lawjobs.gr image
ΜΑΓΡΙΠΛΗΣ ΧΑΛΑΚΑΤΕΒΑΚΗΣ ΚΑΙ ΣΥΝΕΡΓΑΤΕΣ KKLEGAL Sikiaridis & Associates Law... ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ Σπύρος Βέννης ΧΑΝΙΚΙΑΝ ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ P&C ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ ΧΡΙΣΤΙΝΑ ΝΟΜΙΚΟΥ CONTSHIPS MANAGEMENT INC. ΔΙΚΗΓΟΡΙΚΟ ΓΡΑΦΕΙΟ ΧΑΡΗ ΠΟΛΙΤΗ ΑΝΤΙΓΟΝΗ ΒΑΦΕΙΔΟΥ & ΣΥΝΕΡΓΑΤΕΣ... ΠΑΠΑΔΟΠΟΥΛΟΥ ΒΑΣΙΛΕΙΑ, ΚΑΛΑΝΤΖΗ ΑΝΑΣΤΑΣΙΑ... ΑΘΑΝΑΣΙΟΣ ΚΙΚΗΣ ΚΑΙ ΣΥΝΕΡΓΑΤΕΣ ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ ΠΑΥΛΟΣ Κ.... ΑΝΑΓΝΩΣΤΟΥ ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ Ελένη Λαγιανδρέου Motor Oil

lawjobs.gr image
ΜΑΓΡΙΠΛΗΣ ΧΑΛΑΚΑΤΕΒΑΚΗΣ ΚΑΙ ΣΥΝΕΡΓΑΤΕΣ KKLEGAL Sikiaridis & Associates Law... ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ Σπύρος Βέννης ΧΑΝΙΚΙΑΝ ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ P&C ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ ΧΡΙΣΤΙΝΑ ΝΟΜΙΚΟΥ CONTSHIPS MANAGEMENT INC. ΔΙΚΗΓΟΡΙΚΟ ΓΡΑΦΕΙΟ ΧΑΡΗ ΠΟΛΙΤΗ ΑΝΤΙΓΟΝΗ ΒΑΦΕΙΔΟΥ & ΣΥΝΕΡΓΑΤΕΣ... ΠΑΠΑΔΟΠΟΥΛΟΥ ΒΑΣΙΛΕΙΑ, ΚΑΛΑΝΤΖΗ ΑΝΑΣΤΑΣΙΑ... ΑΘΑΝΑΣΙΟΣ ΚΙΚΗΣ ΚΑΙ ΣΥΝΕΡΓΑΤΕΣ ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ ΠΑΥΛΟΣ Κ.... ΑΝΑΓΝΩΣΤΟΥ ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ Ελένη Λαγιανδρέου Motor Oil

lawjobs.gr image
ΜΑΓΡΙΠΛΗΣ ΧΑΛΑΚΑΤΕΒΑΚΗΣ ΚΑΙ ΣΥΝΕΡΓΑΤΕΣ KKLEGAL Sikiaridis & Associates Law... ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ Σπύρος Βέννης ΧΑΝΙΚΙΑΝ ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ P&C ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ ΧΡΙΣΤΙΝΑ ΝΟΜΙΚΟΥ CONTSHIPS MANAGEMENT INC. ΔΙΚΗΓΟΡΙΚΟ ΓΡΑΦΕΙΟ ΧΑΡΗ ΠΟΛΙΤΗ ΑΝΤΙΓΟΝΗ ΒΑΦΕΙΔΟΥ & ΣΥΝΕΡΓΑΤΕΣ... ΠΑΠΑΔΟΠΟΥΛΟΥ ΒΑΣΙΛΕΙΑ, ΚΑΛΑΝΤΖΗ ΑΝΑΣΤΑΣΙΑ... ΑΘΑΝΑΣΙΟΣ ΚΙΚΗΣ ΚΑΙ ΣΥΝΕΡΓΑΤΕΣ ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ ΠΑΥΛΟΣ Κ.... ΑΝΑΓΝΩΣΤΟΥ ΔΙΚΗΓΟΡΙΚΗ ΕΤΑΙΡΕΙΑ Ελένη Λαγιανδρέου Motor Oil
Law NewsΔ.Τύπου - ΑνακοινώσειςΕλλάδα

ΑΠΔΠΧ – Γνωμ. 4/2020: νόμιμη η σύγχρονη εξ αποστάσεως εκπαίδευση στις σχολικές μονάδες της πρωτοβάθμιας και της δευτεροβάθμιας εκπαίδευσης.

Share

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΓΝΩΜΟΔΟΤΗΣΗ 4/2020

[ Αθήνα, 07-09-2020 – Αριθ. Πρωτ.: Γ/ΕΞ/6031/07-09-2020 ]

 

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Προέδρου της σε τακτική συνεδρίαση μέσω τηλεδιάσκεψης την 19.08.20 σε συνέχεια των από 14.7.20 και 12.8.20 συνεδριάσεών της, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν ο Πρόεδρος της Αρχής Κωνσταντίνος Μενουδάκος, και τα τακτικά μέλη της Αρχής Σπυρίδων Βλαχόπουλος, Χαράλαμπος Ανθόπουλος και Κων/νος Λαμπρινουδάκης, οι δύο τελευταίοι και ως εισηγητές της υπόθεσης. Παρόντες χωρίς δικαίωμα ψήφου ήταν οι Καλλιόπη Καρβέλη και Γεώργιος Ρουσόπουλος, ειδικοί επιστήμονες, ως βοηθοί εισηγητών, οι οποίοι αποχώρησαν μετά τη συζήτηση της υπόθεσης και πριν από τη διάσκεψη και τη λήψη απόφασης και η Γεωργία Παλαιολόγου, υπάλληλος του τμήματος διοικητικών υποθέσεων της Αρχής, ως γραμματέας.

Η Αρχή έλαβε υπόψη τα παρακάτω:

Με τις υπ’ αριθ. πρωτ. Γ/ΕΙΣ/3307/14.05.20 και Γ/ΕΙΣ/3701/29.05.20, Γ/ΕΙΣ/4144/16.6.20 και Γ/ΕΙΣ/3866/5.6.20 αναφορές τους κατά του Υπουργείου Παιδείας και Θρησκευμάτων (εφεξής Υ.ΠΑΙ.Θ.) αντίστοιχα η Ομοσπονδία Ιδιωτικών Εκπαιδευτικών Λειτουργών Ελλάδος (εφεξής ΟΙΕΛΕ), η Διδασκαλική Ομοσπονδία Ελλάδος (εφεξής ΔΟΕ) και η A προβάλλονται παραβιάσεις της νομοθεσίας για την προστασία των προσωπικών από το Υπουργείο Παιδείας και Θρησκευμάτων και ζητούν την παρέμβαση της Αρχής. Μεταξύ άλλων ζητείται να διερευνηθεί η συμβατότητα της σύγχρονης εξ αποστάσεως εκπαίδευσης στις σχολικές μονάδες της πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης με τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (εφεξής ΓΚΠΔ) και του ν. 4624/2019 καθώς και κατά πόσον η παροχή της συνιστά νόμιμη επεξεργασία προσωπικών δεδομένων ή όχι.

Με την παρούσα γνωμοδότηση εξετάζονται τα ζητήματα που σχετίζονται με το τελευταίο αυτό θέμα, επιφυλάσσεται δε η Αρχή ως προς τις λοιπές αιτιάσεις που περιέχονται στις ανωτέρω αναφορές

Ως προς το εξεταζόμενο θέμα, η ΟΙΕΛΕ και η ΔΟΕ με τις υπ’ αριθ. πρωτ. Γ/ΕΙΣ/3307/14.05.20, Γ/ΕΙΣ/3701/29.05.20 και Γ/ΕΙΣ/4144/16.6.20 αντίστοιχες αναφορές τους ζητούν την παρέμβαση της Αρχής προκειμένου να διερευνηθεί: α) η συμβατότητα της σύγχρονης εξ αποστάσεως εκπαίδευσης στις σχολικές μονάδες της πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης με τις διατάξεις του ΓΚΠΔ και του ν. 4624/2019, β) κατά πόσον η επεξεργασία προσωπικών δεδομένων που έλαβε χώρα από τα μέσα Μαρτίου 2020 μέχρι και τις αρχές Μαΐου 2020 στα δημόσια και ιδιωτικά σχολεία στο πλαίσιο της ασύγχρονης αλλά κυρίως της σύγχρονης εξ αποστάσεως διδασκαλίας ήταν σύμφωνη με τις διατάξεις του ΓΚΠΔ και γ) κατά πόσον η επεξεργασία προσωπικών δεδομένων που πραγματοποιήθηκε στα ιδιωτικά σχολεία της Αθήνας και του Πειραιά από τη Δευτέρα 11 Μαΐου 2020, στο πλαίσιο της σύγχρονης εξ αποστάσεως διδασκαλίας, είναι σύμφωνη με τις διατάξεις του ΓΚΠΔ. Επίσης η ΟΙΕΛΕ καταγγέλλει ότι από την εγκύκλιο του Υ.ΠΑΙ.Θ. υπ’ αριθ. 57521/ΓΔ4/17.05.2020: α) επιβεβαιώνεται το παράνομο της επεξεργασίας της σύγχρονης εκπαίδευσης, από τα μέσα Μαρτίου μέχρι και τις 15.5.20, στη δημόσια και ιδιωτική εκπαίδευση, λόγω παραβίασης της αρχής της νομιμότητας (έλλειψη νομίμου βάσεως επεξεργασίας) αναφορικά με τον δημόσιο και ιδιωτικό τομέα, β) εντοπίζεται συστηματική και με ποικίλους τρόπους παραβίαση των κανόνων των άρθρων 24 και 25 ΓΚΠΔ (ιδίως η αρχή της προστασίας των δεδομένων ήδη από τον σχεδιασμό) εκ μέρους του Υ.ΠΑΙ.Θ. στον κανονιστικό, οργανωτικό και τεχνικό σχεδιασμό της επεξεργασίας, γ) το περιεχόμενο της εγκυκλίου αποκαλύπτει περιορισμό στα αναγνωρισμένα εκ του ΓΚΠΔ δικαιώματα των υποκειμένων, δίχως να είναι συνταγματικά ανεκτή μια τέτοια επιλογή και δίχως να εξασφαλίζεται από κανένα κείμενο η τήρηση των εγγυήσεων του άρθ. 23 ΓΚΠΔ και δ) δεν διασφαλίζονται σαφείς διαδικασίες για την άσκηση δικαιωμάτων των υποκειμένων, στην ως άνω επεξεργασία. Ακόμη η ΔΟΕ ζητά από την Αρχή να εξετάσει την τήρηση από το Υ.ΠΑΙ.Θ. της αρχής της λογοδοσίας, ήτοι να αξιολογηθεί η πληρότητα της εκπονηθείσας μελέτης εκτίμησης αντικτύπου.

Στο πλαίσιο διερεύνησης των καταγγελιών η Αρχή απέστειλε τα με αριθ. πρωτ. Γ/ΕΞ/3307-1/18.05.20, Γ/ΕΞ/3701-1/02-06-2020, Γ/ΕΞ/4144-1/22.06.20 και Γ/ΕΞ/3866-1/23.06.20 έγγραφα προς παροχή διευκρινίσεων στο Υ.ΠΑΙ.Θ., το οποίο στις με αριθ. πρωτ. Γ/ΕΙΣ/4844/13.07.20 και Γ/ΕΙΣ/4644/03.07.20 απαντήσεις του ανέφερε τα εξής : α) η ταυτόχρονη διδασκαλία σε μαθητές τόσο με φυσική παρουσία όσο και με τη μέθοδο της εξ αποστάσεως εκπαίδευσης με χρήση μέσων τεχνολογίας σε περίπτωση καθολικής ή μερικής αναστολής ή απαγόρευσης λειτουργίας εκπαιδευτικής δομής είτε για άλλον λόγο που ανάγεται σε έκτακτο ή απρόβλεπτο γεγονός, προβλέπεται στο άρθρο 63 του ν. 4686/20, β) σε συνέχεια της δυνατότητας αυτής εκπονήθηκε η Μελέτη Εκτίμησης Αντικτύπου, σύμφωνα με το άρθρο 35 του ΓΚΠΔ, γ) στη συνέχεια, η δυνατότητα οι σχολικές μονάδες της πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης να παρέχουν σύγχρονη εξ αποστάσεως εκπαίδευση ρυθμίστηκε με την υπ’ αριθ. 57233/Υ1 Υπουργική απόφαση, στην οποία προβλέφθηκαν όλα τα συναφή ζητήματα για την εφαρμογή της τηλεκπαίδευσης, όπως οι όροι και προϋποθέσεις διενέργειας της διαδικασίας, συμπεριλαμβανομένων τυχόν οργανωτικών ή/και τεχνικών μέτρων προς διασφάλιση της προστασίας των προσωπικών δεδομένων των συμμετεχόντων, καθώς και ο τρόπος και τα μέσα που χρησιμοποιούνται για την υλοποίηση της εξ αποστάσεως εκπαίδευσης και ο τρόπος συμμετοχής των εκπαιδευτικών και των μαθητών σε αυτή, δ) η υλοποίηση της σύγχρονης εξ αποστάσεως εκπαίδευσης πραγματοποιείται μέσω κατάλληλης ψηφιακής πλατφόρμας, η οποία καθιστά δυνατή την απευθείας μετάδοση ήχου ή/και εικόνας του μαθήματος από τους ίδιους τους εκπαιδευτικούς προς τους μαθητές. Προς τον σκοπό αυτό το Υ.ΠΑΙ.Θ. έχει συνάψει σχετική σύμβαση με την εταιρία Cisco Hellas A.E. ως εκτελούσα την επεξεργασία, στην οποία περιλήφθηκαν όροι για την προστασία των προσωπικών δεδομένων σύμφωνα με τις διατάξεις του άρθρου 28 ΓΚΠΔ, ε) νομική βάση της επεξεργασίας προσωπικών δεδομένων από το Υ.ΠΑΙ.Θ προς τον σκοπό της παροχής σύγχρονης εξ αποστάσεως εκπαίδευσης είναι η εκπλήρωση της υποχρέωσης για παροχή δημόσιας εκπαίδευσης που αποτελεί ταυτόχρονα και σκοπό δημοσίου συμφέροντος (άρθρο 6 παρ. 1 περ. γ’ και ε’ του ΓΚΠΔ), στ) το Υ.ΠΑΙ.Θ έχει ενημερώσει τα υποκείμενα για την επεξεργασία των προσωπικών τους δεδομένων που διενεργεί μέσω της διαδικασίας της τηλεκπαίδευσης, σύμφωνα με τις διατάξεις των άρθρων 12-14 του ΓΚΠΔ, καθώς όλες οι σχετικές πληροφορίες περιλαμβάνονται στη διάταξη του άρθρου 63 του ν. 4686/20 και στη βάσει αυτής εκδοθείσα υπ’ αριθ. 57233/Υ1 Υπουργική απόφαση, περαιτέρω, τόσο στους διδάσκοντες όσο και στους μαθητές και στους γονείς/κηδεμόνες αυτών χορηγήθηκε αναλυτικό ενημερωτικό έγγραφο σε φυσική ή ηλεκτρονική μορφή, ζ) δεν επιτρέπεται βάσει του άρθρου 63 παρ. 2 του ν. 4686/20, η καταγραφή και αποθήκευση του μαθήματος, είτε η παράδοση γίνεται σε αίθουσα διδασκαλίας παρουσία κάποιων μαθητών είτε σε άλλο χώρο δίχως τη παρουσία μαθητών, επιτρέπεται μόνον η ζωντανή μετάδοση ήχου ή/και εικόνας σε πραγματικό χρόνο, με μοναδικούς αποδέκτες τους μαθητές και τον ίδιο τον εκπαιδευτικό και έχει απενεργοποιηθεί στην εφαρμογή η δυνατότητα καταγραφής/αποθήκευσης του διαδικτυακού μαθήματος, η) η ζωντανή μετάδοση αφορά μόνο στο τμήμα της σχολικής ώρας που αφιερώνεται στη διδασκαλία-παράδοση και όχι κατά την ενδεχόμενη εξέταση-αξιολόγηση μαθητών, θ) τόσο ο εκπαιδευτικός όσο και οι μαθητές μπορούν να ενεργοποιούν/απενεργοποιούν τη χρήση της κάμερας και του μικροφώνου τους καθ’ όλη τη διάρκεια του διαδικτυακού μαθήματος, ι) για τη μετάδοση του ήχου η συσκευή του εκπαιδευτικού επιβάλλεται να είναι σταθερά τοποθετημένη κοντά στον ίδιο, ενώ ο εκπαιδευτικός διατηρεί το δικαίωμα σίγασης της φωνής του μαθητή ή ακόμα και διακοπής της μετάδοσης, εάν το κρίνει απαραίτητο, ιδίως για την προστασία κάποιου μαθητή, ια) στην περίπτωση που επιλεγεί η μετάδοση εικόνας, η κάμερα επιβάλλεται να εστιάζει αποκλειστικά και μόνο στον εκπαιδευτικό ή/και στον πίνακα της αίθουσας διδασκαλίας, εφόσον δεν χρησιμοποιείται από μαθητή, και απαγορεύεται να εστιάζει σε μαθητές που βρίσκονται στην αίθουσα διδασκαλίας, ιβ) κατά τη διάρκεια του διαδικτυακού μαθήματος συλλέγονται μεταδεδομένα, τα οποία παράγονται κατά τη χρήση της πλατφόρμας τηλεκπαίδευσης και είναι απαραίτητα για διάγνωση των ανακυπτόντων τεχνικών ζητημάτων και συνακόλουθα για την τεχνική υποστήριξη της πλατφόρμας τηλεκπαίδευσης, αυτά περιλαμβάνουν ειδικότερα τη διεύθυνση IP, το αναγνωριστικό «User Agent», τον τύπο υλικού, τον τύπο και την έκδοση λειτουργικού συστήματος, την έκδοση διακομιστή-πελάτη, τη διεύθυνση Mac κατά περίπτωση, την έκδοση εφαρμογής, τις υλοποιηθείσες ενέργειες (είσοδος-έξοδος), και τις πληροφορίες σύσκεψης (τίτλος, ημερομηνία και ώρα, συχνότητα, μέση και πραγματική συχνότητα, ποιότητα, ποσότητα, δραστηριότητα δικτύου και συνδεσιμότητα) και, τέλος, ιγ) το Υ.ΠΑΙ.Θ. ως υπεύθυνος επεξεργασίας, δύναται μέσω των εξουσιοδοτημένων στελεχών του, υπό την ιδιότητα του διαχειριστή της πλατφόρμας τηλεκπαίδευσης, να αποκτά πρόσβαση στα ονόματα χρηστών και τα παραγόμενα για αυτούς μεταδεδομένα υπό τη μορφή αναφορών για ερευνητικούς και στατιστικούς σκοπούς σχετικά με την τηλεκπαίδευση, στο πλαίσιο της αποστολής του Υ.ΠΑΙ.Θ.

Η Αρχή με τις υπ’ αριθ. πρωτ. Γ/ΕΞ/4630/02.07.20, Γ/ΕΞ/4631/02.07.20, Γ/ΕΞ/ 4632/02.07.20, Γ/ΕΞ/4633/02.07.20 και Γ/ΕΞ/4634/02.07.20 κλήσεις αντίστοιχα, κάλεσε το Υ.ΠΑΙ.Θ. και τους Α, ΟΙΕΛΕ και ΔΟΕ να παραστούν στη συνεδρίαση της Ολομέλειας της Αρχής την 14.07.2020, προκειμένου να συζητηθούν οι ως άνω αναφορές. Επίσης εκλήθη να συμμετέχει στην ως άνω συνεδρίαση και ο Σύνδεσμος Ιδιωτικών Σχολείων (εφεξής ΣΙΣ) ως προσθέτως παρεμβαίνων στην υπόθεση.

Κατά την ακρόαση της 14.07.20 παρέστησαν η Α, οι πληρεξούσιοι δικηγόροι της ΟΙΕΛΕ, Γεώργιος Μελισσάρης και Δημήτριος Φάκας, ο Πρόεδρος της ΔΟΕ Αθανάσιος Κικίνης και η Μαρία – Μαγδαληνή Τσίπρα, πληρεξούσια δικηγόρος της Ομοσπονδίας. Εκ μέρους του Υ.ΠΑΙ.Θ. παρέστησαν οι Σπυρίδων Παπαγιαννόπουλος, Αντιπρόεδρος του Νομικού Συμβουλίου του Κράτους, Αλέξανδρος Βαρβέρης, Τεχνικός Σύμβουλος του Υ.ΠΑΙ.Θ., Αρετή Οκονόμου Νομική Σύμβουλος του Υ.ΠΑΙ.Θ. και Ειρήνη Καπελάκη, DPO του Υπουργείου χωρις δικαίωμα διατύπωσης γνώμης. Επίσης παρέστη και ο Γρηγόριος Λαζαράκος, ως πληρεξούσιος δικηγόρος του προσθέτως παρεμβαίνοντος του ΣΙΣ.

Η Α κατά την ανωτέρω ακρόαση της 14.07.20 αλλά και στο με αριθ. πρωτ. Γ/ΕΙΣ/5060/20.07.20 συμπληρωματικό υπόμνημά της ανέφερε ότι α) το Υ.ΠΑΙ.Θ. εξακολουθεί να μην ανταποκρίνεται στα αιτήματά της, που αφορούν τη διάθεση και χρήση της πλατφόρμας webex της εταιρείας Cisco κατά την εκπαιδευτική διαδικασία τον Απρίλιο του 2020, και συνεχίζει να μην της γνωστοποιεί: 1) την επίσημη έγγραφη σύμβαση μεταξύ του Υ.ΠΑΙ.Θ. και της Cisco, 2) την Κ.Υ.Α. που αφορά την προαναφερθείσα εκπαιδευτική διαδικασία, και 3) τον τρόπο αποδοχής της δωρεάς των υπηρεσιών της εταιρείας Cisco, αίτημα το οποίο διατύπωσε προφορικά, μετά την ανάγνωση του άρθρου εξηκοστού πέμπτου της Π.Ν.Π. της 20ης Μαρτίου 2020 (επικυρώθηκε με τον νόμο 4683/2020), ενώπιον των νομικών εκπροσώπων του Υ.ΠΑΙ.Θ. κατά την 14/7/2020 ακροαματική διαδικασία ενώπιον της Αρχής, β) το Υ.ΠΑΙ.Θ. της γνωστοποίησε μία Μελέτη, που δεν αφορά τον μήνα Απρίλιο 2020, η ανάγνωση της οποίας προκαλεί εύλογη ανησυχία και νέα ερωτηματικά ως προς τη μεθοδολογία, τη διαφάνεια και την επιστημονική εγκυρότητα και επάρκεια με τις οποίες εισήχθη η τηλεκπαίδευση με εντολή Υ.ΠΑΙ.Θ. στην εκπαιδευτική διαδικασία πανελλαδικά.

Οι πληρεξούσιοι δικηγόροι της ΟΙΕΛΕ κατά την ανωτέρω ακρόαση της 14.07.20 αλλά και στο με αριθ. πρωτ. Γ/ΕΙΣ/5242/24.07.20 συμπληρωματικό υπόμνημά τους ανέφεραν τα εξής: α) η από 15.5.20 διενεργηθείσα μελέτη εκτίμησης αντικτύπου (εφεξής ΕΑΠΔ) δεν συνιστά έγγραφο βέβαιης χρονολογίας, δεν φέρει αριθμό εισερχομένου πρωτοκόλλου με το οποίο εισήχθη στο αρχείο του Υπουργείου, δεν φέρει αριθμό διαβιβαστικού, ούτε ηλεκτρονική υπογραφή, β) από το σώμα της δημοσιευμένης ΕΑΠΔ δεν αναφέρεται το πρόσωπο ή πρόσωπα που τη διενήργησαν, γ) δεν καθίστατο βέβαιο αν η ΕΑΠΔ αφορά και το χρονικό διάστημα από 13.3.20 έως και 15.5.20, σε κάθε δε περίπτωση για το διάστημα αυτό και για την επεξεργασία δεδομένων που έγινε δεν δημοσιεύθηκε προ της έναρξής της καμία σχετική ΕΑΠΔ, δ) η έγκριση της ΕΑΠΔ από τον Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ) του Υπουργείου όχι μόνον δεν ανάγεται στον κύκλο καθηκόντων του ΥΠΔ, αλλά συνιστά παραβίαση του ΓΚΠΔ, διότι επέρχεται ευθεία σύγκρουση συμφερόντων στο πρόσωπό του, μέσω της λήψης δεσμευτικής απόφασης για λογαριασμό του υπευθύνου επεξεργασίας ταυτιζόμενος κατ’ ουσία με αυτόν, ε) για τη σύνταξη της ΕΑΠΔ δεν έχουν ληφθεί υπόψη το άρθρο 63 του ν. 4686/20 και η υπ’ αριθ. 57233/Υ1 Υπουργική Απόφαση, καθώς και τμήματα της σύμβασης με τη CISCO HELLAS A.E και στ) δεν προκύπτει εάν το Υπουργείο προέβη σε στοιχειώδη σύγκριση μεταξύ των προσφερθέντων πλατφορμών και εάν ναι, με ποια κριτήρια και ποια ήταν τα αποτελέσματα αυτής.

Η πληρεξούσια δικηγόρος της ΔΟΕ κατά την ανωτέρω ακρόαση της 14.07.20 αλλά και στο με αριθ. πρωτ. Γ/ΕΙΣ/5216/24.07.20 συμπληρωματικό υπόμνημά της ανέφερε τα εξής: α) το Υ.ΠΑΙ.Θ βεβαιώνει στην ΕΑΠΔ ότι τα μεταδεδομένα διαγράφονται μόλις λήξει η σύμβαση με τον πάροχο, ήτοι σε διάστημα 4 μηνών από τις 13.3.20, ενώ σύμφωνα με το Privacy Data Sheet, που έχει αναρτήσει η Cisco, στο οποίο περιγράφει τις δυνατότητες της πλατφόρμας, αναφέρεται ότι τα μεταδεδομένα τηρούνται για 7 έτη από τη λήξη της σύμβασης, β) ο σκοπός της τηλεκπαίδευσης είναι καταρχήν νόμιμος, πλην όμως είναι μη καθορισμένος ως προς τα βασικά του χαρακτηριστικά, διότι δεν οριοθετείται το πεδίο εφαρμογής της επεξεργασίας και παρότι παρατίθενται κάποιες περιστάσεις υπό τις οποίες θα μπορούσε να λαμβάνει χώρα η σύγχρονη εξ αποστάσεως εκπαίδευση, οι σχετικές διατυπώσεις είναι ασαφείς και γενικές, γ) υφίσταται υπέρβαση της αρχής της αναλογικότητας στη συγκεκριμένη επεξεργασία και δ) εάν η κατηγορία των τυπικά απλών και κατά περίπτωση ευαίσθητων δεδομένων καταστούν αντικείμενο επεξεργασίας, τίθενται αυτομάτως σε κίνδυνο τα υποκείμενα των δεδομένων, ανεξαρτήτως των τεχνικών μέσων που θα χρησιμοποιηθούν.

Ο πληρεξούσιος δικηγόρος του ΣΙΣ κατά την ανωτέρω ακρόαση της 14.07.20 αλλά και στο με αριθ. πρωτ. Γ/ΕΙΣ/5156/23.07.20 συμπληρωματικό υπόμνημά του ανέφερε τα εξής: α) η σύγχρονη εξ αποστάσεως εκπαίδευση αποτελεί μέτρο πρόσφορο, αναγκαίο και αναλογικό για την παροχή εκπαίδευσης σε περιόδους έκτακτης και απρόβλεπτης ανάγκης, όπως αυτή της πανδημίας του COVID-19, β) ο κίνδυνος για την ελεύθερη ανάπτυξη της προσωπικότητας των μαθητών αξιολογείται ως περιορισμένος, γ) η σύγχρονη τηλεκπαίδευση συνιστούσε ένα έκτακτο μέτρο που εισήχθη ως προσωρινός τρόπος διδασκαλίας με τον χαρακτήρα του επείγοντος, γεγονός που δεν κατέλειπε στα σχολεία εύλογο χρόνο να εκπονήσουν ΕΑΠΔ, δ) δεν απαιτείται η εκπόνηση νέας ΕΑΠΔ εφόσον η Υπουργική Απόφαση καταλαμβάνει και τα ιδιωτικά σχολεία, ε) θα πρέπει να διερευνηθεί το ζήτημα της ακεραιότητας και εμπιστευτικότητας καθώς και της ελαχιστοποίησης των δεδομένων, στ) η ορθή νομική βάση της τηλεκπαίδευσης στα ιδιωτικά σχολεία πρέπει να είναι το άρθρο 6 παρ. 1 περ. β’ (εκτέλεση σύμβασης) και γ’ (συμμόρφωση σε έννομη υποχρέωση) του ΓΚΠΔ και ζ) τα ιδιωτικά σχολεία συμμορφώθηκαν πλήρως με τις οδηγίες του Υ.ΠΑΙ.Θ.

Τέλος, οι εκπρόσωποι του Υ.ΠΑΙ.Θ κατά την ανωτέρω ακρόαση της 14.07.20 αλλά και στο με αριθ. πρωτ. Γ/ΕΙΣ/5271/27.07.20 συμπληρωματικό υπόμνημά τους ανέφεραν τα εξής: α) επελέγη η πλατφόρμα «WebEx Meetings» της Cisco Hellas A.E., καθώς ήταν η μόνη από τις προσφερόμενες εταιρίες που δεν απαιτούσε τη δημιουργία λογαριασμού από τον μαθητή και πραγματοποιήθηκε παραμετροποίηση του συστήματος σε συνεργασία με το Υ.ΠΑΙ.Θ. για την προστασία των δεδομένων των εκπαιδευτικών και των μαθητών, β) η επεξεργασία που διενεργεί ο πάροχος της πλατφόρμας τηλεκπαίδευσης, ο οποίος υπέχει θέση εκτελούντος την επεξεργασία, διέπεται από τους όρους των ακόλουθων συμβατικών κειμένων 1) της από 13.3.20 σύμβασης δωρεάν παραχώρησης της πλατφόρμας τηλεδιασκέψεων WEBEX για την πραγματοποίηση σύγχρονης εξ αποστάσεως διδασκαλίας, 2) της από 13.3.20 σύμβασης -πλαίσιο περί προστασίας προσωπικών δεδομένων με τίτλο «Master Data Protection Agreement», 3) του από 13.3.20 παραρτήματος με τίτλο «Cisco WebEx Meetings Privacy Data Sheet» και 4) του από 13.3.20 παραρτήματος με τίτλο «CLARIFICATION APPENDIX», γ) ο εκτελών την επεξεργασία προβαίνει αμελλητί σε διαγραφή των δεδομένων που συλλέγονται στο πλαίσιο της σύμβασης μόλις εκπληρωθεί ο σκοπός αυτής και δεν διαβιβάζει προσωπικά δεδομένα εκτός ΕΕ, χωρίς την προηγούμενη συγκατάθεση του Υ.ΠΑΙ.Θ., δ) τα μεταδεδομένα που συλλέγονται κατά τη χρήση της πλατφόρμας τηλεκπαίδευσης υποβάλλονται σε επεξεργασία για σκοπούς ερευνητικούς και στατιστικούς, αφού προηγουμένως ανωνυμοποιηθούν, ε) οι πραγματοποιηθείσες παραμετροποιήσεις περιλαμβάνουν: 1) την απενεργοποίηση της δυνατότητας καταγραφής της τηλεδιάσκεψης, 2) τη δημιουργία ψηφιακής τάξης μέσω της εγγραφής των εκπαιδευτικών στην παραμετροποιημένη πλατφόρμα και της αποστολής σε αυτούς συνδέσμου δημιουργίας λογαριασμού, 3) την απενεργοποίηση της λειτουργικότητας «People Insights» και της αναγνώρισης προσώπου «facial recognition», 4) την καθιέρωση υποχρέωσης τήρησης των δεδομένων εντός ΕΕ και διαβίβασης αυτών διασυνοριακά μόνον κατόπιν έγγραφης συγκατάθεσης από το Υ.ΠΑΙ.Θ, 5) την οριστική διαγραφή των δεδομένων με τη λήξη ή την καθ’ οιονδήποτε τρόπο λύση της σύμβασης, στ) συνήφθη σύμφωνο με τις εταιρίες κινητής τηλεφωνίας για δωρεάν παροχή στους μαθητές και εκπαιδευτικούς δεδομένων κινητής τηλεφωνίας και για παροχή της δυνατότητας σύνδεσης με την πλατφόρμα ακόμη και μέσω σταθερού τηλεφώνου με αστική χρέωση και, τέλος, ζ) εξασφαλίστηκαν κονδύλια για παροχή στους μαθητές φορητών συσκευών (tablets).

Επίσης, με το δεύτερο υπόμνημά του προς την Αρχή, το Υ.ΠΑΙ.Θ. υπέβαλε αντίγραφο της συναφθείσας σύμβασης μεταξύ του ιδίου και της εταιρείας CISCO HELLAS A.E. καθώς και την από 15.05.20 μελέτη εκτίμησης αντικτύπου.

Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου, την ακροαματική διαδικασία και αφού άκουσε τους εισηγητές και τους βοηθούς εισηγητές, οι οποίοι αποχώρησαν μετά τη συζήτηση της υπόθεσης και πριν από τη διάσκεψη και τη λήψη απόφασης, μετά από διεξοδική συζήτηση

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ

1. Σύμφωνα με τις διατάξεις του άρθρου 5 του ΓΚΠΔ, τα δεδομένα προσωπικού χαρακτηρα πρέπει να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξργασία ενόψει των σκοπών αυτών, καθώς και να είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτείται ενόψει των σκοπών της επεξεργασίας.

Επίσης σύμφωνα με τις διατάξεις του άρθρου 6 παρ. 1 του ΓΚΠΔ, η επεξεργασία είναι σύννομη μόνον εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: …γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας, ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.

Περαιτέρω, στο άρθρο 35 του ΓΚΠΔ προβλέπεται το εξής:

«1. Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.

2. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπευθύνου προστασίας δεδομένων, εφόσον έχει οριστεί, κατά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.

(….)

7. Η εκτίμηση περιέχει τουλάχιστον:

α) συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, κατά περίπτωση, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας,

β) εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς,

γ) εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 και

δ) τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.

(….)

9. Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας εμπορικών ή δημόσιων συμφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.

10. Όταν η επεξεργασία δυνάμει του άρθρου 6 παράγραφος 1 στοιχείο γ) ή ε) έχει νομική βάση στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, το εν λόγω δίκαιο ρυθμίζει την εκάστοτε συγκεκριμένη πράξη επεξεργασίας ή σειρά πράξεων και έχει διενεργηθεί ήδη εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων ως μέρος γενικής εκτίμησης αντικτύπου στο πλαίσιο της έγκρισης της εν λόγω νομικής βάσης, οι παράγραφοι 1 έως 7 δεν εφαρμόζονται, εκτός εάν τα κράτη μέλη κρίνουν απαραίτητη τη διενέργεια της εν λόγω εκτίμησης πριν από τις δραστηριότητες επεξεργασίας.

11. Όπου απαιτείται, ο υπεύθυνος επεξεργασίας προβαίνει σε επανεξέταση για να εκτιμήσει εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την εκτίμηση αντικτύπου στην προστασία δεδομένων τουλάχιστον όταν μεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας.»

Σχετική είναι και η αιτιολογική σκέψη με αριθμό 75 του ΓΚΠΔ στην οποία αναφέρεται ότι «Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ποικίλης πιθανότητας και σοβαρότητας, είναι δυνατόν να προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη, ιδίως όταν η επεξεργασία μπορεί να οδηγήσει σε διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, βλάβη φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο, παράνομη άρση της ψευδωνυμοποιησης, η οποιοδήποτε άλλο σημαντικό οικονομικο η κοινωνικό μειονέκτημα· όταν τα υποκείμενα των δεδομένων θα μπορούσαν να στερηθούν των δικαιωμάτων και ελευθεριών τους ή να εμποδίζονται από την άσκηση ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα’ όταν υπόκεινται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή φιλοσοφικές πεποιθήσις ή συμμετοχή σε συνδικάτα και γίνεται επεξεργασία γενετικών δεδομένων, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή ή ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας’ όταν αξιολογούνται προσωπικές πτυχές, ιδίως όταν επιχειρείται ανάλυση ή πρόβλεψη πτυχών που αφορούν τις επιδόσεις στην εργασία, την οικονομική κατάσταση, την υγεία, προσωπικές προτιμήσεις ή συμφέροντα, την αξιοπιστία ή τη συμπεριφορά, τη θέση ή μετακινήσεις, προκειμένου να δημιουργηθούν ή να χρησιμοποιηθούν προσωπικά προφίλ’ όταν υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα ευάλωτων φυσικών προσώπων, ιδίως παιδιών’ ή όταν η επεξεργασία περιλαμβάνει μεγάλη ποσότητα δεδομένων προσωπικού χαρακτήρα και επηρεάζει μεγάλο αριθμό υποκειμένων των δεδομένων.»

Προς περαιτέρω καθοδήγηση, το ΕΣΠΔ έχει υιοθετήσει τις «Κατευθυντήριες γραμμές για την εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο» για τους σκοπούς του κανονισμού 2016/679.» (WP 248 αναθ. 01) που εκδόθηκαν από την Ο.Ε. του άρ. 29 (εφεξής κατευθυντήριες γραμμές ΕΑΠΔ). Στο κείμενο αυτό επισημαίνεται ότι «Το άρθρο 35 κάνει λόγο για ενδεχόμενο υψηλό κίνδυνο «για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων». Όπως προκύπτει από τη δήλωση της ομάδας εργασίας του άρθρου 29 για την προστασία των δεδομένων αναφορικά με τον ρόλο μιας προσέγγισης βάσει κινδύνου στο νομικό πλαίσιο της προστασίας δεδομένων, η παραπομπή «στα δικαιώματα και στις ελευθερίες» των υποκειμένων των δεδομένων αφορά πρωτίστως τα δικαιώματα προστασίας των δεδομένων και της ιδιωτικής ζωής, ενδέχεται όμως να συμπεριλαμβάνει και άλλα θεμελιώδη δικαιώματα, όπως την ελευθερία του λόγου, την ελευθερία της σκέψης, την ελευθερία κυκλοφορίας, την απαγόρευση των διακρίσεων, το δικαίωμα στην ελευθερία, την ελευθερία συνειδήσεως και θρησκείας.»

Σε σχέση με την προβλεπόμενη στο άρθρο 35 παρ. 9 του ΓΚΠΔ εμπλοκή των υποκειμένων των δεδομένων το εν λόγω κείμενο αναφέρει: «Ο υπεύθυνος επεξεργασίας οφείλει, «όποτε ενδείκνυται», να «ζητεί τη γνώμη των υποκειμένων των δεδομένων ή των εκπροσώπων τους» (άρθρο 35 παράγραφος 9). Η ομάδα εργασίας του άρθρου 29 θεωρεί ότι:

  • οι εν λόγω γνώμες θα μπορούσαν να ζητηθούν με διάφορα μέσα, ανάλογα με το πλαίσιο (π.χ. με γενική μελέτη που σχετίζεται με τον σκοπό και τα μέσα της πράξης επεξεργασίας, με ερώτημα προς τους εκπροσώπους των εργαζομένων ή με συνήθεις έρευνες που αποστέλλονται στους μελλοντικούς πελάτες του υπεύθυνου επεξεργασίας) διασφαλίζοντας ότι ο υπεύθυνος επεξεργασίας έχει νόμιμη βάση επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που διακυβεύονται όταν ζητούνται οι εν λόγω γνώμες. Παρά ταύτα, θα πρέπει να σημειωθεί ότι η συναίνεση στην επεξεργασία προφανώς δεν αποτελεί μέσο αναζήτησης της γνώμης των υποκειμένων των δεδομένων·

  • εάν η τελική απόφαση του υπεύθυνου επεξεργασίας διαφέρει από τη γνώμη των υποκειμένων των δεδομένων, τότε θα πρέπει να τεκμηριώνει τους λόγους για τους οποίους αποφάσισε να συνεχίσει ή όχι·

  • ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να τεκμηριώνει τον λόγο για τον οποίο δεν ζήτησε τη γνώμη των υποκειμένων των δεδομένων, εφόσον αποφασίζει ότι δεν ενδείκνυται, για παράδειγμα εάν κάτι τέτοιο θα διακινδύνευε την εμπιστευτικότητα των επιχειρηματικών σχεδίων της εταιρείας ή θα ήταν δυσανάλογο ή μη εφαρμόσιμο.

Τέλος, συνιστά ορθή πρακτική ο καθορισμός και η τεκμηρίωση άλλων ειδικών ρόλων και αρμοδιοτήτων, ανάλογα με την εσωτερική πολιτική, τις διαδικασίες και τους κανόνες, π.χ.:

  • όποτε συγκεκριμένες επιχειρηματικές μονάδες προτείνουν τη διενέργεια ΕΑΠΔ, τότε θα πρέπει να εισφέρουν δεδομένα στην ΕΑΠΔ και να μετέχουν στη διαδικασία επικύρωσής της·

  • όποτε ενδείκνυται, συνιστάται να ζητείται η γνώμη ανεξάρτητων εμπειρογνωμόνων από διαφορετικά επαγγέλματα (από δικηγόρους, ειδικούς τεχνολογίας πληροφοριών, εμπειρογνώμονες σε θέματα ασφαλείας, δεοντολογίας, κοινωνιολόγους κ.ο.κ.).

  • οι ρόλοι και οι αρμοδιότητες των εκτελούντων την επεξεργασία πρέπει να ορίζονται συμβατικά· και η ΕΑΠΔ πρέπει να διενεργείται με τη συνδρομή του εκτελούντος την επεξεργασία, λαμβανομένης υπόψη της φύσης της επεξεργασίας και των πληροφοριών που διαθέτει ο εκτελών την επεξεργασία [άρθρο 28 παράγραφος 3 στοιχείο στ)] ·

  • ο υπεύθυνος ασφάλειας πληροφοριών (ΥΑΠ), εφόσον έχει οριστεί, καθώς και ο υπεύθυνος προστασίας δεδομένων (ΥΠΔ) θα μπορούσαν να προτείνουν τη διενέργεια ΕΑΠΔ από τον υπεύθυνο επεξεργασίας σε συγκεκριμένη πράξη επεξεργασίας και θα πρέπει να συνδράμουν τους ενδιαφερόμενους παράγοντες στη μεθοδολογία, να συνδράμουν στην αξιολόγηση της ποιότητας της εκτίμησης κινδύνου και στον καθορισμό του κατά πόσον ο υπολειπόμενος κίνδυνος είναι αποδεκτός και στην ανάπτυξη ειδικής γνώσης σε σχέση με το πλαίσιο του υπεύθυνου επεξεργασίας·

  • ο υπεύθυνος ασφάλειας πληροφοριών (ΥΑΠ), εφόσον έχει οριστεί, και/ή το τμήμα τεχνολογίας πληροφοριών, θα πρέπει να παράσχουν συνδρομή στον υπεύθυνο επεξεργασίας και θα μπορούσαν να προτείνουν τη διενέργεια ΕΑΠΔ σε συγκεκριμένη πράξη επεξεργασίας ανάλογα με τις λειτουργικές ανάγκες ή τις ανάγκες ασφαλείας. »

Σύμφωνα με τη διάταξη του άρθρου 63 του ν. 4686/2020 (Α’ 96):

«Παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης

  1. Είναι δυνατή η, κατά παρέκκλιση κάθε άλλης διάταξης, παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης με χρήση μέσων τεχνολογίας σε μαθητές πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης που δεν δύνανται να παρακολουθήσουν δια ζώσης την εκπαιδευτική διαδικασία είτε λόγω καθολικής ή μερικής αναστολής ή απαγόρευσης λειτουργίας εκπαιδευτικής δομής είτε για άλλον λόγο που ανάγεται σε έκτακτο ή απρόβλεπτο γεγονός. Η ταυτόχρονη διδασκαλία σε μαθητές οι οποίοι συμμετέχουν στο μάθημα με φυσική παρουσία και σε άλλους μαθητές οι οποίοι συμμετέχουν εξ αποστάσεως επιτρέπεται μόνο σε περίπτωση επιδημικών νόσων. Σκοπός της παρεχόμενης δυνατότητας όλων των ανωτέρω περιπτώσεων είναι αποκλειστικά η παροχή εκπαίδευσης.

  2. Στο πλαίσιο της διαδικασίας της παραγράφου 1, δεν επιτρέπεται η καταγραφή και αποθήκευση του παραδιδόμενου μαθήματος, παρά μόνον η ζωντανή μετάδοση ήχου ή/και εικόνας σε πραγματικό χρόνο για τον ανωτέρω συγκεκριμένο σκοπό. Τα μεταδεδομένα που τυχόν παράγονται στο ίδιο ως άνω πλαίσιο διατηρούνται για συγκεκριμένο εύλογο χρονικό διάστημα, όπως αυτό προσδιορίζεται στο πλαίσιο επεξεργασίας των συγκεκριμένων δεδομένων, μετά την πάροδο του οποίου καταστρέφονται. Η επεξεργασία των εν λόγω μεταδεδομένων επιτρέπεται αποκλειστικά για σκοπούς ερευνητικούς ή στατιστικούς. Υπεύθυνος επεξεργασίας δεδομένων κατά την έννοια του άρθρου 4 του Κανονισμού (ΕΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων, «Γ.Κ.Π.Δ.») είναι:

α) για όλες τις εκπαιδευτικές δομές της πρωτοβάθμιας και της δευτεροβάθμιας δημόσιας εκπαίδευσης το Υπουργείο Παιδείας και Θρησκευμάτων και

β) για όλες τις εκπαιδευτικές δομές της πρωτοβάθμιας και της δευτεροβάθμιας ιδιωτικής εκπαίδευσης το πρόσωπο, φυσικό ή νομικό, ή άλλου είδους νομική οντότητα ανεξαρτήτως νομικής προσωπικότητας στα οποία έχει χορηγηθεί η άδεια λειτουργίας της αντίστοιχης ιδιωτικής εκπαιδευτικής δομής.

  1. Με απόφαση του Υπουργού Παιδείας και Θρησκευμάτων, η οποία εκδίδεται μετά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (Ε.Α.Π.Δ.) σύμφωνα με τα άρθρα 35 παράγραφος 1 του Γ.Κ.Π.Δ. και 65 του ν. 4624/2019 (Α ‘ 137), ορίζονται και ρυθμίζονται ο τρόπος και τα μέσα τεχνολογίας που χρησιμοποιούνται για την υλοποίηση της εξ αποστάσεως εκπαίδευσης στις περιστάσεις αυτές, ο τρόπος συμμετοχής των εκπαιδευτικών και των μαθητών σε αυτήν, οι όροι και οι προϋποθέσεις διενέργειας της διαδικασίας, συμπεριλαμβανομένων τυχόν οργανωτικών ή/και τεχνικών μέτρων προς διασφάλιση της προστασίας των προσωπικών δεδομένων των συμμετεχόντων, καθώς και κάθε άλλη λεπτομέρεια για την εφαρμογή του παρόντος.»

Με την από 10/08/2020 ΠΝΠ (ΦΕΚ Α 157) το άρθρο 63 του ν. 4686/2020 τροποποιήθηκε ως εξής:

«Άρθρο δέκατο έβδομο

Παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης

Το πρώτο εδάφιο της παρ. 1 του άρθρου 63 του ν. 4686/2020 (Α’ 96) αντικαθίσταται ως εξής: «Παρέχεται, κατά παρέκκλιση κάθε άλλης διάταξης και υπό τους ειδικότερους όρους, τις προϋποθέσεις και την έκταση που αποφασίζονται κατά περίπτωση από τον Υπουργό Παιδείας και Θρησκευμάτων, σύγχρονη εξ αποστάσεως εκπαίδευση με χρήση μέσων τεχνολογίας σε μαθητές πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης που δεν δύνανται να παρακολουθήσουν διά ζώσης την εκπαιδευτική διαδικασία είτε λόγω καθολικής ή μερικής αναστολής ή απαγόρευσης ή εκ περιτροπής λειτουργίας εκπαιδευτικής δομής είτε για άλλο λόγο που ανάγεται σε έκτακτο ή απρόβλεπτο γεγονός.».

Τέλος με την υπ’ αριθ. 57233/Υ1 από 15.05.20 Κοινή Απόφαση της Υπουργού και της Υφυπουργού Παιδείας και Θρησκευμάτων (ΦΕΚ Β’ 1859/15.05.2020) προβλέφθηκε η δυνατότητα παροχής σύγχρονης εξ αποστάσεως εκπαίδευσης στις σχολικές μονάδες πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης μέχρι τη λήξη του σχολικού έτους 2019-2020 και ρυθμίστηκαν: α) τα ειδικότερα ζητήματα σχετικά με τον τρόπο και τα μέσα υλοποίησης της εξ αποστάσεως εκπαίδευσης τον τρόπο συμμετοχής των εκπαιδευτικών και των μαθητών σε αυτήν, καθως και β) οι όροι και οι προϋποθέσεις διενέργειας της διαδικασίας, συμπεριλαμβανομένων τυχόν οργανωτικών ή/και τεχνικών μέτρων προς διασφάλιση της προστασίας των προσωπικών δεδομένων των συμμετεχόντων.
2.1. Επί της νομιμότητας της σκοπούμενης επεξεργασίας

Στην κρινόμενη περίπτωση, ο σκοπός που επιδιώκεται με την υπό εξέταση επεξεργασία είναι ρητώς και σαφώς καθορισμένος στον νόμο και ειδικότερα στην παρ. 1 του άρθρου 63 του ν. 4686/20, σύμφωνα με την οποία, ο αποκλειστικός σκοπός της εξεταζόμενης επεξεργασίας είναι η παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης με χρήση μέσων τεχνολογίας σε μαθητές πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης που δεν δύνανται να παρακολουθήσουν δια ζώσης την εκπαιδευτική διαδικασία είτε λόγω καθολικής ή μερικής αναστολής ή απαγόρευσης λειτουργίας εκπαιδευτικής δομής είτε για άλλον λόγο που ανάγεται σε έκτακτο ή απρόβλεπτο γεγονός. Η ταυτόχρονη διδασκαλία σε μαθητές οι οποίοι συμμετέχουν εξ αποστάσεως επιτρέπεται μόνον σε περίπτωση επιδημικών νόσων.

Σημειώνεται ότι στην προαναφερόμενη υπ’ αριθ. 57233/Υ1 από 15.05.20 Υπουργική Απόφαση – της οποίας η ισχύς έληξε το τέλος του σχολικού έτους 20192020 – αναφέρεται ότι τα προσωπικά δεδομένα των μαθητών/τριων, γονέων ή/και κηδεμόνων, συγκεκριμένα η διεύθυνση ηλεκτρονικής αλληλογραφίας αυτών, αποτελούν αντικείμενο επεξεργασίας από τη σχολική μονάδα λόγω της ιδιότητάς τους ως μαθητών/τριών ή/και γονέων ή κηδεμόνων και της σχέσης τους, αντίστοιχα, με το ελληνικό δημόσιο ή με ιδιωτική σχολική μονάδα, η επεξεργασία δε αυτή είναι αναγκαία για την εκπλήρωση των σκοπών και υποχρεώσεων του ελληνικού δημοσίου ή ιδιωτικού εκπαιδευτικού φορέα για τη διασφάλιση της απρόσκοπτης λειτουργίας της εκπαιδευτικής δραστηριότητας κατά την περίοδο εφαρμογής των έκτακτων μέτρων για την αντιμετώπιση του κορωνοϊού COVID-19 (παρ. 5 περ, β’). Σύμφωνα με τα προβλεπόμενα στην υπουργική αυτή απόφαση (παρ. 7), σκοπός επεξεργασίας των δεδομένων αυτών είναι το δημόσιο αγαθό της παροχής εκπαίδευσης υπό καταστάσεις εκτάκτου ανάγκης, όπως είναι η πανδημία του COVID-19, η νόμιμη δε βάση επεξεργασίας των εν λόγω δεδομένων είναι το άρθρο 6 παρ. 1 στοιχ. γ’ (συμμόρφωση σε έννομη υποχρέωση) και ε’ (εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ) του ΓΚΠΔ.

Το υπό εξέταση μέτρο της σύγχρονης εξ αποστάσεως εκπαίδευσης είναι απολύτως συμβατό με τη βασική αποστολή του Κράτους, όπως αυτή απορρέει από τις διατάξεις του άρθρου 16 του Σ., είναι δε πρόσφορο για τη διατήρηση της σχέσης εκπαιδευτικού-μαθητή και αναγκαίο εν μέσω υγειονομικής κρίσης, καθώς η χρήση ηπιότερων μεσων, όπως η ασύγχρονη τηλεκπαίδευση, δεν είναι δυνατόν εκ της φύσεώς της να έχει τα ίδια αποτελέσματα.

Κατά συνέπεια, σύμφωνα με τα προαναφερόμενα, η επεξεργασία την οποία συνεπάγεται καταρχήν η παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης δεν αντίκειται στη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, εφόσον ο σκοπός που εξυπηρετείται με τη συγκεκριμένη επεξεργασία είναι νόμιμος, δεν καταγράφονται προσωπικά δεδομένα εικόνας και ήχου από τις τηλεδιασκέψεις και δεν επιβάλλεται η υποχρέωση τηλεδιδασκαλίας πριν τη σχετική απόφαση του Υπουργού.

2.2 Επί της ΕΑΠΔ

Α. Σε σχέση με την αναγκαιότητα και την αναλογικότητα των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς

Η ΕΑΠΔ περιέχει στην ενότητα 2.4, σύμφωνα και με τη σχετική υποχρέωση του υπευθύνου επεξεργασίας με βάση το άρθρο 35 παρ. 7 β) του ΓΚΠΔ, κρίση για την αναγκαιότητα και την αναλογικότητα των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς της διαδικασίας εξ αποστάσεως εκπαίδευσης.

Ο υπεύθυνος επεξεργασίας, σε σχέση με την καταλληλόλητα του μέτρου, εξετάζει, ως ηπιότερο μέτρο, την πραγματοποίηση από τους μαθητές εργασιών, κρίνοντας ότι δεν είναι καταλληλότερο μέτρο. Σε σχέση με την επέμβαση στη διαδραστική παιδαγωγική σχέση, η οποία επισημαίνεται ότι αποτελεί το κυριότερο εργαλείο για τη πραγμάτωση του δικαιώματος στην εκπαίδευση, στην ΕΑΠΔ κρίνεται ότι, καθώς η ζωντανή μετάδοση του μαθήματος γίνεται σε εξαιρετικές περιστάσεις, όπως αυτή της πανδημίας, με τη λήψη μέτρων, τα συγκρουόμενα συνταγματικά αγαθά, βρίσκονται σε αρμονία.

Κατά τη γνώμη της Αρχής, η ορθότητα της κρίσης αυτής είναι προφανής, στην περίπτωση της «κλασσικής» σύγχρονης τηλεκπαίδευσης σε καιρό πανδημίας, όταν δεν υπάρχει η δυνατότητα λειτουργίας της τάξης σε σχολική αίθουσα. Στην περίπτωση αυτή, η επιλογή του υπευθύνου επεξεργασίας είναι μεταξύ μοντέλων ασύγχρονης και σύγχρονης εξ αποστάσεως εκπαίδευσης. Συνεπώς, η χρήση σύγχρονης τηλεκπαίδευσης η οποία παρέχει τη δυνατότητα επικοινωνίας, και ικανοποιητικού βαθμού διάδρασης, δεδομένων των συνθηκών, ικανοποιεί την αρχή της αναλογικότητας.

Διαφορετικό ζήτημα αποτελεί η κρίση σε σχέση με την αναλογικότητα του μέτρου στην περίπτωση της «ταυτόχρονης» μετάδοσης του μαθήματος της σχολικής αίθουσας σε μαθητές οι οποίοι απουσιάζουν. Στην ΕΑΠΔ δεν διαφοροποιείται η συγκεκριμένη μέθοδος, ως μια διαφορετική μορφή επεξεργασίας αν και εξετάζονται κάποιες από τις παραμέτρους της. Όμως, στην περίπτωση αυτή, η επέμβαση στο δικαίωμα της εκπαίδευσης των μαθητών οι οποίοι βρίσκονται στην αίθουσα, εξ αιτίας της μετάδοσης του μαθήματος στους μαθητές που απουσιάζουν, αποτελεί ένα παράγοντα που δεν έχει εξετασθεί, αν και ενδέχεται να επηρεάζει σε σημαντικό βαθμό την κρίση για την αναγκαιότητα και την αναλογικότητα της επεξεργασίας. Σε αυτή τη μορφή της εκπαίδευσης, ο εκπαιδευτικός οφείλει, κατά τη διάρκεια μιας συνεδρίας και ταυτόχρονα με την παρουσία του στην σχολική αίθουσα, να εκτελεί μια σειρά από ενέργειες που διαφοροποιούν ουσιωδώς τον τρόπο εκπαίδευσης. Για παράδειγμα, ο εκπαιδευτικός οφείλει να ελέγχει τη συσκευή μετάδοσης ήχου/εικόνας, να επιτρέπει την εισαγωγή μαθητών στην τάξη, να ανοίγει/κλείνει ήχο και εικόνα, να είναι σε θέση να περιορίσει τον ήχο σε περίπτωση που κάποιος μαθητής μιλήσει, να επαναλαμβάνει ερωτήσεις ή απαντήσεις μαθητών κλπ.

Μάλιστα, θα πρέπει να συνυπολογίζεται η διαφοροποίηση των αναγκών και των συνθηκών ανά βαθμίδα εκπαίδευσης (και ίσως ανά ομάδα τάξεων, π.χ. Α-Β Δημοτικού, Γ-Δ κλπ). Συνεπώς απαιτείται μελέτη περισσότερων εναλλακτικών λύσεων/μεθόδων και προσδιορισμός ειδικών μέτρων και τεχνικών (συμπεριλαμβανομένων των εκπαιδευτικών μεθόδων) για την ελαχιστοποίηση των επιπτώσεων στα δικαιώματα των υποκειμένων των δεδομένων, προσαρμοσμένων ανά ηλικιακή ομάδα, για την τεκμηρίωση της αναγκαιότητας και αναλογικότητας.

Β. Εμπλοκή των υποκειμένων των δεδομένων και κατάλληλων εμπειρογνωμόνων

Για την υλοποίηση της ΕΑΠΔ δεν ζητήθηκε η γνώμη των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία. Όπως απαιτείται, σύμφωνα με τις προαναφερθείσες κατευθυντήριες γραμμές, στην ΕΑΠΔ παρατίθεται αιτιολόγηση για την εν λόγω παράλειψη, με την εξής αναφορά:

«1. Η χρονική περίοδος κατά την οποία εκπονήθηκε η παρούσα είναι ιδιαιτέρως κρίσιμη, καθώς συμπίπτει αφενός με την επαναλειτουργία των σχολικών μονάδων μετά τη λήξη της προσωρινής απαγόρευσης λειτουργίας τους λόγω της πανδημίας Covid_19 και αφετέρου με την προετοιμασία της διεξαγωγής των Πανελλαδικών Εξετάσεων και τη λήξη του διδακτικού έτους. Επομένως, η διαβούλευση κρίνεται, κατά τη σύνταξη της παρούσης, μη εφαρμόσιμη για λόγους ουσιαστικού δημοσίου συμφέροντος.
2. Η παρούσα ΕΑΠΔ περιέχει, μεταξύ άλλων, ειδικό κεφάλαιο με τα μέτρα που έχει λάβει το ΥΠΑΙΘ για την απρόσκοπτη και ασφαλή διεξαγωγή της επεξεργασίας, τα οποία πρέπει να παραμείνουν εμπιστευτικά.

  1. Στην παρούσα περιγράφονται τα μέτρα προστασίας ΠΔ που εφαρμόζει η Cisco, τα οποία συνδέονται άρρηκτα με τον σχεδιασμό και την καθ’αυτό λειτουργία της εφαρμογής «Webex Meetings». Η αποκάλυψη τέτοιου είδους πληροφοριών σε ένα τόσο μεγάλο πλήθος Υποκειμένων δημιουργεί σοβαρούς κινδύνους εμπιστευτικότητας και επιχειρηματικού απορρήτου.»

Σημειώνεται μάλιστα ότι «παρά το γεγονός πως από την παρούσα συνάγεται ότι η δραστηριότητα επεξεργασίας δεν συνεπάγεται μη διαχειρίσιμους, υψηλούς κινδύνους για τα δικαιώματα και τις ελευθερίες των Υποκειμένων, το ΥΠΑΙΘ εξετάζει το ενδεχόμενο διαβούλευσης με τα εμπλεκόμενα μέρη μετά το τέλος του διδακτικού έτους στο πλαίσιο κατάρτισης πολιτικής προστασίας για την περίπτωση που το μέτρο της τηλεκπαίδευσης απαιτηθεί εκ νέου στις εξαιρετικές περιπτώσεις που προβλέπει η νομοθεσία.»

Η ΕΑΠΔ φαίνεται να υλοποιήθηκε σε εξαιρετικά σύντομο χρόνο, στο πλαίσιο των έκτακτων συνθηκών που δημιουργήθηκαν λόγω της πανδημίας. Η κατάθεση της τροπολογίας πραγματοποιήθηκε στις 08/05/2020, η διάταξη δημοσιεύθηκε σε ΦΕΚ στις 12/05/2020 ενώ η ΕΑΠΔ και η επακόλουθη Υ.Α. υπ’ αριθμ. 57233/Υ1 (ΦΕΚ B 1859) εκδόθηκαν στις 15.05.2020. Το επιχείρημα ότι ήταν επείγουσα ανάγκη προβάλλεται, κατ’ αρχήν, βάσιμα, χωρίς όμως αυτό να παρέχει επαρκή αιτιολόγηση για την παράκαμψη της διαδικασίας λήψης γνώμης των υποκειμένων των δεδομένων.

Τα επιχειρήματα με αριθμό 2 και 3 του υπευθύνου επεξεργασίας, δεν είναι βάσιμα. Τα μέτρα που έχει λάβει το ΥΠΑΙΘ για την απρόσκοπτη και ασφαλή διεξαγωγή της επεξεργασίας και τα οποία υποστηρίζει ότι πρέπει να παραμείνουν εμπιστευτικά, περιλαμβάνουν κυρίως οργανωτικά και λιγότερο τεχνικά μέτρα, τα οποία είτε είναι ήδη δημόσια γνωστά μέσω των εγκυκλίων του Υπουργείου είτε αποτελούν τυπική πρακτική κατά τη λήψη μέτρων σε αντίστοιχες περιπτώσεις, ώστε να μην τίθεται κανένα θέμα διακινδύνευσης. Όσον αφορά τα μέτρα προστασίας προσωπικών δεδομένων τα οποία εφαρμόζει η Cisco, αυτά βασίζονται στις ήδη δημοσιευμένες πρακτικές της εταιρείας (π.χ. Cisco Webex Meetings Privacy Data Sheet, δημόσια διαθέσιμα στο https://trustportal.cisco.com), χωρίς να μπορεί να τεκμηριωθεί θέμα εμπιστευτικότητας ή επιχειρηματικού απορρήτου.

Όπως προκύπτει από το ιστορικό της υπόθεσης, η επεξεργασία αφορά μεγάλο αριθμό ευάλωτων υποκειμένων (μαθητών και εργαζομένων) ενώ, έμμεσα ή άμεσα, επηρεάζεται και το οικογενειακό περιβάλλον των μαθητών. Τα επηρεαζόμενα δικαιώματα συνδέονται με την εκπαίδευση και την υγεία, και όχι μόνο στενά με την προστασία των δεδομένων προσωπικού χαρακτήρα. Συνεπώς, ο υπεύθυνος επεξεργασίας που προτίθεται να εισάγει μια καινοφανή λύση (ιδίως ως προς τη παράμετρο της «ταυτόχρονης» τηλεκπαίδευσης) οφείλει να ακολουθεί συστηματική προσέγγιση ως προς τον εντοπισμό και την αντιμετώπιση των κινδύνων. Απαραίτητο στοιχείο της προσέγγισης αυτής είναι η εμπλοκή των υποκειμένων των δεδομένων, τα οποία επηρεάζονται άμεσα ή έμμεσα, αλλά και κατάλληλων εμπειρογνωμόνων.

Η Αρχή επισημαίνει ότι η εμπλοκή των υποκειμένων της επεξεργασίας και των εμπείρων φορέων στο στάδιο σύνταξης της ΕΑΠΔ (όπως και η δημοσίευση της ΕΑΠΔ ή μέρους αυτής), έχει ως αποτέλεσμα αυξημένη διαφάνεια και εν τέλει, μπορεί να οδηγήσει σε αυξημένη εμπιστοσύνη1 των υποκειμένων των δεδομένων στις πράξεις επεξεργασίας και την απόδειξη της διαφάνειας και της λογοδοσίας (και εν προκειμένω σε αυξημένη χρήση των διαδικασιών σύγχρονης τηλεκπαίδευσης).

Περαιτέρω, με δεδομένο ότι η ΕΑΠΔ είναι ένα «ζωντανό» κείμενο (όπως άλλωστε αναφέρεται και στο κείμενο της ΕΑΠΔ) η διαδικασία διατύπωσης γνώμης των υποκειμένων (ή των εκπροσώπων τους) θα μπορούσε να έχει αρχικά συντμηθεί, λόγω του επείγοντος χαρακτήρα, αλλά θα έπρεπε να έχει συνεχιστεί συστηματικότερα σε επόμενο στάδιο.
Γ. Μεθοδολογία ΕΑΠΔ. Προσδιορισμός, ανάλυση κινδύνων και μέτρων αντιμετώπισης αυτών

Το Υ.ΠΑΙ.Θ., λαμβάνοντας υπόψη το άρθρο 35 του ΓΚΠΔ και το άρθρο 63 του ν. 4686/2020 διενήργησε εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) για τις δραστηριότητες επεξεργασίας που συνδέονται με την παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης. Καθώς, σύμφωνα με την κρίση του υπεύθυνου επεξεργασίας, η επεξεργασία δεν θα προκαλούσε υψηλό κίνδυνο, μετά και τη λήψη των μέτρων μετριασμού του κινδύνου, και για τον λόγο αυτό δεν πραγματοποιήθηκε διαβούλευση με την Αρχή, η οποία απαιτείται, με βάση το άρθρο 36 παρ. 1 του ΓΚΠΔ, μόνον όταν η ΕΑΠΔ υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού. Επισημαίνεται όμως, ότι από τα προσκομισθέντα στοιχεία δεν προκύπτει με βεβαιότητα η ημερομηνία εκτέλεσης και ολοκλήρωσης της ΕΑΠΔ, αφού στο κείμενο που έχει κατατεθεί στην Αρχή δεν έχει τεθεί έγγραφη ή ηλεκτρονική σήμανση (π.χ. αρ. πρωτοκόλλου, ηλεκτρονική υπογραφή κλπ). Σημειώνεται ότι ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει τον χρόνο εκπόνησης και ολοκλήρωσης της ΕΑΠΔ.

Η προσκομισθείσα ΕΑΠΔ, ακολουθεί μεθοδολογία που φαίνεται να βασίζεται στις κατευθυντήριες γραμμές του ΕΣΠΔ και εποπτικών αρχών (ιδίως των CNIL και ICO). Όμως, από το κείμενο της ΕΑΠΔ δεν προκύπτει με ποιο τρόπο έχει εφαρμοστεί η μεθοδολογία και έχει εκπονηθεί η ΕΑΠΔ, ώστε να είναι σαφές ότι η μελέτη είναι πλήρης. Συγκεκριμένα, από την ΕΑΠΔ δεν προκύπτει ποια άτομα και με ποιο τρόπο, έχουν εμπλακεί για την εκτέλεση της ΕΑΠΔ και συγκεκριμένα για ενέργειες που είναι απαραίτητες για την εκπόνησή της και περιλαμβάνουν την ανάλυση των χαρακτηριστικών της επεξεργασίας, τον προσδιορισμό των πηγών των κινδύνων, των δυνητικών επιπτώσεων στα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, την εξακρίβωση πιθανών απειλών, τον καθορισμό μέτρων αντιμετώπισης των κινδύνων ή την αποδοχή αυτών.

Σημειώνεται ότι στις κατευθυντήριες γραμμές ΕΑΠΔ γίνεται ειδική αναφορά για τον τομέα αυτό:

«Τέλος, συνιστά ορθή πρακτική ο καθορισμός και η τεκμηρίωση άλλων ειδικών ρόλων και αρμοδιοτήτων, ανάλογα με την εσωτερική πολιτική, τις διαδικασίες και τους κανόνες, π.χ.:

  • όποτε ενδείκνυται, συνιστάται να ζητείται η γνώμη ανεξάρτητων εμπειρογνωμόνων από διαφορετικά επαγγέλματα (από δικηγόρους, ειδικούς τεχνολογίας πληροφοριών, εμπειρογνώμονες σε θέματα ασφαλείας, δεοντολογίας, κοινωνιολόγους κ.ο.κ.).

  • οι ρόλοι και οι αρμοδιότητες των εκτελούντων την επεξεργασία πρέπει να ορίζονται συμβατικά· και η ΕΑΠΔ πρέπει να διενεργείται με τη συνδρομή του εκτελούντος την επεξεργασία, λαμβανομένης υπόψη της φύσης της επεξεργασίας και των πληροφοριών που διαθέτει ο εκτελών την επεξεργασία [άρθρο 28 παράγραφος 3 στοιχείο στ)] ·

  • ο υπεύθυνος ασφάλειας πληροφοριών (ΥΑΠ), εφόσον έχει οριστεί, καθώς και ο υπεύθυνος προστασίας δεδομένων (ΥΠΔ) θα μπορούσαν να προτείνουν τη διενέργεια ΕΑΠΔ από τον υπεύθυνο επεξεργασίας σε συγκεκριμένη πράξη επεξεργασίας και θα πρέπει να συνδράμουν τους ενδιαφερόμενους παράγοντες στη μεθοδολογία, να συνδράμουν στην αξιολόγηση της ποιότητας της εκτίμησης κινδύνου και στον καθορισμό του κατά πόσον ο υπολειπόμενος κίνδυνος είναι αποδεκτός και στην ανάπτυξη ειδικής γνώσης σε σχέση με το πλαίσιο του υπεύθυνου επεξεργασίας·

  • ο υπεύθυνος ασφάλειας πληροφοριών (ΥΑΠ), εφόσον έχει οριστεί, και/ή το τμήμα τεχνολογίας πληροφοριών, θα πρέπει να παράσχουν συνδρομή στον υπεύθυνο επεξεργασίας και θα μπορούσαν να προτείνουν τη διενέργεια ΕΑΠΔ σε συγκεκριμένη πράξη επεξεργασίας ανάλογα με τις λειτουργικές ανάγκες ή τις ανάγκες ασφαλείας»

Το τμήμα της ΕΑΠΔ, στο οποίο γίνεται η τελική εκτίμηση των πράξεων επεξεργασίας για τον προσδιορισμό αναγκαίων παρεμβάσεων είναι το κρισιμότερο για την πληρότητα της μελέτης, καθώς, όπως αναφέρεται στις σχετικές κατευθυντήριες γραμμές, πρέπει να τελούν υπό διαχείριση οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων (πρβλ. ΓΚΠΔ άρθρο 35 παρ. 7 γ). Προς τον σκοπό αυτό, στην ΕΑΠΔ (σελ. 5) αναφέρεται ότι «Ειδικός στόχος της παρούσας μελέτης είναι να αναγνωριστούν και να καταγραφούν οι κίνδυνοι για την ιδιωτικότητα και ειδικότερα για τα προσωπικά δεδομένα κατά την τηλεκπαίδευση.» Όπως έχει αναλυθεί παραπάνω, η εν λόγω αναφορά είναι ελλιπής, καθώς πρέπει να λαμβάνονται υπόψη οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων και όχι μόνο για την ιδιωτικότητα.

Εξάλλου, σε σχέση με την ανάλυση κινδύνων, επιπτώσεων και συνεπειών, στην ΕΑΠΔ εξετάζονται, συνοπτικά, οι εξής κίνδυνοι:

  1. Παράνομη πρόσβαση σε προσωπικά δεδομένα,

  2. Παράνομη καταγραφή προσωπικών δεδομένων,

  3. Αλλαγή / αλλοίωση προσωπικών δεδομένων (τροποποίηση),

  4. Αποκάλυψη πληροφοριών στους γονείς των μαθητών ή σε τρίτους,

  5. Ανισότητα μεταξύ μαθητών,

  6. Ακαδημαϊκή ελευθερία του εκπαιδευτικού,

  7. Ελεύθερη ανάπτυξη της προσωπικότητας των μαθητών.

Συνεπώς, φαίνεται ότι τελικά ο υπεύθυνος επεξεργασίας περιλαμβάνει μόνον τρεις κατηγορίες κινδύνων οι οποίοι σχετίζονται με δικαιώματα και ελευθερίες φυσικών προσώπων διαφορετικά από το δικαίωμα της προστασίας δεδομένων προσωπικού χαρακτήρα.

Στον πίνακα των σελ. 32-35 της ΕΑΠΔ παρουσιάζονται οι κίνδυνοι, οι επιπτώσεις τους, η πιθανότητα εμφάνισης και η πιθανότητα ο κίνδυνος να επιφέρει βλάβη. Στον εν λόγω πίνακα οι κίνδυνοι αναφέρονται χωρίς περαιτέρω ανάλυση, ενώ επίσης οι εκτιμήσεις του υπεύθυνου επεξεργασίας παρουσιάζονται άνευ περαιτέρω τεκμηρίωσης (με αριθμητικές τιμές και με επαρκή αιτιολόγηση) . Συνεπώς, σε καμία από τις παραπάνω κατηγορίες δεν αναλύεται επαρκώς, ο προσδιορισμένος κίνδυνος. Ομοίως, δεν αναλύεται ούτε τεκμηριώνεται επαρκώς η επιλογή σε σχέση με τη σοβαρότητα των συνεπειών στα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, τη σοβαρότητα των συνεπειών, την πιθανότητα εμφάνισης του κινδύνου και την πιθανότητα ο κίνδυνος να επιφέρει βλάβη.

Σημειώνεται ότι στις κατευθυντήριες γραμμές ΕΑΠΔ επισημαίνονται ως κριτήρια αποδοχής της, όσον αφορά στον συγκεκριμένο τομέα, τα εξής:

• «έχουν αξιολογηθεί η προέλευση, η φύση, η ιδιαιτερότητα και η σοβαρότητα των κινδύνων (πρβλ. αιτιολογική σκέψη 84) ή ειδικότερα κάθε κίνδυνος (αθέμιτη πρόσβαση, ανεπιθύμητη τροποποίηση, και εξαφάνιση δεδομένων) από την οπτική των υποκειμένων των δεδομένων·

• έχουν ληφθεί υπόψη οι πηγές των κινδύνων (αιτιολογική σκέψη 90)·

• εξακριβώνονται οι δυνητικές επιπτώσεις στα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων σε περιπτώσεις συμβάντων που περιλαμβάνουν αθέμιτη πρόσβαση, ανεπιθύμητη τροποποίηση και εξαφάνιση δεδομένων·

• εξακριβώνονται απειλές που θα μπορούσαν να επιφέρουν αθέμιτη πρόσβαση, ανεπιθύμητη τροποποίηση και εξαφάνιση δεδομένων·

• εκτιμώνται η πιθανότητα και η σοβαρότητα (αιτιολογική σκέψη 90)»

Περαιτέρω, η ΕΑΠΔ εκπονήθηκε σε σύντομο χρονικό διάστημα, όπως αναφέρεται ανωτέρω, ουδεμία δε αναφορά γίνεται στη μέθοδο προσδιορισμού των κινδύνων και στα πρόσωπα τα οποία συνέβαλλαν, με τη γνώμη τους ή εκ της αρμοδιότητάς τους, στην κατάρτιση του εν λόγω πίνακα. Υπενθυμίζεται ότι, με βάση τις κατευθυντήριες γραμμές, συνιστάται η εμπλοκή ανεξάρτητων εμπειρογνωμόνων από τα κατάλληλα επαγγέλματα, του εκτελούντος την επεξεργασία, του υπεύθυνου ασφάλειας πληροφοριών, εφόσον έχει οριστεί, και/ή του σχετικού τμήματος τεχνολογίας πληροφοριών. Στην προκειμένη περίπτωση, καθώς, όπως έχει ήδη αναφερθεί, εισάγεται μια καινοφανής διαδικασία, η οποία επηρεάζει δικαιώματα που δεν περιορίζονται στην προστασία των προσωπικών δεδομένων, είναι απαραίτητη η συμμετοχή κατάλληλων εμπειρογνωμόνων (ενδεικτικά: ακαδημαϊκοί φορείς, δημόσιοι φορείς εκπαιδευτικής πολιτικής κλπ.).

Ως επακόλουθο, ο «χάρτης κινδύνων» που παρουσιάζεται στην ΕΑΠΔ εμφανίζει μη τεκμηριωμένες, υποκειμενικές, εκτιμήσεις του υπεύθυνου επεξεργασίας. Συνεπώς, είναι απαραίτητο, στη διαδικασία προσδιορισμού, ανάλυσης κινδύνων και εντοπισμού μέτρων αντιμετώπισης αυτών να παρέχεται πλήρης ανάλυση των κινδύνων, ώστε να είναι κατανοητή από τον αναγνώστη της ΕΑΠΔ, η τεκμηρίωση των επιλογών του υπευθύνου επεξεργασίας για τις εκτιμήσεις που κάνει σε σχέση με τους δείκτες από τους οποίους προκύπτει, ακόμα κι αν οι εκτιμήσεις αυτές παραμένουν ως ένα βαθμό υποκειμενικές.

Επισημαίνεται ότι ακόμα και στους προσδιορισμένους κινδύνους, πολλές επιλογές του υπεύθυνου επεξεργασίας ενδέχεται να χρήζουν πληρέστερης αξιολόγησης. Ενδεικτικά: α) στον κίνδυνο 1 (Παράνομη πρόσβαση σε προσωπικά δεδομένα) η επιλογή ότι ο κίνδυνος είναι αμελητέος επειδή η τηλεδιάσκεψη πραγματοποιείται με πρόσκληση σε συγκεκριμένο αριθμό χρηστών δεν είναι αυτονοήτως ορθή καθώς: αα) όλοι οι μαθητές ενός εκπαιδευτικού γνωρίζουν την «προσωπική του τάξη», συνεπώς, ενδέχεται να δοκιμάσουν να συνδεθούν σε διαφορετικό χρόνο, αβ) η διεύθυνση της προσωπικής τάξης μπορεί να γίνει (ειδικά με την πάροδο του χρόνου) γνωστή και σε τρίτους, αγ) ο εκπαιδευτικός, με δεδομένο ότι ο μαθητής μπορεί να επιλέξει όποιο όνομα επιθυμεί, δεν γνωρίζει πάντα ποιος είναι ο χρήστης που ζητάει να συνδεθεί στην αίθουσα· β) στους κινδύνους 2 και 4 (αποκάλυψη πληροφοριών στους γονείς των μαθητών ή σε τρίτους) η σοβαρότητα των συνεπειών μπορεί, σε κάποιες περιπτώσεις, να είναι μεγάλη (ιδίως αν ληφθεί υπόψη ότι ενδέχεται να καταγραφούν ειδικές κατηγορίες δεδομένων) ενώ η πιθανότητα εμφάνισης του κινδύνου ενδέχεται να είναι ιδιαίτερα μεγαλύτερη, καθώς λόγω του μεγάλου αριθμού μαθητών μπορεί βασίμως να πιθανολογηθεί ότι κάποιοι γονείς/τρίτοι παρακολουθούν· γ) Η πιθανότητα εμφάνισης του κινδύνου της ανισότητας είναι μεγάλη καθώς είναι γνωστό ότι δεν διαθέτουν όλοι οι μαθητές και οι σχολικές μονάδες υποδομή σύνδεσης, ή την ίδια υποδομή σύνδεσης.

Περαιτέρω, από τους προσδιορισμένους κινδύνους φαίνεται να απουσιάζουν ή να μην αναλύονται επαρκώς μια σειρά από κινδύνους. Ενδεικτικά η Αρχή παραθέτει τους παρακάτω κινδύνους, οι οποίοι θα πρέπει να αντιμετωπισθούν:

Κίνδυνοι σχετιζόμενοι με την επέμβαση στην εκπαιδευτική διαδικασία, οι οποίοι επηρεάζουν το δικαίωμα στην εκπαίδευση. Απουσιάζει εκτίμηση και ανάλυση της επέμβασης ανά εκπαιδευτική βαθμίδα/τάξη, προσαρμοσμένη στις ιδιαιτερότητες των μαθητών. Για παράδειγμα, οι κίνδυνοι αυτοί μπορεί να αντιμετωπιστούν με την εισαγωγή ή χρήση νέων εκπαιδευτικών μεθόδων, την παροχή κατάλληλης εκπαίδευσης και επιμόρφωσης στους εκπαιδευτικούς, με τη συμβολή των κατάλληλων εκπαιδευτικών και ακαδημαϊκών φορέων.

Κίνδυνοι από τη χρήση εξοπλισμού που δεν βρίσκεται στην ευθύνη του υπευθύνου επεξεργασίας, ιδίως όσον αφορά στους εκπαιδευτικούς. Στο πλαίσιο αυτής της ανάλυσης θα πρέπει να εξεταστεί και το ζήτημα της χρήσης προσωπικής συσκευής για υπηρεσιακό σκοπό (πρβλ. και απόφαση 77/2018 της Αρχής). Περαιτέρω στην ΕΑΠΔ αναφέρεται ότι η πλατφόρμα και οι χρήστες δεν κινδυνεύουν από πιθανή ύπαρξη ιών σε τερματικό εξοπλισμό συγκεκριμένου χρήστη (σελ 16), χωρίς περαιτέρω τεκμηρίωση.

Κίνδυνοι από τις διαβιβάσεις δεδομένων εκτός Ε.Ε. Να σημειωθεί ότι όπως προκύπτει από την προσκομισθείσα σύμβαση, δεν αποκλείεται η πιθανότητα χρήσης κέντρου δεδομένων εκτός Ε.Ε., τουλάχιστον σε περίπτωση «βλάβης». Να σημειωθεί, ότι πλέον, ο υπεύθυνος επεξεργασίας οφείλει να μελετήσει την απόφαση C-311/18 του ΔΕΕ και να διασφαλίσει ότι δεν υπάρχει περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα εκτός Ε.Ε.2 Ο υπεύθυνος επεξεργασίας οφείλει να διερευνά το εφαρμοστέο νομικό καθεστώς στη χώρα του εισαγωγέα, ώστε να εξασφαλίζει την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων, σε κάθε περίπτωση. Τονίζεται ότι ο κίνδυνος αυτός ενδέχεται να υφίσταται στην περίπτωση χρήσης εταιρειών οι οποίες εμπίπτουν στη νομοθεσία των ΗΠΑ (π.χ. άρθρο 702 του νόμου FISA και εκτελεστικό διάταγμα EO 12333), ανεξάρτητα του τόπου τήρησης των δεδομένων.

Κίνδυνοι που απορρέουν από τους όρους της σύμβασης. Ειδικότερα, από τη μελέτη της σύμβασης, προκύπτει ότι κάποια δεδομένα διατηρούνται από τον εκτελούντα την επεξεργασία (Cisco). Τα δεδομένα αυτά περιλαμβάνουν δεδομένα που παράγονται κατά τη χρήση των υπηρεσιών· επισημαίνεται ότι η σύμβαση διασφαλίζει δεδομένα τα οποία «διαθέτει» το Υπουργείο στη Cisco, χωρίς να είναι σαφές αν σε αυτά περιλαμβάνονται και τα παραγόμενα δεδομένα χρηστών. Από τη σύμβαση3 προκύπτει σαφώς ότι τηρούνται, για επτά έτη, μια σειρά από δεδομένα προσωπικού χαρακτήρα, τα οποία περιλαμβάνουν τα δεδομένα εγγραφής, αλλά και ψευδώνυμα δεδομένα για σκοπούς «analytics» και μέτρησης απόδοσης. Επισημαίνεται ότι σύμφωνα με τους ορισμούς του ΓΚΠΔ, τα ψευδώνυμα δεδομένα αποτελούν προσωπικά δεδομένα και η άρση της ψευδωνυμοποίησης αποτελεί κίνδυνο ο οποίος πρέπει να αντιμετωπισθεί. Μάλιστα, στη σελ.19 της ΕΑΠΔ γίνεται αναφορά σε «Μεταδεδομένα αμιγώς τεχνικής φύσης μέσω των οποίων δεν καθίσταται ικανή η προσωπική ταυτοποίηση των χρηστών». Σημειώνεται επίσης ότι, υπό προϋποθέσεις, μπορεί να υπάρξει αναγνώριση υποκειμένων δεδομένων, π.χ. μέσω συσχέτισης των μεταδεδομένων με άλλες γνωστές πληροφορίες που αφορούν ένα υποκείμενο των δεδομένων. Περαιτέρω, ένας επιπλέον κίνδυνος απορρέει από την έλλειψη συμπλήρωσης, στη σύμβαση, του πεδίου το οποίο αφορά το πρόσωπο του υπεύθυνου επεξεργασίας, τον οποίο θα ενημερώσει η Cisco (ως εκτελούσα την επεξεργασία) σε περίπτωση περιστατικού παραβίασης (βλ. σελ. 7 του παραρτήματος Α).

Κίνδυνοι από τη χρήση τρίτων εκτελούντων την επεξεργασία (subprocessors), οι οποίοι δεν φαίνεται να έχουν προσδιοριστεί.

Επισημαίνεται ότι με βάση το άρθρο 28 παρ. 2 του ΓΚΠΔ, ο εκτελών την επεξεργασία δεν προσλαμβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας και σε περίπτωση γενικής γραπτής άδειας, όπως φαίνεται να ισχύει με την υφιστάμενη σύμβαση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούμενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας με τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.

Κίνδυνοι από τη χρήση προσωπικών ηλεκτρονικών διευθύνσεων των εκπαιδευτικών και τη διαβίβαση ηλεκτρονικά στη Cisco, ακόμα κι αν ένας εκπαιδευτικός δεν ενεργοποιήσει την τηλεκπαίδευση. Στο σύστημα «myschool» φαίνεται να συμπεριλαμβάνονται οι διευθύνσεις ηλεκτρονικού ταχυδρομείου (email) των εκπαιδευτικών χωρίς να είναι σαφές για ποιο σκοπό έχουν συλλεγεί. Περαιτέρω, καθώς οι εκπαιδευτικοί χρησιμοποιούν για επικοινωνία προσωπικά email (πολλές φορές) υπάρχει κίνδυνος για αυτούς. Π.χ. σκόπιμο θα ήταν όλες οι ενέργειες να γίνονται από τους λογαριασμούς του σχολικού δικτύου (email επικοινωνίας; @sch.gr).

Τέλος, επισημαίνεται ότι μετά τη διενέργεια της ΕΑΠΔ, πέραν των ήδη ληφθέντων τεχνικών και οργανωτικών μέτρων, ο υπεύθυνος επεξεργασίας κρίνει ότι δεν είναι απαραίτητη η λήψη περαιτέρω μέτρων με τη σκέψη ότι δεν υπολείπονται υψηλοί κίνδυνοι και, συνεπώς, δεν απαιτείται να λάβει άλλα μέτρα για τον περιορισμό αυτών.

Σύμφωνα με όσα προαναφέρθηκαν, ο στόχος της ΕΑΠΔ είναι να προσδιοριστούν μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον ΓΚΠΔ. Με βάση την αρχή της προστασίας των δεδομένων ήδη από τον σχεδιασμό (αρ. 25 παρ. 1 ΓΚΠΔ) ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα. Συνεπώς, ο υπεύθυνος οφείλει να ελαχιστοποιήσει κάθε κίνδυνο, τεκμηριώνοντας επαρκώς το συμπέρασμα ότι ένας υπολειπόμενος κίνδυνος, έστω και μη υψηλός, γίνεται αποδεκτός, δεδομένου ότι η ΕΑΠΔ χρησιμοποιείται για να περιορίσει το επίπεδο όλων των κινδύνων. Συνεπώς, απαιτείται κρίση για το αν απαιτούνται περαιτέρω μέτρα αντιμετώπισης κάθε κινδύνου, ακόμα κι αν αυτός δεν φαίνεται να είναι υψηλός. Επομένως, στην ΕΑΠΔ δεν τεκμηριώνεται ότι οι προσδιορισμένοι κίνδυνοι έχουν ελαχιστοποιηθεί και δεν απαιτείται προσδιορισμός κατάλληλων μέτρων.

Όσον αφορά στα λαμβανόμενα μέτρα μετριασμού των επιπτώσεων, η Αρχή επισημαίνει την υποχρέωση του υπευθύνου επεξεργασίας για αυξημένη διαφάνεια και δράσεις ενημέρωσης και ευαισθητοποίησης των εμπλεκομένων (εκπαιδευτικοί, μαθητές, οικογένεια) σε σχέση με τη διαδικασία τηλεκπαίδευσης και τα δεδομένα προσωπικού χαρακτήρα. Στη σελ. 21 της ΕΑΠΔ γίνεται αναφορά στις πληροφορίες που παρέχονται στα υποκείμενα των δεδομένων. Φαίνεται ότι ακολουθείται μια τυπική -υπηρεσιακή- πληροφόρηση η οποία βασίζεται, κυρίως στα κείμενα των εγκυκλίων. Σύμφωνα με όσα αναφέρονται στις κατευθυντήριες γραμμές του ΕΣΠΔ4 για τη διαφάνεια, απαιτείται ενημέρωση με κατάλληλο τρόπο, προσαρμοσμένη στα παιδιά και τις ευάλωτες ομάδες. Η παροχή κατάλληλης ενημέρωσης και προγραμμάτων ευαισθητοποίησης, σε εκπαιδευτικούς, αλλά κυρίως μαθητές και οικογένεια, μπορεί μάλιστα να λειτουργήσει ως ένα κατάλληλο μέτρο μετριασμού των επιπτώσεων των κινδύνων που σχετίζονται με μη νόμιμη διάδοση δεδομένων. Στην ΕΑΠΔ γίνεται αναφορά σε κατάρτιση κώδικα ορθής συμπεριφοράς5 / ευπρέπειας και σε αναλυτικές οδηγίες από τους εκπαιδευτικούς προς τους μαθητές, οι οποίες όμως δεν φαίνεται να έχουν καταρτιστεί.
Δ. Επιμέρους θέματα – παρατηρήσεις

Τέλος, η Αρχή, εξετάζοντας το κείμενο της ΕΑΠΔ επισημαίνει επιπλέον τα εξής σημεία για τα οποία είναι αναγκαίες βελτιώσεις:
1) Στη σελ. 37 της ΕΑΠΔ, η «επίσημη αποδοχή» της φαίνεται να γίνεται από την Υπεύθυνο Προστασίας Δεδομένων του Υπουργείου. Ειδικότερα, αναφέρεται ότι «εγκρίθηκαν τα μέτρα» και «παρασχέθηκε η συμβουλή της DPO». Επισημαίνεται ότι στα καθήκοντα του Υπευθύνου Προστασίας Δεδομένων (βλ. αρ. 39 ΓΚΠΔ) δεν περιλαμβάνεται η έγκριση της ΕΑΠΔ. Οι αποφάσεις, σε σχέση με τη λήψη μέτρων λαμβάνονται από τον υπεύθυνο επεξεργασίας με τη συμβουλή του Υπευθύνου Προστασίας Δεδομένων, ο οποίος δεν έχει αποφασιστική αρμοδιότητα. Σχετική αναφορά γίνεται και στο κείμενο των κατευθυντήριων γραμμών ΕΑΠΔ (σελ. 18) όπου αναφέρεται ότι : «…Ο υπεύθυνος επεξεργασίας πρέπει επίσης να ζητεί τη γνώμη του υπευθύνου προστασίας δεδομένων (ΥΠΔ), εφόσον έχει οριστεί (άρθρο 35 παράγραφος 2) και η γνώμη αυτή, καθώς και οι αποφάσεις του υπεύθυνου επεξεργασίας, θα πρέπει να τεκμηριώνονται στην ΕΑΠΔ. Ο ΥΠΔ θα πρέπει επίσης να παρακολουθεί την υλοποίηση της ΕΑΠΔ [άρθρο 39 παράγραφος 1 στοιχείο γ)]….» Επίσης, επισημαίνεται ότι τόσο η γνώμη της ΥΠΔ όσο και οι αποφάσεις του υπεύθυνου επεξεργασίας θα πρέπει να τεκμηριώνονται στην ΕΑΠΔ.

2) Στη σελ 20 της ΕΑΠΔ η εταιρεία Cisco αναφέρεται ως «τρίτος», ενώ αποτελεί εκτελούντα την επεξεργασία. Από τους ορισμούς του κανονισμού (βλ. άρθρο 4 παρ. 10), ένας «εκτελών την επεξεργασία» δεν αποτελεί τρίτο, εκτός από την περίπτωση που αποφασίσει να επεξεργαστεί δεδομένα για δικό του, διαφορετικό, σκοπό.
Ε. Προθεσμία προς συμμόρφωση

Εν όψει των ανωτέρω σκέψεων και λαμβάνοντας υπόψη ότι:

Α) η εκπαιδευτική διαδικασία πρέπει απαραίτητα να λειτουργήσει με τον καλύτερο δυνατό τρόπο

Β) η σύγχρονη εξ αποστάσεως εκπαίδευση αποτελεί χρήσιμο εργαλείο εκπαίδευσης, με αυξημένη χρησιμότητα ειδικά σε περιόδους πανδημίας

Γ) η επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται κατά τη σύγχρονη εξ αποστάσεως εκπαίδευση μπορεί να συντελεστεί με τρόπο συμβατό με τον ΓΚΠΔ, και

Δ) για τη συμμόρφωση προς τις ανωτέρω συστάσεις απαιτείται εύλογο χρονικό διάστημα το οποίο δεν μπορεί να υπερβαίνει τους τρεις μήνες
η Αρχή κρίνει ότι πρέπει στην παρούσα περίπτωση να ασκήσει τη συμβουλευτική της εξουσία, η οποία απορρέει από το άρθρο 58 παρ. 3 εδ. β του ΓΚΠΔ.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Η Αρχή:

1) ΚΡΙΝΕΙ νόμιμη την κατά το άρθρο 63 του ν. 4686/2020 σύγχρονη εξ αποστάσεως εκπαίδευση για τους λόγους που αναφέρονται στο σκεπτικό της παρούσας.

2) ΚΑΛΕΙ το Υπουργείο Παιδείας και Θρησκευμάτων να λάβει υπόψη τις συστάσεις που αναφέρονται στο σκεπτικό της παρούσας και να τροποποιήσει και συμπληρώσει αναλόγως την ανωτέρω ΕΑΠΔ σε αποκλειστική προθεσμία τριών (3) μηνών από τη δημοσίευση της παρούσας απόφασης.

3) ΚΡΙΝΕΙ ότι επιτρέπεται η εξ αποστάσεως εκπαίδευση στις σχολικές μονάδες της πρωτοβάθμιας και της δευτεροβάθμιας εκπαίδευσης κατά τη διάρκεια του ως άνω τριμήνου, εφόσον συντρέχουν οι προϋποθέσεις που προβλέπονται στο άρθρο 63 του ν. 4686/2020, όπως ισχύει μετά την τροποποίησή του με την από 10/08/2020 ΠΝΠ.

Ο Πρόεδρος                                       Η Γραμματέας

 

Κων/νος Μενουδάκος                            Γεωργία Παλαιολόγου

1. Πρβλ. ΟΕ. Αρ 29 – Κατευθυντήριες γραμμές σχετικά με τη διαφάνεια βάσει του κανονισμού 2016/679 – WP260 rev.01, σκέψη 42.2. Βλ. σχετικά τη δήλωση του ΕΣΠΔ επί της απόφασης του Δικαστηρίου της Ευρωπαϊκής Ένωσης στην υπόθεση C-311/18-Data Protection Commissioner κατά Facebook Ireland και Maximillian Schrems -https://edpb.europa.eu/sites/edpb/files/files/file1/edpb statement 20200717 cieuiudgmentc-311 18 el.pdf και τις σχετικές Συχνές Ερωτήσεις -https://edpb.europa.eu/sites/edpb/files/files/file1/edpb faqs schrems ii 202007 adopted el.pdf3. βλ. Cisco Webex Meetings Privacy Sheet – ενότητα 6. Data Deletion & Retention – Registration Information, User Generated Information, Host and Usage Information4. ΟΕ. Αρ 29 – Κατευθυντήριες γραμμές σχετικά με τη διαφάνεια βάσει του κανονισμού 2016/679 -WP260 rev.01 5. Στο κείμενο της ΕΑΠΔ ο εν λόγω κώδικας συγχέεται με τους Κώδικες Δεοντολογίας του αρ. 40 του ΓΚΠΔ. Είναι σαφές ότι δεν υφίσταται τέτοιος κώδικας δεοντολογίας.

Για να λάβετε το έγγραφο της ΑΠΔΠΧ πατήστε εδώ

LawJobs

ΖΗΤΕΙΤΑΙ ΔΙΚΗΓΟΡΟΣ

ZHTΕΙTAI ΔΙΚΗΓΟΡΟΣ

ΖΗΤΕΙΤΑΙ ΔΙΚΗΓΟΡΟΣ

ΖΗΤΕΙΤΑΙ ΑΣΚΟΥΜΕΝΟΣ/Η ΔΙΚΗΓΟΡΟΣ

Βοηθός Συμβολαιογράφου

Ροή Ειδήσεων

Δημοφιλή