přejít na obsah přejít na navigaci

Linux E X P R E S, Seznamte se s Moodle: Díl 3 - GDPR a jeho řešení v Moodle

Seznamte se s Moodle: Díl 3 - GDPR a jeho řešení v Moodle

moodle100.png

Implementace GDPR je v evropském prostoru bezpodmínečnou nutností, čemuž se musely přizpůsobit i globálně používané systémy, mezi které lze zařadit i nejrozšířenější open-source systém pro e-learning Moodle, který jsme si představili v minulých dílech našeho seriálu.


Pro potřeby článku budeme používat terminologii GDPR, tedy pojem správce ve smyslu správce údajů. Uživatele spravujícího systém Moodle jsme označili pojmem administrátor, i když jej ve světě Moodle označujeme jinak.

Je Moodle skutečně globální systém? Toto tvrzení podpoříme zatím jen základními statistikami – je využíván na více než 100 000 registrovaných serverech ve více jak 200 zemích (https://moodle.net/stats/ dost. 01/2019). Administrátoři Moodle znají hlavní zdroj SW a znalostí o Moodle, jeho web moodle.org, zpřístupňuje cesty pro stahování SW a doplňků (pluginů), udržuje diskusní fóra moodlovské komunity atd.

Moodle je primárně umístěn v Austrálii (+ další zrcadlené servery). Za správu odpovídá australská společnost Moodle Pty. Ta si je vědoma rozšíření Moodle ve státech EU a v souvislosti s tím vnímá i právní požadavky, které EU nařízením GDPR stanovila. Z toho důvodu společnost Moodle Pty přistoupila k realizaci portálu https://moodle.org/ v souladu s požadavky GDPR a ty implementovala i do balíku Moodle.

Uživatelé (v roli administrátorů) Moodle mají tedy možnost nainstalovat nebo aktualizovat stávající vzdělávací systém Moodle tak, aby mohli implementovat Nařízení EU o ochraně osobních údajů známé pod zkratkou GDPR. Je jisté, že pouhá instalace vhodné verze SW nestačí. Předmětem příspěvku nebude, CO máte v Moodle jako administrátoři realizovat, ale JAK budete požadavky v oblasti GDPR realizovat.

CO znamená, že:

  • znáte zásady/politiky, podle kterých se řídíte při správě uživatelských účtů a jejich příslušných dat,
  • víte, zda a jak budete o těchto zásadách/politikách uživatele informovat,
  • pro případné digitálně nezletilé uživatele máte připravený postup registrace,
  • ze zásad vyplývá, jak dlouho budete udržovat/spravovat profily uživatelů,víte, z jakých zákonných důvodů data uživatelů spravujete.

Potom tedy nezbývá, než stanovit manažera osobních údajů, tj. uživatele odpovědného za realizaci GDPR v konkrétní instanci Moodle. Uživatel v této roli je odpovědný za komunikaci s uživateli, schvalování/odmítnutí jejich požadavků na správu údajů, popř. rušení profilů, podrobnosti o uživatelích atp.

Oblast GDPR lze pomocí přístupových práv rozdělit na:

  • Policy – zásady,
  • ataprivacy – ochrana osobních údajů.

Obr. 1 Obr. 1

Zásady

Zásady, někde označované také jako politiky ochrany osobních údajů, mají stanovený obsah rozsahu informování subjektů o zpracování jeho osobních údajů. Postupy zveřejňování a informování uživatelů se mohou lišit, proto je Moodle připraven na možné varianty:

  • Zobrazuje pouze odkaz na zásady, o kterých informuje. Pokud je uživatel registrován a aktivní, je jeho souhlas zajištěn jinou cestou.
  • Při registraci bere v úvahu věk a právní prostor a nedovolí webovou registraci „digitálně nezletilým“ uživatelům, kteří se musí zaregistrovat nepřímo zákonným zástupcem. Některé kroky musí provozovatel řešit mimo systém.
  • Od uživatele lze požadovat souhlas se sadou zásad, které provozovatel připraví. Zásady lze kategorizovat (zásady stránek, OÚ, 3. stran aj.), verzovat a určit povinnost či nepovinnost.

Administrátor Moodle má k dispozici nástroj pro správu zásad, přehledy o souhlasech a nástroje pro udělení souhlasu v zastoupení. Uživatel má zásady a své souhlasy přístupné ve svém profilu.

Obr. 3 Obr. 2

Ochrana osobních údajů

Část spravující ochranu osobních údajů jsme logicky oddělili od zásad, protože realizuje postupy vyžadované nařízením GDPR, jak pro subjekt údajů, tak pro provozovatele systému Moodle. Z pohledu uživatele je profil rozšířen o blok Soukromí a zásady. Má k dispozici žádost o informace, export jeho dat, požadavek na odstranění účtu a přehled souhlasů. Stažený soubor stačí rozbalit a zobrazit v prohlížeči.

Odstranění účtu je součástí deklarovaných práv subjektu OÚ. Tady není situace tak jednoznačná, protože je nutné respektovat i hledisko oprávněnosti vedení záznamů a plnění povinností správce údajů. Student školy nemůže požádat o odstranění osobních údajů z informačního systému školy, protože slouží k povinnostem ze zákona.

Obr. 4 Obr. 3

Obr. 4 Obr. 4

Nástroj administrátora – Registr údajů

Hlavním nástrojem pro řízení ochrany údajů v souladu s nastavenými politikami, které vychází z GDPR, je Registr údajů. Registr údajů obsahuje Kategorie a Účel. Kategorie slouží k rozlišení dat, nepopisují účel. Účel popisuje právní důvod uchovávání dat a dobu uchování dat (retenční období) a určuje, zda důvod uchování je silnější než požadavek subjektu na odstranění dat. V určitých případech se tedy individuální požadavek na odstranění dat v retenčním období neakceptuje.

V Registru údajů lze tedy rozlišit kurzy ze zákona, jejichž absolvováním je splněna na určitou dobu povinnost zaměstnance, a volitelné kurzy s jiným dosahem retence. Nastavení Registru údajů bude tedy nejdůležitějším bodem funkčnosti systému dle GDPR. Registr je hierarchický a lze využít dědění nastavení pro nižší úrovně kontextů.

Na základě Registru údajů jsou sledovány a vyhodnocovány následující kontexty:

  • Uživatel – vyhodnocují se uživatelé, jejichž poslední přihlášení bylo před dobou uchování, která je nastavena pro tento kontext. Vybraným lze odstranit profil a účet.
  • Kurz – z kurzů budou odstraněny záznamy uživatelů.
  • Činnosti a zdroje – z těchto objektů budou odstraněny záznamy uživatelů.
  • Bloky – z těchto objektů budou odstraněny záznamy uživatelů.

Takto spravované instalace Moodle zveřejňují Souhrn uchovávaných dat, což je jednoduchý přehled výchozích hodnot kategorií.

Subjekt údajů

Uživatel jako subjekt údajů nakonec v systému zůstává i po odstranění OÚ, ale pouze jako důkaz o požadovaném nakládání s profilem. Odstranění uživatelé se vyskytují pouze v tomto přehledu, jejich výstupy nejsou dostupné, příkladem je položka v diskusním fóru.

Závěr

Cílem příspěvku bylo představit systém Moodle jako vzdělávací nástroj, který provozovatelům bude vyhovovat pro realizaci jejich vzdělávacích potřeb a přitom je nezklame ani v legislativních požadavcích. Moodle je i v tomto kontextu přizpůsobivý a bude plně respektovat potřeby provozovatelů. Pro potřeby administrace Moodle je možné uvažovat o rozdělení kompetencí a oddělení role pro administraci ochrany osobních údajů. Systém Moodle má možnost vytváření a přidělení rolí vybraným uživatelům, tedy i správci osobních údajů a digitálním nezletilcům.

V následujícím příspěvku o Moodle se seznámíme s vývojem a udržitelností projektu Moodle.

Michal Bajer, Bohumil Havel

Autoři článku působí ve společnosti PragoData Consulting, která je certifikovaným Moodle partnerem pro Českou republiku.

Nahoru

Přidat téma diskuse

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Administrator


  • Grafické prostředí: GNOME


Geotronic

Public Relations

Český startup umožňuje automatické investování

PortuPortu je první online automatizovaná investiční platforma v Česku. Sestaví vám portfolio na míru a vy se nemusíte o nic starat – jen sledovat, jak vaše peníze pracují za vás.

Pokračování ...


Redakční blog

Pavel Fric

Pavel Fric, 26. leden

MuseScore 3

První aktualizace třetí řady notačního editoru MuseScore


Redakce

Redakce, 21. prosinec

Pište pro LinuxEXPRES

Baví vás Linux? Pište o něm, není to nic těžkého. LinuxEXPRES hledá nové autory.


Pavel Fric

Pavel Fric, 23. říjen

Nové motivy pro přehrávač Sayonara

Pomozte rozšířit možnost měnit vzhled programu za běhu


Všechny blogy »

eXo space