GDPR és az óvodai ballagás – Mire figyeljünk?
Közelednek a ballagások, ami azt jelenti, hogy mint minden hasonló rendezvényen, itt is számtalan fotó és videó készül a gyerekekről. Ebben a cikksorozatban szeretnénk tájékoztatást adni a fotók és videók készítésével és megosztásával kapcsolatos adatvédelmi szabályokról, az általános adatkezelési tudnivalók mellett.
A GDPR elvárásai intézményvezetőkkel és pedagógusokkal szemben
A cikksorozat első részében az intézményvezetők és a pedagógusok számára szeretnénk segítséget nyújtani az elvárások pontos megismertetésén és a gyakorlati megoldásokon keresztül.
A GDPR-t 2018. 05. 25. óta, azaz már az elmúlt 5 évben minden intézménynek alkalmaznia kell. Ennek ellenére sajnos a mai napig gyakran előfordul, hogy az intézmények tájékoztató dokumentumai és folyamatai nem felelnek meg a kötelező adatvédelmi rendelet elvárásainak, pedig a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) különösen aktív az EU-s társaihoz képest is, és jelentős mennyiségű és mértékű bírságot szabnak ki a GDPR megsértéséért.
Egy bölcsőde vagy óvoda esetében ha az adatvédelmi tájékoztató nem megfelelő, akkor a törvényes képviselők sem kapnak megfelelő tájékoztatást, így azok az adatkezelésre vonatkozó hozzájárulásukat megfelelő információk hiányában adják.
A NAIH legutóbbi éves jelentéséből kiderült, hogy egyre több bejelentés érkezik hozzájuk, mert a nevelési-oktatási intézmények jogszerűtlenül osztanak meg fotókat és videókat a gyerekekről a közösségi médiában.
A NAIH egy 2018. évi határozata alapján elkerülhetetlen, hogy az intézménnyel jogviszonyban álló gyermekekről készített videófelvételek az intézmény honlapján, illetve az általa használt megosztó portálokon történő nyilvánosságra hozatalához, illetve megosztásához minden felvétel esetében külön-külön szülői hozzájárulással rendelkezzen.
Mire kell figyelnie az intézményeknek az adatkezelés során?
A bölcsődék és óvodák - mint adatkezelők - kötelessége a törvényes képviselők tájékoztatása az adatkezelésekről, méghozzá célonként és jogalaponként külön. (Az óvodák esetében megfelelő jogalap lehet a hozzájárulás, amihez a szülők kifejezett, de bármikor visszavonható beleegyezése szükséges.)
Ez akár azt is jelentheti, hogy valamennyi rendezvényhez kapcsolódóan külön tájékoztató szükséges, amelyek megismeréséről, elfogadásáról, adott esetben a személyes adatok kezeléséhez való hozzájárulásról nyilatkozatot kell kérni a törvényes képviselőktől.
A tehermentesítés kedvéért mindenképp érdemes megvizsgálni, hogy mely adatkezelési folyamatok vonhatók össze, amelyeknek azonos a célja és jogalapja, hiszen így sok időt spórolhatnak meg az intézmények.
Fontos kiemelni, hogy a fénykép elkészítése és a fényképek jogszerű felhasználása külön adatkezelési folyamat.
Az általános adatvédelmi rendelet meghatározza, hogy mit kell tartalmaznia az adatkezelési tájékoztatónak, röviden összefoglalva a legfontosabbakat:
- az adatkezelő elérhetőségeit,
- az adatvédelmi tisztviselő elérhetőségeit,
- az adatkezelés célját és jogalapját,
- jogos érdeken történő adatkezelés esetében ennek kifejtését,
- az adatfeldolgozókat,
- az adatok tárolásának időtartamát,
- és az érintett jogait.
Közösségi média, fotók kérdése
Ha az intézmény a különböző tevékenységei során készült fotókat a nyilvános közösségi média oldalára vagy a weboldalára is feltölti, ugyancsak kötelező betartani a GDPR előírásait.
Csak a szükséges, minimális személyes adatokat szabad megosztani a célhoz kötött adatkezelés és adatminimalizálás elveinek megfelelően. Például, ha az adatkezelési tájékoztatóban a szülők tájékoztatása lett célként megjelölve, akkor a gyerekekről készült tartalmat csak akkor lehet nyilvánosan is megosztani, ha annak céljáról, mint például az intézmény arculatának építése, külön tájékoztatják a törvényes képviselőket és azok hozzájárulását ehhez írásban beszerzi az intézmény.
Az adatkezelési nyilatkozatból egyértelműen ki kell derülnie, hogy az érintett törvényes képviselő mely adatkezeléshez adta a hozzájárulását, például kép- és/vagy hangfelvétel, illetve hozzájárult -e azok megosztásához.
Fontos, hogy nem elegendő a szóbeli tájékoztatás, ahogy nem elegendő a tájékoztatás házirendbe vagy egy közösségi média bejegyzésbe való belefoglalása sem. Az adatkezelőnek dokumentálnia kell a törvényes képviselő hozzájárulását, és ezt szükség esetén hiteles módon be kell tudnia mutatni a NAIH számára is.
Mi történik, ha a szülő nem járul hozzá az adatkezeléshez?
Fontos megjegyezni, hogy amennyiben a törvényes képviselő nem ad hozzájárulást az adatkezeléshez, a gyerekek még nem zárhatóak ki semmilyen rendezvényből, tehát nem szabad hátrányosan megkülönböztetni őket emiatt. A hozzájárulás csak akkor érvényes és megfelelő jogalap, ha az önkéntes, tehát, ha a szülő az ehhez fűződő bármely hátrány (vagy a gyermekét érő kirekesztés), vagy kár nélkül dönthet úgy, hogy nem kívánja, hogy gyermeke szerepeljen a különböző felvételeken.
Az intézménynek mindent meg kell tennie a gyermekek adatvédelme érdekében. Például egy olyan nyilvános eseményen, mint egy ballagás, az intézménynek fel kell hívnia a résztvevő törvényes képviselők és hozzátartozók figyelmét, hogy ha más gyerekek is szerepelnek az általuk készített fotókon, akkor azok megosztásához a többi gyerek törvényes képviselőinek hozzájárulása is szükséges.
Cikkünkben az óvodai eseményekre fókuszáltunk, azonban fontos megemlíteni, hogy hasonlóan kell eljárni a bölcsődékben, iskolákban, különböző szakkörös foglalkozásokat tartó intézményekben.
Kétségtelen, hogy a GDPR előírásainak való megfelelés nem egyszerű feladat, de ez nem azt jelenti, hogy le kell mondani a fotók készítéséről és azok felhasználásáról, csak megfelelően kell eljárni. És bár az intézmény az adatkezelő, jellemzően a pedagógusok, óvodai alkalmazottak végzik a kapcsolódó műveleteket. Következő cikkünkben az ő oldalukról vizsgáljuk az adatkezelési feladatokat.
Cikksorozatunk a Crosssec Solutions szakmai támogatásával a kidea számára készült.