Andmekaitse koolis – kas tüütu lisakohustus või oluline osa igapäevatööst?

Igaühel on õigus oma andmete kaitsele, sest andmelekked on tihti viinud mainekahju, väljapressimiste, identiteedivarguste ja küberkiusamiseni, mis äärmuslikel juhtudel on päädinud isegi enesetappudega. Seepärast kohustab Euroopa Liidu isikuandmete kaitse üldmäärus (IKÜM ehk GDPR) haridusasutusi hoolitsema õpilaste andmete privaatsuse eest. Aga kuidas seda teha mõistlikul viisil, et kõik kohustused oleksid täidetud, ilma et see koormaks ülemäära kooli põhitegevust hariduse andmisel? 

Õigus oma andmete kaitsele on igaühe põhiõigus ning selle riive peab olema veenvalt põhjendatud – see põhimõte on kirjas nii Euroopa Liidu seadusandluses, ÜRO rahvusvahelistes lepingutes, Eesti õigusaktides kui ka koolide endi põhimäärustes. Delikaatse info alusel võidakse õpilasi tulevikus diskrimineerida tööturul, sissetulekust lähtuvalt mõnda kaupa müües või usu ja tõekspidamiste alusel igapäevaelus. 

Ilmselt on üsna laialt teada, et tänapäeval ei tohi enam kooli lõpupilte või õpilaste nimekirju automaatselt kooli veebi üles riputada. Tegelikult lähevad andmekaitsenõuded märksa sügavamale – õppetöös ei tohi kasutada ühtki arvutiprogrammi, rakendust või IT-teenust enne, kui kool on veendunud, et õpilaste andmed on kaitstud. See ei hõlma ainult ilmselgelt sensitiivset infot sisaldavaid rakendusi nagu e-kool selles sisalduvate hinnetega või õpilaste andmebaas koos isikukoodide, kontaktinfo ja koduste aadressidega, vaid üldkasutatavaid rakendusi, näiteks YouTube’i, Microsofti, Google Workspace’i jne. 

Võib ju mõelda, mis riski privaatsusele võib kaasa tuua õppeainega seotud klipi vaatamine YouTubest. Tõepoolest, otseselt õpilane mingeid isikuandmeid selleks sisestama ei pea, kuid sageli on YouTube’i sisenedes vaikimisi aktiveeritud ühekordne sisselogimine Google’i kontoga, mis tekitab videorakenduse kasutamisel märkimisväärse digitaalse jalajälje sisu valiku, kommentaaride, sotsiaalmeedia jms näol. See omakorda võimaldab teenusepakkujal õpilast profileerida ning hakata talle automaatselt järgmisi klippe ette mängima ja suunatult reklaame näitama, kuid reklaam õpilastele ja haridusasutuste ruumides on üldse seadusega keelatud. Seetõttu tuleks koolides kasutada kas YouTube’i tasulist reklaamivaba versiooni, või kureerida klipp läbi Google for Education presentatsiooni, et klipi ekraanil näitamisel ei esineks reklaame. Kodus YouTube’i klipi vaatamiseks, saab kasutada kas kureerimist läbi Slides’i või anda õpilasele kaasa juhend oma privaatsuse hoidmiseks, mille täitmist ei saa jälgida. Läbi MS PowerPoint’i, Google tavakonto Slide’ide või kodulehele video laadimise reklaami eemaldamine kahjuks ei toimi. 

Iga IT-rakenduse kasutamine koolis nõuab eraldi luba

Seetõttu tuleb õpilase andmeid töötleva IT-rakenduse või -teenuse kasutamiseks koolis saada eelnevalt luba andmekaitse eest vastutajalt. Loa andmine ei ole lihtsalt poolautomaatne jah/ei „linnukese“ panemine tabelisse, vaid sellele peab iga üksiku rakenduse puhul eelnema andmekaitsealase mõjuhinnangu läbiviimine. Selle käigus tuleb hinnata, mis on õpilase andmete töötlemise eesmärk ja kestus (millal need pärast rakenduse kasutamise lõppu kustutatakse), andmete kategooria (nt kas hõlmatud on tundlikud isikuandmed nagu meditsiiniline info), kes on andmesubjekt (noorema kui 13-aastase puhul peab andma nõusoleku vanem ega tohi kasutada rakendusi, mis võivad kasutamisel küsida õpilaselt lisaandmeid), kas rakendus näitab reklaame, kas teenusleping ja kasutustingimused on kooskõlas andmekaitse üldmääruse nõuetega jne. Mõjuhinnangu peab iga haridusasutus koostama iga õppetöös kasutatava rakenduse osas eraldi, kuna selle kasutusviis ja andmesubjektid ning seega hinnangu alus võib erineda.  

Kuna haridusasutus on seaduse kohaselt õpilase isikuandmete vastutav töötleja, siis kantakse vaikimisi vastutust kogu andmeahela eest isegi siis, kui rikkumises või andmelekkes on süüdi õppetöös kasutatava rakenduse pakkuja kui volitatud töötleja. Koolil on võimalik vastutusest vabaneda vaid siis, kui ta tõendab, et pole ise andmekaitsenõudeid rikkunud. Selle tõendamise aluseks ongi enne konkreetse rakenduse kasutamist tehtud andmekaitsealane mõjuhinnang ning teenusleping ja andmetöötlusleping. Need peavad täpselt määratlema, millses ulatuses on teenusepakkuja volitatud õpilase andmeid töötlema ning mis juhtub siis, kui see piir ületatakse ning andmeid töödeldakse näiteks äriliselt eesmärkidel. 

Rootsis on koolid juba saanud megatrahve

Kui oma süü puudumist tõendada ei suudeta, on igal haridusasutusel sanktsioonide ja kooli või omavalitsuse poolt määratud vastutajatel personaalselt ka distsiplinaarkaristuse risk. Näiteks keelas andmekaitseinspektsioon 2022. aastal Rakverel ametikoolil õpilaste arvutikasutust monitooriva ja keskhaldust võimaldava Impero Education tarkvara kasutamise. Eestis pole seni veel koolidele ja koolipidajatele trahve määratud, kuid Rootsis sai Stockholmi vald kokku 800.000 euro eest trahve erinevate rikkumiste pärast, muuhulgas sellepärast et kasutas krüpteerimata varianti videokonverentsilahendusest Zoom, kus andmed liiguvad läbi USA serverite. Östersundile määrati aga krõbe trahvisumma, kuna Google Workspace’i keskses haldussüsteemis olid koolid jätnud privaatsussätted korralikult seadistamata ega polnud teinud mõjuhinnangut. 

Mõlema Rootsi juhtumi puhul on märkimisväärne, et tegemist on suurte ja usaldusväärsete IT-teenustega, mille puhul ei olnud probleem niivõrd andmeturbetehnoloogias, vaid just eeskätt kasutusprotsessides ja selle korrektses dokumenteerimises. Andmelekkeid ei saagi ära hoida üksnes tehniliste vahenditega, vaid küberturvalisus on hästi korraldatud kooslus inimestest, tööprotsessidest ja tehnoloogiast. Nõrgimaks lüliks selles ketis ongi lõppkasutaja, kelle süül või hooletusest saab alguse ca 90% küberintsidentidest. Kui lõppkasutajaks on aga alaealine lasub vastutus sellel, kes ta rakendust kasutama suunas või jättis turvalisuse tagamata.

Igas koolis kasutatakse õppetöös sadu ja võibolla isegi tuhandeid erinevaid rakendusi. Kõigi nende lõikes mõjuhinnangute tegemine võtab aega umbes 800 tundi aastas, millele lisandub suhtlus kooliperega. Enamasti ei ole koolis eraldi andmekaitsespetsialisti, vaid seda teeb muu töö kõrvalt haridustehnoloog, kooli infojuht või mõni õpetaja.  

Lähenemine soomes

Sarnaste probleemide ees olid GDRPi jõustumisel 2018. aastal ka Soome haridusasutused ja koolipidajad, kes otsustasid proovida selle murekoha lahendada tehnoloogia abil. Kolme suurema linna ja Edudata.io koostöös töötati välja protsess ja platvorm, mille abil on õpetajal lihtne jälgida, mis rakendused on lubatud. Vastutaval spetsialistil on aga ülevaade, kas mõjuhinnangud on tehtud ja endiselt ajakohased. Varasema 800 töötunni asemel kulub nüüd ca 10.

Kui õpetaja soovib võtta kasutusele mõne uue arvutiprogrammi või IT-teenuse, sisestab ta vastava taotluse veebiplatvormile. Seejärel hindavad välised andmekaitsele spetsialiseerinud juristid selle rakenduse kooskõla üldmääruse nõuetega ning koostavad vastuse projektid 18 küsimusele ja esitavad kokkuvõtva riskimaatriksi. Kooli andmekaitsespetsialist kohendab vajadusel vastuseid ja annab omapoolse hinnangu kõnealuse rakenduse lubatavusele, misjärel läheb küsimus otsustamiseks andmekaitse eest vastutavale isikule (koolidirektor või koolipidaja töötaja omavalitsuses või haridus- ja teadusministeeriumis). Vastutaja otsuse järel saab õpetaja teavituse, kas ta võib või ei või rakendust oma töös kasutada . Kuigi iga kool on eriline, on enamik õppetöös kasutavad rakendusi korduvad. Tänu sellele on juristid juba ette koostanud mõjuhinnangute projektid ligikaudu 4400 arvutiprogrammi, teenuse ja veebiplatvormi kohta, mis teeb protsessi palju kiiremaks. Kuna teenusepakkujad muudavad aeg-ajalt oma kasutustingimusi ja lepinguid ning teavitus võib kergesti kahe silma vahele jääda, keelab andmekaitse üldmäärus GDPR ühepoolselt muudetavad või isepikenevad lepingud ning kohustab mõjuhinnangud regulaarselt kordama. Õpilasel ja lapsevanemal on aga võimalik süsteemi sisse logides näha, mis rakenduses ja kuidas andmeid kasutatakse. See hoiab ära suure osa infopäringutest koolile ühe või teise õpilase andmete kasutamise kohta, mis taas hoiab märkimisväärselt kokku õpetajate ja andmekaitsespetsialistide tööaega

Kõige selle tulemusel võivad protsessi järgivad haridusasutused ja õpetajad olla kindlad, et nad tegutsevad igakülgselt kooskõlas andmekaitsealaste nõuetega ega riku seadust. Soomes on selline protsess üha sügavamalt juurdunud ja välditud on nii trahve kui andmelekkeid, mis võivad rikkuda nii mõnegi elu - olgu selleks koolipidaja või õpilane.