Захист персональних даних неповнолітніх: відмінності між версіями

Матеріал з WikiLegalAid
Немає опису редагування
мНемає опису редагування
Рядок 11: Рядок 11:
# [http://zakon2.rada.gov.ua/laws/show/z1902-12 Наказ Міністерства освіти і науки, молоді та спорту України України від 05 листопада 2012 року № 1244 "Про затвердження Умов прийому до вищих навчальних закладів України у 2013 році"]
# [http://zakon2.rada.gov.ua/laws/show/z1902-12 Наказ Міністерства освіти і науки, молоді та спорту України України від 05 листопада 2012 року № 1244 "Про затвердження Умов прийому до вищих навчальних закладів України у 2013 році"]
# [http://zakon2.rada.gov.ua/laws/show/z0564-18 Наказ Міністерства освіти і науки України від 16 квітня 2018 року № 367 "Про затвердження Порядку зарахування, відрахування та переведення учнів до державних та комунальних закладів освіти для здобуття повної загальної середньої освіти"]
# [http://zakon2.rada.gov.ua/laws/show/z0564-18 Наказ Міністерства освіти і науки України від 16 квітня 2018 року № 367 "Про затвердження Порядку зарахування, відрахування та переведення учнів до державних та комунальних закладів освіти для здобуття повної загальної середньої освіти"]
# [https://zakon.rada.gov.ua/laws/show/984_008-16#Text Регламент Європейського Парламенту і Ради (ЄС)2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних)]


== Згода на обробку персональних даних ==
== Згода на обробку персональних даних ==
Рядок 67: Рядок 68:
|}
|}


Крім цього, виходячи з [http://zakon5.rada.gov.ua/laws/show/2297-17 частини другої ст. 6 Закону ], персональні дані мають бути точними, достовірними, в разі необхідності — оновлюватися, що накладає на батьків і власника бази даних (навчальний заклад) обов'язок  забезпечувати оновлення цієї бази достовірною інформацією.
Крім цього, виходячи з [http://zakon5.rada.gov.ua/laws/show/2297-17 частини другої ст. 6 Закону] , персональні дані мають бути точними, достовірними, в разі необхідності — оновлюватися, що накладає на батьків і власника бази даних (навчальний заклад) обов'язок  забезпечувати оновлення цієї бази достовірною інформацією.


== Використання персональних даних неповнолітніх ==
== Використання персональних даних неповнолітніх ==
Згідно з частиною третьою ст. 10 [http://zakon5.rada.gov.ua/laws/show/2297-17 Закону ]  використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.
Згідно з частиною третьою ст. 10 [http://zakon5.rada.gov.ua/laws/show/2297-17 Закону]  використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.


Для гарантування безпеки обігу (недоторканності) персональних даних у навчальному процесі необхідно максимально зменшити доступ до цієї інформації третіх осіб, які не мають повноважень щодо їх обробки.  
Для гарантування безпеки обігу (недоторканності) персональних даних у навчальному процесі необхідно максимально зменшити доступ до цієї інформації третіх осіб, які не мають повноважень щодо їх обробки.  
Рядок 77: Рядок 78:


Водночас у переважній більшості закладів такі результати оприлюднюють без відповідного дозволу суб'єкта цих даних (шляхом розміщення результатів на дошці оголошень, усного оприлюднення у групі чи класі), що є грубим порушенням законодавства у сфері захисту обігу персональних даних. Більше того, відсутність відповідних роз'яснень призводить до того, що робота над помилками має ідентифікуючий характер, й особа, помилки якої аналізують, може стати об'єктом знущань і насмішок.  
Водночас у переважній більшості закладів такі результати оприлюднюють без відповідного дозволу суб'єкта цих даних (шляхом розміщення результатів на дошці оголошень, усного оприлюднення у групі чи класі), що є грубим порушенням законодавства у сфері захисту обігу персональних даних. Більше того, відсутність відповідних роз'яснень призводить до того, що робота над помилками має ідентифікуючий характер, й особа, помилки якої аналізують, може стати об'єктом знущань і насмішок.  
== Європейське законодавство ==
У контексті захисту даних дитини варто звернути увагу на норми [https://zakon.rada.gov.ua/laws/show/984_008-16#Text Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) (далі  — GDPR/Регламент)], який встановлює жорсткі вимоги щодо обробки даних дітей, що не досягли 16 років.
У вступній частині GDPR визначено, що «діти потребують особливого захисту в питанні персональних даних, оскільки вони можуть бути менш обізнаними про відповідні ризики, наслідки та гарантії, а також про свої права щодо опрацювання персональних даних. Такий особливий захист повинен, зокрема, застосовуватися до використання персональних даних дітей для цілей маркетингу або створення профілів особистості чи користувача та збирання персональних даних щодо дітей під час користування послугами, що пропонують безпосередньо дитині» [https://zakon.rada.gov.ua/laws/show/984_008-16#Text (пункт 38)].
Окрім того, у Регламенті зазначено, що діти є вразливою категорією відносно тих ризиків, які можуть наставати унаслідок обробки персональних даних: збору, зберігання, використання, поширення тощо [https://zakon.rada.gov.ua/laws/show/984_008-16#Text (пункт 75)].
В епоху розвитку цифрових технологій збір інформації про дитину може відбуватися не тільки під час особистої комунікації, але й в Інтернеті. Тому в новому законодавстві ЄС передбачені додаткові гарантії безпеки дитини в мережі. У статті 8 GDPR визначена вимога отримання згоди батьків, якщо дитині надається послуга в режимі онлайн.
Норми GDPR можуть бути застосовані не тільки до суб’єктів, що перебувають на території ЄС, як це було раніше, відповідно до вимог Директиви 95/46/ЄС, але й до тих суб’єктів, що перебувають в інших країнах світу [https://zakon.rada.gov.ua/laws/show/984_008-16#Text ( стаття 3 Регламенту)] . Також важливо зазначити, що на території ЄС автоматично кожен має право на захист своїх даних по GDPR незалежно від громадянства.


== Див. додатково ==
== Див. додатково ==

Версія за 10:58, 26 квітня 2021

Нормативна база

  1. Конституція України
  2. Конвенція ООН про права дитини 1989 р.
  3. Сімейний кодекс України
  4. Цивільний кодекс України
  5. Закон України "Про освіту"
  6. Закон України "Про захист персональних даних"
  7. Закон України "Про повну загальну середню освіту"
  8. Постанова Кабінету Міністрів України від 13 липня 2011 року № 752 "Про створення Єдиної державної електронної бази з питань освіти"
  9. Наказ Міністерства освіти і науки, молоді та спорту України від 10 травня 2011 року № 423 "Про затвердження єдиних зразків обов’язкової ділової документації у загальноосвітніх навчальних закладах усіх типів і форм власності"
  10. Наказ Міністерства освіти і науки, молоді та спорту України України від 05 листопада 2012 року № 1244 "Про затвердження Умов прийому до вищих навчальних закладів України у 2013 році"
  11. Наказ Міністерства освіти і науки України від 16 квітня 2018 року № 367 "Про затвердження Порядку зарахування, відрахування та переведення учнів до державних та комунальних закладів освіти для здобуття повної загальної середньої освіти"
  12. Регламент Європейського Парламенту і Ради (ЄС)2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних)

Згода на обробку персональних даних

Згідно Закону України "Про захист персональних даних" (далі - Закон) при зарахуванні дитини до школи необхідно отримати обов’язкову задокументовану згоду суб’єктів персональних даних (ст.2 Закону).

Відповідно до Закону збирання відомостей про учнів та їхніх батьків, зберігання та використання цих відомостей є обробкою персональних даних, а учні та їхні батьки – суб’єктами персональних даних.

Конвенція ООН про права дитини 1989 р. – роз’яснює, що під поняттям "дитина" розуміється неповнолітній у віці до 18 років.

Оскільки суб’єктами персональних даних є неповнолітні особи, то згідно норм Сімейного та Цивільного кодексів України, згоду на обробку персональних даних дитини мають надати батьки або особи, які їх замінюють. Також батьки повинні подати згоду на обробку власних персональних даних. Це також означає, що заяву про зарахування дитини до школи можуть подати тільки батьки або особи, які їх замінюють. Ніякі інші члени родини, близькі та далекі родичі цього зробити не мають права.

Із настанням повноліття особа надає таку згоду самостійно, й батьки вже не мають права визначати межі обігу персональних даних їхніх дітей.

Метою обробки персональних даних дитини, яка вступає до школи, є забезпечення її права на здобуття повної загальної середньої освіти у загальноосвітніх навчальних закладах.

Обсяг персональних даних визначається документами, які є обов’язковими для ведення у школах різних типів і форм власності.

Документами, в які вносяться персональні дані дитини та її батьків є:

  • особова справа учня;
  • алфавітна книга;
  • класний журнал;
  • журнал ГПД;
  • бланк протоколу державної підсумкової атестації учнів;
  • табель навчальних досягнень;
  • книги видачі свідоцтв про базову і атестатів про повну загальну середню освіту.

При занесені персональних даних до вказаних документів школа стає володільцем бази таких даних.

Форми документів затверджені наказом Міністерства освіти і науки,молоді та спорту України від 10 травня 2011 року №423 "Про затвердження єдиних зразків обов’язкової ділової документації у загальноосвітніх навчальних закладах усіх типів і форм власності".

Таким чином, отримання від фізичної особи (батьків або осіб, які їх замінюють) письмової згоди на обробку її персональних даних (даних дітей) в процесі збору та внесення відомостей про неї до бази персональних даних навчального закладу не вимагається, оскільки дозвіл на обробку її персональних даних наданий володільцю бази персональних даних (навчальному закладу) Законом. Використання персональних даних, що виходить за межі дозволу, наданого навчальному закладу відповідно до Закону, повинно здійснюватися за згодою суб’єктів персональних даних і має бути засвідчена підписом батьків.

Внесення даних до Інформаційної системи управління освітою

У зв’язку із запровадженням Інформаційної системи управління освітою – ІСУО (постанова Кабінету Міністрів України від 13 липня 2011 року № 752 "Про створення Єдиної державної електронної бази з питань освіти") батьки або особи, які їх замінюють, повинні бути ознайомлені з правами щодо місцезнаходження та використання електронної бази персональних даних їхньої дитини.
Навчальний заклад не має права без попередження батьків або осіб, які їх замінюють, заносити дані про дітей до єдиної електронної бази, надавати будь-яку інформацію про дітей з цієї бази іншим особам або організаціям, крім випадків передбачених законодавством.

Загальноосвітній навчальний заклад має право збирати такі персональні дані:

  • прізвище, ім’я, по батькові дитини;
  • дата народження;
  • стать;
  • прізвище, ім’я та по батькові батька і матері (опікунів), їх місцероботи, номер контактного телефону;
  • домашня адреса, номер телефону;
  • місце виховання дитини до вступу в перший клас;
  • зайнятість в гуртках і секціях; місце і графік проведення занять;
  • стан здоров’я, медична група.

Відмова особи надати згоду на обробку її персональних даних у Єдиній базі та ІВС "ОСВІТА" унеможливлює обробку таких даних у зазначених базах, зокрема, виготовлення документів про освіту так як, частинами шостою і сьомою ст. 6 Закону встановлено заборону на обробку персональних даних про фізичну особу без її згоди.

Крім цього, виходячи з частини другої ст. 6 Закону , персональні дані мають бути точними, достовірними, в разі необхідності — оновлюватися, що накладає на батьків і власника бази даних (навчальний заклад) обов'язок забезпечувати оновлення цієї бази достовірною інформацією.

Використання персональних даних неповнолітніх

Згідно з частиною третьою ст. 10 Закону  використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.

Для гарантування безпеки обігу (недоторканності) персональних даних у навчальному процесі необхідно максимально зменшити доступ до цієї інформації третіх осіб, які не мають повноважень щодо їх обробки.

Слід звернути увагу на те, що навчальний заклад для перевірки якості знань вихованців здійснює контроль шляхом оцінювання, результати якого є персональними даними особи й також підлягають захисту.

Водночас у переважній більшості закладів такі результати оприлюднюють без відповідного дозволу суб'єкта цих даних (шляхом розміщення результатів на дошці оголошень, усного оприлюднення у групі чи класі), що є грубим порушенням законодавства у сфері захисту обігу персональних даних. Більше того, відсутність відповідних роз'яснень призводить до того, що робота над помилками має ідентифікуючий характер, й особа, помилки якої аналізують, може стати об'єктом знущань і насмішок.

Європейське законодавство

У контексті захисту даних дитини варто звернути увагу на норми Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) (далі — GDPR/Регламент), який встановлює жорсткі вимоги щодо обробки даних дітей, що не досягли 16 років.

У вступній частині GDPR визначено, що «діти потребують особливого захисту в питанні персональних даних, оскільки вони можуть бути менш обізнаними про відповідні ризики, наслідки та гарантії, а також про свої права щодо опрацювання персональних даних. Такий особливий захист повинен, зокрема, застосовуватися до використання персональних даних дітей для цілей маркетингу або створення профілів особистості чи користувача та збирання персональних даних щодо дітей під час користування послугами, що пропонують безпосередньо дитині» (пункт 38).

Окрім того, у Регламенті зазначено, що діти є вразливою категорією відносно тих ризиків, які можуть наставати унаслідок обробки персональних даних: збору, зберігання, використання, поширення тощо (пункт 75).

В епоху розвитку цифрових технологій збір інформації про дитину може відбуватися не тільки під час особистої комунікації, але й в Інтернеті. Тому в новому законодавстві ЄС передбачені додаткові гарантії безпеки дитини в мережі. У статті 8 GDPR визначена вимога отримання згоди батьків, якщо дитині надається послуга в режимі онлайн.

Норми GDPR можуть бути застосовані не тільки до суб’єктів, що перебувають на території ЄС, як це було раніше, відповідно до вимог Директиви 95/46/ЄС, але й до тих суб’єктів, що перебувають в інших країнах світу ( стаття 3 Регламенту) . Також важливо зазначити, що на території ЄС автоматично кожен має право на захист своїх даних по GDPR незалежно від громадянства.

Див. додатково

  1. Див. додатково Захист персональних даних
  2. Див. додатково Зарахування учнів до загальноосвітніх навчальних закладів та їх відрахування
  3. Див. додатково Протидія булінгу в дитячому середовищі