Захист персональних даних в освітніх проектах

На сьогодні освітні проекти все частіше переходять в площину Інтернету та дистанційної освіти. Це зумовлено не лише коронавірусною пандемією, але й зручністю менеджменту самого дистанційного освітнього процесу, можливістю адаптувати графік занять до особистого ритму життя. Вказана ситуація зрозуміла, однак менеджерам освітніх проектів необхідно чітко розуміти, що наявність онлайн платформи для запуску освітнього продукту не є достатнім для ведення такої діяльності в правовому полі.

Профатіло Галина Романівна

адвокат

Зрозуміло, що в рамках даної статті неможливо врахувати всі аспекти ведення освітнього проекту, тому пропонуємо зосередити свою увагу на захисті персональних даних здобувачів освітньої послуги, адже враховуючи транскордонність діяльності он-лайн провайдерів освітніх послуг питання захисту персональних даних повинне враховувати не лише вітчизняне, але й міжнародне законодавство. 25 травня 2018 року в повному обсязі набула чинності нова Директива Європейського союзу про захист персональних даних – GDPR (General Data Protection Regulation / Генеральний регламент по захист даних) 95/46/ЄС, яка відрізняється безпрецедентними штрафними санкціями за порушення вимог закону, а також надає вплив на міжнародну діяльність організацій, в тому числі поширюється й на надавачів освітніх послуг.

Безумовно, ситуація обробки українськими провайдерами он-лайн курсів персональних даних слухачів з ЄС можлива, а в умовах світового локдауну – неминуча. Саме тому, український провайдер освітніх послуг повинен зосередитися не лише на локальному законодавстві щодо обробки персональних даних, але й на положеннях міжнародного законодавства. Частою є ситуація, коли здобувач освітньої послуги (до прикладу, здобувач середньої освіти) постійно проживає на території ЄС, однак отримує повну середню освіту в Україні дистанційно. За цих умов школа, яка надає послуги здобувачам освіти поза межами України повинна дотримуватися положень Директиви Європейського союзу про захист персональних даних – GDPR (General Data Protection Regulation / Генеральний регламент по захист даних) 95/46/ЄС, хоча школа і може бути зареєстрована та фактично знаходитися в Україні.

Таким чином, умовно розділимо правове регулювання питання захисту персональних даних стосовно здобувачів освіти в Україні та закордоном.

Щодо вітчизняного регулювання:

Не секрет, що в процесі отримання освітньої послуги у її надавача виникає доступ до персональних даних здобувача освіти. У разі, якщо освітні послуги надаються на території України виключно громадянам України, то захист їх персональних даних здійснюється виключно за законодавством України. Законом України «Про захист персональних даних» урегульовано питання визначення персональних даних та рядом законів, які регулюють освітню сферу. Положеннями Закону України «Про захист персональних даних» вказано, що при зарахуванні дитини до освітнього закладу є обов’язковим отримання задокументованої згоди на обробку персональних даних. Відповідно до вищевказаного Закону збирання відомостей про учнів та їхніх батьків, зберігання та використання цих відомостей є обробкою персональних даних, а учні та їхні батьки – суб’єктами персональних даних. Із урахуванням того факту, що суб’єктом персональних даних є неповнолітні особи (беремо ситуацію із школами та дитячими садками), то згідно норм чинного цивільного законодавства відповідну згоду на обробку персональних даних дитини повинні надати батьки або особи, які їх замінюють. Також батьки повинні подати згоду на обробку власних персональних даних. Це також означає, що заяву про зарахування дитини до школи можуть подати тільки батьки або особи, які їх замінюють.

Форми документів, в тому числі, заяв-згод на оброблення персональних даних, затверджені наказом Міністерства освіти і науки,молоді та спорту України від 10 травня 2011 року №423 «Про затвердження єдиних зразків обов’язкової ділової документації у загальноосвітніх навчальних закладах усіх типів і форм власності». Саме тому, при укладенні договору про надання освітніх послуг згода на обробку персональних даних повинна надаватися та належним чином зберігатися освітнім закладом.

В Україні повноваження з контролю за дотриманням законодавства про захист персональних даних покладено на Уповноваженого Верховної Ради України з прав людини, який керується виключно Законом України «Про захист персональних даних». Втім, не слід забувати, що в нашій країні також ратифіковано Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних №108. Ні директива 95/46/ЄС, ні власне GDPR для українських освітніх проектів, що працюють тільки на український ринок, вказані положення впливу не мають.

Щодо міжнародного регулювання:

Українські компанії, звичайно ж, цікавить той випадок, коли вимоги по дотриманню GDPR поширюється за межами ЄС, Британії, Норвегії, Ісландії та Ліхтенштейну, а саме:

  • на контролерів персональних даних (data controllers or administrators) і операторів персональних даних (data processors), продають товари і / або надають послуги (у т.ч. безкоштовно) суб’єктам персональних даних ЄС, Норвегії, Ісландії та Ліхтенштейну і / або здійснюють моніторинг персональних даних таких суб’єктів;
  • на організації, що мають в ЄС «установи» (establishment) де персональні дані обробляються «в контексті діяльності» такої установи, тобто незалежно від того, на території ЄС, Норвегії, Ісландії та Ліхтенштейну чи ні фактично відбувається обробка даних.

До однозначних ознак, за якими положення GDPR можуть застосовуються, належать наступні:

  • на території ЄС є офіс, представництво або філія;
  • одна з мов, на якому написаний сайт, є державним в одній з країн ЄС. Зараз йде мова не про англійську, яка визнана міжнародною мовою, а про такі мови ЄС, як італійська, іспанська, голландська, шведська і так далі. Тобто, лише наявність мовної ознаки не дає достатньо підстав вважати, що освітні послуги надаються громадянам ЄС, але в комплексі з цією ознакою можна дійти висновку, що правила по захисту персональних даних, визначених у директиві поширюватимуться на вітчизняну компанію також;
  • зворотній зв’язок з технічною підтримкою проекту здійснює обслуговування на мові однієї з країн Європейського союзу;
  • є наявність сервісних центрів на території Європи;
  • послуги компанії (чи освітнього проекту) рекламуються в Європі;
  • здійснюється моніторинг дій користувачів, наприклад, в мобільному додатку. Вищевказані пункти однозначно вказують на те, що «центром бізнесового інтересу» для провайдера освітньої послуги є ринок ЄС, як і здобувачами такої послуги є слухачі з країн, де працюють положення GDPR.

Також можливі непрямі ознаки, до них відносяться:

— робота з юридичними особами з ЄС, які передають персональні дані європейців і вимагають дотримання GDPR (до речі, така ситуація достатньо часто трапляється). Приміром, це ситуація, коли провайдер освітніх послуг використовує у своїй діяльності сервер, який знаходиться на території Німеччини, то український провайдер освітньої послуг все-одно підпадає під дію GDPR. Непрямі ознаки в кожному конкретному випадку необхідно аналізувати, а передбачити повний перелік неможливо.

Якщо український освітній проект підпадає за змістом та формою реалізації діяльності до правил GDRP, то при діяльності компанії необхідно врахувати наступні положення.

— право бути забутим ( «right to be forgotten») — коли особа більш не бажає, щоб дані про нього /неї оброблялися і немає жодних підстав для продовження їх обробки контролером, оператором або посередником, персональні дані повинні бути видалені. Тобто, освітній проект повинен виробити стратегію для вилучення даних здобувачів освітньої послуги після її отримання з локальної бази даних освітнього проект.

— право на «портативність» персональних даних (right to data portability) — особи повинні мати більше інформації про те, як саме обробляються їх персональні дані у зрозумілій і доступній манері. Надавач освітньої послуги може викласти вказане право в договорі про надання освітніх послуг, або ж розмістити інформацію про спосіб обробки персональних даних окремим положенням на своїй сторінці в Інтернеті.

— право негайно знати про крадіжку своїх персональних даних в результаті хакерського злому — компанії і організації повинні негайно повідомляти національний контролюючий орган про зломи, які ставлять під загрозу захищеність персональних даних, а в разі підвищеного ризику негайно повідомляти суб’єкта персональних даних, щоб він / вона могли вжити відповідних заходів.

Загалом, аналізуючи практику застосування штрафних санкцій європейськими органами за порушення GDPR, потрібно зауважити на тому, що контролюючими органами накладаються штрафи різних розмірів, залежно від вчиненого правопорушення. Як ми можемо спостерігати, штрафи у більших розмірах накладаються в тих випадках, коли порушення стосуються або великих об’ємів персональних даних, або чутливих персональних даних. Головне, на що потрібно звернути увагу це той факт, що до відповідальності можуть бути притягнуті як компанії з території Європейського Союзу, так і компанії, які зареєстровані поза межами ЄС, про що яскраво свідчить справа, яка стосується притягнення до відповідальності канадської компанії AggregateIQ.

Якщо звернути увагу на судову практику, яка склалася саме з питань порушення процедури обробки та доступу до персональних даних, в тому числі й в освітній сфері, то можна дійти до висновку про усталену практику стягнення штрафів з уповноважених осіб щодо обробки персональних даних. Суд здебільшого стає на сторону особи, порядок доступу, обробки чи збереження персональних даних якої було порушено. Зокрема, Постанова Коломийського міськрайонного суду у справі № 346/5963/19 за матеріалами справи Уповноваженого Верховної Ради України з прав людини, адже оскільки персональні дані Особи були оприлюдненні у вільному доступі у мережі Інтернет, що у свою чергу призвело до незаконного доступу до них сторонніх осіб та порушення його права на захист своїх персональних даних від незаконної обробки, чим вчинив адміністративне правопорушення, передбачене ч. 4 статті 188-39 КУпАП, а саме не дотримався встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них та порушення права особи на захист своїх персональних даних від незаконної обробки (пункт 7 частини 2статті 8 Закону України «Про захист персональних даних»), або іншими словами поширив персональні дані Особи без згоди останнього. Вказана Постанова є репрезентативною, адже стосувалася поширення персональних даних саме в освітньому закладі. Загалом щодо захисту персональних даних за 2020 рік судами в Україні було розглянуто близько 29533 справ, що говорить про зростання необхідності вироблення ефективних шляхів захисту персональних даних компаніями.

Тому, для успішного ведення освітнього проекту необхідно не імітувати відповідність діяльності чинному законодавству України чи директивам Європейського Союзу, а визначити чіткий механізм обробки персональних даних, виробити способи інформування здобувача освітньої послуги про порядок її оброки, строки зберігання та неможливість передачі. Якщо суб’єкт надання освітньої послуги здійснює діяльність на європейських ринках, то враховувати положення вищеописаної директиви та впровадити механізми, які стосуються забезпечення «права на забуття» персональних даних, доведення до здобувачів освітньої послуги інформації про порядок оброблення інформації і т.д. Лише за умови вироблення стратегічно правильного поводження із персональними даними осіб можна вважати, що надавач освітньої послуги застрахований від накладення штрафних санкцій.

Контакти

Оберіть місто