Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για το mySchool, το ΕΥΖΗΝ κλπ Τι αναφέρει στην ετήσια έκθεσή της για το 2014


άκουσε το άρθρο

Δημοσιεύτηκε στο ΦΕΚ 2663/Β/10-12-2015 η εξαιρετικά ενδιαφέρουσα Ετήσια Έκθεση Πεπραγμένων Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έτους 2014.

Ιδιαίτερο ενδιαφέρον έχουν τα παρακάτω σημεία της έκθεσης που αφορούν σε θέματα του Υπουργείου Παιδείας :

Ενότητα 3.2.2 (σελ. 24)

Σε ερώτημα που υποβλήθηκε από το Υπουργείο Παιδείας σχετικά με τη νομιμότητα διαβίβασης στο Γενικό Επιτελείο Εθνικής Άμυνας του ηλεκτρονικού αρχείου των υποψηφίων των Πανελλαδικών Εξετάσεων, προκειμένου να δημιουργηθεί εφαρμογή η οποία να παρέχει στους υποψηφίους των Στρατιωτικών Σχολών τη δυνατότητα ηλεκτρονικής υποβολής της δηλώσεως υποψηφίου απευθείας στο Γενικό Επιτελείο Εθνικής Άμυνας, αντί της υποβολής αιτημάτων στις κατ’ ιδίαν Στρατιωτικές Σχολές, η Αρχή έκρινε ότι στην παρούσα φάση τα στοιχεία δεν μπορούν νομίμως να διαβιβασθούν. Ειδικότερα, κατά την κρίση της Αρχής, προκειμένου να είναι νόμιμη η συγκεκριμένη διάθεση του ηλεκτρονικού αρχείου των υποψηφίων των Πανελλαδικών Εξετάσεων από το Υπουργείο Παιδείας στο ΓΕΕΘΑ θα πρέπει να προηγηθεί νομοθετική ρύθμιση, η οποία να προβλέπει ότι τα στοιχεία των υποψηφίων των στρατιωτικών σχολών θα συλλέγονται απευθείας από το ΓΕΕΘΑ, και όχι από τις επιμέρους στρατιωτικές σχολές και στη συνέχεια είτε να προηγηθεί συγκατάθεση των υποκειμένων των δεδομένων, ήτοι των υποψηφίων των Πανελλαδικών Εξετάσεων για τη διαβίβαση αυτή, η οποία μπορεί να επιτευχθεί π.χ. μέσω συμπλήρωσης σχετικού πεδίου στο έντυπο της αιτήσεως-δηλώσεως του υποψηφίου για συμμετοχή στις Πανελλαδικές Εξετάσεις, είτε να γίνει διασύνδεση του αρχείου των υποψηφίων των Πανελλαδικών Εξετάσεων του Υπουργείου Παιδείας με το αρχείο των υποψηφίων του ΓΕΕΘΑ, προκειμένου να γίνει η διασταύρωση και η επαλήθευση των στοιχείων των υποψηφίων των στρατιωτικών σχολών (Γ/ΕΞ/693−5/14.05.2014).

Ενότητα 3.2.7 (σελ 29)

Υπό τη θεματική αυτή η Αρχή εξέτασε υποθέσεις καταγγελιών, ερωτημάτων και αιτήσεις χορήγησης αδείας, στις οποίες εμπλέκονται ανώτατα εκπαιδευτικά ιδρύματα καθώς και το Υπουργείο Παιδείας.
Ειδικότερα, η Αρχή έκανε σύσταση στο Υπουργείο Παιδείας να ενημερώσει τους φοιτητές για τη διακοπή επεξεργασίας ευαίσθητων δεδομένων τους που θα αναγράφονταν στη φοιτητική τους κάρτα, τη διαγραφή των μέχρι τότε συλλεχθέντων ευαίσθητων δεδομένων τους και τον τρόπο αντικατάστασης της παλιάς τους κάρτας με νέα χωρίς την αναγραφή των ευαίσθητων προσωπικών δεδομένων. Συγκεκριμένα, το Υπουργείο Παιδείας, ως υπεύθυνος επεξεργασίας, γνωστοποίησε στην Αρχή τη συλλογή και επεξεργασία προσωπικών δεδομένων των φοιτητών όλης της χώρας με σκοπό την έκδοση ακαδημαϊκής ταυτότητας (πρώην δελτίο ειδικού εισιτηρίου) μέσω της Ηλεκτρονικής Υπηρεσίας Απόκτησης Κάρτας Φοιτητή. Σε συμπληρωματική γνωστοποίηση το Υπουργείο Παιδείας ανέφερε ότι στην εν λόγω κάρτα θα αναγράφονταν, προαιρετικά, και ευαίσθητα προσωπικά δεδομένα, όπως τυχόν αλλεργίες που έχει ο κάτοχός της και αν είναι δωρητής οργάνων. Ενόψει του ότι δεν υπήρχε σαφής νομική βάση για μια τέτοια επεξεργασία, μετά από σχετική επικοινωνία της Αρχής με το Υπουργείο Παιδείας, το τελευταίο σε υπόμνημά του δήλωσε ότι θα διέκοπτε την εν λόγω επεξεργασία των ευαίσθητων προσωπικών δεδομένων των φοιτητών και θα διέγραφε όσα δεδομένα είχαν μέχρι τότε συλλεχθεί. Ως εκ τούτου, η Αρχή προχώρησε στην ως άνω σύσταση (απόφαση 41/2014).

…………………………………….

Σε άλλη υπόθεση ο Σύλλογος Εκπαιδευτικών Πρωτοβάθμιας Εκπαίδευσης κατήγγειλε το Υπουργείο Παιδείας αναφορικά με το Νέο Ενιαίο Πληροφοριακό Σύστημα Σχολικών Μονάδων και Διοικητικών Μονάδων «MySchool» για την Πρωτοβάθμια Εκπαίδευση και τα Γυμνάσια. Το εν λόγω πληροφοριακό σύστημα αποτελεί μηχανογραφικό εργαλείο καθημερινής διοικητικής υποστήριξης των σχολικών μονάδων της επικράτειας και των υψηλότερων διοικητικά εκπαιδευτικών δομών (διευθύνσεις εκπαίδευσης, περιφερειακές διευθύνσεις, Κεντρική Υπηρεσία). Στόχος του είναι να ολοκληρώσει, να επεκτείνει και να βελτιώσει υφιστάμενες μηχανογραφικές εφαρμογές (όπως e−school, e−datacenter, survey) που αξιοποιούνται από την εκπαιδευτική κοινότητα, σε μια λειτουργικά ενιαία υπολογιστική πλατφόρμα. Η Αρχή εξέτασε τόσο το είδος και την ποσότητα των δεδομένων που το εν λόγω σύστημα επεξεργάζεται, όσο και τα μέτρα ασφάλειας που τηρούνται και κατέληξε σε έξι συστάσεις: α) να συλλέγονται τα δεδομένα των μαθητών όπως προβλέπεται από τις οικείες διατάξεις, β) να διαγραφούν τυχόν επιπλέον συλλεχθέντα δεδομένα μαθητών, γ) να διαγραφούν δεδομένα που αφορούν στο ατομικό δελτίο υγείας μαθητή, δ) να ορισθεί ανώτατο χρονικό όριο τήρησης των δεδομένων, ε) να εφαρμοσθούν συγκεκριμένα προτεινόμενα μέτρα ασφάλειας, και στ) να ενημερωθεί σχετικά η Αρχή (απόφαση 139/2014).

Για ένα ακόμα πρόγραμμα του Υπουργείου Παιδείας η Αρχή δέχθηκε αρκετά ερωτήματα και προχώρησε στην εξέταση της νομιμότητας της σχετικής επεξεργασίας.
Πρόκειται για το Πρόγραμμα ΕΥΖΗΝ (Εθνική Δράση Υγείας για τη Ζωή των Νέων). Το εν λόγω Πρόγραμμα περιλαμβάνει αξιολογήσεις της σωματικής διάπλασης και της φυσικής κατάστασης των μαθητών από τους καθηγητές φυσικής αγωγής, καθώς και αξιολογήσεις των συνηθειών διατροφής και φυσικής δραστηριότητας των μαθητών, μέσω ηλεκτρονικής συμπλήρωσης ερωτηματολογίου στα εργαστήρια πληροφορικής των σχολείων.
Το σύνολο των αξιολογήσεων (ανθρωπομετρία, φυσική κατάσταση και ερωτηματολόγιο) εισάγεται στη διαδικτυακή πλατφόρμα για το εν λόγω Πρόγραμμα. Η Αρχή, εξετάζοντας τη νομιμότητα της σχετικής επεξεργασίας, έκρινε κατά πλειοψηφία ότι το εν λόγω Πρόγραμμα δεν πληρούσε τις προϋποθέσεις νομιμότητας. Για το λόγο αυτό προχώρησε σε σειρά συστάσεων ζητώντας από το Υπουργείο α) να μεριμνήσει για την ανωνυμοποίηση των μέχρι τότε συλλεγέντων προσωπικών δεδομένων των μαθητών και την εφεξής συλλογή των δεδομένων τους μόνο κατόπιν ρητής συγκατάθεσης των γονέων ή κηδεμόνων των μαθητών, αλλά και την ανωνυμοποιημένη καταχώρισή τους στην εν λόγω βάση και β) να ενημερώσει σχετικά την Αρχή (απόφαση 138/2014).

Στο πλαίσιο της ίδιας θεματικής η Αρχή έκρινε ότι το ΚΕΔΔΥ (Κέντρο Διαφοροδιάγνωσης, Διάγνωσης και Υποστήριξης) οφείλει να ικανοποιήσει το δικαίωμα πρόσβασης υποκειμένου των δεδομένων και να του χορηγήσει αντίγραφο του αιτούμενου υλικού αξιολόγησής του, σύμφωνα με τις διατάξεις του άρθρου 12 του Ν. 2472/1997 (απόφαση 149/2014).

Τέλος, η Αρχή σε δύο υποθέσεις εξέτασε την περίπτωση ανάρτησης στο διαδίκτυο προσωπικών δεδομένων εκπαιδευτικών και μαθητών, αντίστοιχα.
Συγκεκριμένα, στην πρώτη περίπτωση, κατόπιν καταγγελίας για την ανάρτηση στο διαδίκτυο από Διευθύνσεις Δευτεροβάθμιας Εκπαίδευσης στοιχείων εκπαιδευτικών προς διαθεσιμότητα, η Αρχή εξετάζοντας τη νομιμότητα της εν λόγω ανάρτησης έκρινε ότι δεν πληρούται η αρχή της αναλογικότητας, εφόσον τα δεδομένα που αναρτήθηκαν στο διαδίκτυο ήταν περισσότερα από αυτά που ήταν αναγκαία για τον επιδιωκόμενο σκοπό, δηλαδή την ενημέρωση των εκπαιδευτικών. Για τον λόγο αυτό προχώρησε σε σχετική σύσταση προς το Υπουργείο Παιδείας να τηρεί απαρεγκλίτως όλες τις οριζόμενες στις διατάξεις του Ν. 2472/1997 προϋποθέσεις νομιμότητας επεξεργασίας των προσωπικών δεδομένων (Γ/ΕΞ/6266/16.10.2014).
Στη δεύτερη υπόθεση, η Αρχή, εξετάζοντας τη νομιμότητα ανάρτησης σε ιστοσελίδα σχολείου φωτογραφιών και βίντεο μαθητών από σχολικές δραστηριότητες και λαμβάνοντας υπόψη ότι μια ανάρτηση στο διαδίκτυο συνεπάγεται διάδοση του αναρτώμενου υλικού σε απεριόριστο και μη ελεγχόμενο αριθμό προσώπων, έκρινε ότι για να είναι νόμιμη η ανάρτηση αυτή θα πρέπει να έχουν προηγουμένως ενημερωθεί οι γονείς ή οι ασκούντες τη γονική μέριμνα των μαθητών για το είδος και τον σκοπό της υπό κρίση επεξεργασίας και να έχει δοθεί η συγκατάθεσή τους για την επεξεργασία αυτή, ενώ ταυτόχρονα το σχολείο οφείλει, ως υπεύθυνος επεξεργασίας, να ικανοποιεί τα δικαιώματα πρόσβασης και αντίρρησης (Γ/ΕΞ/6443−1/12.11.2014).