Напишіть нам

Всі проєкти

Всі теми

29 Серпня 2023

Права учасників освітнього процесу та дії закладу освіти під час обробки персональних даних в інформаційних системах і електронних реєстрах

Аналізуючи звернення керівників закладів освіти та педагогів щодо дій у разі подання батьками заяви про відкликання згоди на обробку персональних даних або заперечення проти обробки даних, в Офісі освітнього омбудсмена розпочали випуск серії публікацій з роз’ясненнями.

Водночас батьків теж цікавить питання – наскільки правомірними є внесення та обробка персональних даних їхніх дітей в електронних системах та реєстрах, власниками яких є комерційні суб’єкти господарювання чи громадські організації.

Освітній омбудсмен Сергій Горбачов у співпраці з Українською Гельсінською спілкою з прав людини пропонує докладно розібратися в питаннях збору та обробки персональних даних учнів та батьків.

Відповідне розʼяснення опубліковано на сайті Освітнього омбудсмена України. Викладаємо текст у майже незмінному вигляді.

Що таке обробка персональних даних

Заклад освіти, який обробляє персональні дані на підставі законодавства (зокрема, про освіту) для здійснення своїх повноважень відповідно до чітко визначеної мети – здійснення освітньої діяльності (стаття 2 Закону України “Про захист персональних даних”), має законні підстави:

  • збирати,
  • реєструвати,
  • накопичувати,
  • зберігати,
  • адаптувати,
  • змінювати,
  • поновлювати,
  • використовувати,
  • поширювати (розповсюджувати, реалізувати, передавати),
  • знеособлювати,
  • знищувати персональні дані.

Обробка персональних даних передбачає будь-яку дію або сукупність дій із вказаного переліку.

Які персональні дані учнів і батьків обробляє заклад освіти

Варто зазначити, що заборонена обробка персональних даних:

  • про расове або етнічне походження;
  • про політичні, релігійні або світоглядні переконання;
  • про членство в політичних партіях і професійних спілках;
  • про засудження до кримінального покарання;
  • які стосуються здоров’я, статевого життя;
  • біометричних або генетичних (частина 1 статті 7 Закону України “Про захист персональних даних”).

Але є певні умови, за яких положення частини 1 статті 7 не застосовується. Вони визначені у частині 2 статті 7 Закону України “Про захист персональних даних”.

Іноді заклади освіти з різних причин збирають ці чутливі дані. Такі випадки яскраво демонструють порушення процедури обробки персональних даних, оскільки вона не відповідає встановленій меті та здійснюється без отримання згоди від батьків. Докладніше про обробку персональних даних у межах встановленої мети – у першій публікації від Офісу освітнього омбудсмена.

Під час зарахування учнів заклад освіти обробляє:

  • персональні дані зі свідоцтва про народження,
  • персональні дані, що стосуються здоров’я (медична довідка, дані висновку про комплексну (чи повторну) психолого-педагогічну оцінку розвитку дитини (якщо такий є)),
  • персональні дані з заяви батьків чи законних представників дитини тощо.

Під час зарахування, переведення дитини до іншого закладу освіти керівник не має права вимагати інших документів із персональними даними, крім тих, що визначені Порядком зарахування (наказ № 367) … та наказом МОЗ “Про удосконалення медичного обслуговування учнів загальноосвітніх навчальних закладів”.

Перелік даних, що обробляються в електронній освітній інформаційній системі для ведення ділової документації закладу в електронній формі визначається додатком до Інструкції з ведення ділової документації у закладах загальної середньої освіти в електронній формі.

Це, зокрема, такі персональні дані учня:

  • прізвище, ім’я, по батькові (за наявності);
  • дата народження;
  • стать;
  • реквізити документа, що посвідчує особу;
  • заклад загальної середньої освіти та клас, до якого зарахований учень (дата зарахування/відрахування та підстава);
  • пільгова категорія (якщо учень належить до такої категорії);
  • відвідування та пропуски занять;
  • оцінювання (поточне, тематичне, підсумкове, атестаційне);
  • теми уроків;
  • прізвище, ім’я, по батькові батьків (за наявності);
  • контактна інформація батьків.

Особові справи учнів/вихованців містять:

  • номер особової справи;
  • тип і назву закладу загальної середньої освіти;
  • адресу закладу освіти;
  • прізвище, ім’я, по батькові (за наявності) директора;
  • прізвище, ім’я, по батькові (за наявності) учня/вихованця;
  • стать;
  • дату народження;
  • серію та номер свідоцтва про народження;
  • місце проживання учня;
  • прізвище, ім’я, по батькові (за наявності) батька, матері або осіб, що їх замінюють;
  • дані про заклад освіти до отримання початкової освіти (в разі наявності);
  • відомості про перехід з одного закладу освіти до іншого (в разі наявності) тощо.

З докладним переліком даних в інших документах можна ознайомитися в додатку до Інструкції.

Персональні дані щодо здоров’я

Частина персональних даних щодо здоров’я учня передбачена для обробки в шкільному закладі через форму первинної облікової документації N 086-1/о “Довідка учня загальноосвітнього навчального закладу про результати обов’язкового медичного профілактичного огляду” в якій є чітке закріплення визначеного кола персональних даних для обробки:

  • прізвище, ім’я, по батькові учня;
  • місце проживання, телефон учня;
  • число, місяць та рік народження учня;
  • стать учня;
  • найменування закладу освіти, клас, у якому навчається учень;
  • число, місяць і рік проведення обов’язкового медичного профілактичного огляду;
  • число, місяць та рік проведення попереднього обов’язкового медичного профілактичного огляду;
  • висновок щодо стану здоров’я учня, у разі, якщо учень має захворювання, вказують діагноз згідно з Міжнародною класифікацією хвороб або повну назву захворювання за бажанням одного з батьків або іншого законного представника дитини, на яку заповнюється форма;
  • група для занять фізичною культурою учня;
  • рекомендації відповідно до клінічного протоколу медичного догляду за дітьми віком від 3 до 17 років.

Відповідно до рекомендацій Уповноваженого Верховної Ради України з прав людини щодо захисту персональних даних під час дистанційного надання освітніх послуг, для реєстрації на освітніх платформах для здійснення дистанційного навчання достатньо таких персональних даних здобувача освіти:

  • прізвище, ім’я по батькові учня;
  • адреса електронної пошти чи номер мобільного телефону;
  • клас, у якому навчається дитина.

У процесі обробки персональних даних ЗО може обирати спосіб обробки, але за умови обов’язкового дотримання вимог Закону України “Про захист персональних даних”.

Правомірність обробки закладами освіти персональних даних та їхньої передачі до освітніх інформаційних систем і реєстрів, які належать комерційним суб’єктам господарювання чи громадським організаціям

Заклад освіти обробляє персональні дані на підставі законодавства про освіту і для здійснення своїх повноважень під час зарахування, на підставі наданої заяви про зарахування батьків/повнолітніх здобувачів, надання документів, зокрема медичних, та/або укладання договору.

Повноваження закладу освіти та перелік державних інформаційних систем і реєстрів зазначені у Законі України “Про освіту”.

Внесення та обробка персональних даних в системах, які належать комерційним суб’єктам господарювання чи громадським організаціям, потребує окремої згоди від батьків.

Хоча мета використання цих систем може бути й для здійснення повноважень закладу освіти, але водночас ЗО може здійснювати повноваження, не використовуючи послуги комерційних суб’єктів господарювання чи громадських організацій. Зокрема, заклад освіти може використовувати електронні платформи для навчання (Moodle, Google workspace та інші), системи електронного документообороту, які передбачають обробку персональних даних.

Тому батьки та повнолітні здобувачі освіти мають повне право не надавати згоду на внесення та іншу обробку й подавати заперечення щодо обробки даних у персональних реєстрах та системах, які не зазначені у законодавстві та які належать комерційним суб’єктам господарювання чи громадським організаціям.

Неправомірним та неприпустимим є тиск на батьків щодо примусу надавати згоду на обробку персональних даних в таких системах та реєстрах.

Дії закладів освіти, якщо батьки відкликають заяву про згоду і заперечують щодо обробки персональних даних у системах і реєстрах, власниками яких є комерційні суб’єкти господарювання та громадські організації

У разі надходження заяви від батьків чи повнолітніх здобувачів освіти щодо припинення обробки персональних даних в інформаційних реєстрах та системах, які належать комерційним суб’єктам господарювання чи громадським організаціям, заклад освіти має виконати вимоги батьків і здійснити наступні заходи:

  • прийняти заяву та зареєструвати її, повідомити батькам вхідний номер і дату реєстрації;
  • видалити персональні дані з таких систем;
  • подати письмовий запит до власників таких систем і реєстрів із вимогою видалити персональні дані щодо певного здобувача освіти та батьків;
  • отримати письмову відповідь від власників систем і реєстрів, куди були внесені та обробляються персональні дані учасників освітнього процесу;
  • надіслати письмову відповідь батькам, у якій повідомити про видалення персональних даних із систем і реєстрів, які належать комерційним суб’єктам господарювання та громадським організаціям, і додати письмову відповідь від цих суб’єктів (за наявності);

У керівних принципах “Захист даних дітей в освітньому середовищі” підготовлених Консультативним комітетом конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, зазначається, що згоду на будь-яку обробку даних, включаючи, серед іншого, особливу категорію даних про дитину, надану від імені законних представників або дітей, у жодному разі не можна вважати такою, що легітимізує обробку даних третіми сторонами-постачальниками (пункт 7.1.4).

Водночас в Офісі освітнього омбудсмена просять керівників закладів освіти та батьків уважно вивчати документи, договори інформаційних систем і реєстрів, послуги яких закуповуються чи планують закупити для використання. Обов’язково треба з’ясовувати, кому належать ці системи чи реєстри, хто має до них доступ, як їх захищають, чи передають іншим особам, як будуть використовувати та інші важливі моменти. Це допоможе убезпечити персональні дані від можливих витоку та неправомірного використання.

Дії закладів освіти, якщо батьки подають заяву про надання інформації щодо передачі та обробки їхніх персональних даних і їхніх дітей у реєстрах і системах

Батьки мають право знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки. Це визначено статтею 8 Закону України “Про захист персональних даних”. Суб’єкт персональних даних має право:

  • знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
  • отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
  • отримувати не пізніше як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних.

Тому, відповідно до статті 5 Закону України “Про звернення громадян”, у разі надходження запиту від батьків щодо надання переліку, де обробляються їхні персональні дані (чи дані їхніх неповнолітніх дітей), запитом про їхнє місцезнаходження, зокрема про перелік всіх інформаційних систем І реєстрів, куди вони були внесені, їхній зміст тощо, заклад освіти повинен:

  • прийняти запит та зареєструвати його. Повідомити батькам вхідний номер і дату реєстрації;
  • надіслати письмову відповідь батькам із зазначеним переліком у письмовому вигляді зі вказанням назв систем і реєстрів та їхніх власників;
  • перерахувати в письмовій відповіді, які персональні дані були внесені, як вони обробляються.

До яких державних освітніх інформаційних систем і реєстрів ЗО передають персональні дані

Наразі існує два державні освітні електронні реєстри, куди вносять персональні дані здобувачів освіти:

  • Єдина державна електронна база з питань освіти (ЄДЕБО);
  • Автоматизований інформаційний комплекс освітнього менеджменту (АІКОМ).

Єдина державна електронна база з питань освіти (ЄДЕБО) – це автоматизована система збирання, оброблення, зберігання та захисту інформації щодо здобувачів освіти, суб’єктів освітньої діяльності, яку формують (створюють) і використовують для забезпечення потреб фізичних і юридичних осіб. Вона входить до освітньої інфраструктури освіти й зазначена в статті 74 Закону України “Про освіту”.

Власником ЄДЕБО та виключних майнових прав на її програмне забезпечення є держава. Розпорядником і володільцем інформації в ЄДЕБО є Міністерство освіти і науки України, технічним адміністратором – державне підприємство “Інфоресурс”, що належить до сфери управління розпорядника ЄДЕБО.

ЄДЕБО містить такі складові:

  • Реєстр суб’єктів освітньої діяльності;
  • Реєстр здобувачів освіти;
  • Реєстр документів про освіту;
  • Реєстр сертифікатів зовнішнього незалежного оцінювання;
  • Реєстр студентських (учнівських) квитків;
  • Реєстр педагогічних, науково-педагогічних працівників;
  • Реєстр сертифікатів педагогічних працівників.

Автоматизований інформаційний комплекс освітнього менеджменту (АІКОМ) – це державна інформаційно-аналітична система, яку використовують суб’єкти освітньої діяльності для ефективного управління закладами освіти (крім закладів вищої освіти). Комплекс входить до освітньої інфраструктури освіти і визначений у статті 74-1 Закону України “Про освіту”.

Власником АІКОМ є Міністерство освіти і науки України, а технічним адміністратором – державна наукова установа “Інститут освітньої аналітики”, що належить до сфери управління МОН.

Внесення та обробка персональних даних у державних електронних системах АІКОМ та ЄДЕБО визначена у Законі України “Про освіту” та є здійсненням повноважень закладами освіти.

Порушення прав дитини та наслідки для ЗО через невнесення персональних даних дітей до державних інформаційних систем і електронних ресурсів

Заперечення батьками обробки персональних даних здобувачів освіти у визначених законодавством державних системах і електронних реєстрах порушує конституційне право дитини на освіту. Адже між інтересами (правами) дитини повинна існувати справедлива рівновага, і, дотримуючись такої рівноваги, особлива увага має бути до найважливіших інтересів дитини, які за своєю природою та важливістю повинні переважати над інтересами батьків (цитати з рішень Європейського суду з прав людини в рішенні у справі від 07.12.2006 та рішенні від 27.02.1992).

Припинення обробки персональних даних здобувачів освіти у державних реєстрах ЄДЕБО та АІКОМ призводить до неможливості:

  • здійснення навчання здобувачів освіти;
  • видачі їм документів про освіту;
  • перерахування коштів державних субвенцій для навчання учня в закладі освіти;
  • замовлення та отримання підручників для дитини.

Кошти освітньої субвенції “йдуть за дитиною” до закладу середньої освіти, відповідно не отримання коштів на певну дитину (дітей) через невнесення персональних даних до державних систем та реєстрів призведе до порушення прав педагогічних працівників, які отримують заробітну плату з освітньої субвенції відповідно до кількості дітей у закладі освіти. І держава має ідентифікувати, що дитина здобуває освіту в конкретному закладі освіти конкретної громади, що вона здобуває обов’язкову освіту тощо.
Згідно з чинним законодавством у сфері освіти можливість отримати документ про освіту полягає виключно через внесення даних до державної електронної бази. Але якщо цьому суперечать релігійні чи інші особистісні погляди батьків, – наразі немає альтернативного, більш прийнятного для батьків варіанту обробки персональних даних.

Дії закладу освіти, якщо батьки заперечують проти обробки своїх персональних даних і їхніх дітей у державних інформаційних системах і електронних ресурсах

Заклад освіти здійснює обробку персональних даних на підставі законодавства про освіту та для здійснення своїх повноважень, і ця обробка здійснюється на законних підставах без формалізованої згоди від суб’єкта персональних даних у вигляді окремого документа – дозволу на обробку персональних даних.

Існують державні інформаційні системи та реєстри, про які зазначено у законодавстві. Це системи ЄДЕБО та АІКОМ, про які зазначено у статтях 74 та 74-1 Закону України “Про освіту”.

Внесення персональних даних дітей до цих систем визначено у законодавстві та є здійсненням повноважень закладу освіти. Наслідки невнесення персональних даних до цих державних систем перераховані у попередньому розділі.

Тому подача заяви батьками чи повнолітніми здобувачами освіти про відкликання згоди на обробку цих даних у державних реєстрах, якщо така згода була надана, або подача заперечення щодо обробки даних, не повинна мати наслідком припинення такої обробки, оскільки продовжують існувати підстави, які дають право закладу освіти обробляти персональні дані на підставі закону та для здійснення повноважень на основі добровільного подання батьками заяви про зарахування до закладу та надання персональних даних. Тобто заклад освіти має право продовжувати обробку персональних даних в системах ЄДЕБО та АІКОМ.

Заклад освіти зобов’язаний припинити обробку персональних даних дітей і батьків в системах ЄДЕБО та АІКОМ лише тоді, коли батьки чи здобувач освіти подасть заяву про відрахування із закладу освіти або переведення учня до іншого закладу.

Тому в ситуації із запереченнями з боку батьків маємо конфлікт між формальним запереченням батьків проти обробки персональних даних та необхідністю виконання функцій у сфері освіти й забезпечення прав дитини на освіту. Вирішенням такої ситуації може стати запровадження альтернативного механізму, що дозволить мати вибір батькам із відмінними релігійними переконаннями. Але наразі такого механізму немає.

Дії закладу освіти у разі отримання заяви батьків із запереченням проти обробки своїх персональних даних та їхніх дітей у державних інформаційних системах та електронних реєстрах:

  • прийняти та зареєструвати заяву і повідомити батькам вхідний номер та дату реєстрації;
  • надіслати письмову відповідь батькам із зазначеним переліком зі вказанням назв систем і реєстрів та їхніх власників.

У відповіді заклад освіти має зазначити, що обробку персональних даних дитини здійснюють відповідно до пунктів 2-6 частини першої статті 11 Закону України “Про захист персональних даних”, на підставі законодавства про освіту та здійснення повноважень закладу освіти на основі заяви про зарахування батьків/здобувачів та/або укладання договору й надання персональних даних. Також у цьому разі заклад освіти у своїй відповіді на заяву батьків може додатково послатися на статті 74 та 74-1 Закону України “Про освіту”, у яких зазначається мета обробки даних державними системами ЄДЕБО та АІКОМ. Без обробки закладом освіти персональних даних в інформаційних системах ЄДЕБО та АІКОМ заклад освіти позбавлений можливості забезпечити конституційне право дитини на здобуття повної загальної середньої освіти, дитина не зможе мати доступ до освіти, отримати документ про здобуття освіти, а заклад освіти здійснювати свої повноваження.

У наступній публікації освітній омбудсмен роз’яснить, як діяти закладу освіти, коли батьки відкликають заяву про обробку персональних даних (якщо була надана така згода) або виступають проти обробки персональних даних при переході закладу освіти на електронні журнали й щоденники.

Читайте також: “Говоримо зі старшокласниками про доброчесність: для вчителів створили посібник із проведення занять-воркшопів”.

Титульне зображення: Офіс освітнього омбудсмена


Обговорення