov detí, rodičov a zamestnancov – od dochádzky, známok a zdr. ospravedlnení až po fotografie z podujatí či triedne diskusné skupiny. Riziká nesprávneho spracovania sú nielen právne (sankcie, reputácia), ale aj ľudské: dlhodobé stopy dieťaťa na internete, kyberšikana, neoprávnené profilovanie či zneužitie údajov tretími stranami. Tento článok ponúka ucelený rámec pre školy, zriaďovateľov a rodičov, ako nastaviť fotenie, triedne skupiny a cloudové služby tak, aby boli bezpečné a v súlade so zásadami ochrany súkromia.
Právny rámec a roly: kto je za čo zodpovedný
- Prevádzkovateľ: škola (spracúva údaje a určuje účely a prostriedky).
- Sprostredkovateľ: dodávatelia služieb (cloud, elektronická žiacka knižka, fotograf). Musí existovať písomná zmluva o spracúvaní (DPA) s presnými povinnosťami.
- Dotknuté osoby: žiaci a rodičia/zákonní zástupcovia.
Školy ako verejné inštitúcie spravidla spracúvajú údaje na právnom základe zákonnej povinnosti alebo plnenia úlohy vo verejnom záujme (napr. vedenie klasifikácie, dochádzky). Pri nepovinných aktivitách (propagácia školy, publikovanie fotografií na web a sociálne siete, marketing) je obvyklým právnym základom informovaný a odvolateľný súhlas rodiča/žiaka (v primeranom veku), prípadne sa zvažuje povolené spracúvanie na základe oprávneného záujmu (typicky nie pre orgány verejnej moci pri plnení ich úloh). Špeciálne kategórie údajov (zdravie, biometria) vyžadujú zvýšenú ochranu; samotná fotka nie je zvláštna kategória, no rozpoznávanie tváre by ňou už byť mohlo.
Zásady spracúvania: minimalizmus, transparentnosť, bezpečnosť
- Minimalizmus údajov: zbierajte len to, čo je nevyhnutné; pri fotení – minimum identifikátorov (bez menoviek, triedy v popise, geotagov).
- Účelové viazanie: účel definujte vopred (napr. interná dokumentácia, kronika, PR školy) a nepoužívajte fotky mimo tohto účelu bez nového právneho základu.
- Transparentnosť: zrozumiteľné oznámenia (Privacy Notice) – čo, prečo, na ako dlho a s kým sa zdieľa.
- Bezpečnosť: technické a organizačné opatrenia (šifrovanie, prístupové práva, logovanie).
- Obmedzená doba uchovávania: definujte retenčné lehoty a praktiky mazania/archivácie.
Fotenie v školách: pravidlá a postupy
- Matica účelov: rozlíšte interné (dokumentácia, rodičovské konto, ročenka) vs. verejné (web, sociálne siete, mestský spravodaj) použitie. Pre verejné publikovanie spravidla vyžadujte predchádzajúci súhlas.
- Informovanie vopred: pred podujatím informujte rodičov a žiakov, uveďte zóny fotenia a kontaktný bod na uplatnenie práv.
- Opt-out/bezpečné zóny: vytvorte zónu bez fotenia; v zoznamoch organizátorov jasne označte žiakov bez súhlasu (bez stigmatizácie).
- Identifikátory na fotkách: vyhnite sa kombináciám tvár + meno + trieda + miesto + dátum. Nepoužívajte geotagy.
- Profesionálni fotografi: uzavrite DPA, definujte prenosy, retenčné lehoty, spôsob odovzdania a mazania surových dát.
- Práva dotknutých: umožnite jednoduché odvolanie súhlasu a odstránenie fotiek z online kanálov.
Príklady vhodných a nevhodných scenárov fotenia
| Scenár | Vhodné nastavenie | Na čo si dať pozor |
|---|---|---|
| Školská akadémia | Vopred získaný súhlas pre verejné publikovanie; zóna bez fotenia | Detailné zábery maloletých s menami a rozvrhom – nepublikovať |
| Bežná výučba | Interná dokumentácia bez identifikátorov; obmedzený prístup | Live-streaming z triedy na sociálne siete – zakázať |
| Školský výlet | Fotky v uzavretej rodičovskej galérii; časové obmedzenie | Geotagované „v reálnom čase“ príspevky – riziko bezpečnosti |
Triedne skupiny: výber platformy a pravidlá
Triedne skupiny sú užitočné na koordináciu aj komunikáciu s rodičmi, no predstavujú reputačné a právne riziká. Formálne je vhodné, aby oficiálny informačný kanál školy prebiehal cez schválenú platformu s DPA a kontrolou prístupov. „Neoficiálne“ skupiny rodičov by nemali suplovať oficiálnu komunikáciu školy.
Porovnanie komunikačných platforiem (orientačne)
| Platforma | Šifrovanie | Riadenie prístupov | Moderácia a archív | Vhodnosť pre školu |
|---|---|---|---|---|
| Signal/Threema | End-to-end (predvolene) | Pozvánky, kontrola členov | Obmedzená integračná vrstva | Dobré pre menšie skupiny (učiteľ-rodičia) |
| End-to-end (chat) | Správcovia skupín | Menej formálne, slabšie audity | Len neoficiálne; nie na citlivé info | |
| Microsoft Teams / Google Chat | Transport + enterprise kontrola | Azure/Google Admin, skupiny tried | Archivácia, DLP, audit | Vhodné pre oficiálnu komunikáciu |
| E-žK / Portál školy | Podľa dodávateľa | Účty školy, roly | Oficiálne oznamy, známky | Primárny kanál; právne bezpečný |
Pravidlá správania v triednych skupinách
- Účel a rozsah: organizačné oznamy, nie zdieľanie citlivých údajov (zdravie, SPODaSK, kázeň).
- Moderácia: aspoň dvaja správcovia (učiteľ + zástupca školy); logovanie zmien členov.
- Privátne správy: nevyužívať na „neformálne“ riešenie incidentov; presmerovať na oficiálne kanály.
- Retencia: staré konverzácie pravidelne archivovať/mazať; vypnúť automatické ukladanie médií do galérie zariadení.
- Ochrana identity: nevystavovať zoznam detí a rodičov verejne; používať iba krstné mená/rolu, ak to stačí.
Cloud pre žiakov: výber, zmluvy, technické opatrenia
Cloudové balíky (Google Workspace for Education, Microsoft 365 Education, Nextcloud a pod.) zásadne uľahčujú výučbu. Kľúčom je správna voľba a konfigurácia:
- DPA a podmienky spracúvania: jasné roly, subdodávatelia, miesto spracovania, doba uchovávania, mazanie účtov po ukončení štúdia.
- Transfery do tretích krajín: ak dochádza k prenosu mimo EÚ/EHP, vykonajte Transfer Impact Assessment, použite štandardné zmluvné doložky a dodatočné technické opatrenia (šifrovanie s kľúčmi pod kontrolou školy).
- Identita a prístupy: študentské účty s minimálnymi oprávneniami, role-based access, silné heslá alebo passkeys, povinné 2FA aspoň pre pedagógov a administrátorov.
- Izolácia dát: oddelené tenants/organizational units pre žiakov, učiteľov a externistov; obmedzenie zdieľania mimo domény.
- Retencia a životný cyklus účtov: automatické deaktivovanie a export portfólia pri odchode žiaka, následné mazanie.
- Logovanie a DLP: auditné logy, alerty na masové zdieľanie, detekcia citlivých reťazcov (rodné čísla), obmedzenie sťahovania na nezaregistrované zariadenia.
- BYOD a správa zariadení: pravidlá pre vlastné zariadenia (MDM/UEM light), minimálne: zámok obrazovky, aktualizácie, šifrovanie disku, zákaz „root/jailbreak“.
Špecifiká práce s detskými účtami
- Najmenší potrebný prístup: žiaci nemajú mať možnosť vytvárať verejne zdieľané odkazy bez schválenia.
- Viditeľnosť profilov: vypnúť zobrazovanie zoznamov tried pre mimo-doménové účty; zobrazovať iba inštitucionálne e-maily.
- Obsah a normy správania: jasný Acceptable Use Policy (AUP), oznamovanie kyberšikany a eskalácia.
Technická bezpečnosť: minimum, ktoré musí byť
- Šifrovanie v pokoji a pri prenose: TLS 1.2+, storage šifrovanie; pre citlivé zložky end-to-end, ak je to možné.
- Silná autentizácia: minimálne 2FA pre učiteľov a admins; preferované hardvérové kľúče pre administrátorov.
- Segmentácia a zásada nulovej dôvery: samostatné siete pre hosťov, učiteľov a žiakov; blokovanie peer-to-peer zdieľania, izolácia VLAN.
- Zálohovanie a obnova: pravidelné testy obnovy triednych dát (zadania, portfólia), verzovanie dokumentov.
- Aktualizácie a patch management: centrálne riadené aktualizácie zariadení v počítačových učebniach a školských notebookoch.
Dokumentácia: čo mať pripravené
- Záznamy o spracovateľských činnostiach: účely, kategórie údajov, príjemcovia, lehoty, ochranné opatrenia.
- DPIA (posúdenie vplyvu na ochranu údajov): pre fotografie publikované online vo veľkom rozsahu, plošné kamerové systémy, rozsiahle cloudové spracúvanie alebo nové technológie.
- Interné smernice: fotenie a publikovanie, triedne skupiny, správa cloudových účtov, incident management.
- Incident Response Plan: kto čo robí pri úniku/omylnej publikácii (oznámenie dozornému orgánu, informovanie rodičov, technická náprava).
Rodičia a žiaci: práva a dobrá prax
- Práva: prístup k údajom, oprava, vymazanie (tam, kde sa opiera o súhlas), obmedzenie spracúvania, námietka, odvolanie súhlasu bez postihu.
- Rozumné zdieľanie: rodičovské skupiny nech nezdieľajú fotky iných detí bez súhlasu ich rodičov; vyhnúť sa tagovaniu menami.
- Bezpečnosť zariadení: zámok obrazovky, aktualizácie, nepoužívať pracovné/školské účty na súkromné účely a naopak.
Najčastejšie chyby škôl (a ako sa im vyhnúť)
- Publikovanie fotiek detí s menami a ďalšími identifikátormi (trieda, miesto, čas) – oddeľte identifikátory a používajte skupinové, široké zábery.
- „Divoké“ triedne skupiny bez pravidiel – ustanovte oficiálny kanál a pravidlá; citlivé témy mimo chat aplikácií.
- Neexistujúce DPA s fotografom alebo cloudom – uzavrite zmluvy a overte subprocesorov.
- Neobmedzené zdieľanie dokumentov mimo domény – default „internal only“, audit odkazov, časovače exspirácie.
- Chýbajúca retencia – nastavte lehoty a automatické mazania; po ukončení štúdia účty odstrániť.
Kontrolný zoznam (tl;dr)
- Definujte účely fotenia; verejné publikovanie len so súhlasom a bez zbytočných identifikátorov.
- Zriaďte oficiálnu komunikačnú platformu s DPA; nastavte pravidlá a moderáciu triednych skupín.
- Vyberte cloud s jasným DPA, obmedzte zdieľanie mimo domény, povoľte 2FA a logovanie.
- Vytvorte smernice a DPIA pre rizikové spracúvania; majte plán reakcie na incidenty.
- Školte učiteľov, žiakov aj rodičov o bezpečnom zdieľaní a právach dotknutých osôb.
Súkromie v školách nie je prekážkou modernej výučby – je to rámec, ktorý chráni deti aj pedagógov a zvyšuje dôveru v digitálne nástroje. Ak škola jasne pomenuje účely fotenia, nastaví pravidlá triednych skupín, vyberie a nakonfiguruje cloud s dôrazom na bezpečnosť a minimalizmus údajov, dosiahne lepšie výsledky pri menšom riziku právnych aj reputačných problémov.
