Pedagógusok adatainak kezelése a digitális oktatásban


A NAIH állásfoglalást tett közzé a pedagógusok távoktatási tevékenységére vonatkozó megállapodással és a pedagógusok munkájának ellenőrzésével kapcsolatban.


 A veszélyhelyzet idején alkalmazandó védelmi intézkedések második üteméről szóló 484/2020. (XI. 10.) Korm. rendelet felhatalmazása alapján kiadott, a köznevelési intézmények működését érintő egyes veszélyhelyzeti intézkedésekről szóló 17/2021. (III.5.) EMMI határozat 3. pontja alapján az iskolákban 2021. március 8. napjától 2021. március 31. napjáig a nevelés-oktatás tanterven kívüli, digitális munkarendben kerül megszervezésre.

A digitális munkarend elrendelése óta a NAIH felé több sajtó- és egyéb megkeresés is érkezett annak kapcsán, hogy a digitális távoktatás keretében egyes tankerületi igazgatók mint munkáltatók (a továbbiakban: Munkáltató) megállapodást kezdeményeztek a pedagógusokkal mint foglalkoztatottakkal (a továbbiakban: Pedagógus) a távoktatás céljára használt, a Munkáltató által rendelkezésre bocsátott, vagy a Pedagógus saját tulajdonát képező számítástechnikai eszközök, rendszerek használatáról. A megkeresők szerint a megállapodás adatvédelmi és adatbiztonsági aggályokat vet fel.

Mivel a felek közötti jogviszonyra a Kjt. az irányadó, azonban ennek mögöttes háttérjogszabálya az Mt., ezért a NAIH az Mt. 11/A. §-át idézi állásfoglalásában, amely kimondja, hogy „A munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető. Ennek keretében a munkáltató technikai eszközt is alkalmazhat, erről a munkavállalót előzetesen írásban tájékoztatja.

A munkavállaló a munkáltató által a munkavégzéshez biztosított információtechnológiai vagy számítástechnikai eszközt, rendszert (a továbbiakban: számítástechnikai eszköz) – eltérő megállapodás hiányában – kizárólag a munkaviszony teljesítése érdekében használhatja.  

(3) A munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be.

(4) A (3) bekezdés szerinti ellenőrzési jogosultság szempontjából munkaviszonnyal összefüggő adatnak minősül a (2) bekezdésben meghatározott korlátozás betartásának ellenőrzéséhez szükséges adat.

(5) A (3) bekezdést alkalmazni kell, ha a felek megállapodása alapján a munkavállaló a munkaviszony teljesítése érdekében saját számítástechnikai eszközt használ.

A NAIH a szeptemberben kiadott Digitális Távoktatás Tájékoztatójában rögzítette, hogy a Köznevelési törvény és a Felsőoktatási törvény alapján folytatott tevékenység során végezett adatkezelés „nem minősülnek magáncélú adatkezelésnek, mivel azok egyértelmű célja az iskolai nevelés és oktatás, mint törvényben meghatározott közfeladat ellátása folytonosságának a biztosítása.”

Ebből következőleg „nem a pedagógus, hanem az önálló jogi személyiséggel rendelkező oktatási intézmény – egyes esetekben, ha konkrét adatkezelési célt határoz meg, akkor a tankerület – tekinthető adatkezelőnek, amely köteles az adatkezelés céljának és eszközeinek a meghatározására, az ő feladata az adatkezelésről megfelelő tájékoztatás nyújtása és az egyéb adatvédelmi követelményeknek való megfelelés biztosítása.”

Digitális Távoktatás Tájékoztatójában a NAIH kiemelte, hogy „a megfelelő technológia kiválasztása és a pedagógusok számára a használatának az előírása az oktatási intézmény mint adatkezelő kötelezettsége és felelőssége az adatkezelés teljes folyamata során.”

A NAIH felhívta a figyelmet, hogy „a pedagógus saját eszközén is az oktatási intézmény felelőssége keretében végzi az oktatási feladataihoz szükséges adatkezelési műveleteket, az intézmény tájékoztatást kérhet az alkalmazott adatbiztonsági intézkedésekről, szükség esetén pedig ellenőrizheti is azokat.

– Amennyiben a pedagógus saját eszközét használja, ez esetben is fontos követelmény az alapvető biztonsági követelmények betartása, így például jogtiszta szoftverek alkalmazása; víruskeresők, vírusírtók használata; a szükséges frissítések folyamatos letöltése. Ennek szabályozása, kialakítása, ellenőrzése szintén az oktatási intézmény érdekkörébe esik.

– Ha többen használnak egy eszközt, fontos az ún. „erős” jelszókövetelmények előírása és betartása, vagy például bizonyos idejű inaktivitás esetén az automatikus kijelentkeztetés alkalmazása a személyes adatot – is – tartalmazó rendszerekben.”

Az eszközhasználattal kapcsolatban a NAIH arra az álláspontra helyezkedett, hogy a felek egyrészt megállapodhatnak abban, hogy a Pedagógus jogosult a Munkáltató által a részére munkavégzés céljára biztosított számítástechnikai eszközök magáncélú használatára is [Mt. 11/A. § (2) bekezdés], vagy megállapodhatnak abban is, hogy a munkavállaló a saját eszközét használja munkavégzésre.

A Megállapodásnak mindkét esetben szabályoznia kell a Pedagógus eszközhasználatának munkáltatói ellenőrzésével kapcsolatos szabályokat, végezetül pedig konkrét feltételeket, előírásokat kell meghatározni az eszközök biztonsága kapcsán az adatvédelmi és adatbiztonsági követelmények érvényre juttatása érdekében.

A NAIH álláspontja szerint ez a fajta Megállapodás megkötése jogszabályba nem ütközik, arra az Mt. egyrészt lehetőséget biztosít, másrészt az Mt. 11/A. § (2) bekezdésében meghatározott előírás alkalmazásától való eltérés esetén kötelezettséget teremt, emellett pedig hangsúlyozandó, hogy annak aláírására a Pedagógus nem kötelezhető.

A NAIH kiemelte, hogy ha a Pedagógus a Megállapodást egyáltalán nem írja alá, tehát sem a saját eszköz használatát nem vállalja, sem a Munkáltató által a munkavégzéshez biztosított számítástechnikai eszközt magáncélra nem kívánja használni, vagy a Munkáltató ezt számára nem engedélyezi, úgy az eszközt kizárólag a munkaviszony teljesítése érdekében használhatja az Mt. 11/A. § (2) bekezdése alapján.

A Munkáltató azonban az Mt. 11/A. § (3)-(4) bekezdései alapján ebben az esetben is jogosult annak ellenőrzésére, hogy a Pedagógus a Munkáltató által rendelkezésére bocsátott eszközt ténylegesen kizárólag a munkaviszony teljesítése érdekében használja-e fel.

Az eszközök biztonsága kapcsán a NAIH szerint az adatbiztonsági követelmények felek általi meghatározása, azoknak a Megállapodásban történő rögzítése önmagában nem ellentétes az adatvédelmi jogszabályok rendelkezéseivel, sőt, a Pedagógus számára az még előnyös is, hiszen ezáltal teljesül a GDPR szerinti, adatkezelés átláthatóságára vonatkozó, alapelvi követelmény.

A Megállapodás tervezett szövege kapcsán a NAIH úgy foglalt állást, hogy annak adatbiztonsági rendelkezései többségében összhangban vannak a hatályos adatvédelmi jogszabályi rendelkezésekkel, illetve a Digitális Távoktatás Tájékoztatóban előirányzott adatbiztonsági „jó gyakorlatokkal”.

A Megállapodás néhány rendelkezése ugyanakkor adatvédelmi szempontból kifogásolható, emellett a NAIH következetes gyakorlatával is ellentétes.

A Megállapodás szerint a Munkáltató által biztosított eszközök magáncélú használata esetén akként rendelkezik, hogy a magáncélú és munkahelyi tartalmak egyértelmű elkülönítése érdekében eltérő könyvtárban/könyvtárszerkezetben kell tárolni a munkahelyi és a magántartalmakat, a munkahelyi tartalmakat pedig jelszóval kell védeni.

A NAIH szerint aggályos, hogy a Megállapodás szerint a Munkáltató az eszközhasználat személyes ellenőrzése során megnyittathatja a Pedagógussal, míg távoli hozzáférés esetén megnyithatja a könyvtárakat még akkor is, ha az elnevezés magáncélú tartalomra utal annak érdekében, hogy meggyőződhessen a magán- és munkahelyi tartalmak elkülönítéséről.

A fenti rendelkezések a NAIH szerint sértik az adattakarékosság elvét, mivel a Munkáltató elvárja a Foglalkoztatottól a magán és munkahelyi tartalmak mappa-szintű elkülönítését, így az Mt. szerinti ellenőrzési jogosultsága kizárólag a könyvtárstruktúra megismerésére terjedhet ki, azon túlmenően a magáncélú tartalmak elkülönítésére szolgáló mappa tartalmának megismerésére nem jogosult.

Ezen mappában található fájlok elnevezéséből ugyanis már önmagában a munkaviszonnyal összefüggésben nem álló személyes adatokat, sőt akár különleges személyes adatokat is megismerhetne a Munkáltató, mindez pedig a NAIH álláspontja szerint szükségtelen és aránytalan beavatkozást jelentene a Pedagógus, valamint egyéb, az elnevezésben esetlegesen megjelölt személyek, mint érintettek magánszférájába.

A NAIH következetes álláspontja szerint amennyiben az munkahelyi mappában található fájlok elnevezéséből egyértelműen és minden kétséget kizáróan kiderül, hogy magáncélú a tartalma, akkor a Munkáltató azt nem tekintheti meg. Ha ez nem egyértelmű, úgy a Munkáltató köteles nyilatkoztatni a Pedagógust, és amennyiben annak válasza alapján a fájl magáncélú, úgy azt nem nyithatja meg. Ez esetben ugyanis a Pedagógus szerződésszegése már megállapítható, annak alapján a Munkáltató megteheti a szükséges munkajogi lépéseket, tehát szükségtelen a fájlok megnyitása.

A NAIH felhívta a figyelmet, hogy a Pedagógus mobiltelefon híváslistájának a megtekintésére csak abban az esetben jogosult a Munkáltató, ha az előfizetést ő bocsátotta a Pedagógus rendelkezésére. Amennyiben a Pedagógus saját eszközét használja a munkavégzése során is, úgy ez a jogosultság a Munkáltatót nem illeti meg.

A NAIH kiemelte, hogy a Munkáltató feladata az Pedagógusoknak a GDPR 13. cikk (1) és (2) bekezdése szerinti tájékoztatást adni az adatkezeléssel, azaz az eszközhasználat munkáltatói ellenőrzésével kapcsolatos adatvédelmi és adatbiztonsági körülményekről (ez utóbbiba értendő az ellenőrzés módszertanára vonatkozó tájékoztatás nyújtása is), valamint részletes adatkezelési tájékoztatót kell részükre kidolgozni, továbbá biztosítani kell számukra a GDPR 15-22. cikkei szerinti jogaik gyakorlását.

A NAIH egy korábbi tájékoztatójában kifejtett és a jelen esetben is érvényes álláspontja szerint a Munkáltatónak „(…) már előzetesen, a szabályzat megalkotása során meg kell határoznia azt, hogy milyen céljai, érdekei miatt kerülhet sor a „céges laptop” tartalmának ellenőrzésére. Ezen érdekeknek ténylegesnek és valósnak, a munkáltató tevékenységéhez, piaci helyzetéhez és a munkavállaló munkaköréhez igazodónak kell lenniük.

Ezen túlmenően a munkáltatónak a laptop tartalmának ellenőrzése előtt közölnie kell a munkavállalóval, hogy pontosan milyen érdeke miatt kerül sor a munkáltatói intézkedésre.”

(naih.hu)




Kapcsolódó cikkek

2021. december 3.

GDPR kontra Ákr. meddig szabható adatvédelmi bírság?

Az adatvédelmi hatóság eljárására az Infotv. százhúsz napos ügyintézési határidőt biztosít, amennyiben ezt a hatóság több mint kétszeresen túllépi, akkor bírság szankciót nem alkalmazhat – a Kúria eseti döntése.

2021. december 2.

A Kúrián is győzött Kishantos és a Greenpeace a magyar állam ellen

Győztünk!” – ismételte sírva a telefonjába a Kúria lépcsőin a kishantosi biogazdaság (Kishantosi Vidékfejlesztési Központ Közhasznú Nonprofit Kft.) vezetője, miután a Kúria úgy döntött, nem kell megfizetniük az államnak több mint 15 millió forint költséget.

2021. december 2.

Joggal írt Európa – Tudósok az unióról mindenkinek

A Wolters Kluwer gondozásában megjelent három új kötet is bemutatkozott a Nemzeti Közszolgálati Egyetem Európai Köz- és Magánjogi Tanszékéhez kötődő, immár hagyományosnak mondható Őszi könyvszüret elnevezésű rendezvényen – a tanszék nevéből eredő tematika köré szerveződve.