Rövid útmutató a GDPR-ről iskolák és pedagógusok számára

Image: karelnoppe / Shutterstock.com

Az adatvédelem elengedhetetlen, mivel ez biztosítja a magánélethez való jog érvényesülését és tiszteletét, valamint a manipuláció lehetőségének elkerülését. Ennek ellenére az Európai Unió új általános adatvédelmi rendeletének (GDPR – General Data Protection Regulation) elfogadása némi aggodalmat váltott ki. Felmerült a kérdés, hogy az iskoláknak módosítaniuk kell-e adminisztratív gyakorlataikon? Mely információk minősülnek „érzékeny” adatoknak? Megengedett-e ez után hordozható eszközökön tárolni iskolai adatokat? Az alábbi útmutató ahhoz kíván segítséget nyújtani, hogy jobban meg tudja védeni diákjai személyes adatait, de ahhoz is, hogy jobban értse, mi történik a saját adataival.

Tartsa szem előtt a személyes és az „érzékeny” adatok közötti különbségeket

Személyes adatnak minősül minden olyan információ, amely hozzájárulhat egy személy, vagy annak családtagjainak azonosításához. Az iskolai nyilvántartásokban szereplő adatok közül ide tartozik többek között az iskolai közösség tagjainak neve, lakcíme, elérhetőségei, fegyelmi adatai, valamint a diákok érdemjegyei és előmeneteli naplói. Az ilyen típusú adatok akkor is „személyesnek” minősülnek, ha az illető saját adatait publikálja valahol.

A személyes adatok „különleges kategóriái” érzékenyebb területeket érintenek. Az iskolák számára e kategóriák közül többek között a következők lehetnek relevánsak: a diákok biometrikus adatai (pl. ujjlenyomat, fénykép), vallási vagy világnézeti meggyőződése (pl. ha egy diák úgy dönt, hogy nem vesz részt az iskolai vallásos nevelésben), egészségügyi adatai (pl. allergiák) vagy étkezési szükségletei (amelyek utalhatnak vallási vagy világnézeti meggyőződésükre, illetve egészségügyi adataikra is). Az „érzékeny” vagy „különleges adatok” közé tartozó információk tárolása és kezelése kockázatokat jelenthet birtokosaik számára, ezért kezelésük és feldolgozásuk kizárólag meghatározott feltételek mellett megengedett. Az iskolák az ilyen adatokat nagy valószínűséggel csak a diákok szüleinek vagy gondviselőinek beleegyezésével használhatják fel.

Tartsa szem előtt az adatkezelők és az adatfeldolgozók közötti különbségeket

Az általános adatvédelmi rendelet hangsúlyosan megkülönböztet két szerepkört a személyes adatokat kezelő felek (akár egyes személyek, akár szervezetek) tekintetében: az ún. adatkezelők határozzák meg az adatok kezelésének módját és céljait, az adatfeldolgozók pedig az adatkezelők nevében feldolgozzák az adatokat. A különböző szerepköröket betöltő feleknek különböző jogi kötelezettségeknek kell megfelelniük.

Az iskolák tipikusan az „adatkezelő” kategóriába tartoznak, így egyértelmű és jól érthető szerződést kell kötniük az „adatfeldolgozókkal”. Az adatfeldolgozók köre rendkívül változatos lehet: ennek minősülhet akár egy fényképész, egy hulladékfeldolgozó vállalat, egy online tanulási felület, vagy éppen egy szoftver stb. is. Bármely művelet, amelyet az adatfeldolgozók a személyes adatokon végrehajtanak– így például az adatgyűjtés, az adattárolás, az adatok lehívása vagy megsemmisítése stb. – adatkezelésnek minősül, még akkor is, ha automatizált formában történik.

Szükséges intézkedések: önellenőrzés

Az új szabályozásnak megfelelően az összes közfeladatot ellátó szervezethez hasonlóan az iskoláknak is ki kell jelölnie egy adatvédelmi tisztviselőt, azaz egy olyan személyt, aki biztosítja, hogy az iskola megfeleljen a GDPR szabályozásainak. Az adatvédelmi tisztviselő feladata az iskolai adatkezelési irányelvek folyamatos ellenőrzése, képzések szervezése, felülvizsgálatok végrehajtása és még sok egyéb. Fontos azonban, hogy az adatvédelmi tisztviselő mellett az iskolák is kivegyék a részüket az iskolai nyilvántartás minden hiányosságának feltárásában és helyrehozatalában. Alább olyan szempontokat sorolunk fel, amelyet minden iskola vezetőségének érdemes megvizsgálnia:

  1. Az iskola milyen jogalapon kezel személyes adatokat? A GDPR rendelet szerint az adatkezelés hat esetben minősül jogszerűnek. Az iskolák számára e hat jogalap közül a leginkább releváns a „közérdekű feladat ellátása”, ami azt jelenti, hogy az iskolák bizonyos közérdekű feladat végrehajtása érdekében kezelhetnek adatokat. Ugyanakkor az ezen a jogalapon gyűjtött adatok más célok érdekében nem használhatók fel. Például az iskolák nem oszthatják meg a szülők e-mail címét egy harmadik féllel, amely iskolai rendezvényeket szervez azt állítva, hogy ez „közérdeket szolgáló feladat”. Az adatok ilyen jellegű megosztására egy másik jogalap adhat lehetőséget, mégpedig az adatkezeléshez való hozzájárulás. Az iskoláknak abban az esetben is hozzájárulást kell kérniük, ha a diákok számára felhasználói fiókot szeretne létrehozni egy felhőalapú szolgáltatáshoz.

  2. Hol tárolják a különböző adatokat, és kik férhetnek hozzá ezekhez? Az iskoláknak felül kell vizsgálniuk adatkezelési gyakorlatukat. A személyes adatok védelmének leginkább megfelelő módjáról ugyanis csak akkor tudnak megfelelő döntéseket hozni, ha már teljes körű ismeretekkel rendelkeznek az általuk tárolt személyes adatokkal kapcsolatban.

  3. Milyen biztonsági intézkedéseket léptettek életbe? A személyes adatok nem csak hackerek vagy ártalmas szoftverek révén kerülhetnek illetéktelen kezekbe. Előfordulhat például, hogy egy iskolai alkalmazott elveszíti a laptopját, vagy egy kíváncsi családtag is megtekintheti a hordozható eszközökön tárolt adatokat. Ezért fontos, hogy az iskolai munkatársak kizárólag iskolai eszközökön tároljanak személyes adatokat, ezeket az eszközöket erős jelszavakkal védjék, és állítsák be úgy, hogy ha használaton kívül állnak, öt perc után automatikusan zárják le a felhasználói felületet. Amennyiben mégis letöltenek adatokat valamilyen hordozható eszközre (pl. egy USB pendrive-ra), azokat titkosítani kell, jelszóval kell védeni, és távol kell tartani más felhasználóktól. Emellett az iskolai munkatársak számára képzéseket kell tartani a pszichológiai manipulációról, az adathalászatról, a felhő-alapú technológiákról, a zsarolóprogramokról, és további hasonló témákról.

  4. A szülők tájékoztatása. Az iskoláknak érdemes a szülőket is tájékoztatni a személyes adatok védelméről. Ezt megtehetik egy brosúrában, egy hírlevélben, e-mailben vagy postai levélben stb. Ismertessék, milyen adatokat gyűjtenek és miért, továbbá tájékoztassák a szülőket arról is, hogy az iskola által kezelt személyes adatokhoz mely harmadik felek rendelkeznek hozzáféréssel. Ne feledjék, hogy a GDPR szabályozásának megfelelően a diákoknak és a szülőknek joguk van (ingyenesen) megtekinteni, milyen adatokat tárolnak róluk.

Szükséges intézkedések: tájékozódás

A személyes adatok védelméről nemcsak a felnőtteknek, hanem a diákoknak is szükséges tájékozódniuk. A Közös Kutatóközpont (JRC – Joint Research Center) kifejezetten erre a célra fejlesztette ki a Cyber Chronix mobiljátékot, amelyben a játékosoknak a GDPR-hez kapcsolódó akadályokat kell legyőzniük egy futurisztikus bolygón.

Amennyiben szeretne bővebb információkat is megtudni a GDPR-ről, kapcsolatba léphet országa adatvédelmi hatóságával is.

Emellett elolvashatja az alábbi kiadványokat is, amelyeket a fenti útmutató összeállításához is felhasználtunk:

Végül, ha szeretné kiértékelni iskolája adatvédelmi intézkedéseit, töltse ki ezt a rövid kvízt, melyet a 360data állított össze.