Автор Управление уполномоченного по вопросам информации, UK
Наши основные выводы:
1. Определение контролера для каждой операции обработки данных
Мы обнаружили, что поставщики образовательных технологий не всегда правильно определяли свою роль в качестве контролера или обработчика для каждой операции обработки данных в своем продукте.
Большинство поставщиков образовательных технологий, с которыми мы взаимодействовали, определяли себя как обработчиков персональных данных детей и действовали только по инструкциям школы. Однако многие поставщики также использовали информацию о детях для своих собственных дополнительных целей — таких как разработка продуктов или создание анонимизированной информации — не осознавая, что они являются контролерами этой дополнительной обработки.
Когда поставщики не указывали себя в качестве контролеров конкретных операций обработки данных, они, как правило, не выполняли обязанности контролеров в соответствии с законодательством Великобритании о защите данных. Это приводило к пробелам в гарантиях защиты конфиденциальности детей.
2. Использование персональной информации в других целях
Мы обнаружили, что поставщики образовательных технологий должны оценивать, соответствует ли повторное использование информации о детях в собственных целях закону, прежде чем это делать.
Многие поставщики образовательных технологий, особенно те, кто предлагает приложения для обучения в классе, использовали информацию о детях для:
• анализа производительности продукта;
• разработки и тестирования новых продуктов; и
• создания анонимизированной информации для других целей.
Некоторые также использовали информацию о детях для обучения функций ИИ или делились анонимизированной информацией с третьими сторонами. Один поставщик ранее использовал информацию о детях для создания анонимизированных профилей учащихся для продажи третьим сторонам, проводящим исследования в области образования.
Поставщики часто не могли продемонстрировать, что эта дополнительная обработка является справедливой, поскольку они имели доступ к информации о детях только в силу своей роли обработчика данных. Они не всегда указывали законное основание для дальнейшей обработки. Использование информации о детях способом, который не является справедливым или не имеет законного основания, является нарушением британского законодательства о защите данных и может привести к тому, что дети потеряют контроль над своей информацией.
3. Наличие подробных контрактов и условий
Мы обнаружили, что контракты между поставщиками образовательных технологий и школами должны:
• более подробно объяснять предлагаемую обработку информации о детях; и
• предоставлять поставщикам более четкие и полные инструкции по обработке.
При анализе письменных контрактов и инструкций по обработке многие из них не содержали четкого описания того, как поставщики будут использовать информацию о детях. Общие или расплывчатые условия или нечеткие инструкции приводили к тому, что поставщики принимали собственные решения и определяли цели и способы обработки самостоятельно. Там, где контракты не содержали достаточной детализации, несколько поставщиков также использовали информацию о детях в своих собственных целях и не могли доказать, что школы давали им такие указания.
Нечеткие контракты также затрудняют школам полное понимание того, как используется информация об их учениках. Это может существенно повлиять на соблюдение ими требований по защите данных в целом и способствовать отсутствию автономии у школ как контролеров данных.
4. Отображение и регистрация процессов обработки
Мы обнаружили, что поставщикам необходимо:
• более полно отобразить все потоки данных, поступающие в образовательные технологические продукты, проходящие через них и выходящие из них; и
• вести полную документацию о своей деятельности по обработке данных.
Почти у каждого поставщика образовательных технологий были неполные или недостаточно подробные записи о деятельности по обработке данных, или же они не полностью отобразили все потоки данных, относящиеся к их продукту. Мы отметили несколько типов отсутствующей информации, таких как:
• технические и организационные меры по обеспечению безопасности информации о детях;
• записи о любых международных передачах информации субподрядчикам; и
• журналы любого дополнительного использования информации о детях в собственных целях поставщика. Недостаточная документация о деятельности по обработке данных часто приводила к пробелам в надзоре за защитой данных или к общему отсутствию осведомленности персонала о том, как используется информация о детях.
5. Прозрачное объяснение использования персональных данных детей
Мы обнаружили, что информация и ресурсы, объясняющие, как используются персональные данные детей, должны быть более подробными и доступными, чтобы школы, семьи и дети могли принимать обоснованные решения о рисках для конфиденциальности.
Хотя большинство поставщиков образовательных технологий публиковали политику конфиденциальности на своих веб-сайтах, они часто содержали лишь общую информацию о своем продукте и о том, как они используют информацию о детях на практике. Во многих политиках конфиденциальности также отсутствовала или содержалась неконкретная информация. Некоторые из них не пересматривались регулярно и включали неточную, устаревшую информацию.
Положительным моментом является то, что некоторые поставщики образовательных технологий – особенно небольшие организации – заблаговременно предоставляли подробные ресурсы, разъяснения по вопросам конфиденциальности и доказательства своих мер защиты на своих веб-сайтах или в специальных онлайн-порталах. Однако другие не могли показать, насколько прозрачно для школ используется ими информация о детях. Это может затруднить школам информирование семей и детей о том, как образовательные технологии используют их информацию, что может снизить доверие к использованию образовательных технологий.
6. Хранение информации только в течение необходимого времени
Мы обнаружили, что поставщикам образовательных технологий необходимо указывать сроки хранения и объяснять:
• как они будут оценивать, как долго им необходимо хранить информацию о детях; и
• как они будут удалять эту информацию.
Многие поставщики образовательных технологий не установили или не зафиксировали достаточно четко конкретные сроки хранения информации о детях в своих документах о конфиденциальности, записях об обработке данных или графиках хранения. В некоторых случаях поставщики не могли обосновать, почему они хранят информацию о детях, что означало, что они хранили ее дольше, чем необходимо, и, следовательно, хранили избыточную информацию.
В ряде случаев – особенно для поставщиков приложений для обучения в классе – было неясно, какие действия поставщик предпримет по истечении срока хранения (т.е. будет ли он анонимизировать или удалять информацию). На практике они часто анонимизировали информацию вместо того, чтобы удалять ее. В одном единичном случае информация, помеченная как «анонимизированная», все еще была идентифицируемой, и поставщики хранили ее бессрочно.
Если поставщики хранят информацию о детях дольше, чем необходимо, это:
• значительно увеличивает риск утечки персональных данных или неправомерного использования личной информации ребенка; и
• нарушает принцип ограничения хранения, изложенный в статье 5(1)(e).
7. Проведение оценки воздействия на защиту данных (DPIA)
Мы обнаружили, что поставщики не всегда проводили DPO, когда это требовалось. Они не оценивали и не описывали достаточно подробно, как они используют информацию о детях или какие меры защиты принимаются для защиты детей. Поставщикам образовательных технологий необходимо тщательно оценивать риски для детей при использовании их информации и более эффективно управлять этими рисками.
Рассмотренные нами DPO часто были недостаточно подробными или содержали недостающую информацию о продукте, использовании информации и принятых мерах защиты.
Многие поставщики образовательных технологий не в полной мере оценили потенциальные риски для детей и их конфиденциальности при использовании их информации, или же они оценили потенциальные риски только для себя, а не для ребенка.
В ряде оценок воздействия на защиту данных (DPIA) также отсутствовали:
• рекомендации сотрудника по защите данных (DPO) или руководителя;
• результаты содержательных консультаций с ключевыми заинтересованными сторонами; или
• одобрение высшего руководства. Во многих случаях поставщики образовательных технологий вообще не проводили DPIA там, где она требовалась. Обычно это происходило потому, что поставщик образовательных технологий ошибочно определял себя как обработчика данных, тогда как на практике он являлся контроллером. Там, где DPIA не проводились или были недостаточно подробными, обычно также имелись пробелы в мерах защиты или в более широком подходе к защите данных.
8. Контроль за субподрядчиками
Мы обнаружили, что поставщикам образовательных технологий необходим более строгий контроль и надзор за своими субподрядчиками. Они должны обеспечить проведение проверок на предмет должной осмотрительности и получение разрешения от школы, прежде чем предоставлять доступ к информации о детях.
Не все поставщики образовательных технологий получили письменное разрешение от соответствующего руководителя школы, провели проверки на предмет должной осмотрительности или полностью изучили условия договора, прежде чем предоставлять субподрядчикам доступ к информации о детях. В тех случаях, когда они запрашивали разрешение, поставщики, как правило, полагались на общие положения о разрешении в письменных договорах, а не получали конкретное разрешение для каждого нового субподрядчика. В нескольких случаях поставщики использовали субподрядчиков с проблемными условиями договора, о которых они узнали только во время наших проверок, например, субподрядчики заявляли, что будут хранить копию информации о детях для обучения своего ИИ.
Около половины поставщиков образовательных технологий, с которыми мы взаимодействовали, также не проверяли регулярно, соблюдают ли их субподрядчики согласованные меры защиты и используют ли информацию о детях в соответствии с договором. Это было более распространено среди крупных поставщиков, предлагающих системы управления информацией или защиты, а также пакеты продуктов для обучения в классе, поскольку они, как правило, использовали больше субподрядчиков.
9. Обработка утечек персональных данных
Мы обнаружили, что процессы обработки утечек персональных данных должны четко определять, как поставщики образовательных технологий будут:
• выявлять и расследовать утечки; и
• оперативно сообщать о них нам, школам и пострадавшим лицам.
Большинство поставщиков образовательных технологий задокументировали свои процессы обработки утечек персональных данных в политиках, доступных сотрудникам. Однако эти политики, как правило, были слишком общими и не содержали ключевых этапов, таких как:
• как поставщики будут решать, сообщать ли нам об утечках или уведомлять пострадавших лиц; • когда они будут принимать эти решения; и
• кто будет нести ответственность за такие решения.
Поставщики часто нечетко определяли свои обязанности как контролеры или обработчики данных, особенно требование к обработчикам сообщать обо всех утечках — независимо от уровня риска — школам без неоправданной задержки.
Некоторые поставщики образовательных технологий никогда не регистрировали утечку персональных данных или инцидент, близкий к утечке. У них не было гарантий, что сотрудники следуют процедурам отчетности или что эти процедуры работают на практике. Когда поставщик не регистрирует инцидентов и не проводит регулярное тестирование процессов выявления нарушений, существует риск того, что нарушения происходят, но остаются незамеченными и неустраненными.
10. Применение подхода защиты данных на этапе проектирования
Мы обнаружили, что поставщикам образовательных технологий необходима надежная внутренняя структура для проектирования и разработки продуктов, которая ставит защиту информации о детях и их конфиденциальность в центр каждого решения.
Некоторые поставщики образовательных технологий, особенно те, кто предлагает системы защиты, предприняли шаги для защиты информации о детях в своих продуктах. Они:
• разработали продукты с высокой степенью настраиваемости для школ;
• отключили все неосновные функции и обработку по умолчанию; и
• внедрили надежное многоуровневое управление доступом и аутентификацию пользователей.
Однако не все поставщики образовательных технологий смогли продемонстрировать, что они уделяли приоритетное внимание защите данных при разработке своих продуктов. Примеры включают случаи, когда поставщики:
• внедряли новые функции продукта с включенными по умолчанию функциями;
• создавали продукты с внутренними областями, где личную информацию нельзя было удалить или восстановить, в том числе для запросов, касающихся прав личности; или
• внедряли функциональность ИИ без надлежащих мер защиты.
Некоторые поставщики образовательных технологий также не смогли установить четкие внутренние правила или предоставить персоналу достаточное обучение или рекомендации по защите информации о детях.