Захист персональних даних
Конвенція про захист прав людини і основоположних свобод
Стаття 8
Право на повагу до приватного і сімейного життя
1. Кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції.
2. Органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров’я чи моралі або для захисту прав і свобод інших осіб.
___________________________________________________________________________
Відповідно до Закону України «Про захист персональних даних», персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована; суб’єкт персональних даних – фізична особа, персональні дані якої обробляються.
Під згодою суб’єкта персональних даних слід розуміти добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди.
Суб’єкт персональних даних має право:
1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3) на доступ до своїх персональних даних;
4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6) пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8) звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
11) відкликати згоду на обробку персональних даних;
12) знати механізм автоматичної обробки персональних даних;
13) на захист від автоматизованого рішення, яке має для нього правові наслідки.
Володілець персональних даних – фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.
Розпорядником персональних даних є фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;
Використання персональних даних
Використання персональних даних передбачає будь-які дії володільця щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону.
Використання персональних даних володільцем здійснюється у разі створення ним умов для захисту цих даних. Володільцю забороняється розголошувати відомості стосовно суб’єктів персональних даних, доступ до персональних даних яких надається іншим суб’єктам відносин, пов’язаних з такими даними.
Поширення персональних даних
Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб’єкта персональних даних.
Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.
Забезпечення захисту персональних даних
Володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних. В органах державної влади, органах місцевого самоврядування, а також у володільцях чи розпорядниках персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до цього Закону, створюється (визначається) структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.
Для того , щоб убезпечити себе та свої дані не надавайте їх нікому. Наразі в інтернет просторі чимало заманливих пропозицій: “Саме ваш номер може виграти приз”. Або вам телефонували чи надсилали смс-повідомлення з подібним змістом. Не ведіться, у більшості — це шахраї. Вони попросять у Вас пароль від банківської картки, номер телефону або ще щось. Найкращим варіантом буде припинити розмову, навіть якщо пропозиція буде дуже заманлива.
Доцільно також перевіряти інформацію, яку Ви поширюєте. Не поширюйте новини із занадто гучними заголовками. Можливо, це фейк. Перевірте: спитайте в знайомих, які розбираються в темі, або перегляньте новинну стрічку інших сайтів. Також не менш важливо перевіряти інформацію, якщо вас просять пожертвувати гроші на якусь операцію чи зробити репост посту із новиною подібного змісту. Пам’ятайте, шахраї часто видають себе за благодійників.
Захищайте свої паролі. Щодня користуєтесь Facebook або сплачуєте в інтернеті? Міняйте паролі з певною частотою, радимо використовувати для цього спеціальні менеджери паролів (приміром, 1password, LastPass або KeePass). Зберігайте паролі в надійному місці, а краще — запам‘ятовуйте.
Використовуйте двохфакторну автентифікацію. Google, Facebook, Instagram постійно пропонує налаштувати подвійне підтвердження входу? Погоджуйтеся! Це не страшно: окрім паролю, вам зателефонують або надішлють код, так ваші дані в соцмережах будуть ще більш убезпечені. До речі, завершуйте сеанс одразу після виходу із соцмережі.
Користуйтеся офіційними програмами. Перевіряйте програми, які завантажуєте — радимо з офіційних джерел. Офіційні програми проходять перевірку на наявність фішингу — несанкціонованого збору та передачі даних. Тож, користуючись саме офіційним програмним забезпеченням, ви будете певні, що не заразите комп’ютер чи смартфон якимось вірусом. Також доцільно використовувати лише перевірені мережі інтернет-з’єднання.
Відповідальність за порушення законодавства про захист персональних даних
Стаття 188-39 кодексу України про адміністративні правопорушення передбачає, що за неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей тягнуть за собою накладення штрафу на громадян від 1 700 грн. до 3 400 грн. і на посадових осіб, громадян – суб’єктів підприємницької діяльності – від 3 400 грн. до 6 800 грн.
Невиконання законних вимог (приписів) Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних тягнуть за собою накладення штрафу на громадян від 3 400 грн. до 5 100 грн. і на посадових осіб, громадян – суб’єктів підприємницької діяльності – від 3 400 грн. до 17 000.
Повторне протягом року вчинення вищезазначених порушень, за яке особу вже було піддано адміністративному стягненню, тягне за собою накладення штрафу на громадян від 5 100 грн до 8 500 грн. і на посадових осіб, громадян – суб’єктів підприємницької діяльності – від 8 500 грн. до 34 000 грн.
Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, тягне за собою накладення штрафу на громадян від 1700 до 8 500 грн. і на посадових осіб, громадян – суб’єктів підприємницької діяльності – від 5 100 грн. до 17 000 грн.
Якщо вищезазначене порушення було вчинено повторно протягом року, за яке особу вже було піддано адміністративному стягненню, тягне за собою накладення штрафу від 17 000 грн. до 34 000 грн.
Звертаємо увагу що, відповідно статті 182 Кримінального кодексу незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу, караються штрафом від п’ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.
Якщо ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, караються арештом на строк від трьох до шести місяців або обмеженням волі на строк від трьох до п’яти років, або позбавленням волі на той самий строк. Істотна шкода полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян.
Персональні дані та дистанційне навчання
В Україні поки ще немає чітко визначеної нормативної бази, яка б регулювала безпеку роботи вчителів та учнів в Інтернеті під час дистанційного навчання, у тому числі, – безпеку роботи з персональними даними. Але ніщо не заважає нам використовувати на практиці ті норми законодавства, які ми вже маємо.
Положення про дистанційну форму здобуття повної загальної середньої освіти визначає, що під час дистанційного навчання освітній процес організовується з дотриманням вимог законодавства про захист персональних даних (частина 9 Положення).
А у листі МОН № 1/9-609 від 02.11.20 року “Щодо організації дистанційного навчання” наголошується, що всі учасники освітнього процесу мають дотримуватися вимог щодо захисту персональних даних учасників освітнього процесу в електронному освітньому середовищі.
Основним законом із питання захисту персональних даних в нашій державі є Закон України “Про захист персональних даних”, і саме його потрібно брати за основу для роботи з персональними даними та їхнього захисту.
Також днями громадська організація Мінзмін за підтримки Міжнародного союзу електрозв’язку (МСЕ) та за ініціативи Міністерства цифрової трансформації України переклала загальні рекомендації щодо захисту дітей у цифровому середовищі.
Ми виокремили та коротко описали основні поради МСЕ для закладів освіти, вчителів і батьків, як захистити персональні дані учасників освітнього процесу та зробити дистанційне навчання дитини безпечнішим.
Що робити закладам освіти задля безпеки дистанційного навчання
Міжнародний союз електрозв’язку визначає наступні рекомендації для закладів освіти.
Заклад освіти має:
-
забезпечити захищену та надійну шкільну мережу, а для цього потрібно використовувати послуги офіційного інтернет-провайдера. Під час дистанційного навчання вчителі та учні використовують особисті домашні пристрої, які зазвичай не охоплюються мережевим захистом. У такому випадку вчителям та батькам учнів варто перевірити офіційність та надійність свого інтернет-провайдера, щоб оцінити можливі ризики. Якщо провайдер неофіційний – посилити захист за допомогою програмного забезпечення. Також ключове значення мають проведення для учнів навчання про безпеку в інтернеті, обговорення різних практичних випадків та діалог;
-
використовувати програмне забезпечення для фільтрації та моніторингу безпеки пристроїв;
-
встановлювати політику в межах школи, що регулює, де і як можуть використовувати технології різні учасники навчального процесу, а також порядок реагування на інциденти, пов’язані з безпекою дітей, зокрема, в цифровому середовищі;
-
організовувати для учнів навчання з питань онлайнової безпеки;
-
забезпечувати достатній рівень підготовки усіх співробітників (зокрема, технічного персоналу), а також регулярне підвищення їхньої кваліфікації;
-
призначити у школі спеціального координатора і створити можливості для обліку та реєстрації інцидентів, пов’язаних з онлайновою безпекою, щоб сформувати цілісне уявлення про наявні у школі проблеми та тенденції, що вимагають уваги;
-
вжити заходів для того, щоб адміністративно-управлінський персонал та керівники були достатньо обізнані в питаннях онлайнової безпеки у школі;
-
взяти до уваги потенційний вплив Інтернету та онлайнових технологій на навчання та психіку учнів.
Відповідно до Положення про дистанційну форму здобуття повної загальної середньої освіти, електронні освітні платформи, онлайн сервіси та інструменти, за допомогою яких організовується освітній процес під час дистанційного навчання, обирає та схвалює педагогічна рада закладу освіти (частина 5, розділ І Положення).
Що робити педагогічним працівникам для безпеки дистанційного навчання
Міжнародний союз електрозв’язку визначає такі рекомендації для вчителів.
Насамперед необхідно слідкувати за безпекою та надійністю як домашніх так і робочих пристроїв, які ви використовуєте для проведення дистанційного навчання. Для цього:
-
переконайтеся в тому, що всі пристрої надійно захищені та на них встановлено пароль. Учителі настільки ж вразливі перед кібератаками, шкідливими програмами, вірусами та зламами, як і всі інші. Важливо, щоб усі пристрої, які ви використовуєте, захищалися надійним паролем. Як створити надійний пароль і не забути його, можна прочитати ось тут;
-
блокуйте пристрої, завершуйте сеанс і виходьте з облікового запису, коли не використовуєте їх (наприклад, якщо виходите з кімнати або класу);
-
встановіть антивірусне програмне забезпечення та брандмауер й регулярно їх оновлюйте.
Пам’ятайте про власну онлайн-репутацію та цифровий слід, який залишаєте, про те, що ваші слова та дії в Інтернеті можуть вплинути як на вашу власну репутацію, так і на репутацію закладу освіти. Також розповідайте дітям про важливість онлайнової репутації й про те, як правильно її формувати.
Між приватним та професійним життям учителів завжди має бути чітка межа, зокрема, й у цифровому середовищі. Для будь-яких контактів між співробітниками школи та учнями або батьками завжди необхідно використовувати шкільну електронну пошту. Шкільна комунікаційна політика може забороняти будь-які контакти, не пов’язані з освітньою діяльністю, та контакти на платформах, що не мають стосунку до школи.
На випадок проведення відеоконференцій або занять у віддаленому режимі, школи мають установлювати чіткі приписи як для співробітників, так і для учнів (наприклад, що бажано підготувати місце для віддаленого заняття/сеансу зв’язку та подбати про тих, хто перебуває поруч – чи то вдома, чи то в класі).
Вчителі мають розуміти, чим Інтернет може бути для учнів небезпечний і чим корисний. Докладні рекомендації тут.
Для безпеки педагогів радимо також створити окремий обліковий запис або окремого користувача, якщо ділите вдома чи на роботі свій пристрій ще з кимось, і також розмежувати ваші власні електронні скриньки для особистого користування та для робочих питань.
Звертаємо вашу увагу на пересилання персональної інформації (власної або учня) через соціальні мережі, різноманітні месенджери, електронною поштою. Поміркуйте, чи конче необхідно надсилати персональні дані у повідомленні. Якщо це все ж необхідно, ретельно перевірте, чи правильно ви вказали адресата.
Поради для батьків
Захист персональних даних – це спільна робота педагогів, батьків та учнів. Тому чималу роль у тому, чи буде дистанційне навчання успішним, якісним та безпечним для дитини, відіграють батьки. Просимо вас розповісти дітям про персональні дані, про небезпеку їхнього поширення і правила поводження з ними.
Для батьків Міжнародний союз електрозв’язку визначає такі рекомендації.
-
Насамперед спілкуйтеся зі своїми дітьми, цікавтеся, що вони люблять переглядати в Інтернеті, спробуйте організувати спільно з ними будь-яку онлайнову діяльність.
-
Визначте, які технології, пристрої та послуги використовуються у вас вдома.
-
Встановіть на всіх пристроях брандмауер та антивірусну програму. Поміркуйте над тим, чи будуть корисними та чи підходять для вашої родини програми фільтрації, блокування або відстеження. Розгляньте можливість використання контент-фільтрів, що досить часто називаються системами батьківського контролю, і безпечних пошукових систем або обмежень доступу, щоб фільтрувати контент, який діти можуть переглядати в Інтернеті.
-
У колі родини домовтеся про умови використання Інтернету й особистих пристроїв, приділяючи особливу увагу питанням конфіденційності, вікової відповідності змісту сайтів, додатків та ігор, булінгу, кількості проведеного перед екраном часу та небезпеки з боку незнайомців.
-
Поясніть дітям, що перш ніж публікувати світлини або відео в Мережі, слід отримати згоду людей, які там зображені. Батькам також варто звертати увагу на те, якою інформацією про своїх дітей вони діляться в соціальних мережах і в Інтернеті загалом, зокрема, це стосується особистих історій про дітей або їхніх світлин. Пам’ятайте про недоторканність приватного життя вашої дитини!
-
Поясніть дітям, що не можна повідомляти свої паролі доступу друзям або братам і сестрам. Звертайте їхню увагу на те, коли і де вони повідомляють свою персональну інформацію – наприклад, навчайте, що в загальнодоступному профілі краще використовувати деперсоніфіковані зображення як фотографії профілю і вказувати мінімум персональної інформації, такої як вік, школа та місце проживання.
-
Зверніть увагу на вік «цифрової згоди». У деяких країнах діють закони, що встановлюють мінімальний вік, починаючи з якого компанії або вебсайти можуть просити дітей повідомити персональну інформацію без попереднього отримання підтвердженої згоди батьків. Вік «цифрової згоди» зазвичай варіюється в межах 13-16 років. На багатьох вебсайтах, призначених для дітей молодшого віку, потрібна згода батьків для реєстрації нового користувача.
-
Дізнайтеся, як повідомити про проблему на платформах, якими користуються ваші діти, і як видалити профіль або змінити зазначену в ньому інформацію.
-
Розкажіть про важливість персональної інформації. Поясніть дітям, що їм слід ділитися тільки тією інформацією, яку, на вашу і на їхню думку, дозволено побачити стороннім. Їм не слід ділитися інформацією, що дозволяє встановити їхню особистість або особистість інших. Нагадайте дітям, що в них є онлайн репутація, за якою необхідно стежити, а після того, як контент опубліковано, його може бути складно змінити або скорегувати.
-
Переконайтеся, що діти розуміють, що означає публікація світлин та відео в Інтернеті, в тому числі їхніх власних та їхніх друзів. Поясніть дітям, що фотографії та відео можуть розкривати безліч персональної інформації. Діти повинні розуміти ризики, пов’язані з використанням камер та опублікуванням контенту. Бажано, щоб світлини інших людей не викладалися без їхньої згоди. Це також стосується і батьків, які роблять та публікують знімки своїх дітей. Крім того, важливо, щоб діти розуміли, що іноді інформацію може розкрити хтось із їхніх друзів або членів сім’ї, тому їм варто поговорити про це зі своїми друзями та родичами і розповісти про небезпеку надмірного розкриття інформації. Порадьте своїм дітям не викладати власні фото та відео або фото та відео друзів, на яких є елементи, що легко піддаються ідентифікації, наприклад, таблички з назвами вулиць, автомобільні номери або назва школи на толстовках тощо.
Звертаємося до всіх учасників освітнього процесу – з повагою ставтеся один до одного, адже безпека як очного, так і дистанційного навчання залежить від педагогів, батьків, учнів та студентів.