Madli Leikop
Haridusportaali Koolielu toimetaja
Hariduse Infotehnoloogia Sihtasutuses (HITSA) on valminud mitu ülevaatlikku ja praktilist õppematerjali 25. mail 2018. aastal jõustunud Euroopa Liidu isikuandmete kaitse üldmääruse (GDPR ehk General Data Protection Regulation, IKÜM) mõju ja rakendamise kohta meie haridusasutustes. „Ülesande selgitada õpetajatele ja haridusasutuste juhtidele isikuandmete kaitse üldmäärusega seonduvat saime haridus- ja teadusministeeriumilt. Õpetajate, koolijuhtide, haridustöötajatega suheldes sai üsna ruttu selgeks, et määruse tõlkest üksi ei piisa, vaid on vaja lisamaterjale, mis annaksid kiire ja võimalikult lihtsa ülevaate määruse olemusest ja rakendamisest. Asusimegi õppematerjale koostama,“ selgitas HITSA innovatsioonikeskuse projektijuht Triin Kaasik.
Isikuandmete töötlemise reeglid olid ennegi olemas
HITSA juristide Raili Sassiani ja Katri Samarüteli sõnul oli oluline rõhutada, et varasemalt kehtinud andmekaitse põhimõtted uue määruse jõustumisel väga palju ei muutunud. Ka varem kehtisid isikuandmete töötlemisel konkreetsed reeglid. Määrus täpsustab mitmeid põhimõtteid ja isikute õigusi, samuti loob neile õigusi juurde ja paneb isikuandmete töötlejatele täiendavaid kohustusi.
Lisaks jõustus 15.01.2019 uus isikuandmete kaitse seadus, mis annab muu hulgas noortele alates 13. eluaastast õiguse infoühiskonna teenuste saamisel otsustada ise, kas ta annab oma isikuandmete töötlemiseks nõusoleku või mitte.
Kogu see IKÜMi teema tundub keeruline ja hirmutav ja sellele on kindlasti kaasa aidanud ka meedia, rõhutades sageli sisu asemel suuri rahatrahve. Tähtis on ikkagi sisu ja isikuandmete töötlejate jaoks on suur kasu, kui luuakse endale sisuline ülevaade, kes, kus ja kuidas isikuandmeid töötleb ning kas seda tehakse vastavuses isikuandmete kaitse valdkonna nõuetega.
Natuke on segadust tekitanud küsimused, millised on õiguslikud alused konkreetsete isikuandmete töötlustoimingute juures; millal on töötlemise aluseks avaliku ülesande täitmine (hariduse saamise võimaldamine) ja millal on selleks vaja nõusolekut. Mõned valdkonnad ongi veel natuke segased ja praktika alles kujuneb, nt kuidas ja millisel õiguslikul alusel kasutada elektroonilisi õpikeskkondi.
HITSA aitas määruse sisu selgitada veebiseminaridel ja koostas õppematerjale
Märtsis 2018 toimus esimene isikuandmete kaitse seminar, kus koguti osalejatelt praktilist sisendit HITSA haridusasutustele suunatud juhendi koostamiseks. Juhendmaterjali „Isikuandmete kaitse üldmääruse rakendamine haridusasutustes“ töötasid välja FocusIT OÜ partnerid Doris Matteus, Jaan Oruaas, Janek Part ja Anu Tanila, HITSA juristid Raili Sassian ja Katri Samarütel ning Grant Thornton Baltic OÜ riskijuhtimisteenuste valdkonna juht Siiri Antsmäe ja õigusnõustaja Allan Kubu.
Selleks, et huvilised saaksid veel küsida ja ükski seik ega koht määrusest arusaamatuks ei jääks, toimus 15. mail veebiseminar „Isikuandmete kaitse üldmääruse nõuded koolidele ja lasteaedadele”. Doris Matteus FocusIT OÜst ja Maili Torma Grant Thornton Baltic OÜst selgitasid, mida koolid ja lasteaiad uuest isikuandmete kaitse üldmäärusest teadma peaksid. 17. septembril toimus veebiseminar „Isikuandmete kaitse üldmääruse nõuded koolidele“, kus selgitusi jagas andmekaitsespetsialist Tallinna Linnavalituse juures Merit Valgjärv. Veebiseminarid on järelvaadatavad HITSA YouTube´i kanalil ja sobivad õppematerjaliks praegugi. Juhendi ja veebiseminari leiab HITSA kodulehelt https://www.hitsa.ee/ikt-hariduses/gdpr-isikuandmete-kaitse-uldmaarus
„Eks algul oli palju segadust ja arusaamatust, isegi hirmu, mida uus isikuandmete kaitse regulatsioon endast kujutab ja mis nüüd koolides-lasteaedades toimuma hakkab. Peljati, et äkki keelatakse kõik ära,“ rääkis HITSA projektijuht Triin Kaasik ja lisas, et juhendmaterjali väljatöötamisel ja ka edaspidi on tihedat koostööd tehtud andmekaitse inspektsiooniga (AKI). „Tegelikult peaks nii määrus, juhendmaterjalid AKI veebilehel kui HITSAs valminud juhend aitama isikuandmetega õigesti toimetada. Isikuandmeid on kogu aeg haridusasutustes töödeldud, lihtsalt seda nähti eraldi reguleeritud tegevusena ja mõneski asutuses puudus sisemine regulatsioon isikuandmete kasutamise ning ligipääsu kohta.“ Lihtne näide, kus rikkumist ei pruugigi kohe tajuda, on see, kui õpetaja läheb tunnis klassist välja, aga jätab oma arvuti lahti – nii on avatud ligipääs keskkondadele, kust näeb õpilaste andmeid.
Uus õpiobjekt valmimas
Kohe-kohe saab HITSAs valmis veel üks õppematerjal, mis aitab samuti isikuandmete kaitse valdkonnas orienteeruda: õpiobjekt „Millele peab kool andmekaitse üldmääruse osas tähelepanu pöörama“. Õpiobjekti autor on Pärnu Mai Kooli IT-spetsialist ja andmekaitsespetsialist Hanno Saks. „Andmekaitse õpiobjekt on mõeldud kasutamiseks kõigile, kes puutuvad kokku isikuandmetega. Koolides ja lasteaedades siis juhid, pedagoogid, tugispetsialistid ja peakokk,“ selgitas Hanno Saks. „Õpiobjekti maht on üks akadeemiline tund (45 minutit) ja kaugel sellest, et olla 100% ammendav. Välja on toodud siiski esmane, mida isikuandmete kaitsest tuleks teada.“
Õpiobjekt on üles ehitatud esitluse ja videoloenguna ning lisatud on ka test. See, mis on õpiobjektis kirjas, näha ja kuulda, on miinimum, mida peaksid kõik (kaasa arvatud õpetajad) teadma. Isikuandmetega (eriti laste andmetega) tegeledes tuleb teadvustada endale, kui hoolikas on vaja seejuures olla.