Ugrás a tartalomhoz Lépj a menübe
 


Adatkezelési feladatok a GDPR hatályba lépése után

2018.06.10

Adatkezelés az iskolában

az Uniós adatvédelmi rendelet (GDPR) hatályba lépéséből adódó feladatokról

2018. május 25-én hatályba lépett az új Uniós adatvédelmi rendelet. A szakmában általában GDPR rövidítéssel jelölt (General Data Protection Regulation) rendeletet az Európai Unió és az Európa Tanács a személyes adatok védelméről és az ilyen adatok kezelési szabályairól alkotta, betartása minden uniós szervezetnek és intézménynek az európai jogharmonizációból fakadó kötelezettsége.

Tekintsük most át, hogy a magyar köznevelési intézmények adatkezelési gyakorlatára, adatkezelési rutinjára milyen hatást gyakorol az uniós adatvédelmi rendelet, a GDPR. Alapvetően megnyugtathatom a kedves olvasókat, az iskolákban, óvodákban és más köznevelési intézményekben nem okoz áthidalhatatlan problémákat az uniós adatvédelmi szabályoknak történő megfelelés. Persze minden intézménynek át kell gondolnia adatkezelési gyakorlatát, a személyes adatok kezelésének kérdéseit, és az uniós elvárásoknak meg nem felelő adatkezelési gyakorlatot meg kell szüntetni. Pontosabban az adatkezelési gyakorlatunkat úgy kell szabályozni és a gyakorlatban alakítani, hogy az megfeleljen mind a magyar jogszabályoknak, mind a GDPR előírásainak. Ez a megfelelési elvárás természetesen szabályozó rendszerünk átalakítását, kibővítését vonja maga után.

  1. Az adatkezelés típusai a köznevelési intézményekben

Először azzal a fontos kérdéssel kell tisztában lennünk, hogy a szervezetek, így a köznevelési intézmények általában két jogcímen kezelik a tanulóikra, dolgozóikra és esetleges egyéb személyekre vonatkozó adatokat:

  • jogszabály által elrendelt adatkezelési kötelezettség teljesítésére
  • az intézmény vagy a tanuló/szülő érdeke miatt, de nem jogszabályi elrendelés alapján

A köznevelési intézményben kezelt bármely személyes adattal kapcsolatban először arra a kérdésre kell megkeresni és megtalálni a választ, hogy a szóban forgó adatot vajon jogszabályi elrendelés (kötelezettség) alapján kezeli az intézmény, vagy ettől eltérően a tanuló, dolgozó, szülő vagy érdekében, esetleg intézményi érdekből. Szerencsére az iskolában, óvodában és más köznevelési intézményben kezelt személyes adatok döntő többségét (becsülten minimum 95-99%-át) jogszabályi elrendelés alapján kezelik az intézmények.

A jogszabályi kötelezettség miatt történő adatkezelés esetében minden esetben meg kell jelölni azt, hogy melyik konkrét jogszabály alapján történik az adatkezelés. Példaként: a köznevelési intézmények a köznevelési törvény 41.§ (4) bekezdésének elrendelésére alapozva kezeli az általa tárolt tanulói személyes adatok szinte mindegyikét, hiszen a szóban forgó szakasz elrendeli az alábbi tanulói adatok intézményi nyilvántartását:

41. § (4) A köznevelési intézmény a gyermek, tanuló alábbi adatait tartja nyilván:

a) a gyermek, tanuló neve, születési helye és ideje, neme, állampolgársága, lakóhelyének, tartózkodási helyének címe, társadalombiztosítási azonosító jele, nem magyar állampolgár esetén a Magyarország területén való tartózkodás jogcíme és a tartózkodásra jogosító okirat megnevezése, száma,

b) szülője, törvényes képviselője neve, lakóhelye, tartózkodási helye, telefonszáma,

c) a gyermek óvodai fejlődésével kapcsolatos adatok,

d) a gyermek óvodai jogviszonyával, a tanuló tanulói jogviszonyával kapcsolatos adatok

da) felvételivel kapcsolatos adatok,

db) az a köznevelési alapfeladat, amelyre a jogviszony irányul,

dc) jogviszony szünetelésével, megszűnésével kapcsolatos adatok,

dd) a gyermek, tanuló mulasztásával kapcsolatos adatok,

de) kiemelt figyelmet igénylő gyermekre, tanulóra vonatkozó adatok,

df) a tanuló- és gyermekbalesetre vonatkozó adatok,

dg) a gyermek, tanuló oktatási azonosító száma,

dh) mérési azonosító,

e) a tanulói jogviszonnyal kapcsolatos adatok:

ea) a magántanulói jogállással kapcsolatos adatok,

eb) a tanuló magatartásának, szorgalmának és tudásának értékelése és minősítése, vizsgaadatok,

ec) felnőttoktatás esetében az oktatás munkarendjével kapcsolatos adatok,

ed) a tanulói fegyelmi és kártérítési ügyekkel kapcsolatos adatok,

ee) a tanuló diákigazolványának sorszáma,

ef) a tankönyvellátással kapcsolatos adatok,

eg) évfolyamismétlésre vonatkozó adatok,

eh) a tanulói jogviszony megszűnésének időpontja és oka,

f) az országos mérés-értékelés adatai.

     Hát, ez valóban tetemes adatmennyiség, amelyet jogszerűen, a köznevelési törvényben foglalt jogszabályi felhatalmazás alapján kezelnek a közoktatási intézmények. Most az olvasóban annak kell felvetődnie, hogy vajon van-e egyáltalán az iskolákban kezelt olyan személyes tanulói adat, amely a fenti listában nem szerepel. Bizony van. Ha nem is sok, de azért nem is kevés: ilyen adat például a tanuló sajátos nevelési igényére, a magatartására és osztályozására, vagy az étkezési kedvezmények, a normatív tankönyvellátás igénybevételéhez szükséges adatok.

De ismét megnyugtathatjuk az olvasót; ha a köznevelési törvény (a továbbiakban általában az Nkt. rövidítést használjuk) imént citált 41. §-át tovább olvassa, elérkezik a (8) és (9) bekezdésekig, amelyek további adatkezelési felhatalmazást adnak a tanulói adatok kezelése érdekében.

Nkt. 41. § (8) A gyermek, a tanuló

a) sajátos nevelési igényére, beilleszkedési zavarára, tanulási nehézségére, magatartási rendellenességére vonatkozó adatai a pedagógiai szakszolgálat intézményei és a nevelési-oktatási intézmények egymás között,

b) óvodai fejlődésével, valamint az iskolába lépéshez szükséges fejlettségével kapcsolatos adatai a szülőnek, a pedagógiai szakszolgálat intézményeinek, az iskolának,

c) magatartása, szorgalma és tudása értékelésével kapcsolatos adatai az érintett osztályon belül, a nevelőtestületen belül, a szülőnek, a vizsgabizottságnak, a gyakorlati képzés szervezőjének, a tanulószerződés alanyainak vagy ha az értékelés nem az iskolában történik, az iskolának, iskolaváltás esetén az új iskolának, a szakmai ellenőrzés végzőjének,

d)  diákigazolványa kiállításához szükséges valamennyi adata a KIR adatkezelője, a diákigazolvány elkészítésében közreműködők részére

továbbítható.

Nkt. 41. § (9) A nevelési-oktatási intézmény nyilvántartja továbbá azokat az adatokat, amelyek a jogszabályokban biztosított kedvezményekre való igényjogosultság elbírálásához és igazolásához szükségesek. E célból azok az adatok kezelhetők, amelyekből megállapítható a jogosult személye és a kedvezményre való jogosultsága.

Ezek után nyilvánvaló, hogy az alkalmazotti, munkavállalói adatok kezelésével kapcsolatban is számíthatunk a köznevelési törvény és a közalkalmazottak jogállásáról szóló törvény (a továbbiakban: Kjt.) adatkezelési felhatalmazására. Az Nkt. 41. § (6) bekezdésében elrendeli, hogy „A köznevelési intézmények az alkalmazottak személyes adatait csak a foglalkoztatással, a juttatások, kedvezmények, kötelezettségek megállapításával és teljesítésével, az állampolgári jogok és kötelezettségek teljesítésével kapcsolatosan, nemzetbiztonsági okokból, az e törvényben meghatározott nyilvántartások kezelése céljából, a célnak megfelelő mértékben, célhoz kötötten kezelhetik…”

Foglaljuk össze a köznevelési intézményekben leggyakrabban kezelt adatokra vonatkozó törvényi felhatalmazásokat:

Nkt. 44.§ (5): a tanulók személyes adatainak kezelhetősége a KIR-ben

Nkt. 41.§ (4) a tanulók személyes adatainak iskolai kezelhetősége

Nkt. 44.§ (7): a munkavállalók személyes adatainak kezelhetősége a KIR-ben

Kjt. 83/B.§: a közalkalmazottak (és más köznevelési intézményben foglalkoztatott munkavállalók) nyilvántartható adatai – a közalkalmazotti alapnyilvántartás

Nkt. 44.§ (14): a munkavállalók adatainak továbbítására történő felhatalmazás a KIR és az intézmények között

Nkt. 41.§ (6): a munkavállalók személyes adatainak intézményi kezelhetősége

  • az egyházi és magán fenntartásban működő intézmények számára az Nkt. 41.§ (2) rendeli el a Kjt. szerinti közalkalmazotti alapnyilvántartás használatát

Kjt. 83/B. § (1)  A munkáltató a közalkalmazottról az e törvény 5. számú mellékletében meghatározott adatkörre kiterjedő nyilvántartást vezet (a továbbiakban: közalkalmazotti alapnyilvántartás). Az 5. számú mellékletben nem szereplő körben – törvény eltérő rendelkezésének hiányában – adatszerzés nem végezhető, ilyen adatot nyilvántartani nem lehet.

Tekintsük át, hogy a Kjt. imént említett 5. sz. mellékletében szereplő közalkalmazotti alapnyilvántartás mely munkavállalói adatok nyilvántartását rendeli el. Ne feledkezzünk meg arról sem, hogy az egyházi és magánfenntartásban működő intézmények számára az Nkt. 41.§ (2) rendeli el a Kjt. szerinti közalkalmazotti alapnyilvántartással megegyező adatok nyilvántartását, tehát a Kjt. 5. sz. mellékletben felsorolt alábbi adatok bármely fenntartásban működő köznevelési intézmény kezelhető (kezelendő) adatvagyonának részét képezik.

A közalkalmazotti alapnyilvántartás adatköre

A közalkalmazott

I.- neve (leánykori neve)

- születési helye, ideje

- anyja neve

- TAJ száma, adóazonosító jele

- lakóhelye, tartózkodási hely, telefonszáma

- családi állapota, gyermekeinek születési ideje

- egyéb eltartottak száma, az eltartás kezdete

II.- legmagasabb iskolai végzettsége (több végzettség esetén valamennyi)

- szakképzettsége(i)

- iskolarendszeren kívüli oktatás keretében szerzett szakképesítése(i), valamint meghatározott munkakör betöltésére jogosító okiratok adatai

- tudományos fokozata, idegennyelv-ismerete

III.- a korábbi, 87/A. § (1) és (3) bekezdése szerinti jogviszonyban töltött időtartamok megnevezése,

- a munkahely megnevezése,

- a megszűnés módja, időpontja

IV.- a közalkalmazotti jogviszony kezdete

- állampolgársága

- a bűnügyi nyilvántartó szerv által kiállított hatósági bizonyítvány száma, kelte

- a jubileumi jutalom és a végkielégítés mértéke kiszámításának alapjául szolgáló időtartamok

V.- a közalkalmazottat foglalkoztató szerv neve, székhelye, statisztikai számjele

- e szervnél a jogviszony kezdete

- a közalkalmazott jelenlegi besorolása, besorolásának időpontja, vezetői beosztása, FEOR-száma

- címadományozás, jutalmazás, kitüntetés adatai

- a minősítések időpontja és tartalma

VI.- személyi juttatások

VII.- a közalkalmazott munkából való távollétének jogcíme és időtartama

VIII.- a közalkalmazotti jogviszony megszűnésének, valamint a végleges és a határozott idejű áthelyezés időpontja, módja, a végkielégítés adatai

IX.A közalkalmazott munkavégzésére irányuló egyéb jogviszonyával összefüggő adatai (41. § (1)-(2) bek.).

 

A köznevelési törvény 44. § (7) bekezdése rögzíti, hogy az Oktatási Hivatal a KIR rendszerében nyilvántarthatja az alábbi adatokat:

Az alkalmazott (munkavállaló):

a) nevét, anyja nevét, nemét, állampolgárságát,

b) születési helyét és idejét,

c) oktatási azonosító számát, pedagógusigazolványa számát,

d) végzettségére és szakképzettségére vonatkozó adatokat: felsőoktatási intézmény nevét, a diploma számát, a végzettséget, szakképzettséget, a végzettség, szakképzettség, a pedagógus-szakvizsga, PhD megszerzésének idejét,

e) munkaköre megnevezését,

f) munkáltatója nevét, címét, valamint OM azonosítóját,

g) munkavégzésének helyét,

h) jogviszonya kezdetének idejét, megszűnésének jogcímét és idejét,

i) vezetői beosztását,

j) besorolását,

k) jogviszonya, munkaviszonya időtartamát,

l)  munkaidejének mértékét,

m) tartós távollétének időtartamát,

n) lakcímét,

o)  elektronikus levelezési címét,

p) előmenetelével, pedagógiai-szakmai ellenőrzésével, pedagógus-továbbképzési kötelezettségének teljesítésével kapcsolatos adatok közül

pa) a szakmai gyakorlat idejét,

pb) esetleges akadémiai tagságát,

pc) munkaidő-kedvezményének tényét,

pd) minősítő vizsgájának kinevezési okmányban, munkaszerződésben rögzített határidejét,

pe) minősítő vizsgájának, minősítő eljárásra történő jelentkezésének időpontját, a minősítő vizsga és a minősítési eljárás időpontját és eredményét,

pf) az alkalmazottat érintő pedagógiai-szakmai ellenőrzés időpontját, megállapításait.

Áttekintve immár a köznevelési törvényben jogszabályi felhatalmazással kezelt tanulói és munkavállalói adatokat, felmerül a kérdés: vajon van-e egyáltalán olyan, az iskolák gyakorlatában kezelt, saját tanulóira vagy alkalmazottaira vonatkozó adat, amelynek kezelhetőségét közoktatási vagy közalkalmazotti jogszabály nem biztosítja? Természetesen vannak ilyen típusú gyakran kezelt adatok, ezek lehetnek például:

  • a gyermekek, tanulók speciális étkezési igényeire vonatkozó adatok, pl. ételallergia, lisztérzékenység, speciális táplálkozási igény,
  • a tanulók, dolgozók egészségi állapotára vonatkozó adatok, pl. egy akár hirtelen beavatkozást igénylő betegség (epilepszia, vérzékenység, stb.) ténye
  • a tanuló, dolgozó pszichés problémáira vonatkozó adat, pl. pánikra való hajlam, idegesség, szorongás
  • a dolgozó családjára, gyermekeire vonatkozó adat pl. egy munkahelyi karácsonyi rendezvény megszervezése érdekében
  • a tanuló, dolgozó fényképe, a róla készült filmfelvétel is személyes adatnak minősül, amelynek kezelési lehetőségét, kötelezettségét nem rendeli el jogszabály
  • a tanuló, dolgozó nemzetiségi hovatartozása
  • egyházi fenntartású iskolákban a tanuló felekezeti hovatartozására vonatkozó adatok, a keresztlevél, a papi, plébánosi ajánló levélben foglalt információk, amelyeket gyakran kérnek az egyházi intézményekbe beiratkozók esetében

Ezeknek az adatoknak a kezelésére jogszabály nem jogosítja föl a köznevelési intézményeket. Ezért ezeket az adatokat csak akkor lehet kezelni, ha a jogszabályi felhatalmazást meghaladóan kezelt adatok köréről tájékoztatjuk az érintetteket. Különösen vigyázni kell az esetlegesen kezelt különleges adatokra: nemzeti, faji hovatartozás, vallási-felekezeti hovatartozás, az egészségi állapottal kapcsolatos különleges adatok.

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény így rendelkezik:

3.§ 3. különleges adat:

a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,

b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat.

5. § (2) Különleges adat a 6. §-ban meghatározott esetekben, valamint akkor kezelhető, ha… az adatkezeléshez az érintett írásban hozzájárul.

  1. Az intézménnyel jogviszonyban nem lévő személyek adatainak kezelési problémái

Az eddigiekben bemutattuk a köznevelési intézmény tanulóinak és dolgozóinak adatkezelésével kapcsolatos legfontosabb tudnivalókat, amelynek során kiemelt figyelmet fordítottunk az adatkezelés két alaptípusára: a jogszabályi elrendelés alapján kezelt adatok körére, valamint az ezeken kívül az intézmény, a tanuló, a szülő érdekében kezelhető egyéb adatokra. Az előző fejezetben több példát is mutattunk arra, hogy vannak a köznevelési intézményekben kezelt olyan adatok is, amelyek kezelését nem rendeli el jogszabály.

Nem beszéltünk azonban még azokról az adatokról, amelyek az intézményhez nem tartozó személyekhez kötődnek, és azokat – adott esetben akár szándékán kívül – kezelnie kell az intézménynek. Hogy minden intézményben vannak ilyen kezelendő adatok, arról könnyen meg tudjuk győzni az olvasót. Tegyük föl, hogy egy külső személy benyújt az intézménybe egy önéletrajzot annak reményében, hogy információt adva magáról pedagógus vagy más munkakört tölthet be. Nyilvánvaló, hogy az eddig tárgyalt jogszabályok a külső személy adatainak semmiféle kezelésére nem jogosítják föl az intézményt. Vegyük sorra a legfontosabb ilyen típusproblémákat!

Az intézménybe – akár kéretlenül is – benyújtott önéletrajzok, ajánlatok jellemzően sok személyes adatot tartalmaznak, de akár különleges adatok is előbukkanhatnak bennük (pl. vallásra vonatkozó információ). Ha pedig az intézmény pályázatot hirdet, akkor az intézmény felhívására nyújtja be a pályázó személyes adatait. Az utóbbi esetben a pályázati kiírás gyakran tartalmaz olyan kötelező elemet, amely szerint a pályázónak nyilatkoznia kell, hogy a pályázatban és az annak részét képező önéletrajzban, erkölcsi bizonyítványban szereplő adatokat a pályázat elbírálása érdekében kezelheti a pályáztató. A kéretlenül benyújtott önéletrajzokban azonban ez a nyilatkozat sohasem szerepel. A probléma úgy hidalható át, hogy az intézmény adatkezelési szabályzata akár mellékletként tartalmaz egy rövid leírást arról, hogy a pályázatként vagy kéretlenül az intézmény számára megküldött önéletrajzokban szereplő adatokat az intézmény a leírásban meghatározott időtartamig kezelheti a pályázat elbírálása vagy a pedagógus jövőbeni esetleges alkalmazása érdekében. A dokumentumban föl kell hívni a figyelmet arra, hogy az adatokat az önéletrajzot benyújtó személy erre utaló magatartása alapján kezeli az intézmény, és információt kell adni arról, hogy az intézményhez benyújtott kérelmére az adatkezelést megszünteti az intézmény.

Ha az intézmény igazgatója, vezetői vagy pedagógusai az iskola szerverén működő vagy akár külső szerveren futó (Google, Yahoo, Freemail, stb.) levelezőrendszert használnak, és számukra ismeretlen személyektől elektronikus leveleket kapnak, akkor a levelezőrendszer tárolja az üzenetet küldő e-mail címét, és az üzenetben bizonyára szereplő nevét, esetleg lakóhelyét vagy más személyes adatát. Amint az iskola vezetője, pedagógusa, iskolatitkára ezt a levelet megkapja, a levelezőrendszer rögzíti az üzenetet, és a küldő személy adatait. Ha a címzett válaszol is az e-levélre, akkor az eredeti üzenetküldő adatai a címtárban is rögzítésre kerülnek. Márpedig ezeknek a személyes adatoknak a kezelhetőségét a köznevelési törvény vagy a Kjt. nyilvánvalóan nem biztosítja az iskolától független külső személy vonatkozásában. A megoldást ismét az adatkezelési szabályzathoz csatlakozó tájékoztató irat jelentheti, amely röviden és közérthetően leírja, hogy az intézmény vezetői, pedagógusai és dolgozói számára küldött elektronikus üzenetek küldése esetén magát az üzenetküldést úgy értelmezi az intézmény, hogy az üzenetküldő hozzájárul e-mail címének, nevének és az üzenetben közölt esetleges adatainak kezeléséhez. Ismét ki kell jelenteni azt, hogy amennyiben az üzenetküldő azt kéri, akkor a szabályzatban rögzített néhány nap időtartamon belül elektronikus üzenetét a címzett törli, és a levelezőrendszer címtárában is megsemmisíti a hozzá tartozó névjegyet.

Az egyik legnagyobb, szabályosan szinte meg sem oldható problémát a leggyakrabban követett eljárásunk okozhatja: ha az intézmény honlapján tanítványainkat, a pedagógusokat, a szülőket, az adott rendezvényen résztvevő vendégeket ábrázoló olyan fénykép jelenik meg, amelyen a szereplők (vagy egy részük) azonosíthatóan felismerhető, a fénykép megjelentetésével az intézmény olyan személyes adatot kezel, amelyre az eddig tárgyalt köznevelési jogszabályok nem adnak kezelési felhatalmazást. Ha erre az intézmény vezetői megoldást keresnek, akkor gyakran találják ki azt kézenfekvőnek látszó megoldást, hogy a beiratkozáskor minden szülővel aláíratnak egy olyan tartalmú nyilatkozatot, amely hozzájárulást biztosít az iskolai eseményeken készült fotóknak az iskola honlapján történő nyilvánosságra hozásához. A jogi szakemberek azonban – úgy gondolom, joggal – erősen kétségesnek tartják az ilyen jellegű, több évre és bármely iskolai eseményre vonatkozó nyilatkozat érvényességét. Ennek megoldására a jogászok azt a megoldást javasolják, hogy a szülőnek az előző tartalmú aláírt nyilatkozatát az adott dátummal megrendezett, pontosan megnevezett iskolai eseményre vonatkozóan szerezze be az intézmény. Ilyet azonban csak jogászok találhatnak ki, mert – bár az ilyen nyilatkozat támadhatatlanul érvényes – a lehetetlennel azonos kategóriába tartozna, ha az iskola akár csak egyetlen tanévben rendezett minden eseményével (tanévnyitó, ballagás, iskolai ünnepség, március 15-i műsor, bál, sportverseny, stb.) kapcsolatban be kívánná szerezni a szülők hozzájáruló nyilatkozatát. Alig jobb a helyzet, ha nem 4-8 évre, hanem csak egy tanévre vonatkozóan gondoljuk át a beszerzendő nyilatkozatokkal kapcsolatos munkát. Azt látjuk tehát, hogy a két szélsőséges megoldás egyáltalán nem alkalmazható.

Egy másik tipikus probléma az elektronikus naplók belépési adatainak kezelése. A korábban részletesen tárgyalt köznevelési jogszabályok nem tartalmazzák az e-naplók belépési adatainak kezelhetőségére történő felhatalmazást. Tekintettel arra, hogy az elektronikus naplókhoz való hozzáférés biztosítása érdekében az intézménynek kezelnie kell minimálisan a tanuló nevét, oktatási azonosítóját, az e-naplóhoz szükséges azonosítóját (login), valamint a belépéshez szükséges jelszót, az intézmény olyan személyes adatokat kezel, amelyre nincs törvényi felhatalmazása. A megoldás ismét az előzőekhez hasonlóan közzétett adatkezelési tájékoztatás, amely információkat ad az e-naplóhoz történő hozzáférési adatok kezeléséről. E tájékoztatásnak rögzítenie kell, hogy ezeket az adatokat a tanulói jogviszony megszűnését követő – mondjuk – egy éven, egy hónapon belül törli az intézmény. Ez a tájékoztatás nem tartalmazhat azonban olyan leírást, amely lehetővé tenné a tanuló vagy a szülő számára azt, hogy ne járuljon hozzá a belépési kódok intézményi kezeléséhez. Ebben az esetben ugyanis az iskola nem tudná teljesíteni a tanuló hiányzásával, osztályzataival, a vele kapcsolatos dicséretek és elmarasztalások közlésével kapcsolatos jogszabályi kötelezettségeit. 

A fényképek kezelésével kapcsolatban – álláspontom szerint – nincsen hibátlan és egyben reális munkabefektetéssel elérhető megoldás. Talán az a leginkább elfogadható, ha az intézmény adatkezelési szabályzatában a kezelt tanulói és dolgozói adatok felsorolásánál megjeleníti, hogy célhoz kötötten az intézmény honlapján kezeli az iskolai eseményeken készült fényképeket, és lehetővé teszi azt, hogy bármely szülő vagy tanuló úgy nyilatkozzék, hogy nem járul hozzá egy adott rendezvényen vagy általában az iskolai eseményeken készült fényképeknek a honlapon történő megjelentetéséhez, sőt általánosabban a saját fényképének mint adatnak a kezeléséhez.

Az e fejezetben tárgyalt adatkezelési tájékoztatókat e cikk – terjedelmi okok miatt – nem tartalmazhatja, de az általam vezetett iskola honlapjának 2018. június 6-tól működő „Adatvédelem” menüjében ezek elolvashatók és felhasználhatók.

Az ”idegen” személyi adatok kezelésével foglalkozó fejezetünk lezárásaként mindenképpen foglalkoznunk kell a GDPR által előírt adatvédelmi tisztviselő megbízásával és feladatkörével. Az intézmény vezetője az intézmény munkavállalói közül adatvédelmi tisztviselőt bíz meg, akinek feladatait munkaköri leírásának kiegészítésében határozza meg. Az adatvédelmi tisztviselő feladata az intézményi adatkezelés jogszerűségének ellenőrzése, az adatkezelés biztonságának érvényesítése. Az adatvédelmi tisztviselő rendkívül fontos feladata az, hogy tájékoztatással és szakmai tanáccsal segítse az intézmény adatkezeléssel foglalkozó munkavállalóit.

Ha iskolánk adatkezelési gyakorlatát vagy egy konkrét adat kezelését egy diákunk, egy szülő, egy pedagógus vagy egy intézményünkkel kapcsolatba került külső személy kifogásolja, akkor „adatvédelmi incidens” történik, amelyet az adatvédelmi tisztviselőnek kell kezelnie. A fentiekből az is következik, hogy ha bármely személy, akinek adatait az intézmény kezeli, kifogása van adatkezelési tevékenységünkkel szemben, problémájával az adatvédelmi tisztviselőt köteles megkeresni. Ennek érdekében az adatvédelmi tisztviselő nevét és elérhetőségeit (telefon, e-mail) az intézmény honlapján közzé kell tenni. Célszerű eljárás, ha az e fejezetben tárgyalt, az iskola honlapján közzétett adatkezelési tájékoztatók (pályázattal összefüggő személyes adatok kezelése, e-napló belépési azonosítók kezelése, stb.) mindegyike tartalmazza az intézmény adatvédelmi tisztviselőjének nevét és elérhetőségét.

Fontos tisztában lennünk azzal, hogy adatvédelmi tisztviselőt minden adatkezeléssel foglalkozó köznevelési intézményben meg kell bízni, feladatait munkaköri leírásában kell rögzíteni. Az adatvédelmi tisztviselő az adatkezeléssel és adatvédelemmel kapcsolatos feladatainak ellátása körében nem utasítható. Az intézményvezető az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az intézményvezetőnek tartozik felelősséggel.

  1. A jogszerű adatkezeléssel kapcsolatos aktuális intézményi feladatokról

Az első és legfontosabb feladat az intézményben kezelt személyi adatok teljes körének áttekintése, a kezelt adatok csoportosítása annak alapján, hogy azokat jogszabályi felhatalmazás alapján, vagy az intézmény, a szülő, a tanuló érdekében (de nem jogszabályi felhatalmazás alapján) kezeljük. Meg kell tehát határozni az iskolában, óvodában vagy más köznevelési intézményben azt, hogy a kezelt személyes adatokat (legyenek azok tanulói, dolgozói vagy intézménnyel kapcsolatban álló más személyek adatai) a szervezet milyen jogszabályi felhatalmazás alapján kezeli. A kezelt adatok azonosítása azért fontos, hogy az intézmény és a kezelt személyes adatok tulajdonosai (gyermekek, tanulók, pedagógusok, munkavállalók, partnerek, stb.) bármikor információhoz juthassanak arról, hogy az intézmény a GDPR előírásai szerint, valamint a magyar adatkezelési törvények szerint kezeli-e személyes adataikat.

Ennek érdekében az intézmény vezetőjének meg kell szerveznie, hogy az intézményben kezelt személyes adatokat minden adatkezelésben közreműködő személy bevonásával áttekintsék. A folyamatban irányító szerepet játszó intézményvezető mellett elkerülhetetlen az iskolatitkár, a gazdaságvezető (ha van ilyen az iskolában) és az élelmezésvezető bevonása. A feladat úgy oldható meg legegyszerűbben, ha az igazgató kolléga az 1. fejezetben található jogszabályi hivatkozásokkal listát készít a jogszabályi felhatalmazással kezelhető adatok köréről. Ha ezt minden érintett alaposan összeveti a saját munkakörében kezelt adatokkal, akkor minden egyes területen kiderülhet az, hogy kezelnek-e a munka során ettől eltérő adatokat. Amikor saját iskolámban ezt a folyamatot irányítottam, akkor találtam rá például arra, hogy a beiratkozáskor az iskola megtekintésre bekéri a megkeresztelt tanulók keresztlevelét, és ennek alapján sorolja be őket a felekezetek szerint szervezett (egyházi fenntartású iskolában kötelező) hitoktatásra. A pedagógusokkal kapcsolatos adatok áttekintésekor pedig arra lettem figyelmes, hogy iskolánk honlapján megjelenteti a pedagógusok fényképét, ez pedig a jogszabályi felsorolásban nem szereplő személyes adatok kezelésének tényét jelenti. Sőt egészen bizonyosak lehetünk benne, hogy a pedagógusok személyi anyagát képező önéletrajzokban számos olyan adatra lelhetünk, amelynek kezelhetőségét jogszabály nem írja elő.

Az iskolai mindennapokban a pedagógusok, osztályfőnökök is gyakran „kezelnek” személyes, sőt esetenként különleges adatokat jogszabályi felhatalmazás nélkül pl. akkor, amikor tanítványaikat osztálykirándulásra, táborozásra, projektoktatásra viszik, és megkérdezik az osztályban, hogy kinek van ételallergiája, kinek kell biztosítani lisztmentes táplálkozást, esetleg van-e az osztályban vegetáriánus étkezést igénylő tanuló. Amennyiben ezek valamelyike előfordul, a pedagógus máris különleges adatokat kezel annak ellenére, hogy adott esetben erről nem készít táblázatot vagy egyéb feljegyzést sem. Ezért az ilyen és ehhez hasonló adatok kezelését megelőzően minden esetben be kell szerezni a tanuló szülőjének az adatkezeléshez történő (szóbeli vagy írásbeli) hozzájárulását. Amennyiben ez a hozzájárulás nincs a pedagógus birtokában, akkor a különleges adatokat nem kezelheti.

Az osztályfőnökökkel, az osztályfőnöki munkaközösséggel is egyeztetni kell tehát arról a kérdésről, hogy vannak-e az iskola adatkezelési gyakorlatában a tanulókra, pedagógusokra vonatkozóan kezelt, az érintettek egészségi állapotára, táplálkozási igényeire, vallására, stb. vonatkozó adatok (ezek többsége jellemzően ráadásul különleges adatnak minősül). Amennyiben vannak ilyenek, ezekről gondos listát kell készíteni. Meg kell találni annak a módját, hogy az ilyen adatok kezelésekor az érintett szülők (nagykorú tanulóknál maguk a tanulók) hozzájárulásukat adják az adatkezeléshez.

Ilyen módszerek könnyen kitalálhatók és végrehajthatók egy iskolában. Például a beiratkozás alkalmával rövid írásos tájékoztatást adhatunk át a szülőknek, amelyben tájékoztatjuk azokról a személyes vagy (ritkán) különleges adatokról, amelyeket az iskola vagy a tanuló érdekében kezelni fogunk. A tájékoztatóban feltétlenül szerepeljen az, hogy amennyiben a szülő ehhez az adatkezeléshez nem kíván hozzájárulni, akkor ezt (pl. az osztályfőnöknek, az adatvédelmi tisztviselőnek) jelezheti. Az még jobb megoldás, ha a tájékoztatásról szóló iratot aláíratjuk a szülővel. Ebben az esetben ne feledkezzünk meg arról, hogy az irat másodpéldánya a szülőnél maradhasson.

Azoknál a tanulóknál, akik a GDPR hatályba lépése előtt is tanulói voltak az iskolának (azaz nem most iratkoztak be) ugyanezt a módszert követhetjük az adatkezeléshez történő hozzájárulás beszerzésére. De az a módszer sem kifogásolható, hogy minden szülő (és tanuló) számára elektronikus üzenetet küldünk a digitális napló révén, amelyben leírjuk azt, hogy milyen adatokat kívánunk kezelni a fenti adatkörből. Tájékoztassuk a szülőket arról, hogy amennyiben (és ameddig) nem jelenti be azt, hogy a levélben közölt személyes adatok nyilvántartásához nem járul hozzá, az intézmény kezelni fogja a szóban forgó adatokat. A tájékoztatóban arról is rövid tájékoztatást kell adnunk, hogy a szülő bármikor kérheti az adatkezelés megszüntetését. Külön figyelnünk kell az esetlegesen kezelendő különleges adatokra. Azt tanácsoljuk, hogy különleges adatot ne kezeljünk az e bekezdésben leírt elektronikus tájékoztatásra alapozva, azt csak személyes információátadást vagy szülői nyilatkozatot követően kezeljük.

Vannak azonban még egyszerűbb módszerek is. Például az első őszi szülői értekezleten rövid és világos tájékoztatást adunk a szülőknek a nem jogszabályi felhatalmazás alapján kezelni kívánt adatok köréről, és kérjük a szülőket, hogy a tájékoztató iratot írják alá abban az esetben, ha hozzájárulnak az iratban szereplő adatok intézményi kezeléséhez.

A kezelt adatvagyon és a jövőben kezelni szándékozott adatok körének felmérésekor tehát első teendőnk a kezelt adatok gondos elkülönítése annak alapján, hogy az adatot jogszabályi felhatalmazás vagy az érintett hozzájárulása révén kezeljük. Ha ez megfelelő gondossággal megtörtént, akkor a következő lépésként az intézmény adatkezelési szabályzatának átalakítása, de minimum alapos kiegészítése következzék. Először tekintsük át az adatkezelési szabályzat megalkotására vonatkozó jogszabályi előírást.

Nkt. 43. § (1) A köznevelési intézmény iratkezelési szabályzatában, ha ilyen készítése nem kötelező, a köznevelési intézmény SzMSz-ének mellékleteként kiadott adatkezelési szabályzatban kell meghatározni az adatkezelés és -továbbítás intézményi rendjét. Az adatkezelés időtartama nem haladhatja meg az irattári őrzési időt. Az adatkezelési szabályzat elkészítésénél, módosításánál nevelési-oktatási intézményben a szülői szervezetet és az iskolai, kollégiumi diákönkormányzatot véleményezési jog illeti meg. Adattovábbításra a köznevelési intézmény vezetője és – a meghatalmazás keretei között – az általa meghatalmazott vezető vagy más alkalmazott jogosult.

Az iratkezelési jogszabályokban hozzám hasonlóan kevéssé járatos oktatási szakembernek nem könnyű annak értelmezése, hogy kötelező-e a köznevelési intézményekben iratkezelési szabályzatot készíteni, vagy elegendő az SzMSz mellékleteként elkészített adatkezelési szabályzat. A Közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 35/2005. (XII.29.) Korm. rendelet 1.§ (1) bekezdésében elrendeli, hogy a szóban forgó kormányrendelet minden közfeladatot ellátó szervezetre vonatkozik. Tekintettel arra, hogy az állami és önkormányzati fenntartásban működő köznevelési intézmények a köznevelési feladataik ellátása során közfeladatot látnak el, a kormányrendeletben foglaltak végrehajtása számukra is kötelező, azaz nem elegendő az SzMSz mellékleteként kiadott adatkezelési szabályzat megjelenítése, hanem iratkezelési szabályzatban kell szabályozniuk az intézményi iratkezelés rendjét, valamint az adatkezeléssel kapcsolatos intézményi rendelkezéseket.

Az előző bekezdés tekintetében fordítsuk most figyelmünket az egyházi vagy magánfenntartásban működő köznevelési intézményekre annak érdekében, hogy vajon számukra is kötelező-e az adatkezelés rendjének iratkezelési szabályzatban történő szabályozása. Ha az egyházi vagy magánfenntartásban működő intézmény feladatait közoktatási megállapodás keretében látja el, akkor a megállapodás alapján közfeladatokat lát el, így az előző bekezdésben leírtak ezekre az intézményekre is vonatkoznak. Ha az ilyen fenntartásban működő intézmények nem közoktatási megállapodás alapján látják el köznevelési feladataikat, akkor elegendő számukra az SzMSz mellékleteként kiadott adatkezelési szabályzat elkészítése.

Cikkünk további részében figyelmünket azonban nem az iratkezelési kérdésekre, hanem kifejezetten az adatkezelési problémákra fordítjuk annak ellenére, hogy az adatkezelési szabályzatnak az intézmények döntő többségében az iratkezelési szabályzatban kell megjelennie. Az adatkezelési szabályzat megfontolt, alapos, sorról sorra történő áttekintése, a szükséges átalakítások elvégzése nélkülözhetetlen feladat. Ennek részeként azt a módszert javasolhatjuk, hogy az adatkezelési szabályzatot formáljuk át az alábbi szempontok következetes alkalmazásával:

  • adatkezelési szabályzatunk az iratkezelési szabályzat részeként vagy mellékleteként jelenjen meg
  • vizsgáljuk meg körültekintően adatkezelési szabályzatunkban annak jogszabályi hivatkozásait, emeljük be az Uniós adatvédelmi rendeletre (GDPR) történő hivatkozást, valamint a Közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 35/2005. (XII.29.) Korm. rendeletet
  • sorról sorra vizsgáljuk át korábbi adatkezelési szabályzatunkat, hogy a hivatkozott jogszabályi előírások mindegyike hatályban van-e
  • kiemelten fontos szempont, hogy szabályzatunkban minden jogszabályi felhatalmazással kezelt tanulói és munkavállalói adatkezelésnél a szóban forgó bekezdésben egyértelműen jelenjen meg, hogy melyik jogszabály melyik paragrafusa alapján kezeljük az adatot
  • szabályzatunk feltétlenül 2018. május 25. utáni dátummal jelenjék meg
  • tekintsük át, hogy a jogszabályi felhatalmazással kezelt tanulói és munkavállalói adatok mellett szerepel-e adatkezelési szabályzatunkban más személyes vagy különleges adat kezeléséről szóló leírás
  • gondoljuk át azt, hogy az előző francia bekezdésben felsorolt adatokon kívül milyen személyes adatokat kezelünk, amelyek nem az intézmény tanulóira és dolgozóira vonatkoznak – erről cikkünk előző fejezetében közöltünk információkat
     

Adatkezelési szabályzatunkat úgy kell átalakítani (vagy újra alkotni), hogy a szabályozás követhető és egyértelmű, az érintettek és az olvasók számára világos legyen. Ügyelni kell arra – ezt nem hangsúlyozhatjuk elégszer – hogy minden olyan jogszabályi felhatalmazást nevesítsünk, amely az adatok kezelését lehetségessé teszi a köznevelési intézmény számára. Ne feledkezzünk meg arról, hogy az adatkezelési szabályzat nevelőtestületi elfogadását megelőzően az Nkt. 43. § (1) bekezdésében előírt véleményezési jogot biztosítsuk a szülői szervezetnek és a diákönkormányzatnak, a véleményezési jog gyakorlásáról a szabályzat záradékai között az érintett szervezetek nyilatkozzanak.

A cikk Word formátumban itt tölthető le:

_GDPR Uniós adatvédelmi rendelet.docx

 

 

 

A mappában található képek előnézete Egyházi iskola lettünk