ΑΠΔΠΧ: Νόμιμη η εξ αποστάσεως εκπαίδευση - Ελλείψεις και προθεσμία τριών μηνών για αλλαγές στην Εκτίμηση Αντικτύπου

Νόμιμη έκρινε την κατά το άρθρο 63 του ν. 4686/2020 σύγχρονη εξ αποστάσεως εκπαίδευση η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Στη μακροσκελή γνωμοδότησή τηςμ ωστόσό, η ΑΠΔΠΧ εντοπίζει σειρά προβλημάτων στην Εκτίμηση Αντικτύπου που διεξήγαγε το Υπουργείο Παιδείας, παρέχοντας προθεσμία τριών μηνών για την τροποποίησή της.

Όπως αναφέρει η ΑΠΔΠΧ, η εκπαιδευτική διαδικασία πρέπει απαραίτητα να λειτουργήσει µε τον καλύτερο δυνατό τρόπο, η σύγχρονη εξ αποστάσεως εκπαίδευση αποτελεί χρήσιµο εργαλείο εκπαίδευσης, µε αυξηµένη χρησιµότητα ειδικά σε περιόδους πανδηµίας, ενώ η επεξεργασία δεδοµένων προσωπικού χαρακτήρα που διενεργείται στο πλαίσιο αυτό µπορεί να συντελεστεί µε τρόπο συµβατό µε τον Γενικό Κανονισμό Προστασίας Δεδομεων (ΓΚΠΔ).

Σε σχέση με την Εκτίμηση Αντικτύπου, μεταξύ άλλων, η Αρχή επισημαίνει ότι:

- Υλοποιήθηκε σε εξαιρετικά σύντοµο χρόνο λόγων έκτακτων συνθηκών. Το επιχείρηµα ότι ήταν επείγουσα ανάγκη προβάλλεται, κατ’ αρχήν, βάσιµα, χωρίς όµως αυτό να παρέχει επαρκή αιτιολόγηση για την παράκαµψη της διαδικασίας λήψης γνώµης των υποκειµένων των δεδοµένων.

- Ορισμένα επιχειρήµατα του υπευθύνου επεξεργασίας (Υπ. Παιδείας) δεν είναι βάσιµα. Τα µέτρα που έχει λάβει το ΥΠΑΙΘ για την απρόσκοπτη και ασφαλή διεξαγωγή της επεξεργασίας και τα οποία υποστηρίζει ότι πρέπει να παραµείνουν εµπιστευτικά, περιλαµβάνουν κυρίως οργανωτικά και λιγότερο τεχνικά µέτρα, τα οποία είτε είναι ήδη δηµόσια γνωστά µέσω των εγκυκλίων του Υπουργείου είτε αποτελούν τυπική πρακτική κατά τη λήψη µέτρων σε αντίστοιχες περιπτώσεις, ώστε να µην τίθεται κανένα θέµα διακινδύνευσης. Όσον αφορά τα µέτρα προστασίας προσωπικών δεδοµένων τα οποία εφαρµόζει η Cisco, αυτά βασίζονται στις ήδη δηµοσιευµένες πρακτικές της εταιρείας χωρίς να µπορεί να τεκµηριωθεί θέµα εµπιστευτικότητας ή επιχειρηµατικού απορρήτου.

- Η «επίσηµη αποδοχή» της ΕΠΑΔ φαίνεται να γίνεται από την Υπεύθυνο Προστασίας ∆εδοµένων του Υπουργείου. Ειδικότερα, αναφέρεται ότι «εγκρίθηκαν τα µέτρα» και «παρασχέθηκε η συµβουλή της DPO». Επισηµαίνεται ότι στα καθήκοντα του Υπευθύνου Προστασίας ∆εδοµένων (βλ. αρ. 39 ΓΚΠ∆) δεν περιλαµβάνεται η έγκριση της ΕΑΠ∆. Οι αποφάσεις, σε σχέση µε τη λήψη µέτρων λαµβάνονται από τον υπεύθυνο επεξεργασίας µε τη συµβουλή του Υπευθύνου Προστασίας ∆εδοµένων, ο οποίος δεν έχει αποφασιστική αρµοδιότητα.

Αναφορικά με τους κινδύνους που λήφθηκαν υπόψη, η ΑΠΔΠΧ σημειώνει, μεταξύ άλλων ότι φαίνεται να απουσιάζουν ή να µην αναλύονται επαρκώς µια σειρά από αυτούς, όπως:

- Κίνδυνοι σχετιζόµενοι µε την επέµβαση στην εκπαιδευτική διαδικασία, οι οποίοι επηρεάζουν το δικαίωµα στην εκπαίδευση. Απουσιάζει εκτίµηση και ανάλυση της επέµβασης ανά εκπαιδευτική βαθµίδα/τάξη, προσαρµοσµένη στις ιδιαιτερότητες των µαθητών. Για παράδειγµα, οι κίνδυνοι αυτοί µπορεί να αντιµετωπιστούν µε την εισαγωγή ή χρήση νέων εκπαιδευτικών µεθόδων, την παροχή κατάλληλης εκπαίδευσης και επιµόρφωσης στους εκπαιδευτικούς, µε τη συµβολή των κατάλληλων εκπαιδευτικών και ακαδηµαϊκών φορέων.

- Κίνδυνοι από τη χρήση εξοπλισµού που δεν βρίσκεται στην ευθύνη του υπευθύνου επεξεργασίας, ιδίως όσον αφορά στους εκπαιδευτικούς. Στο πλαίσιο αυτής της ανάλυσης θα πρέπει να εξεταστεί και το ζήτηµα της χρήσης προσωπικής συσκευής για υπηρεσιακό σκοπό. Περαιτέρω στην ΕΑΠ∆ αναφέρεται ότι η πλατφόρµα και οι χρήστες δεν κινδυνεύουν από πιθανή ύπαρξη ιών σε τερµατικό εξοπλισµό συγκεκριµένου χρήστη, χωρίς περαιτέρω τεκµηρίωση.

- Κίνδυνοι από τις διαβιβάσεις δεδοµένων εκτός Ε.Ε. Να σηµειωθεί ότι όπως προκύπτει από την προσκοµισθείσα σύµβαση, δεν αποκλείεται η πιθανότητα χρήσης κέντρου δεδοµένων εκτός Ε.Ε., τουλάχιστον σε περίπτωση «βλάβης». Να σηµειωθεί, ότι πλέον, ο υπεύθυνος επεξεργασίας οφείλει να µελετήσει την απόφαση C-311/18 του ∆ΕΕ και να διασφαλίσει ότι δεν υπάρχει περίπτωση διαβίβασης δεδοµένων προσωπικού χαρακτήρα εκτός Ε.Ε.

Δείτε αναλυτικά τη γνωμοδότηση 4/2020 της Αρχής στο dpa.gr