A koronavírus-járvány második hulláma során az igazolt fertőződések száma és a járvány gyors ütemű terjedése miatt egyre több oktatási intézmény dönt ismételten a digitális oktatás bevezetése mellett. A téma aktualitására tekintettel a NAIH állásfoglalást bocsátott ki.
A koronavírus-járvány okozta megváltozott élethelyzet új kihívások elé állította az iskolarendszerű képzést nyújtó intézményeket is, így a tanterven kívül bevezetett digitális oktatás számtalan adatvédelmi kérdést vetett fel. Bár a digitális oktatás jelenleg nem országos szintű hazánkban, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) mégis indokoltnak vélte megválaszolni az azzal kapcsolatban felmerülő legfontosabb adatvédelmet érintő kérdéseket. A NAIH tájékoztatót bocsátott ki a digitális távoktatás adatvédelmi és adatbiztonsági vonatkozásairól, mely különösen érinti a tananyagokat, a diákok feladatainak elvégzését igazoló videofelvételeket, és más egyéb dokumentumok feltöltését, megosztását és tárolását. A NAIH négy tárgykörben – a GDPR-ban rögzített alapelvekre figyelemmel – foglalt állást a pedagógusok, valamint a köznevelési és felsőoktatási intézmények adatkezelését érintően.
1. A diákok neve és egyéb azonosító adatai, az írásbeli és szóbeli számonkérések tartalma, órai hozzászólásai, eredményei, fényképe, valamint a vizsgaeredmények mind személyes adatnak, az adaton elvégzett bármely művelet pedig adatkezelésnek minősül. (GDPR 4. cikk 1.-2. pontok). A pedagógus hangja, képmása és tanítói, oktatói tevékenységére vonatkozó adatok szintén személyes adatnak minősülnek.
Hangsúlyozandó, hogy a GDPR 38. Preambulum bekezdése értelmében az adatvédelmi szabályozás a gyermekek személyes adatait fokozott, különös védelem illeti meg – tekintettel arra, hogy ők kevésbé lehetnek tisztában az adataik kezelésével összefüggő körülményekkel és esetlegesen felmerülő kockázatokkal.
2. A NAIH rávilágított arra, hogy a digitális távoktatás keretei és részletszabályai jogszabályban jelenleg nincsenek rendezve, így a köznevelési és felsőoktatási intézményeket is érintő jogterületeken célszerűvé vált a jogalkotás. A NAIH kifejtette, hogy mivel a digitális távoktatás során megvalósuló adatkezelés célja az iskolai nevelés és oktatás – mint köznevelési alapfeladat – ellátása, az az otthoni tevékenység ellenére nem minősül magáncélú adatkezelésnek. Így az oktatási intézmény tekintendő adatkezelőnek, tehát az lesz a felelős adatkezelés megfelelő tájékoztatásáért és az egyéb adatvédelmi követelményeknek való megfelelés biztosításáért.
Mivel a pedagógust titoktartási kötelezettség [Köznevelési tv. 42. § (1) bek.] terheli a gyermekkel kapcsolatosan tudomására jutott adatok vonatkozásában, így ha a közfeladata ellátásán túlmenően azt bármely más célból felhasználja (továbbítja, vagy szükségtelen időtartamig tárolja), magatartása jogellenes adatkezelésnek, egyéb esetekben bűncselekménynek is minősülhet.
3. A GDPR 5. cikke tartalmaz egy sor alapelvet, amelyet a személyes adatok kezelése során – az adatkezelés jogalapjától függetlenül – folyamatosan érvényesülendő, figyelembe veendő szempontokat szolgáltat az adatkezelő számára. A megfelelőség igazolása ennek okán az adatkezelő feladata, aki az elszámoltathatóság elvére is figyelemmel köteles az adatokat úgy dokumentálni és az adatokkal kapcsolatos nyilvántartást vezetni, hogy annak jogszerűsége utóbb bizonyítható legyen.
A NAIH álláspontja szerint az adatkezelés során vizsgálandó, hogy létezik-e az érintettek magánszférájára kevésbé kockázatos megoldás. A NAIH – az adattakarékosság elvére tekintettel – felhívta a figyelmet, hogy a kamera elhelyezésének akként kellene megvalósulnia, hogy az a gyermekeket lehetőleg ne közvetítse, továbbá arra, hogy a tanórák szükségtelen rögzítését – a célhoz kötöttség elvére és a korlátozott tárolhatóság elvére is figyelemmel – mellőzzék. A NAIH álláspontja szerint a pedagógus a felvételek értékelése után azt haladéktalanul, vissza nem állítható módon törölni köteles.
A feltétlenül szükséges adatkezelésre vonatkozóan a NAIH azon álláspontra helyezkedik, hogy az oktatási intézmény adatkezelési jogalapjára a közfeladat ellátása szolgál [GDPR 6. cikk (1) bek. e)], így annak jogszerűségéhez az érintett hozzájárulása nem szükséges. Az adatkezelő, mint oktatási intézmény köteles az adatkezelés átláthatóságának biztosítása érdekében megadni az érintetteknek – szülő/ szülői felügyeletet gyakorló személy – a GDPR-ban is rögzített megfelelő tájékoztatást. Ezzel szemben az érintett jogosult arra, hogy tiltakozzon az egyes adatkezelések megvalósulásának módja vagy gyakorlata ellen, melyet az oktatási intézmény köteles vizsgálni és köteles mérlegelni, hogy alkalmazható-e egyéb más, az érintett magánszféráját kevésbé korlátozó eszköz.
A bizalmasság és integritás alapelvének [GDPR 5. cikk (1) bek. e)] értelmében a videofelvételek tárolása kapcsán biztosítani kell, hogy azokhoz jogosulatlanul harmadik személy ne férhessen hozzá. A gyermekek jogai különös védelmének szem előtt tartásával, valamint a beépített és alapértelmezett adatvédelem elveinek (GDPR 25. cikk) szem előtt tartásával kell az adatkezelőnek az adatbiztonságra vonatkozóan kiválasztania a megfelelő módszert és technológiát.
4. A NAIH egy sor adatvédelmi követelményt fogalmazott meg a lengyel adatvédelmi hatóság által kiadott tájékoztatóban írtakkal összhangban, melyek az alábbiak:
- munkahelyi e-mail cím kötelező használata,
- jogtiszta szoftverek, víruskeresők, vírusirtók használata, folyamatos frissítések ellátása,
- egységes e-mail címek létrehozása az oktatási intézmény címe (domain neve) alatt,
- videofelvétel küldésére alkalmas platform létrehozása – eltekintve a Viber, Messenger, Whatsup stb. alkalmazások használatától,
- kamerán keresztül történő vizsgáztatás során a magánszféra kiemelt védelmének biztosítása,
- erős jelszókövetelmények előírása és betartása olyan eszközök tekintetében, amelyeket többen alkalmaznak,
- a megfelelő garanciákat nyújtó adatfeldolgozó igénybevétele [GDPR 28. cikk (1) bek.]
A NAIH tájékoztató a digitális oktatás adatvédelmi és adatbiztonsági vonatkozásairól ITT elolvasható.