- Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα δικαιώνει απόλυτα την ΟΙΕΛΕ: Το Υπουργείο Παιδείας παραβίασε συστηματικά το νόμο περί προστασίας προσωπικών δεδομένων
Η προσπάθεια που η ΟΙΕΛΕ ξεκίνησε το Μάιο του 2020 για να σταματήσει η διαρροή των προσωπικών δεδομένων χιλιάδων μαθητών και εκπαιδευτικών μέσω της τηλεκπαίδευσης δικαιώθηκε. Η Αρχή ενημέρωσε την Ομοσπονδία για την υπ. αριθμ. 50/2021 οριστική της απόφαση που καταδεικνύει σοβαρές παραβιάσεις του νομοθετικού πλαισίου για τα προσωπικά δεδομένα εκ μέρους της πολιτικής ηγεσίας του Υπουργείου Παιδείας.
Πιο συγκεκριμένα:
Η Αρχή κρίνει ότι σε τουλάχιστον πέντε (5) περιπτώσεις, το ΥΠΑΙΘ έχει παραβιάσει τον Κανονισμό GDPR (ΓΚΠΔ) και του απευθύνει επίπληξη για τις σχετικές παραβιάσεις, ενώ τάσσει προθεσμία δύο (2) και τεσσάρων (4) μηνών κατά περίπτωση, για την αποκατάσταση της νομιμότητας.
Ειδικότερα η Αρχή απηύθυνε προς το ΥΠΑΙΘ επίπληξη:
- Σε σχέση με τα ζητήματα νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα έχει παραβιάσει τις διατάξεις του άρθρου 6 του ΓΚΠΔ, σε συνδυασμό με το άρθρο 4 παρ. 5 του ν. 3471/2006, όπως ισχύει.
Συγκεκριμένα διαπιστώνει πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη κατά παράβαση του άρθρου 4 παρ. 5 του ν. 3471/2006, και ότι δεν έχει διενεργηθεί αναλυτική διερεύνηση της νομιμότητας των εξής σκοπών της επεξεργασίας :
α) Εξαγωγή συμπερασμάτων σχετικά με την τηλεκπαίδευση, ως στατιστικός και ερευνητικός σκοπός, με υπεύθυνο επεξεργασίας το ΥΠΑΙΘ και εκτελούντα την επεξεργασία τη CISCO,
β) Βελτίωση της παρεχόμενης από τη Cisco υπηρεσίας, για την οποία προκύπτει ότι υπεύθυνος επεξεργασίας μπορεί να είναι η Cisco και
γ) Συμμόρφωση της Cisco με οικονομικές και ελεγκτικές απαιτήσεις, συμπεριλαμβανομένης της χρέωσης των υπηρεσιών, με υπεύθυνο επεξεργασίας τη Cisco, ώστε να μπορεί να τεκμηριωθεί η νομιμότητά του με βάση το άρθρο 6 του ΓΚΠΔ. Παράλληλα δίνει εντολή στο ΥΠΑΙΘ να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης. Μετά το διάστημα αυτό, το ΥΠΑΙΘ οφείλει να έχει εξασφαλίσει ότι λαμβάνει συγκατάθεση για την πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη, όταν αυτό δεν είναι απαραίτητο για την παροχή της υπηρεσίας που ζήτησε ο χρήστης, και να έχει τεκμηριώσει αναλυτικά τη νομιμότητα των σκοπών επεξεργασίας που αναφέρθηκαν πιο πάνω.
- Σε σχέση με τα ζητήματα διαφάνειας και όσον αφορά την ανακοίνωση στοιχείων του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) έχει παραβιάσει τις διατάξεις του άρθρου 13, σε συνδυασμό με το άρθρο 5 παρ. 1 α του ΓΚΠΔ, το άρθρο 12 και το άρθρο 37 παρ. 7 ΓΚΠΔ. Συγκεκριμένα, διαπιστώνεται ότι οι παρεχόμενες πληροφορίες είναι λιγότερες από όσες επιβάλλει ο ΓΚΠΔ, ότι οι πληροφορίες δεν είναι σε κατανοητή και εύκολα προσβάσιμη μορφή και δεν χρησιμοποιείται σαφής και απλή διατύπωση, λαμβάνοντας ιδίως υπόψη και ότι πρόκειται για πληροφορία που απευθύνεται και σε παιδιά. Κι αυτό γιατί ο ρόλος των εκπαιδευτικών και ενημερωτικών δράσεων δεν περιορίζεται στην ικανοποίηση της αρχής της διαφάνειας αλλά και στην ορθή κατανόηση των κινδύνων και των συνεπειών από πιθανή επεξεργασία δεδομένων κατά τη διαδικασία τηλεκπαίδευσης. Απαιτείται, λοιπόν, προσέγγιση ώστε να εξασφαλίζεται ότι οι πληροφορίες οι οποίες απευθύνονται στις διαφορετικές κατηγορίες υποκειμένων των δεδομένων είναι συνοπτικές, διαφανείς, κατανοητές και εύκολα προσβάσιμες, με απλή διατύπωση ειδικά όσον αφορά σε παιδιά. Παράλληλα δίνει εντολή στο ΥΠΑΙΘ να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ, αντιμετωπίζοντας τις παραβάσεις και τροποποιώντας τη διαδικασία και το περιεχόμενο της παρεχόμενης ενημέρωσης εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης.
- Σε σχέση με τους κινδύνους που ενέχει η συγκεκριμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα σε ζητήματα όπως ο έλεγχος ταυτοπροσωπίας (βασικό μέτρο ασφάλειας για τον περιορισμό της πρόσβασης τρίτων στις «ψηφιακές τάξεις») ή η χρήση προσωπικών ηλεκτρικών συσκευών, διαπιστώθηκε ότι το ΥΠΑΙΘ δεν προκύπτει ότι έχει παράσχει κατάλληλες οδηγίες και εκπαίδευση προς το προσωπικό του (τους εκπαιδευτικούς) και ότι έχει παραβιάσει τις διατάξεις του άρθρου 25 παρ. 1 του ΓΚΠΔ, καθώς τα λαμβανόμενα τεχνικά και οργανωτικά μέτρα δεν προστατεύουν επαρκώς τα δικαιώματα των υποκειμένων των δεδομένων. Παράλληλα δίνει εντολή στο ΥΠΑΙΘ να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης.
- Σε σχέση με την έκφραση γνώμης των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία (ότι δηλ. ποτέ δεν έγινε μία ουσιαστική διαβούλευση για τον τρόπο λειτουργίας και όλες εν γένει τις παραμέτρους της τηλεκπαίδευσης), διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε την υποχρέωση του άρθρου 35 παρ. 9 του ΓΚΠΔ.
- Σε σχέση με το ζήτημα της διαβίβασης δεδομένων εκτός Ε.Ε., δοθέντος ότι η εταιρεία Cisco (εν προκειμένω ο όμιλος και οι εταιρείες του) υπόκειται στο δίκαιο των ΗΠΑ, συνεπώς, κατ’ αρχήν, δεν εξασφαλίζεται επαρκές επίπεδο προστασίας προσωπικών δεδομένων, διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε τις υποχρεώσεις του άρθρου 46 του ΓΚΠΔ, καθώς δεν έχει πραγματοποιηθεί αξιολόγηση της διαβίβασης με τον τρόπο που περιγράφεται στο σκεπτικό της απόφασης της Αρχής. Παράλληλα δίνει εντολή στο ΥΠΑΙΘ να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ, αντιμετωπίζοντας τις παραβάσεις ως προς το ζήτημα αυτό, εντός προθεσμίας τεσσάρων μηνών από την επίδοση της απόφασης.
Θέλουμε να ευχαριστήσουμε θερμά τους νομικούς μας παραστάτες Δημήτρη Φάκα και Γιώργο Μελισσάρη που δούλεψαν μεθοδικά και επίπονα προκειμένου να υποστηρίξουν την αναφορά της ΟΙΕΛΕ προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την προστασία των προσωπικών δεδομένων εκπαιδευτικών και μαθητών. Η απόφαση της Αρχής αποτελεί μια ακόμη απόδειξη ότι τούτη η Ομοσπονδία παρά το μικρό της μέγεθος αγωνίζεται και πετυχαίνει σημαντικές νίκες προς όφελος των παιδιών, των εργαζόμενων, της εκπαίδευσης και της κοινωνίας.
Διαβάστε εδώ την απόφαση της ΑΠΔΠΧ.
*****
- Νέα δικαίωση της ΟΛΜΕ από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Η ΟΛΜΕ είχε προειδοποιήσει εγκαίρως, από τον Μάρτιο του 2020, για τον κίνδυνο διαρροής των προσωπικών δεδομένων εκπαιδευτικών και μαθητών/τριών και ζητούσε να ληφθούν όλα τα απαραίτητα μέτρα προκειμένου να διασφαλιστεί η προστασία των προσωπικών δεδομένων κατά την εφαρμογή της εξ αποστάσεως εκπαίδευσης. Τον Μάιο του 2020 το ΔΣ της ΟΛΜΕ συναντήθηκε με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην οποία έθεσε τους προβληματισμούς του για το κίνδυνο διαρροής προσωπικών δεδομένων.
Στις 6 Ιουνίου 2020 κι ενώ το ΥΠΑΙΘ εξακολουθούσε να μην παίρνει τα απαραίτητα μέτρα, η ΓΣ των Προέδρων των ΕΛΜΕ κατήγγειλε εκ νέου την επικίνδυνη αδιαφορία του ΥΠΑΙΘ: «…Όλα τα παραπάνω, αποδεικνύουν χωρίς αμφιβολία ότι το υπουργείο Παιδείας, σε ό, τι αφορά τουλάχιστον στη διαφύλαξη των Προσωπικών Δεδομένων κατά την εξ αποστάσεως εκπαίδευση, απέτυχε παταγωδώς και δεν εφάρμοσε ούτε την ευρωπαϊκή ούτε την εθνική νομοθεσία».
Τον Σεπτέμβριο του 2020 με την υπ’ αριθμόν 4/7-9-2020 Γνωμοδότηση της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επεσήμανε την παραβίαση ουσιωδών κανόνων του GDRR και απαιτούσε από το ΥΠΑΙΘ να συμμορφωθεί με σειρά υποδείξεων της εντός τριμήνου.
Το ΔΣ της ΟΛΜΕ με συνεχείς ανακοινώσεις και παρεμβάσεις (11/9/20, 25/9/20, 20/11/20, 25/3/21, 29/3/21) απαιτούσε από το ΥΠΑΙΘ να λάβει επιτέλους τα απαραίτητα μέτρα για την προστασία των προσωπικών δεδομένων εκπαιδευτικών και μαθητών/τριών, καταθέτοντας συγκεκριμένες προτάσεις, χωρίς καμία ανταπόκριση από την πολιτική ηγεσία του ΥΠΑΙΘ.
Στις 16 Νοεμβρίου 2021 η ΑΠΔΠΧ με την υπ’αριθμόν 50/2021 απόφασή της απευθύνει στο Υπουργείο Παιδείας και Θρησκευμάτων:
α) Επίπληξη για τις παραβάσεις των διατάξεων του άρθρου 6 του ΓΚΠΔ, σε συνδυασμό με το άρθρο 4 παρ. 5 του ν. 3471/2006.
β) Επίπληξη για τις παραβάσεις των διατάξεων του άρθρου 13, σε συνδυασμό με το άρθρο 5 παρ. 1 α του ΓΚΠΔ, του άρθρου 12 και του άρθρου 37 παρ. 7 ΓΚΠΔ.
γ) Επίπληξη για τις παραβάσεις των διατάξεων του άρθρου 25 παρ. 1 του ΓΚΠΔ.
δ) Επίπληξη για την παράβαση του άρθρου 35 παρ. 9 του ΓΚΠΔ.
ε)Επίπληξη για τις παραβάσεις των διατάξεων του άρθρου 46 του ΓΚΠΔ.
και απαιτεί την άμεση συμμόρφωση του ΥΠΑΙΘ, εντός ορισμένων προθεσμιών.
Είναι πλέον σαφές ότι το ΥΠΑΙΘ έχει επανειλημμένως παραβιάσει τόσο την ευρωπαϊκή όσο και την εθνική νομοθεσία. Είναι ξεκάθαρο ότι η ΟΛΜΕ είχε απόλυτο δίκιο όλο αυτό το διάστημα της πανδημίας που επεσήμανε τις παραβιάσεις αυτές και απαιτούσε από το ΥΠΑΙΘ τη λήψη μέτρων για την προστασία της εκπαιδευτικής κοινότητας.
Ωστόσο, το ΥΠΑΙΘ, αντί να ζητήσει συγγνώμη από 1,5 εκατομμύριο εκπαιδευτικούς και μαθητές/τριες και να συμμορφωθεί άμεσα στις υποδείξεις της ΑΠΔΠΧ, προβαίνει σε μία ακόμη πρωτοφανή κίνηση που αποδεικνύει την παντελή έλλειψη σεβασμού στις Ανεξάρτητες Αρχές, όπως αυτές προβλέπονται από το Σύνταγμα. Στις 18 Νοεμβρίου του 2021 το ΥΠΑΙΘ εξέδωσε Δελτίο Τύπου με το οποίο όχι μόνο δεν αποδέχεται την απόφαση της Αρχής, αλλά την επιπλήττει επειδή κατά την άποψή του «εκπλήσσει λόγω των εσφαλμένων της παραδοχών, αλλά και λόγω της ξαφνικής αλλαγής πλεύσης εκ μέρους της». Ταυτόχρονα, κατά την προσφιλή τακτική του, το ΥΠΑΙΘ απειλεί με δικαστικές προσφυγές την Αρχή αναφέροντας στο δελτίο τύπου: «Οι αποφάσεις, όμως, αυτές υπόκεινται σε δικαστική κρίση»!
Το ΔΣ της ΟΛΜΕ καταγγέλλει την πολιτική ηγεσία του ΥΠΑΙΘ
- για την πλήρη αποτυχία του να προστατεύσει τα προσωπικά δεδομένα της εκπαιδευτικής κοινότητας
- για τις συνεχείς παραβιάσεις της εθνικής και ευρωπαϊκής νομοθεσίας
- για το αδιανόητο δελτίο τύπου και την έλλειψη σεβασμού στην απόφαση της ΑΠΔΠΧ
και απαιτεί την άμεση συμμόρφωση του ΥΠΑΙΘ στην νομοθεσία, προκειμένου να προστατευτούν επιτέλους τα προσωπικά δεδομένα εκπαιδευτικών, μαθητών και μαθητριών.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου