Minden iskolás gyermekkel rendelkező szülő nap mint nap tapasztalja, hogy mivel jár a digitális oktatás. Elsősorban érdemes észrevenni azt, hogy váratlan helyzetben mindig váratlan megoldások születnek. Ezek a megoldások pedig - különösen kezdetben - számos tévedéssel, hibával járnak együtt.

Éppen ezért a legfontosabb annak a tudatosítása, hogy ebben az esetben is a GDPR érvényesül elsősorban, mivel Személyes adatokról van szó. Nincs kivétel, nincs mellébeszélés, nincs pardon. Bocsássuk tehát előre a lényeget, amit mindenkinek tudnia kell:

A közoktatásban feladatot ellátó intézmények a közigazgatási törvény [1] hatálya alá tartoznak, ezért rájuk nem a vállalkozások esetén már közismert büntetési tételek vonatkoznak, hanem a GDPR alapértelmezett közigazgatási bírságolási gyakorlata [2], aminek megfelelően Magyarországon az ilyen intézményekre legfeljebb 20M Forint bírságot lehet kiszabni. Mi azonban a bírság kiszabásának a feltétele?

Bármilyen meglepő lesz sokak számára ez a méltatlanul elhallgatott részlete a GDPR-nak, de a bírság kiszabásának van két lényeges formai eleme:

- az nem teheti tönkre, nem roppanthatja meg az adatkezelőt

- annak visszatartó erejűnek kell lennie.

Ez utóbbi elvárás azonban nyilvánvalóan nem valósulhat meg egy olyan helyzetben, amikor az iskola a köznevelési törvényben foglalt kötelezettségeit próbálja összhangba hozni a veszélyhelyzet idején elrendelt digitális oktatáshoz kapcsolódó elvárásokkal - és eközben legalább igyekszik megfelelni a GDPR-ban foglaltaknak. [3]

Ezt most fordítsuk le magyarra:

Ez azt jelenti, hogy ha és amennyiben az iskola egyébként rendelkezik szabályzatokkal - minthogy azok egyébként is kötelezők a számára -, és azokban világosan leírják azt, hogy általában hogyan kezelik a személyes adatokat, felkészültek arra, hogy a diákok és a szülők kérdéseit megválaszolják, akkor valójában nem is olyan sok teendőjük van.

Hiszen ez azt jelenti, hogy:

- rendelkeznek felkészült Adatvédelmi tisztviselővel, aki az érintettek kérdéseit meg tudja válaszolni, és aki egyébként segítséget tud nyújtani a feladatok megvalósításában

- nem használnak Facebook/Google ingyenes megoldásokat, mint amilyen például a Messenger vagy a Gmail [4]

- ha "véletlenül" és "átmenetileg" nem tudtak jobb megoldást kitalálni, mint az előző pontban felsoroltak, akkor már dokumentáltan dolgoznak az üzleti megoldásokra való áttérésen [5] és még csak véletlenül sem kötelezik a gyermeket és/vagy a szülőket arra, hogy saját néven vegyék igénybe ezeket a szolgáltatásokat.

- ha pedig "nem volt jobb ötletük", akkor miután visszatér a rend, akkor töröltetik az adatkezelőkkel ezeket a fiókokat, e-mail-eket, mindent.

Nem feledkeznek meg arról, hogy:

- a teljesítéshez igénybevett szolgáltatások tekintetében Közös adatkezelők lesznek azzal az üzleti vállalkozással, akinek a szolgáltatásait igénybe veszik (Microsoft, Apple, Prezi, Google[üzleti]), és erről tájékoztatják a honlapjukon az érintetteket

- nem kérnek Adatkezelési hozzájárulást a szülőktől mivel oktatási feladathoz arra nincs szükség

- még csak véletlenül sem küldetnek Személyes adatokat a tanárok magán e-mail-címére, hanem csak az iskola (mint Adatkezelő) által felügyelt e-mail-címre, mert csak azokat tudja az adatkezelő felügyelni

- fényképeket, videófelvételt - különösen tornagyakorlatokról - épeszű testnevelés tanár nem kér a saját e-mail-címére, mert az önmagában jogosulatlan adatkezelés is ehet, és bizonyos - egyébként a testnevelés órán szokványos - gyakorlatok esetén akár pornográfia gyanúját is felvetheti.

- amit lehet videórögzítés nélkül is ellenőrizni, így különösen egy gyakorlat elvégzését, arról ne készítsenek felvételeket, sem kép, sem videófelvételt

- és ha valamit a szülő is leigazolhat, akkor annál bővebb igazolásra, dokumentálásra nem tarthat igényt az adatkezelő.

Ezt úgy lehetne megfogalmazni, hogy mindig elvárás a szükségesség és az arányosság vizsgálata, méghozzá minden egyes Cél érdekében kezelni kívánt Személyes adat esetén, és ennek során mindig azt a megoldást kötelező választani, ami az érintett jogait a legkevésbé korlátozza. Abban az esetben tehát, ha egy fénykép is elég, akkor nem lehet egy videófelvétel készítését megindokolni. Abban az esetben, ha egy fényképre sincs szükség, mert elég egy aláírás, akkor egy fényképet sem lehet készíteni. Abban az esetben pedig, ha nincs szükség egy aláírásra sem, akkor azt sem lehet elkérni. Nem bonyolult tehát a rendszer, hanem éppen ellenkezőleg, túlságosan egyszerű és átlátható, ezért merőben szokatlan.

Mi ebből a tanulság?

Az, hogy az iskoláknak nem a joga, hanem a kötelessége megoldani a digitális oktatást, a távoktatást, ezért amiatt, hogy így oktatnak, vagy amiatt, hogy ezt hogyan oldják meg, azért önmagában nem lehet őket felelőssé tenni és erre hivatkozással a közoktatás hatálya alól nem is lehet kibújni.

Ennek következtében:

- az így létrejövő Személyes adatok jogszerűen felhasználhatók az értékelésre, érdemjegyek adására, ebből következően sem az érintett gyermek, sem a gondviselő nem töröltetheti azokat abban az értelemben, hogy "mivel nem ért egyet a megvalósított rendszerrel, ezért a GDPR alapján töröltetni szeretné az adatokat". Erre az iskolának nem lesz joga, mert neki viszont el kell tudnia számolni az érdemjegyek kiosztásával.

- minden érintettnek joga van az iskola ellen panaszt tenni a NAIH-nál, ám érdemes az alábbiakat figyelembe venni:

- mivel közoktatásról van szó, az iskola pedig önmagával a megoldással nem okoz kárt, ezért egy általában megfogalmazott sérelem mindenképpen csekély jelentőségű lenne, ezért a panaszt hivatalból kellene a NAIH-nak elutasítania. [6]

- azonban az előző pontban foglaltak alól kivételt képezne az az eset, ha a gyermek adatai sérülnének, például ellopnák, közzétennék azokat, mert az Adatvédelmi incidens esetén a panasz éppen a gyermekekre való tekintettel semmiféleképpen nem lehetne csekély jelentőségű.

Összefoglalva:

Ez az egész össztársadalmi váratlan "kísérlet" valójában a jövő (évi) oktatást is meghatározhatja, ahogy a bizalmat is. Hiszen nem csak az internethez való hozzáférés minőségében, a diákok számára rendelkezésre álló eszközökben, hanem a diákok számára rendelkezésre álló szülői háttérben is óriási különbség van. Számos diák lesz, akinek a szülei nem értenek az eszközökhöz, ehhez a rendszerhez és lesznek olyanok, akinek a szülei fogják megcsinálni az összes feladatát, hogy bizonyítsák azt, hogy a gyermekük nem hülye, vagy azt, hogy igenis kiváló. Önök ne essenek bele ezekbe a hibákba, hiszen ezek jövőre kíméletlenül fognak visszaütni, mert bármelyikhez is "szoktatják most hozzá" a gyermeket, az jövőre már nem fog a rendelkezésükre állni.

Éppen ezért azt szeretném javasolni, hogy hagyjuk a tanárokat, tanítókat tanítani. Ők sem voltak erre felkészülve, az iskolák sem. Minden ötletre, elképzelésre (igen, még a tornatanárokéra is) tekintsenek úgy, mint amikor megpróbálnak egy olyan helyzettel megbirkózni, amivel még soha nem találkoztak.

Bármilyen furcsa is lesz amit most írok, de kérem, vegyék nagyon komolyan:

Ez a gyermekek világa. Ők ebben nőttek fel, nekik, a számukra ez sokkal triviálisabb, mint a pedagógusok és az iskolák számára. Nem egyszer a gyermekek "tanítják" a pedagógusokat, tekintsék ezt egy közös játéknak és tételezzék fel mindenkiről a jó szándékot.

Akkor ez is sikerülni fog.

Mindenkinek jó egészséget, jó jegyeket kívánva,

Antal Tibor

Elnök

Hivatkozások, megjegyzések:

[1] 2016. évi CL. törvény az általános közigazgatási rendtartásról

[2] A közhiedelemmel ellentétben a GDPR elsősorban a közigazgatási bírságolást preferálná, és annak a maximumaként határozták meg a 2/4% vagy 10/20M EUR bírság alapokat. Ennek megfelelően nem a magyarországi jogalkotás "vette ki" és rendelte csekélyebb bírsággal szankcionálni például az iskolákat, hanem arról van szó, hogy ezekre az intézményekre eleve más szabályok vonatkoztak. Ebből következően még ha minden erejét összeszedte volna, akkor sem is tehették volna meg a magyar jogalkotók azt, hogy a vállalkozások esetén is 20M HUF-ban maximálják a büntetési tételeket.

[3] NAIH 2020/2888 állásfoglalás

[4] Ezek a szolgáltatások alapértelmezetten tiltottak minden Adatkezelő számára, mivel ezek a saját és nyilvános szabályzatuk alapján is saját célokra használhatják fel az azokba bekerülő adatokat. Ez magáncélból csak az érintett kiszolgáltatottságát jelenti de erre nem lehet a gyermekeket és a szülőket kötelezni.

[5] Ez itt nem a reklám helye, de bárki rákereshet a neten arra, hogy melyik üzleti szolgáltató tette ingyenessé a rendszereit az iskolák számára üzleti alapon.

[6] Infotv. 53. § (2) a