Захист персональних даних неповнолітніх: відмінності між версіями

Матеріал з WikiLegalAid
м (усунуто недотримання офіційно - ділового стилю тексту праової консультації.)
Немає опису редагування
Мітка: редагування коду 2017
(Не показані 9 проміжних версій 5 користувачів)
Рядок 1: Рядок 1:
== Нормативна база ==
== Нормативна база ==
* [http://zakon5.rada.gov.ua/laws/show/2297-17 Закон України "Про захист персональних даних"]
* [http://zakon3.rada.gov.ua/laws/show/2145-19 Закон України "Про освіту"]
* [http://zakon5.rada.gov.ua/laws/show/651-14 Закон України "Про загальну середню освіту"]
* [http://zakon2.rada.gov.ua/laws/show/995_021 Конвенція ООН про права дитини 1989 р].
* [http://zakon5.rada.gov.ua/laws/show/254%D0%BA/96-%D0%B2%D1%80 Конституція України]
* [http://zakon5.rada.gov.ua/laws/show/254%D0%BA/96-%D0%B2%D1%80 Конституція України]
* [http://zakon2.rada.gov.ua/laws/show/z1902-12 Наказ МОН України від 05 листопада 2012 року № 1244 "Про затвердження Умов прийому до вищих навчальних закладів України у 2013 році"]
* [http://zakon2.rada.gov.ua/laws/show/995_021 Конвенція ООН про права дитини 1989 р]
* [http://zakon2.rada.gov.ua/laws/show/z0564-18 Наказ МОН України від 16 квітня 2018 року № 367 "Про затвердження Порядку зарахування, відрахування та переведення учнів до державних та комунальних закладів освіти для здобуття повної загальної середньої освіти"]
* [http://zakon5.rada.gov.ua/laws/show/752-2011-%D0%BF Постанова КМ України  від 13 липня 2011 № 752 "Про створення Єдиної державної електронної бази з питань освіти"]
* [http://zakon5.rada.gov.ua/laws/show/2947-14 Сімейний кодекс України]
* [http://zakon5.rada.gov.ua/laws/show/2947-14 Сімейний кодекс України]
* [http://zakon3.rada.gov.ua/laws/show/435-15 Цивільний кодекс України]
* [http://zakon3.rada.gov.ua/laws/show/435-15 Цивільний кодекс України]
*[https://zakon.rada.gov.ua/laws/show/2801-12 Основи законодавства України про охорону здоров"я]
* [http://zakon3.rada.gov.ua/laws/show/2145-19 Закон України "Про освіту"]
* [http://zakon5.rada.gov.ua/laws/show/2297-17 Закон України "Про захист персональних даних"]
* [https://zakon.rada.gov.ua/laws/show/463-20 Закон України "Про повну загальну середню освіту"]
* [http://zakon5.rada.gov.ua/laws/show/752-2011-%D0%BF Постанова Кабінету Міністрів України від 13 липня 2011 року № 752 "Про створення Єдиної державної електронної бази з питань освіти"]
* [http://zakon.rada.gov.ua/rada/show/v0423736-11 Наказ Міністерства освіти і науки, молоді та спорту України від 10 травня 2011 року № 423 "Про затвердження єдиних зразків обов’язкової ділової документації у загальноосвітніх навчальних закладах усіх типів і форм власності"]
* [http://zakon2.rada.gov.ua/laws/show/z1902-12 Наказ Міністерства освіти і науки, молоді та спорту України України від 05 листопада 2012 року № 1244 "Про затвердження Умов прийому до вищих навчальних закладів України у 2013 році"]
* [http://zakon2.rada.gov.ua/laws/show/z0564-18 Наказ Міністерства освіти і науки України від 16 квітня 2018 року № 367 "Про затвердження Порядку зарахування, відрахування та переведення учнів до державних та комунальних закладів освіти для здобуття повної загальної середньої освіти"]
* [https://zakon.rada.gov.ua/laws/show/984_008-16#Text Регламент Європейського Парламенту і Ради (ЄС)2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних)]
== Згода на обробку персональних даних ==
Згідно [http://zakon.rada.gov.ua/laws/show/2297-17 Закону України "Про захист персональних даних" (далі - Закон)] при зарахуванні дитини до школи необхідно отримати обов’язкову задокументовану згоду суб’єктів персональних даних ([http://zakon.rada.gov.ua/laws/show/2297-17 ст.2 Закону]). 


== Загальна характеристика поняття “персональні дані” ==
Відповідно до [http://zakon.rada.gov.ua/laws/show/2297-17 Закону] збирання відомостей про учнів та їхніх батьків, зберігання та використання цих відомостей є обробкою персональних даних, а учні та їхні батьки – суб’єктами персональних даних.
 
'''Персональні дані''' - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. [http://zakon5.rada.gov.ua/laws/show/2297-17 (ст.2 ЗУ “Про захист персональних даних”)]
 
'''Підставами для обробки персональних даних є: '''[http://zakon5.rada.gov.ua/laws/show/2297-17 (ст.11 ЗУ “Про захист персональних даних”)]
 
1) згода суб’єкта персональних даних на обробку його персональних даних;
 
2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
 
3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
 
4) захист життєво важливих інтересів суб’єкта персональних даних;
 
5) необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
 
6) необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.
 
'''Згода суб’єкта персональних даних''' - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб’єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки. [http://zakon5.rada.gov.ua/laws/show/2297-17 (ст.2 ЗУ “Про захист персональних даних”)]
 
== Суб’єкти та об’єкти відносин, які пов’язані з персональними даними ==
 
'''Суб'єктами відносин, пов'язаних із персональними даними, є: '''[http://zakon5.rada.gov.ua/laws/show/2297-17 (ст.4 ЗУ “Про захист персональних даних”)]
 
1.суб'єкт персональних даних;
 
2. володілець персональних даних;
 
3. розпорядник персональних даних;
 
4. третя особа;
 
5. Уповноважений Верховної Ради України з прав людини
 
'''Володільцем чи розпорядником персональних даних''' можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані відповідно до закону.
 
Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.
 
Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.
 
'''Суб'єкт персональних даних має право: '''[http://zakon5.rada.gov.ua/laws/show/2297-17 (ст.8 ЗУ “Про захист персональних даних”)]
 
1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
 
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3) на доступ до своїх персональних даних;
4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
 
6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
 
8) звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
 
9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
 
10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
 
11) відкликати згоду на обробку персональних даних;
 
12) знати механізм автоматичної обробки персональних даних;
13) на захист від автоматизованого рішення, яке має для нього правові наслідки.
 '''Об’єктами захисту є персональні дані '''[http://zakon5.rada.gov.ua/laws/show/2297-17 (ст.5 ЗУ “Про захист персональних даних”)]
 
Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.
 
== Основні вимоги до обробки персональних даних ==
 
'''Вимоги до обробки персональних даних : '''[http://zakon5.rada.gov.ua/laws/show/2297-17 (ст.6 ЗУ “Про захист персональних даних”)]
 
* '''Загальні вимоги до обробки персональних даних'''
 
1.Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.
 
2. Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки.
 
3. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.
 
4. Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.
 
5. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
 
6. Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
 
7. Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.
 
8. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися.
 
9. Типовий порядок обробки персональних даних затверджується Уповноваженим.
 
* '''Особливі вимоги до обробки персональних даних '''[http://zakon5.rada.gov.ua/laws/show/2297-17 (ст.7 ЗУ “Про захист персональних даних”)]
 
1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних.
 
2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних:
 
1) здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних;
 
2) необхідна для здійснення прав та виконання обов'язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту;
 
3) необхідна для захисту життєво важливих інтересів суб'єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб'єкта персональних даних;
 
4) здійснюється із забезпеченням відповідного захисту релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних;
 
5) необхідна для обґрунтування, задоволення або захисту правової вимоги;
 
6) необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг, функціонування електронної системи охорони здоров’я за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я чи фізичною особою - підприємцем, яка одержала ліцензію на провадження господарської діяльності з медичної практики, та її працівниками, на яких покладено обов’язки щодо забезпечення захисту персональних даних та на яких поширюється дія законодавства про лікарську таємницю, працівниками центрального органу виконавчої влади, що реалізує державну політику у сфері державних фінансових гарантій медичного обслуговування населення, на яких покладено обов’язки щодо забезпечення захисту персональних даних;
 
7) стосується вироків суду, виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом та здійснюється державним органом в межах його повноважень, визначених законом;
 
8) стосується даних, які були явно оприлюднені суб'єктом персональних даних.
 
== Захист персональних даних неповнолітніх ==
 
Оскільки діти шкільного віку є особами вразливої категорії, так як вони є неповнолітніми, питання законодавчого регулювання щодо захисту їх персональних даних є найдвичайно важливим.
 
Відповідно до [http://zakon2.rada.gov.ua/laws/show/254%D0%BA/96-%D0%B2%D1%80 ст. 3 Конституції України] “Людина, її життя і здоров'я, честь і гідність, недоторканність і безпека визнаються в Україні найвищою соціальною цінністю”. [http://zakon2.rada.gov.ua/laws/show/254%D0%BA/96-%D0%B2%D1%80 Ст. 32 Конституції України] проголошує право людини на невтручання в її особисте життя. Крім того, не допускається збирання, зберігання, використання поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
 
Відповідно до [http://zakon2.rada.gov.ua/laws/show/254%D0%BA/96-%D0%B2%D1%80 ст. 32 Конституції України], інформація про особисте та сімейне життя особи (персональні дані про неї) - це будь-які відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, а саме: національність, освіта, сімейний стан, релігійні переконання, стан здоров’я, матеріальний стан, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім’ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи, за винятком даних стосовно виконання повноважень особою, яка займає посаду, пов’язану зі здійсненням функцій держави або органів місцевого самоврядування.
 
Конвенція ООН про права дитини 1989 р. – роз’яснює, що під поняттям “дитина” розуміється неповнолітній у віці до 18 років.
 
Згідно зі [http://zakon3.rada.gov.ua/laws/show/2947-14 ст.6 Сімейного кодексу України] '''правовий статус дитини''' має особа до досягнення нею повноліття; малолітньою вважається дитина до досягнення нею чотирнадцяти років, а неповнолітньою — у віці від чотирнадцяти до вісімнадцяти років.
 
[http://zakon2.rada.gov.ua/laws/show/435-15 Ст.ст. 30, 31 та 32 Цивільного кодексу України], які регламентують питання цивільної дієздатності, містять вичерпний перелік правочинів, які може вчиняти дитина, a [http://zakon2.rada.gov.ua/laws/show/435-15 частина 2 статті 32] закріплює, що ця неповнолітня особа може вчиняти інші правочини лише за згодою батьків (усиновлювачів) або піклувальників.
Сімейним та Цивільним кодексами України передбачено, '''що батьки мають право захищати інтереси дітей, як їхні законні представники, без спеціальних на те повноважень.''' Отже, батьки мають право надати згоду на обробку персональних даних своєї дитини, а також власних персональних даних.
 
Тож відповідно до [http://zakon2.rada.gov.ua/laws/show/435-15 ч.3 ст.150 Сімейного кодексу України], яка '''зобов'язує батьків''' "забезпечити здобуття дитиною повної загальної середньої освіти, готувати її до самостійного життя" та [http://zakon2.rada.gov.ua/laws/show/651-14 ст. 29 Закону "Про загальну середню освіту"], яка закріплює обов'язок батьків захищати законні інтереси дітей та забезпечувати умови для здобуття дитиною повної загальної середньої освіти за будь-якою формою навчання, можна дійти висновку, що саме батьки відповідальні за реалізацію права на безпеку обігу персональних даних їхніх дітей.
 
Відповідно до [http://zakon2.rada.gov.ua/laws/show/254%D0%BA/96-%D0%B2%D1%80 ст. 53 Конституції України] кожен має право на освіту, а "повна загальна середня освіта є обов'язковою". Так, у ст. 18 Закону України "Про загальну середню освіту" сказано: "Зарахування учнів до загальноосвітнього навчального закладу проводиться наказом директора, що видається на підставі заяви, за наявності медичної довідки встановленого зразка і відповідного документа про освіту (крім учнів першого класу)".
 
[http://zakon3.rada.gov.ua/laws/show/752-2011-%D0%BF Положення про Єдину державну електронну базу з питань освіти, затверджене постановою Кабінету Міністрів України від 13.07.2011 № 752], визначає, що Єдина державна електронна база з питань освіти є джерелом даних, що використовуються, зокрема, під час виготовлення документів про освіту державного зразка, вчені звання та наукові ступені, ліцензій на надання освітніх послуг та сертифікатів про акредитацію, учнівських (студентських) квитків. До Єдиної бази вносяться відомості, що містяться у базах даних, реєстрах, а також підготовлені у паперовій та електронній формі дані, що використовувалися у сфері освіти до створення Єдиної бази. У разі збирання персональних даних про фізичних осіб - учасників освітнього процесу забезпечується отримання їх згоди на обробку відповідних даних в Єдиній базі.
 
Відмова особи надати згоду на обробку її персональних даних у Єдиній базі та ІВС "ОСВІТА" унеможливлює обробку таких даних у зазначених базах, зокрема, виготовлення документів про освіту так як, [http://zakon5.rada.gov.ua/laws/show/2297-17 ч.6,7 ст. 6 Закону України "Про захист персональних даних"] встановлено заборону на обробку персональних даних про фізичну особу без її згоди.
Згідно [http://zakon5.rada.gov.ua/laws/show/2297-17 ст. 8 Закону України "Про захист персональних даних"] суб'єкт персональних даних має право пред'являти  вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким власником і розпорядником цієї бази, якщо ці дані обробляються незаконно або є недостовірними.
 
Так, в Україні у свідоцтві мають бути на дітей такі '''персональні дані:''' прізвище, ім'я та по батькові батьків і їхнє громадянство, ПІБ дитини, дата та місце народження, дата та місце реєстрації факту народження дитини. З огляду на це можна дійти висновку, що особова справа дитини містить значну кількість персональних даних, тому її суб'єкт підпадає під захист Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та [http://zakon5.rada.gov.ua/laws/show/2297-17 Закону України "Про захист персональних даних"].  


Тож батьки або особи, які їх замінюють, мають подавати не лише заяву на ім'я директора загальноосвітнього навчального закладу, копію свідоцтва про народження дитини, медичну картку встановленого зразка, документа про освіту (крім учнів першого класу), а й згідно зі [http://zakon5.rada.gov.ua/laws/show/2297-17 ст. 11 Закону України "Про захист персональних даних"] —  письмовий дозвіл на обробку їхніх персональних даних та даних дитини. Крім цього, виходячи з [http://zakon5.rada.gov.ua/laws/show/2297-17 ч.2 ст. 6 Закону "Про захист персональних даних"], "персональні дані мають бути точними, достовірними, в разі необхідності — оновлюватися", що накладає на батьків і власника бази даних (навчальний заклад) забезпечувати оновлення цієї бази достовірною інформацією.
[http://zakon2.rada.gov.ua/laws/show/995_021 Конвенція ООН про права дитини 1989 р.] – роз’яснює, що під поняттям '''"дитина"''' розуміється неповнолітній у віці до 18 років.


Докладніше варто проаналізувати [http://zakon2.rada.gov.ua/laws/show/z0564-18/print1516971652250160 Наказ МОН України від 16 квітня 2018 року № 367 "Про затвердження Порядку зарахування, відрахування та переведення учнів до державних та комунальних закладів освіти для здобуття повної загальної середньої освіти"], який установлює додаткові вимоги до вступу дітей у навчальні заклади. З огляду на те, що ці відомості повинні підтверджуватися документально, адміністрація здійснюватиме обробку ще більшого масиву персональних даних, ніж звичайна загальноосвітня школа. Слід розуміти, що табелі успішності, свідоцтва про освіту та інші персональні відомості про успішність особи, а також особові картки підлягають захисту. Тут варто наголосити, що згідно зі [http://zakon5.rada.gov.ua/laws/show/2297-17 ст.ст.10,11 Закону "Про захист персональних даних"] власникові бази персональних даних забороняється розголошувати відомості стосовно суб'єктів цих даних без надання відповідної згоди на таке використання.  
Оскільки суб’єктами персональних даних є неповнолітні особи, то згідно норм [http://zakon.rada.gov.ua/laws/show/2947-14 Сімейного] та [http://zakon.rada.gov.ua/laws/show/435-15 Цивільного] кодексів України, згоду на обробку персональних даних дитини мають надати батьки або особи, які їх замінюють. Також батьки повинні подати згоду на обробку власних персональних даних. Це також означає, що '''заяву про зарахування дитини до школи можуть подати тільки батьки або особи, які їх замінюють. Ніякі інші члени родини, близькі та далекі родичі цього зробити не мають права.'''
{| class="wikitable"
|-
| '''Із настанням повноліття особа надає таку згоду самостійно, й батьки вже не мають права визначати межі обігу персональних даних їхніх дітей.'''
|}
'''Метою обробки''' персональних даних дитини, яка вступає до школи, є забезпечення її права на здобуття повної загальної середньої освіти у загальноосвітніх навчальних закладах.


Прогресивним у питанні захисту персональних даних є Наказ МОН України від 05 листопада 2012 року № 1244 "Про затвердження Умов прийому до вищих навчальних закладів України у 2013 році", в якому чітко передбачено, що заява про участь у конкурсному відборі до вищого навчального закладу обробляється відповідно до вимог [http://zakon5.rada.gov.ua/laws/show/2297-17 Закону України "Про захист персональних даних"]. Водночас  до заяви, поданої у паперовій формі, вступник, зокрема, додає:
'''Обсяг персональних даних''' визначається документами, які є обов’язковими для ведення у школах різних типів і форм власності.


— документ державного зразка про раніше здобутий освітній (освітньо-кваліфікаційний) рівень, на основі якого здійснюється вступ, і додаток до нього;
'''Документами, в які вносяться персональні дані дитини та її батьків є:'''
* особова справа учня;
* алфавітна книга;
* класний журнал;
* журнал ГПД;
* бланк протоколу державної підсумкової атестації учнів;
* табель навчальних досягнень;
* книги видачі свідоцтв про базову і атестатів про повну загальну середню освіту.
При занесені персональних даних до вказаних документів школа стає володільцем бази таких даних.


— сертифікат (сертифікати) зовнішнього незалежного оцінювання (для вступників на основі повної загальної середньої освіти);
Форми документів затверджені [http://zakon.rada.gov.ua/rada/show/v0423736-11 наказом Міністерства освіти і науки,молоді та спорту України від 10 травня 2011 року №423 "Про затвердження єдиних зразків обов’язкової ділової документації у загальноосвітніх навчальних закладах усіх типів і форм власності".]
{| class="wikitable"
|-
| Таким чином, отримання від фізичної особи (батьків або осіб, які їх замінюють) письмової згоди на обробку її персональних даних (даних дітей) в процесі збору та внесення відомостей про неї до бази персональних даних навчального закладу '''не вимагається''', оскільки дозвіл на обробку її персональних даних наданий володільцю бази персональних даних (навчальному закладу) [http://zakon.rada.gov.ua/laws/show/2297-17 Законом]. Використання персональних даних, що виходить за межі дозволу, наданого навчальному закладу відповідно до [http://zakon.rada.gov.ua/laws/show/2297-17 Закону], повинно здійснюватися за згодою суб’єктів персональних даних і має бути засвідчена підписом батьків.
|}
== Внесення даних до Інформаційної системи управління освітою ==
У зв’язку із запровадженням Інформаційної системи управління освітою – ІСУО ([http://zakon.rada.gov.ua/laws/show/752-2011-%D0%BF постанова Кабінету Міністрів України від 13 липня 2011 року № 752 "Про створення Єдиної державної електронної бази з питань освіти"]) <u>батьки або особи, які їх замінюють, повинні бути ознайомлені з правами щодо місцезнаходження та використання електронної бази персональних даних їхньої дитини.</u>


— медичну довідку за формою 086-о або її копію.
'''Навчальний заклад не має права''' без попередження батьків або осіб, які їх замінюють, заносити дані про дітей до єдиної електронної бази, надавати будь-яку інформацію про дітей з цієї бази іншим особам або організаціям, крім випадків передбачених законодавством.  
До змісту поняття «заява» не входить значний масив документів із персональними даними вступника, а отже, ці відомості підпадають під захист профільного закону, що, по суті, є прогалиною в законодавстві.
"Згода на обробку персональних даних дитини''' повинна надаватись її батьками разом зі згодою батьків на обробку їхніх персональних даних. Із настанням повноліття особа надає таку згоду самостійно, й батьки вже не мають права визначати межі обігу персональних даних їхніх дітей.


Згідно ч. 3 ст. 10 [http://zakon5.rada.gov.ua/laws/show/2297-17 Закону України «Про захист персональних даних»]  використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.
'''Загальноосвітній навчальний заклад має право збирати такі персональні дані:'''
* прізвище, ім’я, по батькові дитини;
* дата народження;
* стать;
* прізвище, ім’я та по батькові батька і матері (опікунів), їх місцероботи, номер контактного телефону;
* домашня адреса, номер телефону;
* місце виховання дитини до вступу в перший клас;
* зайнятість в гуртках і секціях; місце і графік проведення занять;
* стан здоров’я, медична група.
{| class="wikitable"
|-
|
'''Відмова особи надати згоду на обробку її персональних даних''' у Єдиній базі та ІВС "ОСВІТА" '''унеможливлює обробку таких даних у зазначених базах, зокрема, виготовлення документів про освіту''' так як, [http://zakon5.rada.gov.ua/laws/show/2297-17 частинами шостою і сьомою ст. 6 Закону] встановлено заборону на обробку персональних даних про фізичну особу без її згоди.
|}
Крім цього, виходячи з [http://zakon5.rada.gov.ua/laws/show/2297-17 частини другої ст. 6 Закону] , персональні дані мають бути точними, достовірними, в разі необхідності — оновлюватися, що накладає на батьків і власника бази даних (навчальний заклад) обов'язок забезпечувати оновлення цієї бази достовірною інформацією.
== Використання відомостей про пацієнта, що містяться в електронній системі охорони здоров"я ==
Відповідно до частини першої ст.3 [https://zakon.rada.gov.ua/laws/show/2801-12 Основ законодавства України про охорону здоров"я] електронна система охорони здоров’я - інформаційно-комунікаційна система, що забезпечує автоматизацію ведення обліку медичних послуг та управління інформацією про охорону здоров’я, у тому числі медичною інформацією, шляхом створення, розміщення, оприлюднення та обміну інформацією, даними і документами в електронному вигляді, до складу якої входять центральна база даних та електронні медичні інформаційні системи, між якими забезпечено автоматичний обмін інформацією, даними та документами через відкритий програмний інтерфейс (API).


Для гарантування безпеки обігу (недоторканності) персональних даних у навчальному процесі необхідно максимально зменшити доступ до цієї інформації третіх осіб, які не мають повноважень щодо їх обробки. Слід звернути увагу на те, що навчальний заклад для перевірки якості знань вихованців здійснює контроль шляхом оцінювання, результати якого є персональними даними особи й також підлягають захисту. Водночас у переважній більшості закладів такі результати оприлюднюють без відповідного дозволу суб'єкта цих даних (шляхом розміщення результатів на дошці оголошень, усного оприлюднення у групі чи класі), що є грубим порушенням законодавства у сфері захисту обігу персональних даних. Більше того, відсутність відповідних роз'яснень призводить до того, що робота над помилками має ідентифікуючий характер, й особа, помилки якої аналізують, може стати об'єктом знущань і насмішок. Є ризик, що в майбутньому це неодмінно стане предметом судових позовів щодо завдання моральних збитків через неправомірне використання персональних даних особи.
Медична інформація - інформація про медичне обслуговування особи або його результати, викладена в уніфікованій формі відповідно до вимог, встановлених законодавством, у тому числі інформація про стан здоров’я, діагнози та будь-які документи, що стосуються здоров’я та обмеження повсякденного функціонування/ життєдіяльності людини.


Нажаль, на даний час захист персональних даних неповнолітніх осіб на законодавчому рівні в Україні чітко не врегульований.
Пацієнт - фізична особа, яка звернулася за медичною та/або реабілітаційною допомогою або медичною послугою та/або якій така допомога або послуга надається.


Згідно з ст.24-2 [https://zakon.rada.gov.ua/laws/show/2801-12 Основ законодавства України про охорону здоров"я] доступ до відомостей про пацієнта, що містяться в електронній системі охорони здоров’я, можливий лише у разі отримання згоди такого пацієнта ('''його законного представника''') у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. Без згоди доступ до відомостей про пацієнта можливий лише:


Виходячи з наведеної аргументації, проаналізувавши профільне  законодавство України, а також європейський досвід регулювання відносин у сфері обігу персональних даних, '''можна зробити такі висновки:'''
за наявності ознак прямої загрози життю пацієнта;


— масив персональних даних, які формуються у процесі навчання й потребують захисту згідно із законодавством України, містить майже весь спектр персональних даних особи, зокрема, найбільш конфіденційних;
у разі неможливості отримання згоди такого пацієнта чи його законного представника (до часу, коли отримання згоди стане можливим);


—  забезпечити легітимність обігу персональних даних у процесі навчання можна шляхом запровадження обов'язкової письмової згоди на їхню обробку;
за рішенням суду.
== Використання персональних даних неповнолітніх ==
Згідно з частиною третьою ст. 10 [http://zakon5.rada.gov.ua/laws/show/2297-17 Закону]  використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.


Для гарантування безпеки обігу персональних даних у процесі навчання потрібно:
Для гарантування безпеки обігу (недоторканності) персональних даних у навчальному процесі необхідно максимально зменшити доступ до цієї інформації третіх осіб, які не мають повноважень щодо їх обробки.


— здійснити автоматизацію баз персональних даних;
Слід звернути увагу на те, що навчальний заклад для перевірки якості знань вихованців здійснює контроль шляхом оцінювання, результати якого є персональними даними особи й також підлягають захисту.


— забезпечити збір персональних даних, необхідних для особистого контакту суб'єкта, розпорядника й власника баз даних (у разі якщо суб'єкт неповнолітній і не має повної правоздатності, забезпечити доступ до персональних даних його представника);
Водночас у переважній більшості закладів такі результати оприлюднюють без відповідного дозволу суб'єкта цих даних (шляхом розміщення результатів на дошці оголошень, усного оприлюднення у групі чи класі), що є грубим порушенням законодавства у сфері захисту обігу персональних даних. Більше того, відсутність відповідних роз'яснень призводить до того, що робота над помилками має ідентифікуючий характер, й особа, помилки якої аналізують, може стати об'єктом знущань і насмішок.
== Європейське законодавство ==
У контексті захисту даних дитини варто звернути увагу на норми [https://zakon.rada.gov.ua/laws/show/984_008-16#Text Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) (далі — GDPR/Регламент)], який встановлює жорсткі вимоги щодо обробки даних дітей, що не досягли 16 років.


— розробити посадові інструкції для розпорядників баз персональних даних із чітким визначенням категорій даних, потрібних для здійснення їхніх повноважень (у разі необхідності забезпечити доступом тільки до знеособлених даних);
У вступній частині GDPR визначено, що «діти потребують особливого захисту в питанні персональних даних, оскільки вони можуть бути менш обізнаними про відповідні ризики, наслідки та гарантії, а також про свої права щодо опрацювання персональних даних. Такий особливий захист повинен, зокрема, застосовуватися до використання персональних даних дітей для цілей маркетингу або створення профілів особистості чи користувача та збирання персональних даних щодо дітей під час користування послугами, що пропонують безпосередньо дитині» [https://zakon.rada.gov.ua/laws/show/984_008-16#Text (пункт 38)].


— заборонити публічне оприлюднення персональних даних про результати зарахування до навчального закладу та оцінювання знань вихованців;
Окрім того, у Регламенті зазначено, що діти є вразливою категорією відносно тих ризиків, які можуть наставати унаслідок обробки персональних даних: збору, зберігання, використання, поширення тощо [https://zakon.rada.gov.ua/laws/show/984_008-16#Text (пункт 75)].


— закріпити в законах України положення, що згоду на обробку персональних даних дитини мають надавати її батьки разом із своєю згодою  на обробку їхніх персональних даних.
В епоху розвитку цифрових технологій збір інформації про дитину може відбуватися не тільки під час особистої комунікації, але й в Інтернеті. Тому в новому законодавстві ЄС передбачені додаткові гарантії безпеки дитини в мережі. У статті 8 GDPR визначена вимога отримання згоди батьків, якщо дитині надається послуга в режимі онлайн.  


Норми GDPR можуть бути застосовані не тільки до суб’єктів, що перебувають на території ЄС, як це було раніше, відповідно до вимог Директиви 95/46/ЄС, але й до тих суб’єктів, що перебувають в інших країнах світу [https://zakon.rada.gov.ua/laws/show/984_008-16#Text ( стаття 3 Регламенту)] . Також важливо зазначити, що на території ЄС автоматично кожен має право на захист своїх даних по GDPR незалежно від громадянства.
== Див. також ==
* [[Захист персональних даних]]
* [[Зарахування учнів до закладів освіти для здобуття повної загальної середньої освіти та їх відрахування]]
* [[Протидія булінгу в дитячому середовищі]]
[[Категорія:Цивільне право]]
[[Категорія:Цивільне право]]
[[Категорія:Інші питання цивільного права]]
[[Категорія:Інші питання цивільного права]]
[[Категорія:Особисті немайнові права фізичної особи]]
[[Категорія:Особисті немайнові права фізичної особи]]
[[Категорія:Територіальні органи]]
[[Категорія:Право на освіту]]

Версія за 10:52, 14 лютого 2023

Нормативна база

Згода на обробку персональних даних

Згідно Закону України "Про захист персональних даних" (далі - Закон) при зарахуванні дитини до школи необхідно отримати обов’язкову задокументовану згоду суб’єктів персональних даних (ст.2 Закону).

Відповідно до Закону збирання відомостей про учнів та їхніх батьків, зберігання та використання цих відомостей є обробкою персональних даних, а учні та їхні батьки – суб’єктами персональних даних.

Конвенція ООН про права дитини 1989 р. – роз’яснює, що під поняттям "дитина" розуміється неповнолітній у віці до 18 років.

Оскільки суб’єктами персональних даних є неповнолітні особи, то згідно норм Сімейного та Цивільного кодексів України, згоду на обробку персональних даних дитини мають надати батьки або особи, які їх замінюють. Також батьки повинні подати згоду на обробку власних персональних даних. Це також означає, що заяву про зарахування дитини до школи можуть подати тільки батьки або особи, які їх замінюють. Ніякі інші члени родини, близькі та далекі родичі цього зробити не мають права.

Із настанням повноліття особа надає таку згоду самостійно, й батьки вже не мають права визначати межі обігу персональних даних їхніх дітей.

Метою обробки персональних даних дитини, яка вступає до школи, є забезпечення її права на здобуття повної загальної середньої освіти у загальноосвітніх навчальних закладах.

Обсяг персональних даних визначається документами, які є обов’язковими для ведення у школах різних типів і форм власності.

Документами, в які вносяться персональні дані дитини та її батьків є:

  • особова справа учня;
  • алфавітна книга;
  • класний журнал;
  • журнал ГПД;
  • бланк протоколу державної підсумкової атестації учнів;
  • табель навчальних досягнень;
  • книги видачі свідоцтв про базову і атестатів про повну загальну середню освіту.

При занесені персональних даних до вказаних документів школа стає володільцем бази таких даних.

Форми документів затверджені наказом Міністерства освіти і науки,молоді та спорту України від 10 травня 2011 року №423 "Про затвердження єдиних зразків обов’язкової ділової документації у загальноосвітніх навчальних закладах усіх типів і форм власності".

Таким чином, отримання від фізичної особи (батьків або осіб, які їх замінюють) письмової згоди на обробку її персональних даних (даних дітей) в процесі збору та внесення відомостей про неї до бази персональних даних навчального закладу не вимагається, оскільки дозвіл на обробку її персональних даних наданий володільцю бази персональних даних (навчальному закладу) Законом. Використання персональних даних, що виходить за межі дозволу, наданого навчальному закладу відповідно до Закону, повинно здійснюватися за згодою суб’єктів персональних даних і має бути засвідчена підписом батьків.

Внесення даних до Інформаційної системи управління освітою

У зв’язку із запровадженням Інформаційної системи управління освітою – ІСУО (постанова Кабінету Міністрів України від 13 липня 2011 року № 752 "Про створення Єдиної державної електронної бази з питань освіти") батьки або особи, які їх замінюють, повинні бути ознайомлені з правами щодо місцезнаходження та використання електронної бази персональних даних їхньої дитини.

Навчальний заклад не має права без попередження батьків або осіб, які їх замінюють, заносити дані про дітей до єдиної електронної бази, надавати будь-яку інформацію про дітей з цієї бази іншим особам або організаціям, крім випадків передбачених законодавством.

Загальноосвітній навчальний заклад має право збирати такі персональні дані:

  • прізвище, ім’я, по батькові дитини;
  • дата народження;
  • стать;
  • прізвище, ім’я та по батькові батька і матері (опікунів), їх місцероботи, номер контактного телефону;
  • домашня адреса, номер телефону;
  • місце виховання дитини до вступу в перший клас;
  • зайнятість в гуртках і секціях; місце і графік проведення занять;
  • стан здоров’я, медична група.

Відмова особи надати згоду на обробку її персональних даних у Єдиній базі та ІВС "ОСВІТА" унеможливлює обробку таких даних у зазначених базах, зокрема, виготовлення документів про освіту так як, частинами шостою і сьомою ст. 6 Закону встановлено заборону на обробку персональних даних про фізичну особу без її згоди.

Крім цього, виходячи з частини другої ст. 6 Закону , персональні дані мають бути точними, достовірними, в разі необхідності — оновлюватися, що накладає на батьків і власника бази даних (навчальний заклад) обов'язок забезпечувати оновлення цієї бази достовірною інформацією.

Використання відомостей про пацієнта, що містяться в електронній системі охорони здоров"я

Відповідно до частини першої ст.3 Основ законодавства України про охорону здоров"я електронна система охорони здоров’я - інформаційно-комунікаційна система, що забезпечує автоматизацію ведення обліку медичних послуг та управління інформацією про охорону здоров’я, у тому числі медичною інформацією, шляхом створення, розміщення, оприлюднення та обміну інформацією, даними і документами в електронному вигляді, до складу якої входять центральна база даних та електронні медичні інформаційні системи, між якими забезпечено автоматичний обмін інформацією, даними та документами через відкритий програмний інтерфейс (API).

Медична інформація - інформація про медичне обслуговування особи або його результати, викладена в уніфікованій формі відповідно до вимог, встановлених законодавством, у тому числі інформація про стан здоров’я, діагнози та будь-які документи, що стосуються здоров’я та обмеження повсякденного функціонування/ життєдіяльності людини.

Пацієнт - фізична особа, яка звернулася за медичною та/або реабілітаційною допомогою або медичною послугою та/або якій така допомога або послуга надається.

Згідно з ст.24-2 Основ законодавства України про охорону здоров"я доступ до відомостей про пацієнта, що містяться в електронній системі охорони здоров’я, можливий лише у разі отримання згоди такого пацієнта (його законного представника) у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. Без згоди доступ до відомостей про пацієнта можливий лише:

за наявності ознак прямої загрози життю пацієнта;

у разі неможливості отримання згоди такого пацієнта чи його законного представника (до часу, коли отримання згоди стане можливим);

за рішенням суду.

Використання персональних даних неповнолітніх

Згідно з частиною третьою ст. 10 Закону  використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.

Для гарантування безпеки обігу (недоторканності) персональних даних у навчальному процесі необхідно максимально зменшити доступ до цієї інформації третіх осіб, які не мають повноважень щодо їх обробки.

Слід звернути увагу на те, що навчальний заклад для перевірки якості знань вихованців здійснює контроль шляхом оцінювання, результати якого є персональними даними особи й також підлягають захисту.

Водночас у переважній більшості закладів такі результати оприлюднюють без відповідного дозволу суб'єкта цих даних (шляхом розміщення результатів на дошці оголошень, усного оприлюднення у групі чи класі), що є грубим порушенням законодавства у сфері захисту обігу персональних даних. Більше того, відсутність відповідних роз'яснень призводить до того, що робота над помилками має ідентифікуючий характер, й особа, помилки якої аналізують, може стати об'єктом знущань і насмішок.

Європейське законодавство

У контексті захисту даних дитини варто звернути увагу на норми Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) (далі — GDPR/Регламент), який встановлює жорсткі вимоги щодо обробки даних дітей, що не досягли 16 років.

У вступній частині GDPR визначено, що «діти потребують особливого захисту в питанні персональних даних, оскільки вони можуть бути менш обізнаними про відповідні ризики, наслідки та гарантії, а також про свої права щодо опрацювання персональних даних. Такий особливий захист повинен, зокрема, застосовуватися до використання персональних даних дітей для цілей маркетингу або створення профілів особистості чи користувача та збирання персональних даних щодо дітей під час користування послугами, що пропонують безпосередньо дитині» (пункт 38).

Окрім того, у Регламенті зазначено, що діти є вразливою категорією відносно тих ризиків, які можуть наставати унаслідок обробки персональних даних: збору, зберігання, використання, поширення тощо (пункт 75).

В епоху розвитку цифрових технологій збір інформації про дитину може відбуватися не тільки під час особистої комунікації, але й в Інтернеті. Тому в новому законодавстві ЄС передбачені додаткові гарантії безпеки дитини в мережі. У статті 8 GDPR визначена вимога отримання згоди батьків, якщо дитині надається послуга в режимі онлайн.

Норми GDPR можуть бути застосовані не тільки до суб’єктів, що перебувають на території ЄС, як це було раніше, відповідно до вимог Директиви 95/46/ЄС, але й до тих суб’єктів, що перебувають в інших країнах світу ( стаття 3 Регламенту) . Також важливо зазначити, що на території ЄС автоматично кожен має право на захист своїх даних по GDPR незалежно від громадянства.

Див. також