«Я прочитал(-а) соглашение и согласен(-на)…», или о персональных данных в образовании

Несколько мыслей о законности сбора и раскрытия персональных даннных учащихся в России.

Время чтения: 8 минут
«Я прочитал(-а) соглашение и согласен(-на)…», или о персональных данных в образовании

С традиционным бумажным миром вроде бы всё понятно: есть документы, идентифицирующие личность (к примеру, паспорт, водительские права, военное удостоверение), и эти данные точно никому сообщать без необходимости нельзя, и любой банк вас просит подписать согласие на их обработку. Это и есть персональные данные, которые нуждаются в законной защите.

В интернете всё несколько сложнее: до сих пор не очень понятно, кто, как и какие данные имеет право хранить, обрабатывать, распространять и раскрывать.

Моя фотография в соцсети с другим именем позволяет установить мою личность? А моё настоящее имя с другим фото? А мои данные как работника конкретной компании? Вопрос вообще-то сложный.

Из официального комментария Роскомнадзора к закону 152-ФЗ:

Так, к числу данных, которые не могут рассматриваться, по крайней мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения. Другие идентификаторы сами по себе не определяют однозначно конкретное физическое лицо. Такие данные должны быть отнесены к персональным данным только в том случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо.

Много можно вспомнить курьёзных случаев с раскрытием личности преступников, лайкнувших пост о своём розыске в соцсети или обнаруживших своё местонахождение после долгих игр в прятки с полицией. Это скорее иллюстрации человеческой глупости, чем возможной угрозы невинным людям, исходящей от всезнающей сети.

Жадность, тщеславие и глупость в одной фотографии.

Источник: semsocial.ru

А вот как быть с историями, в которых замешаны алгоритмы? Вот алгоритм распознавания лиц Facebook ещё в 2013 году помог вычислить преступника. А в 2014 году начата разработка технологии глубокого распознавания DeepFace, которая способна вычислить идентичность лица на фотографиях, вне зависимости от угла поворота, условий освещённости и качества фотографии. В социальной сети этот алгоритм предполагается применять для того, чтобы предложить пользователю те фотографии, на которых он запечатлён, но мы же понимаем, что только таким способом применения дело не ограничится.

Здесь есть важный момент: для возможного отслеживания, на которое дал согласие (в большинстве случаев даже об этом не подозревая) каждый из миллиарда активных пользователелей Facebook. Ведь никто не читает лицензионных соглашений.

Соглашение такой длины прочитали бы, возможно, все.

Источник: pikabu.ru

Совсем недавно Google обвиняли в незаконном сборе данных несовершеннолетних пользователей. В чём именно заключалась незаконность? Собственно, только в отсутствии согласия родителей, поскольку предустановленный сервис Google Education распространялся в нескольких школьных округах США вместе с ноутбуками Chromebook. Просто окажись в архивах администрации этих школ бумажки с подписями родителей, и всё бы, возможно, было в норме.

Возможно — это потому, что в сети действуют те же законы о правомерности собираемых данных, что и в настоящей жизни. Вот, к примеру, массовый онлайн-курс просит указать вашу страну, уровень вашего дохода, уровень вашего образования, вашу специальность. Полезная вроде бы вещь для дальнейшей статистики. А имеет ли право эта электронная платформа так делать? В принципе, да, если она пообещает никому эти данные дальше не передавать, не перепродавать, не использовать в рекламных целях и прочее. А уж дальше, если она это обязательство нарушит, пользователь может требовать сатисфакции. Только попробуй-ка отследи и предъяви достаточные доказательства того, что неприкосновенность твоей персональной информации была нарушена.

tweet-602781812021186560

В прошлом году Роскомнадзор приступил к мониторингу сайтов образовательных организаций для выявления нарушений закона 152-ФЗ о персональных данных. Иными словами, смотрели сайты школ, детских садов, интернатов и местных администраций, и выясняли, какие персональные данные находятся в открытом доступе. По словам представителей Роскомнадзора, на многих сайтах выкладываются имена и фамилии детей, дата их рождения, часто — адрес проживания, сведения о социальном статусе родителей и принадлежности ко льготной категории.

 
Антонина Приезжева
заместитель главы Роскомнадзора

Речь идет о многодетных семьях, матерях-одиночках, безработных родителях, детях сотрудников правоохранительных органов, детях судей, ребятах, оставшихся без попечения родителей. На одном сайте образовательного учреждения даже был опубликован список детей, направляемых на психоневрологическую комиссию.

Против такого подхода в США объединяются родители и даже организовали целую коалицию активистов за приватность данных учеников и студентов. Американские родители видят в этом дискриминацию и нарушение тайны частной жизни. По российским законам точно так же требуют повышенных мер защиты данные, касающиеся расо­вой, национальной принадлежности, по­литических взглядов, религиозных или философских убеждений, состояния здо­ровья, интимной жизни. Тема непростая, но сводится так или иначе к одному: человек вправе выбирать, кому он предоставляет свои данные, и знать, что с этой информацией будет происходить далее. Согласие должно быть информированным.

Но эта прошлогодняя новость интересна не столько этической и правовой стороной. Увидеть свою фамилию на проиндексированной поисковиком странице в списке направленных на медкомиссию мало того, что неприятно, но и незаконно, поскольку с такой информацией имеет право работать только медицинский работник.

В Роскомнадзоре считают нарушением и публикацию списков победителей олимпиад, соревнований и конкурсов. Более того, считают нарушением даже с учётом информированного согласия родителей. Хотя, на минуточку, общедоступными данными с согласия субъекта этих данных являются: фамилия, имя, отчество, год и место рождения, адрес, абонент­ский номер, сведения о профессии.

Тем не менее, вот какой выход предлагает Роскомнадзор: подобного рода данные можно публиковать либо в обезличенном виде, либо присваивая субъектам персональных данных идентификационные номера.

Кадр из фильма «Страна хороших деточек»

Источник: km.ru

Писать: «один мальчик пробежал 100 м за такое-то время», — это же смешно.

— Сергей Погодиндиректор школы №4 г. Нелидово Тверской области

 

При этом по правилам проведения Всероссийской олимпиады для школьников образовательная организация обязана публиковать результаты на своём сайте. То неловкое чувство, когда требования от разных органов и законотворческих актов разного уровня противоречат друг другу и самим себе. Но, конечно, определения Федерального закона приоритетны, и требования Роскомнадзора по удалению списков победителей олимпиады с сайта учреждения, в которых с согласия родителей указаны только фамилии, имена и отчества детей, явно незаконны.

Дело становится ещё сложнее, когда в обработку данных вмешиваются так называемые «средства автоматизации». Вот как раз электронные дневники и системы управления классом считаются попадающими под статью про обработку персональных данных с помощью средств вычислительной техники, поскольку все они предполагают наличие статистического модуля, возможность выгрузки статистики, переформатирование данных и прочее.

Весной этого года был скандал с Дневником.ру — были громкие заголовки в стиле «Данные 5 миллионов школьников утекли в офшор», причём особое внимание уделялось тому, что компания зарегистрирована на Кипре. Вот что говорил Бурматов:

изучение порядка базового (бесплатного) подключения школ и школьников к системе Дневник.ру показало, что данные несовершеннолетних имеют примитивную систему защиты и не предусматривают использования программно-аппаратных средств шифрования при передаче данных через открытые каналы (сеть Интернет) при коммуникациях с пользователями и имеют минимальную защиту только на стороне ООО Дневник.ру.

Какие такие данные «утекают», и какие такие системы защиты были реализованы не в полном объёме, конечно, уточнено не было. Как не было уточнено и то, что каждая школа, подключающаяся к системе электронного дневника, обязательно берёт письменное согласие родителей. А уж для ведения электронного дневника никаких данных детей, кроме фамилии, имени, отчества и даты рождения, не требуется. Претензии к регистрации юридического лица тоже бессмысленны в контексте персональных данных; нарушение закона могло бы быть, если бы сервера для обработки и хранения этих данных располагались за пределами Российской Федерации, но ведь и об этом ни слова!

Слишком мало здравого смысла и слишком много паники на пустом месте.


Что почитать самостоятельно:

Вот здесь очень подробный пост доктора экономических наук Анатолия Борисовича Вифлеемского и Игоря Григорьевича Лозицкого «Обработка персональных данных в школе», где подробно рассмотрены все нюансы, которые нужно учесть администрации школы в условиях информационного пространства. А вот рекомендации Михаила Кушнира со стороны тех, кто предоставляет услуги электронного дневника: общие рекомендации и рекомендации с поправкой на последнюю редакцию закона.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl+Enter.
14 декабря 2015, 16:30

Оставайтесь в курсе


У вас есть интересная новость или материал из сферы образования или популярной науки?
Расскажите нам!
Присылайте материалы на hello@newtonew.com
--