Ми продовжуємо спільно з Українською Гельсінською спілкою з прав людини серію роз’яснень щодо питань обробки персональних даних у закладі освіти.
Наступне питання, з яким до нас звертаються керівники закладів освіти та педагоги – як діяти, якщо батьки подають заяву про відкликання згоди на обробку персональних даних в інформаційних системах та електронних реєстрах (якщо така згода була надана) або заперечують проти обробки даних. Водночас і батьки надсилають запитання, наскільки правомірними є внесення та обробка персональних даних їхніх дітей в електронних системах та реєстрах, власниками яких є комерційні суб’єкти господарювання чи громадські організації.
У цьому питанні необхідно розрізняти та розуміти, якими бувають інформаційні системи та електронні реєстри, кому вони належать та як вони захищені.
Читайте у нашому дописі:
- що передбачає обробка персональних даних;
- які персональні дані учнів та батьків обробляє заклад освіти;
- чи правомірна обробка закладами освіти персональних даних учасників освітнього процесу в освітніх інформаційних системах та реєстрах, які належать комерційним суб’єктам господарювання чи громадським організаціям;
- які дії закладів освіти, якщо батьки відкликають згоду/виступають проти обробки персональних даних у системах та реєстрах, власниками яких комерційні суб’єкти господарювання та громадські організації;
- до яких державних освітніх інформаційних систем та реєстрів заклади освіти передають персональні дані;
- які наслідки для дитини та закладу освіти через невнесення персональних даних дітей до державних інформаційних систем та електронних реєстрів НЕМОЖЛИВІСТЬ:
- видати документ про освіту;
- отримати державні субвенції для навчання учня в закладі освіти;
- замовити та отримати підручники в достатній кількості.
- які дії закладу освіти, якщо батьки подають заяву про відкликання згоди на обробку та/або виступають проти обробки персональних даних в державних інформаційних системах та електронних реєстрах.
У попередньому дописі читайте, як діяти закладу освіти, коли батьки не надають згоди або подають заяву про відкликання згоди на обробку персональних даних.
У наступній нашій публікації роз’яснюємо, як діяти закладу освіти, коли батьки відкликають заяву про обробку персональних даних (якщо була надана така згода) або виступають проти обробки персональних даних при переході закладу освіти на електронні журнали й щоденники.
ЩО ТАКЕ ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ
Заклад освіти, який обробляє персональні дані на підставі законодавства, зокрема про освіту для здійснення своїх повноважень відповідно до чітко визначеної мети – здійснення освітньої діяльності (стаття 2 Закону України “Про захист персональних даних”) має законні підстави:
- збирати
- реєструвати
- накопичувати
- зберігати
- адаптувати
- змінювати
- поновлювати
- використовувати
- поширювати (розповсюджувати, реалізувати, передавати)
- знеособлювати
- знищувати персональні дані.
Обробка персональних даних передбачає будь-яку дію або сукупність дій із вказаного переліку.
ЯКІ ПЕРСОНАЛЬНІ ДАНІ УЧНІВ ТА БАТЬКІВ ОБРОБЛЯЄ ЗАКЛАД ОСВІТИ
Хочемо наголосити, що забороняється обробка персональних даних про:
- расове або етнічне походження
- політичні, релігійні або світоглядні переконання
- членство в політичних партіях та професійних спілках
- засудження до кримінального покарання
- даних, що стосуються здоров’я, статевого життя
- біометричних або генетичних даних (частина 1 статті 7 Закону України “Про захист персональних даних”).
Але є певні умови, за яких положення частини 1 статті 7 не застосовується. Вони визначені у частині 2 статті 7 Закону України “Про захист персональних даних”.
Іноді заклади освіти з різних причин збирають ці чутливі дані (етнічне походження, місце та вартість відпочинку дітей тощо). Такі випадки яскраво демонструють порушення процедури обробки персональних даних, оскільки вона не відповідає встановленій меті – освітній діяльності та здійснюється без отримання згоди від батьків. Докладніше про обробку персональних даних у межах встановленої мети – у першій нашій публікації
Під час зарахування до закладу освіти заклад обробляє персональні дані зі свідоцтва про народження, персональні дані, що стосуються здоров’я (медична довідка, дані висновку про комплексну (чи повторну) психолого-педагогічну оцінку розвитку дитини (якщо такий є)), персональні дані з заяви батьків чи законних представників дитини тощо. Під час зарахування, переведення дитини до іншого закладу освіти керівник не має права вимагати інших документів із персональними даними, крім тих, що визначені Порядком зарахування (наказ № 367) … та наказом МОЗ “Про удосконалення медичного обслуговування учнів загальноосвітніх навчальних закладів”.
Частина закладів освіти перейшли на ведення ділової документації в електронній формі. Перелік даних, що обробляються в електронній освітній інформаційній системі для ведення ділової документації закладу в електронній формі визначається додатком до Інструкції з ведення ділової документації у закладах загальної середньої освіти в електронній формі.
Це, зокрема такі персональні дані учня:
- прізвище, ім’я, по батькові (за наявності);
- дата народження;
- стать;
- реквізити документа, що посвідчує особу;
- заклад загальної середньої освіти та клас, до якого зарахований учень (дата зарахування/відрахування та підстава);
- пільгова категорія, якщо учень належить до такої категорії.
Інші дані стосовно учня:
- відвідування та пропуски занять;
- оцінювання (поточне, тематичне, підсумкове, атестаційне);
- теми уроків.
Також до системи вносяться такі персональні дані батьків:
- прізвище, ім’я, по батькові (за наявності);
- пільгова категорія дитини, якщо така є;
- контактна інформація.
Особові справи учнів/вихованців містять:
- номер особової справи;
- тип і назву закладу загальної середньої освіти;
- адресу закладу освіти;
- прізвище, ім’я, по батькові (за наявності) директора;
- прізвище, ім’я, по батькові (за наявності) учня/вихованця;
- стать;
- дату народження;
- серію та номер свідоцтва про народження;
- місце проживання учня;
- прізвище, ім’я, по батькові (за наявності) батька, матері або осіб, що їх замінюють;
- дані про заклад освіти до отримання початкової освіти (в разі наявності);
- відомості про перехід з одного закладу освіти до іншого (в разі наявності) тощо.
З докладним переліком даних в інших документах можна ознайомитися в додатку до Інструкції.
Персональні дані щодо здоров’я
Частина персональних даних щодо здоров’я учня передбачена для обробки в шкільному закладі через форму первинної облікової документації N 086-1/о “Довідка учня загальноосвітнього навчального закладу про результати обов’язкового медичного профілактичного огляду” у якій є чітке закріплення визначеного кола персональних даних для обробки:
- Прізвище, ім’я, по батькові учня.
- Місце проживання, телефон учня.
- Число, місяць та рік народження учня.
- Стать учня.
- Найменування закладу освіти, клас, у якому навчається учень.
- Число, місяць та рік проведення обов’язкового медичного профілактичного огляду.
- Число, місяць та рік проведення попереднього обов’язкового медичного профілактичного огляду.
- Висновок щодо стану здоров’я учня, у разі, якщо учень має захворювання, вказується діагноз згідно з Міжнародною класифікацією хвороб або повна назва захворювання за бажанням одного з батьків або іншого законного представника дитини, на яку заповнюється форма.
- Група для занять фізичною культурою учня.
- Рекомендації відповідно до клінічного протоколу медичного догляду за дітьми віком від 3 до 17 років.
Відповідно до рекомендацій Уповноваженого Верховної Ради України з прав людини щодо захисту персональних даних під час дистанційного надання освітніх послуг, для реєстрації на освітніх платформах для здійснення дистанційного навчання достатньо таких персональних даних здобувача освіти:
- Прізвище, ім’я по батькові учня;
- адреса електронної пошти чи номер мобільного телефону;
- клас, у якому навчається дитина.
У процесі обробки персональних даних заклад освіти може обирати спосіб обробки, але за умови обов’язкового дотримання вимог Закону України “Про захист персональних даних”.
ПРАВОМІРНІСТЬ ОБРОБКИ ЗАКЛАДАМИ ОСВІТИ ПЕРСОНАЛЬНИХ ДАНИХ ТА ЇХНЬОЇ ПЕРЕДАЧІ ДО ОСВІТНІХ ІНФОРМАЦІЙНИХ СИСТЕМ ТА РЕЄСТРІВ, ЯКІ НАЛЕЖАТЬ КОМЕРЦІЙНИМ СУБ’ЄКТАМ ГОСПОДАРЮВАННЯ ЧИ ГРОМАДСЬКИМ ОРГАНІЗАЦІЯМ
Як ми зазначали у попередньому дописі, заклад освіти обробляє персональні дані на підставі законодавства про освіту і для здійснення своїх повноважень на основі під час зарахування, на підставі наданої заяви про зарахування батьків/повнолітніх здобувачів, надання документів, зокрема медичних, та/або укладання договору.
Повноваження закладу освіти та перелік державних інформаційних систем і реєстрів зазначені у Законі України “Про освіту”.
Внесення та обробка персональних даних в системах, які належать комерційним суб’єктам господарювання чи громадським організаціям, потребує окремої згоди від батьків.
Хоча мета використання цих систем може бути й для здійснення повноважень закладу освіти, але водночас заклад освіти може здійснювати повноваження, не використовуючи послуги комерційних суб’єктів господарювання чи громадських організацій. Зокрема, заклад освіти може використовувати електронні платформи для навчання (Moodle, Google workspace та інші), системи електронного документообороту, які передбачають обробку персональних даних.
Тому батьки та повнолітні здобувачі освіти мають повне право не надавати згоду на внесення та іншу обробку й подавати заперечення щодо обробки даних у персональних реєстрах та системах, які не зазначені у законодавстві та які належать комерційним суб’єктам господарювання чи громадським організаціям.
Неправомірним та неприпустимим є тиск на батьків щодо примусу надавати згоду на обробку персональних даних в таких системах та реєстрах.
ДІЇ ЗАКЛАДІВ ОСВІТИ, ЯКЩО БАТЬКИ ВІДКЛИКАЮТЬ ЗАЯВУ ПРО ЗГОДУ І ЗАПЕРЕЧУЮТЬ ЩОДО ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ У СИСТЕМАХ ТА РЕЄСТРАХ, ВЛАСНИКАМИ ЯКИХ Є КОМЕРЦІЙНІ СУБ’ЄКТИ ГОСПОДАРЮВАННЯ ТА ГРОМАДСЬКІ ОРГАНІЗАЦІЇ
У разі надходження заяви від батьків чи повнолітніх здобувачів освіти щодо припинення обробки персональних даних в інформаційних реєстрах та системах, які належать комерційним суб’єктам господарювання чи громадським організаціям, заклад освіти має виконати вимоги батьків і здійснити наступні заходи:
- прийняти заяву та зареєструвати її, повідомити батькам вхідний номер та дату реєстрації;
- видалити персональні дані з таких систем;
- подати письмовий запит до власників таких систем та реєстрів із вимогою видалити персональні дані щодо певного здобувача освіти та батьків;
- отримати письмову відповідь від власників систем та реєстрів, куди були внесені та обробляються персональні дані учасників освітнього процесу;
- надіслати письмову відповідь батькам, у якій повідомити про видалення персональних даних із систем та реєстрів, які належать комерційним суб’єктам господарювання та громадським організаціям, і додати письмову відповідь від цих суб’єктів (за наявності);
У керівних принципах “Захист даних дітей в освітньому середовищі” підготовлених Консультативним комітетом конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, зазначається, що згоду на будь-яку обробку даних, включаючи, серед іншого, особливу категорію даних про дитину, надану від імені законних представників або дітей, в жодному разі не можна вважати такою, що легітимізує обробку даних третіми сторонами-постачальниками (пункт 7.1.4).
Водночас просимо керівників закладів освіти та батьків уважно вивчати документи, договори інформаційних систем та реєстрів, послуги яких закуповуються чи планують закупити для використання. Обов’язково треба з’ясовувати, кому належать ці системи чи реєстри, хто має до них доступ, як вони захищаються, чи передаються іншим особам, як будуть використовуватися та інші важливі моменти. Це допоможе убезпечити персональні дані від можливих витоку та неправомірного використання.
ДІЇ ЗАКЛАДІВ ОСВІТИ, ЯКЩО БАТЬКИ ПОДАЮТЬ ЗАЯВУ ПРО НАДАННЯ ІНФОРМАЦІЇ, ЩОДО ПЕРЕДАЧІ ТА ОБРОБКИ ЇХ ПЕРСОНАЛЬНИХ ДАНИХ ТА ЇХНІХ ДІТЕЙ В РЕЄСТРАХ ТА СИСТЕМАХ
Батьки мають право знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки. Це визначено статтею 8 Закону України “Про захист персональних даних” – суб’єкт персональних даних має право:
- знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
- отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
- отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних.
Тому, відповідно до статті 5 Закону України “Про звернення громадян”, у разі надходження запиту від батьків щодо надання переліку, де обробляються їхні персональні дані (чи дані їхніх неповнолітніх дітей), запитом про їхнє місцезнаходження, зокрема про перелік всіх інформаційних систем та реєстрів, куди вони були внесені, їхній зміст тощо, заклад освіти повинен:
- прийняти запит та зареєструвати його повідомити батькам вхідний номер та дату реєстрації;
- надіслати письмову відповідь батькам із зазначеним переліком у письмовому вигляді зі вказанням назв систем і реєстрів та їхніх власників;
- перерахувати у письмовій відповіді, які персональні дані були внесені, як вони обробляються.
ДО ЯКИХ ДЕРЖАВНИХ ОСВІТНІХ ІНФОРМАЦІЙНИХ СИСТЕМ ТА РЕЄСТРІВ ЗАКЛАДИ ОСВІТИ ПЕРЕДАЮТЬ ПЕРСОНАЛЬНІ ДАНІ
Наразі існує два державних освітніх електронних реєстри, куди вносяться персональні дані здобувачів освіти:
- Єдина державна електронна база з питань освіти (ЄДЕБО)
- Автоматизований інформаційний комплекс освітнього менеджменту (АІКОМ).
Державні інформаційні системи:
Єдина державна електронна база з питань освіти (ЄДЕБО) – це автоматизована система збирання, оброблення, зберігання та захисту інформації щодо здобувачів освіти, суб’єктів освітньої діяльності, що формується (створюється) та використовується для забезпечення потреб фізичних та юридичних осіб. Вона входить до освітньої інфраструктури освіти й зазначена у статті 74 Закону України “Про освіту”.
Власником ЄДЕБО та виключних майнових прав на її програмне забезпечення є держава. Розпорядником та володільцем інформації в ЄДЕБО є Міністерство освіти і науки України, технічним адміністратором – державне підприємство «Інфоресурс», що належить до сфери управління розпорядника ЄДЕБО.
ЄДЕБО містить такі складові:
- Реєстр суб’єктів освітньої діяльності
- Реєстр здобувачів освіти
- Реєстр документів про освіту
- Реєстр сертифікатів зовнішнього незалежного оцінювання
- Реєстр студентських (учнівських) квитків
- Реєстр педагогічних, науково-педагогічних працівників
- Реєстр сертифікатів педагогічних працівників.
Автоматизований інформаційний комплекс освітнього менеджменту (АІКОМ) – це державна інформаційно-аналітична система, що використовується суб’єктами освітньої діяльності для ефективного управління закладами освіти (крім закладів вищої освіти). Комплекс входить до освітньої інфраструктури освіти і визначений у статті 74-1 Закону України “Про освіту”.
Власником АІКОМ є Міністерство освіти і науки України, а технічним адміністратором – державна наукова установа “Інститут освітньої аналітики”, що належить до сфери управління МОН.
Внесення та обробка персональних даних у державних електронних системах АІСОМ та ЄДЕБО визначена у Законі України “Про освіту” та є здійсненням повноважень закладами освіти.
ПОРУШЕННЯ ПРАВ ДИТИНИ ТА НАСЛІДКИ ДЛЯ ЗАКЛАДУ ОСВІТИ ЧЕРЕЗ НЕВНЕСЕННЯ ПЕРСОНАЛЬНИХ ДАНИХ ДІТЕЙ ДО ДЕРЖАВНИХ ІНФОРМАЦІЙНИХ СИСТЕМ І ЕЛЕКТРОННИХ РЕЄСТРІВ
Заперечення батьками проти обробки персональних даних здобувачів освіти у визначених законодавством державних системах та електронних реєстрах порушує конституційне право дитини на освіту. Адже між інтересами (правами) дитини повинна існувати справедлива рівновага, і, дотримуючись такої рівноваги, особлива увага має бути до найважливіших інтересів дитини, які за своєю природою та важливістю повинні переважати над інтересами батьків (цитати з рішень Європейського суду з прав людини в рішенні у справі від 07.12.2006 та рішенні від 27.02.1992).
Припинення обробки персональних даних здобувачів освіти у державних реєстрах ЄДЕБО та АІКОМ призводить до неможливості:
-
- здійснення навчання здобувачів освіти;
- видачі їм документів про освіту;
- перерахування коштів державних субвенцій для навчання учня в закладі освіти;
- замовлення та отримання підручників для дитини;
Хочемо зазначити, що кошти освітньої субвенції “йдуть за дитиною” до закладу середньої освіти, відповідно не отримання коштів на певну дитину (дітей) через невнесення персональних даних до державних систем та реєстрів призведе до порушення прав педагогічних працівників, які отримують заробітну плату з освітньої субвенції відповідно до кількості дітей у закладі освіти. І держава має ідентифікувати, що дитина здобуває освіту в конкретному закладі освіти конкретної громади, що вона здобуває обов’язкову освіту тощо.
Згідно з чинним законодавством у сфері освіти можливість отримати документ про освіту полягає виключно через внесення даних до державної електронної бази. Але якщо цьому суперечать релігійні чи інші особистісні погляди батьків, – наразі немає альтернативного, більш прийнятного для батьків варіанту обробки персональних даних.
ДІЇ ЗАКЛАДУ ОСВІТИ, ЯКЩО БАТЬКИ ЗАПЕРЕЧУЮТЬ ПРОТИ ОБРОБКИ СВОЇХ ПЕРСОНАЛЬНИХ ДАНИХ ТА ЇХНІХ ДІТЕЙ В ДЕРЖАВНИХ ІНФОРМАЦІЙНИХ СИСТЕМАХ ТА ЕЛЕКТРОННИХ РЕЄСТРАХ
Ми вже зазначали, що заклад освіти здійснює обробку персональних даних на підставі законодавства про освіту та для здійснення своїх повноважень, і ця обробка здійснюється на законних підставах без формалізованої згоди від суб’єкта персональних даних у вигляді окремого документа – дозволу на обробку персональних даних.
Існують державні інформаційні системи та реєстри, про які зазначено у законодавстві. Це системи ЄДЕБО та АІКОМ, про які зазначено у статтях 74 та 74-1 Закону України “Про освіту”.
Внесення персональних даних дітей до цих систем визначено у законодавстві та є здійсненням повноважень закладу освіти. Наслідки невнесення персональних даних до цих державних систем перераховані у попередньому розділі.
Тому подача заяви батьками чи повнолітніми здобувачами освіти про відкликання згоди на обробку цих даних у державних реєстрах, якщо така згода була надана, або подача заперечення щодо обробки даних, не повинна мати наслідком припинення такої обробки, оскільки продовжують існувати підстави, які дають право закладу освіти обробляти персональні дані на підставі закону та для здійснення повноважень на основі добровільного подання батьками заяви про зарахування до закладу та надання персональних даних. Тобто заклад освіти має право продовжувати обробку персональних даних в системах ЄДЕБО та АІКОМ.
Нагадуємо, що заклад освіти зобов’язаний припинити обробку персональних даних дітей та батьків в системах ЄДЕБО та АІКОМ лише тоді, коли батьки чи здобувач освіти подасть заяву про відрахування із закладу освіти або переведення учня до іншого закладу.
Тому в ситуації із запереченнями з боку батьків маємо конфлікт між формальним запереченням батьків проти обробки персональних даних та необхідністю виконання функцій у сфері освіти й забезпечення прав дитини на освіту. Вирішенням такої ситуації може стати запровадження альтернативного механізму, що дозволить мати вибір батькам із відмінними релігійними переконаннями. Але наразі такого механізму немає.
Дії закладу освіти у разі отримання заяви батьків із запереченням проти обробки своїх персональних даних та їхніх дітей у державних інформаційних системах та електронних реєстрах:
- прийняти та зареєструвати заяву і повідомити батькам вхідний номер та дату реєстрації;
- надіслати письмову відповідь батькам.
У відповіді заклад освіти має зазначити, що обробка персональних даних дитини у закладі освіти здійснюється відповідно до пунктів 2-6 частини першої статті 11 Закону України «Про захист персональних даних», на підставі законодавства про освіту та здійснення повноважень закладу освіти на основі заяви про зарахування батьків/здобувачів та/або укладання договору й надання персональних даних. Також у цьому разі заклад освіти у своїй відповіді на заяву батьків може додатково послатися на статті 74 та 74-1 Закону України “Про освіту”, в яких зазначається мета обробки даних державними системами ЄДЕБО та АІКОМ. Без обробки закладом освіти персональних даних в інформаційних системах ЄДЕБО та АІКОМ заклад освіти позбавлений можливості забезпечити конституційне право дитини на здобуття повної загальної середньої освіти, дитина не зможе мати доступ до освіти, отримати документ про здобуття освіти, а заклад освіти здійснювати свої повноваження.
УВАГА! Інші дописи про персональні дані: