2025-ben is meg kell felelnünk a GDPR-nak!

2025-ben is meg kell felelnünk a GDPR-nak!

Az óvodavezetők számára átláthatatlan, hogy a GDPR szempontjából milyen teendőjük van azon túl, hogy hiányoznak bizonyos szabályzataik, illetve tájékoztatóik. A legtöbb esetben ezeket a dokumentumokat pótolják, kijelölik és bejelentik az adatvédelmi tisztviselőt, és utána elakad a folyamat, holott a GDPR megkívánná azoknak az ügymeneteknek a folyamatos monitoringját, amelyekben személyes adatok kezelése történik. A GDPR-nak 6 éve meg kellene felelni!

Az ÓvodaVezetési Ismeretek januári kötetében megjelent, Az óvodák GDPR-megfelelősége című írásunkban az adatvédelem terén a kialakult jó és rossz gyakorlatokat nézzük át, mindezt azért, hogy tanuljunk belőlük!

Az alábbiakban részletet közlünk Az óvodák GDPR-megfelelősége című írásunkból.

Az óvoda külső kapcsolatai

Szintén a GDPR-megfelelés egyik fontos területe az óvoda külső szakmai kapcsolatait rögzítő együttműködési megállapodások, mint például

• az étkeztetést lebonyolító cég,
• az EGYMI utazó gyógypedagógusi hálózata,
• az úszásoktatást végző cég,
• a felsőoktatási intézménnyel kötött együttműködési megállapodás óvodapedagógusnak tanuló hallgatók gyakorlatáról, vagy
• egy középiskolával történő megállapodás közösségi szolgálat elvégzéséről az óvoda területén, esetleg
• a MÁK-kal kötött szakmai és pénzügyi megállapodás illetményszámfejtésre, szja-megállapításra, elszámolásra, tb-ellátásokkal és információszolgáltatásokkal kapcsolatos feladatok elvégzésére a KIRA-rendszerben.

De ide tartozik

• a munkaalkalmassági vizsgálat céljából kötött szerződés a helyi egészségügyi szolgáltatóval vagy
• a helyi Család- és Gyermekjóléti Központtal kötött megállapodás is a szociális segítő óvodai feladatairól.

A külső kapcsolatokkal történő együttműködés során át kell gondolni, történik-e személyes adatok átadása.

Ha igen, például egy úszásoktatást lebonyolító cégnek biztos átadásra kerülnek az úszásra járó gyermekek nevei; ezekben a megállapodásokban rendelkezni kell arról, hogy a személyes adatkezelés az közös-e, vagy mind a két fél egyénileg önálló adatkezelő, milyen személyes adatokat adnak át egymásnak, milyen célból kezelik azokat, a törlésük mikor történik, illetve az érintettek a kérdéseikkel melyik adatkezelőt hol kereshetik meg. Mindezt érdemes az adatvédelmi szabályzatban is megemlíteni.

A külső kapcsolatokhoz sorolhatjuk azokat a szerződéses partnereket, akik a termeket kibérlik az óvodától. Az óvoda udvarának vagy termeinek igénybevételi rendjét általában az Adatkezelő SZMSZ-e szabályozza. Az óvoda termét/területét engedéllyel, bérleti szerződés keretében használó személyes adatai esetében is történik kezelése.

A kezelt személyes adatok általában vezeték- és keresztnév, lakcím, személyiigazolvány-szám, az érintett (bérlő) aláírása, végzett tevékenység. Az adatkezelés célja pedig az óvoda használatának nyilvántartása. Az adatkezelés jogalapja szerződés teljesítése lesz [GDPR 6. cikk (1) bekezdés b) pont]. Az adatkezelés időtartama a szerződés megszűnését követő 5 év, mert ezen esetekben érdemes a polgári jogi igények elévülését segítségül hívnunk az adatkezelés végének megállapításához (Ptk. 6:22. §). Jogi személyek esetében nem beszélhetünk személyes adatokról, így a magánszemélyek általi terembérleteknél végez csak az óvoda GDPR alá tartozó adatkezelést.

1. Kamerarendszer

A „külsősök” épületbe történő ki-be járása miatt szokott felvetődni az óvodában a vagyonvédelmi rendszerek kiépítése: kamera- és beléptetőrendszerek beüzemelése. Ne felejtsük el, hogy ezek esetében hatásvizsgálatot kell elvégeznünk a GDPR 35. §-ának (7) bekezdése szerint. Az adatvédelmi hatásvizsgálat célja az egyes adatkezelések kockázatának felmérése. A hatásvizsgálat elvégzése abban az esetben kötelező az adatkezelőnek, ha az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve [GDPR 34. § (4) bekezdés].

Melyek lehetnek ezek az esetek?

• Például amikor az óvoda beléptetőrendszert épít ki, olyat, mely kezeli a belépők személyes adatait.
• Vagy amikor az óvoda kamerarendszert épít ki.
• Vagy ha az ebédeltetés chipkártya-leolvasó rendszerrel működik, mely egészségügyi adatokat is kezel (pl. laktózérzékenység).

Ezek mind olyan helyzetek, ahol egyrészt kiskorú érintettekről van szó, nagyszámú az érintetti kör (az adatalanyok száma magas), és nagy mennyiségű személyes adat kezelése történik, esetleg különleges adat kezelése is.

A hatásvizsgálat lefolytatását nem az adatvédelmi felügyeleti hatóságtól kell kérvényezni.

A hatásvizsgálat az adatkezelő saját hatáskörben lefolytatott eljárása, amelynek egy lehetséges kifutásaként az adatkezelő köteles előzetes konzultációt kezdeményezni a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (a továbbiakban: NAIH), amennyiben az adatkezelő által lefolytatott hatásvizsgálat azt az eredményt hozta, hogy az adatkezelés vélhetően magas kockázattal jár az érintettek magánszférájára nézve.

Az adatvédelmi hatásvizsgálatot a NAIH nemcsak konzultáció biztosításával segíti, hanem egy szoftver segítségével is.

A kamera- és beléptetőrendszerek kiépítését megelőzően érdekmérlegelési tesztet is végeznünk kell, mert a jogalapunkat jogos érdekünkkel tudjuk csak alátámasztani [GDPR 6. cikk (1) bekezdés f) pont].

Mi az a jogos érdek? Az adatkezelő vagy valamely harmadik fél jogos érdeke teremthet jogalapot az adatkezelésre, feltéve, hogy az adatkezeléssel érintettek (gyermekek, pedagógusok) érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget az adatkezelő (vagy harmadik fél) jogos érdekével szemben, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait.

A nevelés-oktatás világában előfordulhat olyan adatkezelés, melynek nem képezi jogalapját a GDPR 6. cikk (1) bekezdés a)–e) pontjai, de az adatkezelésre mégis szükség van, mégpedig az adatkezelő jogos érdekeinek érvényesítése céljából [f) pont]. Ez azt jelenti, hogy mérlegelni kell a szemben álló érdekeket. Adatkezelőként nem kezdhetem meg az adatkezelést (pl. kamerák üzembe helyezésével gyűjteni a felvételeket), azzal, hogy rámondom: ez a jogos érdekem. Előbb érdekmérlegelési tesztet kell elvégezni az adatkezelő jogos érdeke és az adatkezeléssel érintett kört (leendő adatalanyok) alkotó személyek (érintettek) jogai és érdekei vonatkozásában. Egymással szemben ütköztetni kell az adatkezelői érdekeket, az érintett érdekeit, és amennyiben az érintettek jogait nem korlátozza túlzottan a bevezetni szándékozott adatkezelés, illetve adatkezelőként a célom az érintettek érdekeit is szem előtt tartja, és ezt az érdekmérlegelési tesztem is alátámasztja, akkor jogalappal rendelkezem az adatkezeléshez. Vagyis:

Ha a személyes adatok kezelése nem rendelkezik a GDPR 6. cikk (1) bekezdés a)–e) pontok közül jogalappal, az adatkezelő jogos érdeke jogalappal akkor támasztható alá az adatkezelés, ha van hozzá érdekmérlegelési dokumentum, mely valóban megalapozza az adatkezelést.