Згідно ст.11 Закону України від 01.06.2010 № 2297-VI «Про захист персональних даних» підставами для обробки персональних даних є згода суб'єкта персональних даних на обробку його персональних даних. Згідно ст. 2 цього ж Закону згода суб'єкта персональних даних – добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання.
Сімейним та Цивільним кодексами України передбачено деяку самостійність (цивільну дієздатність) дітей, але не у разі вступу до навчального закладу чи вчинення правочину. Батьки мають право захищати інтереси дітей, як їхні законні представники, без спеціальних на те повноважень. Отже, батьки мають право надати згоду на обробку персональних даних своєї дитини, а також власних персональних даних.
Положення про Єдину державну електронну базу з питань освіти, затверджене постановою Кабінету Міністрів України від 13.07.2011 № 752, визначає, що Єдина державна електронна база з питань освіти є джерелом даних, що використовуються, зокрема, під час виготовлення документів про освіту державного зразка, вчені звання та наукові ступені, ліцензій на надання освітніх послуг та сертифікатів про акредитацію, учнівських (студентських) квитків.
До Єдиної бази вносяться відомості, що містяться у базах даних, реєстрах, а також підготовлені у паперовій та електронній формі дані, що використовувалися у сфері освіти до створення Єдиної бази. У разі збирання персональних даних про фізичних осіб - учасників освітнього процесу забезпечується отримання їх згоди на обробку відповідних даних в Єдиній базі.
Відмова особи надати згоду на обробку її персональних даних у Єдиній базі та ІВС “ОСВІТА” унеможливлює обробку таких даних у зазначених базах, зокрема, виготовлення документів про освіту так як, частинами 6 та 7 статті 6 Закону України «Про захист персональних даних» встановлено заборону на обробку персональних даних про фізичну особу без її згоди.
Згідно ст. 8 Закону України від 01.06.2010 № 2297-VI «Про захист персональних даних» суб'єкт персональних даних має право пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким власником і розпорядником цієї бази, якщо ці дані обробляються незаконно або є недостовірними.
Закон України № 2297-VI не забороняє суб’єкту персональних даних розробити форму згоди самостійно. Однак, відповідно до Закону № 2297 згода має містити інформацію про:
- мету обробки персональних даних, яка визначається володільцем бази персональних даних залежно від виду його діяльності, при здійсненні якої виникає необхідність у обробці персональних даних у базах персональних даних, конкретних цілей обробки персональних даних, для досягнення яких володілець бази персональних даних обробляє персональні дані у цій базі (ст. 2 Закону № 2297);
- обсяг персональних даних, а саме чіткий перелік персональних даних фізичної особи, які можуть оброблятися володільцем бази персональних даних у цій базі (ст. 6 Закону № 2297);
- порядок використання персональних даних, який передбачає дії володільця бази щодо обробки цих даних, в тому числі використання персональних даних працівниками володільця бази персональних даних, відповідно до їхніх професійних чи службових або трудових обов’язків, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними (ст. 10 Закону № 2297);
- порядок поширення персональних даних, який передбачає дії володільця бази персональних даних щодо передачі відомостей про фізичну особу з бази персональних даних (ст. 14 Закону № 2297);
- порядок доступу до персональних даних третіх осіб, який визначає дії володільця бази персональних даних у разі отримання запиту від третьої особи щодо доступу до персональних даних, у тому числі порядок доступу суб’єкта персональних даних до відомостей про себе (ст. 16 Закону № 2297).
Згідно ч.3 ст. 10 Закону України «Про захист персональних даних» використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.