Dáta žiakov a AI: čo si má škola overiť

Skôr než nástroj použijete, zistite, čo presne zbiera. Zaznamenáva len výstupy, alebo aj priebeh práce, čas strávený pri úlohe, chyby, ktoré žiak robil? Tieto informácie by mal dodávateľ uviesť v podmienkach používania alebo v dokumentácii pre školy. Ak to tam nie je jasne napísané, spýtajte sa priamo alebo to overte s digitálnym koordinátorom školy. Mnoho vzdelávacích AI nástrojov dáta nezbiera alebo sa nich model netrénuje, dôležité je to však overiť u dodávateľa.

Dôležité otázky sú: kde sú dáta fyzicky uložené, ako dlho ich dodávateľ uchováva a či ich môže použiť na tréning vlastných modelov. Niektoré nástroje to robia automaticky, pokiaľ to explicitne nezakážete v nastaveniach. Ak si nie ste istí, čo platí pre nástroj, ktorý používate, opýtajte sa vedenia školy alebo si prečítajte podmienky používania. Mnoho vzdelávacích AI nástrojov dáta nezbiera alebo sa nich model netrénuje, dôležité je to však overiť u dodávateľa.

Do AI nástrojov nepatria mená žiakov, rodné čísla, zdravotné informácie, rodinné okolnosti ani akékoľvek iné údaje, ktoré by umožnili identifikovať konkrétneho žiaka. Ak potrebujete pracovať s reálnymi príkladmi, používajte anonymizované verzie alebo vymyslené scenáre. Toto pravidlo platí aj vtedy, keď ste presvedčení, že daný nástroj je bezpečný. Pravidlá školy k ochrane údajov by mali byť jasne formulované a dostupné každému učiteľovi.

Mnohé nástroje umožňujú nastaviť, čo sa zbiera a čo nie, kto má prístup k dátam alebo či sa výstupy ukladajú. Nájdite si tieto nastavenia ešte pred prvým použitím nástroja so žiakmi a skontrolujte, či zodpovedajú tomu, čo od nástroja očakávate. Ak neviete, kde nastavenia nájsť, pomôže digitálny koordinátor, dokumentácia dodávateľa alebo sa skúste spýtať AI.

Každá škola by mala mať jasnú osobu zodpovednú za ochranu osobných údajov, v mnohých prípadoch je to poverená osoba pre GDPR alebo digitálny koordinátor. Uistite sa, že toto meno poznáte ešte predtým, ako nastane problém. Ak si nie ste istí, kto to je na vašej škole, spýtajte sa vedenia. Rýchla reakcia pri úniku alebo zneužití dát môže výrazne obmedziť škody.

Niektorí rodičia alebo žiaci môžu mať oprávnené výhrady voči tomu, ako konkrétny nástroj nakladá s údajmi, a majú právo tieto výhrady vzniesť. Pripravte si alternatívny spôsob splnenia úlohy, ktorý nevyžaduje použitie daného nástroja.

Škola by mala mať jasné pravidlo: do AI nástrojov vstupujú len anonymizované alebo neosobné dáta. V praxi to znamená napríklad používanie vymyslených mien žiakov, vyhýbanie sa nahrávaniu dokumentov s osobnými údajmi a pravidelnú kontrolu toho, čo učitelia do nástrojov vkladajú. Anonymizácia by nemala byť len odporúčaním, ale konkrétnym postupom zakotveným v internej smernici školy.

Informovanosť je základ dôvery. Žiaci a ich rodičia by mali vedieť, čo sa deje s ich dátami, a to zrozumiteľným jazykom, nie len odkazom na päťdesiatstranové podmienky používania. Rovnako učitelia by mali mať k dispozícii jednoduchý prehľad pravidiel pre každý nástroj, ktorý škola používa. Zvážte vytvorenie jednostránkového prehľadu pre každý nástroj, ktorý škola zaradila do výučby.

Overte si u dodávateľa, kde sú dáta fyzicky uložené, kto k nim má prístup a či môžu byť použité na iné účely, napríklad na tréning modelov alebo na komerčné účely. Ak zmluva s dodávateľom toto explicitne nezakazuje, je potrebné ju doplniť alebo nástroj prehodnotiť. Údaje žiakov musia slúžiť výlučne vzdelávaniu, nie tretím stranám.

Pred zavedením nástroja do školy overte, aké možnosti nastavenia škola ako inštitúcia má. Školská licencia alebo administrátorský prístup by mali umožňovať vypnúť zbieranie nepotrebných dát, obmedziť prístup žiakov k určitým funkciám alebo nastaviť pravidlá uchovávania údajov. Ak dodávateľ tieto možnosti neposkytuje, je to dôvod na opatrnosť. Správu nástrojov by mal mať na starosti digitálny koordinátor alebo IT správca školy.

Každá škola by mala mať vopred pripravený postup pre prípad rôznych incidentov: únik dát, zneužitie údajov alebo pochybné správanie nástroja. Postup by mal zahŕňať, kto problém prijíma a eviduje, kto ho rieši interne, kedy a ako sa informujú dotknuté osoby, teda žiaci a rodičia, a kedy je potrebné kontaktovať Úrad na ochranu osobných údajov, SK-CERT alebo CSIRT v prípade ohrozenia kybernetickej bezpečnosti. Tento postup by mal byť písomný, dostupný každému zamestnancovi a pravidelne aktualizovaný.