Adatvédelem a digitális távoktatásban

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Különös figyelmet kell fordítani a személyes adatok védelmére a digitális oktatás során. A NAIH közzétett ajánlásában ehhez nyújt segítséget.

A Covid-19 járvány első hulláma idején bevezetett tanterven kívüli digitális oktatás számos adatvédelmi és adatbiztonsági kérdést vetett fel, különösen a tananyagok, a diákok feladatainak elvégzését igazoló videofelvételek és más egyéb dokumentumok feltöltése, megosztása és tárolása kapcsán.

A vírus második hulláma során, a járvány gyors ütemű terjedése miatt egyre több oktatási intézmény dönt ismételten a digitális oktatás bevezetése mellett. A téma aktualitására tekintettel a NAIH tájékoztatót adott ki a digitális távoktatás adatvédelmi és adatbiztonsági vonatkozásairól.

A GDPR alapján a diák, hallgató neve és egyéb azonosító adatai, az írásbeli és szóbeli számonkérések tartalma, órai hozzászólásai, eredményei, fényképe, valamint a vizsgaeredmények is személyes adatnak, az adatokon elvégzett bármely művelet pedig adatkezelésnek minősül.

Fontos kiemelni, hogy az adatvédelmi szabályozásban a gyermekek személyes adatait fokozott, különös védelem illeti meg, tekintettel arra, hogy ők kevésbé lehetnek tisztában a személyes adataik kezelésével összefüggő körülményekkel, ideértve az adatkezelés esetleges kockázatait is.

A pedagógus által a tanórák keretében elmondottak kapcsán a hangja és a képmása, a munkahelyi tevékenységére vonatkozó adatok is személyes adatok.

A digitális távoktatás esetén nem a pedagógus, hanem az önálló jogi személyiséggel rendelkező oktatási intézmény – egyes esetekben, ha konkrét adatkezelési célt határoz meg, akkor a tankerület – tekinthető adatkezelőnek, amely köteles az adatkezelés céljának és eszközeinek a meghatározására, az ő feladata az adatkezelésről megfelelő tájékoztatás nyújtása és az egyéb adatvédelmi követelményeknek való megfelelés biztosítása.

A pedagógust a gyermekkel kapcsolatosan tudomására jutott adatok vonatkozásában titoktartási kötelezettség terheli. Abban az esetben, ha a kezelt személyes adatokat az adatkezelés céljától eltérő, azaz a közfeladata ellátásán kívüli bármilyen más célból felhasználja (így például jogosulatlanul továbbítja harmadik személy részére, terjeszti, vagy nyilvánosságra hozza), vagy az elengedhetetlenül szükséges időtartamon túl tárolja, az adatok biztonságát szolgáló intézkedéseket elmulasztja, úgy ez a magatartása jogellenes adatkezelésnek, bizonyos esetekben bűncselekménynek is minősülhet.

Az adattakarékosság elvének való megfelelés érdekében ha az iskolai (elsősorban gyakorlati) feladat elvégzését videófelvétellel kell a diáknak igazolni, úgy elvárás, hogy a felvételen ne szerepeljen a tanulón kívül más személy, és az otthoni, privát teréből, környezetéből is minél kevesebb látszódjon.

Fontos elvárás, hogy személyes adatok kezelése csak akkor és annyiban lehet indokolt, amennyiben az adatkezelés célját nem lehetséges adatkezelést nem igénylő eszközökkel elérni, személyes adatok kezelése esetén pedig minden esetben vizsgálni kell, hogy létezhet-e hatékony, de az érintettek magánszférájára kevésbé kockázatos megoldás.

Egyes esetekben például a tanulmányi kötelezettségek teljesítésének ellenőrzésére videófelvétel készítése és feltöltése helyett e kötelezettségek teljesítésének írásban történő igazolása a szülő által, vagy valós idejű kommunikációra szolgáló módszer (például online videochat) alkalmazása hatékony, ugyanakkor a gyermekek magánszférájára kevésbé kockázatos megoldást jelenthet, amennyiben az adatkezelő megítélése szerint az oktatott gyermekek száma és a pedagógus óraszáma alapján ezek is alkalmasak a cél elérésére.

Szintén kevésbé korlátozó megoldás a tanórák élő, valósidejű közvetítése („streaming”) a távoktatás keretében becsatlakozó diákok, hallgatók részére. A NAIH felhívja a figyelmet arra, hogy az adattakarékosság elvére tekintettel a kamerát úgy szükséges elhelyezni, hogy az elsősorban a pedagógust, az általa alkalmazott oktatási eszközöket (tábla, projektor) közvetítse, azon lehetőség szerint csak abban az esetben szerepeljenek diákok, hallgatók, ha az a tanórán végzett tevékenység bemutatásához, a tananyag feldolgozásához szorosan kapcsolódik, ahhoz szükséges (pl. kiscsoportos feladatmegoldás eredményének bemutatása a többi tanuló részére).

Ehhez kapcsolódó követelmény a célhoz kötöttség elvére tekintettel, hogy a közvetített órákat, előadásokat ne rögzítsék, ne tárolják, hiszen azok a hagyományos oktatás keretében sem kerülnek megőrzésre és alkalmasak lehetnek a diákokkal, hallgatókkal, vagy a pedagógussal szembeni visszaélésre (például online zaklatás esetleges kockázata). Amennyiben a távoktatásban részesülő diák, hallgató, szülői felügyeletet gyakorló személy a valós idejű közvetítést mégis rögzíti, jogosulatlanul felhasználja, úgy önállóan felel annak szerzői jogi, adatvédelmi jogi és esetleges büntetőjogi jogkövetkezményeiért is.

Az oktatási intézmény mint adatkezelő adatkezelésének a jogalapjaként a NAIH álláspontja szerint nem az érintettek hozzájárulása, hanem a GDPR 6. cikk (1) bekezdés e) pontjában meghatározott közfeladat ellátása szolgál, így annak jogszerűségéhez az érintettek hozzájárulása nem szükséges.

A korlátozott tárolhatóság elvének való megfelelés érdekében a NAIH szerint jó gyakorlatnak mondható annak előírása az oktatási intézmény részéről, hogy a felvételeket az értékelés megtörténte után a pedagógus haladéktalanul, vissza nem állítható módon törölni köteles. A további megőrzés indokaként az adatkezelő nem hivatkozhat általánosságban arra, hogy azt egy esetleges későbbi ellenőrzés miatt meg kell tartani, hiszen az iskolai szakfelügyelők, intézményvezetők sincsenek mindig jelen a gyakorlati órákon.

A NAIH felhívta a figyelmet, hogy a GDPR 13. cikke alapján az érintettek részére adatkezelési tájékoztatót kell kidolgozni, továbbá biztosítani kell számukra a GDPR 15-22. cikkei szerinti jogaik gyakorlását.

Az érintett (illetve a szülői felügyeletet gyakorló személy) a saját (vagy a felügyelete alatt álló gyermek) helyzetével kapcsolatos okból jogosult arra, hogy tiltakozzon a közfeladat ellátása keretében megvalósuló egyes adatkezelési műveletek módja, gyakorlati kialakítása kapcsán. A tiltakozást az oktatási intézmény köteles érdemben megvizsgálni, annak elbírálásakor az adatkezelőnek mérlegelnie kell, hogy a konkrét érintett vonatkozásában enyhébb, az érintett magánszféráját kevésbé korlátozó eszköz, adatkezelési módszer alkalmazható-e az adatkezelési cél elérésére. Ez ugyanakkor nem vezethet arra, hogy az oktatási intézmény a közfeladatát digitális távoktatás formájában általánosságban ne láthassa el.

A bizalmasság és integritás alapelvének értelmében videófelvételek esetén a felvételek tárolása kapcsán biztosítani kell, hogy jogosulatlan harmadik személy azokhoz ne férhessen hozzá.

A NAIH hangsúlyozta, hogy a megfelelő technológia kiválasztása és a pedagógusok számára a használatának az előírása az oktatási intézmény mint adatkezelő kötelezettsége és felelőssége az adatkezelés teljes folyamata során.

A GDPR előírásainak való megfelelés érdekében a NAIH az alábbiakat ajánlja:

• A pedagógusok részére munkahelyi e-mail címet kell létrehozni és a nem az oktatási keretrendszerben (pl.: KRÉTA, Neptun, Moodle) zajló kommunikáció esetén annak kötelező alkalmazását elő kell írni.
• Amennyiben a technikai feltételek adottak, biztosítani kell az iskolai rendszerek biztonságos távoli elérését. A pedagógus köteles a rendelkezésére álló digitális eszközök biztonságos használatára, függetlenül attól, hogy azok a saját eszközei, avagy az oktatási intézmény bocsátotta azokat a rendelkezésére. Tekintettel arra, hogy a pedagógus saját eszközén is az oktatási intézmény felelőssége keretében végzi az oktatási feladataihoz szükséges adatkezelési műveleteket, az intézmény tájékoztatást kérhet az alkalmazott adatbiztonsági intézkedésekről, szükség esetén pedig ellenőrizheti is azokat.
• Amennyiben a pedagógus saját eszközét használja, ez esetben is fontos követelmény az alapvető biztonsági követelmények betartása, így például jogtiszta szoftverek alkalmazása; víruskeresők, vírusírtók használata; a szükséges frissítések folyamatos letöltése. Ennek szabályozása, kialakítása, ellenőrzése szintén az oktatási intézmény érdekkörébe esik.
• Jó gyakorlat lehet – amennyiben az adatküldés az oktatási keretrendszeren belül nem megvalósítható – egységes e-mail címek létrehozása az oktatási intézmény címe (domain neve) alatt a diákok részére is, annak elkerülése céljából, hogy a digitális távoktatás során a diákok, szülők a saját magán levelezési fiókjukat használják, amely akár személyes adatok harmadik országba történő továbbítását vonná maga után.
• A NAIH nem javasolja továbbá a diákok (szülői felügyeletet gyakorló személy) által megküldött/feltöltött videók adathordozóra történő kimásolását, az kizárólag abban az esetben lehet indokolt, ha az oktatási keretrendszeren keresztül, vagy munkahelyi e-mail cím hozzáféréssel sem lehet megvalósítani a dokumentumok elérését. Abban az esetben, ha ez mégis elengedhetetlen, úgy mindenképpen technikai védelemmel ellátott (jelszóval védett, vagy fájl szintű titkosítással rendelkező – hardvertitkosított) adathordozók használata javasolt a gyermekek adatait érintő adatvédelmi incidensek megelőzése érdekében. Ilyen megoldások akár ingyenesen is elérhetőek akár a szülők, akár a pedagógusok számára.
• Amennyiben a diákoknak videófelvétel megküldése útján kell igazolniuk a gyakorlati órán kapott feladat elvégzését a pedagógus felé, és az oktatási keretrendszer e feladatra nem alkalmas, úgy a jelenleg elterjedtebbnek tekinthető Messenger, Viber, Whatsapp, stb., vagy e-mail útján történő megküldésnél adatvédelmi szempontból tudatosabb megoldás lehet például olyan platform vagy erre a célra szolgáló alkalmazás használata, ahol a gyermek (szülői felügyeletet gyakorló személy) a saját fiókjába feltöltött videó korlátozott ideig elérhető elérési útját (linkjét) küldi át a pedagógusnak; a meghatározott idő elteltét követően pedig a pedagógus nem férhet hozzá a videóhoz.
• Leginkább felsőoktatási intézményekben gyakori a vizsgáztatás azon esete, amely során a vizsgázónak kamerán keresztül kell igazolnia a személyazonosságát, és a vizsgázót a teljes vizsga során kamerával figyelik a csalások elkerülése érdekében. Ilyen esetben fontos adatvédelmi követelmény, hogy a kamerás megfigyelés nem járhat a magánszféra sérelmével, így a kamerák látószögét úgy kell beállítani, hogy csak a releváns adatok látszódjanak rajta, a környezet, a lakás és annak berendezése semmi esetre sem. A felvételek őrzése és tárolása kapcsán is érvényesülniük kell a fent részletesen kifejtett adatvédelmi alapelveknek.
• A számonkérések, dolgozatok kapcsán is érvényesülnie kell a korlátozott tárolhatóság elvének, így azok megőrzésének a nem távoktatás keretében előírt időtartamokhoz kell igazodnia. Így például az értékelést követően a pedagógus az adatokat az oktatási intézmény kapcsolódó szabályai szerint, csak témazáró dolgozatok, szakdolgozatok, stb. esetében őrizheti meg.
• A pedagógusok oktatási intézmény általi ellenőrzésére ugyanazok a szabályok vonatkozhatnak, mint a hagyományos oktatás esetében, az ellenőrzés terjedelme azokon nem terjeszkedhet túl. Tekintettel arra, hogy az intézményvezető, az ellenőrzést végző személy a hagyományos oktatás keretében megvalósuló ellenőrzés esetén sem vesz részt minden tanórán, és nem készít másolatokat a diákok, hallgatók munkáiról, így digitális oktatás során sem várható el, hogy az összes tanóra digitális anyagát, a diákok, hallgatók összes munkáját a pedagógus megőrizze munkahelyi ellenőrzés céljára.
• Ha többen használnak egy eszközt, fontos az ún. „erős” jelszókövetelmények előírása és betartása, vagy például bizonyos idejű inaktivitás esetén az automatikus kijelentkeztetés alkalmazása a személyes adatot – is – tartalmazó rendszerekben.
• Nyilvánosan elérhető csatornákra, weboldalakra kizárólag oktatási anyagokat töltsön fel a pedagógus, azokat ne használja személyes adatkezeléssel járó tevékenységre.
• Adatfeldolgozó igénybevétele esetén az oktatási intézmény kizárólag olyan adatfeldolgozót vehet igénybe, amely megfelelő garanciákat nyújt az adatkezelés GDPR követelményeinek való megfelelését és az érintettek jogainak a védelmét biztosító intézkedések végrehajtására. A NAIH jó gyakorlatként javasolja az EGT területén letelepedett, magára a GDPR előírásait kötelezőnek elismerő adatfeldolgozó szolgáltatásának igénybevételét.

(naih.hu)

---