Έχει γίνει πολύς λόγος για την σύγχρονη εξ αποστάσεως εκπαίδευση και την νομιμότητά της σύμφωνα με τους κανόνες του GDPR. Το θέμα, όμως, λήγει με το άρθρο 63 του ν. 4686/2020, το οποίο την έκρινε νόμιμη - αρκεί να επιλυθούν μια σειρά προβλημάτων που παρουσιάζει.
Στη μακροσκελή γνωμοδότησή της, η ΑΠΔΠΧ εντόπισε τα κενά στην Εκτίμηση Αντικτύπου που διεξήγαγε το Υπουργείο Παιδείας, και έδωσε προθεσμία τρεις μήνες ώστε να τα τροποποιήσει. Στόχος της είναι να λειτουργήσει η εξ αποστάσεως παιδεία με τον καλύτερο δυνατό τρόπο και χωρίς να θίγονται τα προσωπικά δεδομένα των συμμετεχόντων, αφού αποτελεί ένα ιδιαίτερα χρήσιμο εργαλείο στον καιρό την πανδημίας,
Σχετικά με τους κινδύνους που εντόπισε η ΑΠΔΠΧ , φαίνεται πως, μεταξύ άλλων, απουσιάζουν ή δεν αναλύονται επαρκώς τα εξής:
- Κίνδυνοι σχετιζόµενοι µε την επέµβαση στην εκπαιδευτική διαδικασία, οι οποίοι επηρεάζουν το δικαίωµα στην εκπαίδευση. Απουσιάζει εκτίµηση και ανάλυση της επέµβασης ανά εκπαιδευτική βαθµίδα/τάξη, προσαρµοσµένη στις ιδιαιτερότητες των µαθητών. Για παράδειγµα, οι κίνδυνοι αυτοί µπορεί να αντιµετωπιστούν µε την εισαγωγή ή χρήση νέων εκπαιδευτικών µεθόδων, την παροχή κατάλληλης εκπαίδευσης και επιµόρφωσης στους εκπαιδευτικούς, µε τη συµβολή των κατάλληλων εκπαιδευτικών και ακαδηµαϊκών φορέων.
- Κίνδυνοι από τη χρήση εξοπλισµού που δεν βρίσκεται στην ευθύνη του υπευθύνου επεξεργασίας, ιδίως όσον αφορά στους εκπαιδευτικούς. Στο πλαίσιο αυτής της ανάλυσης θα πρέπει να εξεταστεί και το ζήτηµα της χρήσης προσωπικής συσκευής για υπηρεσιακό σκοπό. Περαιτέρω στην ΕΑΠ∆ αναφέρεται ότι η πλατφόρµα και οι χρήστες δεν κινδυνεύουν από πιθανή ύπαρξη ιών σε τερµατικό εξοπλισµό συγκεκριµένου χρήστη, χωρίς περαιτέρω τεκµηρίωση.- Κίνδυνοι από τις διαβιβάσεις δεδοµένων εκτός Ε.Ε. Να σηµειωθεί ότι όπως προκύπτει από την προσκοµισθείσα σύµβαση, δεν αποκλείεται η πιθανότητα χρήσης κέντρου δεδοµένων εκτός Ε.Ε., τουλάχιστον σε περίπτωση «βλάβης». Να σηµειωθεί, ότι πλέον, ο υπεύθυνος επεξεργασίας οφείλει να µελετήσει την απόφαση C-311/18 του ∆ΕΕ και να διασφαλίσει ότι δεν υπάρχει περίπτωση διαβίβασης δεδοµένων προσωπικού χαρακτήρα εκτός Ε.Ε.
Αναφορικά με την Εκτίμηση Αντικτύπου, μεταξύ άλλων, η Αρχή επισημαίνει ότι:
- Υλοποιήθηκε σε εξαιρετικά σύντοµο χρόνο λόγων έκτακτων συνθηκών. Το επιχείρηµα ότι ήταν επείγουσα ανάγκη προβάλλεται, κατ’ αρχήν, βάσιµα, χωρίς όµως αυτό να παρέχει επαρκή αιτιολόγηση για την παράκαµψη της διαδικασίας λήψης γνώµης των υποκειµένων των δεδοµένων.
- Ορισμένα επιχειρήµατα του υπευθύνου επεξεργασίας (Υπ. Παιδείας) δεν είναι βάσιµα. Τα µέτρα που έχει λάβει το ΥΠΑΙΘ για την απρόσκοπτη και ασφαλή διεξαγωγή της επεξεργασίας και τα οποία υποστηρίζει ότι πρέπει να παραµείνουν εµπιστευτικά, περιλαµβάνουν κυρίως οργανωτικά και λιγότερο τεχνικά µέτρα, τα οποία είτε είναι ήδη δηµόσια γνωστά µέσω των εγκυκλίων του Υπουργείου είτε αποτελούν τυπική πρακτική κατά τη λήψη µέτρων σε αντίστοιχες περιπτώσεις, ώστε να µην τίθεται κανένα θέµα διακινδύνευσης. Όσον αφορά τα µέτρα προστασίας προσωπικών δεδοµένων τα οποία εφαρµόζει η Cisco, αυτά βασίζονται στις ήδη δηµοσιευµένες πρακτικές της εταιρείας χωρίς να µπορεί να τεκµηριωθεί θέµα εµπιστευτικότητας ή επιχειρηµατικού απορρήτου.
- Η «επίσηµη αποδοχή» της ΕΠΑΔ φαίνεται να γίνεται από την Υπεύθυνο Προστασίας ∆εδοµένων του Υπουργείου. Ειδικότερα, αναφέρεται ότι «εγκρίθηκαν τα µέτρα» και «παρασχέθηκε η συµβουλή της DPO». Επισηµαίνεται ότι στα καθήκοντα του Υπευθύνου Προστασίας ∆εδοµένων (βλ. αρ. 39 ΓΚΠ∆) δεν περιλαµβάνεται η έγκριση της ΕΑΠ∆. Οι αποφάσεις, σε σχέση µε τη λήψη µέτρων λαµβάνονται από τον υπεύθυνο επεξεργασίας µε τη συµβουλή του Υπευθύνου Προστασίας ∆εδοµένων, ο οποίος δεν έχει αποφασιστική αρµοδιότητα.
Δείτε αναλυτικά τη γνωμοδότηση της Αρχής στο dpa.gr