Moodle a GDPR

moodle-gdpr

Moodle a GDPR

Nejprve obecně …

GDPR je obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation). Přináší poměrně radikální změny legislativy EU, která má za cíl výrazně zvýšit ochranu osobních dat občanů Evropské unie. Jedná se o nařízení, což v praxi znamená, že se jím MUSÍ členské státy řídit a na rozdíl od směrnice nemůže být implementován s místními specifiky (až na výjimky). Přijetí nových pravidel formou nařízení má za cíl jednotnou platnost v celé Evropské unii a má zamezit specifickým úpravám a ohýbání na úrovni jednotlivých členských států.

GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu. Tedy i všech, kteří provozují Moodle :-(. Nařízení vstoupí v platnost 25. května 2018.

Novinky, které přináší:

Je extrateritoriální

Extrateritorialita je princip, kdy se nové nařízení nevztahuje pouze na subjekty, které mají sídlo v Evropské unii, ale rovněž na všechny, kteří svoje služby a zboží na území EU nabízejí.

Vztahuje se na zpracovatele dat

Novinka pro čisté zpracovatele osobních údajů – například společnosti, které poskytují cloud služby. V současném znění zákona o ochraně osobních údajů byl vždy a v plné míře odpovědný provozovatel služby (správce). Odpovědnost na zpracovatele mohl přenášet na zpracovatele smluvně.

Nyní nově bude mít přímou odpovědnost (i) zpracovatel stejně jako provozovatel (nebo majitel chcete-li) dané služby. Správce je povinný hodnotit kvalitu zpracovatele.

Výrazné posílení práv subjektů informací

Nově definovaná práva subjektu (=osoba jejíž osobní údaje zpracováváme):

  • Jednoznačný souhlas
  • Posílení práv na přístup a na námitku
  • Právo na zapomnění
  • Právo na přenos informací
  • Ochrana proti auto-rozhodování a profilování

Oznamování narušení bezpečnosti

V současné legislativě nejsou správci ani zpracovatelé povinni informovat subjekty o narušeních (incidentech). Nově JSOU tito povinni informovat.

Transfer dat

Nově by měl být schopen správce dat poskytnou VŠECHNY údaje, které o subjektu eviduje. Tyto údaje by měl poskytnout ve vhodné podobě tak, aby je bylo možné dále zpracovávat.

Velké pokuty

Za porušení jsou stanoveny obrovské pokuty až 20 mil. EUR, resp. až 4% celkového celosvětového obratu obratu firmy.

Jak na to s MoodlemMoodle

V první řadě bychom Vás rádi informovali, že vývojáři Moodle s tímto počítají a že intenzivně pracují na plánu potřebných aktivit. Tyto aktivity se týkají kompletně celého portálu postaveného na Moodle. Od registrace nových uživatelů, po zpracování logů a práce s anonymizovanými daty. Lze tedy říct, že z hlediska technického (softwarové řešení) bude Moodle v květnu připraven.

Opravdu?

Ano, ale je potřeba pro to samozřejmě něco udělat. Do května 2018 se zmíněné úpravy nedostanou do standardní distribuce. To znamená, že nejprve budou úpravy dostupné pomocí pluginů pro verze Moodle 3.3 a 3.4. Následně se změny dostanou do základní instalace Moodle verze 3.5 na konci května letošního roku (2018).

To tedy znamená, že prvním předpokladem pro soulad vašeho portálu s podmínkami GDPR je mít aktualizovaný portál na minimálně verzi Moodle 3.3 a očekávat vydání pluginů, které pomohou sladit současné procesy s novým nařízením.

Bohužel ale toto není vše! Dále je zapotřebí zpracovat spoustu rozsáhlé dokumentace například pro postup při řešení incidentů.

Pomůžeme vám!

S řešením upgrade systému Moodle, ale i s pomocí zpracování dokumentace.

Můžete se obrátit na oficiálního Moodle partnera společnost PC HELP, a.s.