Безопасность данных: защита персональных данных учеников при AI

Данные учеников -- это ответственность

При использовании любой цифровой платформы в школе возникает закономерный вопрос: что происходит с данными учеников? Кто их видит, где они хранятся, как защищены от утечки?

Это не паранойя, а здравый смысл. Персональные данные детей -- чувствительная категория информации, защита которой регулируется законодательством Республики Казахстан. Директор школы несет персональную ответственность за соблюдение этих требований.

В этой статье мы разберем три аспекта безопасности данных при использовании AI в школе: законодательство, технические меры и практические рекомендации.

Законодательство РК о персональных данных

Закон "О персональных данных и их защите" (2013, с изменениями)

Ключевые положения, относящиеся к школам:

• Согласие -- обработка персональных данных допускается с согласия субъекта (для несовершеннолетних -- родителей)
• Цель -- данные могут обрабатываться только для заявленной цели
• Минимизация -- собираться должен минимум данных, необходимый для цели
• Хранение -- данные должны храниться не дольше, чем нужно для достижения цели
• Защита -- оператор обязан обеспечить защиту данных от несанкционированного доступа

Что это означает для школы

При использовании AI-платформы школа должна:

1. Получить согласие родителей на обработку данных учеников

2. Определить перечень данных -- что именно передается в систему

3. Заключить договор с оператором платформы о защите данных

4. Проверить -- где хранятся данные, кто имеет доступ

**Важно:** ответственность за соблюдение закона лежит на школе как на операторе данных. Выбор надежного партнера -- критически важный шаг.

Какие данные обрабатывает AI-платформа

Данные учителя

• ФИО, должность, предмет
• Контактные данные (email, телефон)
• Рабочие документы (КМЖ, задания, отчеты)

Уровень чувствительности: средний. Это профессиональные данные, не содержащие медицинской или финансовой информации.

Данные об учениках

• Списки учеников (имя, класс)
• Результаты оценивания (ФО, БЖБ, ТЖБ)
• Данные об успеваемости

Уровень чувствительности: высокий. Это персональные данные несовершеннолетних.

Данные, которые НЕ должны обрабатываться

• ИИН учеников
• Медицинские данные
• Семейная информация
• Фотографии и видео учеников

Как Alashed EDU защищает данные

Принцип минимизации

Alashed EDU собирает минимум данных, необходимый для работы:

• Имена учеников -- для списков и отчетов
• Результаты оценивания -- для аналитики и персонализации
• Данные учителя -- для профиля и генерации документов

Система не запрашивает ИИН, адреса, медицинские данные, информацию о родителях.

Шифрование

• В транзите: все данные передаются по защищенным каналам (HTTPS/TLS)
• В покое: данные хранятся в зашифрованном виде на серверах
• Резервное копирование: зашифрованные резервные копии

Разграничение доступа

• Учитель видит только свои классы и документы
• Завуч/методист видит данные учителей своей школы
• Директор видит общешкольную аналитику
• Администратор платформы -- только техническая информация, без персональных данных учеников

Обезличивание

В управленческих отчетах и аналитике данные об учениках обезличены: директор видит статистику по классу (средний балл, распределение), но не может идентифицировать конкретного ученика через дашборд.

Технические меры безопасности

Инфраструктура

• Серверы с сертификацией безопасности
• Регулярные обновления и патчи безопасности
• Мониторинг подозрительной активности 24/7
• Защита от DDoS-атак

Аутентификация

• Двухфакторная аутентификация (опционально)
• Сложные пароли с минимальными требованиями
• Автоматический выход после периода неактивности
• Блокировка при множественных неудачных попытках входа

Аудит

• Логирование всех действий в системе
• Регулярные аудиты безопасности
• Тестирование на проникновение (пентесты)

Практические рекомендации для школ

Для директора

1. Перед подписанием договора запросите у поставщика документ о политике безопасности данных

2. Проверьте -- где физически хранятся данные (серверы, юрисдикция)

3. Назначьте ответственного за работу с персональными данными в школе

4. Организуйте получение согласий родителей на обработку данных

Для учителя

1. Не вводите лишние данные -- только то, что запрашивает система

2. Используйте надежный пароль -- не "12345" и не "qwerty"

3. Выходите из системы после работы, особенно на общем компьютере

4. Не делитесь паролем -- даже с коллегами

Для IT-администратора

1. Настройте роли -- каждый пользователь видит только свои данные

2. Мониторьте -- проверяйте логи на предмет подозрительной активности

3. Обновляйте -- следите за обновлениями платформы

4. Обучайте -- проводите инструктаж для учителей по цифровой гигиене

Что делать при инциденте

Если вы подозреваете утечку данных:

1. Немедленно сообщите администратору платформы

2. Зафиксируйте -- что произошло, когда, какие данные могли быть затронуты

3. Смените пароли -- все пользователи пострадавших аккаунтов

4. Уведомите -- директора школы и ответственного за персональные данные

5. При подтверждении утечки -- уведомите уполномоченный орган по защите персональных данных

Баланс между пользой и безопасностью

Отказ от AI из-за опасений по безопасности -- как отказ от интернета из-за вирусов. Риски существуют, но они управляемы.

Ключевое правило: работайте с проверенными поставщиками, которые:

• Прозрачно описывают свою политику безопасности
• Имеют документально подтвержденные меры защиты
• Готовы ответить на сложные вопросы о данных
• Регулярно обновляют систему безопасности

Alashed EDU относится к безопасности данных как к абсолютному приоритету. Потому что доверие школ -- это основа нашей работы, и мы не можем позволить себе его потерять.