írta: dr. Káldi Ivett
A cikk a Crosssec Solutions szakmai támogatásával íródott.
Ebben a cikkükben visszakanyarodunk az adatvédelem alapjaihoz, a nevelési-oktatási intézmények működésének tükrében, gyakorlati példákon keresztül ismertetünk olyan alapfogalmakat, amik gondolatébresztőként hathatnak az óvodák, iskolák vezetői, pedagógusai számára, és a szülőknek is iránymutatást adnak, hogy mire kell figyelniük a saját és gyermekeik személyes adatainak védelmével kapcsolatban. Szót ejtünk továbbá az adatvédelmi incidensekről és a magyar adatvédelmi hatóság munkájáról.
De mi is az a személyes adat?
Személyes adat minden olyan adat és információ, amelyből egy személy beazonosítható, felismerhető vagy róla bizonyos tulajdonságok, jellemzők kikövetkeztethetőek. A klasszikus személyes adatokon (mint például a név, lakcím, életkor) túl gondoljunk a beiratkozáskor kezelt adatkörökre, a felvétel során az intézmény tudomására jutott adatokra, a kötelező dokumentumok vezetésére, mint például a mulasztási napló, a csoportnapló tartalmára, a gyermekek előrehaladásával kapcsolatos adatok kezelésére, osztályzatokra, továbbá az orvosi vizsgálatok, szűrővizsgálatok, balesetek során kezelt különleges személyes adatokra.
Ez utóbbiak kapcsán fontos kiemelni a különleges személyes adatok kategóriáit, amik tehát ugyanúgy személyes adatok, de azokat kiemelt védelemben kell részesíteni – az egészségügyi adatok, a vallási, nemzetiségi hovatartozásra vonatkozó adatok az intézmények által gyakran kezelt adatok. Fontos, hogy első lépésben az adatkezelő intézmény felismerje, hogy különleges adatról van szó, majd azok kezelését a GDPR erre vonatkozó külön jogalapjának egyike alapján kezelje.
Ahogyan azt már sokszor kiemeltük, már egyetlen fénykép is személyes adatnak minősül, amennyiben a gyermek beazonosítható rajta – ennek értelmében a gyermeket ábrázoló kép és videó elkészítése és bármely módon történő felhasználása, nyilvánosságra hozatala, közzététele adatkezelésnek, sőt két különböző adatkezelésnek minősül.
Ki az adatfeldolgozó és ki az adatkezelő?
A fotók, videók témakörénél maradva fontos megjegyezni, hogy azok megosztását megbízható felületeken kell biztosítani – és csakis akkor, ha ehhez hozzájárulást kapott az intézmény a szülőtől. A weboldal tárhelyszolgáltatója és más, a fotók megosztására szolgáló alkalmazások, a Google Photos, vagy mint például a kidea is, adatfeldolgozónak minősülnek – azonban vannak esetek, amikor a közösségi média felületek nem adatfeldolgozók, hanem az intézménnyel karöltve közös adatkezelők – Adatfeldolgozó lehet a megbízott egyéni vállalkozó fotós vagy cég, aki az intézményi ünnepségeken fotózást vállal. Adatfeldolgozó továbbá a levelezőrendszer szolgáltatója, a KIR, az INYR üzemeltetője is. Az adatfeldolgozók saját maguk deklarálják adatkezelési tájékoztatóikban általános szerződési feltételeikben, adatbiztonsági vállalásaikban azt, hogyan tárolják, védik az általuk kezelt, a rendszerükben tárolt adatokat. Amennyiben ilyen nincs, vagy nem eléggé részletes és mindenre kiterjedő a dokumentum, akkor intézménynek egy adatfeldolgozói megállapodásban javasolt rendezni a felek közötti viszonyokat – az adatkezelésre vonatkozó feladatokat, utasításokat, az adatfeldolgozó felé támasztott adatbiztonsági és egyéb elvárásokat, az adatok tárolási idejét, törlését, és a felelősség alakulását.
Az adatkezelő jellemzően a nevelési-oktatási intézmény – Az önkormányzati, alapítványi intézményeknél ez lehet a fenntartó maga. Az adatkezelő felelőssége meghatározni, hogy kinek a személyes adatait kell gyűjteni, kezelni, milyen típusú személyes adatra van szüksége az adatkezelési célok megvalósításához, mik ezek az adatkezelési célok, kivel osztja meg a személyes adatokat, mennyi ideig őrzi meg az adatokat, hogyan biztosítja a szülők és más érintettek GDPR-ban rögzített jogainak gyakorlását.
Amennyiben az intézmény a fotózás és a fotók nyilvánosságra hozatala, megosztása szempontjából adatkezelőnek minősül, úgy minden kötelezettség terheli, amit a GDPR előír. És ahogy fentebb említettük, a közösségi média egyes esetekben adatfeldolgozó, egyes esetekben pedig közös adatkezelő: amikor az intézménynek nyilvános oldalakat tartanak fent, az intézmény tevékenységétől függ, hogy minek minősülnek a felek. Az intézményt az általa kiválasztott és megbízott adatfeldolgozó (pl. fotós vagy a fotók megosztására szolgáló digitális platform) kapcsán is felelősség terheli! Ezért is hangsúlyozzuk annyiszor, hogy olyan adatfeldolgozót válasszon az óvoda, iskola, aki GDPR kompatibilisen működik. Az adatfeldolgozókat az adatkezelési tájékoztatókban is fel kell tüntetni és változásuk esetén aktualizálni kell azokat.
Mikor történik adatvédelmi incidens és mit tegyünk?
Adatvédelmi incidens akkor történik, amikor jogosulatlan személyek férnek hozzá személyes adatokhoz, vagy azokat jogosulatlanul vagy véletlenül közlik illetéktelenekkel. Incidens továbbá a személyes adatok véletlen vagy szándékos módosítása, illetőleg az elvesztése vagy a megsemmisülése. Adatvédelmi incidens történik, ha egy intézményi dolgozó, pedagógus tévedésből rossz e-mail címre küld egy olyan táblázatot, amiben gyermekek személyes adatai, fotói, esetleg egészségügyi állapotukra vonatkozó adatok szerepelnek – jelszó vagy más titkosítás nélkül. Incidens az is, ha egy intézménybe történt betörés során ellopnak egy laptopot, amin gyerekek személyes adatai találhatóak, és nincs a készüléken védelem. Ezen elv alapján az is incidesnként értelmezhető, ha a pedagógus telefonjához férnek hozzá illetéktelenek, amennyiben az az óvodába járó gyerekekről is tartalmaz fotókat. Incidens történik, ha egy számítógépes vírustámadás során megsemmisülnek a gyerekek adatai.
Incidens észlelése vagy annak csak gyanúja esetén azonnal meg kell kezdeni az ügy kivizsgálását – tájékoztatni a felettest, intézményvezetőt, meg kell állapítani, hogy incidens történt, ki kell tölteni az incidens nyilvántartást, azonnali biztonsági intézkedéseket kell eszközölni. Egyes esetekben az adatvédelmi incidenseket kötelező bejelenteni az adatvédelmi hatóságnak – a bejelentési kötelezettség attól függ, hogy az incidens mekkora veszéllyel jár az érintettekre nézve.
A Nemzeti Adatvédelmi és Információbiztonsági Hatóság (NAIH)
Hazánkban a NAIH feladata a személyes adatok védelméhez való jog érvényesülésének ellenőrzése és elősegítése. A NAIH jellemzően bejelentésre, de hivatalból is megindíthatja eljárását. A hatóság adatvédelmi bírságot szabhat ki és a megfelelő gyakorlat kialakítására kötelezheti az intézményt, egyes esetekben döntését pedig akár névvel is közzé teheti weboldalán.
A gyermekekről készült fotók közzététele a digitalizáció fejlődésével egyre komolyabb kihívás elé állítja az intézmények vezetőit, pedagógusait és a szülőket is. Elengedhetetlen ezért, hogy minden intézményvezető és más pedagógus, intézményi dolgozó tisztában legyen
- az adatkezeléssel kapcsolatos alapfogalmakkal,
- a személyes adat fogalmával,
- azok kezelésének kockázataival,
- felismerje, ha az adatok illetéktelenek személyekhez kerültek,
- be tudja azonosítani a szülők joggyakorlásárra irányuló kérelmét,
- de mindenek előtt az adatkezelés előtt tegye meg mindazon lépéseket, amit a GDPR kötelezően előír számára.
A kidea időszakosan szervez online képzéseket a témában, és weboldalunkon elérhető egy díjmentesen letölthető Óvodai Adatvédelmi Csomag, ami végig kalauzolja az intézményvezetőt és a fenntartót az óvodáknak előírt adatvédelmi szabályozás rendszerén, leírja a helyes adatvédelmi gyakorlat lépéseit az adatkezelési nyilvántartás elkészítésétől az adatkezelés befejeztéig.
A kidea hiánypótló megoldásként alkalmazható az állami szakmai felületek mellett, hiszen az nem a Krétát és Ovi-Krétát váltja ki, hanem az állami rendszerek mellett, a leginkább fotómegosztásra szolgáló közösségi média felületeket.
Az intézmények az érdeklődésüket a weboldalunkon, itt regisztrálhatják.
