Обробка персональних даних у електронних журналах і щоденниках: корисна інформація для батьків, педагогів і освітніх управлінців

Для керівників закладів освіти та педагогів актуальним є питання – як діяти, якщо батьки подають заяву про відкликання згоди на обробку персональних даних у державних або приватних сервісах електронних журналів і щоденників (якщо така згода була надана) і заперечують проти обробки персональних даних.

• Чи мають право заклади освіти передавати персональні дані учнів і батьків комерційним суб’єктам господарювання, громадським організаціям і державному сервісу електронних журналів E-Journal?
• Чи потрібна для цього згода батьків та повнолітніх здобувачів освіти?
• Як діяти, коли управління освіти чи заклад освіти закупили послуги електронного журналу та щоденника у комерційного суб’єкта господарювання, а частина батьків заперечують проти обробки персональних даних у комерційних електронних журналах і щоденниках?

В Офісі освітнього омбудсмена Сергія Горбачова пояснили, як мають реагувати ЗО в такій ситуації та що в цьому випадку можуть зробити керівники, педагоги та батьки.

Публікуємо текст у майже незмінному вигляді.

Ведення класних журналів і щоденників в електронній формі значно спрощує діловодство, дає змогу батькам відстежувати успішність своїх дітей, а педагогічним працівникам у будь-який час і з будь-якого місця заповнювати такий журнал і зберігати інформацію.

В Україні діє безоплатний державний сервіс електронних журналів E-Journal на базі програмно-апаратного комплексу “Автоматизований інформаційний комплекс освітнього менеджменту” (АІКОМ). Усі інші сервіси електронних журналів належать комерційним суб’єктам господарювання чи громадським організаціям. За використання приватних сервісів щорічно сплачують кошти місцеві органи влади, а деінде – батьки. При цьому в деяких комерційних суб’єктів господарювання є відповідний захист персональних даних, а у деяких – немає.

Частина комерційних суб’єктів господарювання, громадських організацій, які надають послуги електронних журналів і щоденників, можуть припинити своє існування на ринку, і тоді невідомою залишається доля персональних даних, якими вони володіли:

• чи були ці дані знищені,
• чи десь зберігаються,
• чи передані країні-агресору.

У більшості випадків закупівля цих послуг електронних журналів і щоденників відбувається без залучення та без інформування батьків, оскільки вони не беруть участь у виборі таких систем. Частина батьків зауважує, що не користується ними через незручність, застарілість та/або через те, що їм невідомо, як обробляються та зберігаються персональні дані.

Ці питання потребують дослідження, обговорення та вироблення державної стратегії, внесення змін до законодавства, адаптації його до європейського, зокрема до Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних). Вивчення досвіду інших країн показало, що деякі з них створили державний електронний щоденник, інші – залучили до цього приватний сектор.

У документі Консультативного комітету Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних “Захист даних дітей в системах освіти. Виклики та можливі засоби їх вирішення” зазначається, що цифрові дані використовуються все більш потужними технічними організаціями для виробництва інформації та стимулювання ухвалення рішень, а знання, добуті з даних в галузі освіти, все частіше використовуються для впливу на поведінку дитини в класі та за його межами й для її прогнозування. Тому питання захисту персональних даних у всіх освітніх системах та реєстрах є дуже важливим.

У ЯКІЙ ДОКУМЕНТАЦІЇ ЗАКЛАДУ ВИКОРИСТОВУЮТЬСЯ ПЕРСОНАЛЬНІ ДАНІ ЗДОБУВАЧІВ ОСВІТИ ТА БАТЬКІВ

У межах освітньої та управлінської діяльності заклади освіти усіх типів і форм власності ведуть обов’язкову ділову документацію, про яку йдеться в наказі МОН від 10.05.2011 № 423 “Про затвердження єдиних зразків обов’язкової ділової документації у загальноосвітніх навчальних закладах усіх типів і форм власності”, де використовуються персональні дані учасників освітнього процесу:

• класний журнал для I-IV класів;
• класний журнал для V-XI класів;
• свідоцтво досягнень у НУШ для 1-2 та 3-4 класів;
• табель навчальних досягнень учнів V-XI класів;
• особова справа;
• алфавітна книга запису учнів;
• книга наказів з основної діяльності;
• книга наказів з кадрових питань;
• книга обліку та видачі свідоцтв і додатків до свідоцтв про базову загальну середню освіту;
• книга обліку та видачі атестатів і додатків до атестатів про повну загальну середню освіту, срібних і золотих медалей;
• книга записів наслідків внутрішнього контролю;
• журнал обліку пропущених і замінених уроків;
• журнал групи продовженого дня;
• книга протоколів засідання педагогічної ради;
• бланк протоколу державної підсумкової атестації учнів (вихованців) у системі загальної середньої освіти.

Відповідно до Інструкції з ведення ділової документації у закладах загальної середньої освіти в електронній формі, заклад освіти веде, крім зазначених вище, такі документи, де використовують персональні дані:

• журнали здобувачів освіти, які здобувають загальну середню освіту за індивідуальною формою;
• журнал факультативних та гурткових занять;
• журнал реєстрації інструктажів з питань охорони праці та безпеки життєдіяльності;
• особову справу педагогічного працівника;
• журнал реєстрації наказів руху здобувачів освіти;
• накази керівника з кадрових питань особового складу тимчасового зберігання (про відрядження, стягнення, надання щорічних оплачуваних відпусток та відпусток у зв’язку з навчанням);
• індивідуальні навчальні плани дітей.

Медична документація:

• медичні картки дітей;
• довідки про медогляд;
• журнал обліку профілактичних щеплень;
• журнал обліку інфекційних захворювань.

Цей перелік документів, де використовуються персональні дані учасників освітнього процесу, не є вичерпним.

ПРАВА УЧАСНИКІВ ОСВІТНЬОГО ПРОЦЕСУ, ДАНІ ЯКИХ ОБРОБЛЯЮТЬСЯ

Батьки та законні представники дитини як суб’єкти персональних даних, відповідно до частини 2 статті 8 Закону України “Про захист персональних даних” мають право:

• знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних, або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
• отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
• на доступ до своїх персональних даних;
• отримувати не пізніше як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
• пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
• пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
• на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
• звертатися зі скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду;
• застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
• вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
• відкликати згоду на обробку персональних даних;
• знати механізм автоматичної обробки персональних даних;
• на захист від автоматизованого рішення, яке має для нього правові наслідки (частина 2 стаття 8 Закону України “Про захист персональних даних”).

ДЕРЖАВНИЙ ЕЛЕКТРОННИЙ ЖУРНАЛ І ЩОДЕННИК

Електронний журнал може працювати як окрема електронна освітня інформаційна система або як функціональний модуль програмно-апаратного комплексу Державної інформаційної системи “Автоматизований інформаційний комплекс освітнього менеджменту” (АІКОМ) (пункт 2 розділ 1 Інструкції з ведення ділової документації у закладах загальної середньої освіти в електронній формі).

Система АІКОМ використовується суб’єктами освітньої діяльності для ефективного управління закладами освіти (крім закладів вищої освіти). Комплекс входить до освітньої інфраструктури та зазначений у статті 74-1 Закону України “Про освіту”.

На базі “АІКОМ” із грудня 2020 року для закладів загальної середньої освіти діє як окремий модуль безоплатний державний сервіс електронних журналів E-Journal. В Е-journal батьки та учні доступу до електронного журналу не мають, а в електронному щоденнику батьки мають доступ до інформації лише про власну дитину.

Хочемо зазначити, що державні сервіси не лише безоплатні, а й мають захист від несанкціонованого доступу та несанкціонованої обробки персональних даних. Обробка персональних даних у цих сервісах відбувається відповідно до українського законодавства.

Для внесення до державного реєстру АІКОМ та іншої обробки персональних даних у реєстрі згода батьків не потрібна, згодою є заява батьків чи здобувачів про зарахування до закладів освіти. Це розповсюджується на державний електронний журнал та щоденник E-Journal, який є окремим функціональним модулем програмно-апаратного комплексу АІКОМ. Адже в цьому разі заклад освіти обробляє персональні дані учасників освітнього процесу на підставі закону та для здійснення повноважень – освітньої діяльності.

ЕЛЕКТРОННІ ЖУРНАЛИ ТА ЩОДЕННИКИ, ЩО НАЛЕЖАТЬ КОМЕРЦІЙНОМУ СУБ’ЄКТУ ГОСПОДАРЮВАННЯ ЧИ ГРОМАДСЬКІЙ ОРГАНІЗАЦІЇ

Аналіз частини вебсайтів таких суб’єктів показав, що на деяких із них відсутня інформація про власників (бенефіціарів), про те, де та як зберігаються персональні дані, хто до них має доступ, вартість використання послуг, відсутні сертифікати захисту інформації. А деякі сервіси зареєстровані як громадські організації, хоч здійснюють комерційну діяльність.

Під час використання приватних сервісів існує кілька ризиків:

• невідомо, де сервер, на якому розміщені персональні дані учасників освітнього процесу;
• невідомо, хто володіє персональними даними та хто має до них доступ;
• невідомо, куди передають персональні дані учасників освітнього процесу;
• невідомо, які дії здійснюють з цими даними.

Приватні сервіси можуть збирати надмірну кількість персональних даних, зокрема для здійснення рекламних розсилок. Усе це впливає на рівень захисту персональних даних. Крім того, обробка персональних даних, що виходить за межі встановленої мети, на кшталт здійснення рекламних розсилок, потребує окремої згоди на обробку персональних даних.

У керівних принципах “Захист даних дітей в освітньому середовищі”, підготовлених Консультативним комітетом Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних ЄС, зазначається, що держави повинні вживати заходів для забезпечення того, щоб контракти на державні закупівлі призначалися тим учасникам торгів, які зобов’язуються дотримуватися прав дітей. Державні установи та інституції, включно з силами безпеки, не повинні співпрацювати з третіми сторонами, які порушують права дитини, або потурати їм. Держави не повинні інвестувати бюджетні фінанси та інші ресурси в комерційну діяльність, що порушує права дітей.

Відповідно до статті 9 Закону України “Про захист інформації в інформаційно-комунікаційних системах”, відповідальність за забезпечення захисту інформації в системі покладається на власника системи.

ЧИ ПОТРІБНА ЗГОДА БАТЬКІВ НА ПЕРЕДАЧУ ПЕРСОНАЛЬНИХ ДАНИХ ДО ЕЛЕКТРОННИХ ЖУРНАЛІВ І ЩОДЕННИКІВ, ЩО НАЛЕЖАТЬ КОМЕРЦІЙНОМУ СУБ’ЄКТУ ГОСПОДАРЮВАННЯ ЧИ ГРОМАДСЬКІЙ ОРГАНІЗАЦІЇ

На передачу та інші дії щодо обробки персональних даних в Державній інформаційній системі АІКОМ і безоплатному державному сервісі електронних журналів E-Journal, який є частиною АІКОМ, згода не потрібна, адже заклад освіти обробляє персональні дані на підставі закону та для здійснення своїх повноважень.

Водночас, якщо персональні дані необхідно передати третій стороні – комерційному суб’єкту господарювання чи громадській організації, які надають послуги електронних журналів і щоденників, то має бути надана згода батьків, законних представників або повнолітніх здобувачів освіти на обробку персональних даних у такому електронному журналі та щоденнику. Цього вимагає українське законодавство: у статті 16 Закону України “Про захист персональних даних” визначено, що порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта (людини) персональних даних на обробку цих даних, наданої володільцю (закладу освіти) персональних даних, або відповідно до вимог закону. Тобто у згоді про передачу персональних даних має бути зазначено, кому передаються персональні дані, з якою метою та на який термін.

Цього вимагає також і європейське законодавство. У пункті 7.1.4 Керівних принципів “Захист даних дітей в освітньому середовищі”, підготовлених Консультативним комітетом Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних зазначається, що згоду на будь-яку обробку даних, включаючи, серед іншого, особливу категорію даних про дитину, надану від імені законних представників або дітей, у жодному разі не можна вважати такою, що легітимізує обробку даних третіми сторонами-постачальниками.

Тобто для передачі та інших дій щодо обробки персональних даних дітей і батьків до сервісів електронних журналів та щоденників, що належать комерційному суб’єкту господарювання чи громадській організації, необхідна окремо і ясно висловлена згода батьків, законних представників дитини чи повнолітніх здобувачів освіти на обробку цих даних. І батьки мають право подавати заяву про відкликання згоди на обробку персональних даних у приватних сервісах електронних журналів та щоденників.

ДІЇ ЗАКЛАДУ У РАЗІ ПОДАННЯ ЗАЯВИ ПРО ВІДКЛИКАННЯ ЗГОДИ НА ОБРОБКУ ТА ЗАПЕРЕЧЕННЯ ПРОТИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ У СЕРВІСАХ, ЩО НАЛЕЖАТЬ КОМЕРЦІЙНОМУ СУБ’ЄКТУ ГОСПОДАРЮВАННЯ ЧИ ГО

У невизначену ситуацію потрапляють заклади освіти, педагоги та органи управління освітою, які закуповують послуги користування сервісами електронних журналів та щоденників у комерційного суб’єкта господарювання чи громадської організації, коли частина батьків подають заяву про відкликання згоди на обробку персональних даних у цих сервісах та заперечують проти обробки даних. Звісно, це викликає незручності для педагогів та закладу освіти при користуванні цією системою.

Але варто пам’ятати, що батьки мають повне право відкликати згоду на обробку персональних даних в електронних журналах та щоденниках, які належать комерційному суб’єкту господарювання чи громадській організації. Надання згоди про обробку персональних даних у таких електронних системах має здійснюватися без примусу та тиску. Сучасні інформаційні технології не повинні бути безальтернативними та примусовими.

Якщо батьки відмовилися від обробки персональних даних їхніх дітей у сервісах електронних журналів та щоденників, що належать комерційному суб’єкту господарювання чи громадській організації, то заклад освіти має застосовувати традиційні методи для контролю реалізації освітньої програми, фіксації результатів навчальних досягнень учнів, відвідування ними занять, – тобто паперовий журнал.

Але перед цим заклад освіти має виконати вимоги батьків і здійснити наступні заходи:

• прийняти заяву та зареєструвати її, повідомити батькам вхідний номер і дату реєстрації;
• видалити персональні дані з таких систем;
• подати письмовий запит до власників таких систем та реєстрів з вимогою видалити персональні дані щодо певного здобувача освіти та батьків;
• отримати письмову відповідь від власників систем та реєстрів, де оброблялися персональні дані учасників освітнього процесу;
• надіслати письмову відповідь батькам, у якій повідомити про видалення персональних даних із систем та реєстрів, які належать комерційним суб’єктам господарювання чи громадським організаціям, і додати письмову відповідь від цих суб’єктів (за наявності).

Окремо в офісі омбудсмена звертають увагу, що письмова відповідь комерційного суб’єкта господарювання чи громадської організації допоможе закладу освіти довести виконання заяви батьків про відкликання згоди в суді (якщо батьки подадуть до суду).

ДІЇ ЗАКЛАДУ ОСВІТИ, ЯКЩО БАТЬКИ ПОДАЮТЬ ЗАЯВУ ПРО ВІДКЛИКАННЯ ЗГОДИ Й ЗАПЕРЕЧУЮТЬ ПРОТИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ СВОЇХ І ЇХНІХ ДІТЕЙ У ДЕРЖАВНИХ ЕЛЕКТРОННИХ ЖУРНАЛАХ І ЩОДЕННИКАХ

Заклад освіти здійснює обробку персональних даних на підставі законодавства про освіту та для здійснення своїх повноважень, і ця обробка здійснюється на законних підставах, тому згода суб’єкта персональних даних не потрібна.

Якщо батьки, законні представники чи повнолітні здобувачі освіти без вагомих причин подають заяву про відкликання згоди на обробку персональних даних у державному електронному журналі чи щоденнику (якщо така згода була надана), або заперечують проти обробки даних, це не є підставою припинення такої обробки, оскільки державний сервіс електронних журналів E-Journal є частиною державної системи Автоматизованого інформаційного комплексу освітнього менеджменту. Нагадуємо, що використання системи АІКОМ для управління закладами освіти визначене статтею 74-1 Закону України “Про освіту”, тобто визначене законодавством і є повноваженнями закладу. Докладніше про це – у нашій попередній публікації. Тобто заклад може продовжувати обробку даних в електронному журналі та щоденнику.
Якщо ж батьки чи здобувач освіти подасть заяву про відрахування із закладу освіти або переведення учня до іншого закладу – заклад припиняє обробку цих даних, і вони мають бути видалені з електронного журналу та щоденника.

Дії закладу освіти у разі отримання заяви батьків із запереченням проти обробки своїх персональних даних та даних їхніх дітей у державному сервісі електронних журналів E-Journal, що є частиною АІКОМ:

• прийняти та зареєструвати заяву та повідомити батькам вхідний номер і дату реєстрації;
• надіслати письмову відповідь батькам.

У відповіді заклад освіти має зазначити, що обробка персональних даних дитини у закладі освіти здійснюється відповідно до пунктів 2-6 частини першої статті 11 Закону України “Про захист персональних даних”, на підставі законодавства про освіту та здійснення повноважень закладу освіти на основі заяви про зарахування батьків/здобувачів та/або укладання договору й надання персональних даних, додатково послатися на статтю 74-1 Закону України “Про освіту” та пояснити батькам, що без обробки цих даних в електронному журналі заклад освіти не зможе здійснювати оцінювання дитини та переведення до наступного класу.

У попередніх публікаціях освітній омбудсмен писав:

• як діяти закладу освіти, коли батьки не надають згоди або подають заяву про відкликання згоди на обробку персональних даних;
• як діяти, якщо батьки подають заяву про відкликання згоди на обробку персональних даних в інформаційних системах та електронних реєстрах (якщо така згода була надана) або заперечують проти обробки даних.

Титульне фото: Офіс освітнього омбудсмена