У ЯКІЙ ДОКУМЕНТАЦІЇ ЗАКЛАДУ ВИКОРИСТОВУЮТЬСЯ ПЕРСОНАЛЬНІ ДАНІ ЗДОБУВАЧІВ ОСВІТИ ТА БАТЬКІВ
У межах освітньої та управлінської діяльності заклад освіти створює та веде ділову документацію. Заклади освіти усіх типів і форм власності ведуть таку обов’язкову ділову документацію, яка зазначається у наказі МОН від 10.05.2011 № 423 “Про затвердження єдиних зразків обов’язкової ділової документації у загальноосвітніх навчальних закладах усіх типів і форм власності”, де використовуються персональні дані учасників освітнього процесу:
- Класний журнал для I-IV класів;
- Класний журнал для V-XI класів;
- Свідоцтво досягнень у НУШ для 1-2 та 3-4 класів;
- Табель навчальних досягнень учнів V-XI класів;
- Особова справа;
- Алфавітна книга запису учнів;
- Книга наказів з основної діяльності;
- Книга наказів з кадрових питань;
- Книга обліку і видачі свідоцтв та додатків до свідоцтв про базову загальну середню освіту;
- Книга обліку і видачі атестатів та додатків до атестатів про повну загальну середню освіту, Срібних і Золотих медалей;
- Книга записів наслідків внутрішнього контролю;
- Журнал обліку пропущених і замінених уроків;
- Журнал групи продовженого дня;
- Книга протоколів засідання педагогічної ради;
- Бланк протоколу державної підсумкової атестації учнів (вихованців) у системі загальної середньої освіти.
Відповідно до Інструкції з ведення ділової документації у закладах загальної середньої освіти в електронній формі, заклад освіти веде, крім зазначених вище, такі документи, де використовуються персональні дані:
- журнали здобувачів освіти, які здобувають загальну середню освіту за індивідуальною формою;
- журнал факультативних та гурткових занять;
- журнал реєстрації інструктажів з питань охорони праці та безпеки життєдіяльності;
- особову справу педагогічного працівника;
- журнал реєстрації наказів руху здобувачів освіти;
- накази керівника з кадрових питань особового складу тимчасового зберігання (про відрядження, стягнення, надання щорічних оплачуваних відпусток та відпусток у зв’язку з навчанням);
- індивідуальні навчальні плани дітей.
Медична документація:
- медичні картки дітей;
- довідки про медогляд;
- журнал обліку профілактичних щеплень;
- журнал обліку інфекційних захворювань.
Цей перелік документів, де використовуються персональні дані учасників освітнього процесу, не є вичерпним.
ПРАВА УЧАСНИКІВ ОСВІТНЬОГО ПРОЦЕСУ, ДАНІ ЯКИХ ОБРОБЛЯЮТЬСЯ
Батьки та законні представники дитини як суб’єкти персональних даних, відповідно до частини 2 статті 8 Закону України “Про захист персональних даних” мають право:
1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних, або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3) на доступ до своїх персональних даних;
4) отримувати не пізніше як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6) пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8) звертатися зі скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду;
9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
11) відкликати згоду на обробку персональних даних;
12) знати механізм автоматичної обробки персональних даних;
13) на захист від автоматизованого рішення, яке має для нього правові наслідки (частина 2 стаття 8 Закону України “Про захист персональних даних”).
ДЕРЖАВНИЙ ЕЛЕКТРОННИЙ ЖУРНАЛ ТА ЩОДЕННИК
Електронний журнал може працювати як окрема електронна освітня інформаційна система або як функціональний модуль програмно-апаратного комплексу Державної інформаційної системи “Автоматизований інформаційний комплекс освітнього менеджменту” (АІКОМ) (пункт 2 розділ 1 Інструкції з ведення ділової документації у закладах загальної середньої освіти в електронній формі).
На базі «АІКОМ» із грудня 2020 року для закладів загальної середньої освіти діє як окремий модуль безоплатний державний сервіс електронних журналів E-Journal. В Е-journal батьки та учні доступу до електронного журналу не мають, а в електронному щоденнику батьки мають доступ до інформації лише про власну дитину.
Державні сервіси безоплатні й мають захист від несанкціонованого доступу та несанкціонованої обробки персональних даних. Обробка персональних даних у цих сервісах відбувається відповідно до українського законодавства.
Для внесення до державного реєстру АІКОМ та іншої обробки персональних даних у реєстрі згода батьків не потрібна, згодою є заява батьків чи здобувачів про зарахування до закладів освіти. Це розповсюджується на державний електронний журнал та щоденник E-Journal, який є окремим функціональним модулем програмно-апаратного комплексу АІКОМ. Адже в цьому разі заклад освіти обробляє персональні дані учасників освітнього процесу на підставі закону та для здійснення повноважень – освітньої діяльності.
ЕЛЕКТРОННІ ЖУРНАЛИ ТА ЩОДЕННИКИ, ЩО НАЛЕЖАТЬ КОМЕРЦІЙНОМУ СУБ’ЄКТУ ГОСПОДАРЮВАННЯ ЧИ ГРОМАДСЬКІЙ ОРГАНІЗАЦІЇ
Ми не будемо перераховувати комерційні суб’єкти господарювання, які надають послуги електронних журналів та щоденників, щоб не рекламувати їхні послуги. Але аналіз частини вебсайтів таких суб’єктів показав, що на деяких із них відсутня інформація про власників (бенефіціарів), про те, де та як зберігаються персональні дані, хто до них має доступ, вартість використання послуг, відсутні сертифікати захисту інформації. А деякі сервіси зареєстровані як громадські організації, хоч здійснюють комерційну діяльність.
Під час використання приватних сервісів існує кілька ризиків:
– невідомо, де розташовується сервер, на якому розміщуються персональні дані учасників освітнього процесу;
– невідомо, хто володіє персональними даними та хто має до них доступ;
– невідомо, куди передаються персональні дані учасників освітнього процесу;
– невідомо, які дії здійснюються з цими даними.
Приватні сервіси можуть збирати надмірну кількість персональних даних, зокрема для здійснення рекламних розсилок. Усе це впливає на рівень захисту персональних даних. Крім того, обробка персональних даних, що виходить за межі встановленої мети, на кшталт здійснення рекламних розсилок, потребує окремої згоди на обробку персональних даних.
Тому звертаємо вашу увагу, що потрібно ретельно обирати сервіс для ведення електронного журналу та щоденника.
У керівних принципах “Захист даних дітей в освітньому середовищі”, підготовлених Консультативним комітетом Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних ЄС, зазначається, що держави повинні вживати заходів для забезпечення того, щоб контракти на державні закупівлі призначалися тим учасникам торгів, які зобов’язуються дотримуватися прав дітей. Державні установи та інституції, включно із силами безпеки, не повинні співпрацювати з третіми сторонами, які порушують права дитини, або потурати їм. Держави не повинні інвестувати бюджетні фінанси та інші ресурси в комерційну діяльність, що порушує права дітей.
Відповідно до статті 9 Закону України “Про захист інформації в інформаційно-комунікаційних системах”, відповідальність за забезпечення захисту інформації в системі покладається на власника системи.
ЧИ ПОТРІБНА ЗГОДА БАТЬКІВ НА ПЕРЕДАЧУ ПЕРСОНАЛЬНИХ ДАНИХ ДО ЕЛЕКТРОННИХ ЖУРНАЛІВ ТА ЩОДЕННИКІВ, ЩО НАЛЕЖАТЬ КОМЕРЦІЙНОМУ СУБ’ЄКТУ ГОСПОДАРЮВАННЯ ЧИ ГРОМАДСЬКІЙ ОРГАНІЗАЦІЇ
Дозвіл на передачу та інші дії щодо обробки персональних даних в Державній інформаційній системі “Автоматизований інформаційний комплекс освітнього менеджменту” (АІКОМ) та безоплатному державному сервісі електронних журналів E-Journal, який є частиною АІКОМ, не потрібен, адже заклад освіти обробляє персональні дані на підставі закону та для здійснення своїх повноважень.
Водночас, якщо персональні дані необхідно передати третій стороні – комерційному суб’єкту господарювання чи громадській організації, які надають послуги електронних журналів та щоденників, то має бути надана згода батьків, законних представників або повнолітніх здобувачів освіти на обробку персональних даних у такому електронному журналі та щоденнику. Цього вимагає українське законодавство: у статті 16 Закону України “Про захист персональних даних” визначено, що порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта (людини) персональних даних на обробку цих даних, наданої володільцю (закладу освіти) персональних даних, або відповідно до вимог закону. Тобто у згоді про передачу персональних даних має бути зазначено, кому передаються персональні дані, з якою метою та на який термін.
Цього вимагає також і європейське законодавство. У пункті 7.1.4 Керівних принципів “Захист даних дітей в освітньому середовищі”, підготовлених Консультативним комітетом Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних зазначається, що згоду на будь-яку обробку даних, включаючи, серед іншого, особливу категорію даних про дитину, надану від імені законних представників або дітей, у жодному разі не можна вважати такою, що легітимізує обробку даних третіми сторонами-постачальниками.
Тобто для передачі та інших дій щодо обробки персональних даних дітей та батьків до сервісів електронних журналів та щоденників, що належать комерційному суб’єкту господарювання чи громадській організації, необхідна окремо і ясно висловлена згода батьків, законних представників дитини чи повнолітніх здобувачів освіти на обробку цих даних. І батьки мають право подавати заяву про відкликання згоди на обробку персональних даних у приватних сервісах електронних журналів та щоденників.
ДІЇ ЗАКЛАДУ У РАЗІ ПОДАННЯ ЗАЯВИ ПРО ВІДКЛИКАННЯ ЗГОДИ НА ОБРОБКУ І ЗАПЕРЕЧЕННЯ ПРОТИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ В ЕЛЕКТРОННИХ ЖУРНАЛАХ ТА ЩОДЕННИКАХ, ЩО НАЛЕЖАТЬ КОМЕРЦІЙНОМУ СУБ’ЄКТУ ГОСПОДАРЮВАННЯ ЧИ ГРОМАДСЬКІЙ ОРГАНІЗАЦІЇ
У невизначену ситуацію потрапляють заклади освіти, педагоги та органи управління освітою, які закуповують послуги користування сервісами електронних журналів та щоденників у комерційного суб’єкта господарювання чи громадської організації, коли частина батьків подають заяву про відкликання згоди на обробку персональних даних у цих сервісах та заперечують проти обробки даних. Звісно, це викликає незручності для педагогів та закладу освіти при користуванні цією системою.
Варто пам’ятати, що батьки мають повне право відкликати згоду на обробку персональних даних в електронних журналах та щоденниках, які належать комерційному суб’єкту господарювання чи громадській організації. Надання згоди про обробку персональних даних у таких електронних системах має здійснюватися без примусу та тиску. Сучасні інформаційні технології не повинні бути безальтернативними та примусовими.
Якщо батьки відмовилися від обробки персональних даних їхніх дітей у сервісах електронних журналів та щоденників, що належать комерційному суб’єкту господарювання чи громадській організації, то заклад освіти має застосовувати традиційні методи для контролю реалізації освітньої програми, фіксації результатів навчальних досягнень учнів, відвідування ними занять, – тобто паперовий журнал.
Перед цим заклад освіти має виконати вимоги батьків і здійснити наступні заходи:
- прийняти заяву та зареєструвати її, повідомити батькам вхідний номер та дату реєстрації;
- видалити персональні дані з таких систем;
- подати письмовий запит до власників таких систем та реєстрів з вимогою видалити персональні дані щодо певного здобувача освіти та батьків;
- отримати письмову відповідь від власників систем та реєстрів, де оброблялися персональні дані учасників освітнього процесу;
- надіслати письмову відповідь батькам, у якій повідомити про видалення персональних даних із систем та реєстрів, які належать комерційним суб’єктам господарювання чи громадським організаціям, і додати письмову відповідь від цих суб’єктів (за наявності).
Звертаємо увагу, що письмова відповідь комерційного суб’єкта господарювання чи громадської організації допоможе закладу освіти довести виконання заяви батьків про відкликання згоди у суді (якщо батьки подадуть до суду).
ДІЇ ЗАКЛАДУ ОСВІТИ, ЯКЩО БАТЬКИ ПОДАЮТЬ ЗАЯВУ ПРО ВІДКЛИКАННЯ ЗГОДИ Й ЗАПЕРЕЧУЮТЬ ПРОТИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ СВОЇХ ТА ЇХНІХ ДІТЕЙ В ДЕРЖАВНИХ ЕЛЕКТРОННИХ ЖУРНАЛАХ ТА ЩОДЕННИКАХ
Якщо батьки, законні представники чи повнолітні здобувачі освіти без вагомих причин подають заяву про відкликання згоди на обробку персональних даних у державному електронному журналі чи щоденнику (якщо така згода була надана), або заперечують проти обробки даних, це не є підставою припинення такої обробки, оскільки державний сервіс електронних журналів E-Journal є частиною державної системи Автоматизованого інформаційного комплексу освітнього менеджменту. Нагадуємо, що використання системи АІКОМ для управління закладами освіти визначене статтею 74-1 Закону України “Про освіту”, тобто визначене законодавством і є повноваженнями закладу. Докладніше про це – у нашій попередній публікації. Тобто заклад може продовжувати обробку даних в електронному журналі та щоденнику.
Якщо ж батьки чи здобувач освіти подасть заяву про відрахування із закладу освіти або переведення учня до іншого закладу – заклад припиняє обробку цих даних, і вони мають бути видалені з електронного журналу та щоденника.
Дії закладу освіти у разі отримання заяви батьків із запереченням проти обробки своїх персональних даних та даних їхніх дітей у державному сервісі електронних журналів E-Journal, що є частиною АІКОМ:
- прийняти та зареєструвати заяву і повідомити батькам вхідний номер та дату реєстрації;
- надіслати письмову відповідь батькам.
У відповіді заклад освіти має зазначити, що обробка персональних даних дитини у закладі освіти здійснюється відповідно до пунктів 2-6 частини першої статті 11 Закону України «Про захист персональних даних», на підставі законодавства про освіту та здійснення повноважень закладу освіти на основі заяви про зарахування батьків/здобувачів та/або укладання договору й надання персональних даних, додатково послатися на статтю 74-1 Закону України “Про освіту” та пояснити батькам, що без обробки цих даних в електронному журналі заклад освіти не зможе здійснювати оцінювання дитини та переведення до наступного класу.