Üldharidus

Isikuandmete kaitsega seotud dokumentatsioon. 2. osa

28. mai 2021 Merit Valgjärv Tallinna linna andmekaitsespetsialist - Kommenteeri artiklit
Merit Valgjärv.

Oma andmete hoidmine ja õige kasutamine on samasugune õiguskuuleka kodaniku kasvatamise osa nagu see, et me ei varasta, ei valeta ja püüame käituda moraalireeglite järgi, mis on ühiskonnas aktsepteeritavad.

Õpilased peaksid andmekaitsega seotut teadma, sest seda on neil vaja edaspidises elus nii enda kaitseks kui ka selleks, et nad oskaksid tulevikus tööandja andmetega korrektselt ümber käia. 

Nõusolek

Nõusolekud on vast kõige rohkem küsimusi tekitanud osa andmekaitseõiguses. Samas kui andmete töötlemiseks ei ole muud õiguslikku alust, siis on see ainuvõimalik lahendus, sest isikuandmete töötlemise puhul kehtib reegel: igasugune isikuandmete töötlemine eeldab õiguslikku alust – olgu selleks siis seadusega pandud ülesanne, lepingu täitmine vm.

Nõusoleku andmine peab olema vabatahtlik ja keeldumine ei tohi tuua kaasa negatiivseid tagajärgi. Nõusolekust peab olema selgesti aru saada, milliseks andmetöötluse eesmärgiks see vajalik on. Vaidluse korral peab kool suutma tõendada, et tal oli nõusolek andmete töötlemiseks (avalikustamine, edastamine vms).  

Oluline on meeles pidada, et nõusolekut ei tohi võtta juhul, kui isikuandmeid töödeldakse muul õiguslikul alusel (nt seadus, lepingu täitmine). Seda peetakse inimese jaoks eksitavaks, sest võib jääda mulje, nagu saaks ta otsustada nt andmete säilitamise või muu töötlemise üle olukorras, kus seda võimalust ei ole. Nt töölepingu kirjaliku dokumendi säilitamisele on töölepingu seaduses nähtud ette konkreetne aeg ja endine töötaja ei saa nõuda dokumendi hävitamist enne tähtaja saabumist.

Nõusolek võib puudutada nii õpilaste kui ka õpetajate ja teiste koolitöötajate andmete töötlemist. Näiteks nii õpilase kui ka õpetaja pildi avalikustamine eeldab nõusolekut.

Kas igal aastal peab kool võtma kõigilt õpilastelt uue nõusoleku piltide avalikustamiseks? Nõusoleku puhul kehtib põhimõte, et see on jõus kas nõusolekus märgitud aja jooksul või tagasivõtmiseni. Seega igal aastal ei ole vaja kõigilt lapsevanematelt või täisealistelt õpilastelt võtta uut nõusolekut nt piltide avalikustamiseks. Küll aga on vajalik esimesse klassi astuvate õpilaste vanemate nõusolek.

Kui tegemist on ühekordsete projektidega, saab selleks võtta täiendavad nõusolekud konkreetse projektiga seoses. Sellisel juhul peab nõusoleku andjal olema selge, milleks nõusolek antakse, nt kui see on pildi ja nime avalikustamine ajalehes, siis peaks viitama ka ajakirjandusväljaande andmekaitse tingimustele. Kõigil suurematel ajakirjandusväljaannetel on need olemas.

Piltide avalikustamine vs. pildistamine. Piltide avalikustamiseks on vaja nõusolekut. Seega ei ole õigust keelata lapsel, kelle vanem ei ole piltide avalikustamist lubanud, klassipildile minna. Enamasti teeb pildid kooliväline isik ja juba enne andmekaitse üldmääruse jõustumist võttis vähemalt osa klassipilte tegevaid ettevõtteid nõusoleku lapsevanematelt ning tagas ka selle, et iga lapsevanem pääses ligi vaid enda lapse piltidele, mitte ei näinud terve kooli omasid. Koolil oleks mõttekas sellise ettevõttega sõlmida ka andmekaitseleping, milles on kirjas, kes pilte näeb, kui kaua saab pilte tellida ning kui pikalt võib ettevõte neid säilitada. Samuti saab selle lepinguga paika panna muud andmete töötlemise nõuded.

Andmete avalikustamise ja koolis jäädvustamise reeglid. Andmekaitse inspektsioon on sedastanud, et 1. septembri aktus esimestele klassidele ja kooli lõpuaktused on sellised avalikud sündmused, mille puhul rakendub isikuandmete kaitse seaduse (IKS) § 11. Selliste sündmuste puhul ei ole nõusolek vajalik, küll aga on viisakas teavitada lapsevanemaid jt osalejaid, et sündmus jäädvustatakse. Avalikud sündmused on ka suuremad festivalid, mis koolimajas toimuvad või kus õpilased osalevad.

Mõttekas on jäädvustamise reeglid kirja panna kooli kodukorras. Samuti on võimalik panna kirja, millistel tingimustel võib meedia kooli ja koolis toimuvat jäädvustada (tavaliselt eeldab see eelnevat kokkulepet kooli juhtkonnaga) jms. 

Avalikud sündmused ei ole klassiõhtud, igapäevane koolielu, nt koolitund ja muud sündmused, kuhu pääseb üksnes kutsetega.

Alaealise nõusolek IKS § 8. Kui üldreegel on, et alaealise eest annab nõusoleku lapsevanem, siis infoühiskonna teenuse kasutamiseks võib alaealine anda nõusoleku alates 14. eluaastast. Siin tuleb olla tähelepanelik – tegemist ei ole üleüldise õigusega oma andmete kasutamise üle otsustada, vaid see on piiratud konkreetse teenusega. Nii ei ole IKS § 8 alusel õigus nõuda alla 18-aastaselt õpilaselt nõusolekut osaleda teadusuuringus.

Lepingud

Ühel hiljutisel koolitusel ütles ühe asutuse juht kenasti: kõigi asutuseväliste isikutega, kes saavad isikuandmetele ligi, sh praktikandid, asendusõpetajad jt, peab olema sõlmitud andmekaitsepunkte sisaldav leping. See on oluline, sest andmete väljastamise, neile ligipääsu võimaldamise jt sarnaste juhtude eest vastutab kool. Lepingus peavad olema vähemalt nõuded hoida isikuandmed konfidentsiaalsena, töödelda neid üksnes lepingu eesmärgi saavutamiseks, kustutada või tagastada andmed pärast lepingu lõppu. Kui tegemist on volitatud töötlejaga, siis on lepingus sisalduv paika pandud isikuandmete kaitse üldmääruse artiklis 28.   

Konfidentsiaalsusnõue peab sisalduma ka töötajatega sõlmitavas töölepingus. Oluline on see ka sellepärast, et andmete hoidmise kohustus oleks töötaja jaoks tööandja nõudena selge.

Andmetöötluse register

Andmetöötluse register või andmetöötluse ülevaade on vajalik, et koolil oleks ülevaade töödeldavatest andmetest ja andmete töötlemise alustest. See on hea vahend orienteerumaks, mis andmeid võib töödelda, kellele neid edastada, mis on andmete töötlemise alus ning kuidas andmeid kaitstakse.

Eelneva väljaselgitamine võtab küll aega, kuid see on kasulik tööriist, et andmetöötlusega seotud küsimusi lahendada. Sellise ülevaate olemasolu nõuab ka praegune andmekaitseõigus. Eksperdid on soovitanud alustada kogu andmekaitsega seotud dokumentatsiooni loomist just selle ülevaate koostamisest, sest see on hea alusmaterjal ülejäänud dokumentide koostamiseks.

Näide dokumentatsiooni kohta olukorras, mis tekkis seoses COVID-19-ga

Ideaalvariant:

  • koolis määrati tsentraalselt meie regioonis lubatavad e-õppekeskkonnad;
  • keskkondade kasutamise kohta avalikustati teave kooli kodulehel ja neid kirjeldati andmetöötluse registris;
  • õpilased ja õpetajad koolitati keskkondi kasutama;
  • vajadusel võeti nõusolekud äppide kasutamiseks;
  • sõlmiti lepingud nt Opiqu jms keskkonna pakkujatega või hinnati keskkonna andmekaitse tingimuste sobivust koolile.

Eelmisel kevadel seda ideaalvarianti ei olnud ja see on ka mõistetav, sest peamine oli õppeteenuse tagamine. Praeguseks võib ütelda, et olukord on parem, kuid kindlasti mitte väga hea. On selge, et distantsõpe ei kao kuhugi ja on küsitav, kas see peakski täiesti kaduma.

Meelespea:

  • Kui seda ei ole veel tehtud, siis tuleks koolil saada ülevaade nendest e-lahendustest, mida kasutatakse, ja analüüsida, mida kasutada edaspidi ning mille edaspidisest kasutamisest loobuda.
  • Tasub meeles pidada, et less is more. On kergem kasutada vähem e-lahendusi, kuid see-eest selliseid, mis on lubatud ja turvalised. Väiksemat hulka keskkondasid on kergem hallata ja koolitada koolipere, sh õpilased neid kasutama.
  • Äppide jt e-lahenduste puhul tasub meeles pidada vana reeglit: sama funktsiooniga äppe (e-lahendusi) on mitmeid. Eelistada tasub sellist, mis kogub kõige vähem kasutaja andmeid. Selle kohta, kui palju andmeid kasutaja kohta kogutakse, on teave leitav tingimustes (vbl nimetatakse neid privaatsuspoliitikaks, privaatsusteadeteks, andmekaitsetingimusteks vms, kuid need peavad alati olemas olema).
  • Kui e-lahendused on välja valitud, on vaja neid oma kodukorras ja andmekaitse ülevaates (registris) kirjeldada.
  • Olema peavad litsentsid ja andmekaitselepingud või nõusolekud, sest kõik e-keskkondade ja äppide pakkujad on kooli jaoks kolmandad isikud.

Paar üldisemat andmekaitsega seotud meeldetuletust

  • Sotsiaalmeedia ei ole koht alla 13-aastastega suhtlemiseks. Keskkonnad ise on paika pannud reeglid, näiteks Facebookis tohivad tegutseda vähemalt 13-aastased. Muidugi on võimalik lapse vanust võltsida või lapsel endal ennast vanemaks valetada, kuid kool ei tohiks sellist tegevust soosida, ammugi mitte nõuda. Tuleb nõustuda veebikonstaabliga, et lastele võib pidev lubatu ja lubamatu vahel kõõlumine tuua kaasa harjumuse suhtuda ka päriselus piirangutesse loominguliselt.
  • Need keskkonnad, mida lapsed kasutavad eraelus, ei ole automaatselt lubatud koolis. Nt eraelus on inimesel õigus avalikustada enda kohta kõiki andmeid nii tavalisi, kui eriliigilisi, ja seda sõltumata keskkonnast (võib avalikustada ajalehes või sotsiaalmeedias, kus soovib). See on põhiseadusel tuginev autonoomne otsus, mis sõltub üksnes sellest, kuidas inimene oma privaatsfääri enda jaoks sisustab. Koolis peab lähtuma avaliku teabe seadusest ja isikuandmete kaitse regulatsioonidest ning avalikustama üksnes seda, mis on lubatud.
Vaatamisi: 67

Kirjuta kommentaar

Õpetajate Lehel on õigus avaldada teie kirjutatud kommentaar paberväljaandes. Kommentaari pikkus ei tohi ületada 3000 tähemärki. Õpetajate Lehe kodulehe kommentaarid on modereeritavad ja avaldatakse pärast toimetamist hiljemalt kommentaari saatmisele järgneva tööpäeva hommikuks. Lehel on õigus jätta saadetud kommentaar kodulehel avaldamata. Iga kommentaari edastaja arvuti IP-aadress, sessiooni identifikaator ja kommenteerimise aeg salvestatakse andmebaasis. Õpetajate Leht ei vastuta kommentaaride sisu eest!