ЩО ТАКЕ ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ

Заклад освіти, який обробляє персональні дані на підставі законодавства, зокрема про освіту для здійснення своїх повноважень відповідно до чітко визначеної мети – здійснення освітньої діяльності (стаття 2 Закону України “Про захист персональних даних”) має законні підстави:

  • збирати
  • реєструвати
  • накопичувати
  • зберігати
  • адаптувати
  • змінювати
  • поновлювати
  • використовувати
  • поширювати (розповсюджувати, реалізувати, передавати)
  • знеособлювати
  • знищувати персональні дані.

Обробка персональних даних передбачає будь-яку дію або сукупність дій із вказаного переліку.

ЯКІ ПЕРСОНАЛЬНІ ДАНІ УЧНІВ ТА БАТЬКІВ ОБРОБЛЯЄ ЗАКЛАД ОСВІТИ

Хочемо наголосити, що забороняється обробка персональних даних про:

  • расове або етнічне походження
  • політичні, релігійні або світоглядні переконання
  • членство в політичних партіях та професійних спілках
  • засудження до кримінального покарання
  • даних, що стосуються здоров’я, статевого життя
  • біометричних або генетичних даних (частина 1 статті 7 Закону України “Про захист персональних даних”).

Але є певні умови, за яких положення частини 1 статті 7 не застосовується. Вони визначені у частині 2 статті 7 Закону України “Про захист персональних даних”.

Під час зарахування до закладу освіти заклад обробляє персональні дані зі свідоцтва про народження, персональні дані, що стосуються здоров’я (медична довідка, дані висновку про комплексну (чи повторну) психолого-педагогічну оцінку розвитку дитини (якщо такий є)), персональні дані з заяви батьків чи законних представників дитини тощо. Під час зарахування, переведення дитини до іншого закладу освіти керівник не має права вимагати інших документів із персональними даними, крім тих, що визначені Порядком зарахування (наказ № 367) … та наказом МОЗ “Про удосконалення медичного обслуговування учнів загальноосвітніх навчальних закладів”.

Частина закладів освіти перейшли на ведення ділової документації в електронній формі. Перелік даних, що обробляються в електронній освітній інформаційній системі для ведення ділової документації закладу в електронній формі визначається додатком до Інструкції з ведення ділової документації у закладах загальної середньої освіти в електронній формі.

Це, зокрема такі персональні дані учня:

  • прізвище, ім’я, по батькові (за наявності);
  • дата народження;
  • стать;
  • реквізити документа, що посвідчує особу;
  • заклад загальної середньої освіти та клас, до якого зарахований учень (дата зарахування/відрахування та підстава);
  • пільгова категорія, якщо учень належить до такої категорії.

Інші дані стосовно учня:

  • відвідування та пропуски занять;
  • оцінювання (поточне, тематичне, підсумкове, атестаційне);
  • теми уроків.

Також до системи вносяться такі персональні дані батьків:

  • прізвище, ім’я, по батькові (за наявності);
  • пільгова категорія дитини, якщо така є;
  • контактна інформація.

Особові справи учнів/вихованців містять:

  • номер особової справи;
  • тип і назву закладу загальної середньої освіти;
  • адресу закладу освіти;
  • прізвище, ім’я, по батькові (за наявності) директора;
  • прізвище, ім’я, по батькові (за наявності) учня/вихованця;
  • стать;
  • дату народження;
  • серію та номер свідоцтва про народження;
  • місце проживання учня;
  • прізвище, ім’я, по батькові (за наявності) батька, матері або осіб, що їх замінюють;
  • дані про заклад освіти до отримання початкової освіти (в разі наявності);
  • відомості про перехід з одного закладу освіти до іншого (в разі наявності) тощо.

З докладним переліком даних в інших документах можна ознайомитися в додатку до Інструкції.

Персональні дані щодо здоров’я

Частина персональних даних щодо здоров’я учня передбачена для обробки в шкільному закладі через форму первинної облікової документації N 086/о «Медична довідка (витяг з медичної картки амбулаторного хворого)»,  у якій є чітке закріплення визначеного кола персональних даних для обробки:

1. Повне найменування закладу охорони здоров’я і місцезнаходження закладу охорони здоров’я, що видав довідку.

2. Вид закладу освіти, до якого буде подана форма № 086/о.

3-6. Прізвище, ім’я, по батькові, дата народження, місце проживання. учня.

7. Перенесені захворювання, враховуючи захворювання, перенесені в дитячому віці.

8. Дані щодо стану здоров’я особи на дату обстеження учня.

9. Дати і дані проведених лабораторних досліджень учня (результати як усіх обов’язкових клінічних досліджень, так і інших призначених досліджень у разі необхідності або залежно від профілю та вимог закладу освіти, до якого надається медична довідка щодо стану здоров’я особи).

10. Дати і дані проведених інших досліджень учня.

11. Дата, доза, серія і назва лікарських засобів, якими проведені щеплення відповідно до календаря профілактичних щеплень учня.

12. Лікарський висновок», де вказуються рекомендації щодо фізичної активності та рівня фізичного навантаження, рекомендації щодо додаткових обстежень, лікування (за наявності показань), профілактичних щеплень, режиму харчування тощо.

Відповідно до рекомендацій Уповноваженого Верховної Ради України з прав людини щодо захисту персональних даних під час дистанційного надання освітніх послуг, для реєстрації на освітніх платформах для здійснення дистанційного навчання достатньо таких персональних даних здобувача освіти:

  • Прізвище, ім’я по батькові учня;
  • адреса електронної пошти чи номер мобільного телефону;
  • клас, у якому навчається дитина.

У процесі обробки персональних даних заклад освіти може обирати спосіб обробки, але за умови обов’язкового дотримання вимог Закону України “Про захист персональних даних”.

ПРАВОМІРНІСТЬ ОБРОБКИ ЗАКЛАДАМИ ОСВІТИ ПЕРСОНАЛЬНИХ ДАНИХ ТА ЇХНЬОЇ ПЕРЕДАЧІ ДО ОСВІТНІХ ІНФОРМАЦІЙНИХ СИСТЕМ ТА РЕЄСТРІВ, ЯКІ НАЛЕЖАТЬ КОМЕРЦІЙНИМ СУБ’ЄКТАМ ГОСПОДАРЮВАННЯ ЧИ ГРОМАДСЬКИМ ОРГАНІЗАЦІЯМ

Ззаклад освіти обробляє персональні дані на підставі законодавства про освіту і для здійснення своїх повноважень на основі під час зарахування, на підставі наданої заяви про зарахування батьків/повнолітніх здобувачів, надання документів, зокрема медичних, та/або укладання договору.

Повноваження закладу освіти та перелік державних інформаційних систем і реєстрів зазначені у Законі України “Про освіту”.

Внесення та обробка персональних даних в системах, які належать комерційним суб’єктам господарювання чи громадським організаціям, потребує окремої згоди від батьків.

Хоча мета використання цих систем може бути й для здійснення повноважень закладу освіти, але водночас заклад освіти може здійснювати повноваження, не використовуючи послуги комерційних суб’єктів господарювання чи громадських організацій. Зокрема, заклад освіти може використовувати електронні платформи для навчання (Moodle, Google workspace та інші), системи електронного документообороту, які передбачають обробку персональних даних.

Тому батьки та повнолітні здобувачі освіти мають повне право не надавати згоду на внесення та іншу обробку й подавати заперечення щодо обробки даних у персональних реєстрах та системах, які не зазначені у законодавстві та які належать комерційним суб’єктам господарювання чи громадським організаціям.

Неправомірним та неприпустимим є тиск на батьків щодо примусу надавати згоду на обробку персональних даних в таких системах та реєстрах.



ДІЇ ЗАКЛАДІВ ОСВІТИ, ЯКЩО БАТЬКИ ВІДКЛИКАЮТЬ ЗАЯВУ ПРО ЗГОДУ І ЗАПЕРЕЧУЮТЬ ЩОДО ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ У СИСТЕМАХ ТА РЕЄСТРАХ, ВЛАСНИКАМИ ЯКИХ Є КОМЕРЦІЙНІ СУБ’ЄКТИ ГОСПОДАРЮВАННЯ ТА ГРОМАДСЬКІ ОРГАНІЗАЦІЇ

У разі надходження заяви від батьків чи повнолітніх здобувачів освіти щодо припинення обробки персональних даних в інформаційних реєстрах та системах, які належать комерційним суб’єктам господарювання чи громадським організаціям, заклад освіти має виконати вимоги батьків і здійснити наступні заходи:

  • прийняти заяву та зареєструвати її, повідомити батькам вхідний номер та дату реєстрації;
  • видалити персональні дані з таких систем;
  • подати письмовий запит до власників таких систем та реєстрів із вимогою видалити персональні дані щодо певного здобувача освіти та батьків;
  • отримати письмову відповідь від власників систем та реєстрів, куди були внесені та обробляються персональні дані учасників освітнього процесу;
  • надіслати письмову відповідь батькам, у якій повідомити про видалення персональних даних із систем та реєстрів, які належать комерційним суб’єктам господарювання та громадським організаціям, і додати письмову відповідь від цих суб’єктів (за наявності);

У керівних принципах “Захист даних дітей в освітньому середовищі” підготовлених Консультативним комітетом конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, зазначається, що згоду на будь-яку обробку даних, включаючи, серед іншого, особливу категорію даних про дитину, надану від імені законних представників або дітей, в жодному разі не можна вважати такою, що легітимізує обробку даних третіми сторонами-постачальниками (пункт 7.1.4).

Водночас просимо керівників закладів освіти та батьків уважно вивчати документи, договори інформаційних систем та реєстрів, послуги яких закуповуються чи планують закупити для використання. Обов’язково треба з’ясовувати, кому належать ці системи чи реєстри, хто має до них доступ, як вони захищаються, чи передаються іншим особам, як будуть використовуватися та інші важливі моменти. Це допоможе убезпечити персональні дані від можливих витоку та неправомірного використання.

ДІЇ ЗАКЛАДІВ ОСВІТИ, ЯКЩО БАТЬКИ ПОДАЮТЬ ЗАЯВУ ПРО НАДАННЯ ІНФОРМАЦІЇ, ЩОДО ПЕРЕДАЧІ ТА ОБРОБКИ ЇХ ПЕРСОНАЛЬНИХ ДАНИХ ТА ЇХНІХ ДІТЕЙ В РЕЄСТРАХ ТА СИСТЕМАХ

Батьки мають право знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки. Це визначено статтею 8 Закону України “Про захист персональних даних” – суб’єкт персональних даних має право:

  • знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
  • отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
  • отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних.

Тому, відповідно до статті 5 Закону України “Про звернення громадян”, у разі надходження запиту від батьків щодо надання переліку, де обробляються їхні персональні дані (чи дані їхніх неповнолітніх дітей), запитом про їхнє місцезнаходження, зокрема про перелік всіх інформаційних систем та реєстрів, куди вони були внесені, їхній зміст тощо, заклад освіти повинен:

  • прийняти запит та зареєструвати його повідомити батькам вхідний номер та дату реєстрації;
  • надіслати письмову відповідь батькам із зазначеним переліком у письмовому вигляді зі вказанням назв систем і реєстрів та їхніх власників;
  • перерахувати у письмовій відповіді, які персональні дані були внесені, як вони обробляються.

ДО ЯКИХ ДЕРЖАВНИХ ОСВІТНІХ ІНФОРМАЦІЙНИХ СИСТЕМ ТА РЕЄСТРІВ ЗАКЛАДИ ОСВІТИ ПЕРЕДАЮТЬ ПЕРСОНАЛЬНІ ДАНІ

Наразі існує два державних освітніх електронних реєстри, куди вносяться персональні дані здобувачів освіти:

  • Єдина державна електронна база з питань освіти (ЄДЕБО)
  • Автоматизований інформаційний комплекс освітнього менеджменту (АІКОМ).

Державні інформаційні системи:

Єдина державна електронна база з питань освіти (ЄДЕБО) – це автоматизована система збирання, оброблення, зберігання та захисту інформації щодо здобувачів освіти, суб’єктів освітньої діяльності, що формується (створюється) та використовується для забезпечення потреб фізичних та юридичних осіб. Вона входить до освітньої інфраструктури освіти й зазначена у статті 74 Закону України “Про освіту”.

Власником ЄДЕБО та виключних майнових прав на її програмне забезпечення є держава. Розпорядником та володільцем інформації в ЄДЕБО є Міністерство освіти і науки України, технічним адміністратором – державне підприємство «Інфоресурс», що належить до сфери управління розпорядника ЄДЕБО.

ЄДЕБО містить такі складові:

  • Реєстр суб’єктів освітньої діяльності
  • Реєстр здобувачів освіти
  • Реєстр документів про освіту
  • Реєстр сертифікатів зовнішнього незалежного оцінювання
  • Реєстр студентських (учнівських) квитків
  • Реєстр педагогічних, науково-педагогічних працівників
  • Реєстр сертифікатів педагогічних працівників

ЄДЕБО функціонує з метою:

  • формування, реєстрації та обліку інформації для видачі суб’єктами освітньої діяльності документів у сферах загальної середньої, професійної (професійно-технічної), фахової передвищої, вищої освіти та освіти дорослих, зокрема післядипломної освіти (документів про освіту та наукові ступені і вчені звання, студентських (учнівських) квитків державного зразка;
  • супроводження прийому на навчання до закладів освіти у порядку, встановленому законодавством;
  • можливості подання вступниками заяв про допуск до участі в конкурсному відборі до закладів освіти в електронній формі через Інтернет (електронний вступ);
  • формування рейтингових списків вступників та списків вступників, рекомендованих до зарахування до закладів освіти.

Захист інформації в ЄДЕБО забезпечується через створення комплексної системи захисту інформації з підтвердженою відповідністю. Обробка і захист інформації здійснюються в ЄДЕБО відповідно до вимог законодавства у сфері захисту інформації, що перебуває у власності держави (Положення про Єдину державну електронну базу з питань освіти”).

Автоматизований інформаційний комплекс освітнього менеджменту (АІКОМ) – це державна інформаційно-аналітична система, що використовується суб’єктами освітньої діяльності для ефективного управління закладами освіти (крім закладів вищої освіти). Комплекс входить до освітньої інфраструктури освіти і визначений у статті 74-1 Закону України “Про освіту”.

Власником АІКОМ є Міністерство освіти і науки України, а технічним адміністратором – державна наукова установа “Інститут освітньої аналітики”, що належить до сфери управління МОН.

АІКОМ використовується для:

  • збирання, накопичення, оброблення, захисту інформації у сфері освіти, надання їй офіційного визнання (у разі створення, зберігання та використання в АІКОМ інформації у сфері освіти);
  • поєднання електронних інформаційних ресурсів та/або публічних електронних реєстрів у сфері освіти, забезпечення їх внутрішньої та зовнішньої інформаційної взаємодії;
  • розподілу та перерозподілу міжбюджетних трансфертів з державного місцевим бюджетам – накопичення, зберігання та автоматизованого оброблення освітньої статистики для розподілу коштів освітньої субвенції;
  • ведення електронних класних журналів і щоденників та електронного документообігу;
  • ведення обліку учнів, слухачів, педагогічних працівників;
  • замовлення підручників, документів про освіту, щодо професійного розвитку працівників закладів та установ освіти, зарахування, відрахування, переведення здобувачів освіти, організації освітнього процесу тощо;
  • забезпечення ведення в електронній формі ділової документації та подання звітності закладами освіти;
  • функціонування електронного сервісу зарахування, відрахування та переведення здобувачів освіти до державних та комунальних закладів освіти для здобуття повної загальної середньої освіти;
  • здійснення обліку дітей дошкільного та шкільного віку (зокрема дітей, не охоплених навчанням), учасників освітнього процесу та суб’єктів освітньої діяльності та функціонування електронного сервісу запису до закладу дошкільної освіти;
  • взаємодія з питань отримання, передачі, запису, верифікації та обробки інформації у сфері освіти з інформаційними системами Єдиного державного демографічного реєстру, Єдиного державного реєстру юридичних осіб, фізичних осіб – підприємців та громадських формувань, Державного реєстру актів цивільного стану громадян, Державного реєстру загальнообов’язкового державного соціального страхування, Державного реєстру фізичних осіб – платників податків, Єдиного державного реєстру призовників, військовозобов’язаних та резервістів, Електронної системи охорони здоров’я, Єдиної інформаційної системи соціальної сфери, Єдиного державного веб-порталу електронних послуг, реєстрів територіальних громад, інформаційно-виробничої системи інформаційного та документарного забезпечення установ та громадян України в галузі освіти та з іншими автоматизованими системами та інформаційними ресурсами держателя АІКОМ та інших юридичних осіб в обсязі та у випадках, визначених законом (Положення про програмно-апаратний комплекс “Автоматизований інформаційний комплекс освітнього менеджменту”).

Усі складові частини АІКОМ мають комплексну систему захисту інформації з підтвердженою відповідністю.

Внесення та обробка персональних даних у державних електронних системах АІКОМ та ЄДЕБО визначена у Законі України “Про освіту” та є здійсненням повноважень закладами освіти. 

ПОРУШЕННЯ ПРАВ ДИТИНИ ТА НАСЛІДКИ ДЛЯ ЗАКЛАДУ ОСВІТИ ЧЕРЕЗ НЕВНЕСЕННЯ ПЕРСОНАЛЬНИХ ДАНИХ ДІТЕЙ ДО ДЕРЖАВНИХ ІНФОРМАЦІЙНИХ СИСТЕМ І ЕЛЕКТРОННИХ РЕЄСТРІВ

Заперечення батьками проти обробки персональних даних здобувачів освіти у визначених законодавством державних системах та електронних реєстрах порушує конституційне право дитини на освіту. Адже між інтересами (правами) дитини повинна існувати справедлива рівновага, і, дотримуючись такої рівноваги, особлива увага має бути до найважливіших інтересів дитини, які за своєю природою та важливістю повинні переважати над інтересами батьків (цитати з рішень Європейського суду з прав людини в рішенні у справі від 07.12.2006 та рішенні від 27.02.1992).

Припинення обробки персональних даних здобувачів освіти у державних реєстрах ЄДЕБО та АІКОМ призводить до неможливості:

  • здійснення навчання здобувачів освіти;
  • видачі їм документів про освіту;
  • перерахування коштів державних субвенцій для навчання учня в закладі освіти;
  • замовлення та отримання підручників для дитини;

Кошти освітньої субвенції “йдуть за дитиною” до закладу середньої освіти, відповідно не отримання коштів на певну дитину (дітей) через невнесення персональних даних до державних систем та реєстрів призведе до порушення прав педагогічних працівників, які отримують заробітну плату з освітньої субвенції відповідно до кількості дітей у закладі освіти. І держава має ідентифікувати, що дитина здобуває освіту в конкретному закладі освіти конкретної громади, що вона здобуває обов’язкову освіту тощо.

Згідно з чинним законодавством у сфері освіти можливість отримати документ про освіту полягає виключно через внесення даних до державної електронної бази. Але якщо цьому суперечать релігійні чи інші особистісні погляди батьків, – наразі немає альтернативного, більш прийнятного для батьків варіанту обробки персональних даних.

ДІЇ ЗАКЛАДУ ОСВІТИ, ЯКЩО БАТЬКИ ЗАПЕРЕЧУЮТЬ ПРОТИ ОБРОБКИ СВОЇХ ПЕРСОНАЛЬНИХ ДАНИХ ТА ЇХНІХ ДІТЕЙ В ДЕРЖАВНИХ ІНФОРМАЦІЙНИХ СИСТЕМАХ ТА ЕЛЕКТРОННИХ РЕЄСТРАХ

Заклад освіти здійснює обробку персональних даних на підставі законодавства про освіту та для здійснення своїх повноважень, і ця обробка здійснюється на законних підставах без формалізованої згоди від суб’єкта персональних даних у вигляді окремого документа – дозволу на обробку персональних даних.

Існують державні інформаційні системи та реєстри, про які зазначено у законодавстві. Це системи ЄДЕБО та АІКОМ, про які зазначено у статтях 74 та 74-1 Закону України “Про освіту”.

Внесення персональних даних дітей до цих систем визначено у законодавстві та є здійсненням повноважень закладу освіти. Наслідки невнесення персональних даних до цих державних систем перераховані у попередньому розділі.

Тому подача заяви батьками чи повнолітніми здобувачами освіти про відкликання згоди на обробку цих даних у державних реєстрах, якщо така згода була надана, або подача заперечення щодо обробки даних, не повинна мати наслідком припинення такої обробки, оскільки продовжують існувати підстави, які дають право закладу освіти обробляти персональні дані на підставі закону та для здійснення повноважень на основі добровільного подання батьками заяви про зарахування до закладу та надання персональних даних. Тобто заклад освіти має право продовжувати обробку персональних даних в системах ЄДЕБО та АІКОМ.

Заклад освіти зобов’язаний припинити обробку персональних даних дітей та батьків в системах ЄДЕБО та АІКОМ лише тоді, коли батьки чи здобувач освіти подасть заяву про відрахування із закладу освіти або переведення учня до іншого закладу.

Тому в ситуації із запереченнями з боку батьків маємо конфлікт між формальним запереченням батьків проти обробки персональних даних та необхідністю виконання функцій у сфері освіти й забезпечення прав дитини на освіту. Вирішенням такої ситуації може стати запровадження альтернативного механізму, що дозволить мати вибір батькам із відмінними релігійними переконаннями. Але наразі такого механізму немає.

Дії закладу освіти у разі отримання заяви батьків із запереченням проти обробки своїх персональних даних та їхніх дітей у державних інформаційних системах та електронних реєстрах:

  • прийняти та зареєструвати заяву і повідомити батькам вхідний номер та дату реєстрації;
  • надіслати письмову відповідь батькам.

У відповіді заклад освіти має зазначити, що обробка персональних даних дитини у закладі освіти здійснюється відповідно до пунктів 2-6 частини першої статті 11 Закону України «Про захист персональних даних», на підставі законодавства про освіту та здійснення повноважень закладу освіти на основі заяви про зарахування батьків/здобувачів та/або укладання договору й надання персональних даних. Також у цьому разі заклад освіти у своїй відповіді на заяву батьків може додатково послатися на статті 74 та 74-1 Закону України “Про освіту”, в яких зазначається мета обробки даних державними системами ЄДЕБО та АІКОМ. Без обробки закладом освіти персональних даних в інформаційних системах ЄДЕБО та АІКОМ заклад освіти позбавлений можливості забезпечити конституційне право дитини на здобуття повної загальної середньої освіти, дитина не зможе мати доступ до освіти, отримати документ про здобуття освіти, а заклад освіти здійснювати свої повноваження.