Figyelmeztetés egy iskolának érzékeny adatok kezeléséért
2020. augusztus 4-én tett bejelentése szerint a Lengyel Adatvédelmi Hatóság (UODO) figyelmeztetésben részesített egy általános iskolát, mert az a 2019/2020-as tanévben egy kérdőíves felmérés keretében érzékeny személyes adatok kezelését végezte, melyre nem volt megfelelő jogalapja. A lengyel Hatóság egyébként sokat foglalkozik a köznevelésben megvalósuló adatkezelésekkel, nemrég adott ki egy közleményt, melynek témája a gyermekek és szülők személyes adatainak kezelése.
A kérdőívben – melynek célja az volt, hogy az iskola meghatározza, mely tanulóknak lehet szüksége pszichológiai segítségre – a diákok és családjuk magánéletével kapcsolatos kérdéseket tettek fel. Többek között a következőkkel kapcsolatosan kellett a diákoknak válaszolniuk:
- teljes név, osztály
- szülők/gondviselők neve
- a szülők/gondviselők családi állapota (házas, elvált stb.)
- van-e elhunyt szülő/gondviselő
- szülők/gondviselők iskolai végzettsége és foglalkozása
- az egy háztartásban élők száma
- a család anyagi helyzete
- szülők/gondviselők egészsége és függőségei
- lakhatási helyzet és támogatásban való részesülés
A kérdőívet az iskola hetedik és nyolcadik osztályos tanulói töltötték ki tanáraik felügyeletével.
A kitöltött kérdőívek minden másolatát egy bizottság később megsemmisítette. A kérdőívek kitöltését követően a tanárok nem szkennelték vagy fénymásolták azokat, a kapott válaszok alapján más dokumentumokat nem hoztak létre. A hatósági vizsgálat megkezdésekor a kérőívekkel kapcsolatos adatkezelés már nem volt folyamatban. Az UODO vizsgálata igazolta, hogy a kérdőívek kitöltésének és feldolgozásának módja kizárta, hogy abba hozzáféréssel nem rendelkező személyek betekintsenek.
Mindezek ellenére döntésében az UODO kimondta, hogy az iskola megsértette a GDPR jogszerű, tisztességes eljárásra és átláthatóságra vonatkozó alapelvét (GDPR 5. cikk (1) a)).
Az iskola, mivel közintézmény, a törvények értelmében csak az általa elvégzett feladatok körében kezelhet személyes adatokat. A lengyel oktatási törvény kimondja, hogy az intézmény csak olyan mértékben kezelheti e személyes adatokat, melyre a törvényben foglalt feladatainak és kötelezettségeinek teljesítéséhez szükséges. A Hatóság szerint márpedig az oktatási intézmények működését szabályozó törvények nem határoznak meg olyan feladatokat, melynek elvégzésére az esetben említett adatkezelés indokolt volna.
Fentiekre tekintettel az UODO álláspontja szerint a GDPR 6. cikk (1) bekezdés c) pontja szerinti jogszabályi kötelezettség teljesítésére történő hivatkozás, mint az adatkezelés jogalapja, nem elfogadható.
A Hatóság elnökének döntése szerint jelen esetben elégséges intézkedés az intézmény figyelmeztetése. Döntése meghozatalakor enyhítő körülményként vette figyelembe az incidens nem szándékos voltát. Az iskolaigazgató a vizsgálat megkezdését követően számos intézkedést tett, többek között elrendelte a kérdőívek megsemmisítését, adatvédelmi tréningben részesítette a munkavállalókat, melynek során különös figyelmet fordítottak arra a kérdésre, hogy a diákok körében végzett felmérések milyen kockázatokkal járhatnak természetes személyek jogaira. Jelen esetben továbbá nem volt arra vonatkozóan jel, hogy a jogsértés miatt az érintettek bármelyike kárt szenvedett volna.