Защита персональных данных в образовательных проектах

Понятно, что в рамках данной статьи невозможно учесть все аспекты ведения образовательного проекта, поэтому предлагаем сосредоточить свое внимание на защите персональных данных соискателей образовательной услуги, ведь учитывая трансграничность деятельности он-лайн провайдеров образовательных услуг вопросы защиты персональных данных должно учитывать не только отечественное, но и международное законодательство. 25 мая 2018 в полном объеме получила в силу новая Директива Европейского союза о защите персональных данных - GDPR (General Data Protection Regulation / Генеральный регламент по защите данных) 95/46 / ЕС, отличается беспрецедентными штрафными санкциями за нарушение требований закона, а также предоставляет влияние на международную деятельность организаций, в том числе распространяется и на поставщиков образовательных услуг.

Безусловно, ситуация обработки Украинская провайдерами онлайн курсов персональных данных слушателей с ЕС возможна, а в условиях мирового локдауну - неизбежна. Именно поэтому, украинский провайдер образовательных услуг должен сосредоточиться не только на локальном законодательстве по обработке персональных данных, но и на положениях международного законодательства. Частой является ситуация, когда соискатель образовательной услуги (к примеру, соискатель средней образования) постоянно проживает на территории ЕС, однако получает полную среднее образование в Украине дистанционно. В этих условиях школа, предоставляет услуги соискателям образования за пределами Украины должна соблюдать положения Директивы Европейского союза о защите персональных данных - GDPR (General Data Protection Regulation / Генеральный регламент по защите данных) 95/46 / ЕС, хотя школа и может быть зарегистрирована и фактически находиться в Украине.

Таким образом, условно разделим правовое регулирование вопроса защиты персональных данных о соискателей образования в Украине и за рубежом.

По отечественного регулирования:

Не секрет, что в процессе получения образовательной услуги в ее поставщика возникает доступ к персональным данным соискателя образования. В случае, если образовательные услуги предоставляются на территории Украины исключительно гражданам Украины, то защита их персональных данных осуществляется по законодательству Украины. законом Украины «О защите персональных данных» урегулированы вопросы определения персональных данных и рядом законов, регулирующих образовательную сферу. Положениями Закона Украины «О защите персональных данных »указано, что при зачислении ребенка в образовательное учреждение является обязательным получения документированной согласия на обработку персональных данных. Согласно вышеуказанного Закона сбора сведений об учениках и их родителей, хранения и использования этих сведений является обработкой персональных данных, а ученики и их родители - субъектами персональных данных. с Учитывая тот факт, что субъектом персональных данных является несовершеннолетние лица (берем ситуацию со школами и детскими садами), то согласно нормам действующего гражданского законодательства соответствующее согласие на обработку персональных данных ребенка должны предоставить родители или лица, их заменяющие. Также родители должны подать согласие на обработку своих персональных данных. это также означает, что заявление о зачислении ребенка в школу могут подать только родители или лица, их заменяющие.

Формы документов, в том числе, заявлений-согласий на обработку персональных данных, утвержденные приказом Министерства образования и науки, молодежи и спорта Украины от 10 мая 2011 №423 «О утверждение единых образцов обязательной деловой документации в общеобразовательных учебных заведениях всех типов и форм собственности ». Именно поэтому, при заключении договора о предоставлении образовательных услуг согласие на обработку персональных данных должна предоставляться и должным образом храниться образовательным учреждением.

В Украине полномочия по контролю за соблюдением законодательства о защите персональных данных возложена на Уполномоченного Верховной Рады Украины по правам человека, который руководствуется исключительно Законом Украины «О защите персональных данных». Впрочем, не следует забывать, что в нашей стране также ратифицирована Конвенция о защите лиц в связи с автоматизированной обработкой персональных данных №108. Ни директива 95/46 / ЕС, ни собственно GDPR для Украинский образовательных проектов, работающих только на украинском рынок, указанные положения влияния не имеют.

По международному регулированию:

Украинские компании, конечно же, интересует тот случай, когда требования по соблюдению GDPR распространяется за пределами ЕС, Великобритании, Норвегии, Исландии и Лихтенштейна, а именно:

• на контролеров персональных данных (data controllers or administrators) и операторов персональных данных (data processors), продают товары и / или предоставляют услуги (в т.ч. бесплатно) субъектам персональных данных ЕС, Норвегии, Исландии и Лихтенштейна и / или осуществляют мониторинг персональных данных таких субъектов;
• на организации, имеющие в ЕС «учреждения» (establishment) где персональные данные обрабатываются «в контексте деятельности» такой учреждения, то есть независимо от того, на территории ЕС, Норвегии, Исландии и Лихтенштейна или нет фактически происходит обработка данных.

К однозначным признаков, по которым положение GDPR могут применяются, принадлежат следующие:

• на территории ЕС офис, представительство или филиал;
• один из языков, на котором написан сайт, является государственным в одной из стран ЕС. Сейчас идет речь не об английском, которая признана международным языком, а о таких языки ЕС, как итальянский, испанский, голландский, шведский и так далее. То есть, только наличие языковой признаки не дает достаточно оснований считать, что образовательные услуги предоставляются гражданам ЕС, но в комплексе с этому признаку можно сделать вывод, что правила по защите персональных данных, указанных в директиве распространяться на отечественную компанию также;
• обратная связь с технической поддержкой проекта осуществляет обслуживание на языке одной из стран Европейского союза;
• является наличие сервисных центров на территории Европы;
• услуги компании (или образовательного проекта) рекламируются в Европе;
• осуществляется мониторинг действий пользователей, например, в мобильном приложении. Вышеуказанные пункты однозначно указывают на то, что «центром бизнес-интереса» для провайдера образовательной услуги является рынок ЕС, как и соискателями такой услуги есть слушатели из стран, где работают положение GDPR.

Также возможны косвенные признаки, к ним относятся:

— работа с юридическими лицами с ЕС, передают персональные данные европейцев и требуют соблюдения GDPR (кстати, такая ситуация достаточно часто случается). К примеру, это ситуация, когда провайдер образовательных услуг использует в своей деятельности сервер, который находится на территории Германии, то украинский провайдер образовательной услуг все равно подпадает под действие GDPR. Косвенные признаки в каждом конкретном случае необходимо анализировать, а предусмотреть полный перечень невозможно.

Если украинский образовательный проект подпадает по содержанию и форме осуществления деятельности с правилами GDRP, то при деятельности компании необходимо учесть следующие положения.

— право быть забытым («right to be forgotten») - когда лицо более не желает, чтобы данные о нем / ней обрабатывались и нет никаких оснований для продолжения их обработки контроллером, оператором или посредником, персональные данные должны быть удалены. То есть, образовательный проект должен выработать стратегию для извлечение данных соискателей образовательной услуги после ее получения из локальной базы данных образовательного проект.

— право на «портативность» персональных данных (right to data portability) - лица должны иметь больше информации о том, как именно обрабатываются их персональные данные в понятной и доступной манере. Предоставляющих образовательные услуги может выложить указанное право в договоре о предоставлении образовательных услуг, или же разместить информацию о способе обработки персональных данных отдельным положением на своей странице в Интернете.

— право немедленно знать о краже своих персональных данных в результате хакерского взлома - компании и организации должны немедленно сообщать национальный контролирующий орган о взломах, которые ставят под угрозу защищенность персональных данных, а в случае повышенного риска немедленно сообщать субъекта персональных данных, чтобы он / она могли принять соответствующие мероприятий.

В общем, анализируя практику применения штрафных санкций европейскими органами за нарушение GDPR, нужно заметить на том, что контролирующими органами налагаются штрафы различных размеров, в зависимости от совершенного правонарушения. Как мы можем наблюдать, штрафы в больших размерах накладываются в тех случаях, когда нарушения касаются или больших объемов персональных данных, или чувствительных персональных данных. Главное, на что нужно обратить внимание это тот факт, что к ответственности могут быть привлечены как компании с территории Европейского Союза, так и компании, зарегистрированные за пределами ЕС, о чем ярко свидетельствует дело, которое касается привлечения к ответственности канадской компании AggregateIQ.

Если обратить внимание на судебную практику, сложившуюся именно с вопросам нарушения процедуры обработки и доступа к персональным данных, в том числе и в образовательной сфере, то можно дойти до выводу о устоявшуюся практику взимания штрафов с уполномоченных лиц по обработке персональных данных. Суд части становится на сторону лица, порядок доступа, обработки или хранения персональных данных которой было нарушено. В частности, Постановление Коломийского районного суда по делу № 346/5963/19 по материалами дела Уполномоченного Верховной Рады Украины по правам человека, ведь так персональные данные лица были обнародованы в свободном доступе в сети Интернет, в свою очередь привело к незаконного доступа к ним посторонних лиц и нарушения его права на защиту своих персональных данных от незаконной обработки, чем совершил административное правонарушение, предусмотренное ч. 4 статьи 188-39 КУоАП, а именно не придерживался установленного законодательством о защите персональных данных порядка защиты персональных данных, что привело к незаконному доступу к ним и нарушение права человека на защиту своих персональных данных от незаконной обработки (пункт 7 части 2 статьи 8 Закона Украины «О защите персональных данных»), или другими словами распространил персональные данные лица без согласия последнего. Указанная Постановление репрезентативной, ведь касалась распространения персональных данных именно в образовательном учреждении. В общем по защите персональных данных 2020 года судами в Украине было рассмотрено около 29533 дел, говорит о росте необходимости выработки эффективных путей защиты персональных данных компаниями.

Поэтому, для успешного ведения образовательного проекта необходимо не имитировать соответствие деятельности действующему законодательству Украины или директивам Европейского Союза, а определить четкий механизм обработки персональных данных, выработать способы информирования соискателя образовательной услуги о порядке ее оброки, сроки хранения и невозможность передачи. Если субъект предоставления образовательной услуги осуществляет деятельность на европейских рынках, то учитывать положения вышеописанной директивы и внедрить механизмы, которые касаются обеспечения «права на забвение» персональных данных, доведение до соискателей образовательной услуги информации о порядке обработки информации и т.д. только за условия выработки стратегически правильного обращения с персональными данными лиц можно считать, что концессии образовательной услуги застрахован от наложения штрафных санкций.