Audit koolis

Koolides kasutatakse paljusid e-keskkondi. Selleks et mõista, milliseid andmeid koolis töö tegemiseks kasutatakse, on hea läbi viia audit. Fookusesse tuleks seada kõik kasutatavad keskkonnad ja teenused koolis – nii need, kus andmete töötlemise aluseks on põhitegevus ja seaduslik alus ning milleks ei ole vaja luba küsida, kui ka need, mis vajavad luba. Kui keskkonda ei ole välja toodud kooli andmetöötlusregistris, siis seda keskkonda või teenust kasutada ei tohi.

  • Auditi sisu

  • § Teenuse/toimingu nimetus või keskkond – protsess, mille käigus andmed tekivad, nt sisseastumine/kandideerimine, õppetöö tulemused, tervisekontroll kooliarsti juures, huvitegevusega liitumine või selles osalemine, kooli raamatukogust laenutamine, kooli esindamine (kultuur, sport, olümpiaadid), lõpetamine ja töösuhte lõppemine. Võib ka märkida lihtsalt keskkonna nimetuse (E-kool või Stuudium, Google’i teenused jms).

  • § Töötlemise alus – see tuleneb seadusest või määrusest (koolieelse lasteasutuse seadus, põhikooli- ja gümnaasiumiseadus jms), kooli õppekorralduse eeskirjast, lepingust või on andmed kogutud vaba tahte alusel.

  • § Töötlemise eesmärk – õiguspäraste eesmärkide saavutamines (samas peab suutma põhjendada kogutavate andmete hulga eesmärgipärasust)

  • § Andmesubjekti kategooria ja andmete koosseis – näiteks õpilase andmed (koosseis: nimi, isikukood, e-posti aadress, kodune aadress, kasutajatunnus); lapsevanema kontaktandmed (e-aadress, telefon, töökoht); õpetaja isikuandmed (nimi, tel, e-aadress...), vilistlased (kontaktandmed).

  • § Säilitamise tähtajad – kohustus andmeid hoida ainult nii kaua, kui selleks on eesmärgist lähtudes vajadus, pärast seda tuleb andmed kustutada.

  • § Turvameetmete kirjeldus – näiteks krüpteeritud sisselogimine, krüpteeritud ketas. Lisa ka link keskkonna/äpi privaatsuse infolehele!

  • § Ligipääs andmetele – kes andmeid näeb ja kasutab, sh anmdete vastuvõtjate kategooriad: kellega neid jagatakse (ka kolmandad riigid ja rahvusvahelised organisatsioonid).

  • § Probleemide kaardistamine (kui neid on).

Auditi tulemused võivad kuuluda kooli sisedokumentatsiooni juurde, aga kindlasti peavad mõned osad sellest olema avalikult kättesaadavad kõikidele, keda need andmed puudutavad. Mõni kool on avalikustanud info loeteluna oma kooli veebis, teised kasutavad keskset registrit. Hea näide: Tallinna andmetöötlusregister.

Selleks et veebikasutaja saaks paremini aru, kuidas kool andmeid kasutab, on vaja veebis avaldada isikuandmete töötlemise kord, isikuandmekaitse põhimõtted või pirvaatsusteatis. Loe: „Isikuandmekaitse ja privaatsusteatis" ja Abiks koolidele – GDPR ja andmete kaitse kontrollküsimustik.