В часи, коли російська армія щодня вбиває сотні українських цивільних – жінок, дітей та людей похилого віку, жорстокий ворог використовує не лише військову зброю – у хід йдуть всі методи ведення війни, зокрема, і гібридні, які держава-агресор відточувала роками. Ще до початку повномасштабного наступу РФ на Україну, у травні 2020 року українське суспільство сколихнув кіберскандал – персональні дані (ПД) українців потрапили у відкритий доступ одного з анонімних Telegram-каналів. Та якщо тоді було «злито» дані переважно водійських посвідчень, тепер ми зіткнулися з ще більшою загрозою – у відкритому доступі опинилися данні дітей – учнів українських загальноосвітніх шкіл та їх батьків, які було зібрано в рамках впровадження IT-продукту «Human» компанії «Х’ЮМАН» (ТОВ «Х’ЮМАН»). І найсумніше – цілком можливо, що ці данні свідомо збиралися задля передачі їх до спецслужб РФ. Реєстри персональних даних продаються у «даркнеті» вже багато років, тому захист персональних даних як невід’ємна частина сучасного життя ставить перед нами питання: як може звичайний українець вберегтися від незаконного поширення даних про себе? Особливо коли йдеться про найцінніше – наших дітей? У ситуації, коли витоки відбуваються саме з державних реєстрів, індивідуально захиститися від цього вкрай важко. Функцію захисту наших персональних даних ми покладаємо на державу, яка має це робити відповідно до законодавства. У сфері освіти дозволено використання приватних електронних платформ, однак безвідповідальність і корумпованість українських чиновників, які, не здійснюючи їх належної перевірки, заключають контракти, що передбачають збір та обробку персональних даних з нечесними гравцями бізнесу, призводить до того, що інформація може потрапити у будь-які, часом зовсім не чисті, руки. Ба більше, українці часто вимушено надають персональну інформацію до державних баз даних, навіть не знаючи, кому держава надає доступ до неї. Витік даних Нещодавно у ряді анонімних Telegram-каналів з’явилося повідомлення про те, що продаються персональні дані учнів українських шкіл та їх батьків з системи керування учбовим процесом «Human school», розробленої IT-компанією «Х’ЮМАН». Зокрема, аналогічні пропозиції з’явилися на спеціалізованих каналах з нелегальної торгівлі базами даних: @DropK777 @BusinesWorldTelegram @kup1_proday @temisng @temibusiness. Журналістів видання «Інформатор», які натрапили на дане повідомлення, воно неабияк зацікавило. Адже йдеться про дані дітей – учнів українських шкіл. Ми звернули увагу зокрема і на те, що у тексті було підкреслено – «пропозиція актуальна тільки для роботи в РФ». Журналісти вийшли на зв’язок з продавцем «персональних даних батьків та дітей української освітньої платформи Human під ніком Chaplin і з’ясували ряд цікавих і навіть шокуючих деталей. Виявилося, що продавець дійсно володіє базою даних українських школярів та їх батьків вартістю дві тисячі доларів США «в одні руки». Там є фотографії, ПІБ, дати народження, телефони та електронні адреси учнів українських шкіл та їх батьків з бази освітньої платформи «Human», розробленої IT-компанією «Х’ЮМАН». І найголовніше – по Україні «базу вже відпрацьовано», тож вона наразі є актуальною у РФ, країні, яка веде активні бойові дії на нашій території. Нажаль, витоки персональних даних є не лише одним із інструментів російської гібридної агресії, а і джерелом інформації для криміналітету, зокрема осіб із сексуальними розладами. Уникаючи порушень українського законодавства, на цьому етапі журналісти припинили спілкування з продавцем бази «Human» компанії «Х’ЮМАН». Ми продовжили власне розслідування, під час якого стали відомі не тільки подробиці шокуючого зливу інформації, а і його організатори. Виявилося, що під час війни з Російською Федерацією, впровадженням програмного забезпечення «Human» в українських школах курує агент Кремля – одіозний проросійський політик, народний депутат від ОПЗЖ Юрій Бойко. Базу було «злито» російським спецслужбам, а звідти, вже відпрацьована, вона потрапила і на «чорний ринок». Журналістам стало відомо з власних джерел, що СБУ та розвідка вже займаються фігурантами цієї справи, каналами витоку інформації та агентами на місцях. Проте, в умовах повномасштабної війни, спецслужби навряд чи зможуть приділити вивченню справи достатньо часу. На превеликий жаль. Тож повернемося до питання, чим є система керування учбовим процесом Human, хто її розробляв та впроваджував, і як сталося, що персональні дані десятків тисяч українських школярів та їх батьків тепер продаються в Росії, яка розпочала активну фазу війни з Україною у лютому цього року? Через карантинні заходи закладам освіти України ще два роки тому було дозволено організовувати освітній процес дистанційно з використанням інформаційних технологій за умови забезпечення вимог законодавства. Зокрема, йдеться і про ведення класного журналу школярів, програмне забезпечення для чого і взялися розробляти у «Х’ЮМАН». Дійсно, в сучасних реаліях спочатку карантину, а потім війни, перехід на дистанційне навчання – вимушена необхідність. Багато учнів та їх батьків вже оцінили зручність таких змін. Проте прогресивна ідея щодо дистанційного навчання з використанням інформаційних технологій може бути похованою ще до повного впровадження завдяки «фахівцям», які розробили та впровадили «Human». Такі гравці IT-ринку як «Х’ЮМАН», ставлять хрест на довірі людей до програмного забезпечення освітніх закладів і проливають негативне світло на впровадження «розумної школи» в Україні. Тож чому договір про надання ПП було підписано саме з ТОВ «Х’ЮМАН? На жаль, в Україні «зайти» на ринок закупівель державних освітніх закладів можливо лише маючи гарних «покровителів». В даному випадку цей «покровитель» – ще й одіозний та впливовий проросійський політик Юрій Бойко, який, не зважаючи на криваву війну Росії проти України, досі є депутатом Верховної Ради. Тісні зв’язки з РФ Бойко підтримує роками, ще з початку своєї політичної кар’єри, активно нав’язуючи українському електорату наративи про «державний статус російської мови», «братські народи» та «розвиток торгово-виробничих зв’язків з Росією». Бойко працював як в уряді, так і в парламенті: спочатку він був активним членом Партії регіонів і правою рукою Віктора Януковича, працюючи в уряді Азарова, а після Революції Гідності і втечі Януковича, очолив партію Опозиційний блок – ребрендовану Партію Регіонів. Пізніше Бойко об’єднався з не менш одіозними Вадимом Рабіновичем та Віктором Медведчуком, створивши «Опозиційне об’єднання «За життя», яке проіснувало до травня цього року. Саме використовуючи путінського посіпаку Бойка як посередника, Кремль розробив та реалізував чергову стратегію щодо збору персональних даних українців. Адже, як показали результати розслідування, саме Юрій Бойко де-факто є головним інвестором і бенефіціаром ТОВ «Х’ЮМАН», яка і розробила однойменний електронний класний журнал для українських навчальних закладів. Використовуючи свої зв’язки, Бойко на особистих домовленостях та через своїх агентів в регіональній владі впровадив у навчальних закладах електронний журнал «Human». Наразі, за даними на офіційному сайті компанії зазначено, що програмним забезпеченням користуються 2152 державні заклади освіти, 11 органів місцевої влади, 4 (!) державні структури та 5 приватних закладів освіти. Таким чином спецслужби Російської Федерації через посередництво Бойка зібрали персональні данні десятків тисяч українців, отримуючи доступ до смартфонів батьків та вчителів, та створюючи власну базу даних, яка надалі, після завершення обробки, і потрапила до відкритого ринку баз даних. Бойко залучив до впровадження «ворожого софту» в українських школах одного зі своїх синів та чоловіка власної доньки Ярослави – Юрія Назарова. Останній – досить відома у столиці особа – протягом шести років він очолював Департамент інформаційно-комунікаційних технологій КМДА. Разом з дружиною Ярославою Назаров був головним ідеологом та реалізатором програм концепції «Kyiv Smart City 2020», яка передбачала мільярдні фінансування. І його «діяльність» в рамках програми досить широко висвітлена у ЗМІ та вивчена правоохоронними органами: Назаров є фігурантом кількох корупційних розслідувань, проте, завдяки родинним зв’язкам йому завжди вдавалося «виходити сухим з води». Втім, корупційний шлейф не полишав Назарова, і у березні 2020 року його «попрохали» залишити прибуткову посаду. Втім, зв’язки залишилися – Назаров і досі активно їх використовує для впровадження електронного журналу «Human» у навчальних закладах столиці та інших населених пунктів України. Колишній чиновник навіть не приховує своїх зв’язків з ТОВ «Х’ЮМАН». Наприклад, у статті «Української правди» щодо ініціатив «Kyiv Smart City», датованій 2 серпня 2016 року, є світлина Назарова разом з дружиною – донькою Юрія Бойка Ярославою. Зверніть увагу на інтер’єр приміщення. Вони засідають в офісі ТОВ «Х’ЮМАН»! Прихована контора Компанія-розробник програмного забезпечення «Human» – продуктова IT компанія «Х’ЮМАН». Її єдиними продуктами є система керування учбовим процесом «Human школа» і система створення, розповсюдження та проходження уроків і тестів «Human уроки». Дивно, що у компанії останню систему називають продуктом, адже вона вже понад два роки «у розробці». Здається дивним і те, що на сайті компанії немає інформації про її адресу. Єдині контакти – це електронні пошти та телефони. На сайті Youcontrol, де зберігаються повні досьє на кожну компанію України, зазначено, що ТОВ «Х’ЮМАН» знаходиться за адресою: м. Київ, вул. Оболонська, будинок 41, офіс 1. Та виявилося, що це лише юридична адреса компанії, і насправді у будівлі, яка представляє собою багатоквартирний житловий будинок, немає ані офісу, ані навіть вивіски «Х’ЮМАН». У той самий час на сайті та Facebook сторінці «Human» є кілька світлин «робочого процесу» співробітників компанії, на яких видно просторий офіс щонайменше на два поверхи, який ну ніяким чином не може знаходитися у квартирному будинку по вулиці Оболонській, 41. Ба більше, дизайн приміщення, дорогі меблі та фурнітура приводять до висновку, що «Х’ЮМАН» де-факто знаходиться в одному з елітних бізнес-центрів столиці, що, безумовно, по кишені російським кураторам Бойко. Насправді, це типова схема для ненадійних фірм – не вказувати адресу офісу, де фактично працюють співробітники компанії. Коли адреса є тільки у реєстрації, а місцезнаходження офісу компанії відоме тільки співробітникам, і базується він у престижному центрі з вартістю оренди в десятки тисяч доларів щомісяця. Тож чому у «Х’ЮМАН» ховаються від людей? Як можна довірити інформацію про найцінніше – наших дітей – фірмі, яка приховує дані про себе і про своїх реальних власників? Чи довірили б ви персональні дані свої та дітей компанії, яка належить агенту Кремля? Дані про компанію Досить цікавим є той факт, що інформація про ненадійність та неготовність до роботи програмного забезпечення ТОВ «Х’ЮМАН» вже спливала в українських ЗМІ півтора роки тому. До 27 квітня 2021 року компанія мала назву ТОВ «ЕВОЛЮШН ГРУП», і мала недобру репутацію як серед користувачів її продукції, так і серед інших гравців ІТ-ринку. Мабуть тому власники вирішили змінити назву ТОВ на «Х’ЮМАН», втім, усі інші дані про компанію, включно з юридичною адресою і номінальним власником, залишилися ті самі. За даними відкритих баз даних, компанію створено у 2018 році і її єдиний засновник і кінцевий бенефіціарний власник – Боровик Євгеній Валерійович. Програмне забезпечення Human Згідно з Наказом Міністерства освіти та науки від 02.09.2020 № 1096 журнал в електронній формі є інформаційною телекомунікаційною системою, інформація в якій має бути захищена від несанкціонованого знищення або змінення (модифікації). А обсяг персональних даних при веденні журналу здійснюватися із забезпеченням захисту персональних даних відповідно до законодавства. Втім, компанія «Х’ЮМАН» хоч і стала переможцем двох тендерів КМДА (і це не дивно, з такими «покровителями», як Юрій Бойко), не змогла захистити свою базу даних. Чи не ставила такої мети? Ба більше – у компанії цим не збиралися займатися з самого початку розробки «Human», докладно виклавши свою позицію на сайті (знаючи, що базу буде продубльовано для спецслужб РФ і завчасно захистивши себе від обвинувачень у витоку інформації, – ред.). Виходячи з даних сайту, продавець програмного забезпечення не несе взагалі ніякої відповідальності за конфіденційність персональних даних. І, як наслідок, функціонування «HUMAN» здійснюється з численними порушеннями норм законодавства. Надалі детально розглянемо всі порушення, до яких свідомо чи ні вдалися у «Х’ЮМАН» і до чого це призвело. Гриф МОН Оскільки платформа Human є електронним засобом загального призначення, що включає автоматизовану систему управління та бази даних школи, то перед використанням у закладах освіти вона підлягала «грифуванню» згідно п.1.5.6. Порядку надання навчальній літературі, засобам навчання і навчальному обладнанню грифів та свідоцтв МОН (затвердженому наказом МОН від 17.06.2008 № 537 із змінами). Однак, на момент проведення тендерів, платформа Human не пройшла експертизу відповідної комісії МОН та не мала грифу МОН. Згідно Електронного реєстру надання грифів та свідоцтв МОН пропозиції щодо КП «Human» все ще знаходяться на розгляді відповідної комісії МОН (рукопис на опрацюванні з 01.07.20). Тобто жодного офіційного тестування програмного забезпечення «Human» IT-компанії «Х’ЮМАН» проведено не було. Захист конфіденційних даних Згідно зі статтею 8 Закону «Про захист інформації в інформаційно-телекомунікаційних системах», інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації (КСЗІ) з підтвердженою відповідністю. Відповідно до ст. 11, 21. Закону «Про інформацію» конфіденційна інформація є інформацією з обмеженим доступом. До конфіденційної інформації про фізичну особу належать дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, а також адреса, дата і місце народження. Згідно затвердженого МОН зразку Класного журналу, під час його ведення обробляються ПІБ учня та батьків, телефон, адреса, дата народження, дані щодо групи здоров’я, інформація про освіту. Оскільки в «Human» обробляються дані, що є обов’язковими для ведення паперового Класного журналу, тобто конфіденційні дані про особу, які є інформацією з обмеженим доступом, робота в «Human» повинна здійснюватися із застосуванням КСЗІ. Однак, технічні завдання (ТЗ) на проведення тендерів 2019 та 2020 років не містили зобов’язань до системи-переможця щодо наявності КСЗІ (ми ще повернемося до того, що тендер писався «під Human», – ред.). Формулювання лише «базових» вимог у ТЗ 2020 р. свідчить, що за рік роботи не було проведено експертизу «Human» та не отримано Атестат відповідності КСЗІ на цю програму. В Політиці конфіденційності «Human» зазначено, що постачальник хмарних послуг, на серверах якого зберігається Human, знаходиться на території України і має КСЗІ, однак відсутня назва постачальника. На сайтах КП «ГІОЦ» чи Київміськдерждміністрації відсутня інформація щодо серверів, на яких зберігаються бази даних киян та КСЗІ цих серверів. Згідно листа КП «ГІОЦ» на органи управління освіти м. Києва «єдине рішення розгорнуто та налаштовано на міському центрі обробки даних, який має належний Атестат відповідності КСЗІ від 20.12.2019 № 20972». Однак не зазначено, мова йде про Human, чи «інше рішення», яке забезпечить його безпеку. При цьому відсутня адреса дата-центру, дані щодо його потужності, копія Атестату відповідності (на фізичні сервери чи хмарне середовище?), дані щодо кількості серверів, які використовує Human, копія Договору між ТОВ «Х’ЮМАН» та дата-центром, в якому викладені умови зберігання даних на сервері. У зазначеному листі ГІОЦ також поінформовано, що обмін даними із закладами освіти забезпечується за захищеними каналами міської сервісної мережевої інфраструктури, що підтверджено Атестатом відповідності КСЗІ (від 14.11.2019 №20558). Цей Атестат відповідності виданий на ІТС міської сервісної мережевої структури СКП «Київтелесервіс», що забезпечує захист інформації лише у внутрішній корпоративній мережі комунальних організацій. Однак, в інструкціях користувачів відсутнє зобов’язання, щоб адміністратори шкіл заходили на платформу обов’язково з авторизованих у школі робочих місць, які під’єднані до міської мережі. Вчителі та учні також працюють на платформі через власні комп’ютерні засоби (ноутбуки, планшети, мобільні телефони, – ред.), порядок захисту яких нічим не регулюється. Згідно Розпорядження КМДА від 03.07.2018 № 1135 (Положення про забезпечення захисту інформації в інформаційно-телекомунікаційних системах …, – ред. ) в комунальних закладах м. Києва заборонено використовувати програмне забезпечення, що не входить до Переліку програмного забезпечення, яке допускається до використання. Незважаючи на закупівлю ліцензій програми Human ще у 2019 р., ця програма не була включена до Переліку програмного забезпечення, дозволеного для використання у комунальних підприємствах м. Києва. Перелік затверджено 29.08.2018 р. Департаментом інформаційно-комунікаційних технологій КМДА та опубліковано на сайті «Київтелесервіс». Протягом 2019-2022 рр. ані на сайті КМДА, ані на сайті Департаменту інформаційно-комунікаційних технологій КМДА, ані на сайті СКП «Київтелесервіс» не було внесено змін чи оновлено перелік. Оскільки Human пропонує свої послуги не лише в м. Києві, а й в інших містах України (враховуючи неабиякі зв’язки Юрія Бойка з політичними елітами у регіонах), з порушенням законодавства також відбувається зберігання конфіденційної інформації користувачів програми з інших міст України. Тож можна зробити висновок як мінімум про існування факту обробки інформації з обмеженим доступом в КП Human за відсутності атестата відповідності на КСЗІ, що є порушенням законодавства з питань захисту інформації. Захист від вірусів В КП Human не забезпечується захист від комп’ютерних вірусів, що згідно законодавства обов’язково має бути передбачено в системах. Згідно п.16 Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (постанова КМУ від 29.03.2006 р. № 373), в усіх системах має забезпечуватися захист інформації від несанкціонованих дій, у тому числі від комп’ютерних вірусів. Однак, згідно п. 2 Розділу XIII. Умов та правил використання ТОВ «Х’ЮМАН» «не гарантує використання платформи без перебоїв, помилок чи наявності на платформі вірусів… ТОВ «Х’ЮМАН» не гарантує безпеку будь-якої інформації, що передається на чи з цієї платформи». Тобто на одній платформі створюються електронні документи (що містять конфіденційну інформацію та мають бути належно захищені, – ред.) та соціальна мережа, у якій користувачі можуть розмістити будь-яку інформацію з вірусом, що може нанести шкоду документації. Відповідальність власника системи В КП Human порушено законодавство щодо належної відповідальності власника системи, оскільки в публічних угодах ТОВ «Х’ЮМАН» в односторонньому порядку обмежила свою відповідальність, пов’язану з наданням доступу до платформи, її послуг та технічних можливостей, а частину відповідальності переклала на користувачів (адміністраторів, вчителів та учнів, – ред.). Відповідно до Закону «Про захист інформації в інформаційно-телекомунікаційних системах» відповідальність за забезпечення захисту інформації в системі покладається на власника системи. Згідно п. 17 Правил забезпечення захисту інформації, відповідальність за забезпечення захисту інформації в системі, своєчасне розроблення необхідних для цього заходів та створення системи захисту покладається на керівника (заступника керівника) організації, яка є власником (розпорядником) системи. Однак, згідно п.1 Розділу XII Ліцензійного публічного договору (публічної оферти) платформа надається ТОВ «Х’ЮМАН» «як є» та без будь-яких гарантій. І хоча «в межах чинного законодавства України», але ТОВ «Х’ЮМАН» не несе будь-якої відповідальності, пов’язаної з включно, але не обмежуючись, наданням доступу до платформи в рамках технічних можливостей. Згідно п. 2 Розділу XIII. Умов та правил використання саме користувачі будуть повністю нести відповідальність за будь-яку шкоду, заподіяну їх комп’ютерній системі, чи за втрату інформації, що викликано завантаженням будь-якого подібного контенту. Надання будь-якої особистої інформації та завантаження будь-якого контенту через платформу виконується [користувачами] на власний розсуд та ризик, які зобов’язані перевіряти будь-яку інформацію, розміщену на платформі, перш ніж використовувати її та покладатися на неї. Ба більше, ТОВ «Х’ЮМАН» може призупинити дію або зовсім вилучити деякі послуги без попереднього повідомлення про це користувачів. ТОВ «Х’ЮМАН» не несе жодної відповідальності за можливі наслідки таких дій та можливе ненадання своєчасно інформації про такі дії. ТОВ «Х’ЮМАН» не відповідає за будь-які збитки (прямі, непрямі та випадкові), за інші матеріальні та нематеріальні втрати користувача або третіх осіб, які виникли в результаті порушення роботи платформи, в результаті її використання або неможливості використання, внаслідок втрати важливої для користувача інформації (враховуючи файли) з технічних причин, у результаті дій або бездіяльності інших користувачів. Оскільки Класний журнал (паперовий) залишається документом суворої звітності, хто буде відповідати у разі, якщо наприкінці року електронний журнал випускного класу зникне з усіма оцінками – вчитель, учень чи Human? Відповідно до ст. 9 Закону «Про захист інформації в інформаційно-телекомунікаційних системах» власник системи, в якій обробляється інформація з обмеженим доступом має утворити службу захисту інформації або призначити осіб, на яких покладається забезпечення захисту інформації та контролю за ним. Однак, у жодному з публічних договорів не повідомлено про конкретні заходи, які можуть здійснюватися для попередження загроз. Зокрема, відсутня інформація щодо: укладення з працівниками договорів про нерозголошення конфіденційної інформації, дії у разі їх звільнення; правил формування паролів працівників; правил доступу працівників до персональних даних користувачів; безпеки приміщень, в яких обробляються персональні дані; захисту від спам-ботів та DOS і DDOS-атак; наявності резервного копіювання та аварійного відновлення даних, тощо. Значно зменшує захист також те, що в Human для різних категорій користувачів з різними повноваженнями передбачене «єдине вікно» через одну реєстраційну форму (вхід до функцій «адміністрування» для адміністраторів, до функцій «електронний журнал» – для вчителів, до функцій «електронний щоденник» – для учнів), оскільки у разі проникнення та нанесення шкоди даним однієї підсистеми, можливо нанести шкоду усій платформі та складніше захистити бази даних, у разі атак чи інших несанкціонованих дій. Ураховуючи вищевикладене, на платформі Human існують значні загрози для стабільної роботи з електронними документами та збереження конфіденційної інформації, що власники платформи визнають самі, оскільки передбачили значні обмеження своїй відповідальності. Письмовий договір КП Human порушено законодавство щодо правових підстав співпраці, оскільки відсутній письмовий договір, безпосередньо укладений між власником системи (ТОВ«Х’ЮМАН») та володільцем інформації (закладом освіти). Згідно Закону «Про захист персональних даних» володілець ПД може доручити обробку ПД розпоряднику ПД відповідно до договору, укладеного в письмовій формі (п.4. ст.4). Розпорядник ПД може обробляти персональні дані лише з метою і в обсязі, визначених у договорі. Відповідно до Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» власник системи (ТОВ «Х’ЮМАН») має забезпечити захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із володільцем інформації (школою), якщо інше не передбачено законом – ст. 5 Закону. У даному випадку обрано модель, коли основний договір укладається між ТОВ «Х’ЮМАН» та КП «ГІОЦ», а для клієнтів та користувачів надаються публічні угоди (ліцензії), що розміщені на сайті у відкритому доступі, і з якими можливо ознайомитися під час реєстрації (Ліцензійний публічний договір (публічна оферта), Умови та правила використання, Політика конфіденційності, – ред.). Стороною кожної угоди є одночасно усі користувачі (школи, вчителі, учні), однак жоден з них не має можливості у разі необхідності вносити до неї зміни, а отже і впливати на покращення роботи щодо заходів безпеки. Така практика дозволяє ТОВ «Х’ЮМАН» порушувати вимоги безпеки інформації, що розміщується на платформі. Свідченням цього є те, що товариство, як власник системи, в односторонньому порядку прийняло рішення про можливість управління інформацією (усіх видів) без повідомлення про це школи чи користувачів. Згідно з правилами забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах конфіденційна інформація має захищатися як службова інформація. Пункт 6 правил передбачає, що під час обробки службової інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення. Згідно Ліцензійного публічного договору (оферти) клієнт (заклад освіти) надає свою згоду на те, що ТОВ «Х’ЮМАН» може: аналізувати інформацію та контент, що надаються, передаються, розміщуються на Платформі (закладами освіти, або користувачами – ред.); передавати результати аналізів іншим особам та/або користувачам; надавати в публічний доступ без повідомлення про це користувача та/або клієнта; не видаляти контент користувача, у випадку видалення профілю (протягом часу, який вважатимуть за потрібне у ТОВ «Х’ЮМАН»); вносити, редагувати або видаляти будь-яку інформацію, розміщену на платформі на власний розсуд, в тому числі змінювати кількість і склад контенту, розміщеного користувачем. Слід зазначити, що угоди-оферти значно звужують права клієнтів та користувачів, які з одного боку – не можуть внести до них зміни, а з іншого – не можуть відмовитися від «мовчазної згоди», оскільки у разі відмови вчителя, він може втратити роботу, у разі відмови учня – він може втратити гарантований державою доступ до освітніх послуг. Згода на обробку персональних даних Існують порушення і щодо наданням згоди на обробку персональних даних. В КП «Human» визначено, що заклад освіти збирає від користувачів (батьків та учнів) згоду на обробку персональних даних. Обов’язок збирання даних покладено на адміністратора, який не має права вносити на платформу будь-які персональні дані майбутніх користувачів без їх попередньої письмової згоди на обробку ПД. Однак відсутня інформація щодо порядку дій у разі відмови користувача надавати згоду (порядок знеособлення даних). Згідно статті 32 Конституції України не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Збирання такої згоди має бути обґрунтованим, зокрема: особа не повинна зазнавати тиску; має бути належно поінформована про мету і наслідки надання згоди; межі поширення її згоди повинні бути конкретними і розумними. Продовження розслідування читайте у частинi 2