Amit az iskola adatkezelési teendőiről tudni kell
Az adathalászokkal szembeni küzdelem az iskolák szempontjából is kiemelkedő, hiszen gyermekek adatait védik, és megjósolhatatlan következményekkel jár, ha jogosulatlanok kezébe kerül. A GDPR életbelépésével felmerült a kérdés, hogy az iskoláknak módosítaniuk kell-e adminisztratív gyakorlataikon? Mely információk minősülnek „érzékeny” adatoknak? Hogyan kell megfelelően tárolni az iskolai adatokat? – Dr. Sárközi Gabriella írásából közlünk részletet.
A GDPR
A GDPR (General Data Protection Regulation, Általános Adatvédelmi Rendelet) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szól, száma: 2016/679/EU. A GDPR alkalmazása 2018. május 25-től kötelező. Hatálya: minden olyan adatkezelőre és adatfeldolgozóra kiterjed, amely az EU-ban működik, így az iskola is adatkezelőnek minősül. A rendelet célja: a személyes adatok nagyobb védelme, melyet úgy ér el, hogy a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait.
A GDPR hatálybalépését megelőzően és azt követően is az adatvédelem területének legfontosabb jogszabálya az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.), melynek eljárási szabályait alkalmazni kell minden Magyarországon folytatott adatkezelésre – most már kiegészítve a GDPR szabályaival. A GDPR közvetlenül alkalmazandó az uniós tagállamokban, így Magyarországon is, és a jogszabályi hierarchiában az Infotv. felett áll.
A GDPR bizonyos esetekben teret enged a tagállami jogalkotónak további részletszabályok meghatározására, így az oktatás területén az Nkt.-ban és végrehajtási rendeleteiben szereplő adatkezelésre vonatkozó szabályokat a GDPR-ral és az Infotv.-vel összhangban kell alkalmazni.
A GDPR előtti adatkezelés az iskolákban
Az iskola életére korábban is viszonylag sok adatkezelési szabály vonatkozott:
- a nemzeti köznevelésről szóló 2011. évi CXC. törvény (a továbbiakban: Nkt.) 41–44/A. §-ai;
- az Nkt. végrehajtásáról szóló 229/2012. (VIII. 28.) Korm. rendelet I. fejezete,
- az oktatási nyilvántartásról szóló 2018. évi LXXXIX. törvény,
- 1992. évi XXXIII. törvény. a közalkalmazottak jogállásáról (a továbbiakban: Kjt.) 83/B. §, 5. sz. melléklet,
- 326/2013. (VIII. 30.) Korm. rendelet 10/A. § (7) bekezdés.
Ezeket a szabályokat jelenleg is fokozott figyelemmel végre kell hajtani.
A személyes adatok kezelésének számos helyszíne van az iskolában:
– Köznevelés Információs Rendszere (KIR);
– iskolai adminisztrációs rendszerek (IAR): elektronikus napló;
– Köznevelési Regisztrációs és Tanulmányi Alaprendszer (KRÉTA) stb.;
– KAFFEE-ügyintézés;
– iskolai honlap, közösségi portálok (pl. Facebook, Instagram)
– elektronikusan tárolt adatok (hálózati megosztás stb.).
– továbbá ide sorolhatjuk az iskolára jellemző olyan informális kapcsolatokat, melyek során számos informális adatszerzés történik az oktatási szereplők (diákok és tanárok) között. Az adatkezelésnek eme területén fokozottan figyelni kell a titoktartás szabályaira és a jogtudatosságra.
Az iskolai adatvédelem fontos bástyája a pedagógusi titoktartás. Az Nkt. 42. §-a szerint a pedagógust, a nevelő- és oktatómunkát közvetlenül segítő alkalmazottat, továbbá azt, aki közreműködik a tanuló felügyeletének az ellátásában, hivatásánál fogva harmadik személyekkel szemben titoktartási kötelezettség terheli a tanulóval és családjával kapcsolatos minden olyan információt illetően, amelyről a tanulóval, szülővel való kapcsolattartás során szerzett tudomást. E kötelezettség határidő nélkül fennmarad a foglalkoztatási jogviszony megszűnése után is.
A titoktartás nem szab gátat a gyermekekkel foglalkozó szakemberek munkájának, hiszen a titoktartási kötelezettség nem terjed ki a nevelőtestület tagjainak egymás közti, valamint a gyermekvédelmi jelzőrendszer tagjaival történő, a tanuló fejlődésével összefüggő megbeszélésre (értekezlet, esetmegbeszélés).
A pedagógus, valamint a nevelő és oktató munkát közvetlenül segítő alkalmazott (NOKS) a nevelési-oktatási intézmény vezetője útján köteles a gyermekvédelmi jelzőrendszert értesíteni, ha a gyermek veszélyeztetettségét észleli. Ebben a helyzetben az adattovábbításhoz az érintett, valamint az adattal kapcsolatosan egyébként rendelkezésre jogosult beleegyezése nem szükséges.
A gyermek és a kiskorú tanuló szülőjével minden, a gyermekével összefüggő adat közölhető, kivéve, ha az adat közlése súlyosan sértené a tanuló testi, értelmi vagy erkölcsi fejlődését. Vagyis, ha joggal feltételezhető, hogy az adat megosztása a gyermekre hátrányos lenne, akkor az adat a szülőnek nem továbbítható.
Az iskolai környezetben sokféle módon valósulhat meg jogszerűtlen adatkezelés, bizonyos esetekben adatvédelmi incidens. Például az iskolába felvett tanulók névsorának kiplakátozása, vagy weboldalon való közzététele jogszerűtlen, sőt a gyermekekre veszélyes. A szülőket az iskolának határozatban kell értesítenie gyermeke felvételéről. Jó gyakorlat az is, ha az iskola a szülőkkel folytatott kommunikációt olyan internetes felületen folytatja, amelyet csak az iskolával jogviszonyban álló szülők érnek el. De mások által (nemcsak az érintettek által) látható helyen a gyermeknek csak az OM azonosítója szerepelhet.
Szintén rossz gyakorlat az iskolában készített fotók jogosulatlan közzététele. A kiskorú tanuló fotójának megjelentetése az iskolaújságban, az iskola honlapján vagy Facebook-oldalán a törvényes képviselő hozzájárulása nélkül tilos.
Szintén jogszerűtlen pedagógiai célból a nem kulturált módon evő gyermekről videofelvétel készítése az iskola menzáján, mely alapvető személyiségi jogokat sért.
Úgyszintén jogsértő az osztálytermek teljes bekamerázása. A sort számos megtörtént esettel folytathatnánk. A személyes adatok védelme, az adatvédelmi incidensek megelőzése számos kötelezettséget ró az iskolákra: adatvédelmi tájékoztatók és adatvédelmi szabályzat készítése, adatvédelmi tisztviselő kinevezése, adatvédelmi incidens nyilvántartása, bejelentése, az incidenssel érintett személyek tájékoztatása. Hol találjuk ezeknek a jogi háttérszabályait? A GDPR-ban.
A teljes írás az Ellenőrzés a közoktatásban című kiadványunk kiegészítő kötetében jelent meg. Ha nem szeretne lemaradni az ellenőrzésekkel kapcsolatos legfrissebb cikkekről, szakértői írásokról, fizessen elő kiadványunkra MOST!