Lenkijos mokykla pažeidė BDAR
2020 m. rugsėjo 2 d. Lenkijos duomenų apsaugos priežiūros institucija paskelbė apie vienai Lenkijos švietimo įstaigų paskirtą įspėjimą dėl neteisėto duomenų tvarkymo. Įspėjimas buvo paskirtas dėl neteisėto duomenų rinkimo vykdant mokinių apklausą „Mokinių namų ir mokyklos aplinkos tyrimas“.
Apklausa turėjo kilnų tikslą – nustatyti kuriems mokyklos mokiniams buvo reikalinga psichologo pagalba. Tačiau Lenkijos duomenų apsaugos priežiūros institucija konstatavo, kad mokykla, kaip viešasis subjektas, gali tvarkyti asmens duomenis pagal įstatymų nustatytas užduotis, o tokios užduoties teisės aktai nenumatė. Kito teisėto duomenų tvarkymo pagrindo nebuvo identifikuota.
Dažniausi pažeidimai Lietuvos švietimo įstaigose
Tokie ir panašūs pažeidimai gali būti nustatyti ir Lietuvos švietimo įstaigose. Akivaizdžiausios BDAR taikymo klaidos būna dėl vaikų fotonuotraukų publikavimo, neturint tinkamo sutikimo, vaikų ir jų tėvų duomenų perdavimo būrelių organizatoriams, maitinimo paslaugų teikėjams tinkamai tėvų neinformavus.
Dažnas neteisėtų komercinių pasiūlymų teikimas tėvams, neturint jų sutikimo (pavyzdžiui, tėvams siunčiama informacija apie privačių paslaugų teikėjų organizuojamus būrelius). Vis dar pasitaiko skundų dėl to, kad tiek valstybinėse, tiek privačiose mokyklose mokytojai siunčia laiškus visiems klasės tėveliams su turiniu, kuriame atskleista asmeninė konkretaus vaiko informacija apie vaiko nesėkmes ar pasiekimus.
Ką turi įvertinti švietimo įstaiga prieš renkant duomenis?
Norisi dar kartą priminti, kad prieš vykdant bet kokią duomenų tvarkymo operaciją, švietimo įstaiga atsakytų sau į klausimą, kodėl jai šių duomenų reikia. Kitas žingsnis būtų nustatyti, kokių duomenų reikia nustatytam tikslui pasiekti ir ar visų renkamų duomenų tam reikia.
Pavyzdžiu, dažnai švietimo įstaigos renka informaciją apie tėvų darbovietę, pareigas, aiškindamos, kad šie duomenys būtini susisiekti su mokinio tėvais nelaimės atveju. Tačiau ar šiais technologijų laikais šie duomenys tikrai būtini šiam tikslui pasiekti? Bet koks perteklinių duomenų tvarkymas jau yra BDAR pažeidimas, grasinantis didelėmis baudomis.
Taip pat švietimo įstaiga turi įvertinti, koks teisinis pagrindas leidžia duomenis rinkti. Pavyzdžiui, pasiūlymai tėvams dėl privataus būrelio lankymo gali būti siunčiami tik tėvų sutikimo pagrindu. Kuris be kita ko turi būti konkretus, aiškus, o jo galiojimas turi būti apribotas laike. Daug duomenų rinkti ir saugoti leidžia ugdymo paslaugų sutartis, teisės aktai, tačiau šie duomenys turi būti būtini sutarties sudarymui ir vykdymui, ar atitinkamai teisinės pareigos vykdymui.
Dažni pažeidimai dėl vaikų atvaizdo naudojimo
Filmuoti, fotografuoti vaiką ar daryti jo garso ir vaizdo įrašus be nors vieno iš tėvų, globėjų ar rūpintojų ir paties vaiko sutikimo, kuris jau pajėgus duoti sutikimą, draudžiama. Sutikimas reikalingas ir nuotraukų dalinimuisi uždarose tėvų grupėse, ir bet kokiam kitam vaiko atvaizdo fiksavimui ar skelbimui. Toks sutikimas negali būti pateiktas tarp kitų ugdymo paslaugų teikimo sutarties sąlygų, nesuteikiant galimybės aktyviais, neabejotinais veiksmais išreikšti valią. Sutikime be kita ko, taip pat turi būti nurodoma kokiuose šaltiniuose atvaizdas bus skelbiamas.
Mažiau yra geriau
BDAR esmė ir pagrindinis reikalavimas yra rinkti, naudoti, saugiai saugoti tik tiek duomenų, kiek reikia ir ne daugiau, ir tai daryti tik tiek laiko, kiek būtina. Taip pat reikia nepamiršti pasitikrinti, ar yra pagrindas duomenų tvarkymui ir asmenims tinkamai bei sąžiningai atskleisti vykdomas duomenų tvarkymo operacijas. Jei bus laikomasi šių reikalavimų, didelė tikimybė, kad BDAR pažeidimų bus išvengta net ir neįsigilinus į sudėtingas BDAR taikymo peripetijas.
