A személyazonosító okmányokról történő másolatkészítés adatvédelmi kérdései köznevelési intézményekben

Az általános adatvédelmi rendelet (GDPR) alapján adatkezelésnek minősül a személyes adatokon vagy adatállományokon végzett bármely művelet vagy műveletek összessége, így a személyes adatokat tartalmazó adathordozókról (pl.: iratok, okmányok) történő másolatkészítés, illetve ilyen másolatoknak a bekérése és tárolása is.

Bármely adatkezelés jogszerűségének megítélésével kapcsolatban a GDPR alapelvi rendelkezéseit figyelembe kell venni, így különös figyelmet kell fordítani az adattakarékosság és a célhoz kötött adatkezelés elveire.

Az utóbbi szerint személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból, kezelése pedig kizárólag e célokkal összeegyeztethető módon történhet.

A célhoz kötöttség elvének való megfelelés azt is jelenti, hogy az adatkezelés csak akkor tekinthető jogszerűnek, ha az adatkezelő által gyűjtött adatok kezelésének szükségszerűsége a gyakorlatban is bizonyítható módon megalapozott.

Az adattakarékosság elve pedig azt rögzíti, hogy a kezelt adatoknak az adatkezelési cél szempontjából megfelelőnek és relevánsnak kell lenniük, a kezelt adatok körét pedig a szükségesre kell korlátozni. Ezen alapelv azt szavatolja, hogy az adatkezelés céljára tekintettel csupán a legszűkebb, illetveindokolt adatkör kezelésére kerüljön sor. Ez azt is jelenti, hogy nem gyűjthetők vagy kezelhetők olyan személyes adatok, amelyek az adatkezelés céljának elérésére nincsenek hatással.

A köznevelési intézmények szinte valamennyi adatkezelési művelete jogszabályi kötelezettség teljesítésén, illetve a közfeladat ellátásának kötelezettségén alapul („kötelező adatkezelések”).

A nevelés alatt álló gyermekek, tanulók, továbbá szüleik, illetve a pedagógusok meghatározott személyes adatait a vonatkozó jogszabályok nyilvántartásra kötelezett adatként írják elő a számukra (különösen, de nem kizárólagosan a nemzeti köznevelésről szóló 2011. évi CXC. törvény – Nkt., a pedagógusok új életpályájáról szóló 2023. évi LII. törvény, valamint a 20/2012. (VIII.31.) EMMI rendelet).

Az Nkt. egyértelműen rögzíti azokat a személyes adatokat, amelyeket a köznevelési intézménynek kötelező módon nyilvántartásba kell vennie [41. § (2) bekezdése] és a fent hivatkozott EMMI rendelet 20. § (3) bekezdésében foglalt rendelkezés szerint az óvodai beiratkozáskor is csak bemutatásra kell rendelkezésre bocsátani a gyermek, illetve a szülő nevére kiállított, a személyazonosságukat igazoló hatósági igazolványokat.

A köznevelési intézmények esetében jogszabályi rendelkezés nem tartalmaz arra vonatkozóan kötelezettséget, hogy a bemutatott okmányokról másolatot kellene készíteni, vagy másolatban is rendelkezésre kellene egy okmányt a számukra az érintetteknek bocsátani. A másolatokat illetően a Nemzeti Adatvédelmi és Információszabadság Hatóság állásfoglalásaiban korábban már többször is utalt arra, hogy a személyazonosság igazolására alkalmas hatósági igazolványokról készített másolat nem rendelkezik bizonyító erővel arról, hogy az hiteles másolata lenne egy érvényes okmánynak, és nem alkalmas a személyazonosság megállapítására sem. A személyazonosság igazolását a jogalkotó ezen okmányok bemutatásához fűzi, mert így állapítható meg kétséget kizáró módon, hogy az valódi.

Az okmányról készített fénymásolat vagy szkennelt dokumentum nem hordozza magában ezt a joghatást, mivel ilyen esetekben nem hitelesített módon készül az okmányról a másolat, továbbá az okmánymásolat elveszti az okmány azonosításra alkalmas jellemzőit is.

Az okmányokról való másolatkészítés abban az esetben lehet csak elfogadható, ha az adatkezelő kizárólag azokról a személyes adatokról készít másolatot, amelyek kezelésére jogszerű lehetősége, illetve kötelezettsége van, köznevelési intézmények esetében tehát akkor, ha a másolaton kizárólag azok az adatok szerepelnek, láthatóak, amelyek kezelésére az adatkezelő a fent hivatkozott „kötelező adatkezelés” körében jogszerűen jogosult, továbbá a másolatkészítés célja az eredeti adatkezelési célhoz (nyilvántartási kötelezettség) szorosan kapcsolódik, valamint segíti az adatok pontosságának biztosítását és a másolat nem tartalmaz semmilyen többletadatot az egyébként jogszerűen kezelhető adatokon túl. Ilyen többletadat lehet például a személyi igazolványon szereplő fénykép vagy a lakcímkártya hátoldalán szereplő személyi azonosító szám utolsó 4 számjegye, hiszen ezen adatok kezelésére nem ad felhatalmazást jogszabály, a gyermekek nyilvántartása szempontjából irreleváns, így azok a másolatokon sem szerepelhetnek, ezért a másolatkészítés során ezeket az adatokat eleve ki kell(ene) takarni.

Fentieken túl, különös figyelemmel kell lenni arra is, hogy az adatok nem tárolhatók korlátlanul, még jogszerű adatkezelési cél esetén is csak a szükséges ideig, illetve kötelező adatkezelések esetében szintén csak a jogszabályi előírások által előírt időtartamig lehet, s kizárólag ebben az esetben kell megőrizni az adatokat.

A személyes adatok és különösen a személyazonosító okmányok másolatainak jogellenes felhasználása nagyon súlyos jogsérelmet okozhat az érintett gyermek vagy szülője, törvényes képviselője számára. Amennyiben megállapítást nyer, hogy az intézmény szabálytalanul másolta, illetve tárolta a személyazonosító okmányok másolatait, s azok például véletlenül vagy a nem megfelelő adatbiztonsági intézkedések miatt azok megismerésére nem jogosult harmadik félhez kerülnek, illetve, ha azokat bármely jogsértő módon fel is használja vagy azokkal visszaél, akkor az adatokat (okmány másolatokat) eredetileg kezelő köznevelési intézménynek emiatt súlyos jogkövetkezményekkel kell számolnia.

Javaslatunk fentiekre tekintettel egyértelműen az, hogy ne készítsenek másolatot a bemutatott személyazonosító okmányokról – hiszen erre vonatkozó külön jogszabályi kötelezettségük vagy felhatalmazásuk sincs – elegendő az abban foglaltak, az eredeti okmány bemutatásának útján való ellenőrzése és annak kontrollja, hogy az adatokat pontosan rögzítették a nyilvántartásaikban.

Megfelelő eljárás lehet az, ha az adatkezelő az adott nyilvántartásban vagy ha erre nincs mód, akkor külön belső feljegyzésben rögzíti, hogy a szülő bemutatta a szükséges okmányt, amelynek adattartalmával egyezően vették nyilvántartásba azokat az adatokat, melyeket a jogszabályok kötelezően előírnak.

Amennyiben a pontos nyilvántartás vezetéséhez és az esetleges elírások minimalizálásához szükséges, alkalmazhatják továbbá a „négy szem” elvét is, melynek során az adatkezelő intézmény részéről két munkatárs is ellenőrzi a felvett adatok pontosságát, egyezőségét, illetve a bemutatott okmány hitelességét.

A személyazonosító okmányok kezelésével kapcsolatban fentiekben javasolt eljárás alkalmazásával biztosítható a megfelelésük a GDPR adattakarékosság és célhoz kötött adatkezelés elveinek, egyúttal érdemben csökkenthető a túlzó, illetve jogszerűtlen adatkezelés, valamint egy esetleges adatvédelmi incidens éppen emiatt történő bekövetkezésének a kockázata is.

Amennyiben fentiekkel kapcsolatban további kérdése merülne fel, forduljon bizalommal a szerződésben kijelölt helyszíni kapcsolattartó kollégánkhoz vagy adatvédelmi tisztviselőjéhez!

Többet szeretne tudni?
Kérjen ajánlatot!

Küldjön nekünk üzenetet vagy kérjen ajánlatot gyorsan pár kattintással! Ajánlatkérésnél kérjük, hogy adja meg telefonszámát is, hogy mielőbb fel tudjuk venni Önnel a kapcsolatot az ajánlat részletes tartalmának egyeztetése céljából!

Ajánlatkérés - ajanlat@hanganov.hu