cart-icon Товаров: 0 Сумма: 0 руб.
г. Нижний Тагил
ул. Карла Маркса, 44
8 (902) 500-55-04

Правила обработки персональных данных в образовательном учреждении: Правила обработки персональных данных

Содержание

Персональные данные

27 июля 2006 г. был принят Федеральный закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина в процессе защиты его личных данных, неприкосновенности частной жизни, личной и семейной жизни.
Принятие данного закона привело к появлению многочисленных фактов, подтверждающих, что в государственной и коммерческой структуре их продажа была полностью подтверждена. Закон вступил в силу 1 июля 2011 года.

МБОУ Школа №121 г.о Самара является оператором, осуществляющим обработку персональных данных сотрудников, учащихся и их родителей (законных представителей), а также физических лиц, состоящих в договорных отношениях с  МБОУ Школа №121 г.о Самара. Образовательное учреждение занесено в РЕЕСТР операторов, осуществляющих обработку персональных данных на сайте РОСКОМНАДЗОРА

Нормативные документы

Федеральный закон от 27.07.06  № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Федеральный закон от 27. 07.2006 № 152-ФЗ «О персональных данных».

Постановление Правительства Российской Федерации от 17.1107 № 781 «Об утверждении положений об использовании персональных данных».

Постановление Правительства Российской Федерации от 15.09.08 года № 687 «Об утверждении положений об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации».

Постановление Правительства Российской Федерации от 06.07.08 № 512 «Об утверждении требований к физическим носителям биометрических данных и технологиям хранения данных». 

Приказ Директора ФСТЭК России от 05.02.10 № 58« Об утверждении положений о средствах и способах защиты информации в персональных данных ».

Совместный приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.08.08 «Об утверждении порядка проведения информационных систем персональных данных

Документы, регламентирующие обработку персональных данных 

Инструкция по организации парольной защиты информационных систем персональных данных

Перечень персональных данных, обрабатываемых в МБОУ Школа № 121 г. о. Самара

Перечнь должностей работников МБОУ Школа № 121 г.о. Самара, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным 

Порядок доступа служащих и сотрудников в помещения, в которых ведется обработка персональных данных

Правила обработки персональных денных, осуществляемой без использования средств автоматизации

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

Правила работы с обезличенными персональными данными

Правила расмотрения запросов субъектов персональных данных или их представителей

Положение об обработке персональных данных работников

Положение об обработке персональных данных учащихся и третьих лиц

Политика  обработки персональных данных

Положение о системе видеонаблюдения

Полезные ссылки

Адрес ресурса

Описание

 http://персональныеданные. дети

Информационно-развлекательный сайт для детей и подростков, направленный на изучение вопросов, связанных с защитой прав субъектов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

www.ispdn.ru

ресурс  посвящен законодательным, правовым, юридическим, техническим, теоретическим и практическим аспектам защиты персональных данных. Пользователи отвечают на все интересующие вопросы.

Портал персональных данных Роскомнадзора

портал по персональным данным от Роскомнадзора. На ресурсе можно найти все необходимое  и актуальное, форум с насущными вопросами пользователей, реестр операторов ПДн и электронную форму уведомления о начале обработки ПДн.

ИСПДн.инфо

ресурс отличается интересными статьями о защите персональных данных, а так же актуальные новости о проверках Роскомнадзора каждый день.

Блог о персональных данных

блог о персональных данных и правоприменении основополагающего закона

Законодательство в области персональных данных

на данном ресурсе приведен полный перечень законодательства Российской Федерации в области персональных данных

WikiSec 

полезный ресурс, направленный на повышение грамотности в области персональных данных в частности и защиты информации в целом.

Роскомнадзор

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Является Уполномоченным органом по защите прав субъектов персональных данных, осуществляет контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации

ФСТЭК

Федеральная служба по техническому и экспортному контролю. Осуществляет контроль и надзор за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий (требования по защите информации от несанкционированного доступа и утечки по техническим каналам).

ФСБ 

Федеральная служба безопасности Российской Федерации. Осуществляет контроль и надзор за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне ИСПДн в пределах своих полномочий (требования в области криптографии).

Персональные данные(термины)

МБДОУ «Детский сад № 90»

  • Главная
  • Сведения об образовательной организации
  • Особенности организации образовательного процесса
  • Прием детей в учреждение
  • Безопасность ДОУ
  • Новости детского сада «Вот как мы живем»
  • Для Вас, родители!
  • Летне- оздоровительная работа ДОУ
  • Противодействие коррупции
  • Результаты независимой оценки качества образовательной деятельности
  • Обработка персональных данных
  • Санитарно-эпидемиологические правила и нормативы
  • Дистанционный детский сад

Важно: Об опасности употребления СНЮС!

Информационные материалы по профилактике употребления некурительной никотиносодержащей продукции:

Материалы разработаны Роспотребнадзором по Нижегородской области.

На электронную почту Роспотребнадзора по Нижегородской области [email protected] Вы можете направить информацию о фактах продажи такой продукции (место продажи с указанием адресной точки, этикетки с продукции).

Портал «Растимдетей.рф»

О недопустимости незаконных сборов!

Письмо МОНО от 19 ноября 2019 года «О незаконных сборах денежных средств в образовательных организациях»


Письмо МОНО от 23 сентября 2016 года №316-01-99-4733/1600 «О незаконных сборах денежных средств в образовательных организациях»

Актуальная Информация:

Результаты независимой оценки качества образовательной деятельности

Единый реестр сайтов, содержащих запрещенную информацию

Безопасные детские сайты:

  • Главная
  • Обработка персональных данных

Для соблюдения требований закона N 152-ФЗ «О персональных данных» (ПДн) детский сад должен получить от родителей каждого воспитанника согласие на обработку персональных данных. Без такого согласия мы не сможем вести учет Ваших детей в привычном режиме. 

Мы гарантируем, что данные Ваших детей будут использоваться только для организации образовательной деятельности. Данные о воспитанниках используются и передаются в медицинские учреждения (в поликлинику при прохождении диспансеризации, оформлении медицинских справок 086-у, проведения вакцинации), в санитарно-эпидемиологическую службу (при возникновении нештатных ситуаций), охранные службы в экстренных ситуациях (пожар), в департамент образования (статистические отчеты), администрацию города  (защита интересов детей), в структурные подразделения органов внутренних дел, Комиссию по делам несовершеннолетних, органы опеки, управление социальной защиты населения.

Мы прекрасно понимаем, что определение «общедоступности» вызывает у Вас оправданную настороженность. Со своей стороны, обращаем Ваше внимание на многолетний опыт взаимодействия: все это время мы фактически работали в режиме, который теперь назван общедоступным.

Мы используем современные общеизвестные средства защиты от несанкционированного доступа и за все годы ни одной жалобы на утечку информации не поступало. Гарантируем и в дальнейшем заботливо относиться к Вашим персональным данным.

В отношении тех, кто не даст согласие на обработку данных, должна быть выполнена норма 152-ФЗ по блокированию обработки данных: Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных.
п.5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

 В этом случае персональные данные ребенка блокируются в «Личном деле», исключаются из всех информационных систем детского сада и отсутствуют во всех учетных документах. Ребенок принимает участие только в тех мероприятиях, которые не сопровождаются составлением списка участников.

Обработка персональных данных, предусмотренных настоящим Федеральным законом, осуществляется только с согласия родителей в письменной форме. 

Основной целью обработки персональных данных обучающихся является обеспечение наиболее полного исполнения образовательным учреждением своих обязанностей, обязательств и компетенций, определенных Федеральным законом «Об образовании в Российской Федерации».

Целями обработки персональных данных обучающихся являются:

  • обеспечение соблюдения законов и иных нормативных правовых актов;
  • учет детей, подлежащих обучению в образовательном учреждении;
  • соблюдение порядка и правил приема в образовательное учреждение;
  • индивидуальный учет результатов освоения обучающимися образовательных программ, а также хранение архивов данных об этих результатах на бумажных носителях и/или электронных носителях;
  • учет реализации права обучающихся на получение образования в соответствии с государственными стандартами в форме самообразования, семейного образования, на обучение в пределах этих стандартов по индивидуальным учебным планам;
  • учет обучающихся, нуждающихся в социальной поддержке и защите;
  • учет обучающихся, нуждающихся в особых условиях воспитания и обучения и требующих специального педагогического подхода, обеспечивающего их социальную реабилитацию, образование;
  • использование в уставной деятельности с применением средств автоматизации или без таких средств, включая хранение этих данных в архивах и размещение в информационно-телекоммуникационных сетях с целью предоставления доступа к ним;
  • заполнение базы данных автоматизированной информационной системы управления качеством образования в целях повышения эффективности управления образовательными процессами, проведения мониторинговых исследований в сфере образования, формирования статистических и аналитических отчётов по вопросам качества образования;
  • обеспечение личной безопасности обучающихся;
  • планирование, организация, регулирование и контроль деятельности образовательного учреждения в целях осуществления государственной политики в области образования.

Могут ли родители (законные представители) не давать свое согласие на обработку персональных данных ребенка? Чем это грозит?

Детский сад будет оперировать только фамилией именем и отчеством ребенка, поскольку согласно Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» персональные данные (ПДн) – это данные, позволяющие идентифицировать субъект ПДн. Для того чтобы идентифицировать субъект ПДн, необходима определенная совокупность его персональных данных. Например, на основании только ФИО невозможно идентифицировать субъект. В случае, если помимо ФИО присутствуют дополнительные персональные данные (например, паспортные сведения: дата рождения, адрес и т.д.), такой набор персональных данных позволяет однозначно идентифицировать субъект. Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными, и на их обработку согласие не требуется.

НО! Что делать с Личным делом и Медицинской картой ребенка? Вы их заберете? Даже если нет, то детский сад без подписанного вами Согласия не сможет использовать (обрабатывать и распространять) ПДн, а следовательно ПДн ребенка не будут внесены в базы данных, следовательно, ребенок не сможет получить медицинское обслуживание, не сможет участвовать (при желании) в конкурсах и т. д.

Почему в Согласии на обработку ПДн должны указываться паспортные данные родителя (законного представителя)?

Эти данные вносятся на основании статьи 9, п. 4.1 и п. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Почему в Согласии на обработку ПДн указано, что оно действует бессрочно?

Согласно закона персональные данные хранятся в течение 75 лет, а в некоторых базах данных и дольше. Но Вы в любой момент можете отозвать свое Согласие, например, после того, как Ваш ребенок закончит обучение в нашем детском саду.

Нормативные документы по защите персональных данных

Федеральный закон от 27 июля 2006 года №152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»

Указ Президента Российской Федерации от 6 марта 1997 года №188  «ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА»

Постановление Правительства Российской Федерации от 17 ноября 2007 года №781

Постановление Правительства Российской Федерации от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года №55/86/20  «Об утверждении Порядка проведения классификации информационных систем персональных данных»

Приказ Роскомнадзора от 28 марта 2008 г. N 154  «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»

Письмо Рособразования от 3 сентября 2008 года №17-02-09/185 «О представлении уведомлений об обработке персональных данных»

Письмо Рособразования от 27 июля 2009 года №17-110 «Об обеспечении защиты персональных данных»

Приказ Мининформсвязи России от 30 января 2010 г. №18«Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» 

Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»

Документы определяющие политику МБДОУ «Детский сад № 90»

в отношении обработки персональных данных

Политика в отношении обработки персональных данных МБДОУ «Детский сад № 90»


Согласие (форма для сотрудников) на обработку персональных данных


Заявление о приеме воспитанника в детский сад


 

 

 


Публикация персональных данных, в том числе фотографий, производится в соответствии с Федеральным законом РФ № 152-ФЗ «О персональных данных» от 27. 07.2006 г.

Законы о конфиденциальности данных и соблюдение нормативных требований в сфере образования

Глобальный переход к цифровому обучению, ускоренный вспышкой Covid-19, оказывает огромное влияние на систему образования — от персонализированного обучения и повышения вовлеченности до снижения затрат и более регулярного обучения. обновленный контент.

Внедрение облачных технологий привело к широкому использованию таких технологий, как приложения для обмена файлами и инструменты для совместной работы, помогающие в обучении. А академические учреждения собирают все больше данных, чтобы повысить качество обучения и лучше обслуживать своих студентов.

Но в то же время во всем мире вступают в силу новые законы о защите данных, чтобы укрепить права людей на неприкосновенность частной жизни в сегодняшней среде, управляемой данными. В результате школы, колледжи, университеты и поставщики услуг электронного обучения теперь должны соблюдать гораздо более строгие требования к конфиденциальности данных.

В этом посте мы рассмотрим некоторые последствия законодательства о защите данных в сфере образования. Но сначала мы объясним, что такое соблюдение, и рассмотрим три наиболее важных закона, влияющих на отрасль.

Что такое соблюдение конфиденциальности данных?

Многие пытаются понять, что на самом деле означает соответствие требованиям, часто путая его с тесно связанными понятиями, такими как конфиденциальность данных, защита данных и кибербезопасность.

Итак, чтобы устранить любые недоразумения, давайте кратко уточним наиболее важные термины:

  • Конфиденциальность данных: Ваше юридическое обязательство защищать конфиденциальность отдельных лиц путем надлежащего обращения с личными данными. Другими словами, как вы можете собирать, хранить, делиться и разрешать доступ к персональным данным в соответствии с законом.
  • Кибербезопасность: Используемые вами меры безопасности, такие как шифрование и брандмауэры, для предотвращения несанкционированного доступа к компьютерным системам и данным.
  • Защита данных: Технические меры, необходимые для защиты данных от компрометации, повреждения или потери, охватывающие не только кибербезопасность, но и стратегии резервного копирования и обеспечения непрерывности бизнеса.
  • Соответствие: Обеспечение соответствия закону о конфиденциальности данных путем выполнения определенных требований к технологиям и организационным процедурам и практикам.

Ключевые законы о конфиденциальности данных

Более 80 стран по всему миру приняли комплексные национальные, провинциальные или отраслевые правила конфиденциальности и защиты данных. Наиболее важными для сектора образования являются следующие:

Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA)

FERPA — это давно действующий закон США о неприкосновенности частной жизни, который применяется к образовательным учреждениям, получающим федеральное финансирование. По сути, это предоставляет родителям доступ к записям об образовании их детей и степень контроля над тем, как эта информация может быть раскрыта.

Однако эти права обычно переходят к ребенку, когда ему исполняется 18 лет, и ни школа, ни отдельные сотрудники не могут разглашать свою информацию без их согласия.

Правила FERPA широко охватывают конфиденциальную личную информацию , такую ​​как сведения об оценках или поведении. Однако это также относится к другим типам личной информации (PII) , таким как имена, адреса и номера телефонов. Это может быть раскрыто при условии, что родители или учащиеся будут уведомлены и им будет предоставлено достаточно времени, чтобы возразить против раскрытия информации.

Общий регламент по защите данных (GDPR)

GDPR вступил в силу в 2018 году с целью согласования большого количества отдельных национальных законов о защите данных в единый набор правил для регулирования конфиденциальности данных в Европе.

Законодательство укрепило права европейцев на неприкосновенность частной жизни, предоставив им больший контроль над своими данными за счет большей прозрачности, более строгих условий, регулирующих сбор личных данных, и права отдельных лиц на удаление своих личных данных.

Хотя GDPR является законодательством ЕС, он оказал огромное влияние на практику обеспечения конфиденциальности данных во всем мире, поскольку защищает личные данные граждан Европейской экономической зоны (ЕЭЗ) независимо от того, где находится компания, которая обрабатывает и хранит эти данные. Это означает, что GDPR распространяется на университеты США, в которых часто бывает много иностранных студентов. Это также касается поставщиков услуг электронного обучения и других учебных заведений, предлагающих услуги европейским студентам.

Закон Калифорнии о конфиденциальности потребителей (CCPA)

Закон CCPA разработан для защиты конфиденциальности граждан Калифорнии и в значительной степени рассматривается как образец законов о конфиденциальности данных в США. Он имеет много общего с GDPR; однако он больше ориентирован на продажу личных данных, требуя согласия на это любого жителя Калифорнии в возрасте до 17 лет, что делает его особенно актуальным для некоторых учебных заведений. Кроме того, калифорнийцы всех возрастов имеют право знать, продаете ли вы их личную информацию, и отказаться, если они того пожелают.

Как и в случае с GDPR, действие закона носит глобальный характер, поскольку он применяется к любому коммерческому предприятию, ведущему бизнес в Калифорнии. CCPA обычно затрагивает только поставщиков услуг электронного обучения, поскольку он не распространяется на организации с некоммерческим статусом. Однако образовательные учреждения не должны автоматически предполагать, что они освобождены от налогов, поскольку они могут использовать сторонние процессоры, которые полностью подпадают под действие закона.

Основные характеристики законодательства о конфиденциальности

Сбор данных

В соответствии с GDPR школы, колледжи и университеты могут собирать и обрабатывать личную информацию на том основании, что они выполняют задачу в общественных интересах. Тем не менее, они должны получить явное согласие на использование персональных данных для чего-либо, что не входит в их обычные обязанности в качестве поставщика обучения. Это должно быть от родителя, если ребенку меньше 16 лет, хотя государства-члены имеют право устанавливать свой собственный возраст согласия, с учетом нижнего предела 13 лет.

Напротив, в соответствии с CCPA Вам не требуется предварительное согласие на простой сбор и обработку персональных данных, если только вы не собираетесь их продавать. Он также не накладывает никаких формальных ограничений на количество данных, которые вы можете хранить о человеке, тогда как GDPR позволяет вам собирать только то, что вам действительно нужно для выполнения вашей обычной роли или для цели, для которой вы получили согласие.

Уведомления о конфиденциальности и согласии

Прозрачный сбор данных является основным требованием соответствия для всех поставщиков образовательных услуг. Но поставщики электронного обучения должны будут уделять особое внимание формам регистрации, онлайн-кассам и формулировкам политики конфиденциальности.

Уведомления о конфиденциальности, в частности, должны быть легко доступны, четко представлены и написаны на языке, понятном учащимся разного возраста и уровня грамотности. Они должны точно объяснить, что вы делаете с данными об учениках, указав:

  • кто ты
  • какую информацию вы собираете
  • зачем ты его собираешь
  • права субъекта данных

Защита данных

Чтобы соответствовать требованиям практически любого закона о защите данных, вам необходимо внедрить соответствующие технические и организационные методы для защиты конфиденциальности отдельных лиц.

В частности, в образовательной среде учащиеся могут непреднамеренно распространять вредоносное ПО через электронную почту, флэш-накопители и социальные сети. Занятые преподаватели и преподаватели, столкнувшиеся с огромным количеством электронных писем и нехваткой рабочего времени, могут легко застать врасплох вредоносные вложения и ссылки на вредоносные веб-сайты.

Таким образом, обучение по вопросам безопасности будет иметь ключевое значение для выполнения этих законодательных требований.

Более конкретные меры безопасности будут зависеть от точной формы вашей организации и работы, которую вы выполняете. Как правило, эти меры могут включать:

  • Поддержание всего программного обеспечения и рабочих станций в актуальном состоянии с помощью последних обновлений программного обеспечения и исправлений
  • Применение политики надежных паролей
  • Ограничение прав доступа до минимума, необходимого пользователям для выполнения своей работы
  • Разрешение только контролируемого доступа к оборудованию класса

Более того, если вы отдаете свои ИТ на аутсорсинг, убедитесь, что вы пользуетесь услугами аккредитованного партнера, на которого вы можете положиться при управлении своими ресурсами безопасным и соответствующим образом.

Поставщики облачного программного обеспечения для обучения также должны полностью понимать, как они разделяют ответственность за безопасность со своим поставщиком облачных услуг, внедряя надежные меры для тех, кто все еще находится под их контролем.

И, наконец, образовательные учреждения не обязательно могут хранить персональные данные учащихся в одном централизованном месте. Например, в университетской среде офис по размещению может использовать совершенно другую компьютерную систему, чем служба карьеры или отдельные факультеты. Кроме того, преподавательский состав может хранить личные данные в таких формах, как электронная почта или документы Google Диска, которые находятся вне прямого контроля ИТ-отдела.

Для этого требуются инструменты, обеспечивающие полную видимость всех этих данных, чтобы ИТ-специалисты могли обеспечить их достаточную безопасность для соответствия требованиям соответствия.

Передача данных

GDPR налагает жесткие ограничения на передачу персональных данных на международном уровне. Это имеет последствия для соответствия облачному программному обеспечению для обучения, которое может хранить данные в стране, отличной от страны конечного пользователя.

В целом, единственные случаи, когда личные данные европейского учащегося могут быть переданы из ЕЭЗ в другую страну на законных основаниях, связаны с наличием правовой базы, обеспечивающей надлежащую защиту личных данных.

Но если вы являетесь провайдером электронного обучения, вы можете обнаружить, что из-за вашей существующей облачной сети вы не можете законно обслуживать пользователей в определенных странах. Поэтому очень важно, чтобы вы подтвердили национальность учебного заведения или отдельного учащегося, прежде чем они подпишутся на использование вашего программного обеспечения.

В качестве альтернативы вы можете пересмотреть сочетание местоположений центров обработки данных и разработать стратегию облачного региона, которая на законных основаниях обслуживает пользователей всей вашей клиентской базы.

В отличие от этого, CCPA не ограничивает международную передачу данных, хотя другие законы о защите данных работают по аналогии с GDPR.

Право доступа

Как и FERPA, и GDPR, и CCPA предоставляют физическим лицам право доступа к любым данным, которые компания хранит о них.

Каждый закон устанавливает различные требования к содержанию вашего ответа, но обычно это включает:

  • копию персональных данных, которые вы обрабатываете
  • причина обработки
  • сведения о любых третьих сторонах, участвующих в обработке данных, включая любые меры предосторожности для их защиты
  • источник данных, если они не получены непосредственно от физического лица

Вы должны ответить на такой запрос без неоправданной задержки и в установленные законом сроки. Обычно это 1 месяц в соответствии с GDPR и 45 дней в соответствии с FERPA и CCPA.

Соблюдение принципов конфиденциальности данных

При таком большом количестве требований определение принципов защиты конфиденциальности данных, которые могут помочь контролировать, где эти данные собираются, управляются и защищаются, важно для каждой отрасли, включая образование. Законы о конфиденциальности позволяют гражданам удалять свои личные данные. Однако это может противоречить требованиям к хранению данных других федеральных законов, касающихся сферы образования. Здесь необходим тщательный уровень контроля.

Для этого обратите внимание на инструменты, которые могут дать вам полный обзор всех ваших данных, чтобы точно предоставить всю информацию, которую вы храните о человеке, и быстро и эффективно генерировать ответы на запросы.

С учетом объема данных, которые собирают образовательные учреждения, и различных законов о конфиденциальности данных, которые могут повлиять на эти данные, полезно иметь способ лучше понять, как вы храните эти данные и как вы можете ответить на запрос сообщить или удалить их . Вот где может помочь NetApp Cloud Compliance.

Cloud Compliance — это управляемая искусственным интеллектом технология сопоставления данных, которая работает с системами ONTAP, корзинами Amazon S3, многочисленными базами данных, облачными томами ONTAP и Azure NetApp Files. Интеллектуально анализируя контекст, в котором существуют эти данные, Cloud Compliance может идентифицировать соответствующие данные и автоматически сообщать о них. Это позволяет вам быстро реагировать на запросы доступа или удаления со стороны учащихся и родителей, а также соблюдать другие требования к отчетности в правилах конфиденциальности данных, таких как GDPR и CCPA.

Что вам нужно знать


Достижения в области технологий дают нам мощные инструменты для работы, но они также такие же мощные инструменты в руки тех, кто намеревается использовать их во вред. Это предпосылка Общего регламента ЕС по защите данных (GDPR). С 2018 года, когда GDPR вступил в силу, предприятия и организации переходят их политики для соблюдения этих строгих правил.

В этом посте представлена ​​подробная информация о GDPR, в том числе:

  • Обзор GDPR.
  • Как GDPR применяется к колледжам и университетам.
  • Что GDPR означает для колледжей и университетов в США.
  • Как GDPR влияет на набор студентов.
  • Как недавно принятые законы штата США о конфиденциальности, аналогичные GDPR, повлияют на колледжи и университеты.
  • Что GDPR означает для преподавателей колледжей и университетов.
  • Что произойдет, если ваше высшее учебное заведение не соответствует требованиям GDPR.
  • Преимущества GDPR в высшем образовании.
  • Обеспечение соответствия GDPR в вашем колледже или университете.
  • Инструменты, которые помогут вам соблюдать требования GDPR.
  • GDPR и ресурсы высшего образования США.


Колледжи и университеты, собирающие данные о лицах, физически проживающих в Европе. Союза (ЕС) в любой форме, в том числе продавцов, выпускников, а также студентов, требуется для соблюдения GDPR. Тем не менее, руководящий орган еще не налагал агрессивных штрафов, и даже наложенные штрафы не были значительными. (50 миллионов евро у Google. штраф составляет всего 0,04 процента от их выручки за 2018 год). Тем не менее, имеет смысл стать и оставаться в согласии. Защита данных не исчезнет; во всяком случае, это вопрос, важность которого будет продолжать расти.

Что вообще такое GDPR?

До введения GDPR в 2018 году не существовало единого нормативного акта, обеспечивающего соблюдение защита данных. GDPR изменил это, модернизировав законы, требующие от бизнеса и организации государственного сектора для защиты личной информации, которую они собирают и обрабатывают от отдельных лиц и расширение прав отдельных лиц, чтобы они имели больший контроль над их информацией.

GDPR защищает данные на каждом этапе, включая сбор, организацию, структурирование, хранение, изменение, консультация, использование, сообщение, комбинация, ограничение и стирание или уничтожение. Существует семь принципов, регулирующих соблюдение GDPR в высших образование:

  1. Информация собирается с согласия законно, честно и прозрачно .
  2. Сбор и обработка информации должны осуществляться для конкретной цели и использоваться только в рамках этого ограничения .
  3. Минимальные данные должны быть собраны относительно его конкретной цели и не более.
  4. Данные должны быть сохранены точные , и любые неверные данные должны быть уничтожены или пересмотрены как можно скорее.
  5. Применяются ограничения хранения ; данные должны храниться только до тех пор, пока это необходимо, пока люди имеют право на быть забытым.
  6. Люди должны ожидать, что данные будут собираться, обрабатываться и хранится конфиденциально и с целостностью .
  7. организаций, собирающих данные, несут ответственность за сбор и обработку всех данных.

GDPR в сфере высшего образования руководствуется семью принципами.

Изображение предоставлено Sphere Identity

Распространяется ли GDPR на колледжи и университеты?

Да. Почти в каждом колледже или университете США есть иностранный студент, будущий студент, студент дистанционного обучения, выпускник, донор, поставщик и т. д. Это означает, что любой данные, собранные об этих лицах, защищены стандартами GDPR. Например, потенциальный студент, проживающий в ЕС, может заполнить форму на вашем веб-сайте — это тогда данные должны быть защищены. Хотя законы США о защите данных не догнали строгие требования GDPR, это только вопрос времени, когда они это сделают. На самом деле, несколько такие штаты, как Калифорния и Вирджиния, уже приняли аналогичное законодательство.

Что означает GDPR для колледжей и университетов США?

В отличие от HIPAA, FERPA и других законов США о защите данных, европейское законодательство касается неприкосновенность частной жизни как основное право. Что это означает для американских колледжей и университетов? что любое лицо, проживающее в Европейском Союзе, которое могло предоставить данные ваша школа защищена GDPR.

Хотя GDPR действует с 2018 года, многие колледжи и университеты продолжают бороться с тем, как лучше реализовать правила. Одна из причин заключается в том, что закон невероятно сложный. В частности, закон дает студентам право:

  • Запросить передачу данных себе или третьей стороне.
  • Попросите школу прекратить обработку их данных.
  • Запросить автоматическое удаление всех данных, когда ваша школа больше не будет использовать их. Это.
  • Иметь доступ к своей личной информации.
  • Иметь возможность обновлять свою личную информацию.
  • Попросите школу удалить все личные записи учащегося.
  • Возражайте против любых автоматизированных решений, которые могут повлиять на них.

Колледжи и университеты США несут ответственность за обеспечение того, чтобы данные студентов из ЕС охраняется в соответствии со стандартами GDPR.

 GDPR в высшем образовании требует соблюдения законов ЕС, а не защиты данных США. законы.

Изображение предоставлено Marketplace.org

Что означает GDPR для набора студентов?

На набор студентов из США не распространяется действие GDPR. Тем не менее, международное набор студентов есть. Студенты, проживающие в Европейском Союзе, в том числе американцы, защищены GDPR. Однако студенты из ЕС, которые переезжают в США, чтобы поступить в колледж, не являются таковыми. Ключевым отличием является местоположение. Покрываются любые данные от лиц, физически проживающих в ЕС.

Ваши усилия по GDPR и набору иностранных студентов должны учитываться при маркетинг, так как маркетинговые данные также подпадают под защиту GDPR. Вы можете быть не активны маркетинг для будущих студентов в ЕС, но если заполнить онлайн-форму и предоставляет данные, то эти данные защищены. А как насчет информационного бюллетеня вашего учреждения? Если оно отправляется выпускникам, проживающим в ЕС, оно защищено GDPR.

Какие законы США, аналогичные GDPR, коснутся колледжей и университетов?

При отсутствии консенсуса на федеральном уровне штаты берут на себя обязательство установить более строгие законы о конфиденциальности для своих граждане. После того, как в 2018 году в Калифорнии был принят Закон о конфиденциальности потребителей, другие штаты последовали их примеру, предложив аналогичное законодательство для укрепления прав потребителей. защита конфиденциальности. Вы можете проверить, принимает ли ваш штат законодательство, по перейти к сравнительной таблице и ресурсу Международной ассоциации профессионалов в области конфиденциальности Центр.

На этой диаграмме показано сравнение законов о конфиденциальности в разных штатах.

Данные предоставлены IAPP

Что означает GDPR для преподавателей колледжей и университетов?

Любая информация для кадровых ресурсов также подпадает под действие регламентов GDPR. Факультет и аспиранты, которых набирают для работы в вашем колледже или университете из в США, например конференции, не подпадают под действие GDPR; преподаватели и студенты набраны с конференции в стране ЕС.

Аналогичным образом, если преподаватели набирают людей для клинических испытаний или научных исследований, любые данные, полученные от лиц, находящихся в ЕС, подпадают под действие правил GDPR.

Что произойдет, если мое высшее учебное заведение не соответствует GDPR?

Если ваш колледж или университет признан не соответствующим GDPR, существует несколько последствия:

  • Предупреждение может быть вынесено, чтобы уведомить колледж или университет о несоблюдении. Этот дает вашему учебному заведению время на то, чтобы обеспечить соблюдение GDPR во всем кампусе.
  • Может потребоваться проверка официальной политики конфиденциальности вашего учреждения, а может и не один. Несоответствующие учреждения могут быть обязаны пройти плановые проверки защиты данных.
  • За несоблюдение могут быть наложены серьезные штрафы.
  • Физические лица могут подать в суд на ваше учреждение, если стандарты GDPR не соблюдаются.

Несоблюдение является серьезным вопросом, которым не занимаются правительственные чиновники ЕС. боится браться.

 Крутые штрафы являются частью наказаний за несоблюдение GDPR в сфере высшего образования.

Изображение предоставлено ARMA.org

Каковы преимущества GDPR в высшем образовании?

Общего регламента по защите данных требует значительного времени и ресурсов для соблюдения требований, но есть также преимущества правил. Улучшения в защите данных для всех в вашем кампусе обеспечивает некоторую страховку от нарушений безопасности. По крайней мере, у вас будет налажен процесс в масштабах всего кампуса.

Данные, которые собирает ваша школа, будут более целенаправленными и качественными. Ты не нужно будет слишком много пролистывать, чтобы найти студентов, которые действительно заинтересованы во взаимодействии с вами.

Более строгие стандарты также позволяют всем лучше понимать, как они взаимодействуют с данные — от других, а также свои собственные данные.

Как мне убедиться, что мой колледж или университет соответствует GDPR?

Защита данных — это общеуниверситетская работа, в которой участвует каждый отдел для обеспечения гладкая и комплексная реализация. Интернет-специалисты, маркетологи, администраторы, и все ИТ должны быть вовлечены в процесс.

Если возможно, соберите всех участников для мозгового штурма сильных и слабых сторон вашего текущего плана защиты данных и как его улучшить в будущем. Один способ сделать это — создать дискуссию, задав следующие важные вопросы:

  1. Какие данные в настоящее время собирает ваш колледж или университет?
  2. Где собираются и хранятся данные?
  3. Почему собираются определенные данные?
  4. Кто имеет доступ к данным?
  5. Каков текущий процесс для отдельных лиц, чтобы узнать, как собираются их данные и используется?
  6. Как долго хранятся данные?

Автоматическая защита — это еще одна защита, которую вы можете внедрить в Интернете. данные с использованием качественной системы управления веб-контентом (CMS). Образование также является ключевым. Рассмотрите возможность проведения семинаров, веб-трансляций и других материалов. как в начале реализации, так и затем периодически, чтобы оставаться в курсе.

И, наконец, напишите четкую политику конфиденциальности, определяющую, какие личные данные собираются, и как он используется и почему.

Колледжи и университеты США должны иметь на своих страницах четкую политику конфиденциальности. Веб-сайт.

Изображение предоставлено колледжем Маунт-Сан-Антонио

Существуют ли инструменты, которые помогут моему учреждению соответствовать требованиям GDPR?

Соблюдать GDPR сложно, но автоматизация части работы позволит вам сосредоточиться на других аспектах соблюдения. Один из лучших способов сделать это — инвестировать в качественную CMS.

В частности, хорошая CMS позволит легко:

  • Редактировать контент, чтобы ваша политика конфиденциальности оставалась актуальной и неточной. можно удалить при обнаружении.
  • Сотрудничайте между командами для обеспечения соответствия GDPR.
  • Внесение изменений в журнал и упрощение аудита.
  • Предотвращайте утечку данных с помощью несвязанной архитектуры, которую используют другие системы, управляемые базами данных. опыт.
  • Собирать только информацию о посетителях, запрошенную в форме.
  • Отправляйте формы через защищенный серверный модуль.
  • Экспорт или удаление отправленных форм в CMS.
  • Соответствовать всем законам о борьбе со спамом в электронной почте.
  • Поддерживать открытую платформу с API-интерфейсами корпоративного уровня, чтобы можно было писать пользовательские коды. для выполнения специфических для учреждения процессов GDPR.

GDPR и ресурсы высшего образования США

Чтобы узнать больше о следующих шагах, ознакомьтесь с этими ресурсами, чтобы сохранить свое образование в колледже или университет в соответствии:

  • Получайте новости непосредственно из источника на веб-сайте GDPR ЕС.
  • В статье Анны Кренкель на сайте EAB обсуждаются четыре вещи, которые вам нужно знать о GDPR.
  • EDUCAUSE предоставляет 4 вещи, которые вы должны знать о GDPR (видео), и обсуждает Инь и Ян безопасности и конфиденциальности.
  • Международная конференция по доступности, надежности и безопасности (ARES) исследует защиту персональных данных и препятствия для обмена данные.
  • Узнайте больше о том, что США делают в отношении конфиденциальности данных.
  • Международная конференция по искусственному интеллекту и праву указывает на пробелы в регламенте GDPR.
  • Конференция ACM по безопасности и конфиденциальности данных и приложений предоставляет упрощенное руководство по конфиденциальности, объясняющее GDPR и уровни рисков.
  • WCET провела исследование GDPR и того, что вы можете сделать сейчас, чтобы подготовиться к соблюдению.
  • Пытаетесь объяснить своему боссу GDPR? Центр цифрового образования делает добро работа по выявлению плюсов и минусов.
  • Юридическая группа XPAN ведет серию блогов, посвященных вопросам GDPR с юридической точки зрения.
  • EDUCAUSE содержит сводку статей GDPR.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *