Přijímačkový web Cermatu má nový problém. Porušuje pravidla GDPR, kritizuje spolek
ELEKTRONICKÉ PŘIHLÁŠKY
Nový systém k podávání elektronických přihlášek vznikal z politického rozhodnutí narychlo a jeho start obchází kontroverze. Po úvodních peripetiích, které se Cermatu podařilo rychle překonat, přichází další kritika. Nový web Dipsy.cz zpracovává vzhledem k povaze věci značné množství citlivých údajů nezletilých uchazečů o studium. Podle Spolku pro ochranu osobních údajů má však zřejmě právě s touto oblastí problém a obsahuje zásadní chyby z pohledu GDPR.
Systém DiPSy se měl minulý čtvrtek otevřít veřejnosti, organizace ho spustila o den později. Cermat spuštění systémů pozdržel kvůli problémům s nahráváním příloh a následnému ověření bezpečnosti. Bek minulý týden uvedl, že personální změny v Cermatu zatím dělat nechce. Podle něj je nejdříve potřeba analyzovat příčiny problému. Vyžádal si od ředitele Miroslava Krejčího analýzu příčin jednodenního zpoždění.
Další pochybnosti vzbudil samotný vývoj, na kterém se měl podílet i ředitelův syn. Synovi ředitele Cermatu Miroslava Krejčího vyplatila tato příspěvková organizace nepřímo desítky tisíc korun. Krejčí dříve serveru Seznam Zprávy řekl, že jeho syn dostal od Cermatu zaplaceno za různé práce, které pro organizaci dělal, asi 50 000 korun hrubého. Šlo podle něj například o grafiku pro maturitní zpravodaj, práci na aplikaci Tau (Trénuj a uč se) nebo práci na webu prihlaskynastredni.cz. Aplikace Tau má studentům pomoci s procvičováním přijímacích testů na střední školy. Na webu Dipsy.cz pak měl pracovat zadarmo.
Začínají se však objevovat pochybnosti i o dalších aspektech „narychlo“ připraveného řešení. Podle Spolku pro ochranu osobních údajů totiž web zejména z hlediska transparentnosti zpracování citlivých údajů zřejmě porušuje pravidla, která vychází především z nařízení o ochraně osobních údajů (GDPR).
„MŠMT provádí rozsáhlé a citlivé zpracování osobních údajů nezletilých (a jejich zákonných zástupců) a informace o tomto zpracování jim poskytuje jen velmi nedostatečně, jestli vůbec. Možná jsou někde hluboko na webu skryty, ale i takovýto případný komplikovaný přístup by byl porušením GDPR, informace musí být snadno dostupné v okamžiku shromažďování osobních údajů. Podle názoru Spolku to vysílá poměrně špatný signál, zejména těm studentům, kteří se o svoje práva aktivně zajímají. A pak také školám i dalším organizacím ve veřejném i soukromém sektoru, které se snaží o maximální transparentnost,“ uvedl pro deník Echo24 místopředseda výboru spolku František Nonnemann.
Spolek poukazuje na to, že server shromažďuje nejen identifikační údaje, ale i ty kontaktní či informace o předchozím vzdělávání či specifických potřebách dětí. „I s ohledem na počet očekávaných zájemců o studium na střední škole se jedná o poměrně rozsáhlé a rizikové zpracování osobních údajů. Proto je podle názoru Spolku nutné věnovat pečlivou pozornost pravidlům pro zpracování a ochraně osobních údajů, která jsou upravena především v obecném nařízení o ochraně osobních údajů (GDPR),“ dodal František Nonnemann.
Jednou z hlavních zásad GDPR je podle něj právě transparentnost zpracování osobních údajů, lidé tak mají mít jasně a čitelně dostupné informace o tom, proč jsou údaje v daném rozsahu shromažďované, jakým způsobem a jak dlouho budou zpracovávány a kdo další k nim zároveň může získat přístup. „Smyslem principu transparentnosti je, aby dotčené osoby měly kontrolu nad svými údaji, věděly, kdo a proč k nim má přístup a mohly uplatnit svá práva,“ dodal František Nonnemann. Podle spolku informace nejsou jasně dostupné na webu Dipsy.cz, ale ani na webu Cermatu, tedy provozovatele, či na webu ministerstva školství.
Redakce oslovila s dotazy k dodržování pravidel o ochraně osobních údajů i státní organizaci Cermat, do vydání textu však neodpověděla. Není to ale poprvé, co se řeší „opomenutí“ pravidel ohledně ochrany soukromí ze strany státních institucí. V minulosti měla kupříkladu ministerstva problém s novými pravidly ohledně cookies, jak tehdy popisoval server iRozhlas.
