#dviskaidro Jaunumi Ziņas
DAS kvalifikācijas uzturēšana

Pēdējo divu gadu laikā, kad ikvienai organizācijai nācās pielāgoties epidemioloģiskai situācijai valstī – attālinātais darbs, mācības, klientu apkalpošana, kā arī, ievērojot digitālo rīku pieejamību, arī izglītības iestādes arvien biežāk savā darbā sāka izmantot dažādas digitālās platformas saziņai ar skolēniem un to vecākiem, studentiem, uzdevumu veikšanai vai darbu plānošanai.

Ievērojot to, ka drīz atsākas jaunais mācību gads, esam sagatavojuši skaidrojumu, kā pārliecināties par šo platformu atbilstību datu aizsardzības prasībām.

Digitālajās platformās var tikt apstrādāti izglītojamo vārds, uzvārds, tiem piesaistīts lietotājvārds ar paroli vai e-pasts, dažreiz fotogrāfija vai pandēmijas rezultātā – video ieraksts, kurā var būt redzams izglītojamais un dzirdama arī tā balss, mācību novērtējums, kā arī cita informācija.  Šādas informācijas apstrādei ir jāpiemēro datu aizsardzības prasības, kas noteiktas Datu regulā [1] tai skaitā izglītības iestādei ir uzdevums nodrošināt, ka izmantotie līdzekļi mācību procesa īstenošanai ir droši, un neapdraud cilvēku, kuru dati tiek apstrādāti, personīgo informāciju.

Kā novērtēt skolēna iegūtās prasmes un zināšanas mācību procesā, ir noteikts nacionālos normatīvajos aktos, kas saistīti ar izglītības procesu nodrošināšanu.

Lai novērtētu vai izglītības iestādes izmantotā platforma ir droša, ir īstenojami secīgi soļi:

  1. Nodrošināt, lai platformas drošību novērtētu uzticami eksperti

Eksperti var būt personas, kas izglītības iestādē nodarbojas ar informācijas sistēmu drošību, iestādes vadība, mācībspēks, kas praktiski strādās ar šīm platformām, neaizmirstot arī par izglītības iestādi atbildīgā datu aizsardzības speciālista piesaisti. Atgādinām, ka norīkot datu aizsardzības speciālistu ir obligāts pienākums publiskām iestādēm vai to struktūrām [2] un to ir pienācīgi un savlaicīgi jāiesaista visos procesos, kas saistīti ar personas datu aizsardzību. [3]

Nākamos soļos, kuri iekļauti šajā skaidrojumā, spētu veikt komanda, kurā līdzdarbotos vismaz – izglītības iestādes datu aizsardzības speciālists, mācībspēku, kas strādās ar platformu, pārstāvis, izglītības iestādes par informācijas tehnoloģiju izmantošanu atbildīgā persona.

 

  1. Precīzi jānosaka, kāda mērķa sasniegšanai konkrētā digitālā platforma nepieciešama.

Platformas izmantošanas mērķis var būt – saziņas uzturēšana, skolas uzdevumu veikšana, attālinātā mācību procesa nodrošināšana un citi nolūki, kas saistīti ar izglītības iestādei normatīvajos aktos noteikto uzdevumu izpildi.

Ja izglītības iestādes rīcībā jau ir platforma, kas piedāvā funkcijas, ar kuru palīdzību iespējams sasniegt identificēto mērķi – nav nepieciešams ieviest citu platformu, kas dublētu esošās platformas funkcijas.

E-klases sistēmā vecākiem ir iespējams sazināties ar konkrētu skolotāju vai klases audzinātāju par tuvojošos vecāku sapulci. Nav lietderīgi izmantot citu komunikācijas kanālu – WhatsApp, tajā izveidojot vecāku kopējo grupu, ja E-klase ir noteikta par primāri izmantojamo. Vienlaikus, ja klases ietvaros vecāki ir vienojušies, ka vēlas izmantot, piemēram, minēto WhatsApp, tad aicinām izvērtēt izvēlētās platformas drošības aspektus, kā arī, atgādinām, ka nevar uzlikt par pienākumu visiem vecākiem reģistrēties un izmantot šo papildus saziņas kanālu.
  1. Noteikt izglītojamo personu informācijas apstrādes tiesisko pamatu

Konkrētajā gadījumā identificējam divus iespējamos tiesiskos pamatus.

Sabiedrības intereses

Skaidrojam, ka lielākajā daļā gadījumu Izglītības iestādes informāciju apstrādās, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot tām likumīgi piešķirtās oficiālās pilnvaras. [4] Šādā gadījumā Izglītības iestādei jānodrošina izglītojamo privātuma aizskāruma līdzsvarošana un vērtēšana.

Nepieciešams izvērtēt kopējo ieguvumu, piemēram, mācību procesa efektivizācijas ieguvumus attiecībā pret izglītojamo tiesībām uz privātās dzīves neaizskaramību (liegta iespēja nedalīties ar saviem datiem ar konkrētām digitālajām platformām). Ja izglītības iestādes kopējais ieguvums ir lielāks nekā iespējamais privātuma aizskārums izglītojamajiem, tad šāda datu apstrāde ir atļauta.

Piemēram, ja mācību process būtu organizējams attālināti – tas būtu būtisks apsvērums, kas ļautu uzskatīt, ka digitālās platformas izmantošana sniegtu lielu kopējo ieguldījumu izglītības mērķu sasniegšanā.

Līgums.

Privātām izglītības iestādēm būtu jāapsver arī tiesiskais pamats, kas piemērojams gadījumos, kad puses (izglītības iestāde un vecāki vai pats izglītojamais) slēdz savstarpēju līgumu. [5] Jāatceras, ka šajā gadījumā digitālo platformu izmantošanai ir jābūt līguma izpildes daļai.

Piemēram, iespējams, ka privātā mācību iestāde kā daļu no pakalpojuma nodrošina translācijas no mācību procesa. Vēl iespējams, ka privātā mācību iestāde visu savu mācību procesu organizē attālināti kādā digitālā platformā – arī šajā gadījumā apstrādes tiesiskais pamats būtu līguma nosacījumu izpilde.

  1. Noteikt katras digitālās platformas izmantošanā iesaistītās puses lomu

Katras attiecīgās digitālās platformas izmantošanas gadījumā noteiktās lomas var būt atšķirīgas, tomēr izplatītākie scenāriji būs divi:

  1. Izglītības iestādes veiktās personas datu apstrādes nolūks ir izglītības procesa nodrošināšana, izglītības iestāde (tai skaitā skolotājs) nosaka arī pienākumu digitālās platformas izmantošanai. Savukārt digitālā platforma apstrādā personas datus sevis noteiktos nolūkos, piedāvājot pakalpojumu neierobežotam personu lokam. Šādos gadījumos Izglītības iestāde un tās izvēlētās vietnes izglītības procesa nodrošināšanā būs līdzatbildīgi. Šāds, gadījums būs piemēram, izmantojot digitālās platformas www.quizlet.com, www.liveworksheets.com, www.crosswordlabs.com, www.quizizz.com un citas līdzīgas
  2. Digitālā platforma personas datus apstrādā izglītības iestādes uzdevumā, izglītības iestādes noteikta mērķa sasniegšanai, šādā gadījumā Izglītības iestāde būs galvenā atbildīgā par veikto informācijas apstrādi, savukārt Digitālajai platformai būs pienākums rīkoties Izglītības iestādes vārdā. Šāds gadījums būs, piemēram, informācijas apstrāde digitālajā platformā www.eklase.lv mērķim personas datu savākšana, radīšana, ievadīšana, apstrāde E-klasē no izglītības iestādes puses. 

Jāņem vērā, ka gadījumos, kad izglītības iestāde un digitālā platforma ir kopīgi atbildīgas par informācijas apstrādi, tad katrai pusei ir jābūt precīzi noteiktam, kā puses nodrošinās savu Datu regulā noteikto pienākumu izpildi.

  1. Novērtējums par ietekmi uz datu aizsardzību

Par labu praksi būtu uzskatāma novērtējuma par ietekmi uz datu aizsardzību veikšana gadījumos, kad tiek plānots izglītības procesā izmantot tādu digitālo platformu, kura pakalpojuma nodrošināšanas ietvaros nodotu informāciju uz valsti, kas nav Eiropas Savienības dalībvalsts, vai kad informācijas apstrādes procesā tiek izmantoti mākslīgā intelekta pieņemti lēmumi vai veikta biometrisko datu apstrāde. Vērtēšanā, vai konkrētajā gadījumā nepieciešams veikt novērtējumu palīdzēs kritēriju un jomu saraksts, kur, pastāvot vismaz diviem kritērijiem, novērtējuma veikšana ir obligāta. [7]

Par to, kā veikt novērtējumu par ietekmi uz datu aizsardzību, skaidrojām rubrikā #DVIskaidro – “Novērtējuma par ietekmi uz datu aizsardzību veikšana”. [6]

  1. Tehniskās un organizatoriskās prasības

Izglītības iestādei jāveic iespējamie pasākumi, lai aizsargātos pret nelikumīgu piekļūšanu personas datiem, vai to nozaudēšanu, tiktu ievērota konfidencialitāte, aprakstīti procesi, tai skaitā kādiem nolūkiem mācībspēks drīkst izmantot tiem pieejamos izglītojamo personas datus, panākot, ka tie netiek nodoti vai izpausti trešajām personām. Šeit ir pieminama arī tehniskā aprīkojuma atbilstība mūsdienu standartiem, piemēram, aprīkojot to ar ugunsmūri, ja tiek izmantots interneta savienojums, izmantotajām lietotnēm tiek regulāri uzstādīti atjauninājumi, kā arī veicot citus samērīgus pasākumus.

Svarīgi, ka arī katrai platformai, kuru izglītības iestāde izmantos, ir savi lietošanas noteikumi, kas nozīmē, ka iestādei ir pienākums ar tiem iepazīties un izvērtēt, vai, nosūtot izglītojamo datus konkrētam komersantam, kas uztur šo platformu, nevar rasties draudi fiziskajām personām, kuru dati tiks nodoti, tai skaitā, vērtējot platformas uzticamību, drošību, datu apjomu, kas sniedzams, vienlaikus paturot prātā, ka gala atbildība par iespējamiem riskiem vai drošības incidentiem ir jāuzņemas Izglītības iestādei.

Jāpiemin arī, ka, jo vairāk platformu ikdienas darbā tiek izmantots, jo lielāks risks pastāv, ka saziņu skars kāds drošības incidents – pirms katra jauna saziņas kanāla kā WhatAapp, Telegram, Ms Teams u.tml., ieviešanas rūpīgi jāvērtē, vai ieguvumi atsvērs riskus.

Ja platforma pieprasa ieslēgt atrašanās vietas datus vai norādīt tos, lai uzturētu lietotāju statistiku, un/vai kā obligāts nosacījums platformas izmantošanai norādīts skolēna fotogrāfijas augšupielāde, lai padarītu tā lietotāja profilu pievilcīgāku, šādas platformas izmantošana nebūs atbilstoša Datu regulai.
  1. Izglītojamo un to vecāku informēšana

Izglītības iestādei ir pienākums informēt izglītojamos par esošo un plānoto datu apstrādi. Izglītojamajiem un to vecākiem ir tiesības zināt, kādi dati, kādēļ, kādiem nolūkiem un uz kāda tiesiskā pamata tiek apstrādāti. Jāsniedz informācija arī par izglītojamo un to vecāku tiesībām iebilst pret datu apstrādi, un norādīt, ja šāda iebilšana nav iespējama.

Piemēram, gadījumos, kad personas datu apstrādi nosaka apstrādāt kāds normatīvais akts, iebilst šādai apstrādei nav iespējams.

Izglītības iestādei jāsniedz informācija arī par to, kā sazināties ar iestādi, ja radušās neskaidrības vai jautājumi. Informāciju sniedzama skaidrā, izglītojamajiem un to vecākiem uztveramā veidā, pirms personas dati ievietoti digitālajā platformā.

Informāciju var sniegt izglītības iestādes privātuma politikā vai datu apstrādes noteikumos. Šī informācija ir jāpielāgo katrai izglītojamo grupai (klasei, kursam). Informācijas lasītājiem ir jāsaprot, kāpēc tiks izmantota konkrētā lietotne vai platforma. Laba prakse būtu sniegt informāciju arī par pasākumiem, ko izglītības iestāde ieviesusi, lai nodrošinātu apstrādē esošo datu aizsardzību.
Darbinieks aizpilda veidlapu
Darba vieta
Darbinieks aizpilda veidlapu
viedas_rotallietas_berni

INFORMATĪVAS ATSAUCES

[1] Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)

[2] Datu regulas 37.panta 1.punkta a) apakšpunkts.

[3] Datu regulas 38.panta 1.punkts.

[4] Datu regulas 6.panta 1.punkta e) apakšpunkts

[5] Datu regulas 6.panta 1.punkta b) apakšpunkts

[6] Skaidrojums pieejams: https://www.dvi.gov.lv/lv/jaunums/dviskaidro-NIDA

[7] “Apstrādes darbību veidi, attiecībā uz kuriem ir jāveic datu aizsardzības ietekmes novērtējums saskaņā ar VDAR 35. panta 4. punktu”; pieejams: https://www.dvi.gov.lv/lv/novertejums-par-ietekmi-uz-datu-aizsardzibu-nida