Захист персональних даних неповнолітніх

Матеріал з WikiLegalAid
Правова консультація не є офіційним роз'ясненням, носить інформаційний характер та не може безумовно застосовуватися в кожному конкретному випадку. Редакція затверджена Maryna.shapoval.

Нормативна база

Згода на обробку персональних даних

Згідно Закону України "Про захист персональних даних" (далі - Закон) при зарахуванні дитини до школи необхідно отримати обов’язкову задокументовану згоду суб’єктів персональних даних (ст.2 Закону).

Відповідно до Закону збирання відомостей про учнів та їхніх батьків, зберігання та використання цих відомостей є обробкою персональних даних, а учні та їхні батьки – суб’єктами персональних даних.

Конвенція ООН про права дитини 1989 р. – роз’яснює, що під поняттям "дитина" розуміється неповнолітній у віці до 18 років.

Оскільки суб’єктами персональних даних є неповнолітні особи, то згідно норм Сімейного та Цивільного кодексів України, згоду на обробку персональних даних дитини мають надати батьки або особи, які їх замінюють. Також батьки повинні подати згоду на обробку власних персональних даних. Це також означає, що заяву про зарахування дитини до школи можуть подати тільки батьки або особи, які їх замінюють. Ніякі інші члени родини, близькі та далекі родичі цього зробити не мають права.

Із настанням повноліття особа надає таку згоду самостійно, й батьки вже не мають права визначати межі обігу персональних даних їхніх дітей.

Метою обробки персональних даних дитини, яка вступає до школи, є забезпечення її права на здобуття повної загальної середньої освіти у загальноосвітніх навчальних закладах.

Обсяг персональних даних визначається документами, які є обов’язковими для ведення у школах різних типів і форм власності.

Документами, в які вносяться персональні дані дитини та її батьків є:

  • особова справа учня;
  • алфавітна книга;
  • класний журнал;
  • журнал ГПД;
  • бланк протоколу державної підсумкової атестації учнів;
  • табель навчальних досягнень;
  • книги видачі свідоцтв про базову і атестатів про повну загальну середню освіту.

При занесені персональних даних до вказаних документів школа стає володільцем бази таких даних.

Форми документів затверджені наказом Міністерства освіти і науки,молоді та спорту України від 10 травня 2011 року №423 "Про затвердження єдиних зразків обов’язкової ділової документації у загальноосвітніх навчальних закладах усіх типів і форм власності".

Таким чином, отримання від фізичної особи (батьків або осіб, які їх замінюють) письмової згоди на обробку її персональних даних (даних дітей) в процесі збору та внесення відомостей про неї до бази персональних даних навчального закладу не вимагається, оскільки дозвіл на обробку її персональних даних наданий володільцю бази персональних даних (навчальному закладу) Законом. Використання персональних даних, що виходить за межі дозволу, наданого навчальному закладу відповідно до Закону, повинно здійснюватися за згодою суб’єктів персональних даних і має бути засвідчена підписом батьків.

Внесення даних до Інформаційної системи управління освітою

У зв’язку із запровадженням Інформаційної системи управління освітою – ІСУО (постанова Кабінету Міністрів України від 13 липня 2011 року № 752 "Про створення Єдиної державної електронної бази з питань освіти") батьки або особи, які їх замінюють, повинні бути ознайомлені з правами щодо місцезнаходження та використання електронної бази персональних даних їхньої дитини.

Навчальний заклад не має права без попередження батьків або осіб, які їх замінюють, заносити дані про дітей до єдиної електронної бази, надавати будь-яку інформацію про дітей з цієї бази іншим особам або організаціям, крім випадків передбачених законодавством.

Загальноосвітній навчальний заклад має право збирати такі персональні дані:

  • прізвище, ім’я, по батькові дитини;
  • дата народження;
  • стать;
  • прізвище, ім’я та по батькові батька і матері (опікунів), їх місцероботи, номер контактного телефону;
  • домашня адреса, номер телефону;
  • місце виховання дитини до вступу в перший клас;
  • зайнятість в гуртках і секціях; місце і графік проведення занять;
  • стан здоров’я, медична група.

Відмова особи надати згоду на обробку її персональних даних у Єдиній базі та ІВС "ОСВІТА" унеможливлює обробку таких даних у зазначених базах, зокрема, виготовлення документів про освіту так як, частинами шостою і сьомою ст. 6 Закону встановлено заборону на обробку персональних даних про фізичну особу без її згоди.

Крім цього, виходячи з частини другої ст. 6 Закону , персональні дані мають бути точними, достовірними, в разі необхідності — оновлюватися, що накладає на батьків і власника бази даних (навчальний заклад) обов'язок забезпечувати оновлення цієї бази достовірною інформацією.

Використання відомостей про пацієнта, що містяться в електронній системі охорони здоров"я

Відповідно до частини першої ст.3 Основ законодавства України про охорону здоров"я електронна система охорони здоров’я - інформаційно-комунікаційна система, що забезпечує автоматизацію ведення обліку медичних послуг та управління інформацією про охорону здоров’я, у тому числі медичною інформацією, шляхом створення, розміщення, оприлюднення та обміну інформацією, даними і документами в електронному вигляді, до складу якої входять центральна база даних та електронні медичні інформаційні системи, між якими забезпечено автоматичний обмін інформацією, даними та документами через відкритий програмний інтерфейс (API).

Медична інформація - інформація про медичне обслуговування особи або його результати, викладена в уніфікованій формі відповідно до вимог, встановлених законодавством, у тому числі інформація про стан здоров’я, діагнози та будь-які документи, що стосуються здоров’я та обмеження повсякденного функціонування/ життєдіяльності людини.

Пацієнт - фізична особа, яка звернулася за медичною та/або реабілітаційною допомогою або медичною послугою та/або якій така допомога або послуга надається.

Згідно з ст.24-2 Основ законодавства України про охорону здоров"я доступ до відомостей про пацієнта, що містяться в електронній системі охорони здоров’я, можливий лише у разі отримання згоди такого пацієнта (його законного представника) у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. Без згоди доступ до відомостей про пацієнта можливий лише:

за наявності ознак прямої загрози життю пацієнта;

у разі неможливості отримання згоди такого пацієнта чи його законного представника (до часу, коли отримання згоди стане можливим);

за рішенням суду.

Використання персональних даних неповнолітніх

Згідно з частиною третьою ст. 10 Закону  використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.

Для гарантування безпеки обігу (недоторканності) персональних даних у навчальному процесі необхідно максимально зменшити доступ до цієї інформації третіх осіб, які не мають повноважень щодо їх обробки.

Слід звернути увагу на те, що навчальний заклад для перевірки якості знань вихованців здійснює контроль шляхом оцінювання, результати якого є персональними даними особи й також підлягають захисту.

Водночас у переважній більшості закладів такі результати оприлюднюють без відповідного дозволу суб'єкта цих даних (шляхом розміщення результатів на дошці оголошень, усного оприлюднення у групі чи класі), що є грубим порушенням законодавства у сфері захисту обігу персональних даних. Більше того, відсутність відповідних роз'яснень призводить до того, що робота над помилками має ідентифікуючий характер, й особа, помилки якої аналізують, може стати об'єктом знущань і насмішок.

Європейське законодавство

У контексті захисту даних дитини варто звернути увагу на норми Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) (далі — GDPR/Регламент), який встановлює жорсткі вимоги щодо обробки даних дітей, що не досягли 16 років.

У вступній частині GDPR визначено, що «діти потребують особливого захисту в питанні персональних даних, оскільки вони можуть бути менш обізнаними про відповідні ризики, наслідки та гарантії, а також про свої права щодо опрацювання персональних даних. Такий особливий захист повинен, зокрема, застосовуватися до використання персональних даних дітей для цілей маркетингу або створення профілів особистості чи користувача та збирання персональних даних щодо дітей під час користування послугами, що пропонують безпосередньо дитині» (пункт 38).

Окрім того, у Регламенті зазначено, що діти є вразливою категорією відносно тих ризиків, які можуть наставати унаслідок обробки персональних даних: збору, зберігання, використання, поширення тощо (пункт 75).

В епоху розвитку цифрових технологій збір інформації про дитину може відбуватися не тільки під час особистої комунікації, але й в Інтернеті. Тому в новому законодавстві ЄС передбачені додаткові гарантії безпеки дитини в мережі. У статті 8 GDPR визначена вимога отримання згоди батьків, якщо дитині надається послуга в режимі онлайн.

Норми GDPR можуть бути застосовані не тільки до суб’єктів, що перебувають на території ЄС, як це було раніше, відповідно до вимог Директиви 95/46/ЄС, але й до тих суб’єктів, що перебувають в інших країнах світу ( стаття 3 Регламенту) . Також важливо зазначити, що на території ЄС автоматично кожен має право на захист своїх даних по GDPR незалежно від громадянства.

Див. також