Ηχηρό ράπισμα και δικαίωση της ΟΙΕΛΕ και της εκπαιδευτικής κοινότητας αποτέλεσε η υπ’ αριθμ 4/2020 Γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Αρχή) σχετικά με το ζήτημα της εξ αποστάσεως εκπαίδευσης.
Η Αρχή, αν και έκρινε κατ’ αρχήν νόμιμο το «γενικό» σκοπό της σύγχρονης εξ αποστάσεως εκπαίδευσης, επιφυλάχθηκε ρητά (δηλ. για την έκδοση απόφασης) ως προς τα λοιπά ζητήματα παραβάσεων που κατήγγειλε η ΟΙΕΛΕ και άλλοι φορείς της εκπαίδευσης και έδωσε στο Υπουργείο Παιδείας τρίμηνη προθεσμία προκειμένου να συμμορφωθεί με σειρά υποδείξεων της Αρχής, ώστε να προστατεύονται δεδομένα μαθητών, εκπαιδευτικών και γονέων.
Παράλληλα, ανέδειξε με τεκμηρίωση τις απίστευτες, σοβαρότατες και εκτεταμένες παραλείψεις, αστοχίες, τεχνικά – νομικά σφάλματα, τις παραβιάσεις της νομοθεσίας προστασίας δεδομένων και τις εκτός νομιμότητας ενέργειες του Υπουργείου Παιδείας στη συγκεκριμένη επεξεργασία, τα οποία εν συνόλω έθεσαν και θέτουν την ιδιωτικότητα όσο και τα δικαιώματα και τις ελευθερίες μαθητών, εκπαιδευτικών και γονιών σε κίνδυνο.
Η καταγγελία της ΟΙΕΛΕ ότι τα δεδομένα 1,5 εκατομμυρίου φυσικών προσώπων τέθηκαν σε κίνδυνο, στην οποία το Υπουργείο κώφευε, αποδείχθηκε και τεκμηριώθηκε με τον πλέον επίσημο τρόπο.
Πέραν όμως της θέσης περί του ότι η σύγχρονη εξ αποστάσεως εκπαίδευση είναι κατ’ αρχή νόμιμη καθώς συνιστά πρόσφορο μέσο για τη διατήρηση της σχέσης εκπαιδευτικού-μαθητή, η Αρχή εντόπισε στη σχεδιασθείσα και ήδη διενεργηθείσα επεξεργασία δεδομένων, πλήθος σοβαρότατων παραλείψεων σε σχέση με τις διαδικασίες που ακολούθησε το Υπουργείο.
Ειδικότερα, η Αρχή στην ως άνω Γνωμοδότησή της:
- Έκανε διάκριση μεταξύ της «κλασσικής» σύγχρονης τηλεκπαίδευσης σε καιρό πανδημίας (όταν δεν υπάρχει η δυνατότητα λειτουργίας της τάξης σε σχολική αίθουσα) και της «ταυτόχρονης» μετάδοσης του μαθήματος της σχολικής αίθουσας σε μαθητές οι οποίοι απουσιάζουν. Τη σημαντική αυτή διάκριση δεν έκανε ως όφειλε το Υπουργείο Παιδείας στην Εκτίμηση Αντικτύπου Προστασίας (ΕΑΠΔ), αποκαλύπτοντας την προχειρότητα, τη μη ορθότητα και πληρότητά της. Επιπλέον, εντόπισε πλήθος παραλείψεων σε σχέση με τις οδηγίες που θα έπρεπε να είχαν λάβει οι εκπαιδευτικοί για μια τέτοια διαδικασία.
- Διαπίστωσε ότι η ΕΑΠΔ υλοποιήθηκε σε εξαιρετικά σύντομο χρόνο και απέρριψε ως αναιτιολόγητο τον ισχυρισμό του Υπουργείου ότι δε ζήτησε τη γνώμη των υποκειμένων επειδή «ήταν επείγουσα ανάγκη».
- Απέρριψε την απόκρυψη των μέτρων προστασίας δεδομένων της CISCO, τα οποία το Υπουργείο είχε αφαιρέσει από την αρχικά δημοσιευθείσα ΕΑΠΔ, τονίζοντας ότι δε μπορεί να τεκμηριωθεί θέμα εμπιστευτικότητας ή επιχειρηματικού απορρήτου σε αυτή την περίπτωση.
- Έκρινε ότι η επεξεργασία αφορά μεγάλο αριθμό ευάλωτων υποκειμένων (μαθητών και εργαζομένων), των οποίων τη γνώμη όπως και τη γνώμη κατάλληλων εμπειρογνωμόνων θα έπρεπε να ζητήσει το Υπουργείο Παιδείας, ενέργειες που ουδέποτε έγιναν.
- Έκρινε επίσης ότι δεν προέκυψε με βεβαιότητα η ημερομηνία εκτέλεσης και ολοκλήρωσης της ΕΑΠΔ. Η καταγγελία της ΟΙΕΛΕ ότι η ΕΑΠΔ δε μπορούσε και δεν αποδεικνύεται ότι συντάχθηκε κατά τη φερόμενη ημερομηνία δημιουργίας της και ότι στην ουσία είναι ένα ανύπαρκτο διοικητικά έγγραφο, επιβεβαιώθηκε πλήρως. Απίστευτες παραδοχές για τις ενέργειες ενός Υπουργείου σε σχέση με ένα ζήτημα που αφορά 1,5 εκατομμύριο φυσικά πρόσωπα.
- Έκρινε ότι από το κείμενο της ΕΑΠΔ δεν προκύπτει με ποιο τρόπο έχει εφαρμοστεί η μεθοδολογία και έχει εκπονηθεί η ΕΑΠΔ. Διαπίστωσε ότι το Υπουργείο δεν έλαβε υπόψη τους κινδύνους για τα δικαιώματα και τις ελευθερίες των μαθητών και των καθηγητών. Ο «χάρτης κινδύνων» που παρουσιάζεται στην ΕΑΠΔ εμφανίζει μη τεκμηριωμένες, υποκειμενικές, εκτιμήσεις του Υπουργείου.
- Η Αρχή, εισερχόμενη σε ζητήματα που θα έπρεπε να εντοπίσει το Υπουργείο στη μελέτη του εντοπίζει επιπλέον σοβαρούς κινδύνους σε σχέση με :
– το ίδιο το δικαίωμα της εκπαίδευσης
– τη χρήση προσωπικού εξοπλισμού από τους εκπαιδευτικούς στην εξ αποστάσεως εκπαίδευση
– τις διαβιβάσεις δεδομένων εκτός ΕΕ
– τους όρους της σύμβασης του Υπουργείου με τη CISCO
– την αναγνώριση φυσικών προσώπων με το συνδυασμό μεταδεδομένων και άλλων δεδομένων
– το μη προσδιορισμό των τρίτων εκτελούντων την επεξεργασία (subprocessors) για λογαριασμό της CISCO
– τη χρήση προσωπικών ηλεκτρονικών διευθύνσεων των εκπαιδευτικών και τη διαβίβαση ηλεκτρονικά στη Cisco, ακόμα κι αν ένας εκπαιδευτικός δεν ενεργοποιήσει την τηλεκπαίδευση
- Επιπλέον, διαπίστωσε ότι ακολουθείται μια τυπική -υπηρεσιακή- πληροφόρηση των φυσικών προσώπων, ενώ κατά κανόνα απαιτείται ενημέρωση με κατάλληλο τρόπο, προσαρμοσμένη στα παιδιά και τις ευάλωτες ομάδες. Διαπιστώνει ότι στην ΕΑΠΔ γίνεται αναφορά σε κατάρτιση κώδικα ορθής συμπεριφοράς/ευπρέπειας και σε αναλυτικές οδηγίες από τους εκπαιδευτικούς προς τους μαθητές, οι οποίες όμως δεν φαίνεται να έχουν καταρτιστεί.
- Διαπίστωσε ότι κατά παράβαση του ΓΚΠΔ, η DPO του Υπουργείου ενέκρινε τα μέτρα της ΕΑΠΔ. Οι αποφάσεις σε σχέση με τη λήψη μέτρων, λαμβάνονται από τον υπεύθυνο επεξεργασίας με τη συμβουλή του Υπευθύνου Προστασίας Δεδομένων, ο οποίος δεν έχει αποφασιστική αρμοδιότητα. Δηλαδή διαπίστωσε ότι η ΕΑΠΔ στην ουσία ΔΕΝ έχει εγκριθεί από το Υπουργείο Παιδείας και Θρησκευμάτων.
Τέλος, η Αρχή έδωσε 3μηνη προθεσμία συμμόρφωσης στο Υπουργείο Παιδείας και Θρησκευμάτων σε σχέση με όλες τις συστάσεις του σε σχέση με την ΕΑΠΔ.
Αναμένοντας, λοιπόν, την απόφαση της Αρχής επί των καταγγελθέντων από την ΟΙΕΛΕ αλλά και από τις άλλες εκπαιδευτικές Ομοσπονδίες, μελετώντας τα πορίσματα της γνωμοδότησης, την έκταση, τον αριθμό και το είδος των καταγεγραμμένων παραβάσεων και διαπιστώνοντας τους σοβαρότατους κινδύνους για μαθητές, γονείς και εκπαιδευτικούς, αποδεικνύεται ότι το Υπουργείο Παιδείας και Θρησκευμάτων ενήργησε με επικίνδυνη προχειρότητα, βεβιασμένα, σπασμωδικά, χωρίς στοιχειώδη πρόνοια, επιχειρώντας με ενέργειες αμφίβολης νομιμότητας να αποδείξει ότι ενήργησε κατά το νόμο, τη στιγμή που διακήρυσσε ότι δεν υπάρχει κανένα πρόβλημα με τα υπόψη ζητήματα.