5 970
0
Для керівників закладів освіти та педагогів актуальним є питання – як діяти, якщо батьки подають заяву про відкликання згоди на обробку персональних даних у державних або приватних сервісах електронних журналів і щоденників (якщо така згода була надана) і заперечують проти обробки персональних даних.
В Офісі освітнього омбудсмена Сергія Горбачова пояснили, як мають реагувати ЗО в такій ситуації та що в цьому випадку можуть зробити керівники, педагоги та батьки.
Публікуємо текст у майже незмінному вигляді.
Ведення класних журналів і щоденників в електронній формі значно спрощує діловодство, дає змогу батькам відстежувати успішність своїх дітей, а педагогічним працівникам у будь-який час і з будь-якого місця заповнювати такий журнал і зберігати інформацію.
В Україні діє безоплатний державний сервіс електронних журналів E-Journal на базі програмно-апаратного комплексу “Автоматизований інформаційний комплекс освітнього менеджменту” (АІКОМ). Усі інші сервіси електронних журналів належать комерційним суб’єктам господарювання чи громадським організаціям. За використання приватних сервісів щорічно сплачують кошти місцеві органи влади, а деінде – батьки. При цьому в деяких комерційних суб’єктів господарювання є відповідний захист персональних даних, а у деяких – немає.
Частина комерційних суб’єктів господарювання, громадських організацій, які надають послуги електронних журналів і щоденників, можуть припинити своє існування на ринку, і тоді невідомою залишається доля персональних даних, якими вони володіли:
У більшості випадків закупівля цих послуг електронних журналів і щоденників відбувається без залучення та без інформування батьків, оскільки вони не беруть участь у виборі таких систем. Частина батьків зауважує, що не користується ними через незручність, застарілість та/або через те, що їм невідомо, як обробляються та зберігаються персональні дані.
Ці питання потребують дослідження, обговорення та вироблення державної стратегії, внесення змін до законодавства, адаптації його до європейського, зокрема до Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних). Вивчення досвіду інших країн показало, що деякі з них створили державний електронний щоденник, інші – залучили до цього приватний сектор.
У документі Консультативного комітету Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних “Захист даних дітей в системах освіти. Виклики та можливі засоби їх вирішення” зазначається, що цифрові дані використовуються все більш потужними технічними організаціями для виробництва інформації та стимулювання ухвалення рішень, а знання, добуті з даних в галузі освіти, все частіше використовуються для впливу на поведінку дитини в класі та за його межами й для її прогнозування. Тому питання захисту персональних даних у всіх освітніх системах та реєстрах є дуже важливим.
У ЯКІЙ ДОКУМЕНТАЦІЇ ЗАКЛАДУ ВИКОРИСТОВУЮТЬСЯ ПЕРСОНАЛЬНІ ДАНІ ЗДОБУВАЧІВ ОСВІТИ ТА БАТЬКІВ
У межах освітньої та управлінської діяльності заклади освіти усіх типів і форм власності ведуть обов’язкову ділову документацію, про яку йдеться в наказі МОН від 10.05.2011 № 423 “Про затвердження єдиних зразків обов’язкової ділової документації у загальноосвітніх навчальних закладах усіх типів і форм власності”, де використовуються персональні дані учасників освітнього процесу:
Відповідно до Інструкції з ведення ділової документації у закладах загальної середньої освіти в електронній формі, заклад освіти веде, крім зазначених вище, такі документи, де використовують персональні дані:
Медична документація:
Цей перелік документів, де використовуються персональні дані учасників освітнього процесу, не є вичерпним.
ПРАВА УЧАСНИКІВ ОСВІТНЬОГО ПРОЦЕСУ, ДАНІ ЯКИХ ОБРОБЛЯЮТЬСЯ
Батьки та законні представники дитини як суб’єкти персональних даних, відповідно до частини 2 статті 8 Закону України “Про захист персональних даних” мають право:
ДЕРЖАВНИЙ ЕЛЕКТРОННИЙ ЖУРНАЛ І ЩОДЕННИК
Електронний журнал може працювати як окрема електронна освітня інформаційна система або як функціональний модуль програмно-апаратного комплексу Державної інформаційної системи “Автоматизований інформаційний комплекс освітнього менеджменту” (АІКОМ) (пункт 2 розділ 1 Інструкції з ведення ділової документації у закладах загальної середньої освіти в електронній формі).
Система АІКОМ використовується суб’єктами освітньої діяльності для ефективного управління закладами освіти (крім закладів вищої освіти). Комплекс входить до освітньої інфраструктури та зазначений у статті 74-1 Закону України “Про освіту”.
На базі “АІКОМ” із грудня 2020 року для закладів загальної середньої освіти діє як окремий модуль безоплатний державний сервіс електронних журналів E-Journal. В Е-journal батьки та учні доступу до електронного журналу не мають, а в електронному щоденнику батьки мають доступ до інформації лише про власну дитину.
Хочемо зазначити, що державні сервіси не лише безоплатні, а й мають захист від несанкціонованого доступу та несанкціонованої обробки персональних даних. Обробка персональних даних у цих сервісах відбувається відповідно до українського законодавства.
Для внесення до державного реєстру АІКОМ та іншої обробки персональних даних у реєстрі згода батьків не потрібна, згодою є заява батьків чи здобувачів про зарахування до закладів освіти. Це розповсюджується на державний електронний журнал та щоденник E-Journal, який є окремим функціональним модулем програмно-апаратного комплексу АІКОМ. Адже в цьому разі заклад освіти обробляє персональні дані учасників освітнього процесу на підставі закону та для здійснення повноважень – освітньої діяльності.
ЕЛЕКТРОННІ ЖУРНАЛИ ТА ЩОДЕННИКИ, ЩО НАЛЕЖАТЬ КОМЕРЦІЙНОМУ СУБ’ЄКТУ ГОСПОДАРЮВАННЯ ЧИ ГРОМАДСЬКІЙ ОРГАНІЗАЦІЇ
Аналіз частини вебсайтів таких суб’єктів показав, що на деяких із них відсутня інформація про власників (бенефіціарів), про те, де та як зберігаються персональні дані, хто до них має доступ, вартість використання послуг, відсутні сертифікати захисту інформації. А деякі сервіси зареєстровані як громадські організації, хоч здійснюють комерційну діяльність.
Під час використання приватних сервісів існує кілька ризиків:
Приватні сервіси можуть збирати надмірну кількість персональних даних, зокрема для здійснення рекламних розсилок. Усе це впливає на рівень захисту персональних даних. Крім того, обробка персональних даних, що виходить за межі встановленої мети, на кшталт здійснення рекламних розсилок, потребує окремої згоди на обробку персональних даних.
У керівних принципах “Захист даних дітей в освітньому середовищі”, підготовлених Консультативним комітетом Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних ЄС, зазначається, що держави повинні вживати заходів для забезпечення того, щоб контракти на державні закупівлі призначалися тим учасникам торгів, які зобов’язуються дотримуватися прав дітей. Державні установи та інституції, включно з силами безпеки, не повинні співпрацювати з третіми сторонами, які порушують права дитини, або потурати їм. Держави не повинні інвестувати бюджетні фінанси та інші ресурси в комерційну діяльність, що порушує права дітей.
Відповідно до статті 9 Закону України “Про захист інформації в інформаційно-комунікаційних системах”, відповідальність за забезпечення захисту інформації в системі покладається на власника системи.
ЧИ ПОТРІБНА ЗГОДА БАТЬКІВ НА ПЕРЕДАЧУ ПЕРСОНАЛЬНИХ ДАНИХ ДО ЕЛЕКТРОННИХ ЖУРНАЛІВ І ЩОДЕННИКІВ, ЩО НАЛЕЖАТЬ КОМЕРЦІЙНОМУ СУБ’ЄКТУ ГОСПОДАРЮВАННЯ ЧИ ГРОМАДСЬКІЙ ОРГАНІЗАЦІЇ
На передачу та інші дії щодо обробки персональних даних в Державній інформаційній системі АІКОМ і безоплатному державному сервісі електронних журналів E-Journal, який є частиною АІКОМ, згода не потрібна, адже заклад освіти обробляє персональні дані на підставі закону та для здійснення своїх повноважень.
Водночас, якщо персональні дані необхідно передати третій стороні – комерційному суб’єкту господарювання чи громадській організації, які надають послуги електронних журналів і щоденників, то має бути надана згода батьків, законних представників або повнолітніх здобувачів освіти на обробку персональних даних у такому електронному журналі та щоденнику. Цього вимагає українське законодавство: у статті 16 Закону України “Про захист персональних даних” визначено, що порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта (людини) персональних даних на обробку цих даних, наданої володільцю (закладу освіти) персональних даних, або відповідно до вимог закону. Тобто у згоді про передачу персональних даних має бути зазначено, кому передаються персональні дані, з якою метою та на який термін.
Цього вимагає також і європейське законодавство. У пункті 7.1.4 Керівних принципів “Захист даних дітей в освітньому середовищі”, підготовлених Консультативним комітетом Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних зазначається, що згоду на будь-яку обробку даних, включаючи, серед іншого, особливу категорію даних про дитину, надану від імені законних представників або дітей, у жодному разі не можна вважати такою, що легітимізує обробку даних третіми сторонами-постачальниками.
Тобто для передачі та інших дій щодо обробки персональних даних дітей і батьків до сервісів електронних журналів та щоденників, що належать комерційному суб’єкту господарювання чи громадській організації, необхідна окремо і ясно висловлена згода батьків, законних представників дитини чи повнолітніх здобувачів освіти на обробку цих даних. І батьки мають право подавати заяву про відкликання згоди на обробку персональних даних у приватних сервісах електронних журналів та щоденників.
ДІЇ ЗАКЛАДУ У РАЗІ ПОДАННЯ ЗАЯВИ ПРО ВІДКЛИКАННЯ ЗГОДИ НА ОБРОБКУ ТА ЗАПЕРЕЧЕННЯ ПРОТИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ У СЕРВІСАХ, ЩО НАЛЕЖАТЬ КОМЕРЦІЙНОМУ СУБ’ЄКТУ ГОСПОДАРЮВАННЯ ЧИ ГО
У невизначену ситуацію потрапляють заклади освіти, педагоги та органи управління освітою, які закуповують послуги користування сервісами електронних журналів та щоденників у комерційного суб’єкта господарювання чи громадської організації, коли частина батьків подають заяву про відкликання згоди на обробку персональних даних у цих сервісах та заперечують проти обробки даних. Звісно, це викликає незручності для педагогів та закладу освіти при користуванні цією системою.
Але варто пам’ятати, що батьки мають повне право відкликати згоду на обробку персональних даних в електронних журналах та щоденниках, які належать комерційному суб’єкту господарювання чи громадській організації. Надання згоди про обробку персональних даних у таких електронних системах має здійснюватися без примусу та тиску. Сучасні інформаційні технології не повинні бути безальтернативними та примусовими.
Якщо батьки відмовилися від обробки персональних даних їхніх дітей у сервісах електронних журналів та щоденників, що належать комерційному суб’єкту господарювання чи громадській організації, то заклад освіти має застосовувати традиційні методи для контролю реалізації освітньої програми, фіксації результатів навчальних досягнень учнів, відвідування ними занять, – тобто паперовий журнал.
Але перед цим заклад освіти має виконати вимоги батьків і здійснити наступні заходи:
Окремо в офісі омбудсмена звертають увагу, що письмова відповідь комерційного суб’єкта господарювання чи громадської організації допоможе закладу освіти довести виконання заяви батьків про відкликання згоди в суді (якщо батьки подадуть до суду).
ДІЇ ЗАКЛАДУ ОСВІТИ, ЯКЩО БАТЬКИ ПОДАЮТЬ ЗАЯВУ ПРО ВІДКЛИКАННЯ ЗГОДИ Й ЗАПЕРЕЧУЮТЬ ПРОТИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ СВОЇХ І ЇХНІХ ДІТЕЙ У ДЕРЖАВНИХ ЕЛЕКТРОННИХ ЖУРНАЛАХ І ЩОДЕННИКАХ
Заклад освіти здійснює обробку персональних даних на підставі законодавства про освіту та для здійснення своїх повноважень, і ця обробка здійснюється на законних підставах, тому згода суб’єкта персональних даних не потрібна.
Якщо батьки, законні представники чи повнолітні здобувачі освіти без вагомих причин подають заяву про відкликання згоди на обробку персональних даних у державному електронному журналі чи щоденнику (якщо така згода була надана), або заперечують проти обробки даних, це не є підставою припинення такої обробки, оскільки державний сервіс електронних журналів E-Journal є частиною державної системи Автоматизованого інформаційного комплексу освітнього менеджменту. Нагадуємо, що використання системи АІКОМ для управління закладами освіти визначене статтею 74-1 Закону України “Про освіту”, тобто визначене законодавством і є повноваженнями закладу. Докладніше про це – у нашій попередній публікації. Тобто заклад може продовжувати обробку даних в електронному журналі та щоденнику.
Якщо ж батьки чи здобувач освіти подасть заяву про відрахування із закладу освіти або переведення учня до іншого закладу – заклад припиняє обробку цих даних, і вони мають бути видалені з електронного журналу та щоденника.
Дії закладу освіти у разі отримання заяви батьків із запереченням проти обробки своїх персональних даних та даних їхніх дітей у державному сервісі електронних журналів E-Journal, що є частиною АІКОМ:
У відповіді заклад освіти має зазначити, що обробка персональних даних дитини у закладі освіти здійснюється відповідно до пунктів 2-6 частини першої статті 11 Закону України “Про захист персональних даних”, на підставі законодавства про освіту та здійснення повноважень закладу освіти на основі заяви про зарахування батьків/здобувачів та/або укладання договору й надання персональних даних, додатково послатися на статтю 74-1 Закону України “Про освіту” та пояснити батькам, що без обробки цих даних в електронному журналі заклад освіти не зможе здійснювати оцінювання дитини та переведення до наступного класу.
У попередніх публікаціях освітній омбудсмен писав:
Титульне фото: Офіс освітнього омбудсмена
Обговорення