Общий форум

У нас тоже берут подпись при поступлении, но там речь идет только об одной единственной базе данных - ЕДБО, всеукраинской базе данных абитуриентов.

А что делать с подобными Мудл системами, видимо, разработчики закона не задумывались, поэтому все боятся...

в России БД с ФИО под закон о ПД не подпадает

Ещё как подпадает. Просто ещё вопрос, каким образом классифицируется (К1 - К4), а от этого зависит, каким образом она должна быть защищена.

У каждого преподавателя есть список его студентов с их оценками

К счастью российские законадатели о таких нюансах даже и не подозревают )). Хотя по хорошему в договоре с работником должен быть пункт о том, что он обязуется не разглашать ПД студентов, к которым имеет доступ

Можно сделать то же самое и при создании студентом своего аккаунта в Moodle. 

Это, кажется, можно сделать даже и для уже существующих аккаунтов.

Только где найти этот юридически выверенный текст?

Его и написать не сложно - он должен содержать указание на то, кто является оператором персональных данных, какие данные будут храниться и каким образом, в случае чего, можно затребовать удаление своих ПД из вашей базы. На этом этапе достаточно руководствоваться положениями закона о ПД. Но это не избавит вас от необходимости классифицировать базу данных и обеспечивать её защиту в соответствии с классификацией. А вот для этого в РФ существует несколько весьма специфических регламентирующих документов, как в Украине - не знаю. Другое дело, что вроде как нужно заполучить это самое подтверждение в письменном виде.

а коль скоро у нас - база данных, то брать разрешение у всех многих тысяч студентов

Да, это непросто. Но выможете убедить всех, что собирать подписи - не ваша обязанность, а обязанность деканатов, отдела кадров и т.п. Если от этой процедуры не убежать - я бы попробовал совместить эту процедуру с какой-нибудь полезной. Например с поголовным созданием учётных записей вместо добровольной регистрации. Или замены логинов на логины нового, более удобного образца. Или с заменой студенческих или читательских билетов. И тут всё просто - не распишешься в согласии с обработкой ПД - не получишь новый логин, пропуск или, как вариант, зачётку после проверки в деканате.

По поводу доступа к базе Мудла мне было сказано, что коль это не наша собственная разработка, код открытый, то и взломать его - раз плюнуть, а раз так, то к базе персональных данных получат доступ злоумышленники

В законе и технических регламентах об открытости нет ни слова - но классифицировать систему и обеспечивать для неё защиту соответсвующим классификации требованиям следует. Для самых высоких уровней в РФ могут потребоваться сертифицированные ФСТЭК и ФСБ решения. Есть в регламентах и весьма общие требования, вроде обязательного разграничения прав доступа в системе, которые мудл проходит на ура. Есть и такие, которые мудл у вас никогда не пройдёт, вроде отсутсвия недокументированных функций; и проблема не в закрытости кода, а в отсутствии документации, с которой следует сравнивать функционал. Плюс может потребоваться защита канала связи - ведь нужно защищать данные от похищения во время работы через интернет. А тут другая проблема - любимый всеми стандарт SSL в РФ не сертифицирован, а все сертифицированные решения для защиты каналов связи коммерческие, да ещё и требуют установки хитроумных клиентов на компьютер пользователя.

У нас тоже берут подпись при поступлении...

Вы можете при поступлении брать подпись в чём угодно, даже в достаточно расплывчатых формулировках вроде "Разрешаю в период моего обучения, а также потом много лет хранить и обрабатывать во всех инфомационных системах вуза ХХХ следующие мои персональные данные ". Но вот перечень того, какие именно данные, нужно привести и сделать его "с запасом", чтобы предусмотреть потребности бухгалтерии, учебного процесса, социальные всякие моменты и т.п., чтобы потом проблем не возникло. Но помните, если вдруг включите туда моменты связанные со здоровьем или вероисповеданием, то вашу систему сразу придётся классифицировать по высшему разряду. Можно согласие с обработкой ПД сделать неотъемлемой частью договора об обучении, можно частью заявления о приёме. Важен сам факт получения таого разрешения. В РФ вроде бы недавно закон подправили, чтобы не заставлять бухгалтерию собирать разрешения с работников на перечисление им зарплаты (а для этого нужно знать секретный счёт), а с абитуриентов согласия на проверку их данных по базе ЕГЭ.

Система единого входа ведь не поможет, боюсь.

А вот это поможет. Вы замените у себя в мудле фамилии и имёна на номера зачётных книжек. А в деканатах пусть преподавателям раздают ведомости с фамилиями и номерами. Такая система не будет считаться системой с ПД и никаких заморочек. А преподаватели, которым это покажется неудобным, пусть идут вашему проректору и жалуются.

Видимо предполагается, что у студенты у преподавателя в базу не внесены, а в Законе именно об этом речь)

По поводу доступа к базе Мудла мне было сказано, что коль это не наша собственная разработка, код открытый, то и взломать его - раз плюнуть, а раз так, то к базе персональных данных получат доступ злоумышленники...

С выверенным текстом, насколько я знаю, большие проблемы. Как и с регистрацией баз в Министерстве. Тем не менее дан приказ всех проанкетировать, сделать это в закрытом режиме, с идентификацией, а коль скоро у нас - база данных, то брать разрешение у всех многих тысяч студентов... Брать в бумажном виде, электронка не прокатит.

Собственно мы хотели сами добавить эти 6 тысяч в базу, но нам не имеют права давать эти списки)))

"Мы" не хотим, но наши желания не всегда имеют значение, увы.

Нет, каждый пользователь должен получать отрывной купон - Министерство образования спустило бланк, касаемо ЕДБО...