Правові аспекти захисту персональних даних, які підлягають обробці в навчальному процесі

«Хто володіє інформацією, той володіє світом», — сказав свого часу Натан Ротшильд. Інформація (знання) в сучасному світі — це головний, найцінніший, стратегічний ресурс, якісна сукупність
якого є гарантом успішного й стабільного розвитку суспільства. А от спотворення інформації чи
незаконне її поширення може призвести до серйозних негативних наслідків. Вважаємо, що якісне накопичення інформації, надійне її збереження та високоефективне використання є найактуальнішою проблемою сьогодення.

Україна визначила одним із пріоритетних напрямів свого розвитку інтеграцію у світовий та європейський освітній простір, приведення системи освіти на державному й регіональному рівнях до європейських вимог. Одним із критеріїв створення якісної освіти, здобуття якої дало б змогу в подальшому працювати в будь-якій країні Європи чи навіть світу, є запровадження системи оцінювання, яка відповідатиме міжнародним стандартам. Окрім того, потрібно забезпечити належний захист персональних даних студентів і школярів на рівні закладу, регіону та держави відповідно до вимог Конвенції Ради Європи № 108 та Закону України «Про захист персональних даних».

Отже, мета цього наукового дослідження — напрацювання рекомендацій Верховній Раді України, профільному міністерству, підприємствам, установам та організаціям, які беруть участь в обробці персональних даних учнів, для вдосконалення законодавства у сфері захисту персональних даних у навчальному процесі.

Для досягнення результату дослідження ми виділили такі завдання:

— визначити, які персональні дані потребують захисту згідно із законодавством України у процесі навчання;

— установити критерії роботи та межі допуску
уповноважених осіб до такого типу персональних даних на основі європейського досвіду;

— підготувати науково обґрунтовані пропозиції з удосконалення законодавства України для ефективного забезпечення права на захист персональних даних у
навчальному процесі

Відповідно до статті 53 Конституції України кожен має право на освіту, а «повна загальна середня освіта є обов'язковою» [1]. Отже, всі, хто здобував повну загальну середню освіту, має уявлення про обіг персональних даних у навчальному процесі. Так, у статті 18 Закону України «Про загальну середню освіту» сказано: «Зарахування учнів до загальноосвітнього навчального закладу проводиться наказом директора, що видається на підставі заяви, за наявності медичної довідки встановленого зразка і відповідного документа про освіту (крім учнів першого класу)» [6], а відповідно до наказу Міністерства освіти і науки України № 204 «Про прийом дітей до 1 класу загальноосвітніх навчальних закладів» до цього переліку додається копія свідоцтва про народження дитини. Також згідно з пунктом 8 цього наказу на кожного учня-першокласника оформляється особова справа [11].

У світі немає зразка свідоцтва про народження. Так, в Україні та Угорщині у свідоцтві мають бути такі персональні дані: прізвище, ім'я та по батькові батьків і їхнє громадянство, ПІБ дитини, дата та місце народження, дата та місце реєстрації факту народження дитини.

 З огляду на це можна дійти висновку, що особова справа дитини містить значну кількість персональних даних, тому її суб'єкт підпадає під захист Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Закону «Про захист персональних даних». Тож батьки або особи, які їх замінюють, мають подавати не лише заяву на ім'я директора загальноосвітнього навчального закладу, копію свідоцтва про народження дитини, медичну картку встановленого зразка, документа про освіту (крім учнів першого класу), а й згідно зі статтею 11 цього закону —  письмовий дозвіл на обробку їхніх персональних даних та даних дитини. Крім цього, виходячи з частини 2 статті 6 Закону, «персональні дані мають бути точними, достовірними, в разі необхідності — оновлюватися», що накладає на батьків і власника бази даних (навчальний заклад) забезпечувати оновлення цієї бази достовірною інформацією [7].

Докладніше варто проаналізувати наказ МОН України від 19 червня 2003 року № 389 «Про затвердження Інструкції про порядок конкурсного приймання дітей (учнів, вихованців) до гімназій, ліцеїв, колегіумів, спеціалізованих шкіл (шкіл-інтернатів)», який установлює додаткові вимоги до вступу дітей у навчальні заклади. В пункті 2.10 цього наказу зазначається: «Адміністрація навчального закладу може встановлювати особливі (пільгові) умови конкурсу для дітей-сиріт, дітей, позбавлених батьківського піклування, дітей-інвалідів, дітей, які постраждали від аварії на Чорнобильській АЕС, інших категорій дітей, що має бути відображено в Правилах конкурсного приймання до навчального закладу» [10]. З огляду на те, що ці відомості повинні підтверджуватися документально, адміністрація здійснюватиме обробку ще більшого масиву персональних даних, ніж звичайна загальноосвітня школа. Слід розуміти, що табелі успішності, свідоцтва про освіту та інші персональні відомості про успішність особи, а також особові картки підлягають захисту. Далі — про пункт 3.16 наказу № 389, в якому зазначено: «Результати усного випробування оголошуються в той самий день, письмового — не пізніше ніж через три дні після його проведення. Списки вступників із виставленими балами вивішуються у приміщенні навчального закладу для загального ознайомлення» [10]. Тут варто наголосити, що згідно зі статтею 10 Закону «Про захист персональних даних» власникові бази персональних даних забороняється розголошувати відомості стосовно суб'єктів цих даних без надання відповідної згоди на таке використання (стаття 11 Закону). Порушення законодавства про захист персональних даних тягне за собою відповідальність, установлену законом (стаття 28) [7].

Прогресивним у питанні захисту персональних даних є наказ МОН від 12.10.2011 року № 1179 «Про затвердження Умов прийому до вищих навчальних закладів України в 2012 році», в пункті 6.1 якого чітко передбачено, що заява про участь у конкурсному відборі до вищого навчального закладу «обробляється відповідно до вимог Закону України «Про захист персональних даних» [12]. Водночас пункт 6.4 цього ж наказу каже: до заяви, поданої у паперовій формі, вступник, зокрема, додає:

— документ державного зразка про раніше здобутий освітній (освітньо-кваліфікаційний) рівень, на основі якого здійснюється вступ, і додаток до нього;

— сертифікат (сертифікати) зовнішнього незалежного оцінювання (для вступників на основі повної загальної середньої освіти);

— медичну довідку за формою 086-о або її копію [12].

Як бачимо, до змісту поняття «заява» не входить значний масив документів із персональними даними вступника, а отже, ці відомості підпадають під захист профільного закону, що, по суті, є прогалиною в законодавстві.

Також варто звернути увагу на пункт 15.5 наказу
№ 1179, який фактично дублює пункт 3.16 наказу № 389 і закріплює, що: «Рейтингові списки вступників оприлюднюються шляхом розміщення на інформаційних стендах приймальних комісій та веб-сайтах вищих навчальних закладів із зазначенням категорій списку. Ці списки оновлюються при внесенні змін протягом строку проведення конкурсного відбору». Згідно з пунктом 15.4 цього ж наказу МОН у «рейтинговому списку зазначаються:  прізвище, ім'я та по батькові вступника; конкурсний бал вступника; наявність підстав для вступу поза конкурсом; наявність підстав для вступу за результатами співбесіди з відміткою про результати співбесіди; наявність права на першочергове зарахування», що значно збільшує обсяг даних, які оприлюднюються та можуть стати предметом загального обговорення і, як наслідок, бути підставою заподіяння моральної шкоди суб'єктові цих даних.

У свою чергу, новела в підпункті 2 пункту 16.4 наказу МОН № 1179 здатна запобігти масовому порушенню права на безпеку обігу персональних даних, адже нею закріплюється, що «рекомендованим до зарахування вступникам можуть надсилатись повідомлення засобами електронного та мобільного зв'язку відповідно до правил прийому до вищого навчального закладу». Вважаємо, що саме шляхом індивідуального повідомлення можна розв'язати проблему не тільки правомірності обігу (адже правомірним обіг можна зробити простим зобов'язанням надання згоди на таку обробку) персональних даних, а й захисту їх безпеки.

Тепер про критерії роботи з персональними даними в навчальному процесі для забезпечення їх правомірного й безпечного обігу. Зазначимо, що згідно з частиною 6 статті 6 Закону «Про захист персональних даних» не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини [7]. При цьому постає запитання з приводу надання згоди на обробку персональних даних дитини.

Згідно зі статтею 6 Сімейного кодексу України правовий статус дитини має особа до досягнення нею повноліття; малолітньою вважається дитина до досягнення нею чотирнадцяти років, а неповнолітньою — у віці від чотирнадцяти до вісімнадцяти років [3]. Статті 30, 31 та 32 Цивільного кодексу України, які регламентують питання цивільної дієздатності, містять вичерпний перелік правочинів, які може вчиняти дитина, a частина 2 статті 32 закріплює, що ця неповнолітня особа може вчиняти інші правочини лише за згодою батьків (усиновлювачів) або піклувальників [4]. Тож відповідно до частини 3 статті 150 Сімейного кодексу України, яка зобов'язує батьків «забезпечити здобуття дитиною повної загальної середньої освіти, готувати її до самостійного життя» [3] та статті 29 Закону «Про загальну середню освіту», яка закріплює обов'язок батьків захищати законні інтереси дітей та забезпечувати умови для здобуття дитиною повної загальної середньої освіти за будь-якою формою навчання [6], можна дійти висновку, що саме батьки відповідальні за реалізацію права на безпеку обігу персональних даних їхніх дітей. Європейські законодавці також схиляються до думки, що саме з набуттям повної дієздатності дитини в батьків зникає право бути інформованим про результати навчання дитини, а отже, контролювати обіг її персональних даних. Згідно зі змінами від 22.05.2008 року до закону про освіту Словацької Республіки № 245 «батьки вправі отримувати інформацію про результати освіти своєї дитини» [14].

Наведена аргументація дає підстави зробити висновок, що згода на обробку персональних даних дитини повинна надаватись її батьками разом зі згодою батьків на обробку їхніх персональних даних. Із настанням повноліття особа надає таку згоду самостійно, й батьки вже не мають права визначати межі обігу персональних даних їхніх дітей.

Для гарантування безпеки обігу (недоторканності) персональних даних у навчальному процесі необхідно максимально зменшити доступ до цієї інформації третіх осіб, які не мають повноважень щодо їх обробки. Слід звернути увагу на те, що навчальний заклад для перевірки якості знань вихованців здійснює контроль шляхом оцінювання, результати якого є персональними даними особи й також підлягають захисту. Водночас у переважній більшості закладів такі результати оприлюднюють без відповідного дозволу суб'єкта цих даних (шляхом розміщення результатів на дошці оголошень, усного оприлюднення у групі чи класі), що є грубим порушенням законодавства у сфері захисту обігу персональних даних. Більше того, відсутність відповідних роз'яснень призводить до того, що робота над помилками має ідентифікуючий характер, й особа, помилки якої аналізують, може стати об'єктом знущань і насмішок. Є ризик, що в майбутньому це неодмінно стане предметом судових позовів щодо завдання моральних збитків через неправомірне використання персональних даних особи.

Для уникнення подібних ситуацій у більшості провідних країн світу функціонують електронні реєстри учнів (студентів), які містять усі відомості про особу, зокрема і про її успішність. Доступ для обробки цих відомостей є обмеженим для всіх розпорядників бази даних у межах їхніх службових повноважень. Наприклад, таку практику закріплено положенням статті 29 Статуту
Факультету гуманітарних і природничих наук Пряшівського університету [15].

Виходячи з наведеної аргументації, проаналізувавши профільне  законодавство України, а також європейський досвід регулювання відносин у сфері обігу персональних даних, можна зробити такі висновки:

— масив персональних даних, які формуються у процесі навчання й потребують захисту згідно із законодавством України, містить майже весь спектр персональних даних особи, зокрема, найбільш конфіденційних;

—  забезпечити легітимність обігу персональних даних у процесі навчання можна шляхом запровадження обов'язкової письмової згоди на їхню обробку;

Для гарантування безпеки обігу персональних даних у процесі навчання потрібно:

— здійснити автоматизацію баз персональних даних;

— забезпечити збір персональних даних, необхідних для особистого контакту суб'єкта, розпорядника й власника баз даних (у разі якщо суб'єкт неповнолітній і не має повної правоздатності, забезпечити доступ до персональних даних його представника);

— розробити посадові інструкції для розпорядників баз персональних даних із чітким визначенням категорій даних, потрібних для здійснення їхніх повноважень (у разі необхідності забезпечити доступом тільки до знеособлених даних);

— заборонити публічне оприлюднення персональних даних про результати зарахування до навчального закладу та оцінювання знань вихованців;

— закріпити в законах України положення, що згоду на обробку персональних даних дитини мають надавати її батьки разом із своєю згодою  на обробку їхніх персональних даних.

Джерела

1. Конституція України: Закон України від 28 червня 1996 р. // Офіційний вісник України. — 2010. — № 72/1.

2. Конвенція про захист осіб у зв'язку з автоматизованою обробкою персональних даних від 28 січня 1981 р. // Офіційний вісник України. — 2011. — № 1.

3. Сімейний кодекс України: Закон України від 10 січня 2002 р. // Відомості Верховної Ради України. — 2002. — № 21.

4. Цивільний кодекс України: Закон України від 16 січня 2001 р. // Відомості Верховної Ради України. — 2003 р. — № 40.

5. Про вищу освіту: Закон України від 17 січня 2002 р. // Відомості Верховної Ради України. — 2002. — № 20.

6. Про загальну середню освіту: Закон України від 13 травня 1999 р. // Відомості Верховної Ради України. — 1999. — № 28.

 7. Про захист персональних даних: Закон України від 1 червня 2010 р. // Голос України. — 2010. — № 172.

8. Про освіту: Закон України від 23 травня 1991 р. // Відомості Верховної Ради УРСР. — 1991. — № 34.

9. Про затвердження Інструкції з ведення ділової документації у загальноосвітніх навчальних закладах I—III ступенів: Наказ Міністерства освіти і науки України № 240 від 23.06.2000 р. // Інформаційний збірник Міністерства освіти і науки України.  2000. — № 17.

10. Про затвердження Інструкції про порядок
конкурсного приймання дітей (учнів, вихованців) до гімназій, ліцеїв, колегіумів, спеціалізованих шкіл (шкіл-інтернатів): Наказ Міністерства освіти і науки України від 19 червня 2003 р. № 389 // Офіційний вісник України. — 2003. — № 28.

 11. Про прийом дітей до 1 класу загальноосвітніх навчальних закладів: Наказ Міністерства освіти і науки України № 204 від 07 квітня 2005 р. // Офіційний вісник України. — 2005. — № 20.

 12. Про затвердження Умов прийому до вищих навчальних закладів України в 2012 році: Наказ Міністерства освіти і науки, молоді та спорту України від 12 жовтня 2011 р. № 1179 // Офіційний вісник України. — 2011. — № 83.

 13. О ochrane osobnych udajov: ZAKON № 428 z 3 jula 2002 [Електронний ресурс]. — http://www.zbierka.sk/
zz/predpisy/default.aspx?PredpisID=16630&FileName=02-z428&Rocnik=2002.

14. О vychove a vzdelavani (skolsky zakon) a o zmene a doplneni niektorych zakonov, z 22, maja 2008 [Електронний ресурс]. — http://www.ecav.sk/files/user/20080529_nrsr_
skolsky_zakon.pdf.

15. Presovska univerzita v presove fakulty humanitnych a prirodnych vied «Statut» [Електронний ресурс]. —http://www.ecav.sk/files/user/20080529_nrsr_skolsky_
zakon.pdf.

Автор: Михайло РІЗАК