Ennetus. Andmekaitseteadlikkuse tõstmine koolides ja laste seas on olnud läbi aastate meie üks peamistest eesmärkidest. See on olnud tõsine proovikivi: tänapäeva õpilased on kasvanud üles digitaalses ühiskonnas, kus nutiseade on igapäevaelu lahutamatu osa, kuid sageli ei mõelda, milliseid riske isikuandmete liigne jagamine endaga kaasa toob või ei hoolita sellest. Koolide jaoks on väljakutseks aga aja ja ressursside puudus. Kooli esmane ülesanne on hariduse pakkumine, mis hõlmab nii lapse vaimse, füüsilise, kõlbelise, sotsiaalse kui emotsionaalse arengu toetamist. Selle ülesande täitmiseks on vaja jälgida õppekavade täitmist, pakkuda õpilasele vajadusel erituge, tagada kvaliteetne haridus ning täita veel muid kohustusi. Kõige selle tagamisel jäävad andmekaitse ja selle olulisus tihti viimasele kohale.
Selleks et andmekaitset lihtsustada ja tuua nii õpetajatele kui ka koolijuhtidele lähemale, oleme läbi aastate saatnud kooliaasta alguses ringkirju. 2025./2026. õppeaasta alguses saatsime koolidele üle Eesti ringkirja küsimus-vastus-vormis, kus tutvustasime kolme eri teemat: lapsevanema nõusolek, piltide ja videote tegemine ning avaldamine ja tehisintellekti kasutuselevõtmine. Ringkirja tutvustamiseks korraldasime avaliku veebiseminari, kus osalejad said inspektsiooni koostöövaldkonna koolitus- ja ennetustiimi juristidelt nõu küsida ja oma kogemusi jagada. Lisaks võõrustasime nii 2025. kui ka 2024. aastal kahte riigigümnaasiumit. Viisime Andmekaitse Inspektsioonis läbi külalistunnid, mille käigus tutvustasime õpilastele andmekaitse põhimõtteid ja isikuandmete kaitse üldist olulisust.
2025. aasta tõi kaasa ka suure hüppe – TI-hüppe. Tehisintellekt on igapäevatööriistaks saamas nii õpilastel kui ka õpetajatel, mistõttu ei tasu unustada andmekaitset. Tehisintellekt teatavasti ei unusta, vaid õpib talle sisestatud või digitaalsetes allikates leiduva teabe põhjal. Iga sisend võib olla uus ühenduslüli tehisintellekti tehnoloogia arenemisel. Samas on igal inimesel õigus paluda andmetöötlejalt oma isikuandmete kustutamist ehk õigus olla unustatud. Kas tehisintellekt suudab sisestatud isikuandmeid „unustada“ – seda näeme ilmselt alles tulevikus. Seetõttu soovitame koolidel alati iga uue tehnoloogilise lahenduse kasutuselevõtuga läbi mõelda, kas see vastab nii andmekaitse kui ka andmeturbe nõuetele ning milliseid andmeid nii koolitöötajad kui ka õpilased sinna sisestada võivad.
2025. aasta sügisel osalesime ka rahvusvahelises seires, mida koordineerib ülemaailmne privaatsuse jõustamise võrgustik GPEN (Global Privacy Enforcement Network). Seire raames uurisime 30 erinevat laste seas populaarset veebisaiti ja mobiilirakendust. Seire eesmärgiks oli hinnata, kas ja kuidas laste isikuandmeid kogutakse ning kas see vastab andmekaitse nõuetele. Uurisime näiteks, kas veebileht või mobiilirakendus küsib vanuse tuvastamist, milliseid isikuandmeid kogutakse, kas ja kuidas on võimalik kasutajat või isikuandmeid kustutada ja ka seda, millise sisuga võib laps konkreetsel veebilehel või mobiilirakenduses kokku puutuda. Seire täpsemaid tulemusi tutvustatakse 2026. aasta kevadel.
Haridusvaldkonna töötajate ja ka õpilaste andmekaitseteadlikkus on väga erinev, mistõttu tuleb jätkata eelmistel aastatel seatud eesmärki ning pakkuda järjepidevat teadmiste täiendamise võimalust nii juhendmaterjalide kui ka eri loengutega. Uuest aastast plaanime alustada veebiseminaride sarjaga ja võrgustiku loomisega haridusasutuste töötajatele. Hariduse andmekaitsevõrgustiku eesmärk on luua kogukond, kus pakume liikmetele nii loenguid, juhendmaterjale kui ka võimalust omavahel kogemusi jagada ja üksteiselt õppida, et tagada lastele turvaline ja usaldusväärne keskkond nii koolis kui digimaailmas. Eelmistel aastatel seatud eesmärk kandub seega edasi ka käesolevasse ning suure tõenäosusega tulevasse aastasse, sest laste isikuandmete kaitse olulisus ei ole pelgalt sõnakõlks, vaid oluline põhimõte, mille väärtus peegeldub nii koolis, digikeskkonnas kui ka kodus.
Järelevalve. Ainult heaga alati ei saa, mistõttu on nii mõnigi kaebus ja märgukiri järelevalvemenetluseni jõudnud. 2025. aasta menetlustest nähtus, et andmekaitse haridusvaldkonnas on väga mitmetahuline ning nõuab jätkuvat tähelepanu. Koolid, lasteaiad ja omavalitsused töötlevad iga päev suurt hulka laste isikuandmeid – alates õpitulemustest ja kohalkäimise andmetest kuni tundlikuma teabeni nagu terviseandmed, hariduslikud erivajadused ja peresuhted. Selliste andmete käsitlemine eeldab selgeid reegleid ja teadlikke otsuseid, sest iga eksimus võib lapse privaatsust negatiivselt mõjutada ning vanemate ja asutuste vahel arusaamatusi tekitada. Aasta jooksul ilmnes, et kõige rohkem probleeme tekitas just see, kuidas andmeid jagati ja kellel oli neile juurdepääs. Sageli tuli ette olukordi, kus tundlikku infot edastati liiga laialt, puudus selge õiguslik alus või ei vastatud vanemate päringutele õigel ajal. Lisaks tõid digikeskkonnad ja sotsiaalmeedia kaasa uusi riske, mis nõudsid kiiret sekkumist.
Menetlustes piirduti enamasti selgituste ja tähelepanu juhtimisega. Asutustele rõhutati minimaalsuse põhimõtet, õigusliku aluse olulisust ning vajadust vastata vanemate päringutele korrektselt ja õigeaegselt. Mitmel juhul paluti andmetele juurdepääsu piirata ning tõhusamaid turvameetmeid rakendada.
Olulisemad järeldused ja soovitused haridusasutustele
- Selged reeglid andmete töötlemiseks
Iga kool ja lasteaed peaks kirjalikult määratlema, milliseid andmeid kogutakse, kes neile ligi pääseb ja mis eesmärgil. - Töötajate regulaarne koolitamine
Paljud rikkumised tulenevad teadmatusest. Oluline on, et töötajad oskaksid isikuandmete töötlemise olukordi ära tunda, mõtleksid enne tegutsemist, kas selline andmete töötlemine on lubatud, ja teaksid, kust vajadusel abi küsida. - Ainult vajaduspõhised juurdepääsuõigused
Töötajatel on juurdepääs ainult nende tööülesannete täitmiseks vajalikele andmetele. - Korrektsed ja õigeaegsed vastused andmetega tutvumise taotlustele
Isikuandmete kaitse üldmääruse (IKÜM) artikli 15 alusel on lapsevanematel õigus tutvuda oma alaealise lapse isikuandmetega ning täiskasvanud õpilastel õigus tutvuda enda isikuandmetega. Vastus tuleb anda 30 päeva jooksul alates taotluse saamisest ning keeldumine peab olema põhjendatud. - Sotsiaalmeedias ja õppeinfosüsteemides laste privaatsuse tagamine
Laste pilte, nimesid ja hinnanguid ei jagata laiale ringile ilma nõusoleku või muu õigusliku aluseta. - Turvameetmete tugevdamine
Selleks tuleb kasutada sobivaid tehnilisi ja korralduslikke meetmeid, näiteks turvalisi paroole, mitmeastmelist autentimist ja vajadusel andmete krüpteerimist.
- Kommenteerimiseks logi sisse või registreeru