Μέχρι σήμερα το υπουργείο Παιδείας δεν υλοποιήσει τις εντολές της Ανεξάρτητης Αρχής
Το “αγκάθι” για το ενδεχόμενο που το υπουργείο Παιδείας υποχρεωθεί να προχωρήσει στην τηλεκπαίδευση των μαθητών, από τις 10 Ιανουαρίου, αποτελεί η απόφαση για τα προσωπικά δεδομένα, που εξέδωσε πρόσφατα η Αρχή Προστασίας Δεδομένων.
Η Αρχή Προστασίας Δεδομένων έδωσε εντολή στο υπουργείο Παιδείας να συμμορφωθεί σύμφωνα με τον κανονισμό και τη νομοθεσία περί προσωπικών δεδομένων εντός δύο και τεσσάρων μηνών.
Μέχρι σήμερα το υπουργείο Παιδείας δεν υλοποιήσει τις εντολές της Ανεξάρτητης Αρχής.
Η θέση της Κυβέρνησης επί της έκθεσης της Αρχής είχε διατυπωθεί μέσω του Κυβερνητικού Εκπροσώπου Γ. Οκονόμου με την ακόλουθη δήλωση:
Η Αρχή Προστασίας Δεδομένων στην απόφασή της για την τηλεκπαίδευση επικαλείται πράγματα που δεν ανταποκρίνονται στην πραγματικότητα, όπως πολύ αναλυτικά αναφέρει το Υπουργείο Παιδείας στην ανακοίνωσή του. Σε κάθε περίπτωση, μέσω των συμβάσεων και των ειδικών όρων που μπήκαν στις συμβάσεις αυτές, που είναι πολύ πιο συγκεκριμένοι, προστατεύονται τα προσωπικά δεδομένα όσων συμμετείχαν στην τηλεκπαίδευση”.
Ειδικότερα, στην απόφαση , μεταξύ άλλων αναφέρονται τα εξής:
Είναι σαφές ότι η εταιρεία Cisco (εν προκειμένω ο όμιλος και οι εταιρείες του) υπόκειται στο δίκαιο των ΗΠΑ, συνεπώς, κατ’ αρχήν, δεν εξασφαλίζεται επαρκές επίπεδο προστασίας προσωπικών δεδομένων. Επομένως, κάθε διαβίβαση πρέπει να εξετάζεται ξεχωριστά ως προς τη νομιμότητά της.
Όπως, όμως, έχει ήδη επισημανθεί παραπάνω στη σκέψη 17 κατά την εξέταση των απαιτήσεων για την ικανοποίηση της αρχής της διαφάνειας, στην ιστοσελίδα του Υπουργείου υπάρχει ουσιώδης παράλειψη που συνίσταται στην έλλειψη ειδικής ενημέρωσης σε σχέση με τα προσωπικά δεδομένα (πολιτική) και αναφοράς στα στοιχεία επικοινωνίας του ΥΠΔ. Τέτοιες αναφορές υπάρχουν σε σχέση με ειδικότερες εφαρμογές ή ιστοσελίδες του Υπουργείου25, οι οποίες όμως δεν καλύπτουν την υποχρέωση που απορρέει από το άρθρο 37 παρ. 7 του ΓΚΠΔ.
Η Αρχή κρίνει τα εξής:
α) σε σχέση με τα ζητήματα νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως ιδίως εκτίθενται στις σκέψεις 11 έως και 16 της παρούσης, διαπιστώνεται ότι το Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 6 του ΓΚΠΔ, σε συνδυασμό με το άρθρο 4 παρ. 5 του ν. 3471/2006, όπως ισχύει. Συγκεκριμένα, σε σχέση με τους αναφερόμενους στις εν λόγω σκέψεις σκοπούς 3, 4 και 5, διαπιστώνει πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη κατά παράβαση του άρθρου 4 παρ. 5 του ν. 3471/2006, και ότι δεν έχει διενεργηθεί αναλυτική διερεύνηση της νομιμότητας των εν λόγω σκοπών, ώστε να μπορεί να τεκμηριωθεί η νομιμότητά του με βάση το άρθρο 6 του ΓΚΠΔ. Ως προς την εν λόγω παράβαση, η Αρχή κρίνει ότι, σε αυτό το στάδιο, το αποτελεσματικό, αναλογικό και αποτρεπτικό μέτρο για την αντιμετώπιση της εν λόγω παράβασης είναι, με βάση το άρθρο 58 παρ. 2 β’ ΓΚΠΔ, να απευθύνει επίπληξη προς το ΥΠΑΙΘ και παράλληλα να του δώσει εντολή, με βάση το άρθρο 58 παρ. 2 δ’ ΓΚΠΔ, να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ, αντιμετωπίζοντας τις παραβάσεις που αναλύονται στις σκέψεις 11 έως και 16 της παρούσας εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης. Μετά το διάστημα αυτό, το ΥΠΑΙΘ οφείλει να έχει εξασφαλίσει ότι λαμβάνει συγκατάθεση για την πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη, όταν αυτό δεν είναι απαραίτητο για την παροχή της υπηρεσίας που ζήτησε ο χρήστης, και να έχει τεκμηριώσει αναλυτικά τη νομιμότητα των σκοπών επεξεργασίας με αριθμό 3 έως 5.
β) σε σχέση με τα ζητήματα διαφάνειας(…) διαπιστώνεται ότι το Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 13, σε συνδυασμό με το άρθρο 5 παρ. 1 α του ΓΚΠΔ, το άρθρο 12 και το άρθρο 37 παρ. 7 ΓΚΠΔ. Συγκεκριμένα, διαπιστώνεται ότι οι παρεχόμενες πληροφορίες είναι λιγότερες από όσες επιβάλλει ο ΓΚΠΔ, ότι οι πληροφορίες δεν είναι σε κατανοητή και εύκολα προσβάσιμη μορφή και δεν χρησιμοποιείται σαφής και απλή διατύπωση, λαμβάνοντας ιδίως υπόψη και ότι πρόκειται για πληροφορία που απευθύνεται και σε παιδιά.
γ) Σε σχέση με τους κινδύνους που ενέχει η συγκεκριμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα όπως αναλύονται στη σκέψη 18 της παρούσης, διαπιστώνεται ότι το Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 25 παρ. 1 του ΓΚΠΔ, καθώς τα λαμβανόμενα τεχνικά και οργανωτικά μέτρα δεν προστατεύουν επαρκώς τα δικαιώματα των υποκειμένων των δεδομένων.
δ) Σε σχέση με την έκφραση γνώμης των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε την υποχρέωση του άρθρου 35 παρ. 9 του ΓΚΠΔ.
ε) Σε σχέση με το ζήτημα της διαβίβασης δεδομένων εκτός Ε.Ε., όπως αναλύεται στη σκέψη 20 της παρούσης, διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε τις υποχρεώσεις του άρθρου 46 του ΓΚΠΔ, καθώς δεν έχει πραγματοποιηθεί αξιολόγηση της διαβίβασης με τον τρόπο που περιγράφεται στην εν λόγω σκέψη.
Η Αρχή:
Α. Απευθύνει στο Υπουργείο Παιδείας και Θρησκευμάτων:
α) Επίπληξη για τις παραβάσεις των διατάξεων του άρθρου 6 του ΓΚΠΔ, σε συνδυασμό με το άρθρο 4 παρ. 5 του ν. 3471/2006.
β) Επίπληξη για τις παραβάσεις των διατάξεων του άρθρου 13, σε συνδυασμό με το άρθρο 5 παρ. 1 α του ΓΚΠΔ, του άρθρου 12 και του άρθρου 37 παρ. 7 ΓΚΠΔ.
γ) Επίπληξη για τις παραβάσεις των διατάξεων του άρθρου 25 παρ. 1 του ΓΚΠΔ.
δ) Επίπληξη για την παράβαση του άρθρου 35 παρ. 9 του ΓΚΠΔ.
ε) Επίπληξη για τις παραβάσεις των διατάξεων του άρθρου 46 του ΓΚΠΔ.
Β. Δίνει εντολή στο Υπουργείο Παιδείας και Θρησκευμάτων, ως υπεύθυνο επεξεργασίας, όπως καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του κανονισμού και συγκεκριμένα όπως:
1) εντός δύο (2) μηνών από την παραλαβή της παρούσας:
α) Αντιμετωπίσει τις παραβάσεις των διατάξεων του άρθρου 6 του ΓΚΠΔ, σε συνδυασμό με το άρθρο 4 παρ. 5 του ν. 3471/2006 με τον τρόπο που αναλύεται στις σκέψεις 11 έως και 16 της παρούσας.
β) Αντιμετωπίσει τις παραβάσεις των διατάξεων του άρθρου 13, σε συνδυασμό με το άρθρο 5 παρ. 1 α του ΓΚΠΔ, το άρθρο 12 και το άρθρο 37 παρ. 7 ΓΚΠΔ, όπως αναλύονται στις σκέψεις 17 και 21 της παρούσας, τροποποιώντας τη διαδικασία και το περιεχόμενο της παρεχόμενης ενημέρωσης
γ) Αντιμετωπίσει τις παραβάσεις των διατάξεων του άρθρου 25 παρ. 1 του ΓΚΠΔ με τον τρόπο που αναλύεται στις σκέψη 18 της παρούσης.
2) εντός τεσσάρων (4) μηνών από την παραλαβή της παρούσας αντιμετωπίσει τις παραβάσεις των διατάξεων του άρθρου 46 του ΓΚΠΔ με τον τρόπο που αναλύεται στις σκέψη 20 της παρούσης.
Μετά την πάροδο της αντίστοιχης προθεσμίας, το Υπουργείο οφείλει να ενημερώσει την Αρχή για τη συμμόρφωσή του. (Πηγή: esos.gr)
