skip to Main Content

Figyelmeztetés egy iskolának érzékeny adatok kezeléséért

2020. augusztus 4-én tett bejelentése szerint a Lengyel Adatvédelmi Hatóság (UODO) figyelmeztetésben részesített egy általános iskolát, mert az a 2019/2020-as tanévben egy kérdőíves felmérés keretében érzékeny személyes adatok kezelését végezte, melyre nem volt megfelelő jogalapja. A lengyel Hatóság egyébként sokat foglalkozik a köznevelésben megvalósuló adatkezelésekkel, nemrég adott ki egy közleményt, melynek témája a gyermekek és szülők személyes adatainak kezelése.

A kérdőívben – melynek célja az volt, hogy az iskola meghatározza, mely tanulóknak lehet szüksége pszichológiai segítségre – a diákok és családjuk magánéletével kapcsolatos kérdéseket tettek fel. Többek között a következőkkel kapcsolatosan kellett a diákoknak válaszolniuk:

  • teljes név, osztály
  • szülők/gondviselők neve
  • a szülők/gondviselők családi állapota (házas, elvált stb.)
  • van-e elhunyt szülő/gondviselő
  • szülők/gondviselők iskolai végzettsége és foglalkozása
  • az egy háztartásban élők száma
  • a család anyagi helyzete
  • szülők/gondviselők egészsége és függőségei
  • lakhatási helyzet és támogatásban való részesülés

A kérdőívet az iskola hetedik és nyolcadik osztályos tanulói töltötték ki tanáraik felügyeletével.

A kitöltött kérdőívek minden másolatát egy bizottság később megsemmisítette. A kérdőívek kitöltését követően a tanárok nem szkennelték vagy fénymásolták azokat, a kapott válaszok alapján más dokumentumokat nem hoztak létre. A hatósági vizsgálat megkezdésekor a kérőívekkel kapcsolatos adatkezelés már nem volt folyamatban. Az UODO vizsgálata igazolta, hogy a kérdőívek kitöltésének és feldolgozásának módja kizárta, hogy abba hozzáféréssel nem rendelkező személyek betekintsenek.

Mindezek ellenére döntésében az UODO kimondta, hogy az iskola megsértette a GDPR jogszerű, tisztességes eljárásra és átláthatóságra vonatkozó alapelvét (GDPR 5. cikk (1) a)).

Az iskola, mivel közintézmény, a törvények értelmében csak az általa elvégzett feladatok körében kezelhet személyes adatokat. A lengyel oktatási törvény kimondja, hogy az intézmény csak olyan mértékben kezelheti e személyes adatokat, melyre a törvényben foglalt feladatainak és kötelezettségeinek teljesítéséhez szükséges. A Hatóság szerint márpedig az oktatási intézmények működését szabályozó törvények nem határoznak meg olyan feladatokat, melynek elvégzésére az esetben említett adatkezelés indokolt volna.

Fentiekre tekintettel az UODO álláspontja szerint a GDPR 6. cikk (1) bekezdés c) pontja szerinti jogszabályi kötelezettség teljesítésére történő hivatkozás, mint az adatkezelés jogalapja, nem elfogadható.

A Hatóság elnökének döntése szerint jelen esetben elégséges intézkedés az intézmény figyelmeztetése. Döntése meghozatalakor enyhítő körülményként vette figyelembe az incidens nem szándékos voltát. Az iskolaigazgató a vizsgálat megkezdését követően számos intézkedést tett, többek között elrendelte a kérdőívek megsemmisítését, adatvédelmi tréningben részesítette a munkavállalókat, melynek során különös figyelmet fordítottak arra a kérdésre, hogy a diákok körében végzett felmérések milyen kockázatokkal járhatnak természetes személyek jogaira. Jelen esetben továbbá nem volt arra vonatkozóan jel, hogy a jogsértés miatt az érintettek bármelyike kárt szenvedett volna.

Back To Top