Z databáze české státní instituce lze získat jmenné seznamy žáků druhého stupně základních škol, a to včetně informací o jejich zdravotním znevýhodnění. Bezpečnostní chyba se dotýká odhadem 140 tisíc dětí. Upozornil na ni pedagog a školitel Libor Klubal, věc pak prověřil a potvrdil Michal Bláha v rámci projektu Hlídač státu.
Chyba se týká aplikace, kterou distribuuje Česká školní inspekce v rámci Informačního systému pro správu škol InspIS. Ta je volně ke stažení na webu České školní inspekce a umožňuje pořídit jmenný výpis žáků jakékoli školy po zadání identifikačního čísla ředitelství školy (tzv. REDIZO), které má každá škola uvedeno na svých webových stránkách, nebo je dohledatelné v rejstříku škol.
Web České školní inspekce označí Chrome jako nebezpečný, má totiž neplatný certifikát https. To je ale jen maličkost ve srovnání s aktuálním problémem.
Ačkoli se Česká školní inspekce k problému zatím nijak nevyjádřila, je pravděpodobné, že již došlo k nápravě. Sami jsme se pokusili věc ověřit a data se již po zadání kódu nestahují.
Jedná se o velmi vážné pochybení obzvlášť v situaci, kdy je v platnosti evropské nařízení pro ochranu osobních údajů GDPR. Autory aplikace jsou podle copyrightu uvedeného v aplikaci společnosti NESS a.s. a Itelligence a.s., poslední aktualizace proběhla před rokem. S kontrolou s ohledem na GDPR se tedy zjevně nikdo nezabýval, nehledě na to, že i bez GDPR se jedná o vážnou chybu.