PDF в освіті: приватність для вчителів і шкіл
Шкільні PDF містять дані про неповнолітніх: табелі, особові справи, дозволи. Чому їх ніколи не варто завантажувати на сторонні сайти і як обробляти локально.
Останній тиждень навчального року. У вчителя тридцять табелів у вигляді окремих PDF, а потрібен один файл для папки паралелі. На шкільному ноутбуці немає нічого встановленого для цього, тож вчитель шукає «об’єднати PDF», відкриває перший результат, перетягує тридцять документів, повних імен учнів, оцінок і характеристик поведінки, і натискає кнопку.
Об’єднаний файл завантажується. Папка оновлена. Ніхто нічого не помічає. Але ці тридцять табелів щойно покинули школу й опинилися на сервері компанії, про яку вчитель ніколи не чув, і кожен із них стосувався дитини.
Це не юридична консультація, і я не ваш відповідальний за захист даних. У кожної школи є власна політика і власний DPO, перед яким треба звітувати. Але освіта тримається на даних про неповнолітніх, а це саме той тип даних, який закон оберігає найпильніше. Тож варто чітко розуміти, що поставлено на карту, перш ніж наступний дедлайн підштовхне когось до випадкового інструмента.
Шкільні PDF повні дитячих даних
Подумайте, що школа створює на папері й екрані щотижня. Табелі з оцінками. Особові справи з адресами й датами народження. Дозволи на екскурсії. Медичні форми й довідки про алергії. Записи щодо захисту дитини. Право на безкоштовне харчування. Плани для дітей з особливими освітніми потребами. Майже все це ідентифікує конкретну дитину, а багато що стосується речей, які закон вважає особливо чутливими, наприклад здоров’я.
GDPR надає дитячим даним окремий захист. Логіка проста: діти менше усвідомлюють ризики, а наслідки витоку переслідують їх роками. Витеклий табель не можна скинути, як пароль. Розголошений запис про захист дитини може завдати справжньої шкоди. Тож коли школа обробляє ці файли, планка обережності вища, ніж майже для будь-чого іншого.
І відповідальність несе школа. За GDPR школа є контролером цих даних. Цей обов’язок не зникає тільки тому, що зараз липень, усі втомлені, а об’єднання треба зробити просто зараз.
Що сайт для завантаження робить із файлом
Коли цей PDF потрапляє в онлайн-інструмент, він виходить з-під контролю школи. Він мандрує на сервер, яким школа не керує, обробляється там і може бути закешований, поставлений у чергу чи скопійований, перш ніж щось повернеться. Компанія за цим інструментом стає обробником, що діє від імені школи, а школа залишається контролером, відповідальним за все.
Така схема має свої умови. Школа має укласти письмовий договір із цим обробником, де прописано, що той може робити з даними і коли їх видаляє. Для безкоштовного інструмента, знайденого через пошук, у школи немає нічого з цього. Жодного договору, жодного уявлення, де стоять сервери, жодної можливості сказати, хто ще може торкнутися файлу. Якщо ці сервери поза межами ЄС, школа також здійснила міжнародну передачу дитячих даних, а це саме те, навколо чого GDPR ставить найбільше перешкод.
Якщо дані учнів виявляться розкритими через сервіс, за який школа не могла поручитися, це може бути порушенням захисту персональних даних. Порушення, що стосуються дітей, регулятори й батьки сприймають найгостріше. Сповіщення, розслідування і дуже незручний лист додому — усе це випливає з одного поспішного завантаження.
Найприкріше те, що саме завдання — об’єднати чи захистити кілька файлів — ніколи не мало потреби покидати будівлю.
Виконуйте шкільну роботу з PDF на власному комп’ютері
Ось рішення, і воно простіше за проблему. Якщо PDF ніколи не покидає ваш пристрій, жоден сторонній обробник його не торкається. Немає договору, який треба добувати, немає передачі, яку треба виправдовувати, немає третьої сторони, яка могла б злити запис дитини. Школа все одно залишається контролером і все одно винна учням звичну турботу, але цілий шар ризику просто не існує, бо дані залишилися там, де були.
Це й є ідея інструментів, що працюють повністю у вашому браузері. Код виконує роботу локально, у пам’яті вашого комп’ютера, а файл залишається на місці. Саме так ми побудували reader.me. Коли ви об’єднуєте чи захищаєте шкільний PDF, він обробляється у вашому браузері й ніколи не досягає нашого сервера. Якщо хочете доказ — відкрийте DevTools вашого браузера, спостерігайте за вкладкою Network під час роботи, і ви не побачите нічого з вашим документом, що виходить назовні.
Три завдання покривають більшість того, що потрібно школі:
- Зберіть усі ці табелі в один документ за допомогою об’єднання PDF, просто на ноутбуці, без жодного завантаження.
- Заблокуйте чутливий файл, перш ніж він кудись піде, додавши пароль через захист PDF, щоб дозвіл чи запис був зашифрований, перш ніж потрапить до батьківської поштової скриньки.
- Додайте свій підпис до форми чи листа за допомогою підпису PDF без друку, сканування чи надсилання документа спершу незнайомцеві.
Кілька звичок для вчительської
- Сприймайте кожен документ учня як дані про неповнолітнього. Табелі, особові справи, бланки екскурсій і плани ООП — усе це рахується, навіть одна відсканована сторінка.
- Ніколи не перетягуйте файл учня у випадковий онлайн-інструмент. Відсутність договору й чіткого розташування серверів означає, що дитячі дані туди не йдуть, крапка.
- За замовчуванням обирайте інструменти, що працюють у вашому браузері для рутинних завдань на кшталт об’єднання, захисту й підпису. Якщо це працює локально, немає обробника, якого треба перевіряти, і ніщо не перетинає кордон.
- Блокуйте файли, перш ніж надсилати їх додому. Пароль на PDF кращий за відкрите вкладення у класовій розсилці.
- Порадьтеся з тим, хто відповідає за захист даних у вашій школі, перш ніж приймати будь-який інструмент для файлів учнів. Вони вам подякують.
Правила щодо дитячих даних звучать важко, і вони такі, бо такими є самі дані. Але щоденне рішення невелике. Тримайте файл на своєму комп’ютері, користуйтеся інструментами, що не завантажують, — і найважча частина проблеми ніколи до вас не дійде. Якщо хочете довшу версію про те, як завантаження активує ці обов’язки, я писала про GDPR і завантаження PDF окремо.
Перегляд за категоріями