Adatvédelem és információszabadság

A digitális távoktatás adatvédelmi és adatbiztonsági vonatkozásai

AH

Ezzel a címmel jelent meg nemrég egy tájékoztató a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) weboldalán. A dokumentum szerint a COVID-19 járvány első hulláma idején bevezetett tanterven kívüli digitális oktatás számos adatvédelmi és adatbiztonsági kérdést vetett fel, különösen a tananyagok, a diákok feladatainak elvégzését igazoló videofelvételek és más egyéb dokumentumok feltöltése, megosztása és tárolása kapcsán.

Aktuális érdekesség egyébként, hogy a NAIH nemrég költözött át az Alkotmányvédelmi Hivatal korábbi, Falk Miksa utca 9-11. szám alatt található épületébe, ami egy érdekes döntés lehetett, az épületeket látva a költözés hasonlónak tűnik számomra, mint az SZTNH korábbi költözése, vagyis egy műemléki jellegű, de kisebb épületből történt költözés egy alapvetően eltérő stílusú, de nagyobb, tágasabb épületbe.

Mindez egyébként érdekes lakmuszpapírja lesz néhány hónapon (rosszabb esetben éven) keresztül annak, hogy az egyes vállalkozások mennyire követik nyomon az adatvédelmet érintő változásokat, hiszen a NAIH most megváltozott székhelye lényegében kötelező elemként jelenik meg az adatvédelmi tájékoztatókon.

Másik érdekesség pedig az, hogy az Alkotmányvédelmi Hivatal költözésének előkészítésekor kifejezetten az merült fel egyes médiatermékekben, hogy „ingatlanmutyi” is lehet annak hátterében, ami így nem nagyon látszik beigazolódni. Végezetül érdekesség, hogy a NAIH egy olyan épületbe, infrastruktúrába tudott költözni, amely nyilvánvalóan magasabb szintű információbiztonsági követelményeket tud teljesíteni, mint a korábbi,  más tekintetben impozáns épület.

Rátérve és idézve a digitális oktatással összefüggő ajánlásából, az egyértelműen kimondásra került, hogy a diák, hallgató neve és egyéb azonosító adatai, az írásbeli és szóbeli számonkérések tartalma, órai hozzászólásai, eredményei, fényképe, valamint a vizsgaeredmények is személyes adatnak, az adatokon elvégzett bármely művelet pedig adatkezelésnek minősül.

Az adatvédelmi szabályozásban a gyermekek személyes adatait fokozott, különös védelem illeti meg, tekintettel arra, hogy ők kevésbé lehetnek tisztában a személyes adataik kezelésével összefüggő körülményekkel, ideértve az adatkezelés esetleges kockázatait is. Ehhez hasonlóan a pedagógus által a tanórák keretében elmondottak kapcsán a hangja és a képmása, a munkahelyi tevékenységére vonatkozó adatok is személyes adatok.

Mivel digitális távoktatás esetén az adatkezelés célja a nemzeti köznevelésről szóló 2011. évi CXC. törvény alapján az iskolai nevelés és oktatás mint köznevelési alapfeladat ellátása, illetve a nemzeti felsőoktatásról szóló 2011. évi CCIV. törvény szerinti felsőoktatás biztosítása, erre tekintettel az annak során végzett adatkezelési tevékenységek a Hatóság véleménye szerint nem minősülnek magáncélú adatkezelésnek.

Tehát nem a pedagógus, hanem az önálló jogi személyiséggel rendelkező oktatási intézmény – egyes esetekben, ha konkrét adatkezelési célt határoz meg, akkor a tankerület – tekinthető adatkezelőnek, amely köteles az adatkezelés céljának és eszközeinek a meghatározására, az ő feladata az adatkezelésről megfelelő tájékoztatás nyújtása és az egyéb adatvédelmi követelményeknek való megfelelés biztosítása.

A pedagógus az oktatási intézmény alkalmazásában/nevében jár el és közfeladatot lát el. A pedagógust a gyermekkel kapcsolatosan tudomására jutott adatok vonatkozásában titoktartási kötelezettség terheli.

Fontos elvárás, hogy személyes adatok kezelése csak akkor és annyiban lehet indokolt, amennyiben az adatkezelés célját nem lehetséges adatkezelést nem igénylő eszközökkel elérni, személyes adatok kezelése esetén pedig minden esetben vizsgálni kell, hogy létezhet-e hatékony, de az érintettek magánszférájára kevésbé kockázatos megoldás.

Egyes esetekben például a tanulmányi kötelezettségek teljesítésének ellenőrzésére videófelvétel készítése és feltöltése helyett e kötelezettségek teljesítésének írásban történő igazolása a szülő által, vagy valós idejű kommunikációra szolgáló módszer (például online video chat) alkalmazása hatékony, ugyanakkor a gyermekek magánszférájára kevésbé kockázatos megoldást jelenthet, amennyiben az adatkezelő megítélése szerint az oktatott gyermekek száma és a pedagógus óraszáma alapján ezek is alkalmasak a cél elérésére.

Szintén kevésbé korlátozó megoldás a tanórák élő, valósidejű közvetítése („streaming”) a távoktatás keretében becsatlakozó diákok, hallgatók részére. A Hatóság felhívja a figyelmet arra, hogy az adattakarékosság elvére tekintettel a kamerát úgy szükséges elhelyezni, hogy az elsősorban a pedagógust, az általa alkalmazott oktatási eszközöket (tábla, projektor) közvetítse, azon lehetőség szerint csak abban az esetben szerepeljenek diákok, hallgatók, ha az a tanórán
végzett tevékenység bemutatásához, a tananyag feldolgozásához szorosan kapcsolódik, ahhoz szükséges (pl. kiscsoportos feladatmegoldás eredményének bemutatása a többi tanuló részére).

Ehhez kapcsolódó követelmény a célhoz kötöttség elvére tekintettel, hogy a közvetített órákat, előadásokat ne rögzítsék, ne tárolják, hiszen azok a hagyományos oktatás keretében sem kerülnek megőrzésre és alkalmasak lehetnek a diákokkal, hallgatókkal, vagy a pedagógussal szembeni visszaélésre (például online zaklatás esetleges kockázata). Amennyiben a távoktatásban részesülő diák, hallgató, szülői felügyeletet gyakorló személy a valós idejű közvetítést mégis rögzíti, jogosulatlanul felhasználja, úgy önállóan felel annak szerzői jogi, adatvédelmi jogi és esetleges büntetőjogi jogkövetkezményeiért is.

Az oktatási intézmény mint adatkezelő adatkezelésének a jogalapjaként a NAIH álláspontja szerint nem az érintettek (illetve 18 éven aluli gyermek esetén a szülői felügyeletet gyakorló személy) engedélye avagy hozzájárulása [GDPR 6. cikk (1) bekezdés a) pont] 12, hanem a GDPR 6. cikk (1) bekezdés e) pontjában meghatározott jogalap (közfeladat ellátása) szolgál, így annak jogszerűségéhez az érintettek hozzájárulása nem szükséges.

A NAIH kiemeli, hogy az adatkezelő, tehát az oktatási intézmény feladata az érintetteknek a GDPR 13. cikk (1) és (2) bekezdése szerinti tájékoztatást adni az adatkezeléssel kapcsolatos körülményekről (beleértve a digitális eszközök alkalmazásáról, és az ennek során igénybe vett adatfeldolgozókról mint címzettekről is), valamint részletes adatkezelési tájékoztatót kell részükre kidolgozni, továbbá biztosítani kell számukra a GDPR-ban rögzített jogaik gyakorlását.

A bizalmasság és integritás alapelvének értelmében videófelvételek esetén a felvételek tárolása kapcsán biztosítani kell, hogy jogosulatlan harmadik személy azokhoz ne férhessen hozzá. Az adatbiztonság kapcsán a gyermekek jogai különös védelmének a szem előtt tartásával, valamint a beépített és alapértelmezett adatvédelem elveinek érvényre juttatásával kell az adatkezelőnek kiválasztania az alkalmazandó módszert, technológiát.

A NAIH hangsúlyozza, hogy a megfelelő technológia kiválasztása és a pedagógusok számára a használatának az előírása az oktatási intézmény mint adatkezelő kötelezettsége és felelőssége az adatkezelés teljes folyamata során.

Az oktatási intézmények számára javasolja a Hatóság, hogy a pedagógusok részére munkahelyi e-mail címet hozzon létre és a nem az oktatási keretrendszerben (pl.: KRÉTA, Neptun, Moodle) zajló kommunikáció esetén írja elő a munkahelyi e-mail cím kötelező alkalmazását. Amennyiben a technikai feltételek adottak, biztosítani kell az iskolai rendszerek biztonságos távoli elérését.

Amennyiben a pedagógus saját eszközét használja, ez esetben is fontos követelmény az alapvető biztonsági követelmények betartása, így például jogtiszta szoftverek alkalmazása; víruskeresők, vírusírtók használata; a szükséges frissítések folyamatos letöltése. Ennek szabályozása, kialakítása, ellenőrzése szintén az oktatási intézmény érdekkörébe esik.

Jó gyakorlat lehet – amennyiben az adatküldés az oktatási keretrendszeren belül nem megvalósítható – egységes e-mail címek létrehozása az oktatási intézmény címe (domain neve) alatt a diákok részére is, annak elkerülése céljából, hogy a digitális távoktatás során a diákok, szülők a saját magán levelezési fiókjukat használják, amely akár személyes adatok harmadik országba történő továbbítását vonná maga után.

Amennyiben a diákoknak videófelvétel megküldése útján kell igazolniuk a gyakorlati órán kapott feladat elvégzését a pedagógus felé, és az oktatási keretrendszer e feladatra nem alkalmas, úgy a jelenleg elterjedtebbnek tekinthető Messenger, Viber, Whatsapp, stb., vagy e-mail útján történő megküldésnél adatvédelmi szempontból tudatosabb megoldás lehet például olyan platform vagy erre a célra szolgáló alkalmazás használata, ahol a gyermek (szülői felügyeletet gyakorló személy) a saját fiókjába feltöltött videó korlátozott ideig elérhető elérési útját (linkjét) küldi át a pedagógusnak; a meghatározott idő elteltét követően pedig a pedagógus nem férhet hozzá a videóhoz.

A számonkérések, dolgozatok kapcsán is érvényesülnie kell a korlátozott tárolhatóság elvének, így azok megőrzésének a nem távoktatás keretében előírt időtartamokhoz kell igazodnia. Így például az értékelést követően a pedagógus az adatokat az oktatási intézmény kapcsolódó szabályai szerint, csak témazáró dolgozatok, szakdolgozatok esetében őrizheti meg. Ha többen használnak egy eszközt, fontos az ún. „erős” jelszókövetelmények előírása és betartása, vagy például bizonyos idejű inaktivitás esetén az automatikus kijelentkeztetés alkalmazása a személyes adatot – is – tartalmazó rendszerekben.

Nyilvánosan elérhető csatornákra, weboldalakra kizárólag oktatási anyagokat töltsön fel a pedagógus, azokat ne használja személyes adatkezeléssel járó tevékenységre. Tekintettel arra, hogy minden oktatási intézmény köteles adatvédelmi tisztviselő kijelöléséről gondoskodni, akinek a GDPR-ban foglalt kiemelt feladata az adatkezelési kérdésekkel kapcsolatos tanácsadás, a Hatóság azt javasolja az oktatási intézmények, pedagógusok számára, hogy személyes adatkezeléssel járó tevékenységeik kialakítása során a fenti követelmények gyakorlati átültetése érdekében konzultáljanak intézményük adatvédelmi tisztviselőjével.

Borítókép: MTI

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:

 

Ajánlott tartalom