Бізнес на крові? «легкої руки» одіозного Юрія Бойко базу персональних даних учнів українських шкіл та їх батьків «злито» спецслужбам РФ, частина 2

На думку Уповноваженого Верховної Ради країни з прав людини, безальтернативний збір згоди на обробку персональних даних порушує принцип добровільності її надання, а відмова особи від надання такої згоди в інформаційних системах не має стати перешкодою у наданні закладом освіти гарантованих Конституцією освітніх послуг.

ПЕРШУ ЧАСТИНУ розслідування читайте за посиланням

Поширення персональних даних
КП Human порушено законодавство щодо порядку поширення персональних даних, оскільки, у разі приєднання користувача до оферти, ТОВ «Х’ЮМАН» фактично отримує «попередню його згоду» щодо майбутніх подій і право передати його ПД третім особам, без належного інформування про це володільця інформації та користувачів (чи отримання від них згоди).

Згідно Закону «Про захист персональних даних» – суб’єкт персональних даних має право знати про володільця чи розпорядника персональних даних, а також отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані. Поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Але згідно Ліцензійного публічного договору ТОВ «Х’ЮМАН» має право передавати свої зобов’язання та права третім особам без повідомлення Клієнта. У Політиці конфіденційності зазначено, що ТОВ «Х’ЮМАН» за умови дотримання конфіденційності, може передавати персональну інформацію користувачів у разі продажу бізнесу або частини активів третій стороні; або для повноцінної реалізації окремих функцій платформи частина персональних даних, наданих з дозволу (користувача – ред.) платформі, може бути доступна для перегляду іншими користувачами.

Однак законодавством чітко визначено, що суб’єкт персональних даних має отримувати інформацію про третіх осіб, яким передаються його персональні дані.


Згідно інформації представників Human із соціальних мереж існує намір інтегрувати програму «Zoom» безпосередньо на платформу Human, що може стати додатковою загрозою безпеці інформації.

У 2020 р. спостерігався виток персональних даних та іншої інформації під час проведення Zoom-конференцій, крім того трафік онлайн уроків, а отже і персональна інформація, будуть проходити через інші країни.


Існує загроза витоку інформації при здійснені доступу користувачів в системі. На платформі адміністратор кожного закладу освіти після внесення номеру телефону користувача може переглянути паролі (ліцензії) користувачів своєї школи, роздрукувати їх чи надіслати користувачам по SMS.

І хоча на друкованій сторінці є попередження про конфіденційність інформації, це значно зменшує захищеність даних у разі випадкового доступу третіх осіб до сторінки адміністратора на платформі чи до друкованої версії даних. При цьому, згідно Умов та правил використання кількість адміністраторів відповідної школи не обмежена, що підвищує рівень небезпеки.

На платформі кожний клієнт самостійно реєструє свій профіль та вносить дані, а ТОВ «Х’ЮМАН» має право їх перевіряти та вимагати у клієнта документи (копії, скан-копії), що підтверджують реєстраційні дані, чи відмовити особі в реєстрації у разі виникнення певних умов (у т.ч. якщо вона не надала підтверджуючі документи). За спеціальним кодом можливо реєструвати дані інших осіб.

На предмет чого може здійснюватися така перевірка і як «Х’ЮМАН» може визначити, що дані не відповідають дійсності? Як будуть вестися електронні журнали, у разі не бажання «клієнтів» передавати копії свої документів на платформу, та відмові їм у реєстрації?

Згідно ТЗ 2019 р., ще 2020 року в Human мали бути впроваджені можливості реєстрації та авторизації за допомогою модуля авторизації KYIVSМARTCITY (за що було отримано 264 тис. грн., однак досі не реалізовано, – ред.) та ідентифікація користувачів за допомогою КЕП (ЕЦП), чи з урахуванням інформації, отриманої з програмного модуля «Реєстр дітей» ІТС «Муніципальний Реєстр» (МР ID.OC).

Викладаються відповідні фото для ілюстрації співпраці з програмою KYIVSМARTCITY.



У результаті розслідування виявилося, що компанія Human при створенні програмного забезпечення використала софт австралійської компанії «Аtlassian», яка відома своєю плідною роботою з РФ, про що йдеться на її офіційному сайті, тож персональні данні українських дітей та їх батьків «розгулюють» світовими дата-центрами.

У ході журналістського розслідування виплив ще один цікавий факт – сам сайт системи «Human» розташований на російському хостингу.



А от тепер переходимо до найцікавішого. Як Юрію Бойку з такими порушеннями законодавства та ключовими недопрацюваннями платформи ТОВ «Х’ЮМАН» взагалі вдалося виграти такі важливі тендери в сфері шкільної освіти України? Він підготувався заздалегідь. Варто лише перейти на сайти публічних закупівель. Неозброєним оком видно, що ТЗ тендерів писалися саме «під Human».

Київською міськдержадміністрацію, в особі КП «ГІОЦ», проведено два тендери (у 2019 та 2020 роках, – ред.) на закупівлю ліцензійного програмного забезпечення для закладів освіти (на 9.531 млн грн.), переможцем яких двічі стало ТОВ «Х’ЮМАН» (створене у 2018 р.), власник комп’ютерної програми «Human» (Нагадаємо, що рік тому ІТ-компанія змінила назву з ТОВ «ЕВОЛЮШН ГРУП» на ТОВ «Х’ЮМАН», – ред.).

Згідно з даними відкритих ресурсів щодо публічних закупівель, КП «ГІОЦ» у 2019 р. закуплено 7 000 ліцензій «Human школа» строком на 70 років на суму 3 651 000,00 грн.;
у 2020 р. закуплено ліцензій на суму 5 880 000 грн, у т.ч.: 20 000 ліцензій «Human школа» строком на 70 років для усіх користувачів;

140 000 ліцензій «Human школа» до 01.09.21 для усіх користувачів;

4 351 ліцензій КП «Human Lessons» до 01.09.21 для вчителів (доступ не відкритий).

Фактично укладено угод на закупівлю: 167 000 «Human школа» та 4315 «Human уроки» ліцензій. Однак у публічному доступі відсутні дані, які дозволять зробити висновок про ефективність використання коштів київської громади.

У Звіті про хід виконання Програми економічного і соціального розвитку м. Києва на 2018- 2020 роки за січень-вересень 2020 року (п. 307) зазначено що вже у 2020 р. до Системи менеджменту навчального процесу було підключено 32 заклади освіти та зареєстровано близько 30 тис. користувачів. За рахунок яких коштів відбулося приєднання близько 30 тис. користувачів, якщо у 2019 р. закуплено лише 7000 ліцензій?

І на цьому етапі виникає багато питань.

Чи існує перелік закладів, користувачам яких надані перші 7000 ліцензій, якщо так, то хто його веде? Яким чином Київська міськдержадміністрація (її департаменти чи комунальні підприємства), здійснюють облік наданих ліцензій, якщо реєстрація школи проводиться безпосередньо в КП «Human»?

Станом на початок повномасштабного вторгнення РФ в Україну, у Києві функціонували 428 заклади освіти, в яких навчалися 121 тис. учнів 1-4 класів та 179 тис. учнів 5-11 класів. Який порядок надання ліцензій був в рамках угоди 2020? Як були розподілені ліцензії між закладами освіти у наступні роки, особливо з огляду на різний термін їх використання (ліцензії на 70 р., ліцензії до 1.09.2021)?

Як будуть розподілені ліцензії «Human Lessons» для вчителів, якщо в закладах освіти м. Києва працювали 41 тис. вчителів, а закуплено для них лише 4351 ліцензію «Human уроки»?

І найголовніше. Чи мають право голосу педагогічні ради щодо приєднання до КП «Human», оскільки в рамках автономії та згідно ст. 40 Закону України «Про повну загальну середню освіту» саме педагогічна рада приймає рішення щодо провадження експериментальної чи інноваційної діяльності, чи використання інформаційних технологій?

А в Положенні про дистанційну форму здобуття повної загальної середньої освіти чітко зазначено, що для забезпечення єдиних підходів до створення електронного освітнього середовища заклад освіти може обирати та педагогічна рада схвалювати використання конкретних інформаційно-телекомунікаційних систем (електронних освітніх платформ), комунікаційних онлайн сервісів та інструментів (наказ МОН від 08.09.20 №1115).


Взагалі, щодо самих процедур закупівель існують підстави вважати, що під час їх проведення були порушені принципи конкурентності, що також може свідчити про наявність корупційних дій та зловживань.

Мета закупівлі 2020 р. – «отримання додаткових ліцензій програмного забезпечення, необхідного для організації дистанційної роботи вчителів та учнів у період карантину». Однак відсутні дані щодо позитивного досвіду використання ліцензій закупівлі 2019.

Під час обох закупівель не подавалася інформація про позитивний досвід використання платформи в комунальних закладах освіти: у 2019 наведено приклад угоди з ФОП – послуги з вивчення іноземних мов (720 грн. за 1 ліцензію), у 2020 р. наведено приклад Угоди з приватним закладом (600 грн. на рік).

«Human уроки», який необхідний для дистанційної роботи, все ще «у розробці». Онлайн заняття пропонується проводити на платформі «ZOOM» чи в інших соціальних мережах.

Під час проведення конкурентної закупівлі 2020 року здійснено «приховане» застосування переговорної процедури в інтересах «КП Human». Зокрема і тому, що в умовах тендерних документів конкурентної закупівлі (п.1.5 додатку 4) назву «Human» наведено як програму, що закуповується, а також зазначено про необхідність додаткових ліцензій.

Стаття 14 Закону «Про публічні закупівлі» дозволяє здійснювати посилання на існуючі торгівельні марки лише у випадку спрощених закупівель, а з огляду на обсяги фінансування (вартість закупівель >1 млн. грн.) можливо застосовувати лише конкурентну процедуру.

Згідно пункту 5 частини сьомої ст.3 Закону України «Про публічні закупівлі» закупівля додаткових аналогічних робіт чи послуг у того самого учасника здійснюється протягом 3 років після укладення договору про закупівлю, якщо загальна вартість таких робіт чи послуг не перевищує 50 відсотків ціни основного договору про закупівлю, укладеного за результатами проведення тендеру/спрощеної процедури.

В той самий час, вартість закупівлі 1 склала 3 386 980 UAH, а вартість закупівлі 2 – 5 880 000 грн., що на 74% більше вартості основного договору.

ТЗ навіть не передбачало необхідності мати дозволи та ліцензії, необхідні для використання ІКТ в закладах освіти, що також може свідчити про наявність корупційних дій та зловживань.

Викладене вище приводить до єдиного логічного висновку: обидва тендери писалися під «Х’ЮМАН», Бойко та його кремлівські куратори подбали не лише про відповідність критеріїв тендеру своєму продукту, а і про його майбутнє впровадження у українську систему середньої освіти задля однієї мети – збору персональних даних тисяч українців.


Як зазначалося раніше, під час закупівлі 2020 року не впроваджено деякий функціонал, доступ до якого мав надаватися згідно ТЗ закупівлі 2019 року (на 01.12.20 цей функціонал також відсутній, – ред.). Зокрема були відсутні:

реєстрація та авторизація за допомогою Модуля авторизації KYIVSМARTCITY;

налаштування електронної взаємодії з KYIVSМARTCITY – ідентифікація користувачів за допомогою КЕП (ЕЦП), чи з урахуванням інформації отриманої з програмного модуля «Реєстр дітей» ІТС «Муніципальний Реєстр» (МР ID.OC);

підтримка версії інтерфейсу для користувачів з поганим зором (збільшення розміру шрифту від 150% до 200%, перехід в режим збільшення кольорового контрасту);

функціонал «HUMAN уроки», що зазначено окремо в предметі постачання, ще тестувався;

відсутня можливість вести електронний класний журнал згідно вимог чинного законодавства (не усі сторінки класного журналу активні та його друк не відповідає паперовій версії), що не дозволяє закладу освіти перейти на безпаперове ведення шкільного журналу та зменшує мотивацію педагогів вести електронні документи.

Отже розробники програмного забезпечення «Human» компанії «Х’ЮМАН» не змогли гарантувати ані його функціонал, ані відповідність його українському законодавству, не кажучи вже про його безпеку. І є проста відповідь чому. Мети створити функціональну та захищену систему не було з самого початку, адже вона розроблялася лише як інструмент для збору персональних даних українців.

Можливо, ви скажете, що питання кібербезпеки не на часі. Проте війна рано чи пізно закінчиться, а персональні дані українців так і залишаться в РФ. Тому кібербезпека має бути одним із наріжних каменів політики сучасної держави, та, нажаль, це не дуже хвилює українські правоохоронні органи та владу. А дарма – у базі «Human» вже є персональні дані понад 50 тисяч осіб, більше третини з яких – діти (і їх кількість постійно зростає, – ред.).

За даними експертів, найбільшу небезпеку несе саме прив’язка імені до телефона й адреси проживання, а не поширення логінів і паролів електронної пошти. А телефони, імена і адреси, безумовно, мають бути у шкільному журналі, електронну версію якого розробили в «Х’ЮМАН». Саме ці персональні дані з легкої руки одіозного проросійського політика Юрія Бойка і ТОВ «Х’ЮМАН» опинилися в руках росіян, які кожного дня бомблять українські міста, вбивають, гвалтують та піддають тортурам громадян України. Компанія, фактичним власником якої є Бойко, цілеспрямовано збирала персональні дані українців для «зливу» спецслужбам РФ. І судячи з того, що наразі ця база відкрито продається, російські спецслужби її вже «відпрацювали».

Василь Тростянець, Спеціально для ІНФОРМАТОРу