Zákon o rodinných právech na vzdělávání a ochraně soukromí (Family Educational Rights and Privacy Act, FERPA) je federální zákon Spojených států amerických, který upravuje přístup k záznamům o vzdělávání studentů a jejich správu. FERPA poskytuje studentům a jejich rodičům určitá práva týkající se soukromí těchto záznamů, mezi něž patří právo nahlížet do záznamů o vzdělávání studenta a kontrolovat je, právo požadovat změnu záznamů, o nichž se rodič nebo oprávněný student domnívá, že jsou nepřesné, a právo mít určitou kontrolu nad zveřejňováním osobních údajů (identifikovatelné osobní údaje, tzv. PII) ze záznamů o vzdělávání.
Produkty a služby ArcGIS společnosti Esri využívají vzdělávací instituce pro různé účely, včetně výzkumu, výuky a administrativy. Vzdělávací instituce často nepoužívají ArcGIS pro práci se záznamy o vzdělávání. Lze jej nakonfigurovat tak, aby se minimalizovaly požadavky na dodržování zákona FERPA. Pokud se však tyto produkty a služby používají k ukládání, zpracování nebo přenosu záznamů o vzdělávání, mohou spadat do působnosti zákona FERPA. Je tedy v rukou zákazníka, aby určil, zda používání produktu odpovídá požadavkům FERPA, či nikoli.
Závazek společnosti Esri chránit bezpečnost a soukromí údajů našich zákazníků zahrnuje:
- Podrobení postupů ochrany osobních údajů nezávislému posouzení a certifikaci.
- Každoroční audit FedRAMP provedený kvalifikovanou nezávislou třetí stranou.
- Provádění skenování zranitelnosti nejméně jednou za 30 dní a testování za účelem vyhodnocení stavu zabezpečení a zjištění nových hrozeb
- Ochrana soukromí studentů základních a středních škol zakázáním cílených souborů cookie
Odpovědi na otázky ohledně FERPA
Existují nějaké certifikační programy FERPA?
- Ne. V současné době neexistují žádné zvláštní certifikační programy FERPA, kde by třetí strana hodnotila dodržování pravidel. Instituce musí provést vlastní posouzení, aby zjistila, zda produkt nebo služba ovlivňují její schopnost vyhovět požadavkům.
Jaká bezpečnostní opatření a opatření na ochranu soukromí ArcGIS Online pomáhají zajistit soulad se zákonem FERPA?
- Poskytování různých bezpečnostních funkcí produktu ArcGIS Online, například řízení přístupu na základě rolí.
- Ochrana dat při přenosu pomocí protokolu TLS 1.2 a v klidovém stavu pomocí 256bitového standardu pokročilého šifrování (AES-256).
- Fyzická ochrana a ochrana okolí našich poskytovatelů cloudu: Hostitelská zařízení Esri mají nepřetržitou (24/7) ostrahu a monitorování prostřednictvím několika úrovní fyzických bezpečnostních kontrol, včetně oplocení, haly s personálem, bezpečnostních kamer (CCTV), pastí, uzamčených klecí, detektorů pohybu a požadavků na biometrický přístup.
- Nelze prohlížet neveřejný obsah zákazníků ArcGIS Online, s výjimkou případů, kdy je třeba se souhlasem zákazníka reagovat na bezpečnostní incident nebo případ podpory.
- Nelze sdílet údaje o zákaznících se třetími stranami.
- „Zmrazení“ dat zákazníka (přístup pouze pro čtení) pro případ zákonného zadržení, na žádost technické podpory.
- Nelze ukládat jiné údaje o zákaznících než ty, které definují účet (e-mailová adresa a uživatelské jméno).
- Účty uchováváme pouze po dobu 60 dnů po ukončení smlouvy, abychom mohli znovu aktivovat produkt (pokud o to zákazník požádá): po uplynutí této doby je účet trvale smazán.
Jak mohu nakonfigurovat organizaci ArcGIS Online, aby se minimalizovalo shromažďování osobních údajů?
- Správci organizace mohou zablokovat vyplňování nepovinných polí uživatelského profilu (například jména a příjmení, názvu společnosti, telefonního čísla a profilového obrázku), aby minimalizovali sdílení osobních údajů.
- Rozsáhlejší pokyny týkající se ochrany osobních údajů při používání našich produktů ve vzdělávacích institucích naleznete níže v dokumentu Pokyny ArcGIS Online pro instituce a v dokumentu Osvědčené postupy ArcGIS pro ochranu soukromí při sdílení polohy.
Jaké důsledky má COPPA pro ArcGIS Online?
- Zákon o ochraně soukromí dětí na internetu (Children's Online Privacy Protection Act, COPPA) je další zákon určený k ochraně soukromí dětí, který se však na ArcGIS Online přímo nevztahuje. Zákon o ochraně soukromí dětí na internetu (Children's Online Privacy Protection Act, COPPA) je americký federální zákon na ochranu soukromí dětí mladších 13 let. Spravuje jej Federální obchodní komise (FTC).
- COPPA se vztahuje na webové stránky a online služby určené dětem a stanovuje, že tyto stránky a služby musí vyžadovat souhlas rodičů se shromažďováním a používáním jakýchkoli osobních údajů dětí.
- Zákazníci jsou zodpovědní za získání případného souhlasu rodičů s používáním ArcGIS Online koncovými uživateli.
- ArcGIS Online není specificky určen dětem mladším 13 let, nicméně tyto děti jej mohou využívat, nejspíše jako součást školního vzdělávacího programu. Dodržováním níže uvedených Pokynů ArcGIS Online pro instituce (ArcGIS Online School Guidance) mohou vzdělávací instituce lépe vyhovět běžným předpisům o ochraně osobních údajů studentů, jako jsou COPPA, FERPA a dokonce i GDPR.
- Aby bylo zajištěno soukromí nezletilých, Esri automaticky vypíná cílené soubory cookie pro studenty používající účty ArcGIS for Schools Bundle.
Zdroje
- Pokyny ArcGIS Online pro instituce (veřejné)
- HECVAT Lite (veřejný dokument Trust Center)
- Ověřovací nástroj ArcGIS Security Advisor (veřejná stránka Trust Center)
- Seznam osvědčených postupů ArcGIS Online a Enterprise (veřejné)
- Doplněk k prohlášení o ochraně osobních údajů pro produkty a služby společnosti Esri (veřejné)
- Osvědčené postupy pro ochranu soukromí při sdílení polohy v ArcGIS (veřejný dokument Trust Center)