A félelmetes GDPR és az iskolák

A GDPR (General Data Protection Regulation) a magánszemélyek adatvédelmi jogait erősíti az Európai Unió területén. Az új előírások minden olyan intézményt érintenek, amelyek személyes adatokat kezelnek, így az oktatási intézményeket is. Az adatvédelem hangsúlyozza a személyes és az „érzékeny” adatok közötti különbségeket. Személyes adatnak minősül minden olyan információ, amely hozzájárulhat egy személy vagy családtagjai azonosításához. Ide tartozik többek között a tanuló neve, lakcíme, elérhetősége, születési száma, fegyelmi adatai stb. Az iskolák esetében „érzékeny” adatoknak minősülnek a diák biometrikus adatai (pl. ujjlenyomat, fénykép), vallási vagy világnézeti meggyőződése, egészségügyi adatai (pl. allergiák), étkezési szükségletei, illetve szexuális irányultsága.

A GDPR továbbá két fontos szerepkört különböztet meg a személyes adatokat kezelő felek tekintetében: az adatkezelők határozzák meg az adatok kezelésének módját és céljait (ebbe a kategóriába tartoznak az iskolák is). Az adatfeldolgozók (pl. fényképész, online tanulási felületek) az adatkezelők nevében dolgozzák fel az adatokat.

Az Unión belül már eddig is létezett adatvédelmi szabályozás, illetve minden ország saját maga kezelte az adatvédelmi törvényt. Az egyes tagállamok azonban ezt különböző módon értelmezték. Például az elektronikus üzlet (e-kereskedelem) területén egy magyarországi adatvédelmi nyilatkozat teljesen más feltételeket szabott a vásárlással kapcsolatban, mint egy szlovákiai, ismertette Tóth Tibor, a magyariskola.sk honlap működtetője. Ezért született meg az EU új adatvédelmi szabályozása, amely kötelező az összes tagállam számára.

– A GDPR szigorúan kezeli az elektronikus üzleti szektort, ahol az adatvédelem ingatag lábakon állt, és visszaélhettek a vevő adataival. A törvénykezők azonban nem gondoltak bele abba, mekkora gondot okozhat az előírás például egy iskolában – véli Tóth Tibor. – A GDPR hatályba lépése után számos iskola kért „írásos biztosítékot” a szülőktől fényképek közzététele, vagy a diák nevének nyilvános megjelentetésével kapcsolatban, ami káoszhoz vezetett, és feleslegesen növelte az iskolai dokumentációt.

Emellett az új szabályozásnak megfelelően az összes közfeladatot ellátó szervezetnek (az iskoláknak is) ki kellett jelölnie egy adatvédelmi tisztviselőt, aki biztosítja, hogy az iskola megfeleljen a szabályozásnak.

Általánosságban érvényes, hogy ha van egy törvény, amely engedélyezi vagy kötelezi az adatfeldolgozót/adatkezelőt arra, hogy az adatokat begyűjtse, akkor ez a törvény felülírja a GDPR-t. Utóbbi akkor lép életbe, ha egyéb törvény nem rendelkezik az adatgyűjtés módjával és kezelésével kapcsolatban. Az iskolák esetében ez a 245/2008. sz. közoktatási törvény, amely kötelezővé teszi az iskola fenntartójának bizonyos adatok begyűjtését a diákoktól (név, születési dátum stb.). Ez esetben nem kell kikérni a szülő engedélyét az adatfeldolgozáshoz.

– A fényképek közzétételével kapcsolatban már bonyolultabb a helyzet. A GDPR szerint a fotók elhelyezése a faliújságon nem igényel engedélyt, mivel ez még az iskolai intézményben történik. Kérdés, hogy ezek a fotók felkerülhetnek-e a tanár által kezelt közösségi oldalra – mondta Tóth Tibor, hozzátéve, ez esetben helyénvalóbb lenne, ha egy zárt csoportban történne a fényképek megosztása, és nem nyilvános oldalakon.

Ezen a ponton fontos megjegyezni, hogy a kutatási, művészeti célokra felhasznált, illetve a nyomtatott, film-, rádió- és televíziós hírszolgálat számára készült felvételekre nem vonatkozik a rendelet. Ha például egy televíziós csatorna vágóképeket készít arról, hogy a gyerekek felmérőt írnak, nem kell aláírást kérni, hogy a gyerek szerepeljen a felvételen.

Számos iskola/óvoda számára természetessé vált, hogy marketing céljából közösségi oldalaikon tesznek közzé fényképeket, videókat a rendezvényeikről. A GDPR értelmében a nem beazonosítható tömegfotók esetében – ahol nem lehet azonosítani a konkrét személyt – nem kell engedélyt kérni. Ha azonban a fényképen csak egy gyerek szerepel, ott már kötelező az engedélykérés. Továbbá, ha a képet meg akarja valaki osztani egy nyilvános közösségi oldalon, ami nem minősül sajtóorgánumnak, ott is szükség van az engedélyre.

– Az egyik iskolában történt, hogy diákok meglátogattak egy neves szlovák politikai közszereplőt, és erről hivatalos felvételek készültek. A fotók megjelentek a sajtóban, mire két szülő nehezményezte, hogy gyermekük az illető politikussal látható a képen, és ők ehhez nem adták a hozzájárulásukat. Elméletileg ahhoz is beleegyezés szükséges, hogy a gyerekek névsora kikerüljön az iskola weboldalára, ennek ellenére az iskolák 90 százaléka ezt megteszi – magyarázta Tóth Tibor. – Az iskola kötelessége minden egyes rendezvény esetében a gyermekeket informálni arról, ha fénykép/videó készül. Nem lehet tehát év elején egy általános engedélyt aláíratni a szülőkkel, ami majd mindenre vonatkozik.

Egyre gyakoribb a kamerarendszerek használata az iskolákban a rendbontások, lopások miatt. Az iskolának kötelessége az intézmény bejáratán feltüntetni, hogy területén kamerarendszer működik. Hogy a diákok személyes adatai ne kerülhessenek illetéktelen kezekbe, fontos, hogy az iskola alkalmazottai kizárólag iskolai eszközökön tárolják a személyes adatokat, és ezeket erős jelszavakkal védjék. A GDPR előírja, hogy be kell iktatni azokat a technológiai és technikai módszereket, amelyek az adatbiztonságot szolgálják (pl. trezorba való elzárás, anonimizált adatok, erős jelszavak és kétfaktoros hitelesítés használata stb.), magyarázta a szakember.

(Megjelent a Magyar7 c. hetilap 2019/8. számában)