Η προσπάθεια που η ΟΙΕΛΕ ξεκίνησε το Μάιο του 2020 για να σταματήσει η διαρροή των προσωπικών δεδομένων χιλιάδων μαθητών και εκπαιδευτικών μέσω της τηλεκπαίδευσης δικαιώθηκε. Η Αρχή ενημέρωσε την Ομοσπονδία για την υπ. αριθμ. 50/2021 οριστική της απόφαση που καταδεικνύει σοβαρές παραβιάσεις του νομοθετικού πλαισίου για τα προσωπικά δεδομένα εκ μέρους της πολιτικής ηγεσίας του Υπουργείου Παιδείας.
Πιο συγκεκριμένα:
Η Αρχή κρίνει ότι σε τουλάχιστον πέντε (5) περιπτώσεις, το ΥΠΑΙΘ έχει παραβιάσει τον Κανονισμό GDPR (ΓΚΠΔ) και του απευθύνει επίπληξη για τις σχετικές παραβιάσεις, ενώ τάσσει προθεσμία δύο (2) και τεσσάρων (4) μηνών κατά περίπτωση, για την αποκατάσταση της νομιμότητας.
Ειδικότερα η Αρχή απηύθυνε προς το ΥΠΑΙΘ επίπληξη:
- Σε σχέση με τα ζητήματα νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα έχει παραβιάσει τις διατάξεις του άρθρου 6 του ΓΚΠΔ, σε συνδυασμό με το άρθρο 4 παρ. 5 του ν. 3471/2006, όπως ισχύει.
Συγκεκριμένα διαπιστώνει πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη κατά παράβαση του άρθρου 4 παρ. 5 του ν. 3471/2006, και ότι δεν έχει διενεργηθεί αναλυτική διερεύνηση της νομιμότητας των εξής σκοπών της επεξεργασίας :
α) Εξαγωγή συμπερασμάτων σχετικά με την τηλεκπαίδευση, ως στατιστικός και ερευνητικός σκοπός, με υπεύθυνο επεξεργασίας το ΥΠΑΙΘ και εκτελούντα την επεξεργασία τη CISCO,
β) Βελτίωση της παρεχόμενης από τη Cisco υπηρεσίας, για την οποία προκύπτει ότι υπεύθυνος επεξεργασίας μπορεί να είναι η Cisco και
γ) Συμμόρφωση της Cisco με οικονομικές και ελεγκτικές απαιτήσεις, συμπεριλαμβανομένης της χρέωσης των υπηρεσιών, με υπεύθυνο επεξεργασίας τη Cisco, ώστε να μπορεί να τεκμηριωθεί η νομιμότητά του με βάση το άρθρο 6 του ΓΚΠΔ. Παράλληλα δίνει εντολή στο ΥΠΑΙΘ να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης. Μετά το διάστημα αυτό, το ΥΠΑΙΘ οφείλει να έχει εξασφαλίσει ότι λαμβάνει συγκατάθεση για την πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη, όταν αυτό δεν είναι απαραίτητο για την παροχή της υπηρεσίας που ζήτησε ο χρήστης, και να έχει τεκμηριώσει αναλυτικά τη νομιμότητα των σκοπών επεξεργασίας που αναφέρθηκαν πιο πάνω.
- Σε σχέση με τα ζητήματα διαφάνειας και όσον αφορά την ανακοίνωση στοιχείων του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) έχει παραβιάσει τις διατάξεις του άρθρου 13, σε συνδυασμό με το άρθρο 5 παρ. 1 α του ΓΚΠΔ, το άρθρο 12 και το άρθρο 37 παρ. 7 ΓΚΠΔ. Συγκεκριμένα, διαπιστώνεται ότι οι παρεχόμενες πληροφορίες είναι λιγότερες από όσες επιβάλλει ο ΓΚΠΔ, ότι οι πληροφορίες δεν είναι σε κατανοητή και εύκολα προσβάσιμη μορφή και δεν χρησιμοποιείται σαφής και απλή διατύπωση, λαμβάνοντας ιδίως υπόψη και ότι πρόκειται για πληροφορία που απευθύνεται και σε παιδιά. Κι αυτό γιατί ο ρόλος των εκπαιδευτικών και ενημερωτικών δράσεων δεν περιορίζεται στην ικανοποίηση της αρχής της διαφάνειας αλλά και στην ορθή κατανόηση των κινδύνων και των συνεπειών από πιθανή επεξεργασία δεδομένων κατά τη διαδικασία τηλεκπαίδευσης. Απαιτείται, λοιπόν, προσέγγιση ώστε να εξασφαλίζεται ότι οι πληροφορίες οι οποίες απευθύνονται στις διαφορετικές κατηγορίες υποκειμένων των δεδομένων είναι συνοπτικές, διαφανείς, κατανοητές και εύκολα προσβάσιμες, με απλή διατύπωση ειδικά όσον αφορά σε παιδιά. Παράλληλα δίνει εντολή στο ΥΠΑΙΘ να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ, αντιμετωπίζοντας τις παραβάσεις και τροποποιώντας τη διαδικασία και το περιεχόμενο της παρεχόμενης ενημέρωσης εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης.
- Σε σχέση με τους κινδύνους που ενέχει η συγκεκριμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα σε ζητήματα όπως ο έλεγχος ταυτοπροσωπίας (βασικό μέτρο ασφάλειας για τον περιορισμό της πρόσβασης τρίτων στις «ψηφιακές τάξεις») ή η χρήση προσωπικών ηλεκτρικών συσκευών, διαπιστώθηκε ότι το ΥΠΑΙΘ δεν προκύπτει ότι έχει παράσχει κατάλληλες οδηγίες και εκπαίδευση προς το προσωπικό του (τους εκπαιδευτικούς) και ότι έχει παραβιάσει τις διατάξεις του άρθρου 25 παρ. 1 του ΓΚΠΔ, καθώς τα λαμβανόμενα τεχνικά και οργανωτικά μέτρα δεν προστατεύουν επαρκώς τα δικαιώματα των υποκειμένων των δεδομένων. Παράλληλα δίνει εντολή στο ΥΠΑΙΘ να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης.
- Σε σχέση με την έκφραση γνώμης των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία (ότι δηλ. ποτέ δεν έγινε μία ουσιαστική διαβούλευση για τον τρόπο λειτουργίας και όλες εν γένει τις παραμέτρους της τηλεκπαίδευσης), διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε την υποχρέωση του άρθρου 35 παρ. 9 του ΓΚΠΔ.
- Σε σχέση με το ζήτημα της διαβίβασης δεδομένων εκτός Ε.Ε., δοθέντος ότι η εταιρεία Cisco (εν προκειμένω ο όμιλος και οι εταιρείες του) υπόκειται στο δίκαιο των ΗΠΑ, συνεπώς, κατ’ αρχήν, δεν εξασφαλίζεται επαρκές επίπεδο προστασίας προσωπικών δεδομένων, διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε τις υποχρεώσεις του άρθρου 46 του ΓΚΠΔ, καθώς δεν έχει πραγματοποιηθεί αξιολόγηση της διαβίβασης με τον τρόπο που περιγράφεται στο σκεπτικό της απόφασης της Αρχής. Παράλληλα δίνει εντολή στο ΥΠΑΙΘ να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ, αντιμετωπίζοντας τις παραβάσεις ως προς το ζήτημα αυτό, εντός προθεσμίας τεσσάρων μηνών από την επίδοση της απόφασης.
Θέλουμε να ευχαριστήσουμε θερμά τους νομικούς μας παραστάτες Δημήτρη Φάκα και Γιώργο Μελισσάρη που δούλεψαν μεθοδικά και επίπονα προκειμένου να υποστηρίξουν την αναφορά της ΟΙΕΛΕ προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την προστασία των προσωπικών δεδομένων εκπαιδευτικών και μαθητών. Η απόφαση της Αρχής αποτελεί μια ακόμη απόδειξη ότι τούτη η Ομοσπονδία παρά το μικρό της μέγεθος αγωνίζεται και πετυχαίνει σημαντικές νίκες προς όφελος των παιδιών, των εργαζόμενων, της εκπαίδευσης και της κοινωνίας.
Διαβάστε εδώ την απόφαση της ΑΠΔΠΧ.