SEBÁN Zoltán & SZÁMADÓ Róza
Személyes adatok kezelése és biztonsága a felnőttképzésben
Bevezető
A felnőttképzés hazai rendszere az elmúlt években komoly változáson esett át. Miközben a jogi keretrendszer alapjaiban változtatta meg a felnőttképzők lehetőségeit és kötelezettségeit, a COVID-19 világjárvány miatt bevezetett korlátozó intézkedésekhez is alkalmazkodni kellett. E két tényező együttesen járult hozzá a felnőttképzés strukturális átalakulásához. Míg a szabályozás változása okán a felnőttképzők száma jelentősen növekedett, a járvány megfékezésére hozott korlátozó intézkedések felgyorsították a digitalizációt, egyre többen fordultak az online távoktatás irányába. A képzésben résztvevők által megadott személyes adatok így már nem csupán a jogszabályi kötelezettségek miatt kerülnek digitálisan tárolásra, hanem a képzések lebonyolítása érdekében is. Az adatszolgáltatások köre bővült, már nem elegendő anonim adatokat szolgáltatni a képzések résztvevőiről, mely – a felnőttképzők létszámának növekedésével együtt – jelentős, személyes adatokat is tartalmazó, adattömeg mozgatását eredményezi.
A felnőttképzés hazai rendszere
A felnőttképzésről szóló 2013. évi LXXVII. törvény (a továbbiakban: Fktv.) átfogó módosítására 2019-ben került sor a szakképzésről szóló 2019. évi LXXX. törvény hatálybalépésével összefüggő módosító és hatályon kívül helyező rendelkezésekről szóló 2019. évi CXII. törvénnyel. A 2020. január 1-től több lépcsőben hatályba lépő jogszabályváltozás strukturális átalakítást hozott mind a szakképzés, mind pedig a felnőttképzés területén.
A felnőttképzés fogalmi változásának hatása
A felnőttképzés fogalmát az Fktv. határozza meg. A 2013-ban elfogadott jogszabály szerint a felnőttképzési tevékenység négy körét különböztethettük meg:
„A” képzési kör: állam által elismert, OKJ szerinti szakképesítés megszerzésére irányuló képzés,
„B” képzési kör: „A” képzési körbe nem tartozó, támogatott egyéb szakmai képzés,
„C” képzési kör: általános nyelvi képzés és támogatott egyéb nyelvi képzés,
„D” képzési kör: az „A”, „B”, „C” képzési kör hatálya alá nem tartozó, támogatott egyéb képzés.
A szabályozás alapján a fenti képzési körökbe be nem sorolható képzések nem tartoztak az Fktv. hatálya alá.
Az Fktv. módosításával 2020. január 1-től a törvény szerint felnőttképzésnek kell tekinteni a jogi személy, a személyes joga szerint jogképes szervezet, az egyéni vállalkozó vagy a gazdasági tevékenységet folytató más természetes személy által – a szakképzésről szóló törvény alapján szervezett – szakképzést, valamint a szervezett célirányos kompetenciakialakításra és kompetencia-fejlesztésre irányuló, szervezetten megvalósuló oktatást és képzést is. Megszűnt a korábbi négy képzési körbe való besorolás, valamint jelentős változás, hogy a felnőttképzők a szakképzéshez már csupán részszakmára felkészítő szakmai oktatásban és a szakképesítésre felkészítő szakmai képzés keretében csatlakozhatnak, a korábbi „A” körös képzésekhez képest ez szűkíti a lehetőségeiket. (Henczi, 2021)
A következő ábra szemlélteti a fogalmi változással az Fktv. hatályának kiterjesztését.
1. ábra: Az Fktv. hatálya alá tartozó képzési tevékenységek változása
(Henczi, 2014) alapján saját szerkesztés
A fogalmi változás jelentősen kiterjesztette az Fktv. hatálya alá tartozó szolgáltatások, illetve szolgáltatók körét. Míg 2019-ben az OSAP 1665 alapján még 1.555 felnőttképző végzett felnőttképzési tevékenységet, addig 2020-ban és 2021-ben összesen 11.764 felnőttképzőt jegyzett be a Pest Megyei Kormányhivatal, ebből 583 felnőttképző felnőttképzési engedéllyel is rendelkezik (forrás: saját összesítés a far.nive.hu alapján). Csupán a számokra tekintve azt láthatjuk, hogy a felnőttképzők száma közel a nyolcszorosára emelkedett, noha a 25-64 éves korosztályban az Eurostat adatai alapján 2019 és 2021 között mindössze 1,2 százalékponttal (7,6%-ról 8,8%-ra) növekedett azok aránya, akik a megelőző 4 hétben valamilyen képzésen vettek részt 1 2. Ennek oka, hogy a fogalmi kiterjesztés korábban nem engedélyhez kötött oktatási, képzési tevékenységeket is az Fktv. hatálya alá vont, valamint a belső képzések esetében a képzéseket szervező munkáltatók számára is előírja a bejelentési kötelezettséget. Piaci szempontból tehát érdemi bővülés nem figyelhető meg a felnőttképzés tekintetében, a növekmény a szabályozásból ered és adminisztratív jellegű.
Biztos alapok helyett bizonytalan holnap
Az Fktv. 2019-ben elfogadott módosítását követően még öt alkalommal került sor módosításokra az elmúlt három évben, így az Fktv. által meghatározott keretrendszer korántsem tekinthető stabilnak. Az Fktv. személyi és tárgyi hatályát meghatározó 1.§ három alkalommal került módosításra. A folyamatosan változó jogi környezetben úgy kell helyt állnia a felnőttképzési területen dolgozóknak, hogy még a felnőttképzés fogalmi kerete sem állandó. Kiváló példát szolgáltat erre a belső képzések meghatározása. 2020. szeptember 1-től – időtartamuktól függetlenül – a belső képzéseket is bejelentési kötelezettség terhelte, 2021. január 1-től már kizárólag a hat óra időtartamot meghaladó belső képzést köteles a munkáltató bejelenteni. A hatósági jellegű képzések esetében is történt változás, mely több képzési típust kiemel az Fktv. hatálya alól.
A fentiek alapján belátható, hogy az Fktv. hatálya, a felnőttképzők köre sem tekinthető állandónak a szabályozásban, amely komoly kockázatot jelent abban a tekintetben, hogy egy szervezet meghatározhassa, vonatkozik-e rá, illetve tevékenységére az Fktv.
A COVID-19 világjárvány hatása a felnőttképzésben
A COVID-19 járványra világszerte, így hazánkban is, időszakosan bevezetett kijárási tilalommal reagáltak a döntéshozók a betegség terjedésének megfékezése érdekében. A felnőttképzők közül azokat, akik kontaktórás formában tartották meg képzéseiket rendkívül nehéz helyzet elé állították a korlátozások, így új megoldásokat kellett keresniük. Könnyebb helyzetben voltak azok a képzők, amelyek csupán bejelentésköteles képzéseket tartottak, hiszen esetükben nincs kötelező érvényű képzési program, amely rögzítené a képzési formát, jogi szempontból könnyedén térhettek át távoktatási formára. Ugyanakkor az engedélyezett, valamint a kifutó rendszerben „A”, „B”, „C” és „D” körös megvalósult képzések szervezői kényszerűen fel kellett, hogy függesszék jelenléti képzéseiket, mivel a képzési programok kötötték ki a képzési formát. Ennek megoldására az élet- és vagyonbiztonságot veszélyeztető tömeges megbetegedést okozó humánjárvány megelőzése, illetve következményeinek elhárítása, a magyar állampolgárok egészségének és életének megóvása érdekében elrendelt veszélyhelyzet során a felnőttképzésben folyó oktatás és szakmai vizsgáztatás biztosításának eltérő szabályairól szóló 70/2020. (III. 26.) Korm. rendelet 2. §-a engedélyezte a jelenléti képzések távolléti oktatásban, távoktatás formájában vagy digitális képzésként való befejezését. A kényszerűség és a jogi lehetőség megteremtése együttesen terelték a digitális platformok irányába a felnőttképzőket. A konferencia-platformok (pl. Zoom, Google Meets), tananyagkezelő rendszerek (pl. Moodle), mellett számos egyéb digitális megoldás is megjelent.
A rendkívül gyors ütemben megvalósult digitalizáció adatvédelmi és adatbiztonsági szempontból mindenképpen kockázatot jelent, hiszen minimális felkészülési idővel számos felnőttképző oktatóinak és adminisztratív alkalmazottainak kellett elsajátítania a digitális eszközök használatát és emellett az adatvédelmi kérdésekben is naprakész tudást szerezni. Noha nem szűken a felnőttképzés, hanem a tágan értelmezett oktatási terület számára készült a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) elnökének NAIH/2020/7127/ számú tájékoztatója, a dokumentum mégis jól példázza, hogy a digitális távoktatás számos adatvédelmi és adatbiztonsági kérdést vet fel.
A digitális távoktatásra való átállás mellett a korlátozások okán számos munkahelyen otthoni munkavégzést vezettek be, mely szintén adatbiztonsági kockázatot jelenthet. Kollár Csaba és Poór József 2015-2016-os kutatása rávilágít, hogy a vállalatvezetők a hordozható eszközök informatikai biztonsága tekintetében sokkal lazábban járnak el, különösen, ha azok a munkavállaló tulajdonában vannak. Az információbiztonsági szabályok, a szervezeten belüli informatikai szabályzatok betartása kapcsán felnőttképzés-specifikus kutatási előzményt nem találtunk, így ez a terület további kutatást igényel.
Adatkezelés és információbiztonság a felnőttképzésben
Miközben egy folyamatosan változó környezetben kell helyt állnia a felnőttképzőknek, a személyes adatok kezelése további terhet ró ezekre a szervezetekre. Az adatkezelés kapcsán nem csupán az Fktv. meghatározó, hanem figyelemmel kell lenni az AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679 RENDELETE (általános adatvédelmi rendelet) (a továbbiakban: GDPR), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) rendelkezéseire is. A három jogszabály egymást kiegészítve határozza meg a felnőttképzési adatkezelés kereteit.
A GDPR meghatározza a személyes adat fogalmát: „azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”. Az adatkezelésnek a GDPR-ban nevesített alapelvek szerint kell történnie a felnőttképzés esetében is, tehát a következő kritériumoknak kell megfelelnie:
jogszerűség, tisztességes eljárás és átláthatóság,
célhoz kötöttség,
adattakarékosság,
pontosság,
korlátozott tárolhatóság,
integritás és bizalmas jelleg,
elszámoltathatóság.
Milyen adatokat kezel a felnőttképző?
Az Fktv. 21. §-a rögzíti a felnőttképző által kezelendő adatok körét, valamint az adatkezelés időtartamát is. Ez alapján a felnőttképző a felnőttképzési szerződés megkötésétől számított nyolcadik év végéig kezeli a képzésben részt vevő személy következő adatait:
természetes személyazonosító adatok és – az oktatási azonosító szám kiadásával összefüggésben – oktatási azonosító szám,
elektronikus levelezési cím,
legmagasabb iskolai végzettségére vonatkozó adat, valamint azon adatokat, amelyek
a képzésben részt vevő személy legmagasabb iskolai végzettségével, szakképesítésével, szakképzettségével és idegennyelv-ismeretével,
a képzésbe történő belépésével és a képzés elvégzésével, illetve a képzés elvégzése hiányában a képzésből történő kilépésével,
a képzés során történő értékelésével és minősítésével,
a képzéssel összefüggő fizetési kötelezettségeivel és az igénybe vett képzési hitellel
kapcsolatosak.
A korábban említett törvénymódosítások az adatkezelésre vonatkozó szabályokat is érintették így szűkült a kezelendő adatok köre, ugyanis a felsőoktatás szabályozására vonatkozó és egyes kapcsolódó törvények módosításáról szóló 2020. évi CXLVIII. törvénnyel beiktatott módosítás törölte a képzésben résztvevő:
nemének,
állampolgárságának,
lakcímének, levelezési címének, és telefonszámának,
társadalombiztosítási azonosító jelének, valamint
adóazonosító jelének kezelési kötelezettségét.
A módosítás kapcsán érdemes figyelembe venni, hogy 2020 őszén több sajtóorgánum is foglalkozott az Fktv. adatkezelési rendelkezéseivel, a megjelent hírek alapján több bejelentés is érkezett a NAIH-hoz a szabályozás kapcsán. A NAIH elnökének állásfoglalása alapján az adattakarékosság, valamint a célhoz kötöttség elvének sem felelt meg például a képzésben résztvevő társadalombiztosítási azonosító jelének kezelése, hiszen ez a felnőttképzés szempontjából nem releváns adat3.
A felnőttképzőnek feladatai ellátásához az Fktv. alapján kezelendő adatokon túl egyéb adatokra is szüksége lehet, például számlázási címre (természetes személy esetében ez általában a lakcím), a kapcsolattartás megkönnyítése érdekében telefonszámra stb.
Mi történik a kezelt személyes adatokkal?
Ezen kérdés megválaszolásához érdemes áttekinteni egy felnőttképző működését, a képzések lebonyolításának menetét. Jelen leírás természetesen nem fedi le minden felnőttképző összes képzési adatkezelését, célunk csupán az, hogy érzékeltessük a felnőttképzési adatkezelés összetettségét. A például szolgáló felnőttképző online jelentkezési lehetőséget biztosít leendő résztvevői számára, CRM rendszert használ, a számlázást online, automatizálva oldja meg, oktatói alvállalkozók, külső könyvelőt alkalmaz, valamint saját online oktatási felülettel rendelkezik. A napi működés mellett minden felnőttképzőnek kötelezettsége a Felnőttképzési Adatszolgáltatási Rendszerben (FAR) rögzíteni a képzésben részt vevő személyek természetes személyazonosító adatait, elektronikus levelezési címét, valamint legmagasabb iskolai végzettségét az Fktv. 15. §-a alapján.
Az online jelentkezés lehetősége egy weboldal fenntartását feltételezi, amennyiben a számlázás is automatizáltan történik, akkor ehhez egy ügyfélkapcsolati rendszert (CRM-rendszer, customer relationship management) szükséges használni. Ebben az esetben az érdeklődő a felnőttképző weboldalán regisztrál, majd kap egy visszaigazoló e-mailt és az automatikusan kiállított díjbekérőt vagy számlát a képzési díjról vagy annak egy részéről.
A jelentkező számára nem látható ugyan, de a regisztrációkor megadott adatok egy CRM-rendszerbe kerülnek be, majd ez automatikusan továbbítja az adatokat a számlázó felé.
A képzés megkezdésekor az oktatók számára a személyes adatok tekintetében legalább a neveket tartalmazó jelenléti ív átadása szükséges. Az online oktatási rendszerben vagy a felnőtt tanulók regisztrálnak, vagy a felnőttképző regisztrálja őket, azonban mindkét esetben igaz, hogy ehhez legalább az e-mail cím szükséges. Amennyiben a képzésben résztvevő e-mail címe tartalmazza a nevét, úgy az szintén személyes adatnak minősül. A kibocsátott számlák a számviteli nyilvántartások vezetése érdekében átadásra kerülnek a könyvelő számára, ezek természetes személy díjfizető esetén személyes adatokat is tartalmaznak (név, cím).
A következő ábra foglalja össze, hogy a fenti esetben mely szereplők számára szükséges a tanulók személyes adatainak átadása:
2. ábra: A felnőttképzésben résztvevők személyes adatainak kezelői, feldolgozói a felnőttképzőn túl
(saját szerkesztés)
A Felnőttképzési Adatszolgáltatási Rendszerbe minden felnőttképzési tevékenység tekintetében szükséges feltölteni a jogszabályban meghatározott személyes és képzési adatokat. Ez tekintve a képzésekben résztvevők arányát, akár milliós nagyságrendű adat feltöltését jelenti éves szinten. Ezen adatok az Fktv. alapján statisztikai célra felhasználhatók és statisztikai célú felhasználásra személyazonosításra alkalmatlan módon átadhatók, továbbá a Központi Statisztikai Hivatal részére statisztikai célra egyedi azonosításra alkalmas módon térítésmentesen átadhatók és felhasználhatók.
Információbiztonság és adatkezelési kockázatok
A felnőttképzéshez kötődő adatkezelések kockázatait külön tárgyaljuk a felnőttképzők adatkezelése és a hatósági adatkezelés kapcsán. A felnőttképzők tanulóik tekintetében számos személyes adathoz jutnak hozzá. ezen adatok többségét nem csupán a felnőttképzési szerződés megkötéséhez és a kötelező adatszolgáltatások teljesítéséhez használják fel, hanem egyéb feladataik, akár jogszabályi kötelezettségeik teljesítéséhez is (pl. számlázás). Az adatkezelés során kockázatként merülhet fel a felnőttképző munkavállalóinak adatkezelési képzettsége, tudatossága és morálja, valamint az adatátadások csatornája és az adatokat átvevő szervezetek adatkezelési kultúrája. Mint azt fent láthattuk, számos szereplő szolgálhatja ki egy felnőttképző működését és ezek számának emelkedésével nőnek az adatkezelési kockázatok is. Korábbi kutatási eredmények alapján elmondható, hogy a vállalatvezetők általában nagyon alulinformáltak az információbiztonság új kihívásait illetően (Kollár & Poór 2019), így további problémát vethet fel, ha a szervezeti kultúrából hiányzik az információbiztonság iránti tudatosság.
A Felnőttképzési Adatszolgáltatási Rendszerbe nagy számban kerülnek feltöltésre személyes adatok, ehhez egyrészről olyan jogi szabályozásra an szükség, amely szavatolja a személyes adatok a GDPR alapelveinek megfelelő felhasználását, másrészről elengedhetetlen a stabil és kielégítő biztonsági szinttel rendelkező informatikai háttér biztosítása. Utóbbi esetében különös figyelemmel kell lenni az egyes szakrendszerek közötti adatátadások biztonságára is.
Összefoglalás
A felnőttképzés az utóbbi három évben jelentős változáson esett át, mind a szabályozási környezet, mind pedig a COVID-19 járvány nyomot hagyott az ágazaton. A felnőttképzők egy folyamatosan változó környezetben kell, hogy megfeleljenek minden szabályozásnak és a piaci elvárásoknak is egyszerre. Miközben a felnőttképzési tevékenységek során nagy mennyiségben kerülnek rögzítésre személyes adatok, melyeket a felnőttképzők és a velük kapcsolatban álló alvállalkozók, valamint a hatóságok kezelnek, feldolgoznak és továbbítanak, a szabályozási környezet állandó változása, a stabilitás hiány komoly kockázatot hordoz magában.
Felhasznált szakirodalom
Henczi, L. (2014). Felnőttképzési és intézményi menedzsment. Budapest, Magyarország: Nemzedékek Tudása Tankönyvkiadó.
Henczi, L. (2021). A szakképzés és felnőttképzés átalakulásának főbb jellemzői – alulnézetből is, Új Pedagógiai Szemle, vol. 71. 5-6., 82-104.
Kollár, Cs. & Poór J. (2018). Szervezetek a digitális korban – A digitális munkahely információbiztonsági, aspektusa, In: Kiberbiztonság - Cyber Security: Tanulmánykötet a Biztonságtudományi Doktori Iskola kutatásaiból. (Szerk.) Rajnai, Z., Budapest, Magyarország: Óbudai Egyetem Bánki Donát Gépész és Biztonságtechnikai Mérnöki Kar, 2018, 95–107. Online: https://bdi.uni-obuda.hu/sites/default/files/oldal/csatolmany/kiberbiztonsag-tanulmanykotet.pdf.
1 https://statisztika.mer.gov.hu/ (2023. 01.02.)
2 https://ec.europa.eu/eurostat/databrowser/view/TRNG_LFS_12__custom_4411258/default/table?lang=en (2023. 01.02.)
3 Súlyos adatvédelmi problémák az új felnőttképzési rendszerben. https://www.langlovagok.hu/10350/sulyos-adatvedelmi-problemak-az-uj-felnottkepzesi-rendszerben/ (2023. 01.02.)