Αρχή Προστασίας Δεδομένων: Σύννομη η εξ αποστάσεως εκπαίδευση - Είναι όμως ελλιπής η μελέτη αντικτύπου
Η Αρχή Προστασίας Προσωπικών Δεδομένων έδωσε προθεσμία τριών μηνών στο υπουργείο Παιδείας προκειμένου να τροποποιήσει τη μελέτη αντικτύπου για τον περιορισμό των ενδεχόμενων κινδύνων που μπορεί να προκύψουν από την εξ αποστάσεως εκπαίδευση

Με τη Γνωμοδότηση 4/2020 (7.9.2020), η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) έκρινε ότι η παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης δεν αντίκειται στη νοµοθεσία για την προστασία των δεδοµένων προσωπικού χαρακτήρα, εφόσον ο σκοπός που εξυπηρετείται µε τη συγκεκριµένη επεξεργασία είναι νόµιµος και εφόσον δεν καταγράφονται προσωπικά δεδοµένα εικόνας και ήχου από τις τηλεδιασκέψεις, και δεν επιβάλλεται η υποχρέωση τηλεδιδασκαλίας πριν τη σχετική απόφαση του Υπουργού.

Ωστόσο αναφέρει ρητά ότι αποκλείστηκαν από τη διαδικασία οι εμπλεκόμενοι φορείς και οι κατάλληλοι εμπειρογνώμονες, ενώ οι έκτακτες συνθήκες της πανδημίας δεν καθιστούν επαρκή αιτιολόγηση για την παράκαµψη της διαδικασίας λήψης γνώµης των υποκειµένων των δεδοµένων. Σημειώνει επίσης ότι παρά την αναγκαιότητα λήψης μέτρων που θα αφορούσαν τον μετριασμό του κινδύνου, το υπουργείο δεν προχώρησε σε καμία διαβούλευση με την Αρχή Προστασίας Προσωπικών Δεδομένων, όπως απαιτείται σε αυτές τις περιπτώσεις. 

Ειδικότερα: 

- Ο σκοπός που επιδιώκεται µε την υπό εξέταση επεξεργασία είναι ρητώς και σαφώς καθορισµένος στον νόµο και ειδικότερα στην παρ. 1 του άρθρου 63 του ν. 4686/20, σύµφωνα µε την οποία, ο αποκλειστικός σκοπός της εξεταζόµενης επεξεργασίας είναι η παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης µε χρήση µέσων τεχνολογίας σε µαθητές πρωτοβάθµιας και δευτεροβάθµιας εκπαίδευσης που δεν δύνανται να παρακολουθήσουν δια ζώσης την εκπαιδευτική διαδικασία είτε λόγω καθολικής ή µερικής αναστολής ή απαγόρευσης λειτουργίας εκπαιδευτικής δοµής είτε για άλλον λόγο που ανάγεται σε έκτακτο ή απρόβλεπτο γεγονός, ενώ η ταυτόχρονη διδασκαλία σε µαθητές οι οποίοι συµµετέχουν εξ αποστάσεως επιτρέπεται µόνον σε περίπτωση επιδηµικών νόσων.

- Τα προσωπικά δεδοµένα των µαθητών/τριων, γονέων ή/και κηδεµόνων, συγκεκριµένα η διεύθυνση ηλεκτρονικής αλληλογραφίας αυτών αποτελούν αντικείµενο επεξεργασίας από τη σχολική µονάδα λόγω της ιδιότητάς τους ως µαθητών/τριών ή/και γονέων ή κηδεµόνων και της σχέσης τους, αντίστοιχα, µε το ελληνικό δηµόσιο ή µε ιδιωτική σχολική µονάδα, η επεξεργασία δε αυτή είναι αναγκαία για την εκπλήρωση των σκοπών και υποχρεώσεων του ελληνικού δηµοσίου ή ιδιωτικού εκπαιδευτικού φορέα για τη διασφάλιση της απρόσκοπτης λειτουργίας της εκπαιδευτικής δραστηριότητας κατά την περίοδο εφαρµογής των έκτακτων µέτρων για την αντιµετώπιση του κορωνοϊού COVID-19 (παρ. 5 περ, β΄)

- Σύµφωνα µε τα προβλεπόµενα στην υπουργική αυτή απόφαση (παρ. 7), σκοπός επεξεργασίας των δεδοµένων αυτών είναι το δηµόσιο αγαθό της παροχής εκπαίδευσης υπό καταστάσεις εκτάκτου ανάγκης, όπως είναι η πανδηµία του COVID-19, η νόµιµη δε βάση επεξεργασίας των εν λόγω δεδοµένων είναι το άρθρο 6 παρ. 1 στοιχ. γ’ (συµµόρφωση σε έννοµη υποχρέωση) και ε’ (εκπλήρωση καθήκοντος που εκτελείται προς το δηµόσιο συµφέρον ) του ΓΚΠ∆.

- Το υπό εξέταση µέτρο της σύγχρονης εξ αποστάσεως εκπαίδευσης είναι απολύτως συµβατό µε τη βασική αποστολή του Κράτους, όπως αυτή απορρέει από τις διατάξεις του άρθρου 16 του Σ., είναι δε πρόσφορο για τη διατήρηση της σχέσης εκπαιδευτικού-µαθητή και αναγκαίο εν µέσω υγειονοµικής κρίσης, καθώς η χρήση ηπιότερων µεσων, όπως η ασύγχρονη τηλεκπαίδευση, δεν είναι δυνατόν εκ της φύσεώς της να έχει τα ίδια αποτελέσµατα

Αποκλεισμός εμπειρογνωμόνων - Συστάσεις της Αρχής Προστασίας

Σύμφωνα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, για την υλοποίηση μελέτης αντικτύπου δεν ζητήθηκε η γνώµη των υποκειµένων των δεδοµένων ή των εκπροσώπων τους για τη σχεδιαζόµενη επεξεργασία. Επίσης η μελέτη φαίνεται να υλοποιήθηκε σε εξαιρετικά σύντοµο χρόνο, στο πλαίσιο των έκτακτων συνθηκών που δηµιουργήθηκαν λόγω της πανδηµίας. Ωστόσο όπως αναφέρει η Αρχή το γεγονός αυτό δεν παρέχει επαρκή αιτιολόγηση για την παράκαµψη της διαδικασίας λήψης γνώµης των υποκειµένων των δεδοµένων.

Περαιτέρω, από τους προσδιορισµένους κινδύνους φαίνεται να απουσιάζουν ή να µην αναλύονται επαρκώς µια σειρά από κινδύνους. Ενδεικτικά η Αρχή παραθέτει τους παρακάτω κινδύνους, οι οποίοι θα πρέπει να αντιµετωπισθούν:

• Κίνδυνοι σχετιζόµενοι µε την επέµβαση στην εκπαιδευτική διαδικασία, οι οποίοι επηρεάζουν το δικαίωµα στην εκπαίδευση. Απουσιάζει εκτίµηση και ανάλυση της επέµβασης ανά εκπαιδευτική βαθµίδα/τάξη, προσαρµοσµένη στις ιδιαιτερότητες των µαθητών. Για παράδειγµα, οι κίνδυνοι αυτοί µπορεί να αντιµετωπιστούν µε την εισαγωγή ή χρήση νέων εκπαιδευτικών µεθόδων, την παροχή κατάλληλης εκπαίδευσης και επιµόρφωσης στους εκπαιδευτικούς, µε τη συµβολή των κατάλληλων εκπαιδευτικών και ακαδηµαϊκών φορέων.

• Κίνδυνοι από τη χρήση εξοπλισµού που δεν βρίσκεται στην ευθύνη του υπευθύνου επεξεργασίας, ιδίως όσον αφορά στους εκπαιδευτικούς. Στο πλαίσιο αυτής της ανάλυσης θα πρέπει να εξεταστεί και το ζήτηµα της χρήσης προσωπικής συσκευής για υπηρεσιακό σκοπό (πρβλ. και απόφαση 77/2018 της Αρχής). Περαιτέρω στην ΕΑΠ∆ αναφέρεται ότι η πλατφόρµα και οι χρήστες δεν κινδυνεύουν από πιθανή ύπαρξη ιών σε τερµατικό εξοπλισµό συγκεκριµένου χρήστη (σελ 16), χωρίς περαιτέρω τεκµηρίωση.

• Κίνδυνοι από τις διαβιβάσεις δεδοµένων εκτός Ε.Ε. Να σηµειωθεί ότι όπως προκύπτει από την προσκοµισθείσα σύµβαση, δεν αποκλείεται η πιθανότητα χρήσης κέντρου δεδοµένων εκτός Ε.Ε., τουλάχιστον σε περίπτωση «βλάβης». Να σηµειωθεί, ότι πλέον, ο υπεύθυνος επεξεργασίας οφείλει να µελετήσει την απόφαση C-311/18 του ∆ΕΕ και να διασφαλίσει ότι δεν υπάρχει περίπτωση διαβίβασης δεδοµένων προσωπικού χαρακτήρα εκτός Ε.Ε. 2 Ο υπεύθυνος επεξεργασίας οφείλει να διερευνά το εφαρµοστέο νοµικό καθεστώς στη χώρα του εισαγωγέα, ώστε να εξασφαλίζει την εφαρµογή των δικαιωµάτων των υποκειµένων των δεδοµένων, σε κάθε περίπτωση. Τονίζεται ότι ο κίνδυνος αυτός ενδέχεται να υφίσταται στην περίπτωση χρήσης εταιρειών οι οποίες εµπίπτουν στη νοµοθεσία των ΗΠΑ (π.χ. άρθρο 702 του νόµου FISA και εκτελεστικό διάταγµα EO 12333), ανεξάρτητα του τόπου τήρησης των δεδοµένων.

• Κίνδυνοι που απορρέουν από τους όρους της σύµβασης. Ειδικότερα, από τη µελέτη της σύµβασης, προκύπτει ότι κάποια δεδοµένα διατηρούνται από τον εκτελούντα την επεξεργασία (Cisco). Τα δεδοµένα αυτά περιλαµβάνουν δεδοµένα που παράγονται κατά τη χρήση των υπηρεσιών· επισηµαίνεται ότι η σύµβαση διασφαλίζει δεδοµένα τα οποία «διαθέτει» το Υπουργείο στη Cisco, χωρίς να είναι σαφές αν σε αυτά περιλαµβάνονται και τα παραγόµενα δεδοµένα χρηστών. Από τη σύµβαση3 προκύπτει σαφώς ότι τηρούνται, για επτά έτη, µια σειρά από δεδοµένα προσωπικού χαρακτήρα, τα οποία περιλαµβάνουν τα δεδοµένα εγγραφής, αλλά και ψευδώνυµα δεδοµένα για σκοπούς «analytics» και µέτρησης απόδοσης. Επισηµαίνεται ότι σύµφωνα µε τους ορισµούς του ΓΚΠ∆, τα ψευδώνυµα δεδοµένα αποτελούν προσωπικά δεδοµένα και η άρση της ψευδωνυµοποίησης αποτελεί κίνδυνο ο οποίος πρέπει να αντιµετωπισθεί. Μάλιστα, στη σελ. 19 της ΕΑΠ∆ γίνεται αναφορά σε «Μεταδεδοµένα αµιγώς τεχνικής φύσης µέσω των οποίων δεν καθίσταται ικανή η προσωπική ταυτοποίηση των χρηστών». Σηµειώνεται επίσης ότι, υπό προϋποθέσεις, µπορεί να υπάρξει αναγνώριση υποκειµένων δεδοµένων, π.χ. µέσω συσχέτισης των µεταδεδοµένων µε άλλες γνωστές πληροφορίες που αφορούν ένα υποκείµενο των δεδοµένων. Περαιτέρω, ένας επιπλέον κίνδυνος απορρέει από την έλλειψη συµπλήρωσης, στη σύµβαση, του πεδίου το οποίο αφορά το πρόσωπο του υπεύθυνου επεξεργασίας, τον οποίο θα ενηµερώσει η Cisco (ως εκτελούσα την επεξεργασία) σε περίπτωση περιστατικού παραβίασης (βλ. σελ. 7 του παραρτήµατος Α).

• Κίνδυνοι από τη χρήση τρίτων εκτελούντων την επεξεργασία (subprocessors), οι οποίοι δεν φαίνεται να έχουν προσδιοριστεί. Επισηµαίνεται ότι µε βάση το άρθρο 28 παρ. 2 του ΓΚΠ∆, ο εκτελών την επεξεργασία δεν προσλαµβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούµενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας και σε περίπτωση γενικής γραπτής άδειας, όπως φαίνεται να ισχύει µε την υφιστάµενη σύµβαση, ο εκτελών την επεξεργασία ενηµερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούµενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας µε τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.

• Κίνδυνοι από τη χρήση προσωπικών ηλεκτρονικών διευθύνσεων των εκπαιδευτικών και τη διαβίβαση ηλεκτρονικά στη Cisco, ακόµα κι αν ένας εκπαιδευτικός δεν ενεργοποιήσει την τηλεκπαίδευση. Στο σύστηµα «myschool» φαίνεται να συµπεριλαµβάνονται οι διευθύνσεις ηλεκτρονικού ταχυδροµείου (email) των εκπαιδευτικών χωρίς να είναι σαφές για ποιο σκοπό έχουν συλλεγεί. Περαιτέρω, καθώς οι εκπαιδευτικοί χρησιµοποιούν για επικοινωνία προσωπικά email (πολλές φορές) υπάρχει κίνδυνος για αυτούς. Π.χ. σκόπιµο θα ήταν όλες οι ενέργειες να γίνονται από τους λογαριασµούς του σχολικού δικτύου (email επικοινωνίας; @sch.gr).

Σύµφωνα µε όσα προαναφέρθηκαν, ο στόχος της ΕΑΠ∆ είναι να προσδιοριστούν µέτρα αντιµετώπισης των κινδύνων, περιλαµβανοµένων των εγγυήσεων, των µέτρων και µηχανισµών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδοµένων προσωπικού χαρακτήρα και να αποδεικνύεται η συµµόρφωση προς τον ΓΚΠ∆. Με βάση την αρχή της προστασίας των δεδοµένων ήδη από τον σχεδιασµό (αρ. 25 παρ. 1 ΓΚΠ∆) ο υπεύθυνος επεξεργασίας, λαµβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρµογής και τη φύση, το πεδίο εφαρµογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, εφαρµόζει αποτελεσµατικά, τόσο κατά τη στιγµή του καθορισµού των µέσων επεξεργασίας όσο και κατά τη στιγµή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά µέτρα.

Συνεπώς, ο υπεύθυνος οφείλει να ελαχιστοποιήσει κάθε κίνδυνο, τεκµηριώνοντας επαρκώς το συµπέρασµα ότι ένας υπολειπόµενος κίνδυνος, έστω και µη υψηλός, γίνεται αποδεκτός, δεδοµένου ότι η ΕΑΠ∆ χρησιµοποιείται για να περιορίσει το επίπεδο όλων των κινδύνων. Συνεπώς, απαιτείται κρίση για το αν απαιτούνται περαιτέρω µέτρα αντιµετώπισης κάθε κινδύνου, ακόµα κι αν αυτός δεν φαίνεται να είναι υψηλός. Εποµένως, στην ΕΑΠ∆ δεν τεκµηριώνεται ότι οι προσδιορισµένοι κίνδυνοι έχουν ελαχιστοποιηθεί και δεν απαιτείται προσδιορισµός κατάλληλων µέτρων. Όσον αφορά στα λαµβανόµενα µέτρα µετριασµού των επιπτώσεων, η Αρχή επισηµαίνει την υποχρέωση του υπευθύνου επεξεργασίας για αυξηµένη διαφάνεια και δράσεις ενηµέρωσης και ευαισθητοποίησης των εµπλεκοµένων (εκπαιδευτικοί, µαθητές, οικογένεια) σε σχέση µε τη διαδικασία τηλεκπαίδευσης και τα δεδοµένα προσωπικού χαρακτήρα.

Στη σελ. 21 της ΕΑΠ∆ γίνεται αναφορά στις πληροφορίες που παρέχονται στα υποκείµενα των δεδοµένων. Φαίνεται ότι ακολουθείται µια τυπική -υπηρεσιακή- πληροφόρηση η οποία βασίζεται, κυρίως στα κείµενα των εγκυκλίων. Σύµφωνα µε όσα αναφέρονται στις κατευθυντήριες γραµµές του ΕΣΠ∆4 για τη διαφάνεια, απαιτείται ενηµέρωση µε κατάλληλο τρόπο, προσαρµοσµένη στα παιδιά και τις ευάλωτες οµάδες. Η παροχή κατάλληλης ενηµέρωσης και προγραµµάτων ευαισθητοποίησης, σε εκπαιδευτικούς, αλλά κυρίως µαθητές και οικογένεια, µπορεί µάλιστα να λειτουργήσει ως ένα κατάλληλο µέτρο µετριασµού των επιπτώσεων των κινδύνων που σχετίζονται µε µη νόµιµη διάδοση δεδοµένων. Στην ΕΑΠ∆ γίνεται αναφορά σε κατάρτιση κώδικα ορθής συµπεριφοράς5 / ευπρέπειας και σε αναλυτικές οδηγίες από τους εκπαιδευτικούς προς τους µαθητές, οι οποίες όµως δεν φαίνεται να έχουν καταρτιστεί.

Επομένως:

1) ΚΡΙΝΕΙ νόµιµη την κατά το άρθρο 63 του ν. 4686/2020 σύγχρονη εξ αποστάσεως εκπαίδευση για τους λόγους που αναφέρονται στο σκεπτικό της παρούσας.

2) ΚΑΛΕΙ το Υπουργείο Παιδείας και Θρησκευµάτων να λάβει υπόψη τις συστάσεις που αναφέρονται στο σκεπτικό της παρούσας και να τροποποιήσει και συµπληρώσει αναλόγως την ανωτέρω ΕΑΠ∆ σε αποκλειστική προθεσµία τριών (3) µηνών από τη δηµοσίευση της παρούσας απόφασης.

3) ΚΡΙΝΕΙ ότι επιτρέπεται η εξ αποστάσεως εκπαίδευση στις σχολικές µονάδες της πρωτοβάθµιας και της δευτεροβάθµιας εκπαίδευσης κατά τη διάρκεια του ως άνω τριµήνου, εφόσον συντρέχουν οι προϋποθέσεις που προβλέπονται στο άρθρο 63 του ν. 4686/2020, όπως ισχύει µετά την τροποποίησή του µε την από 10/08/2020 ΠΝΠ.

Δείτε αναλυτικά την απόφαση

 

Όλες οι σημαντικές και έκτακτες ειδήσεις σήμερα

ΕΛΜΕΠΑ: Το κορυφαίο πρόγραμμα Ειδικής Αγωγής στην Ελλάδα για διπλή μοριοδότηση

Το 1ο στην Ελλάδα Πρόγραμμα επιμόρφωσης Τεχνητής Νοημοσύνης για εκπαιδευτικούς με Πιστοποιητικό

ΑΣΕΠ: Η πιο Εύκολη Πιστοποίηση Αγγλικών για μόρια σε 2 ημέρες (δίνεις από το σπίτι σου με 95 ευρώ)

Παν.Πατρών: Μοριοδοτούμενο σεμινάριο ΕΙΔΙΚΗ ΑΓΩΓΗΣ με 65Є εγγραφή - έως 25/11

ΕΥΚΟΛΕΣ πιστοποιήσεις ΙΣΠΑΝΙΚΩΝ - ΙΤΑΛΙΚΩΝ - ΓΑΛΛΙΚΩΝ - ΓΕΡΜΑΝΙΚΩΝ για ΑΣΕΠ - Πάρτε τις ΑΜΕΣΑ

2ος Πανελλήνιος Γραπτός Διαγωνισμός ΑΣΕΠ: Τα 2 μαθήματα εξέτασης και η ύλη

Google news logo Ακολουθήστε το Alfavita στo Google News Viber logo Ακολουθήστε το Alfavita στo Viber

σχετικά άρθρα

Πανεπιστήμιο Μακεδονίας
Πανεπιστήμιο Μακεδονίας: Ιδρύεται «Επώνυμη Έδρα Διδασκαλίας και Έρευνας στις Μικρασιατικές Σπουδές»
Ανακοινώθηκε η ίδρυση «Επώνυμης Έδρας Διδασκαλίας και Έρευνας στις Μικρασιατικές Σπουδές» στο Πανεπιστήμιο Μακεδονίας
Πανεπιστήμιο Μακεδονίας: Ιδρύεται «Επώνυμη Έδρα Διδασκαλίας και Έρευνας στις Μικρασιατικές Σπουδές»
EKAV.jpg
Σέρρες: Συνελήφθη 43χρονος – Προσπάθησε να διαφύγει μετά από τροχαίο και παρέσυρε γυναίκα
Η άτυχη γυναίκα υποβλήθηκε σε επέμβαση στο Γενικό Νοσοκομείο Σερρών όπου διακομίσθηκε μετά το σοβαρό τροχαίο
Σέρρες: Συνελήφθη 43χρονος – Προσπάθησε να διαφύγει μετά από τροχαίο και παρέσυρε γυναίκα