Mi számít személyes adatnak az iskolában?

Sok félreértés itt kezdődik. Személyes adat például:

• tanuló neve, címe, TAJ száma
• jegyek, hiányzások (pl. KRÉTA rendszerben)
• szülők elérhetősége
• fényképek és videók
• e-mail címek, belső levelezések

👉 Fontos: nem csak a „hivatalos dokumentumok” tartoznak ide, hanem minden információ, ami egy személyhez köthető.

Elég egy letöltött adatvédelmi szabályzat az iskolában?

Röviden: nem.

Sok intézmény még mindig úgy próbál megfelelni, hogy letölt egy mintát, majd elteszi egy mappába. Ez azonban nem valódi megfelelés.

A sablonmegoldások tipikus problémái:

• Nem az Ön intézményére készültek: Olyan folyamatokat tartalmaznak, amelyek nem léteznek, miközben a valós kockázatokat nem fedik le.
• Elavultak: Egy 2018-as dokumentum ma már könnyen hibás lehet a hatósági gyakorlat fényében.
• Nem ismert a kollégák számára: Ha a pedagógus nem tudja, mit kell tenni egy incidensnél, a szabályzat nem véd.

👉 A hatóság nem azt nézi, hogy van-e dokumentum — hanem azt, hogy az intézmény a gyakorlatban hogyan működik.

Hol vannak a legnagyobb GDPR kockázatok az oktatásban?

1. Iskolai fotózás és közösségi média

Gyakori kérdés: kell-e hozzájárulás?

• intézményi dokumentációhoz → általában nem
• marketinghez / Facebookhoz → szinte mindig igen

A „tömegfelvétel” és az egyéni ábrázolás között komoly jogi különbség van.

2. Adatvédelmi incidensek kezelése

Mi történik, ha elveszik egy laptop, vagy rossz címzetteknek megy ki egy e-mail? A GDPR szerint az incidenseket 72 órán belül jelenteni kell.

Ha nincs folyamat: késik a bejelentés, nő a kockázat, és romlik a hatósági megítélés.

3. KRÉTA és egyéb digitális rendszerek adatvédelme

Sok intézmény nem gondol bele: ki fér hozzá az adatokhoz? Van-e jogosultságkezelés? Dokumentált-e az adatkezelés? Az adatkezelő mindig az intézmény — nem a szoftver.

4. Külső szolgáltatók és online eszközök

Google Forms, online oktatási platformok vagy akár a külsős fotós: ha nincs adatfeldolgozói szerződés, az komoly kockázatot jelent.

Milyen könnyen keletkezik egy adatvédelmi probléma?

Vegyünk egy tipikus forgatókönyvet: Egy szülő panaszt tesz, mert gyermeke fotója megjelent az iskola Facebook oldalán.

• Ha nincs megfelelő hozzájárulás → jogalap probléma
• Ha nincs dokumentáció → nem visszakövethető
• Ha nincs incidenskezelési folyamat → hibás reakció

👉 Ezek együtt már olyan megfelelési kockázatot jelentenek, ami elkerülhető lenne.

3 azonnali lépés a GDPR megfelelés felé

Ha bizonytalan, ezekkel érdemes kezdeni:

1. Adatleltár készítése: Gyűjtse össze, hol vannak személyes adatok, milyen formában, és ki fér hozzájuk.
2. Hozzáférések felülvizsgálata: Vizsgálja meg, kinek van ténylegesen szüksége az adatokra, és minimalizálja a jogosultságokat.
3. Adatkezelési tájékoztató ellenőrzése: Elérhető-e a honlapon? Aktuális-e? Tükrözi-e a valós, napi működést?

Miért nem működik hosszú távon a „papír alapú megfelelés”?

Azért, mert az adatvédelem nem dokumentum — hanem működés. Ha a kollégák nem ismerik a szabályokat, nincs folyamat incidensre vagy nincs rendszer a hozzáférésekre, akkor a dokumentáció önmagában nem nyújt védelmet.

Mit jelent a gyakorlatban egy jól működő GDPR rendszer?

• követi a valós folyamatokat
• érthető a kollégák számára
• reagálni tud az incidensekre
• auditálható és átlátható

👉 Ez az, ami valódi biztonságot és nyugodt vezetést ad.

A DIGIHELP megközelítése: nem papír, hanem működés

A Digihelp nem dokumentumokat gyárt, hanem működő rendszert épít Önnek.

• Folyamatok kialakítása: Nem csak leírjuk, hanem bevezetjük a gyakorlatba.
• Szakértői támogatás (DPO): Nem marad egyedül a bonyolult megfelelési kérdésekkel.
• Gyakorlati oktatás: A kollégák pontosan tudni fogják, mit kell tenniük éles helyzetben.

👉 A cél nem az, hogy legyen egy szabályzata — hanem az, hogy az intézménye biztonságban legyen.