Probléma vagy lehetőség? – adatvédelem a távoktatásban

Egyik napról a másikra online munkarendbe csöppentünk. Elég felkészültek vagyunk? Tudjuk, hogyan kell biztonságosan a digitális térben mozogni, oktatni, tanulni? Téglásiné Kovács Júlia adatvédelmi tisztviselővel beszélgettünk.

Miképpen vették az online oktatásra történő átállás akadályait a munkavállalók, a tanárok, a diákok és a szülők?

Elsősorban a felsőoktatásról tudok nyilatkozni, hiszen közvetlen tapasztalataim a Nemzeti Közszolgálati Egyetem Alkotmányjogi Tanszékének egyetemi adjunktusaként vannak. Mivel itt már a hallgatók nagykorúak és képesek egyedül is feldolgozni a leadott tananyagokat, a felelősség elsősorban rájuk hárul. Az egyetemen egy nemrégiben készült hallgatói véleményezés alapján összességében pozitív a távoktatási rendszer megítélése.
Általánosságban véve azonban egy rendkívül szélsőséges időszakot élünk meg, ezért még idő, mire levonhatjuk a következtetéseket. Annyi biztos, hogy azt látjuk: a külső kereteknek való megfelelés helyett – mint például az intézményekben való kötelező megjelenés és az eltöltött órák száma –, a tartalmi elemek kerültek előtérbe. Szellemileg kell leginkább helyt állni. A fiatalabb korosztály tanulását segítve a szülők pedagógusi szerepet is öltenek, ami egy jó alkalom arra, hogy megtapasztalják, milyen újra az iskolapadban mind diákként, mind pedagógusként a mindennapi feladatokkal szembesülni.

A távoktatás során egyebek mellett videó- és hanganyagok cserélnek gazdát, oktatási platformok kérik el az adatainkat. Kinek mi a felelőssége ebben a folyamatban? Mennyire vannak biztonságban az érintettek?

Először is fontos különbséget tenni adatvédelem (az ember adatainak védelme) és adatbiztonság (az információk, valamint az információs rendszerek biztonsága) között. Míg az előző arról szól, miként kezeli maga az adatkezelő (az egyetem, az oktatási platform) a beérkezett adatokat, addig az adatbiztonság az információstechnikai rendszer külső ellenálló képességet mutatja, hogy ne legyen leállás, adatvesztés, vagy ne történjen például adathalászat külső felhasználó által.
A diák/hallgató – oktató – intézmény együttműködési triásza közül az általános adatvédelmi rendeletnek (General Data Protection Regulation – GDPR) megfelelően az oktatási intézményeké a legnagyobb felelősség, feladatuk például mindkét előbb említett szempont alapján a megfelelő platformok kiválasztása. Egyelőre nincs egységes központi szabályozás a tekintetben, hogy melyik alkalmazást válassza egy iskola, de azzal kapcsolatosan hatalmas háttérmunka zajlik, hogy minél pontosabb keretek alakuljanak ki, mit és hogyan lehet használni a távoktatásban. A felelősség elsődlegesen tehát az intézményeket terheli, azok ajánlásait pedig minden oktatónak és diáknak célszerű betartani. Nagyon vékony a határmezsgye a személyes adatok jogszerű kezelése kapcsán, amelyeknek enyhébb esetben a közigazgatási felelősség kérdései merülnek fel, súlyosabb esetben büntetőjogi következményei is lehetnek.

Mely alkalmazások bizonyultak biztonságosnak és melyek hordoznak veszélyeket?

Neveket inkább nem említenék, de sok népszerű, globálisan elterjedt platformmal kapcsolatosan az a kritika, hogy nem tudni, kik látnak rá a megosztott adatokra, milyen adatbiztonsági megoldásokat alkalmaznak, illetve hol tárolják azokat, történik-e harmadik ország felé adattovábbítás. Rengeteg kérdés megválaszolatlan marad, számos esetben nem átlátható az adatkezelés. Ezért is javasolt inkább európai, saját fejlesztésű alkalmazásokat használni, mivel ezeknek a felületeknek magasabb adatvédelmi és -biztonsági követelményeknek kell megfelelniük. Bár e platformok kétség kívül kevésbé élvezetesek, felhasználóbarátak és rugalmasak.

Ha jól értem, ezek a problémás platformok nem ajánlottak, de megtiltotta ezek használatát bármely hatóság?

Az elsődleges szempont, hogy a világnak működnie kell. Olyan rendkívüli helyzetben éljük a mindennapjainkat és olyan hirtelen szakadt ránk ez a szituáció, hogy nem volt elegendő idő felkészülni, átállni a digitális rendszerre. Nincs tiltás, de utólagosan felmerülhet bírságolás, amennyiben egy felület működése nem felel meg az alapvető körülményeknek. Ebben járhat el a Nemzeti Adatvédelmi és Információszabadság Hatóság (rövidítve: NAIH), illetve a Nemzeti Kibervédelmi Intézet (információbiztonsági megfelelésért felelnek). Magáncélú adatkezelések nem tartoznak a hatósági ellenőrzési körbe, azonban az egyes szervezetek közfeladat ellátása kapcsán a platformok használatával kapcsolatban számon kérhetők.

Mindez nagyon jól hangzik, azonban hogyan ellenőrizhető például egy olyan rendszer, amelyet egy Európán kívüli cég működtet, kinti szervereken? Hivatalos szerződéskötés, együttműködés esetén értelemszerűen ez nem kihívás, de mi a helyzet az ingyenes platformokkal?

Ez egy nagyon érdekes kérdés. Sajnos a mai világban semmi sincs ingyen, ha egy szolgáltatásról mégis ezt állítják, akkor ott saját adatainkkal fizetünk. Azaz beleegyezünk, hogy az adataink alapján felállított profil alapján személyre szabott reklámokat küldhessenek nekünk, vagy felugró ablakok jelenjenek meg, vagy hogy harmadik személyeknek továbbíthassak az adatainkat. Ezeknek a rendszereknek is meg kellene felelniük az uniós szinten meghatározott elvárásoknak, de nehezen kérhetőek számon, érhetőek utol. Mindez viszont kivédhető akár az oktatás által, amennyiben például egy magasabb színvonalú és adatbiztonsági beállításokkal rendelkező szolgáltatáscsomagot vásárolnak. Olyat, amely magában foglalja az adatkezelési információk részleteit, s ezek alapján átláthatóvá válik az adatkezelés.
A GDPR hatálybalépése óta az adatkezelésről szóló tájékoztatás mindennek az alfája és omegája. Hivatalos formában is képbe kell helyezni mindenről az érintetteket – ezt érthetjük szó szerint is, akár piktogramok felhasználásával. A tájékoztatónak ki kell térnie arra, hogy ki, milyen célból, milyen jogalapon kezeli és meddig tárolja az adatokat, mit kezd például a megadott születési dátummal, feltöltött videókkal. Ezeknek az adatoknak a törlését, javítását, további jogorvoslati igényeit az érintett kinél és hogyan érvényesítheti.

Mindezek fényében hogyan zajlanak a hatósági ellenőrzések?

Történhetnek hivatalból, de jogorvoslati panasz alapján is. Erre nincsen hatalmas kapacitás, véleményem szerint nem is a karhatalmi ellenőrzés a cél, hanem az, hogy egymás jogait tiszteletben tartsuk és magánszféráját védjük. Az általános jogalkotói elgondolás szerint, ha nincsen semmilyen jogkövetkezmény kilátásba helyezve, kevésbé hatékony a jogkövetés.
Más kérdés, hogy a jogkövető magatartást sok esetben inkább az adatkezelők és a felhasználók ismeretanyagának a hiánya adja. Ezért nagyon fontos, hogy ebben az információ alapú társadalomban, ahol az ember alapvetően adatként jelenik meg a rendszerben, tisztában legyünk a jogainkkal. Másfelől – nagyon kevés kivételtől eltekintve – a mindennapi munkánk során emberekkel, az emberek adataival foglalkozunk, így adatvédelmi szempontból kötelezettségek is terhelik az adatkezelőt, illetve a nevében eljáró munkatársakat. Mi, adatvédelmi tisztviselők elsősorban azért vagyunk, hogy mindkét felet segítsük: mind az intézményeket, mind az embereket.

A jó magaviselet az oktatásban értelemszerűen azt is jelenti, hogy házi feladatokat töltenek fel a hallgatók, azonban ugyanez távmunkában is elvárható, a munkáltató bekérhet például videót?

Ez esetben is szükséges az előzetes tájékoztatás, illetve, hogy arányos legyen a bekért információ, minél kevesebbet kelljen a privátszférából mutatni. A munkáltatónak egyrészről van egyfajta ellenőrzési joga, másfelől felelős a munkavállaló egészségéért is. Munkavédelmi előírásoknak való megfelelés szempontjából a munkáltató kérhet fotókat arról, hogy biztonságos-e a kialakított munkakörnyezet, ahol a feladatait végzi az alkalmazott. Alapvetően az ilyen jogi kötelezettségen alapuló adatkezelés minden részletét (cél, tárolási idő, stb.) törvényben kellene meghatározni, de sok esetben elmaradnak ezek a részletek. Így ilyen esetben megoldás lehet a „jolly joker” jogalap, ha egy munkáltató a saját, vagy más harmadik személy jogos érdekre hivatkozik, ekkor a megfelelő garanciákkal (hatásvizsgálat, érdekmérlegelési teszt, tájékoztatás) mégis lehet jogszerű az adatbekérés. De még ez esetben is biztosítani kell a munkavállalók korlátozáshoz és tiltakozáshoz való jogát, jelezhesse például, ha bármely bekért információ sérti a személyes jogait. Közfeladat ellátása kapcsán a jogos érdekre mint jogalapra csak nagyon szűk körben hivatkozhat a szervezet.

Kihez fordulhat a munkavállaló, ha úgy érzi, sérülnek a jogai?

Alapvetően minden adatkezelőnek van adatvédelmi tisztviselője, ezért elsősorban felé, de mehet a NAIH-hoz is, és lehetősége van bírósághoz is fordulni, de célszerű a fokozatosságot tartani, hiszen az adatok kezeléséhez legközelebb álló jogorvoslati fórum tudja a leghatékonyabban, leggyorsabban kezelni az érintetti jogokat.

A NAIH ajánlása szerint érdemes videó helyett élő közvetítést használni, hiszen így kevesebb esély van visszaélésre. De mi a helyzet akkor, ha a diák felveszi ezeket az órákat, akár tanulási célból?

Annak szándékát előre jelezni kell a tanárnak. Ebben az esetben ugyanis a hallgató szintén adatkezelővé válik, és nem magáncélra fogja felhasználni a felvételt, hanem a vizsgákra való felkészüléséhez vagy a munkájához. A hallgató így adatkezelővé válik, és jogszerűen a GDPR-nak megfelelő tájékoztatást kell adnia az oktató felé, mi célból, mennyi ideig tárolja a felvételt, ki férhet hozzá. Hiszen az oktató is ember, akinek az ilyen felvételeken a személyes adatai jelennek meg.

A gyakorlat sokszor másként működik. Akár tudatlanul is előfordul, hogy az ember lefotózza a diákat, vagy felvesz egy online tartott edzést, majd közzéteszi azt.

Persze, megesik az ilyen, még mindenki tanulja az online környezete adatvédelmi és adatbiztonsági rejtelmeit. Ugyanakkor azt kell nézni, milyen eszközök vannak e helyzetek kivédésére: ez pedig a jog. A jogszabályban meghatározott eszközökön kívüli megoldás lehet egy ágazat esetében egy magatartási kódex közös elfogadása és a NAIH jóváhagyásával, vagy egyéni szinten egy egyetemi szabályzat. Mindazonáltal minden eset egyedi. Más érvényesül, ha szerepel az oktató a képen, és más, ha csupán a prezentációt rögzítik, mivel az önmagában nem személyes adat. Az általános etikett is – amelyet az adatvédelmi jogszabályok is átvettek – azt írja elő, hogy ildomos még egy telefonos beszélgetés során is jelezni a másik fél számára, ha rögzítik a felvételt, vagy kihangosítják az illetőt.

Arra már léteznek törekvések, hogy Magyarországon egységes digitális oktatási platform jöjjön létre?

Vannak komoly intézkedések ebbe az irányba, ami egyfelől uniós követelmény is, illetve az ország érdeke a digitális átállás miatt. Közalkalmazottak számára ilyen rendszer már létezik, de a vírushelyzet után valószínűleg sokkal nagyobb hangsúlyt kap majd a többi terület is, hiszen idő-, erőforrás- és anyagi hatékonyság szempontjából mindenképp kifizetődő ötlet. De nem válthatja ki a személyes jelenléti oktatás szerepét, mivel az ember társas lény.
A szakdolgozatot író hallgatóimnál tapasztaltam ezt a leginkább – hiányolták a személyes találkozókat, hiszen egy ilyen megfeszített időszakban sok esetben az adott volna némi motivációt, vagy az egyetemi könyvtárak illata. Minden, ami az érzékeket stimulálja és inspirálja – minden, ami az embert emberré teszi. Ezt a digitális oktatás önmagában nem tudja pótolni.