Kitsaskohti andmekaitse rakendamisel koolides

31. märts 2021 Birgy Lorenz, Kaido Kikkas, Anu Baum, Tõnu Metsäär - Kommenteeri artiklit

Artikkel väljendab üksnes autorite isiklikke arvamusi ega ole õiguslik nõuanne. Koolid peavad ise otsustama, kuidas igal üksikjuhul andmekaitset nõuetekohaselt korraldada.

„Küberpähkli“ uuringust selgus, et vaid väiksele osale õpilastest on räägitud isikuandmetega ümberkäimise põhimõtetest. Teiseks näitavad distantsõppe ajal ette tulnud juhtumid, et õpetajadki on isikuandmeid kasutades eksinud.

2020. a sügisel viidi 4.‒9. klassidele läbi „KüberPähkli“ uuring, milles osales üle 13 000 õpilase. Õpilased andsid teada, et koolid pigem ei ole neile selgitanud, mis tants isikuandmete kaitse ehk GDPR-i ümber käib ja millal nende esitatud koolitööd kustutatakse. Artiklis aitavad kaasa mõelda Tallinna tehnikaülikooli IT-kolledži dotsent Kaido Kikkas, küberkaitse keskuse projektijuht ja lapsevanem Anu Baum ning Eesti isikuandmete kaitse sihtasutuse juhataja, GDPR24.ee andmekaitseekspert Tõnu Metsäär.

Kui hästi tunnevad GDPR-i õpetajad?

„Küberpähkli“ uuringust selgus, et isikuandmetega toimetamise põhimõtteid ei tunne hästi õpilased ega õpetajad, lapsevanematest rääkimata. 

Võib ju tunduda, et see on väike probleem ja üldse tähenärimine, kui aga vaatame mõningaid konkreetseid isikuandmete tahtmatu või tahtliku kuritarvitamise juhtumeid, siis saame aru, et meil on aeg mõne asja üle tõsisemalt järele mõelda. Järgnevalt kirjeldame kolme distantsõppes ette tulnud juhtumit ja kommenteerime neid.

NÄIDE ELUST: TUME EKRAAN MÄRGITAKSE PUUDUJAKS

Õpilased, kes on veebitunnis tumeda ekraaniga, märgitakse puudujaks. Õpilasi, kes tundi hilinevad, tundi ei lubata ning nad märgitakse samamoodi puudujaks.

Veebitundi jõutakse vahel ettenähtust hiljem, sest kodus on tihti olukord, kus arvuti on peres olevate laste vahel jagatud või internet „jõuab ema mobiiliga koju“ näiteks viis minutit pärast veebitunni algust. Õpilased arvavad, et vahel ongi keeruline, sest ühes tunnis kaamera töötas ja teises jookseb kokku. Õpetajad kasutavad liiga palju eri veebikeskkondi ning tööks on vaja väga head arvutit, kus on palju mälu, kõik uuendused tehtud ning operatsioonisüsteemiks MS Windows ja veebilehitsejaks Chrome. Koolist võib saada küll arvuti, aga sellest ei ole alati kasu, kui pere eluruum on väike, lapsi palju ning kõik korraga ei leia parimateski oludes vaikset kohta. Maapiirkonnas ei pruugi internetiühendus olla samaaegse veebitunni puhul kõigile piisava võimsusega. Pere pöördumised kooli poole lõpevad tihti soovitusega „Saage hakkama. Ka meil on keeruline, laske õpetajal tööd teha!“.

Kaido Kikkas: Üldine soovitus on püüda lahendada olukordi õpilase kasuks. Tuleb selgelt paika panna mängureeglid ning luua õpilastele ja lapsevanematele vajalikud juhendmaterjalid.

Veebipõhiste töövahendite valikul tuleb lähtuda platvormiülesusest ‒ distantsõppe vahendid peaksid toetama kõiki levinud operatsioonisüsteeme (MS Windows, Apple macOS ning Linuxi distributsioonid) ja veebilehitsejaid (Chrome, Firefox, Safari, Edge). Võimaluse korral tasub eelistada vaba tarkvarana levivaid lahendusi, mida saab ka piiratud ressursside tingimustes ise eri kohtades kasutusele võtta ning lasta õpilastel koju paigaldada juriidilisi pahandusi pelgamata. Ent ka ärivara- (nagu seda on suur osa Windowsi tarkvarast) keskkondades on platvormiülesus täiesti võimalik ‒ näiteks Tallinna tehnikaülikoolis laialdaselt kasutatav MS Teams on edukalt pruugitav ka Linuxis töötavale õpilasele (olen Linuxi kasutajana ise osalenud kõigil pandeemiaperioodil Teamsis toimunud tööüritustel). Koolid teavad nendest teemadest praegu kahjuks veel üsna vähe ‒ muuhulgas makstakse vahel palju asjade eest, mida saaks muude vahenditega teha märksa odavamalt.

Kolmandaks soovitan kasutada rohkem asünkroonseid õppelahendusi. Distants- või e-õpe ei pea tähendama vaid kaamerat, mikrofoni ja samaaegset kohalolekut ‒ kehvemates tehnilistes oludes tasub pigem kasutada suurte MOOC-tüüpi internetikursuste meetodeid, kus õpilased lahendavad suure osa ülesandeid iseseisvalt (üksi või ka rühmadena) ning õpetajal on pigem koordinaatori roll. Mina ise ei kasuta oma e-kursustel kaamerat ega mikrofoni üldse, töövahenditeks on ajaveebid, foorum, e-post ja RSS). See võimaldab leevendada ka arvutite ja internetiühenduse jõudluse probleemi ‒ seega kutsun koole ja õpetajaid üles tutvuma „alternatiivsemate“ distantsõppemeetoditega.

Anu Baum: Lapsevanemana arvan, et õpilasi võiks rohkem usaldada. Õpetajale on ilmselt ikka näha ja teada need õpilased, kes teadlikult ei võta tundidest osa, ning need, kelle puhul võib kahtlustada nt tehnilist tõrget. Mõistan, et õpetajal on keeruline ja tülikas pärast tunni algust hilinenud õpilasi tundi lasta, aga samas ei ole ju õpilane tihti hilinemises süüdi. Enamik koolimaju on varustatud hea internetiga, kuid kahjuks ei ole viimase miili projekt käivitunud ning paljudes peredes on tehnilised probleemid internetiga ‒ valguskaabel on kauge unistus, hea, kui midagigi üle õhu levib. On perekondi, kus online-tunnis pildiga peab osalema kolm koolilast ja selle juures on ka vanematel vaja kohtumistel osaleda … kõik ikka pildiga. Hoolimata sellest, et see pere on sõlminud lepingud kõikide võrguoperaatoritega ja internetiga seotud kulud igas kuus on kaugelt rohkem kui 100 eurot, ei ole tagatud kõigile internetiühendus, mis võimaldaks pilti edastada. Nii muutubki köök nn õpetajate toaks, kus siis ollakse sunnitud selekteerima, kes mis ajal mis tunnis osaleda saab. Lapsevanemana soovin koolilt rohkem mõistmist ja usaldamist ‒ mitte alati ei tähenda tundi hilinemine või sellest puudumine, et laps ei soovi õppetöös osaleda.

Kriminaalõiguses on selline mõiste nagu süütuse presumptsioon, s.o kedagi ei tohi käsitada kuriteos süüdi olevana enne, kui tema kohta on jõustunud süüdimõistev kohtuotsus. Süütuse presumptsioon sisaldub põhiseaduse §-s 22 ja Euroopa inimõiguste konventsiooni artikli 6 lõikes 2. Kuigi tegemist on vaid kriminaalõigusliku mõistega, siis üldine põhimõte ‒ õigus süütuse eeldusele ‒ võiks olla esmane ka juhul, kui laps tundi hilineb või tunnist puudub.

NÄIDE ELUST: ÕPILASE PAROOL AVALIKUSTATAKSE

Teine tegelikkuses aset leidnud näide. Õpetaja logib arvutitunnis õpilaste digitegevust. Kui õpilased ei ole kuulanud sõna ja on käinud lubamatutel veebilehtedel (nt sotsiaalmeedias), kuvab õpetaja konkreetse õpilase kasutajanime ja parooli seinale.

Õpilaste seas tekkis selle juhtumi peale kaks leeri. Ühed arvasid, et õpetaja peab tagama tunnis korra ja õpilane ilmselgelt eksis ‒ edaspidi teab ja käitub tunnis paremini. Teised aga arvasid, et selline tegevus ei sobi õpetajale ja tunnis korra hoidmiseks on paremaid viise.

Kaido Kikkas: Õpetaja valis õpilase korralekutsumiseks täiesti ebasobiva viisi. Lisaks puhteetilisele (seda võib liigitada võimu kuritarvitamiseks) ja juriidilisele (tundlike andmete avaldamine omaniku loata) eksimusele on siin tegemist eksisammuga ka tehnilises mõttes ‒ kooli kontekstis võib ühe kasutaja andmete lekkimine seada ohtu kogu keskkonna, andes kurjade kavatsustega inimestele võimaluse rünnata avaldatud konto kaudu kogu kooli süsteemi. Arvata on, et enamiku serverites toimunud edukate rünnete puhul ei ole rünnatud otse süsteemiadministraatori kontot, vaid esmalt saadud enda kontrolli alla mõne tavakasutaja oma, pääsetud nõnda süsteemi sisse ja sealt rünnatud juba administraatorit.

Lisaks võib siin tekkida küberkiusamise (ja teiste küberkuritegude) oht kaasõpilaste poolt, kel tekkis võimalus logida teise isikuna süsteemidesse sisse. Ja viimaks on selline käitumine tõsine hoop õpilaste turvateadlikkuse ja -hoiakute pihta ‒ õpetaja tegi nii, miks meie ei või?

Tõnu Metsäär: Antud juhtumi puhul jälgis õpetaja õpilaste netiliiklust ning nägi õpilaste kasutajanime ja parooli (nn information privacy). Õpetajale selliste ligipääsuõiguste andmisel peavad nii kool (andmetöötleja) kui ka seal töötav õpetaja olukorda hindama GDPR-is sisalduvate eesmärgipärasuse ja minimaalsuse põhimõtetest lähtuvalt ning küsima endalt, kas soovitud tulemust ‒ korda ja töömeeleolu arvutitunnis ‒ saaks ehk saavutada ka muude, õpilaste privaatsust vähem riivavate meetmetega. Kindlasti peaks kooli veebilehel olema avaldatud privaatsusteade, mis sisaldab teavet ka selle kohta, et õpetajatel on võimalus õpilase kohta andmeid koguda (privaatsusriive).

Õpilaste korrale kutsumisel nende kasutajanime ja parooli avaliku kuvamisega satub lisaks õpilase privaatsusele ohtu ka tema kasutajakonto turvalisus. Lisaks EL-i isikuandmete kaitse üldmäärusele (GDPR) tuleb seda meedet hinnata ka põhikooli- ja gümnaasiumiseaduse § 3 lõike 2 alusel. Selle sätte kohaselt peetakse üldhariduskoolis oluliseks väärtusi, mis tulenevad mh Euroopa Liidu alusdokumentides nimetatud põhimõtetest, mille hulka kuulub ka EL-i põhiõiguste harta ning selle isikuandmete kaitset käsitlev artikkel 8.

Ka õpilaste andmekaitse puhul ‒ ja nende puhul isegi eriti ‒ on oluline lähtuda andmekaitseõiguse üldtunnustatud alustest (OECD Privacy Framework 1980; õigusaktid (GDPR ja IKS); kooli kui andmetöötleja sisepoliitikad ja väljapoole ehk õpilastele ja nende vanematele mõeldud privaatsusteated, samuti inimeste enda mõistlikud eeldused ja ootused selle kohta, mida nende isikuandmetega Eesti koolides ette võetakse ja mida mitte.

Anu Baum: Karistusseadustik § 216-1 sätestab kuriteona arvutikuriteo ettevalmistamise, s.o „Seadme või arvutiprogrammi, mis on loodud või kohandatud eelkõige käesoleva seadustiku §-s 206, 207, 213 või 217 sätestatud kuritegude toimepanemiseks, või kaitsevahendi, mille abil on võimalik hankida juurdepääs arvutisüsteemile, hankimise, valmistamise, valdamise, levitamise või muul viisil kättesaadavaks tegemise eest, et panna ise või võimaldada kolmandal isikul panna toime käesoleva seadustiku §-s 206, 207, 213 või 217 sätestatud kuritegu“, mille eest võib karistada kuni kaheaastase vangistusega. Karistada saab nii füüsilist kui ja juriidilist isikut (viimast vangi panna ei saa, seega on tegemist rahakaristusega). Töökogemus politseis ütleb, et lapsed panevad peamiselt toime KarS § 206 sätestatud süütegusid, s.o arvutisüsteemis olevate andmete ebaseaduslik muutmine, kustutamine, rikkumine või sulustamine, andmata endale aru, et tegemist on kuriteoga. Mitte nii kogemata pannakse toime arvutikelmusi (KarS § 213). Arvutikuritegude (ja lisaks identiteedivarguse) toimepanemine on juba märgatavalt tõsisem, kui on teada kas siis ohvri konto andmed või nn doonorkonto (kasutajatunnus ja parool). Seega võib utreeritult öelda, et kui nüüd keegi kuritarvitab andmeid, mida õpetaja nii lahkelt karistusmeetmena teistele näitab, siis võib õpetajast (aga ka koolist kui juriidilisest isikust) saada kuriteo kaasaaitaja/toimepanija.

NÄIDE ELUST: LIIKUMISTUND KOOS PERELIIKMETEGA

Liikumisõpetaja saadab koju juhise, et nädal aega tuleb kirjeldada päeva kaupa perega koos tehtud liikumistegevusi, mille tõendusmaterjal on pildid, videod, liikumislogid ja kirjeldused. Töö tuleb esitada õpetaja isiklikule e-aadressile. Kas sellist ülesannet tohib anda? Kui tohib, siis missugustel tingimustel?

Anu Baum: „Üks lapsevanem ütles, et ta ei mäleta kohustust koos lapsega kehalise tundides käima. Mina tahaks esimese asjana küsida, mille alusel soovib kool saada meie pere kõigi liikmete andmeid ‒ nimed, liikumisharjumused, videod ‒, alates sellest, kui suur on meie pere, kes sinna kuuluvad jne. Teiseks jääb arusaamatuks, miks on koolil vaja teada meie pere liikumisharjumusi, sh kus ja millal me liigume jne. Kolmandaks äratab kahtlusi nii ulatuslik pildistamisnõue. Telefon on ju siiski helistamiseks, mitte igal hetkel oma elust piltide klõpsimiseks. Ja keda ja kuidas siis hinnatakse, kui kogu pere kaasa teeb? Kas laps, kelle pere ei silka metsas ringi, saab halvema hinde? Olen lapsevanemana seisukohal, et kool ei saa sundida peret laadima alla mitmesuguseid äppe, meid kõiki pildistama ja filmima ning saatma seda ei tea kuhu ja ei tea kellele, teadmata, mis nendest materjalidest edasi saab.

Eesti Vabariigi põhiseaduse § 26 sätestab, et igaühel on õigus perekonna- ja eraelu kaitsele. ÜRO laste õiguste konventsiooni artikkel 16 sätestab, et mitte ühegi lapse eraellu, perekonnaellu ega kirjavahetusse ei või meelevaldselt ega ebaseaduslikult sekkuda, samuti ei tohi ebaseaduslikult rünnata lapse au ja head mainet. Isikuandmete kaitse kuulub privaatsfääri ehk eraelu kaitse alla.

On fakt, et fotod ja videod on juhul, kui inimene on sellel üheselt äratuntav, kaitstavad kui isikuandmed. Koolil on nagunii teada lapse elukoht, kuid tänu liikumistunni ülesandele saab kool teada ka kogu pere koosseisu, sest kasutakse liikumise jälgimise äppe. Nii ei saada teada mitte ainult kogu pere liikumisharjumusi, vaid ka pere üldine elukorraldus (à la mis ajal ollakse tööl, mis ajal veedetakse koos aega jne) ja visuaal perekonna elutingimustest. Arvestades, et ülesande sai kogu kool, s.o 1.‒12. klassini, on ülesande lõpuks kuskil minule teadmata kohas ja minule teadmata kasutusega ning teadmata turvalisusega andmebaas ca 500 perekonna kohta, sh on see andmebaas ilmselt põhjalikum, kui kohaliku omavalitsuse sotsiaaltöötajal kunagi tekkida võiks.

Juristina on minu esimene küsimus, mis on andmete kogumise eesmärk, kui kaua, kus ja kuidas neid säilitatakse; kas meie andmed on turvatud; milline on kooli teadmisvajadus minu pere ja selle harjumuste kohta. Mina lapsevanemana ei tea, et keegi oleks mind sellest kõigest informeerinud, samuti ei ole mulle edastatud informatsiooni isikuandmete töötlemise kohta ega ole ma selleks ka nõusolekut andnud. Kuna ülesanne puudutab kogu perekonda, kuhu kuulub ilmselt veel täiskasvanuid, sh neid, kes ei ole selle konkreetse lapse vanemad, kuid on täisealised, tuleb ka nendelt võtta nõusolek isikuandmete töötlemiseks, näidates ära eesmärgid, töötlemise ulatuse, kestuse ja milliseid turvameetmeid on isikuandmete töötlemisel rakendatud. Sellele kõigele ei ole antud ülesande andmisel mitte mingisugust tähelepanu pööratud.Lapsevanemana on mul muidugi veel küsimus, kas õpetaja antud ülesande puhul on tegemist n-ö võta-või-jäta-variandiga. Ehk siis: ma kas ei pööra mingit tähelepanu asjaolule, et minu ja minu pereliikmete andmete töötlemise kohta ei ole mingisugust teadmist nende töötlemise eesmärgi ja hoidmise turvalisuse osas ‒ ja me teeme selle ülesande ära ainult selleks, et laps saaks hea hinde; või me anname teada, et isikuandmete kaitse ei ole tagatud ja meid ei ole sellest informeeritud, mistõttu me lapsega seda kõike kaasa ei tee. Mis aga siis juhtub? Kas laps ei saa selles trimestris positiivset hinnet? Kahtlustan, et paljud vanemad teevad seda kõike siiski lapse hea hinde nimel kaasa, isegi kui see ülesanne neile mõnel põhjusel ei meeldi ja küsimusi tekitab. Nad teevad selle ära ja edastavad kogu informatsiooni õpetajale. Alternatiiv on muidugi ka: pere liigub fantaasiamaailma ning lihtsalt kirjutab/töötleb midagi lõpuks kokku, aga kas me sellega omakorda ei õpeta lastele, et valetamine on norm?

Isikuandmed on igasugune teave tuvastatud või tuvastatava inimese („andmesubjekti“) kohta. Tuvastatav on isik, keda saab otseselt või kaudselt tuvastada, näiteks tunnuste põhjal, nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku üks või mitu füüsilist, füsioloogilist, geneetilist, vaimset, majanduslikku, kultuurilist või sotsiaalset tunnust. (Kursiivis on andmed, mida selle ülesande täitmise korral edastatakse õpetajale kõikide perekonnaliikmete kohta.)

Isikuandmete töötlemine peab olema seaduslik. Kuna koolitööde puhul ei ole tegemist olukorraga, kus pereliikmete isikuandmete töötlemise alus tuleb seadusest, lepingust vms GDPR-i alusest, mille puhul ei ole isiku nõusolek vajalik, siis tuleks koolil võtta pereliikmete nõusolek nende isikuandmete töötlemiseks. Nõusoleku võtmisel tuleb inimest selgelt informeerida andmete töötlemise eesmärgist. Oluline on ära näidata, kes vastutab isikuandmete töötlemise eest, kes on see kontaktpunkt, keda teavitada, kui soovin, et isikuandmete töötlemine lõpetataks. Ja mis kõige olulisem: lapse ainesooritus ei tohi olla seotud asjaoluga, kas tema pereliikmed annavad nõusoleku isikuandmete töötlemiseks või mitte (nt kui andmete töötlemise eesmärk on liikumistunnis hindelise töö tegemine, kuid pereliikmed ei anna nõusolekut, siis ei saa sellepärast panna lapsele halba hinnet).

Koolile on oluline teada, et kui kodutööde käigus kogutud isikuandmed n-ö lekivad, tuleb haldustrahvi nõue koolile, mitte õpetajale. Ja isikuandmete kaitse määrusest tulenevalt on hinnakiri päris krõbe. Kogu andmetöötluse eest vastutab õppeasutus.

Tõnu Metsäär: Arvesse tuleb võtta andmetöötluse minimaalsuse põhimõtet (GDPR-i art 5 p c). Värskes õhus teatud vahemaa läbimist või kindla hulga sammude astumist ei ole vaja tõestada õpilase pereliikmeid äratuntavalt kajastava foto- või videomaterjaliga. Inimese kujutis, mille abil ta on äratuntav, on isikuandmed. Lisaks: olukorras, kus vanemad on huvitatud oma lapse õppeedukusest, ei ole ega saagi olla tegu vaba tahte alusel antud nõusolekuga. Tegu on n-ö ettepanekuga, millest ei ole võimalik keelduda.

Kui liikumisharjutusest osavõtjaid ei pildistata ega filmita, samuti ei avalikustata nt asukohaandmeid, liikumislogisid ja marsruute, on ikkagi tegu õpilase ja tema perekonna isikuandmetega (nn location privacy). Sedasorti materjali ei peaks õpetaja oma isiklikule meilile ega isiklikku arvutisse koguma. Samuti peab õpilasele ja tema perekonnale olema kooli privaatsusteatest näha teave selle kohta, kus ja kui kaua neid isikuandmeid säilitatakse ning kellel ja millistel eesmärkidel on neile andmetele juurdepääs.

Väljavõte HTM-i juhisest: Virtuaalselt toimuva õppe korraldamisel tuleb koolidel tagada andmekaitset reguleerivate õigusaktide nõuete täitmine. Koolis peavad olema kokku lepitud õppeks sobivad veebikeskkonnad, kehtestatud andmete töötlemise põhimõtted ja kirjeldatud infoturbe- ning andmekaitseriskid ning meetmed nende maandamiseks. Kõik muud keskkonnad, mis ei ole õppetöö korraldamiseks vältimatud, peaks olema nõusolekupõhised. Seega peaks olema koolil võimalus pakkuda alternatiivi neile, kes ei soovi neid kasutada. Vajadusel tuleb õpilased sobivate vahenditega varustada.

Väljavõte andmekaitse inspektsiooni tekstist: Oluline on ka rõhutada, et pärast hinde väljapanemist (st pärast hindamise vaidlustusaega) peab kool tagama, et õpetaja on kõik saadud failid, videod ja fotod kustutanud. Videote ja fotode edastamisel õpetajale (nt kehalise tunni harjutuste sooritamise hindamiseks) soovitame kasutada võimalust, et kasutajad laevad need üles kooli serverisse, kus need pärast teatud aja möödumist automaatselt kustutatakse, ning teavitada puudutatud isikud sellest, kui kaua andmeid säilitatakse. Samuti soovitame jäädvustada last nii, et ta ei oleks üheselt tuvastatav (nt selja tagant, kaugelt distantsilt, hiljem udutades jms). Teadlikumad vanemad võivad jagada videot ka nii, et see on nähtav vaid saajale, ei ole allalaetav ning vanemad saavad selle hiljem ise ära kustutada.

Kui kompetentsed on õpilased?

„Küberpähkli“ uuringust selgus, et õpilasedki tunnevad isikuandmetega ümberkäimise reegleid pigem halvasti – neile pole neid õpetatud.

See tähendab, et nad võivad tahtmatult vigu teha ja kogemata hea tava vastu eksida. Teisalt on neil raske ka iseennast kaitsta, kui neile isikuandmete osas liiga tehakse. Ent vaatame lähemalt, mida „Küberpähkli“ uuringu tulemused näitasid.

  • Kas õpilasi on teavitatud sellest, mida tähendab isikuandmete kaitse? 4. klassi lapsed annavad teada, et 10% on sellega kursis, 34% ütleb, on küll räägitud, aga nad ei mäleta täpselt, mida. 8. klassis teavad seda 6% ja 45% ütleb, et räägiti, aga nad ei mäleta. Sellisel juhul tuleb õpilasi teemast uuesti informeerida, samuti teha teavitustööd nende hulgas, kes vastasid „ei“ või „ei tea“. Praegu on olukord, kus 90% õpilastest ei tea või ei mäleta, mida nende isikuandmetega koolis teha võib, mida mitte.
  • Kas kool on sinult isikuandmete kogumiseks ja töötlemiseks luba küsinud? Neid 4. klassi õpilasi, kelle enda käest on luba küsitud, on 5%. 22% puhul on luba küsitud nende vanematelt. 8. klassis pole lugu parem: 3% annab teada, et on küsitud, 23% puhul on küsitud nende vanemalt (nii, et õpilane ise on sellest teadlik). Siin on oluline rõhutada, et õppe, sh distantsõppe korraldamist käsitatakse GDPR-i art 6 p 1(e) aluselavaliku ülesande täitmisena kooskõlas põhikooli- ja gümnaasiumiseaduse §-dega 3‒5. Seega on õpilase isikuandmete töötlemiseks GDPR-i art 6 p 1 (a) sätestatud nõusolek vajalik ainult juhtudel, kui kool soovib õpilase isikuandmeid töödelda õppe korraldamisega mitte seotud eesmärkidel (näiteks õpilaste fotode avalikustamine kooli veebilehel). Kui vanem nõustus, kuid hiljem võttis nõusoleku tagasi, siis tuleb fotod kohe kooli veebilehelt eemaldada. Eri liiki isikuandmete, nt õpilase tervist puudutava info töötlemise kohta kehtivad täiendavad erinõuded ja piirangud (GDPR-i art 9).
  • Kas kool/õpetajad on selgitanud, millal sinu saadetud kodutöö õpetaja e-postist või õppetöökeskkonnast kustutatakse? 4. klassist teab seda täpselt 7% õpilastest, 10% küll mäletab, et õpetaja seda rääkis, aga nad on unustanud. 8. klassis ei ole olukord parem: 5% teab seda täpselt, 10% võiks teada, aga ei mäleta. Seega võime väita, et 85% õpilastest ei tea, mis saab nende esitatud kodutöödest koolis edaspidi ‒ kuidas neid turvaliselt hoiustatakse, kasutatakse ja millal hävitatakse. Teatakse, et tööd on „õpetaja käes“ või „e-koolis / e-õppe süsteemis“, kuid õpilasel endal selle üle kontroll puudub. See ei ole praeguste andmekaitsenõuetega kooskõlas. Samas ei tea vanemad, et neil on õigus teha kooli päring, kus ja millised isiku kohta käivad andmed asuvad, et nõuda vajadusel nende korrigeerimist, kasutamise lõpetamist jne.

GDPR-i artikli 5 punktis 1 ja artiklis 13 sätestatud andmetöötluse läbipaistvuse ja teavitamiskohustuse põhimõtete järgimiseks ning avaliku teabe seaduse § 28 lg 1 punktis 311 sätestatud kohustuste täitmiseks peab kool kui vastutav andmetöötleja üldsusele avaldama järgmised andmed: isikuandmete töötlemise eesmärk, ulatus ja viis, kolmandatele isikutele, sealhulgas teisele asutusele isikuandmete edastamise ja avalikkusele kättesaadavaks tegemise ning isiku poolt enda andmetega tutvumise õigus ja kord.

Mõistlik on teavitada lapsevanemaid nende enda ja lapse õigustest kooli veebilehel avaldatava privaatsusteatega (privacy notice), tuues selles välja kogu info selle kohta, milliseid õpilase isikuandmeid kogutakse, kelle käest ja miks. Sealsamas saab õpilasi ja nende vanemaid informeerida isikuandmete säilitamise tähtaegadest, kasutatavatest turvameetmetest ja sellest, kui kaua kool isikuandmeid alles hoiab. Vt ka siit.

Privaatsusteate peab koostama või koostada laskma kool, mitte õpetaja. Ühtlasi annab privaatsusteate olemasolu oma tööandja veebilehel õpetajale hea võimaluse sellele viidata ja tugineda ka näiteks siis, kui lapsevanem esitab küsimusi lapse andmete töötlemise kohta.

Filmimise ja pildistamise või tunni salvestamise puhul tasub alati enne läbi mõelda, kas see tegevus on ikka vajalik, ja osata seda vajadust lastele ja vanematele alati selgitada.

Mõningaid soovitusi

Saadud tulemuste alusel võime väita, et õpilased pigem ei ole kursis nende andmeid puudutava tegevusega distantsõppes ning koolides ei ole GDPR-i rakendamisega kõik veel hästi. Sellega seoses koolidele mõned soovitused.

  • Teha oma kooli GDPR-i dokumentatsioon korda HTM-i (10.03.2021) ja AKI (07.10.2020) juhistele vastavalt. Tuleb viia läbi audit ja riskihindamine, koostada privaatsusteade, sobilikud kasutusjuhendid ja -reeglid distantsõppeks kasutatava tehnika ja korralduse kohta (sh andmekaitse mõjuhinnang distantsõppe kohta igas konkreetses koolis). Vaadata üle teavitusprotsess, näiteks leida lahendus probleemile, kuidas tavaline aineõpetaja teab, mida ühe või teise lapsega teha võib või ei või.
  • Viia vähemalt kord õppeaastas läbi isikuandmete alane teavitustegevus (näiteks sügisel klassijuhatajatunnis ja lastevanemate koosolekul, samuti iga uue e-õppe keskkonna kasutuselevõtu järel) ning uuendada lapsevanemate nõusolekut, kui seda on andmete töötlemiseks vaja. Privaatsusteade peab olema väljas kooli veebilehel, et soovijad saaksid teada, milliseid e-keskkondasid kool kasutab ja milliseid andmeid millise lepingu alusel välistele osapooltele edastatakse jne).
  • Järgida üleüldist head seaduskuulekat käitumist teisi inimesi puudutavate piltide, videote ja postituste osas. Ehkki teadlikkus õigest käitumisest võib olla kõrge, ei pruugi see väljenduda käitumises. Tuleb mõelda välja uusi viise, kuidas saavutada teadmiste põhjal tegelik käitumine. See tähendab suhtumise ja väärtushinnangute muutumist seoses andmekaitsega ning kooli turvakultuuri parandamist.

Igaühel on võimalus kaasa mõelda, mida on võimalik teha, et igal õpilasel oleks võimalus distantsõppes täisväärtuslikult ja turvaliselt osaleda ning saada sellest kasu. „Küberpähkli“ uuringu tulemused on kättesaadavad leheküljel www.kyberpahkel.ee.

Midagi positiivset

„Küberpähkli“ uuring näitab, et enamik õpilasi on kokku puutunud Opiq.ee ülesannete lahendamise, videokõnes osalemise, pildistamise ja pildi saatmisega õpetajale; umbes pooled on loonud uusi kontosid; ⅓ ennast filminud ja video õpetajale saatnud ning nutikellaga oma liikumist jälginud. Õpilastele pigem meeldib (64% eesti- ja 67% venekeelsetest vastanutest) distantsõppes õppida ning see õppevorm võiks jääda ka tulevikus mõneks päevaks nädalas kasutusele. Poistele meeldib e-õppes õppida veidi rohkem kui tüdrukutele. Õpilaste õpimotivatsioon on pigem kõrge eestikeelsele ankeedile vastanutel (97%), rohkem muret tekitavad venekeelsele ankeedile vastanud, kellest 17,9% ei ole õppimisele kuigivõrd pühendunud.

  • „Küberpähkli“ uuringut viib läbi TalTech kaitseministeeriumi „Küberolümpia“ ja „Targalt internetis“ projektide tegevuse raames. 

Viidatud materjalid:

AKI Ringkiri koolidele 7.10.2020 https://www.aki.ee/sites/default/files/seired/ringkiri_koolidele_distantsope_jm_07.10.20_1.pdf

Ringkiri koolidele seoses virtuaalkeskkondade kasutamisega 08.05.2020

https://www.aki.ee/sites/default/files/ringkirjad/ringkiri_koolidele.pdf

HTM, Distantsõppe korraldamise juhis üldhariduskoolidele 10.03.2021

https://www.hm.ee/sites/default/files/2021.03.10_distantsoppe_juhis_uldhariduskoolidele.pdf


Kirjuta kommentaar

Õpetajate Lehel on õigus avaldada teie kirjutatud kommentaar paberväljaandes. Kommentaari pikkus ei tohi ületada 3000 tähemärki. Õpetajate Lehe kodulehe kommentaarid on modereeritavad ja avaldatakse pärast toimetamist hiljemalt kommentaari saatmisele järgneva tööpäeva hommikuks. Lehel on õigus jätta saadetud kommentaar kodulehel avaldamata. Iga kommentaari edastaja arvuti IP-aadress, sessiooni identifikaator ja kommenteerimise aeg salvestatakse andmebaasis. Õpetajate Leht ei vastuta kommentaaride sisu eest!