Τρίτη 19 Μαΐου 2020

Μετά την αναφορά της ΟΙΕΛΕ, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ζητά το συντομότερο δυνατόν τις θέσεις του Υπουργείου Παιδείας για την αναστολή της διαδικασίας live streaming – Ποιες οι κρίσιμες παραλείψεις του Υπουργείου Παιδείας

Μόλις προ ολίγου κοινοποιήθηκε στην ΟΙΕΛΕ έγγραφο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μετά από την αναφορά που κατέθεσε την περασμένη εβδομάδα η ΟΙΕΛΕ, και το οποίο απευθύνεται στο Υπουργείο Παιδείας.
Στο έγγραφό της η Αρχή ζητά από τις αρμόδιες υπηρεσίες του Υπουργείου Παιδείας να αποστείλουν τις θέσεις και απόψεις τους για την αναφορά μας, ιδίως δε για την αναστολή της διαδικασίας της απευθείας μετάδοσης των μαθημάτων.

Οι παραλείψεις του Υπουργείου Παιδείας που πλήττουν τα προσωπικά δεδομένα χιλιάδων εκπαιδευτικών και μαθητών


Η ΟΙΕΛΕ, συνεπής στην απόφασή της να εξηγήσει σε τι κινδύνους έθεσε το Υπουργείο Παιδείας το σύνολο της εκπαιδευτικής κοινότητας, παρουσιάζει τα βασικά σημεία της Αναφοράς που κατέθεσε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, σε απλή και κατανοητή μορφή.
Οι σοβαρές παραλείψεις και τα σφάλματα, αποτελούν από τη μια πλευρά σοβαρές παραβιάσεις του GDPR, από την άλλη προκαλούν σοβαρό κίνδυνο για τα δεδομένα αλλά και τα ευρύτερα δικαιώματα εκπαιδευτικών και μαθητών.
Ειδικότερα :
  1. Το Υπουργείο δε ζήτησε τη γραπτή γνώμη και δε διαβουλεύθηκε έγκαιρα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη διάταξη που ψηφίστηκε, ενώ είχε από το νόμο τέτοια υποχρέωση. (Άμεση παραβίαση του GDPR)
  2. Ο σκοπός επεξεργασίας με τον τρόπο που περιγράφεται (ή καλύτερα με τον τρόπο που δεν περιγράφεται) στη διάταξη δεν είναι νόμιμος. Η διατύπωση είναι τόσο αόριστη, που δεν ξέρει κανείς για ποιους πραγματικούς σκοπούς θα συλλεχθούν τα δεδομένα μας. (Άμεση παραβίαση του GDPR)
  3. Το Υπουργείο δεν προέβλεψε και δεν ενημέρωσε καν ποια πρόσωπα θα αφορά η επεξεργασία αυτή και ποια ακριβώς προσωπικά δεδομένα θα συλλέξει. Κανείς μας τελικά δεν ξέρει ποια ακριβώς δεδομένα συλλέγονται. (Άμεση παραβίαση του GDPR)
  4. Το Υπουργείο δεν προέβλεψε ότι υπάρχει δυνατότητα καταγραφής είτε της εικόνας είτε του ήχου από τις συσκευές στις οποίες καταλήγει η μετάδοση του μαθήματος. Δεν προέβλεψε επίσης ότι στη διάρκεια του μαθήματος και ως κομμάτι της εκπαιδευτικής διαδικασίας, ανακοινώνονται γεγονότα και δεδομένα της προσωπικής και οικογενειακής ζωής των μαθητών, των εκπαιδευτικών και ενδεχομένως και άλλων προσώπων. (Έμμεση και άμεση παραβίαση του GDPR)
  5. Το Υπουργείο δεν όρισε ποια είναι τα περίφημα μεταδεδομένα. Η αόριστη αυτή αναφορά σε συνδυασμό με τις δυνατότητες που έχει η τεχνολογία, καθιστά εύκολη την παρακολούθηση και το σχηματισμό προφίλ για μαθητές και εκπαιδευτικούς. Αυτά δεν απαγορεύονται μόνο από τον GDPR αλλά είναι και ευθέως αντισυνταγματικά, γιατί αλλάζουν την ουσία της εκπαίδευσης. (Άμεση παραβίαση του GDPR)
  6. Το Υπουργείο δεν συμπεριέλαβε στη διάταξη νόμου τα βασικά χαρακτηριστικά αυτής της επεξεργασίας δεδομένων και δεν τα αιτιολόγησε με ακρίβεια, ώστε να είναι σαφές υπό ποιες συνθήκες και λόγους θα γίνεται επεξεργασία δεδομένων, ποιους θα αφορά, ποια δεδομένα, αν θα υπάρχουν συνεργάτες που θα χρησιμοποιηθούν (πχ εταιρείες), τι εγγυήσεις θα πρέπει να πληρούν, σε ποιους άλλους θα κοινοποιούνται τα δεδομένα, για πόσο χρόνο θα διατηρούνται κ.α. Αντίθετα, επιχείρησε να ορίσει κάποια από αυτά τα ζητήματα με την υπουργική απόφαση. Η πρακτική αυτή είναι αντίθετη στο Σύνταγμα και σε όσα έχει κρίνει η Αρχή Προστασίας Δεδομένων σε ανάλογα ζητήματα.
  7. Το Υπουργείο Παιδείας φαίνεται ότι δεν έχει κάνει διαδικασίες συμμόρφωσης με τις υποχρεώσεις που ορίζει ο GDPR. Αντί λοιπόν να φροντίσει να λύσει τα σοβαρά ζητήματα που έχει, με τα οποία έχει ασχοληθεί στο παρελθόν η Αρχή Προστασίας Δεδομένων, αντί να ελέγξει μήπως έχει συμβεί μέχρι και παραβίαση δεδομένων, χωρίς καμία υποδομή και προετοιμασία, αποφάσισε να κάνει μια επεξεργασία δεδομένων που αφορά 1,5 εκατομμύρια φυσικά πρόσωπα, χωρίς να συμβουλευτεί ούτε έναν ειδικό. (Άμεση παραβίαση του GDPR)
  8. Το Υπουργείο Παιδείας στην ουσία δεν είχε Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer) για 11 μήνες, ενώ όρισε μόλις 1 ημέρα πριν ψηφίσει τη διάταξη νόμου για την εξ αποστάσεως «εκπαίδευση». Ο GDPR λέει ότι ο DPO συμβουλεύει τον υπεύθυνο επεξεργασίας και παρακολουθεί τη συμμόρφωση. Είναι βέβαιο ότι o DPO δεν πρόλαβε να μελετήσει και να συμβουλεύσει το Υπουργείο Παιδείας μέσα σε 1 μέρα για ένα τόσο σοβαρό ζήτημα. (Άμεση παραβίαση του GDPR)
  9. Το Υπουργείο Παιδείας δεν έκανε Εκτίμηση Αντικτύπου Προστασίας Δεδομένων για όσες επεξεργασίες δεδομένων έκανε ήδη μέχρι τώρα, δεν είχε κάνει διαβούλευση με την Αρχή Προστασίας Δεδομένων και δεν είχε ποτέ ζητήσει τη γνώμη μας. Επίσης χρησιμοποίησε εταιρείες, δίχως να μας ενημερώσει ποτέ επίσημα ποιες είναι αυτές, ποια δεδομένα μας συλλέγουν, τι τα κάνουν και αν δεσμεύονται από κάποια πράξη. (Άμεση παραβίαση του GDPR)
  10. Το Υπουργείο Παιδείας σε σχέση με τη διάταξη που ψήφισε, δεν ξεκίνησε ποτέ έναν ανοιχτό επιστημονικό διάλογο και δε ζήτησε ποτέ τη γνώμη της εκπαιδευτικής κοινότητας ή των εκπροσώπων της. Δηλαδή, δε ζήτησε τη γνώμη 1,5 εκατομμυρίου ανθρώπων για το τι θα γίνουν τα απλά αλλά και τα ευαίσθητα δεδομένα τους. Δε ζήτησε τη γνώμη 1,5 εκατομμυρίου ανθρώπων των οποίων τα δεδομένα θα επεξεργαστεί υποχρεωτικά το Υπουργείο, τα ιδιωτικά σχολεία και τρίτοι, τη στιγμή μάλιστα κατά την οποία δεν είχε κάνει την παραμικρή προετοιμασία και δεν είχε κανένα σχεδιασμό.
Αναμένουμε την άμεση και τεκμηριωμένη απάντηση του Υπουργείου Παιδείας στα ζητήματα που έθεσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα βασισμένη στην αναλυτική μας αναφορά.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου