Mit jelent a GDPR az oktatási intézményekre nézve?

2018. május 25-étől alkalmazandó az EU új általános adatvédelmi rendelete, a General Data Protection Regulation (GDPR), amely a magánszemélyek adatvédelmi jogait egységesíti az Európai Unió területén. Az új előírások minden olyan céget, szervezetet érintenek, amely személyes adatokat kezel, így az oktatási intézményeket is.

Az adatkezelés alapelvei

Az oktatási intézmények közfeladatot látnak el, így az itt folyó személyes adatkezelés nagy része jogszabályi alapon történik.

Személyes adatot az iskolákban kizárólag:

  • jogszabályi felhatalmazás vagy
  • hozzájárulás

alapján szabad kezelni, pontosan meghatározva az egyes adatkezelések jogalapját, célját, idejét és az egyes adatkezelésekkel kapcsolatos személyiségi jogok gyakorlásának feltételeit.

A jogszabály alapján kezelendő személyes adatok körét a 2011. évi CXC. törvény 41.§-a határozza meg, az adatkezelésben érintett kör pedig az intézménnyel jogviszonyban álló tanulók, azok törvényes képviselői, az alkalmazottak és a szerződéses partnerek.

Mivel az iskolák eredményes működtetése közérdek, ezért a jogszabály alapján történő iskolai adatkezelés nem igényel külön hozzájárulást az érintettek részéről.

Az érintett személyek vagy – a még nem nagykorú személyek esetén – azok törvényes képviselőinek hozzájárulását kell kérni a jogszabályban nem meghatározott adatok – pl. e-mailcímek, egyéb digitális azonosító adatok, különleges adatok – vagy a jogszabályban szereplő adatok meghatározott célból  történő kezeléséhez (pl. iskolai étkeztetés, pályázatok beadása, programok, kirándulások szervezése stb.).

Az iskolák számára a GDPR ugyanakkor kötelezettségként írja elő, hogy a szülőket és egyéb érintett feleket tájékoztatniuk kell arról, hogy a diákok, valamint a szülők személyes adatait ki használja fel és milyen céllal.

A legfontosabb szabályokról

Az érintett (a szülő vagy – amennyiben ezt az életkora lehetővé teszi – a diák) egyértelmű hozzájárulása szükséges minden olyan adatkezelés esetén, amely kívül esik az iskola jogszabályban meghatározott adatkezelési körén. Külön tájékoztatást kell adni és hozzájárulást kérni, amennyiben az oktatási intézmény adatfeldolgozás céljából valamely, nem jogszabályban meghatározott szervezet számára adatokat ad át (pl. tanulói biztosítást köt).

Az önkéntes adatszolgáltatásra vonatkozó hozzájárulást (azt illetően például, hogy a tanuló fényképe szerepelhet-e az iskola folyosóján vagy honlapján) bármikor vissza lehet vonni. A visszavonás lehetőségéről egyértelmű tájékoztatást kell adni, pl. az iskola honlapján.

A köznevelési intézményekben folyó adatkezelés tekintetében törölni kizárólag olyan adatot lehet, amelynek begyűjtése önkéntes hozzájárulás alapján történt, illetve abban az esetben, ha a célhoz kötöttség vagy a jogalap megszűnt (utóbbi esetben a törlés kötelező). Az általános szabályon túlmenően, a nemzeti köznevelésről szóló törvény 26. A köznevelési intézményekben nyilvántartott és kezelt személyes és különleges adatok cím alatt pontosan részletezi a nem önkéntes hozzájáruláson alapuló személyes adatok kezelésére, továbbítására, megőrzésére vonatkozó speciális szabályokat.

Felül kell vizsgálni a kezelt adatállományt, illetve az adatkezelési folyamatokat, valamint elektronikus nyilvántartást kell vezetni minden adatkezelési tevékenységről, illetve az adatfeldolgozásra átadott adatok tekintetében. (A nyilvántartás vezetése megoldható automatizálással, pl. a logok gyűjtésével és megfelelő ideig történő tárolásával.)

A köznevelési intézmények számára az intézményfenntartónak vagy a köznevelési intézménynek biztosítania kell, hogy az adatvédelmi tisztviselői feladatok ellátásra kerüljenek. Az akár több intézményt is ellátó, munkaviszonyban vagy megbízási jogviszonyban dolgozó adatvédelmi tisztviselő gondoskodik arról, hogy az intézmény tevékenysége bizonyíthatóan megfeleljen a GDPR-ben foglalt előírásoknak.

Az iskoláknak meg kell győződniük arról, hogy az iskolai adatállományt kezelő harmadik fél tevékenysége is megfelel a GDPR előírásoknak, illetve jogilag kötelező érvényű szerződéssel kell rendelkezniük minden olyan partnerükkel, amely az intézmény által kezelt személyes  személyes adatokat feldolgozza (olyan esetben, ha az iskola kiadja a tanulók vagy az alkalmazottak adatait pl. tanulói biztosítások kötéséhez vagy valamilyen juttatás – iskolakezdési kártya – biztosítása érdekében, vagy ha pl. külső fél üzemelteti az iskola szerverét). Ez alól kivétel, ha az adatok továbbítását a harmadik fél részére jogszabály írja elő (pl. statisztikai adatgyűjtés).

Az adatkezelő sérelmére történő bármilyen jellegű adatvédelmi incidenst 72 órán belül jelezni kell az adatvédelmi hatóságnál, és az incidensben érintett személyeket tájékoztatni kell. (Pl. ha az adatvédelmi incidens érinti a tanuló szüleinek adatait, a szülőket is értesíteni kell az őket ért incidensről.)

Az adatkezelés és -továbbítás intézményi rendjét az iskola adatkezeléshez, adatvédelemhez kapcsolódó szabályzatai határozzák meg. A GDPR értelmében minden adatkezelőnek rendelkeznie kell a személyes adatok védelmére vonatkozó szabályzattal.

Példák a köznevelési intézmények adatkezelésére

A köznevelési intézmények nemcsak papíralapon, hanem – különféle platformokon – elektronikus formában is kezelnek adatokat:

  • KIR (Köznevelés Információs Rendszere);
  • INYR (Integrált Nyomon Követő Rendszer);
  • IAR (intézményi adminisztrációs rendszerek),
  • e-napló (például: e-KRÉTA);
  • intézményi honlap;
  • hálózati megosztók;
  • közösségi portálok.

Nagyon fontos, hogy az elektronikusan kezelt adatok biztonságos tárolását és továbbítását megfelelő műszaki, informatikai garanciákkal biztosítsuk, azaz:

  • a oktatási intézmények elektronikus információs rendszerei megfeleljenek a GDPR 32. cikkében[1] foglaltaknak;
  • a személyes adatok elektronikus tárolása és továbbítása megfelelően biztonságos módon történjen, különös tekintettel az érzékeny tanulói adatok (vagy ahogyan a jogszabály fogalmaz, különleges adatok) tárolására és átadására (pl. a Pedagógiai Szakszolgálatok vagy Gyámhatóság számára).

A személyes adatok védelmére vonatkozó szabályzatban egyértelműen tisztázni kell, hogy ki és milyen módon férhet hozzá az olyan érzékeny adatokat tartalmazó iratokhoz, mint pl. a tanügyi nyomtatványok, törzslapok, a kompetenciamérések adatainak lekérdezéséhez szükséges mérési azonosítók, az SNI tanulók fejlesztési dokumentációja vagy a pedagógusokra vonatkozó alkalmassági, egészségügyi adatok stb.

Mit kell tennie az iskolának, hogy megfeleljen a GDPR előírásainak?

Elektronikus nyilvántartást kell vezetnie minden, az intézmény által kezelt személyes adatról, annak jogalapjáról , az adattal kapcsolatos személyiségi jogok gyakorlásának feltételeiről, illetve az adatvédelmi kockázatok mértékéről.

Minden egyes adatkezelés esetén igazolnia kell tudni a jogalapot és a célhoz kötöttséget (pl. abban az esetben, amikor az iskola érzékeny adatokat továbbít a tanoda számára, a célhoz kötöttséget a tanodai nevelés pedagógiai célrendszere adja, a jogalapot pedig a szülők együttműködési megállapodásban tett jognyilatkozata a tanodai programban való részvételről).

Mindenki számára transzparenssé kell tennie az adatkezelési folyamatokat annak közlésével, hogy

  • milyen adatok begyűjtése történik;
  • mi az adatkezelés jogalapja;
  • milyen jogai és milyen jogorvoslati lehetőségei vannak az érintettnek;
  • ki az adatbekérő (elérhetőséggel);
  • adatvédelmi tisztviselő (neve, elérhetősége);
  • az adatok továbbításának címzettjei (alkalmazottal való szerződéskötéskor pl. tájékoztatni kell a pedagógust arról, hogy az adatai a minősítés során továbbításra kerülnek az OH számára).

A szülő kérésre betekintést kell engednie a gyermek GDPR szerinti személyes adataiba (a szülő kikérheti pl. gyermeke értékelési lapját, megtekintheti a törzslapját, vagy nyomtatott másolatot kérhet a KIR-ben kezelt adatairól), illetve a szülőről nyilvántartott minden, a GDPR szerinti személyes adatról.

Biztosítania kell, hogy az alkalmazottak munkakörüknek és felelősségi körüknek megfelelő képzést kapjanak az adatkezelést illetően. Általános adatvédelmi képzést kell kapnia a személyzet minden tagjának, emellett részletesebb felkészítést a témában nagyobb felelősséggel rendelkező alkalmazottaknak (pl. igazgató, igazgató-helyettes, adatvédelmi felelős).

Felül kell vizsgálnia az intézmény adatvédelemre vonatkozó szabályait és folyamatait. Az adatvédelmi szabályzatot (letölthető formában) az intézményi honlapon is elérhetővé kell tenni.

Az iskolák számára nagyon fontos feladat az intézményben használt összes, személyes adatot kezelő vagy feldolgozó szoftver beazonosítása. Az oktatási célú alkalmazások egyre szélesebb körű elterjedésével sok tanár tölt le és használ az óráin ilyen alkalmazást anélkül, hogy az iskola tudna erről. Ezért mihamarabb fel kell mérni, hogy a tanárok milyen alkalmazásokat és milyen célokra használnak az iskolában, hogy az alkalmazások személyes adathasználattal vagy a személyes adatok biztonságának kockázatával járnak-e együtt. Gondoskodni kell arról, hogy csak olyan alkalmazásokat használjanak a pedagógusok, amelyek megfelelnek a GDPR-nak.

Gondoskodni kell arról, hogy az intézmény honlapja is megfeleljen a GDPR előírásainak. Mivel az iskolák közintézmények, ezért adatvédelmi tisztviselőt kell kinevezniük.

 Az adatvédelmi tisztviselő teendői

A GDPR az adatvédelmi tisztviselőre vonatkozóan előírja, hogy legyen szakmailag rátermett, és rendelkezzen — különösen az adatvédelmi jogban és annak gyakorlati alkalmazásában — szakértői szintű ismeretekkel. Az adatvédelmi tisztviselőnek nem kell feltétlenül alkalmazottnak vagy megbízásos jogviszonyban állónak lennie, külső megbízott vagy cég is elláthatja a feladatot. A tisztviselő feladatköre nincs szabályozva, de alapvetően az alábbiakat foglalhatja magában:

  • a GDPR-nak megfelelő működés ellenőrzése;
  • belső intézkedési normák kidolgozása;
  • nevelőtestület tájékoztatása, felkészítése, továbbképzések tartása;
  • adatkezelési nyilvántartás vezetése;
  • kapcsolattartás a felügyeleti hatósággal;
  • eljárási kötelesség adatvédelmi incidensek esetén.

 Az iskolai honlappal kapcsolatos teendők

Az iskola honlapján elérhetővé kell tenni a GDPR előírásaival összhangba hozott Adatkezelési tájékoztatót. Az Adatkezelési tájékoztatóban minden, a honlappal kapcsolatos személyes adatkezeléséhez tartozó eljárást/információt rögzíteni kell.

Amennyiben az iskolának van hírlevele, akkor:

  • a feliratkozás szabályait hozzá kell igazítani az új szabályozáshoz;
  • módosítani kell a feliratkozási űrlapokat (az Adatkezelési tájékoztató elfogadásához és a személyes adatok kezelésének engedélyezéséhez jelölőnégyzetes megoldást javasola GDPR rendelet);
  • biztosítani kell a megadott adatok hozzáférhetőségét és módosíthatóságát, valamint a hírlevéllel kapcsolatos leiratkozás lehetőségét.

Ha az oldalon van regisztrációs felület, akkor:

  • a regisztrációkor kért adatokat felül kell vizsgálni;
  • a regisztrációs űrlapot módosítani kell (lásd fenn);
  • lehetővé kell tenni a személyes adatokhoz való hozzáférést és azok módosításának kérését.

Mivel ezeken a felületeken hozzájáruláson alapuló adatkezelés történik, így minden esetben szükséges a tájékoztató és hozzájárulást kifejező jelölőmező megjelenítése.

Ha az oldalhoz bármilyen olyan integrált felület kapcsolódik, melyhez előzetesen be kell jelentkezni és személyes adatokat kezel, a fenti két ponthoz hasonlóan kell eljárni.

A honlapok a felhasználóktól, valamint a felhasználás módjáról is információt gyűjtenek, így ezeket is rögzíteni kell az Adatkezelési tájékoztatóban (Google Analitcs, cookie-k kezelése stb.).

 Az intézmény teendőinek összefoglalása

A GDPR rendelkezéseinek való megfelelés érdekében a köznevelési intézmények által megtenni szükséges lépések pontos körét és az egyes teendők részleteit illetően még számos nyitott kérdés van. Ezek nagy részét várhatóan tisztázzák majd az intézményfenntartók (így az állami köznevelési intézmények esetében a Klebelsberg Központ) közeljövőben kiadandó állásfoglalásai, irányelvei és intézkedési tervei. Itt és most az intézményvezetők munkáját azzal szeretnénk támogatni, hogy az elengedhetetlennek látszó intézkedéseket összefoglaljuk:

  1. átfogó helyzetelemzés (adattérkép, adatlista, a törvényi feladatokon kívüli adatkezelések feltérképezése, kockázatértékelés) készítése;
  2. elektronikus adatkezelési nyilvántartás vezetése;
  3. adatbekérő lapok frissítése (munkavállalói, természetes személyekkel történő adatkezelési nyilatkozatok);
  4. adatkezelésben érintett dokumentumok felülvizsgálata: SzMSz (munkaköri leírás minták, vezető által átadott feladatok, hatásköri megbízások), iratkezelési szabályzat, továbbképzési program stb.;
  5. adatvédelmi incidensekre vonatkozó intézményi eljárásrend kidolgozása;
  6. adatvédelmi tisztviselő megbízása (számára megfelelő felkészítés biztosítása);
  7. az intézmény honlapjának felülvizsgálata.

Az oktatási alkalmazások és a GDPR

Az oktatási mobilalkalmazások terjedése új felelősséget helyez a tanárok vállára: nemcsak arról kell megbizonyosodniuk, hogy a használni kívánt alkalmazás biztonságosan tárolja-e a diákok adatait, hanem a diákokat is meg kell tanítaniuk arra, hogy saját személyes adataikat körültekintően kezeljék. Ezen az oldalon hasznos, angol nyelvű tippeket találhatunk arra vonatkozóan, hogy a különféle közösségi oldalak és oktatási applikációk használata során hogyan tehetjük biztonságosabbá a diákjaink személyes adatainak kezelését.

 A gyermekek személyes adatainak gyűjtésére vonatkozó hozzájárulással kapcsolatban az európai adatvédelmi jog kézikönyvének 2018-as kiadása a következőképp fogalmaz:

A GDPR kiemelt védelmet biztosít a gyermekek számára az információs társadalomhoz kapcsolódó szolgáltatások tekintetében, mivel „előfordulhat, hogy ők kevésbé vannak tisztában a személyes adataik feldolgozásával kapcsolatos jogaikkal, illetve az adatkezeléssel összefüggő veszélyekkel, azok következményeivel és azzal, hogy milyen módon tudnak védekezni a visszaélésekkel szemben.” Éppen ezért, Az EU jogszabályai értelmében, amennyiben egy információs társadalomhoz kapcsolódó szolgáltatást ajánló cég 16 éven aluli gyermek személyes adatát kezeli személyes hozzájárulás alapján, akkor ez csak abban az esetben tekinthető jogszerűnek, ha a hozzájárulást a gyermek felett szülői jogokat gyakorló felnőtt vagy meghatalmazottja adta.” A tagállamok saját nemzeti joggyakorlatukban kijelölhetnek ennél alacsonyabb korhatárt, amely azonban nem lehet alacsonyabb 13 éves kornál. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására. A gyermekek személyes adataira vonatkozó minden tájékoztatást világos és egyszerű nyelvezettel, a gyermek számára könnyen értelmezhető módon kell megfogalmazni.

A brit adatvédelmi hatóság (ICO) iránymutatást adott ki a gyermekek adatait kezelők számára (különös tekintettel az olyan tevékenységekre, mint az online szolgáltatások ajánlása, az automatizált döntéshozatali folyamatok és a profilalkotás), melyről bővebben itt olvashat.

Több ország – Nagy-Britannia vagy Svédország[2] például – az uniós rendeletből fakadó helyi intézkedési tervek megszületéséig is különféle információs csatornákon keresztül igyekszik tájékoztatni az iskolákat arról, milyen lépéseket kell megtenniük ahhoz, hogy intézményüket GDPR-kompatibilissé tegyék.

 A GDPR-ról bővebben

Az új szabályozás célja, hogy nagyobb ellenőrzési jogot adjon az EU állampolgárainak saját adataik fölött, az eddigieknél pontosabban szabályozza az adatok felhasználását, valamint hatékonyabban biztosítsa a személyes adatok védelmét nemcsak az adatokkal visszaélni akarókkal, de az adatokat kezelő cégekkel, intézményekkel szemben is.

A GDPR alappillére az adatkezelők elszámoltathatósága, illetve az az elv, hogy a teljes adatkezelési folyamat legyen jogilag megalapozott és transzparens. Mindemellett, bármilyen jogvita esetén a bizonyítás terhe is az adatkezelőkre hárul.

Korábban az Unióban egy 1995-ben elfogadott irányelv rendelkezett a személyes adatok kezeléséről, amelyet a tagállamok sokszor egymástól eltérő módon ültettek át a saját joggyakorlatukba – a GDPR ezzel szemben közvetlen hatállyal rendelkezik, tehát minden tagállamban kötelezően alkalmazandó.

Az új rendelkezés a többé-kevésbé már eddig is létezett szabályozások betartását a korábbiaknál szigorúbb szankciókkal, azaz jelentősen megemelt büntetési tételekkel kívánja ösztönözni.

A GDPR kiemelten kezeli a gyermekek személyes adatainak védelemét.

A rendelet a tagállamok mellett az EU-n kívüli országok adatkezelőire és adatfeldolgozóira is vonatkozik, ha azok EU-n belüli személyes adatokat kezelnek. Amennyiben például cserediákprogram keretében a tanulók az EU-n kívüli országba utaznak, meg kell bizonyosodni arról (vagy pl. adatkezelési nyilatkozat aláírásával biztosítani kell), hogy a fogadó országban az adatkezelési szabályok megfelelnek a GDPR-ban foglaltaknak.

Magyarországon a vonatkozó jogszabályokat eddig az ú.n. „Infotörvény” (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény) tartalmazta, amelynek módosítása megtörtént azon paragrafusok tekintetében is, amelyeket a GDPR kifejezetten tagállami szabályozó hatáskörbe rendel. A 2018. július 26-án hatályba lépett, módosított törvény általános rendelkezései között elhelyezett új szakasz teljeskörűen felsorolja azokat a rendelkezéseket, amelyeket a GDPR hatálya alá tartozó adatkezelések esetén alkalmazni kell. Az itt felsorolt rendelkezések tehát kiegészítik a GDPR szabályait, ezért az Infotörvény hatálya alá eső adatkezelések esetén a GDPR mellett ezeket a szabályokat is vizsgálni szükséges. Részletes tájékoztatást a témában itt találhat.

A köznevelési intézményekben folyó adatkezelésre ezen felül kiterjed többek közt az Alaptörvény, a Közalkalmazottak jogállásáról szóló törvény, az Általános közigazgatási rendtartásról szóló törvény, valamint a Nemzeti köznevelésről szóló törvény, illetve ezek végrehajtási rendeletei hatálya, amennyiben rendelkezéseik nem ellentétesek a GDPR-ban megfogalmazott előírásokkal.

Mi számít személyes adatnak?

Személyes adatok a GDPR szerint.

A GDPR a korábbi és a magyar jogrendszerben is ismert „személyes adat” fogalmát kiterjesztette egyéb adatokra. Ennek értelmében „személyes adat”-nak minősül az azonosított vagy azonosítható természetes személyre („érintett”-re) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon azonosítható valamely adat – pl. név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező – alapján. (Így például a digitális tér azonosítói is személyes adatként kezelendők.)

 

Személyhez kapcsolódó jogok és az adatkezelés

Az adatkezeléssel és adatfeldolgozással érintett személyek jogai a GDPR szerint:

  • Tájékoztatáshoz való jog: az adatkezelő megfelelő (egyszerű nyelvezetű és könnyen fellelhető) információt köteles adni az adatkezelés lényeges szempontjairól (ki, mit, mire, hogyan, mettől meddig használ stb., azaz az adatkezelés célhoz kötöttségéről, az adatgazdaságosság elve érvényesítése mellett).
  • Automatizált döntéshozatal: csak bizonyos feltételek (pl. statisztikai minta) betartásával hozható a fellelhető adatok alapján a személyt érintő automatikus döntés, vagy használhatók fel az adatok profilalkotásra.
  • Hozzáféréshez való jog: a magánszemély kérhet tájékoztatást arról, hogy történik-e rá vonatkozó adatkezelés, és ha igen, akkor mely adatait kezelik.
  • Adatok helyesbítésének kérése: az érintett jelezheti, hogy a kezelt adatok pontatlanok, és kérheti, hogy azok helyett mi kerüljön feltüntetésre. Ez esetben az adatkezelő köteles gondoskodni arról, hogy a módosítás az általa használt minden adatkezelő rendszerben átvezetésre kerüljön, és minden általa megbízott adatfeldolgozó felé jeleznie kell a változást.
  • Törléshez/elfeledtetéshez való jog: az érintett bármikor kérheti adatai törlését. Amennyiben az adatkezelő hozzáférést engedett harmadik személyeknek a törölni kért adatokhoz, akkor tájékoztatnia kell mindazokat, akik számára nyilvánosságra hozta az érintett adatot, hogy minden hivatkozást, illetve náluk tárolt személyes adatot töröljenek.
  • Az adatkezelés korlátozásához való jog: bizonyos esetekben a személyes adatok kezelésével érintett személy kérheti személyes adatai kezelésének korlátozását, kivéve, ha az adatkezelést hazai vagy nemzetközi jog írja elő.
  • Tiltakozáshoz való jog: az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból kifolyólag bármikor tiltakozzon személyes adatainak meghatározott okból történő kezelése ellen.

Az adatkezelők GDPR-ből következő teendői

Az adatvédelmi tudatosság erősítése

Biztosítani kell a szervezeten belül, hogy az adatokat kezelő személyek megismerjék az adatvédelemre vonatkozó jogszabályokat és belső szabályzatokat (pl. adatkezelési szabályzat, információbiztonsággal kapcsolatok szabályzatok), és tisztában legyenek az ezzel járó felelősséggel. Tájékoztatások, továbbképzések szervezésével kell gondoskodni az adatvédelmi kockázatok csökkentéséről, illetve ki kell alakítani a szervezeten belüli adatkezelési, bejelentési, értesítési és elhárítási folyamatokat.

Adattérkép elkészítése, beépített adatvédelem, előzetes adatvédelmi hatásvizsgálat

Az első és legtöbb erőforrást igénylő feladat az összes adatkezelési művelet, folyamat számbavétele; annak felmérése, hogy a cég vagy szervezet milyen – a GDPR hatálya alá tartozó – személyes adatot kezel, azokat hol tárolják és hogyan, hogy azok kezelése megfelel-e az új szabályoknak, illetve, hogy milyen kockázattal jár azok sérülése, elvesztése.

Az adatkezelés kritériumainak és az adatkezelés jogalapjának felülvizsgálata

Minden egyes adatkezelésre vonatkozóan át kell tekinteni, hogy az jogszerűen és célhoz kötötten történik-e. Meg kell határozni, hogy jogalap hiányában milyen adatkezelések nem folytathatók tovább. A jogalap, vagy indokolható célhoz kötöttség nélkül történő adatkezelések, adatbázisok, feljegyzések, listák megszüntetését, törlését (selejtezés, iratmegsemmisítés, fájltörlés) el kell végezni.

Az érintett megfelelő tájékoztatása és az érintett hozzáférési joga

Minden érintettnek joga van tudni, hogy mely adatai és milyen célból kerülnek kezelésre. Erről minden esetben érthető tájékoztatást kell adni a jogalap és/vagy célhoz kötöttség megadásával, ez utóbbi esetben pedig az érintett hozzájárulását kell kérni az adatok kezeléséhez. Az érintettnek mindenkor joga van tájékoztatást kérni arról, pontosan mely adatait kezeli a szervezet és joga van a személyiséghez köthető jogok gyakorlására (módosítás, törlés stb.).

Gyermekek jogainak kiemelt védelme

A GDPR a gyermekek számára különleges védelmet nyújt, főleg az információs társadalommal összefüggő szolgáltatások nyújtásával összefüggésben. Figyelembe kell vennünk, hogy a gyermekek nem feltétlenül ismerik az adatkezeléssel kapcsolatos következményeket és biztosítékokat, valamint a személyes adatok feldolgozásával kapcsolatos jogaikat, és kevésbé vannak tudatában a kockázatoknak.

Adatvédelmi tisztviselő kinevezése

A közfeladatot ellátó szervezeteknél (önkormányzatok, kórházak, oktatási intézmények), amelyek jellegükből adódóan „rendszeres és szisztematikus, nagymértékű” megfigyelést folytatnak vagy különösen érzékeny személyes adatokat kezelnek, külön adatvédelmi tisztviselőt kell kinevezni.

Bejelentési kötelezettség

Fontos újdonság az adatvédelmi incidensek bejelentési kötelezettsége, ami az adatkezelőt terheli. Amennyiben valamely szervezeten belül adatvédelmi incidens történik (az adatokhoz jogosulatlanul hozzáfértek, az adatok nem tudnak rendelkezésre állni, az adatok megsérültek és/vagy elvesztek), amint erről az adat kezelője tudomást szerez, de legkésőbb az attól számított 72 órán belül jelentenie kell ezt az illetékes hatóságnak, illetve értesíteni kell az érintett személyeket, ha az incidens valószínűsíthetően magas kockázatot jelent rájuk nézve.

Magyarországon az illetékes felügyeleti hatóság a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). Amennyiben egy szervezet olyan személy adatait kezeli, amely más, a GDPR hatálya alá tartozó ország állampolgára, úgy az adatvédelmi incidenst az érintett ország felé is be kell jelenteni.Ha például egy EU-tagországból érkezett cserediák személyes adatai sérülnek, úgy a magyar hatóság mellett az érintett tagország hatóságát is értesíteni kell. Az adatkezelőnek kötelezően a hatóságok rendelkezésére kell bocsátania minden olyan bizonyítékot, amely az incidens kivizsgálásához szükséges, és erre szerződésben köteleznie kell a számára adatfeldolgozást végző egyéb szervezeteket is.

További információk elérhetőségei

Az újabb fejleményekről az alábbi oldalakon érdemes tájékozódni:

  • AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról (magyar nyelvű).
  • Nemzeti Adatvédelmi és Információszabadság Hatóság információs oldala.
  • A brit adatvédelmi hatóság (ICO) által 2018. február 28-án lezárt iránymutatás (angol nyelvű).
  • GDPR:REPORT hírek és kommentárok a GDPR-ről (angol nyelvű)
  • Infotv. (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról)

 A cikket a Cyber Services díjmentes jogi és szakmai támogatásával állítottuk össze. Az összeállításban szereplő ábrák közléséhez a szervezet hozzájárult.

Jegyzetek

[1] Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai (…) figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben:

  • a személyes adatok álnevesítését és titkosítását;
  • a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
  • fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
  • az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

Az adatkezelő és az adatfeldolgozó intézkedéseket hoz annak biztosítására, hogy az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek kizárólag az adatkezelő utasításának megfelelően kezelhessék az említett adatokat, kivéve, ha az ettől való eltérésre uniós vagy tagállami jog kötelezi őket.

[2]Svédország helyi közigazgatási egységeinek (önkormányzatok, megyék és régiók) munkáltatói érdekképviseleti szervezete (Sveriges Kommuner och Landsting) honlapján például külön aloldal foglalkozik azzal, hogy az adatvédelmi szabályozásból milyen feladatok következnek kifejezetten az oktatási intézmények számára. Itt különféle tájékoztató írások mellett számos videót, webináriumot találhatunk, amelyek keretében a szervezet munkatársai szakértők bevonásával igyekeznek segíteni az intézményeket a jogszabályok értelmezésében.

A svéd szervezet honlapja folyamatosan frissített kérdezz-felelek oldalt is működtet, ahol olyan konkrét kérdésekre találhatunk választ, mint például, hogy használhatóak-e a továbbiakban is az óvodai csoportok bejáratánál elhelyezett tabletek a gyermekjelenlét regisztrálására a szülők beleegyezése nélkül vagy hogy küldhetők-e a gyerekről érzékeny adatokat tartalmazó információk e-mailen keresztül, és hogy mire terjed ki az iskolai védőnők adatkezelési felelőssége. Az oldalon olyan hasznos segédanyagokat is találhatunk, mint az adatvédelmi tisztviselővel kötendő szerződésminta, az intézmény által elkészítendő adattérképhez használható Excel-tábla vagy egy olyan ellenőrzőlista, amelyet az oktatási célú alkalmazások letöltésekor, az adatvédelmi kockázatok felméréséhez lehet használni.