9 609
0
Аналізуючи звернення керівників закладів освіти та педагогів щодо дій у разі подання батьками заяви про відкликання згоди на обробку персональних даних або заперечення проти обробки даних, в Офісі освітнього омбудсмена розпочали випуск серії публікацій з роз’ясненнями.
Водночас батьків теж цікавить питання – наскільки правомірними є внесення та обробка персональних даних їхніх дітей в електронних системах та реєстрах, власниками яких є комерційні суб’єкти господарювання чи громадські організації.
Освітній омбудсмен Сергій Горбачов у співпраці з Українською Гельсінською спілкою з прав людини пропонує докладно розібратися в питаннях збору та обробки персональних даних учнів та батьків.
Відповідне розʼяснення опубліковано на сайті Освітнього омбудсмена України. Викладаємо текст у майже незмінному вигляді.
Що таке обробка персональних даних
Заклад освіти, який обробляє персональні дані на підставі законодавства (зокрема, про освіту) для здійснення своїх повноважень відповідно до чітко визначеної мети – здійснення освітньої діяльності (стаття 2 Закону України “Про захист персональних даних”), має законні підстави:
Обробка персональних даних передбачає будь-яку дію або сукупність дій із вказаного переліку.
Які персональні дані учнів і батьків обробляє заклад освіти
Варто зазначити, що заборонена обробка персональних даних:
Але є певні умови, за яких положення частини 1 статті 7 не застосовується. Вони визначені у частині 2 статті 7 Закону України “Про захист персональних даних”.
Іноді заклади освіти з різних причин збирають ці чутливі дані. Такі випадки яскраво демонструють порушення процедури обробки персональних даних, оскільки вона не відповідає встановленій меті та здійснюється без отримання згоди від батьків. Докладніше про обробку персональних даних у межах встановленої мети – у першій публікації від Офісу освітнього омбудсмена.
Під час зарахування учнів заклад освіти обробляє:
Під час зарахування, переведення дитини до іншого закладу освіти керівник не має права вимагати інших документів із персональними даними, крім тих, що визначені Порядком зарахування (наказ № 367) … та наказом МОЗ “Про удосконалення медичного обслуговування учнів загальноосвітніх навчальних закладів”.
Перелік даних, що обробляються в електронній освітній інформаційній системі для ведення ділової документації закладу в електронній формі визначається додатком до Інструкції з ведення ділової документації у закладах загальної середньої освіти в електронній формі.
Це, зокрема, такі персональні дані учня:
Особові справи учнів/вихованців містять:
З докладним переліком даних в інших документах можна ознайомитися в додатку до Інструкції.
Персональні дані щодо здоров’я
Частина персональних даних щодо здоров’я учня передбачена для обробки в шкільному закладі через форму первинної облікової документації N 086-1/о “Довідка учня загальноосвітнього навчального закладу про результати обов’язкового медичного профілактичного огляду” в якій є чітке закріплення визначеного кола персональних даних для обробки:
Відповідно до рекомендацій Уповноваженого Верховної Ради України з прав людини щодо захисту персональних даних під час дистанційного надання освітніх послуг, для реєстрації на освітніх платформах для здійснення дистанційного навчання достатньо таких персональних даних здобувача освіти:
У процесі обробки персональних даних ЗО може обирати спосіб обробки, але за умови обов’язкового дотримання вимог Закону України “Про захист персональних даних”.
Правомірність обробки закладами освіти персональних даних та їхньої передачі до освітніх інформаційних систем і реєстрів, які належать комерційним суб’єктам господарювання чи громадським організаціям
Заклад освіти обробляє персональні дані на підставі законодавства про освіту і для здійснення своїх повноважень під час зарахування, на підставі наданої заяви про зарахування батьків/повнолітніх здобувачів, надання документів, зокрема медичних, та/або укладання договору.
Повноваження закладу освіти та перелік державних інформаційних систем і реєстрів зазначені у Законі України “Про освіту”.
Внесення та обробка персональних даних в системах, які належать комерційним суб’єктам господарювання чи громадським організаціям, потребує окремої згоди від батьків.
Хоча мета використання цих систем може бути й для здійснення повноважень закладу освіти, але водночас ЗО може здійснювати повноваження, не використовуючи послуги комерційних суб’єктів господарювання чи громадських організацій. Зокрема, заклад освіти може використовувати електронні платформи для навчання (Moodle, Google workspace та інші), системи електронного документообороту, які передбачають обробку персональних даних.
Тому батьки та повнолітні здобувачі освіти мають повне право не надавати згоду на внесення та іншу обробку й подавати заперечення щодо обробки даних у персональних реєстрах та системах, які не зазначені у законодавстві та які належать комерційним суб’єктам господарювання чи громадським організаціям.
Неправомірним та неприпустимим є тиск на батьків щодо примусу надавати згоду на обробку персональних даних в таких системах та реєстрах.
Дії закладів освіти, якщо батьки відкликають заяву про згоду і заперечують щодо обробки персональних даних у системах і реєстрах, власниками яких є комерційні суб’єкти господарювання та громадські організації
У разі надходження заяви від батьків чи повнолітніх здобувачів освіти щодо припинення обробки персональних даних в інформаційних реєстрах та системах, які належать комерційним суб’єктам господарювання чи громадським організаціям, заклад освіти має виконати вимоги батьків і здійснити наступні заходи:
У керівних принципах “Захист даних дітей в освітньому середовищі” підготовлених Консультативним комітетом конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, зазначається, що згоду на будь-яку обробку даних, включаючи, серед іншого, особливу категорію даних про дитину, надану від імені законних представників або дітей, у жодному разі не можна вважати такою, що легітимізує обробку даних третіми сторонами-постачальниками (пункт 7.1.4).
Водночас в Офісі освітнього омбудсмена просять керівників закладів освіти та батьків уважно вивчати документи, договори інформаційних систем і реєстрів, послуги яких закуповуються чи планують закупити для використання. Обов’язково треба з’ясовувати, кому належать ці системи чи реєстри, хто має до них доступ, як їх захищають, чи передають іншим особам, як будуть використовувати та інші важливі моменти. Це допоможе убезпечити персональні дані від можливих витоку та неправомірного використання.
Дії закладів освіти, якщо батьки подають заяву про надання інформації щодо передачі та обробки їхніх персональних даних і їхніх дітей у реєстрах і системах
Батьки мають право знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки. Це визначено статтею 8 Закону України “Про захист персональних даних”. Суб’єкт персональних даних має право:
Тому, відповідно до статті 5 Закону України “Про звернення громадян”, у разі надходження запиту від батьків щодо надання переліку, де обробляються їхні персональні дані (чи дані їхніх неповнолітніх дітей), запитом про їхнє місцезнаходження, зокрема про перелік всіх інформаційних систем І реєстрів, куди вони були внесені, їхній зміст тощо, заклад освіти повинен:
До яких державних освітніх інформаційних систем і реєстрів ЗО передають персональні дані
Наразі існує два державні освітні електронні реєстри, куди вносять персональні дані здобувачів освіти:
Єдина державна електронна база з питань освіти (ЄДЕБО) – це автоматизована система збирання, оброблення, зберігання та захисту інформації щодо здобувачів освіти, суб’єктів освітньої діяльності, яку формують (створюють) і використовують для забезпечення потреб фізичних і юридичних осіб. Вона входить до освітньої інфраструктури освіти й зазначена в статті 74 Закону України “Про освіту”.
Власником ЄДЕБО та виключних майнових прав на її програмне забезпечення є держава. Розпорядником і володільцем інформації в ЄДЕБО є Міністерство освіти і науки України, технічним адміністратором – державне підприємство “Інфоресурс”, що належить до сфери управління розпорядника ЄДЕБО.
ЄДЕБО містить такі складові:
Автоматизований інформаційний комплекс освітнього менеджменту (АІКОМ) – це державна інформаційно-аналітична система, яку використовують суб’єкти освітньої діяльності для ефективного управління закладами освіти (крім закладів вищої освіти). Комплекс входить до освітньої інфраструктури освіти і визначений у статті 74-1 Закону України “Про освіту”.
Власником АІКОМ є Міністерство освіти і науки України, а технічним адміністратором – державна наукова установа “Інститут освітньої аналітики”, що належить до сфери управління МОН.
Внесення та обробка персональних даних у державних електронних системах АІКОМ та ЄДЕБО визначена у Законі України “Про освіту” та є здійсненням повноважень закладами освіти.
Порушення прав дитини та наслідки для ЗО через невнесення персональних даних дітей до державних інформаційних систем і електронних ресурсів
Заперечення батьками обробки персональних даних здобувачів освіти у визначених законодавством державних системах і електронних реєстрах порушує конституційне право дитини на освіту. Адже між інтересами (правами) дитини повинна існувати справедлива рівновага, і, дотримуючись такої рівноваги, особлива увага має бути до найважливіших інтересів дитини, які за своєю природою та важливістю повинні переважати над інтересами батьків (цитати з рішень Європейського суду з прав людини в рішенні у справі від 07.12.2006 та рішенні від 27.02.1992).
Припинення обробки персональних даних здобувачів освіти у державних реєстрах ЄДЕБО та АІКОМ призводить до неможливості:
Кошти освітньої субвенції “йдуть за дитиною” до закладу середньої освіти, відповідно не отримання коштів на певну дитину (дітей) через невнесення персональних даних до державних систем та реєстрів призведе до порушення прав педагогічних працівників, які отримують заробітну плату з освітньої субвенції відповідно до кількості дітей у закладі освіти. І держава має ідентифікувати, що дитина здобуває освіту в конкретному закладі освіти конкретної громади, що вона здобуває обов’язкову освіту тощо.
Згідно з чинним законодавством у сфері освіти можливість отримати документ про освіту полягає виключно через внесення даних до державної електронної бази. Але якщо цьому суперечать релігійні чи інші особистісні погляди батьків, – наразі немає альтернативного, більш прийнятного для батьків варіанту обробки персональних даних.
Дії закладу освіти, якщо батьки заперечують проти обробки своїх персональних даних і їхніх дітей у державних інформаційних системах і електронних ресурсах
Заклад освіти здійснює обробку персональних даних на підставі законодавства про освіту та для здійснення своїх повноважень, і ця обробка здійснюється на законних підставах без формалізованої згоди від суб’єкта персональних даних у вигляді окремого документа – дозволу на обробку персональних даних.
Існують державні інформаційні системи та реєстри, про які зазначено у законодавстві. Це системи ЄДЕБО та АІКОМ, про які зазначено у статтях 74 та 74-1 Закону України “Про освіту”.
Внесення персональних даних дітей до цих систем визначено у законодавстві та є здійсненням повноважень закладу освіти. Наслідки невнесення персональних даних до цих державних систем перераховані у попередньому розділі.
Тому подача заяви батьками чи повнолітніми здобувачами освіти про відкликання згоди на обробку цих даних у державних реєстрах, якщо така згода була надана, або подача заперечення щодо обробки даних, не повинна мати наслідком припинення такої обробки, оскільки продовжують існувати підстави, які дають право закладу освіти обробляти персональні дані на підставі закону та для здійснення повноважень на основі добровільного подання батьками заяви про зарахування до закладу та надання персональних даних. Тобто заклад освіти має право продовжувати обробку персональних даних в системах ЄДЕБО та АІКОМ.
Заклад освіти зобов’язаний припинити обробку персональних даних дітей і батьків в системах ЄДЕБО та АІКОМ лише тоді, коли батьки чи здобувач освіти подасть заяву про відрахування із закладу освіти або переведення учня до іншого закладу.
Тому в ситуації із запереченнями з боку батьків маємо конфлікт між формальним запереченням батьків проти обробки персональних даних та необхідністю виконання функцій у сфері освіти й забезпечення прав дитини на освіту. Вирішенням такої ситуації може стати запровадження альтернативного механізму, що дозволить мати вибір батькам із відмінними релігійними переконаннями. Але наразі такого механізму немає.
Дії закладу освіти у разі отримання заяви батьків із запереченням проти обробки своїх персональних даних та їхніх дітей у державних інформаційних системах та електронних реєстрах:
У відповіді заклад освіти має зазначити, що обробку персональних даних дитини здійснюють відповідно до пунктів 2-6 частини першої статті 11 Закону України “Про захист персональних даних”, на підставі законодавства про освіту та здійснення повноважень закладу освіти на основі заяви про зарахування батьків/здобувачів та/або укладання договору й надання персональних даних. Також у цьому разі заклад освіти у своїй відповіді на заяву батьків може додатково послатися на статті 74 та 74-1 Закону України “Про освіту”, у яких зазначається мета обробки даних державними системами ЄДЕБО та АІКОМ. Без обробки закладом освіти персональних даних в інформаційних системах ЄДЕБО та АІКОМ заклад освіти позбавлений можливості забезпечити конституційне право дитини на здобуття повної загальної середньої освіти, дитина не зможе мати доступ до освіти, отримати документ про здобуття освіти, а заклад освіти здійснювати свої повноваження.
У наступній публікації освітній омбудсмен роз’яснить, як діяти закладу освіти, коли батьки відкликають заяву про обробку персональних даних (якщо була надана така згода) або виступають проти обробки персональних даних при переході закладу освіти на електронні журнали й щоденники.
Читайте також: “Говоримо зі старшокласниками про доброчесність: для вчителів створили посібник із проведення занять-воркшопів”.
Титульне зображення: Офіс освітнього омбудсмена
Обговорення