Adatvédelem a köznevelésben, a gyermekek adatainak kezelése

A munkahelyi adatvédelem kérdéseinek megválaszolása után a lengyel hatóság (UODO) úgy tűnik, hogy a köznevelési, oktatási intézmények támogatására tette át fókuszát. Az alábbiakban beszámolunk két olyan iránymutatásról, melyben a gyermekek adatainak köznevelési intézmények általi kezelésének részletszabályait boncolgatják.

Új tanév, új kihívások

Ezzel a címmel publikálta az UODO 2020. szeptember 1-i közleményét, melyben a diákok, tanárok és szülők adatainak kezelésével kapcsolatban fogalmaz meg ajánlásokat. Különösen a gyermekek egészségügyi adatainak kezelésére fordítanak nagy hangsúlyt, megjegyezve, hogy az adatkezelés természete változó lehet iskolaorvosi vagy gyermekpszichológiai szakember bevonása esetén.

A hatályos (lengyel) törvényeknek megfelelően a gyermekeknek alapvető egészégügyi ellátás jár az iskolán belül, melynek alapja egy megegyezés az iskola és egy egészségügyi szolgáltató, illetve az eü. szolgáltató és a Nemzeti Egészségpénztár között. Az iskolaigazgató kötelessége ebben az esetben mindössze egy iskolaorvosi rendelő, illetve a korábban említett eü. szolgáltatóval kötött szerződés biztosítása.

A Hatóság itt felhívja a figyelmet, hogy az iskolaorvosok nem az iskola alkalmazottai, ennélfogva nem az igazgató hatáskörébe tartoznak. Ebből szintén következik, hogy a diákok egészségügyi adatainak az iskolaorvos által történő kezelése szintén nem az iskolaigazgató felelőssége és feladata, (szerző: sőt, valójában semmi köze azokhoz); az ezzel kapcsolatos adatkezelési kötelezettségeket a szerződött eü. szolgáltatónak kell teljesítenie, aki adatkezelőként jár el.

A diákok orvosi aktáit az iskolaorvosi rendelőben szükséges tárolnia az orvosnak. Iskolaváltáskor ezeket az iskolaorvos átadja a szülőnek vagy a diáknak, a tanulmányok befejezését követően pedig a családorvosnak. Minden ilyen átadásnak oly módon kell történnie, hogy a gyermekek egészségügyi adatai a megfelelő szintű védelmet élvezik.

A korábban leírtak alapján tehát, bár az iskolának kötelessége a diákok alapvető egészségügyi ellátása érdekében iskolaorvosi rendelőt biztosítani, azonban az iskola nem adatkezelő az ellátás biztosítása kapcsán. Más a helyzet azonban az iskolai pszichológiai és (gyógy)pedagógiai ellátások nyújtásakor, melyek szabályairól az oktatási törvény külön rendelkezik, és mely biztosítása az iskola feladata. Ennek értelmében az iskolapszichológus vagy pedagógus által végzett adatkezelések részét képezik az érintett tanuló iskolai fejlődésének és ezáltal a köznevelési adatkezelésnek.

A szakemberek, akik az adatokat gyűjtik az iskola munkavállalói, és mivel az adatokhoz szükségszerűen más iskolai alkalmazottak is hozzáférnek a munkaköri feladataik ellátása során – a tanuló előmenetelének segítése céljából – ezért az így keletkezett dokumentumokért és ezáltal az adatkezelésért összességében az iskola a felelős. Az iskolaigazgató képviseli az intézményt és szervezetileg ő felelős az intézmény jogszerű működéséért. Természetesen abban az esetben, ha a pszichológiai tanácsadást egy külső intézmény nyújtja, úgy az adatkezelő az adott intézmény.

Óvodák által kezelendő adatok köre

A Lengyel Adatvédelmi Hatóság állást foglalt az óvodáknak nyújtandó személyes adatokról. Örökbefogadott gyermekek esetén a szülőknek írásos nyilatkozatot kell tenniük az óvoda felé, mielőtt gyermekük oda felvételre kerül. A szülők jelezték a Hatóság felé, hogy bizonyos intézmények nem csak a szerződés létrejöttéhez szükséges adatokat kérik tőlük (gyermekek és szülők neve, címe), hanem további személyes adatok közlését is elvárják (pl. szülők személyi száma, szülők munkahelyével kapcsolatos adatok, a gyermek egészségére vonatkozó adatok). Az UODO a vizsgálat során megállapította, hogy ez nem csak a köznevelési törvényekkel ellentétes, hanem a GDPR bizonyos rendelkezéseivel is (jogszerűség, célhoz kötöttség, arányosság, adattakarékosság).

A Hatóság rögzíti, hogy a szülők szakmájával és munkahelyével kapcsolatos adatok kezelése elvben lehetséges, ha van legitim cél és a GDPR 6. cikk (1) bekezdésében felsorolt jogalapok valamelyike alkalmazható. Azonban az UODO számára nem egyértelmű, hogy milyen céllal kezeli az óvoda a szülők szakmai életével kapcsolatos személyes adatokat a gyermek óvodai ellátásával összefüggésben. Kiemelik, hogy ilyen esetben is alapvető fontosságú megfelelően tájékoztatni a szülőket és a gyerekeket a GDPR 12-14. cikkei szerint.

Lehetséges például a Hatóság szerint az említett adatokat abból a célból kezelni, hogy a gyermekkel történt incidens esetén a szülőket értesíteni lehessen – amennyiben persze semmilyen más elérhetőség nincs megadva. Érdekes kérdés azonban, hogy mennyire életszerű elkérni egy adatot azért, hogy ha nem érik el egyik szülőt sem a rendelkezésre álló elérhetőségeken, akkor a munkahelyén keressék, vagy éppen elkérni a munkahelyi adatokat a telefonszámuk helyett. (A szerző álláspontja szerint ez már roppant közel áll a készletező adatkezeléshez, hiszen hamar oda vezethet, hogy a nagynéni munkahelyi adatait is kezeli az óvoda, hiszen lehet hogy a sorban előtte lévő öt rokont sehol sem fogja tudni elérni.)

A születéssel, betegtörténettel, mentális állapottal kapcsolatos adatok, mint különleges adatok kezelése a GDPR 9. cikk (1) bekezdése alapján általánosságban tilos, kivéve, ha a (2) bekezdésben található valamelyik kivétel teljesül. A Hatóság véleménye szerint azonban elfogadhatatlan hasonló jellegű adatok kezelése óvodák által, hacsak más jogszabály annak szükségességéről külön nem rendelkezik, vagy ha a szülő vagy gondviselő ahhoz tájékozott, önkéntes, visszavonható hozzájárulását adta. Ez esetben is szeretné a szerző felhívni rá a figyelmet, hogy az, hogy valamely adatkezeléshez az adatkezelő hozzájárulást szerez, még nem fogja de facto legitimálni is az adatkezelést, az adatkezelési alapelvek betartása alól ugyanis egy hozzájárulás sem mentesít.

A Hatóság még érinti, hogy a nem állami óvodák alkalmanként folytathatnak olyan, nem a törvények által kötelezően előírt tevékenységeket a gyermekek érdekében, melyek szükségessé teszik személyes adatok kezelését. Ebben az esetben az adatkezelés jogalapja a Rendelet 6. cikk (1) bekezdés értelmében általánosságban az intézmény jogos érdeke lehet. Ilyen adatkezelések esetén szükséges előzetesen érdekmérlegelési teszt készítése. Magyarországon ilyen esetben jogalapként általánosságban inkább a GDPR 6. cikk (1) bekezdés e) pontja alkalmazandó a NAIH eddigi állásfoglalásai alapján.