Abiks koolidele - kontrollküsimustik
Abiks koolidele – GDPR ja andmete kaitse kontrollküsimustik.
Üldiselt
Õppeasutus töötleb igapäevasel lisaks oma töötajate s.o õpetajad ja tugipersonal ka õppeasutuses õppijate ja nende vanemate andmeid. Lisaks võib kool töödelda kooli külastavate isikute andmeid (nt kooli sisenemise ja väljumise registreerimine, videovalve kooli avalikes ruumides jne).
Seega tuleb õppeasutusel isikuandmete kaitsel ja selleks, et isikuandmete töötlemine oleks vastavuses Andmekaitse Üldmäärusega (AÜ, inglise keeles GDPR), vaadata oma tegevust ja isikute andmeid laiemalt ning selgelt ei puuduta isikuandmete kaitse ainult kooli juhtkonda. Isikuandmete töötlemine ja seaduspärasus on muutnud veelgi aktuaalsemaks seoses COVID pandeemiaga, mil suurenes distantsõppe osakaal ning seega suurenes ka õppeasutuse poolt isikuandmete töötlemise maht. Kui distantsõppele minnes ei olnud aega mõelda kõikidele nüanssidele mis distantsõppega kaasnevad ning eelkõige olid koolide pingutused suunatud õppetöö jätkumisele, siis nüüd oleks viimane aeg vaadata üle ka kooli andmekaitse reeglid ning vajadusel viia need vastavusse ja kooskõlla kehtiva seadusandlusega sh et need oleksid sobivad ka muutnud õppekorralduses.
On oluline, et nii kooli personalile kui ka lapsevanematele ja õpilastele oleks selge, kes, millal, mis eesmärgil ja kui kaua tema andmeid töötleb. Selleks tuleb koolil töötada välja sisemine isikuandmete töötlemise reeglistik, mis peab olema kättesaadav nii kooli personalile kui ka lapsevanematele, õpilastele ja ka kooli vilistlastele. Protsessi lihtsustamiseks pakume välja nn kontrollnimekirja mille järgi on hea vaadata ja kontrollida, kas kõik oluline on läbi mõeldud ja olemas.
LÜHIDALT:
1. Vaata üle, milline dokumentatsioon on juba seoses andmekaitsega olemas;
2. Kui vajalik dokumentatsioon/reeglist puudub, siis asu seda looma; Kui see on juba olemas, siis kaasajasta ja täienda;
3. Mõtle läbi kelle ja millised isikuandmeid on need, mida oma igapäevases töös/eesmärkide saavutamiseks töötled;
4. Kaardista äriprotsessi sh millised on põhitegevused ja millised on kõrvaltegevused; millised äriprotsessi kasutavad milliseid ja kelle isikuandmeid;
5. Äriprotsessidest lähtuvalt määratle andmete töötlemise eesmärgid ning nendest tulenevalt andmete säilitamise tähtajad;
6. Määratle ära andmetele ligipääsu tingimused ja kord; pööra erilist tähelepanu eriliigistele isikuandmetele;
7. Avalda kooli kodulehele isikuandmete töötlemise põhimõtted ja regulatsioonid; määra andmekaiste spetsialist ning avalda tema andmed kooli kodulehel;
8. Tutvusta kooli personalile kooli andmetöötluspõhimõtteid;
9. Tutvusta kooli lapsevanematele kooli andmetöötluspõhimõtteid ja regulatsiooni sh selgita lapsevanematele millised isikuandmeid töödeldakse seaduse alusel. Andmete töötlemiseks, mida ei töödelda seaduse alusel, võta lapsevanemalt (gümnaasiumiastmes lapselt) nõusolek.
10. Nõusoleku võtmisel ole eesmärkide ja nõusolekute küsimisel piisavalt konkreetne; soovituslik on mitte võtta nö kobarnõusolekut (st üks linnuke kõikide eesmärkide jaoks – lapsevanem võib olla nõus nt info selle kohta, et ta laps on kooli õpilasesinduses on kooli kodulehel, aga ei pruugi olla nõus, et tema lapse pilt on koolikodulehel). Ole valmis tõendama, et nõusolek on antud;
11. Mõtle läbi ja defineeri kes on volitatud töötlejad; määratle õppekeskkonnad ja online vahendid mida õppetöös kasutatakse;
12. Mõtle läbi ja defineeri kas, millal, mis alusel ja millised andmeid kool edastab kolmandatele isikutele. Informeeri sellest ka andmesubjekte.
Loe edasi all olevast failist: nõusoleku ja andmekaitsetingimuste kontrollküsimustik ja andmekaitse mõjuhinnang (vt ka audit koolis näidet)
Andmete töötlemise eesmärk
Koolil, nagu kõikidel isikuandmete töötlejatel, on vaja defineerida andmete töötlemise eesmärk. Andmete töötlemise vajadus ja andmete liigid mida töödeldakse võivad tulla seaduses või mõnest muust õigusaktist. Andmete töötlemise eesmärke võib olla mitu ja need saavad olla erinevad sh võib samade isikuandmete (või nende komplektide) töötlemise eesmärgid olla erinevad. Üldine reegel on, et andmeid tuleks koguda niipalju kui vajalik ning nii vähe kui võimalik.
Eesti Infoturbestandardis (E-ITS) alustatakse asutuse turvalisuse ja vastavate meetmete kohaldamist (äri)protsesside kaardistamisest. Sama lähenemist võib olla mõistlik kasutada ka isikuandmete kaitse eesmärkide ja seeläbi isikuandmete liikide aga ka säilitamise tähtaja määramisel.
Näiteks:
Õpilaste teadmiste hindamine kontrolltöödega – äriprotsessiks on saada teadmist õpilaste teadmistest ja see on ka isikuandmete kogumise eesmärgiks. Äriprotsess vajab õpilase eest- ja perekonnanime (teatud juhtudel ka isikukoodi). Andmetele pääseb ligi õpilase tööd hindav õpetaja ja ligipääs võib olla vajalik ka õpetaja tööd kontrollivale töötajale/töötajatele (direktor, õppejuht vms). Töö säilitamise aeg ei saa olla üldjuhul pikem kui kokkuvõtva hinde väljapanemiseni või siis õppeaasta lõpuni, pärast mida tuleks tööd koos sellel olevate isikuandmetega hävitada. Seaduses tulenevalt säilitatakse õpilaste andmete juures töö eest saadud hinnet. Juhul, kui õpilast hinnati mõne eriklausli alusel (lähtuvalt õpilase erivajadusest), siis on üldjuhul juba tegemist õpilaste terviseandmetega, mille käitlemisel tuleb rakendada suuremat turvalisust. Kuna kool peab pakkuma õppeteenust kõigile õpilastele, siis on koolil vajalik teada õpilaste terviseandmeid, kuid see ei tähenda automaatselt seda, et õpilase terviseandmed peavad olema teada kogu kooliperele. Õpilaste terviseandmete töötlemisel tuleb mõelda läbi, mis on terviseandmete töötlemise eesmärgiks. Ilmselt on lapse terviseandmete teadmise vajadus kooli juhtkonnal ja üldjuhul ka lapse klassijuhtajal, kuid edasi tuleb hinnata teadmisvajadust lapse erivajaduse põhiselt nt kui laps ei saa osaleda mingil põhjusel kehalise kasvatuse kõikides tundides, siis ilmselt puudub inglise keele õpetajal vajadus lapse sellised terviseandmeid teada – andmete töötlemise eesmärgiks on pakkuda õpilastele diferentseeritud õpet ja hindamist ühes aines ning teiste aineõpetajatele/ülejäänud koolipersonalil puudub vajadus neid andmeid töödelda, sest see ei oleks eesmärgipärane.
Eesmärgist tulenevalt on vajalik pöörata tähelepanu ka andmete hoidmise ja avaldamise tähtaegadele. Oluline on märkida, et igasugused tegevused andmete sh ka andmete hoidmine, on käsitletav andmete töötlemisena, ning seega tuleb ja andmete hoidmisel rakendada neile turvameetmeid. Palju küsimusi on tekitanud koolides vilistlaste andmete s.o nimede ja lõpetamise aasta kuvamine kooli kodulehel. Osad koolid on vilistlaste andmete kuvamise kooli kodulehel lõpetanud, samas mõne kooli kodulehele on need andmed olemas. Kuna tegemist on isikuandmetega, siis üldiselt peaks kooli kodulehel olema vilistlase andmete kuvamiseks olema vilistlase sellekohane nõusolek. Kuni mõni vilistlane ei anna nõusolekut või soovib nõusolekust loobuda, siis tema nime lõpetajate nimekirjas kooli kodulehel kuvada ei tohi. Sama reegel kehtib ka nt kooli kodulehel olevate teiste õpilaste isikuandmetega nt stipendiumite saajad, aga õpilasesinduse liikmete kohta info avaldamine. Viimasel juhul tuleb kindlasti vaadata, mis on andmete avaldamise eesmärgiks sh mis on mittekehtivate andmete avaldamise eesmärgiks ning kas ikka on mõistlik kuvada kooli kodulehel kõikide varasemate õpilasesinduse liikmete nimesid.
See millised on kooli isikuandmete töötlemise põhimõtted (privaatsussätted) peavad olema nii kooli töötajaskonnale, kui ka õpilastele ja nende vanematele kättesaadavad, ilmselt oleks kõige mõistlikum oleks neid kuvada kooli kodulehel. Kooli kodulehele peab olema ka informatsioon selle kohta, kelle poole on võimalik pöörduda, kui alust kahtlustada et isikuandmeid on kuritarvitatud, aga ka kelle käest milliseid andmed koolil isiku kohta on ning teavitada kooli isikuandmete töötlemise nõusoleku tagasivõtmisest. Selles et ennetada probleeme isikuandmete töötlemisel, tuleb koolil tutvustada kooli isikuandmete töötlemise põhimõtteid ka kõikidele oma töötajatele. Selleks et tagada isikuandmete töötlemise seaduslikkus, eesmärgipärasus, õigsus, minimaalsus, usaldusväärsus, konfidentsiaalsus ja säilitamise piirang, tuleb kooli juhtkonnal koostöös kooli andmekaitsespetsialistiga mõelda läbi andmete töötlemise protseduurid sh logide olemasolud, turvalisus (nii online kui offline), andmete ligipääsetavus, volitatud töötlejad ja ka laiemal andmete kogumise vajalikkus, kogutavate andmete maht ja töötlemise aeg.
Allolevad kontrollnimekirjad on järgivad suures osas andmekaitse inspektsiooni poolt nende kodulehel olevat Isikuandmete töötleja üldjuhendit ja selle lisasid, mis on täiendatud kommentaaride ja kooli jaoks sobilike märksõnade ja viidetega.
