Зарубежные практики обработки персональных данных в школе biarmicus's blog / 27.06.2013 Вопрос о том, как следует должным образом работать с персональными данными в школах - далеко не праздный. После принятия в нашей стране закона ФЗ-152 на школы упала непривычная ноша "оператора персональных данных", с которой, судя по новостным сообщениям, далеко не всем удается успешно справляться. В такой ситуации далеко не лишним кажется посмотреть на то, как решается вопрос об обработке персональных данных в зарубежных образовательных системах.В США, где законодательство в отношении персональных данных складывается на протяжении уже более, чем сорока лет, обращает на себя внимание то, что законодательную основу работы с персональными данными образовательных учреждений составляет специальный закон - FERPA (Family Educational Rights and Privacy Act), который учитывает реалии документооборота, специфические для образования. Естественно, школа, как и любая организация, работающая с населением и предоставляющая услуги большому количеству людей, является оператором персональных данных - как и больница или отдел социального обеспечения. Без этих данных она просто не могла бы существовать - школа не может иметь дело просто с группой анонимных граждан. Другое дело, что структура этих данных и уровни доступа к ним должна быть тщательно выстроена - без этого неизбежны накладки и даже правонарушения.Прежде всего, надо понимать, что далеко не вся информация, с которой имеет дело школа, является персональными данными. В самом общем виде, персональные данные - это только та информация, которая позволяет однозначно идентифицировать индивида и выявить другие его свойства и качества. Неперсональные данные (non-personally identifiable information). Многие информационные элементы являются персональными данными только в связи с другими элементами. Так, если школа запрашивает у родителей ребенка данные об их национальной, расовой принадлежности, уровне дохода и т.д., то такие данные будут являться персональными. Если же по просьбе школы, например, социологи проводят анонимный опрос жителей района, то сообщенные им и обобщенные данные, не "привязанные" к конкретным людям, не будут являться персональными. Персональные данные (personally identifiable information). Естественно, школа чаще всего имеет дело с конкретной информацией, привязанной к конкретному учащемуся и его родителям. Причем, какие-то из этих данных школа производит сама (табель успеваемости конкретного учащегося), а к какой-то получает доступ от других операторов персональных данных (данные о состоянии здоровья учащегося, получаемые от медицинских учреждений).Согласно FERPA в структуре персональных данных, с которыми имеет дело школа, выделяется две большие категории - образовательные данные (educational records) и не-образовательные данные (non-educational records). Образовательные данные. К этой категории относятся любые персональные данные об учащихся школы, необходимые для нормального функционирования школы и учебного процесса., например:- отметки;- списки классов;- учебные расписания учащихся;- дисциплинарные записи;- данные о родителях учащихся, необходимые для обеспечения учебного процесса;… и многое другое.Не входят в категорию образовательных данных и являются, таким образом, не-образовательными, хотя и участвующими в документообороте школы:- личные наблюдения за работой учащихся, которые делают преподаватели в ходе и после своих уроков, не показывая их кому-либо;- записи о выпускниках школы;- результаты взаимооценивания учащихся и т.д.С не-образовательными данными у школы не должно возникать каких-либо проблем, поскольку они затрагивают только периферийные области работы школы. Гораздо сложнее ситуация с образовательными данными, поскольку их неоправданное или несанкционированное разглашение может причинить вред учащемуся, его родителям или самой школе. Вместе с тем засекречивать всю информацию и делать доступ к ней излишне затрудненной было бы неправильно, поскольку это парализовало бы работу школы и сделало бы невозможным любую ее публичную деятельность. Поэтому, согласно закону FERPA, все образовательные персональные данные, с которыми имеет дело школа, подразделяются еще на две большие категории - неуязвимые (directory information - не способные причинить какой-либо вред субъекту данных) и уязвимые (non-directory). К категории неуязвимых данных относится информация самого общего характера, которую можно найти в любом телефонном справочнике и предоставление которой не может причинить какого-либо ущерба субъекту данных. К ним относятся:- имя учащегося;- область профилизации;- годы обучения в школе;- участие в общешкольных мероприятиях;- полученные награды;- "официальная" фотография (например, в выпускном альбоме класса). Неуязвимые данные - это информация, которая может быть предоставлена третьей стороне (например, репортеру местной газеты). Однако, американский закон требует, чтобы родителям учащихся была предоставлена возможность принять решение и сообщить школе о своем несогласии с передачей такой информации - если речь не идет об экстренной ситуации медицинского или правоохранительного характера. Другое дело - уязвимые данные, которым относятся:- дата рождения учащегося;- гражданство;- вероисповедание;- пол;- материальное состояние семьи;- итоговые и экзаменационные оценки;- медицинские сведения;- факты биографии родителей и т.д.Поскольку неправомочное использование этих данных может принести вред их субъектам, их разглашение или передача третьим лицам без согласия самих субъектов и их родителей запрещено законом. Как мы видим, структура персональных данных, которой придерживается американская школа, весьма развита. Однако она позволяет школе организовывать эффективный документооборот без риска причинения вреда субъектам персональных данных. базы данных обработка персональные данные