Πέμπτη 17 Σεπτεμβρίου 2020

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ∆Ε∆ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ: ΓΝΩΜΟ∆ΟΤΗΣΗ


 
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ∆Ε∆ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ


Αθήνα, 07-09-2020
Αριθ. Πρωτ.: Γ/ΕΞ/6031/07-09-2020





ΓΝΩΜΟ∆ΟΤΗΣΗ       4/2020



Η Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα συνήλθε µετά από πρόσκληση του Προέδρου της σε τακτική συνεδρίαση µέσω τηλεδιάσκεψης την
19.08.20         σε συνέχεια των από 14.7.20 και 12.8.20 συνεδριάσεών της, προκειµένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν ο Πρόεδρος της Αρχής Κωνσταντίνος Μενουδάκος, και τα τακτικά µέλη της Αρχής Σπυρίδων Βλαχόπουλος, Χαράλαµπος Ανθόπουλος και Κων/νος Λαµπρινουδάκης, οι δύο τελευταίοι και ως εισηγητές της υπόθεσης. Παρόντες χωρίς δικαίωµα ψήφου ήταν οι Καλλιόπη Καρβέλη και Γεώργιος Ρουσόπουλος, ειδικοί επιστήµονες, ως βοηθοί εισηγητών, οι οποίοι αποχώρησαν µετά τη συζήτηση της υπόθεσης και πριν από τη διάσκεψη και τη λήψη απόφασης και η Γεωργία Παλαιολόγου, υπάλληλος του τµήµατος διοικητικών υποθέσεων της Αρχής, ως γραµµατέας.

Η Αρχή έλαβε υπόψη τα παρακάτω:

Με τις υπ’ αριθ. πρωτ. Γ/ΕΙΣ/3307/14.05.20 και Γ/ΕΙΣ/3701/29.05.20, Γ/ΕΙΣ/4144/16.6.20 και Γ/ΕΙΣ/3866/5.6.20 αναφορές τους κατά του Υπουργείου Παιδείας και Θρησκευµάτων (εφεξής Υ.ΠΑΙ.Θ.) αντίστοιχα η Οµοσπονδία Ιδιωτικών Εκπαιδευτικών Λειτουργών Ελλάδος (εφεξής ΟΙΕΛΕ), η ∆ιδασκαλική Οµοσπονδία Ελλάδος (εφεξής ∆ΟΕ) και η A προβάλλονται παραβιάσεις της νοµοθεσίας για την προστασία των προσωπικών από το Υπουργείο Παιδείας και Θρησκευµάτων και ζητούν την παρέµβαση της Αρχής. Μεταξύ άλλων ζητείται να διερευνηθεί η


συµβατότητα της σύγχρονης εξ αποστάσεως εκπαίδευσης στις σχολικές µονάδες της πρωτοβάθµιας και δευτεροβάθµιας εκπαίδευσης µε τις διατάξεις του Γενικού Κανονισµού Προστασίας ∆εδοµένων (εφεξής ΓΚΠ∆) και του ν. 4624/2019 καθώς και κατά πόσον η παροχή της συνιστά νόµιµη επεξεργασία προσωπικών δεδοµένων ή όχι. Με την παρούσα γνωµοδότηση εξετάζονται τα ζητήµατα που σχετίζονται µε το τελευταίο αυτό θέµα, επιφυλάσσεται δε η Αρχή ως προς τις λοιπές αιτιάσεις που
περιέχονται στις ανωτέρω αναφορές
Ως προς το εξεταζόµενο θέµα, η ΟΙΕΛΕ και η ∆ΟΕ µε τις υπ’ αριθ. πρωτ. Γ/ΕΙΣ/3307/14.05.20, Γ/ΕΙΣ/3701/29.05.20 και Γ/ΕΙΣ/4144/16.6.20 αντίστοιχες αναφορές τους ζητούν την παρέµβαση της Αρχής προκειµένου να διερευνηθεί: α) η συµβατότητα της σύγχρονης εξ αποστάσεως εκπαίδευσης στις σχολικές µονάδες της πρωτοβάθµιας και δευτεροβάθµιας εκπαίδευσης µε τις διατάξεις του ΓΚΠ∆ και του ν. 4624/2019, β) κατά πόσον η επεξεργασία προσωπικών δεδοµένων που έλαβε χώρα από τα µέσα Μαρτίου 2020 µέχρι και τις αρχές Μαΐου 2020 στα δηµόσια και ιδιωτικά σχολεία στο πλαίσιο της ασύγχρονης αλλά κυρίως της σύγχρονης εξ αποστάσεως διδασκαλίας ήταν σύµφωνη µε τις διατάξεις του ΓΚΠ∆ και γ) κατά πόσον η επεξεργασία προσωπικών δεδοµένων που πραγµατοποιήθηκε στα ιδιωτικά σχολεία της Αθήνας και του Πειραιά από τη ∆ευτέρα 11 Μαΐου 2020, στο πλαίσιο της σύγχρονης εξ αποστάσεως διδασκαλίας, είναι σύµφωνη µε τις διατάξεις του ΓΚΠ∆. Επίσης η ΟΙΕΛΕ καταγγέλλει ότι από την εγκύκλιο του Υ.ΠΑΙ.Θ. υπ’ αριθ. 57521/Γ∆4/17.05.2020: α) επιβεβαιώνεται το παράνοµο της επεξεργασίας της σύγχρονης εκπαίδευσης, από τα µέσα Μαρτίου µέχρι και τις 15.5.20, στη δηµόσια και ιδιωτική εκπαίδευση, λόγω παραβίασης της αρχής της νοµιµότητας (έλλειψη νοµίµου βάσεως επεξεργασίας) αναφορικά µε τον δηµόσιο και ιδιωτικό τοµέα, β) εντοπίζεται συστηµατική και µε ποικίλους τρόπους παραβίαση των κανόνων των άρθρων 24 και 25 ΓΚΠ∆ (ιδίως η αρχή της προστασίας των δεδοµένων ήδη από τον σχεδιασµό) εκ
µέρους του Υ.ΠΑΙ.Θ. στον κανονιστικό, οργανωτικό και τεχνικό σχεδιασµό της επεξεργασίας, γ) το περιεχόµενο της εγκυκλίου αποκαλύπτει περιορισµό στα αναγνωρισµένα εκ του ΓΚΠ∆ δικαιώµατα των υποκειµένων, δίχως να είναι συνταγµατικά ανεκτή µια τέτοια επιλογή και δίχως να εξασφαλίζεται από κανένα κείµενο η τήρηση των εγγυήσεων του άρθ. 23 ΓΚΠ∆ και δ) δεν διασφαλίζονται σαφείς διαδικασίες για την άσκηση δικαιωµάτων των υποκειµένων, στην ως άνω επεξεργασία. Ακόµη η ∆ΟΕ ζητά από την Αρχή να εξετάσει την τήρηση από το


Υ.ΠΑΙ.Θ. της αρχής της λογοδοσίας, ήτοι να αξιολογηθεί η πληρότητα της εκπονηθείσας µελέτης εκτίµησης αντικτύπου.
Στο πλαίσιο διερεύνησης των καταγγελιών η Αρχή απέστειλε τα µε αριθ. πρωτ. Γ/ΕΞ/3307-1/18.05.20,      Γ/ΕΞ/3701-1/02-06-2020,      Γ/ΕΞ/4144-1/22.06.20      και
Γ/ΕΞ/3866-1/23.06.20 έγγραφα προς παροχή διευκρινίσεων στο Υ.ΠΑΙ.Θ., το οποίο στις µε αριθ. πρωτ. Γ/ΕΙΣ/4844/13.07.20 και Γ/ΕΙΣ/4644/03.07.20 απαντήσεις του ανέφερε τα εξής : α) η ταυτόχρονη διδασκαλία σε µαθητές τόσο µε φυσική παρουσία όσο και µε τη µέθοδο της εξ αποστάσεως εκπαίδευσης µε χρήση µέσων τεχνολογίας σε περίπτωση καθολικής ή µερικής αναστολής ή απαγόρευσης λειτουργίας εκπαιδευτικής δοµής είτε για άλλον λόγο που ανάγεται σε έκτακτο ή απρόβλεπτο γεγονός, προβλέπεται στο άρθρο 63 του ν. 4686/20, β) σε συνέχεια της δυνατότητας αυτής εκπονήθηκε η Μελέτη Εκτίµησης Αντικτύπου, σύµφωνα µε το άρθρο 35 του ΓΚΠ∆, γ) στη συνέχεια, η δυνατότητα οι σχολικές µονάδες της πρωτοβάθµιας και δευτεροβάθµιας εκπαίδευσης να παρέχουν σύγχρονη εξ αποστάσεως εκπαίδευση ρυθµίστηκε µε την υπ’ αριθ. 57233/Υ1 Υπουργική απόφαση, στην οποία προβλέφθηκαν όλα τα συναφή ζητήµατα για την εφαρµογή της τηλεκπαίδευσης, όπως οι όροι και προϋποθέσεις διενέργειας της διαδικασίας, συµπεριλαµβανοµένων τυχόν οργανωτικών ή/και τεχνικών µέτρων προς διασφάλιση της προστασίας των προσωπικών δεδοµένων των συµµετεχόντων, καθώς και ο τρόπος και τα µέσα που χρησιµοποιούνται για την υλοποίηση της εξ αποστάσεως εκπαίδευσης και ο τρόπος συµµετοχής των εκπαιδευτικών και των µαθητών σε αυτή, δ) η υλοποίηση της σύγχρονης εξ αποστάσεως εκπαίδευσης πραγµατοποιείται µέσω κατάλληλης ψηφιακής πλατφόρµας, η οποία καθιστά δυνατή την απευθείας µετάδοση ήχου ή/και εικόνας του µαθήµατος από τους ίδιους τους εκπαιδευτικούς προς τους µαθητές. Προς τον σκοπό αυτό το Υ.ΠΑΙ.Θ. έχει συνάψει σχετική σύµβαση µε την εταιρία Cisco Hellas A.E. ως εκτελούσα την επεξεργασία, στην οποία περιλήφθηκαν όροι για την προστασία των προσωπικών δεδοµένων σύµφωνα µε τις διατάξεις του άρθρου 28 ΓΚΠ∆, ε) νοµική βάση της επεξεργασίας προσωπικών δεδοµένων από το Υ.ΠΑΙ.Θ προς τον σκοπό της παροχής σύγχρονης εξ αποστάσεως εκπαίδευσης είναι η εκπλήρωση της υποχρέωσης για παροχή δηµόσιας εκπαίδευσης που αποτελεί ταυτόχρονα και σκοπό δηµοσίου συµφέροντος (άρθρο 6 παρ. 1 περ. γ’ και ε’ του ΓΚΠ∆), στ) το Υ.ΠΑΙ.Θ έχει ενηµερώσει τα υποκείµενα για την επεξεργασία των προσωπικών τους δεδοµένων που διενεργεί µέσω της διαδικασίας της τηλεκπαίδευσης, σύµφωνα µε τις διατάξεις των άρθρων 12-14 του ΓΚΠ∆, καθώς


όλες οι σχετικές πληροφορίες περιλαµβάνονται στη διάταξη του άρθρου 63 του ν. 4686/20 και στη βάσει αυτής εκδοθείσα υπ’ αριθ. 57233/Υ1 Υπουργική απόφαση, περαιτέρω, τόσο στους διδάσκοντες όσο και στους µαθητές και στους γονείς/κηδεµόνες αυτών χορηγήθηκε αναλυτικό ενηµερωτικό έγγραφο σε φυσική ή ηλεκτρονική µορφή, ζ) δεν επιτρέπεται βάσει του άρθρου 63 παρ. 2 του ν. 4686/20, η καταγραφή και αποθήκευση του µαθήµατος, είτε η παράδοση γίνεται σε αίθουσα διδασκαλίας  παρουσία  κάποιων  µαθητών  είτε  σε  άλλο  χώρο  δίχως  τη  παρουσία
µαθητών, επιτρέπεται µόνον η ζωντανή µετάδοση ήχου ή/και εικόνας σε πραγµατικό χρόνο, µε µοναδικούς αποδέκτες τους µαθητές και τον ίδιο τον εκπαιδευτικό και έχει απενεργοποιηθεί στην εφαρµογή η δυνατότητα καταγραφής/αποθήκευσης του διαδικτυακού µαθήµατος, η) η ζωντανή µετάδοση αφορά µόνο στο τµήµα της σχολικής ώρας που αφιερώνεται στη διδασκαλία-παράδοση και όχι κατά την ενδεχόµενη  εξέταση-αξιολόγηση  µαθητών,  θ)  τόσο  ο  εκπαιδευτικός  όσο  και  οι
µαθητές  µπορούν να ενεργοποιούν/απενεργοποιούν τη χρήση  της  κάµερας  και  του
µικροφώνου  τους  καθ’  όλη  τη  διάρκεια  του  διαδικτυακού  µαθήµατος,  ι)  για  τη
µετάδοση του ήχου η συσκευή του εκπαιδευτικού επιβάλλεται να είναι σταθερά τοποθετηµένη κοντά στον ίδιο, ενώ ο εκπαιδευτικός διατηρεί το δικαίωµα σίγασης της φωνής του µαθητή ή ακόµα και διακοπής της µετάδοσης, εάν το κρίνει απαραίτητο, ιδίως για την προστασία κάποιου µαθητή, ια) στην περίπτωση που επιλεγεί η µετάδοση εικόνας, η κάµερα επιβάλλεται να εστιάζει αποκλειστικά και
µόνο στον εκπαιδευτικό ή/και στον πίνακα της αίθουσας διδασκαλίας, εφόσον δεν χρησιµοποιείται από µαθητή, και απαγορεύεται να εστιάζει σε µαθητές που βρίσκονται  στην  αίθουσα  διδασκαλίας,  ιβ)  κατά  τη  διάρκεια  του  διαδικτυακού
µαθήµατος συλλέγονται µεταδεδοµένα, τα οποία παράγονται κατά τη χρήση της πλατφόρµας τηλεκπαίδευσης και είναι απαραίτητα για διάγνωση των ανακυπτόντων τεχνικών ζητηµάτων και συνακόλουθα για την τεχνική υποστήριξη της πλατφόρµας τηλεκπαίδευσης, αυτά περιλαµβάνουν ειδικότερα τη διεύθυνση IP, το αναγνωριστικό
«User Agent», τον τύπο υλικού, τον τύπο και την έκδοση λειτουργικού συστήµατος, την έκδοση διακοµιστή-πελάτη, τη διεύθυνση Mac κατά περίπτωση, την έκδοση εφαρµογής, τις υλοποιηθείσες ενέργειες (είσοδος-έξοδος), και τις πληροφορίες σύσκεψης (τίτλος, ηµεροµηνία και ώρα, συχνότητα, µέση και πραγµατική συχνότητα, ποιότητα, ποσότητα, δραστηριότητα δικτύου και συνδεσιµότητα) και, τέλος, ιγ) το Υ.ΠΑΙ.Θ. ως υπεύθυνος επεξεργασίας, δύναται µέσω των εξουσιοδοτηµένων στελεχών του, υπό την ιδιότητα του διαχειριστή της πλατφόρµας τηλεκπαίδευσης, να


αποκτά πρόσβαση στα ονόµατα χρηστών και τα παραγόµενα για αυτούς
µεταδεδοµένα υπό τη µορφή αναφορών για ερευνητικούς και στατιστικούς σκοπούς σχετικά µε την τηλεκπαίδευση, στο πλαίσιο της αποστολής του Υ.ΠΑΙ.Θ.
Η Αρχή µε τις υπ’ αριθ. πρωτ. Γ/ΕΞ/4630/02.07.20, Γ/ΕΞ/4631/02.07.20, Γ/ΕΞ/ 4632/02.07.20, Γ/ΕΞ/4633/02.07.20 και Γ/ΕΞ/4634/02.07.20 κλήσεις αντίστοιχα, κάλεσε το Υ.ΠΑΙ.Θ. και τους Α, ΟΙΕΛΕ και ∆ΟΕ να παραστούν στη συνεδρίαση της Ολοµέλειας της Αρχής την 14.07.2020, προκειµένου να συζητηθούν οι ως άνω αναφορές. Επίσης εκλήθη να συµµετέχει στην ως άνω συνεδρίαση και ο Σύνδεσµος Ιδιωτικών Σχολείων (εφεξής ΣΙΣ) ως προσθέτως παρεµβαίνων στην υπόθεση.
Κατά την ακρόαση της 14.07.20 παρέστησαν η Α, οι πληρεξούσιοι δικηγόροι της ΟΙΕΛΕ, Γεώργιος Μελισσάρης και ∆ηµήτριος Φάκας, ο Πρόεδρος της ∆ΟΕ Αθανάσιος Κικίνης και η Μαρία – Μαγδαληνή Τσίπρα, πληρεξούσια δικηγόρος της Οµοσπονδίας. Εκ µέρους του Υ.ΠΑΙ.Θ. παρέστησαν οι Σπυρίδων Παπαγιαννόπουλος, Αντιπρόεδρος του Νοµικού Συµβουλίου του Κράτους, Αλέξανδρος Βαρβέρης, Τεχνικός Σύµβουλος του Υ.ΠΑΙ.Θ., Αρετή Οκονόµου Νοµική Σύµβουλος του Υ.ΠΑΙ.Θ. και Ειρήνη Καπελάκη, DPO του Υπουργείου χωρις δικαίωµα διατύπωσης γνώµης. Επίσης παρέστη και ο Γρηγόριος Λαζαράκος, ως πληρεξούσιος δικηγόρος του προσθέτως παρεµβαίνοντος του ΣΙΣ.
Η Α κατά την ανωτέρω ακρόαση της 14.07.20 αλλά και στο µε αριθ. πρωτ. Γ/ΕΙΣ/5060/20.07.20 συµπληρωµατικό υπόµνηµά της ανέφερε ότι α) το Υ.ΠΑΙ.Θ. εξακολουθεί να µην ανταποκρίνεται στα αιτήµατά της, που αφορούν τη διάθεση και χρήση της πλατφόρµας webex της εταιρείας Cisco κατά την εκπαιδευτική διαδικασία τον Απρίλιο του 2020, και συνεχίζει να µην της γνωστοποιεί: 1) την επίσηµη έγγραφη σύµβαση µεταξύ του Υ.ΠΑΙ.Θ. και της Cisco, 2) την Κ.Υ.Α. που αφορά την προαναφερθείσα εκπαιδευτική διαδικασία, και 3) τον τρόπο αποδοχής της δωρεάς των υπηρεσιών της εταιρείας Cisco, αίτηµα το οποίο διατύπωσε προφορικά, µετά την ανάγνωση του άρθρου εξηκοστού πέµπτου της Π.Ν.Π. της 20ης Μαρτίου 2020 (επικυρώθηκε µε τον νόµο 4683/2020), ενώπιον των νοµικών εκπροσώπων του Υ.ΠΑΙ.Θ. κατά την 14/7/2020 ακροαµατική διαδικασία ενώπιον της Αρχής, β) το Υ.ΠΑΙ.Θ. της γνωστοποίησε µία Μελέτη, που δεν αφορά τον µήνα Απρίλιο 2020, η ανάγνωση της οποίας προκαλεί εύλογη ανησυχία και νέα ερωτηµατικά ως προς τη
µεθοδολογία, τη διαφάνεια και την επιστηµονική εγκυρότητα και επάρκεια µε τις οποίες εισήχθη η τηλεκπαίδευση µε εντολή Υ.ΠΑΙ.Θ. στην εκπαιδευτική διαδικασία πανελλαδικά.


Οι πληρεξούσιοι δικηγόροι της ΟΙΕΛΕ κατά την ανωτέρω ακρόαση της 14.07.20 αλλά και στο µε αριθ. πρωτ. Γ/ΕΙΣ/5242/24.07.20 συµπληρωµατικό υπόµνηµά τους ανέφεραν τα εξής: α) η από 15.5.20 διενεργηθείσα µελέτη εκτίµησης αντικτύπου (εφεξής ΕΑΠ∆) δεν συνιστά έγγραφο βέβαιης χρονολογίας, δεν φέρει αριθµό εισερχοµένου πρωτοκόλλου µε το οποίο εισήχθη στο αρχείο του Υπουργείου, δεν φέρει αριθµό διαβιβαστικού, ούτε ηλεκτρονική υπογραφή, β) από το σώµα της δηµοσιευµένης ΕΑΠ∆ δεν αναφέρεται το πρόσωπο ή πρόσωπα που τη διενήργησαν, γ) δεν καθίστατο βέβαιο αν η ΕΑΠ∆ αφορά και το χρονικό διάστηµα από 13.3.20 έως και 15.5.20, σε κάθε δε περίπτωση για το διάστηµα αυτό και για την επεξεργασία δεδοµένων που έγινε δεν δηµοσιεύθηκε προ της έναρξής της καµία σχετική ΕΑΠ∆, δ) η έγκριση της ΕΑΠ∆ από τον Υπεύθυνο Προστασίας ∆εδοµένων (ΥΠ∆) του Υπουργείου όχι µόνον δεν ανάγεται στον κύκλο καθηκόντων του ΥΠ∆, αλλά συνιστά παραβίαση του ΓΚΠ∆, διότι επέρχεται ευθεία σύγκρουση συµφερόντων στο  πρόσωπό του, µέσω της λήψης δεσµευτικής απόφασης για λογαριασµό του υπευθύνου επεξεργασίας ταυτιζόµενος κατ’ ουσία µε αυτόν, ε) για τη σύνταξη της ΕΑΠ∆ δεν έχουν ληφθεί υπόψη το άρθρο 63 του ν. 4686/20 και η υπ’ αριθ. 57233/Υ1 Υπουργική Απόφαση, καθώς και τµήµατα της σύµβασης µε τη CISCO HELLAS A.E και στ) δεν προκύπτει εάν το Υπουργείο προέβη σε στοιχειώδη σύγκριση µεταξύ των προσφερθέντων πλατφορµών και εάν ναι, µε ποια κριτήρια και ποια ήταν τα αποτελέσµατα αυτής.
Η πληρεξούσια δικηγόρος της ∆ΟΕ κατά την ανωτέρω ακρόαση της 14.07.20 αλλά και στο µε αριθ. πρωτ. Γ/ΕΙΣ/5216/24.07.20 συµπληρωµατικό υπόµνηµά της ανέφερε τα εξής: α) το Υ.ΠΑΙ.Θ βεβαιώνει στην ΕΑΠ∆ ότι τα µεταδεδοµένα διαγράφονται µόλις λήξει η σύµβαση µε τον πάροχο, ήτοι σε διάστηµα 4 µηνών από τις 13.3.20, ενώ σύµφωνα µε το Privacy Data Sheet, που έχει αναρτήσει η Cisco, στο οποίο περιγράφει τις δυνατότητες της πλατφόρµας, αναφέρεται ότι τα µεταδεδοµένα τηρούνται για 7 έτη από τη λήξη της σύµβασης, β) ο σκοπός της τηλεκπαίδευσης είναι καταρχήν νόµιµος, πλην όµως είναι µη καθορισµένος ως προς τα βασικά του χαρακτηριστικά, διότι δεν οριοθετείται το πεδίο εφαρµογής της επεξεργασίας και παρότι παρατίθενται κάποιες περιστάσεις υπό τις οποίες θα µπορούσε να λαµβάνει χώρα η σύγχρονη εξ αποστάσεως εκπαίδευση, οι σχετικές διατυπώσεις είναι ασαφείς και γενικές, γ) υφίσταται υπέρβαση της αρχής της αναλογικότητας στη συγκεκριµένη επεξεργασία και δ) εάν η κατηγορία των τυπικά απλών και κατά περίπτωση ευαίσθητων δεδοµένων καταστούν αντικείµενο επεξεργασίας, τίθενται αυτοµάτως σε


κίνδυνο τα υποκείµενα των δεδοµένων, ανεξαρτήτως των τεχνικών µέσων που θα χρησιµοποιηθούν.
Ο πληρεξούσιος δικηγόρος του ΣΙΣ κατά την ανωτέρω ακρόαση της 14.07.20 αλλά και στο µε αριθ. πρωτ. Γ/ΕΙΣ/5156/23.07.20 συµπληρωµατικό υπόµνηµά του ανέφερε τα εξής: α) η σύγχρονη εξ αποστάσεως εκπαίδευση αποτελεί µέτρο πρόσφορο, αναγκαίο και αναλογικό για την παροχή εκπαίδευσης σε περιόδους έκτακτης και απρόβλεπτης ανάγκης, όπως αυτή της πανδηµίας του COVID-19, β) ο κίνδυνος για την ελεύθερη ανάπτυξη της προσωπικότητας των µαθητών αξιολογείται ως περιορισµένος, γ) η σύγχρονη τηλεκπαίδευση συνιστούσε ένα έκτακτο µέτρο που εισήχθη ως προσωρινός τρόπος διδασκαλίας µε τον χαρακτήρα του επείγοντος, γεγονός που δεν κατέλειπε στα σχολεία εύλογο χρόνο να εκπονήσουν ΕΑΠ∆, δ) δεν απαιτείται η εκπόνηση νέας ΕΑΠ∆ εφόσον η Υπουργική Απόφαση καταλαµβάνει και τα ιδιωτικά σχολεία, ε) θα πρέπει να διερευνηθεί το ζήτηµα της ακεραιότητας και εµπιστευτικότητας καθώς και της ελαχιστοποίησης των δεδοµένων, στ) η ορθή νοµική βάση της τηλεκπαίδευσης στα ιδιωτικά σχολεία πρέπει να είναι το άρθρο 6 παρ. 1 περ. β’ (εκτέλεση σύµβασης) και γ’ (συµµόρφωση σε έννοµη υποχρέωση) του ΓΚΠ∆ και ζ) τα ιδιωτικά σχολεία συµµορφώθηκαν πλήρως µε τις οδηγίες του Υ.ΠΑΙ.Θ.
Τέλος, οι εκπρόσωποι του Υ.ΠΑΙ.Θ κατά την ανωτέρω ακρόαση της 14.07.20 αλλά και στο µε αριθ. πρωτ. Γ/ΕΙΣ/5271/27.07.20 συµπληρωµατικό υπόµνηµά τους ανέφεραν τα εξής: α) επελέγη η πλατφόρµα «WebEx Meetings» της Cisco Hellas A.E., καθώς ήταν η µόνη από τις προσφερόµενες εταιρίες που δεν απαιτούσε τη δηµιουργία λογαριασµού από τον µαθητή και πραγµατοποιήθηκε παραµετροποίηση του συστήµατος σε συνεργασία µε το Υ.ΠΑΙ.Θ. για την προστασία των δεδοµένων των εκπαιδευτικών και των µαθητών, β) η επεξεργασία που διενεργεί ο πάροχος της πλατφόρµας τηλεκπαίδευσης, ο οποίος υπέχει θέση εκτελούντος την επεξεργασία, διέπεται από τους όρους των ακόλουθων συµβατικών κειµένων 1) της από 13.3.20 σύµβασης δωρεάν παραχώρησης της πλατφόρµας τηλεδιασκέψεων WEBEX για την πραγµατοποίηση σύγχρονης εξ αποστάσεως διδασκαλίας, 2) της από 13.3.20 σύµβασης -πλαίσιο περί προστασίας προσωπικών δεδοµένων µε τίτλο «Master Data Protection Agreement», 3) του από 13.3.20 παραρτήµατος µε τίτλο «Cisco WebEx Meetings  Privacy  Data  Sheet»  και  4)  του  από  13.3.20  παραρτήµατος  µε  τίτλο
«CLARIFICATION APPENDIX», γ) ο εκτελών την επεξεργασία  προβαίνει αµελλητί σε διαγραφή των δεδοµένων που συλλέγονται στο πλαίσιο της σύµβασης


µόλις εκπληρωθεί ο σκοπός αυτής και δεν διαβιβάζει προσωπικά δεδοµένα εκτός ΕΕ, χωρίς την προηγούµενη συγκατάθεση του Υ.ΠΑΙ.Θ., δ) τα µεταδεδοµένα που συλλέγονται κατά τη χρήση της πλατφόρµας τηλεκπαίδευσης υποβάλλονται σε επεξεργασία για σκοπούς ερευνητικούς και στατιστικούς, αφού προηγουµένως ανωνυµοποιηθούν, ε) οι πραγµατοποιηθείσες παραµετροποιήσεις περιλαµβάνουν: 1) την απενεργοποίηση της δυνατότητας καταγραφής της τηλεδιάσκεψης, 2) τη δηµιουργία ψηφιακής τάξης µέσω της εγγραφής των εκπαιδευτικών στην παραµετροποιηµένη πλατφόρµα και της αποστολής σε αυτούς συνδέσµου δηµιουργίας λογαριασµού, 3) την απενεργοποίηση της λειτουργικότητας «People Insights» και της αναγνώρισης προσώπου «facial recognition», 4) την καθιέρωση υποχρέωσης τήρησης  των δεδοµένων εντός ΕΕ και διαβίβασης  αυτών διασυνοριακά
µόνον κατόπιν έγγραφης συγκατάθεσης από το Υ.ΠΑΙ.Θ, 5) την οριστική διαγραφή των δεδοµένων µε τη λήξη ή την καθ’ οιονδήποτε τρόπο λύση της σύµβασης, στ) συνήφθη  σύµφωνο  µε  τις  εταιρίες  κινητής  τηλεφωνίας  για δωρεάν  παροχή στους
µαθητές και εκπαιδευτικούς δεδοµένων κινητής τηλεφωνίας και για παροχή της δυνατότητας σύνδεσης µε την πλατφόρµα ακόµη και µέσω σταθερού τηλεφώνου µε αστική χρέωση και, τέλος, ζ) εξασφαλίστηκαν κονδύλια για παροχή στους µαθητές φορητών συσκευών (tablets).
Επίσης, µε το δεύτερο υπόµνηµά του προς την Αρχή, το Υ.ΠΑΙ.Θ. υπέβαλε αντίγραφο της συναφθείσας σύµβασης µεταξύ του ιδίου και της εταιρείας CISCO HELLAS A.E. καθώς και την από 15.05.20 µελέτη εκτίµησης αντικτύπου.

Η Αρχή, µετά από εξέταση των στοιχείων του φακέλου, την ακροαµατική διαδικασία και αφού άκουσε τους εισηγητές και τους βοηθούς εισηγητές, οι οποίοι αποχώρησαν µετά τη συζήτηση της υπόθεσης και πριν από τη διάσκεψη και τη λήψη απόφασης, µετά από διεξοδική συζήτηση



ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ


1.   Σύµφωνα µε τις διατάξεις του άρθρου 5 του ΓΚΠ∆, τα δεδοµένα προσωπικού χαρακτηρα πρέπει να συλλέγονται κατά τρόπο θεµιτό και νόµιµο για καθορισµένους, σαφείς και νόµιµους σκοπούς και να υφίστανται θεµιτή και νόµιµη επεξργασία


ενόψει των σκοπών αυτών, καθώς και να είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτείται ενόψει των σκοπών της επεξεργασίας.
Επίσης σύµφωνα µε τις διατάξεις του άρθρου 6 παρ. 1 του ΓΚΠ∆, η επεξεργασία είναι σύννοµη µόνον εάν και εφόσον ισχύει τουλάχιστον µία από τις ακόλουθες προϋποθέσεις: …γ) η επεξεργασία είναι απαραίτητη για τη συµµόρφωση µε έννοµη υποχρέωση του υπευθύνου επεξεργασίας,…..ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δηµόσιο συµφέρον ή κατά την άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας…

Περαιτέρω, στο άρθρο 35 του ΓΚΠ∆ προβλέπεται το εξής:


«1. Όταν ένα είδος επεξεργασίας, ιδίως µε χρήση νέων τεχνολογιών και συνεκτιµώντας τη φύση, το πεδίο εφαρµογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίµηση των επιπτώσεων των σχεδιαζόµενων πράξεων επεξεργασίας στην προστασία δεδοµένων προσωπικού χαρακτήρα. Σε µία εκτίµηση µπορεί να εξετάζεται ένα σύνολο παρόµοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόµοιους υψηλούς κινδύνους.
2.      Ο υπεύθυνος επεξεργασίας ζητεί τη γνώµη του υπευθύνου προστασίας δεδοµένων, εφόσον έχει οριστεί, κατά τη διενέργεια εκτίµησης αντικτύπου σχετικά µε την προστασία δεδοµένων.
(….)

7. Η εκτίµηση περιέχει τουλάχιστον:

α) συστηµατική περιγραφή των προβλεπόµενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαµβανοµένου, κατά περίπτωση, του έννοµου συµφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας,
β) εκτίµηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση µε τους σκοπούς,
γ) εκτίµηση των κινδύνων για τα δικαιώµατα και τις ελευθερίες των υποκειµένων των δεδοµένων που αναφέρονται στην παράγραφο 1 και


δ) τα προβλεπόµενα µέτρα αντιµετώπισης των κινδύνων, περιλαµβανοµένων των εγγυήσεων, των µέτρων και µηχανισµών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδοµένων προσωπικού χαρακτήρα και να αποδεικνύεται η συµµόρφωση προς τον παρόντα κανονισµό, λαµβάνοντας υπόψη τα δικαιώµατα και τα έννοµα συµφέροντα των υποκειµένων των δεδοµένων και άλλων ενδιαφερόµενων προσώπων.
(….)

9.    Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας ζητεί τη γνώµη των υποκειµένων των δεδοµένων ή των εκπροσώπων τους για τη σχεδιαζόµενη επεξεργασία, µε την επιφύλαξη της προστασίας εµπορικών ή δηµόσιων συµφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.
10.     Όταν η επεξεργασία δυνάµει του άρθρου 6 παράγραφος 1 στοιχείο γ) ή ε) έχει νοµική βάση στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους µέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, το εν λόγω δίκαιο ρυθµίζει την εκάστοτε συγκεκριµένη πράξη επεξεργασίας ή σειρά πράξεων και έχει διενεργηθεί ήδη εκτίµηση αντικτύπου σχετικά µε την προστασία δεδοµένων ως µέρος γενικής εκτίµησης αντικτύπου στο πλαίσιο της έγκρισης της εν λόγω νοµικής βάσης, οι παράγραφοι 1 έως 7 δεν εφαρµόζονται, εκτός εάν τα κράτη µέλη κρίνουν απαραίτητη τη διενέργεια της εν λόγω εκτίµησης πριν από τις δραστηριότητες επεξεργασίας.
11.     Όπου απαιτείται, ο υπεύθυνος επεξεργασίας προβαίνει σε επανεξέταση για να εκτιµήσει εάν η επεξεργασία των δεδοµένων προσωπικού χαρακτήρα διενεργείται σύµφωνα µε την εκτίµηση αντικτύπου στην προστασία δεδοµένων τουλάχιστον όταν
µεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας.»

Σχετική είναι και η αιτιολογική σκέψη µε αριθµό 75 του ΓΚΠ∆ στην οποία αναφέρεται ότι «Οι κίνδυνοι για τα δικαιώµατα και τις ελευθερίες φυσικών προσώπων, ποικίλης πιθανότητας και σοβαρότητας, είναι δυνατόν να προκύπτουν από την επεξεργασία δεδοµένων προσωπικού χαρακτήρα η οποία θα µπορούσε να οδηγήσει σε σωµατική, υλική ή µη υλική βλάβη, ιδίως όταν η επεξεργασία µπορεί να οδηγήσει σε διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονοµική απώλεια, βλάβη φήµης, απώλεια της εµπιστευτικότητας των δεδοµένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελµατικό απόρρητο, παράνοµη άρση της


ψευδωνυµοποίησης, ή οποιοδήποτε άλλο σηµαντικό οικονοµικό ή κοινωνικό
µειονέκτηµα· όταν τα υποκείµενα των δεδοµένων θα µπορούσαν να στερηθούν των δικαιωµάτων και ελευθεριών τους ή να εµποδίζονται από την άσκηση ελέγχου επί των δεδοµένων τους προσωπικού χαρακτήρα· όταν υπόκεινται σε επεξεργασία δεδοµένα προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήµατα, θρησκεία ή φιλοσοφικές πεποιθήσεις ή συµµετοχή σε συνδικάτα και γίνεται επεξεργασία γενετικών δεδοµένων, δεδοµένων που αφορούν την υγεία ή δεδοµένων που αφορούν τη σεξουαλική ζωή ή ποινικές καταδίκες και αδικήµατα ή σχετικά µέτρα ασφάλειας· όταν αξιολογούνται προσωπικές πτυχές, ιδίως όταν επιχειρείται ανάλυση ή πρόβλεψη πτυχών που αφορούν τις επιδόσεις στην εργασία, την οικονοµική κατάσταση, την υγεία, προσωπικές προτιµήσεις ή συµφέροντα, την αξιοπιστία ή τη συµπεριφορά, τη θέση ή µετακινήσεις, προκειµένου να δηµιουργηθούν ή να χρησιµοποιηθούν προσωπικά προφίλ· όταν υποβάλλονται σε επεξεργασία δεδοµένα προσωπικού χαρακτήρα ευάλωτων φυσικών προσώπων, ιδίως παιδιών· ή όταν η επεξεργασία περιλαµβάνει µεγάλη ποσότητα δεδοµένων προσωπικού χαρακτήρα και επηρεάζει µεγάλο αριθµό υποκειµένων των δεδοµένων.»
Προς περαιτέρω καθοδήγηση, το ΕΣΠ∆ έχει υιοθετήσει τις «Κατευθυντήριες γραµµές για την εκτίµηση του αντικτύπου σχετικά µε την προστασία δεδοµένων (ΕΑΠ∆) και καθορισµός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο» για τους σκοπούς του κανονισµού 2016/679.» (WP 248 αναθ. 01) που εκδόθηκαν από την Ο.Ε. του άρ. 29 (εφεξής κατευθυντήριες γραµµές ΕΑΠ∆). Στο κείµενο αυτό επισηµαίνεται ότι «Το άρθρο 35 κάνει λόγο για ενδεχόµενο υψηλό κίνδυνο «για τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων». Όπως προκύπτει από τη δήλωση της οµάδας εργασίας του άρθρου 29 για την προστασία των δεδοµένων αναφορικά µε τον ρόλο µιας προσέγγισης βάσει κινδύνου στο νοµικό πλαίσιο της προστασίας δεδοµένων, η παραποµπή «στα δικαιώµατα και στις ελευθερίες» των υποκειµένων των δεδοµένων αφορά πρωτίστως τα δικαιώµατα προστασίας των δεδοµένων και της ιδιωτικής ζωής, ενδέχεται όµως να συµπεριλαµβάνει και άλλα θεµελιώδη δικαιώµατα, όπως την ελευθερία του λόγου, την ελευθερία της σκέψης, την ελευθερία κυκλοφορίας, την απαγόρευση των διακρίσεων, το δικαίωµα στην ελευθερία, την ελευθερία συνειδήσεως και θρησκείας.»
Σε σχέση µε την προβλεπόµενη στο άρθρο 35 παρ. 9 του ΓΚΠ∆ εµπλοκή των υποκειµένων των δεδοµένων το εν λόγω κείµενο αναφέρει: «Ο υπεύθυνος


επεξεργασίας οφείλει, «όποτε ενδείκνυται», να «ζητεί τη γνώµη των υποκειµένων των δεδοµένων ή των εκπροσώπων τους» (άρθρο 35 παράγραφος 9). Η οµάδα εργασίας του άρθρου 29 θεωρεί ότι:
-   οι εν λόγω γνώµες θα µπορούσαν να ζητηθούν µε διάφορα µέσα, ανάλογα µε το πλαίσιο (π.χ. µε γενική µελέτη που σχετίζεται µε τον σκοπό και τα µέσα της πράξης επεξεργασίας, µε ερώτηµα προς τους εκπροσώπους των εργαζοµένων ή µε συνήθεις έρευνες που αποστέλλονται στους µελλοντικούς πελάτες του υπεύθυνου επεξεργασίας) διασφαλίζοντας ότι ο υπεύθυνος επεξεργασίας έχει νόµιµη βάση επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα που διακυβεύονται όταν ζητούνται οι εν λόγω γνώµες. Παρά ταύτα, θα πρέπει να σηµειωθεί ότι η συναίνεση στην επεξεργασία προφανώς δεν αποτελεί µέσο αναζήτησης της γνώµης των υποκειµένων των δεδοµένων·
-   εάν η τελική απόφαση του υπεύθυνου επεξεργασίας διαφέρει από τη γνώµη των υποκειµένων των δεδοµένων, τότε θα πρέπει να τεκµηριώνει τους λόγους για τους οποίους αποφάσισε να συνεχίσει ή όχι·
-    ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να τεκµηριώνει τον λόγο για τον οποίο δεν ζήτησε τη γνώµη των υποκειµένων των δεδοµένων, εφόσον αποφασίζει ότι δεν ενδείκνυται, για παράδειγµα εάν κάτι τέτοιο θα διακινδύνευε την εµπιστευτικότητα των επιχειρηµατικών σχεδίων της εταιρείας ή θα ήταν δυσανάλογο ή µη εφαρµόσιµο.
Τέλος, συνιστά ορθή πρακτική ο καθορισµός και η τεκµηρίωση άλλων ειδικών ρόλων και αρµοδιοτήτων, ανάλογα µε την εσωτερική πολιτική, τις διαδικασίες και τους κανόνες, π.χ.:
-   όποτε συγκεκριµένες επιχειρηµατικές µονάδες προτείνουν τη διενέργεια ΕΑΠ∆, τότε θα πρέπει να εισφέρουν δεδοµένα στην ΕΑΠ∆ και να µετέχουν στη διαδικασία επικύρωσής της·
-         όποτε ενδείκνυται, συνιστάται να ζητείται η γνώµη ανεξάρτητων εµπειρογνωµόνων από διαφορετικά επαγγέλµατα (από δικηγόρους, ειδικούς τεχνολογίας πληροφοριών, εµπειρογνώµονες σε θέµατα ασφαλείας, δεοντολογίας, κοινωνιολόγους κ.ο.κ.).


-     οι ρόλοι και οι αρµοδιότητες των εκτελούντων την επεξεργασία πρέπει να ορίζονται συµβατικά· και η ΕΑΠ∆ πρέπει να διενεργείται µε τη συνδροµή του εκτελούντος την επεξεργασία, λαµβανοµένης υπόψη της φύσης της επεξεργασίας και των πληροφοριών που διαθέτει ο εκτελών την επεξεργασία [άρθρο 28 παράγραφος 3 στοιχείο στ)]·
-   ο υπεύθυνος ασφάλειας πληροφοριών (ΥΑΠ), εφόσον έχει οριστεί, καθώς και ο υπεύθυνος προστασίας δεδοµένων (ΥΠ∆) θα µπορούσαν να προτείνουν τη διενέργεια ΕΑΠ∆ από τον υπεύθυνο επεξεργασίας σε συγκεκριµένη πράξη επεξεργασίας και θα πρέπει να συνδράµουν τους ενδιαφερόµενους παράγοντες στη µεθοδολογία, να συνδράµουν στην αξιολόγηση της ποιότητας της εκτίµησης κινδύνου και στον καθορισµό του κατά πόσον ο υπολειπόµενος κίνδυνος είναι αποδεκτός και στην ανάπτυξη ειδικής γνώσης σε σχέση µε το πλαίσιο του υπεύθυνου επεξεργασίας·
-     ο υπεύθυνος ασφάλειας πληροφοριών (ΥΑΠ), εφόσον έχει οριστεί, και/ή το τµήµα τεχνολογίας πληροφοριών, θα πρέπει να παράσχουν συνδροµή στον υπεύθυνο επεξεργασίας και θα µπορούσαν να προτείνουν τη διενέργεια ΕΑΠ∆ σε συγκεκριµένη πράξη επεξεργασίας ανάλογα µε τις λειτουργικές ανάγκες ή τις ανάγκες ασφαλείας. »
Σύµφωνα µε τη διάταξη του άρθρου 63 του ν. 4686/2020 (Α’ 96):

«Παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης

1.    Είναι δυνατή η, κατά παρέκκλιση κάθε άλλης διάταξης, παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης µε χρήση µέσων τεχνολογίας σε µαθητές πρωτοβάθµιας και δευτεροβάθµιας εκπαίδευσης που δεν δύνανται να παρακολουθήσουν δια ζώσης την εκπαιδευτική διαδικασία είτε λόγω καθολικής ή µερικής αναστολής ή απαγόρευσης λειτουργίας εκπαιδευτικής δοµής είτε για άλλον λόγο που ανάγεται σε έκτακτο ή απρόβλεπτο γεγονός. Η ταυτόχρονη διδασκαλία σε µαθητές οι οποίοι συµµετέχουν στο
µάθηµα µε φυσική παρουσία και σε άλλους µαθητές οι οποίοι συµµετέχουν εξ αποστάσεως επιτρέπεται µόνο σε περίπτωση επιδηµικών νόσων. Σκοπός της παρεχόµενης δυνατότητας όλων των ανωτέρω περιπτώσεων είναι αποκλειστικά η παροχή εκπαίδευσης.
2.    Στο πλαίσιο της διαδικασίας της παραγράφου 1, δεν επιτρέπεται η καταγραφή και αποθήκευση του παραδιδόµενου µαθήµατος, παρά µόνον η ζωντανή µετάδοση ήχου ή/και εικόνας σε πραγµατικό χρόνο για τον ανωτέρω συγκεκριµένο σκοπό. Τα


µεταδεδοµένα που τυχόν παράγονται στο ίδιο ως άνω πλαίσιο διατηρούνται για συγκεκριµένο εύλογο χρονικό διάστηµα, όπως αυτό προσδιορίζεται στο πλαίσιο επεξεργασίας των συγκεκριµένων δεδοµένων, µετά την πάροδο του οποίου καταστρέφονται. Η επεξεργασία των εν λόγω µεταδεδοµένων επιτρέπεται αποκλειστικά για σκοπούς ερευνητικούς ή στατιστικούς. Υπεύθυνος επεξεργασίας δεδοµένων κατά την έννοια του άρθρου 4 του Κανονισµού (ΕΕ) 2016/679 (Γενικός Κανονισµός για την Προστασία ∆εδοµένων, «Γ.Κ.Π.∆.») είναι:
α) για όλες τις εκπαιδευτικές δοµές της πρωτοβάθµιας και της δευτεροβάθµιας δηµόσιας εκπαίδευσης το Υπουργείο Παιδείας και Θρησκευµάτων και
β) για όλες τις εκπαιδευτικές δοµές της πρωτοβάθµιας και της δευτεροβάθµιας ιδιωτικής εκπαίδευσης το πρόσωπο, φυσικό ή νοµικό, ή άλλου είδους νοµική οντότητα ανεξαρτήτως νοµικής προσωπικότητας στα οποία έχει χορηγηθεί η άδεια λειτουργίας της αντίστοιχης ιδιωτικής εκπαιδευτικής δοµής.
3.      Με απόφαση του Υπουργού Παιδείας και Θρησκευµάτων, η οποία εκδίδεται
µετά τη διενέργεια εκτίµησης αντικτύπου σχετικά µε την προστασία δεδοµένων (Ε.Α.Π.∆.) σύµφωνα µε τα άρθρα 35 παράγραφος 1 του Γ.Κ.Π.∆. και 65 του ν. 4624/2019 (Α΄ 137), ορίζονται και ρυθµίζονται ο τρόπος και τα µέσα τεχνολογίας που χρησιµοποιούνται για την υλοποίηση της εξ αποστάσεως εκπαίδευσης στις περιστάσεις αυτές, ο τρόπος συµµετοχής των εκπαιδευτικών και των µαθητών σε αυτήν, οι όροι και οι προϋποθέσεις διενέργειας της διαδικασίας, συµπεριλαµβανοµένων τυχόν οργανωτικών ή/και τεχνικών µέτρων προς διασφάλιση της προστασίας των προσωπικών δεδοµένων των συµµετεχόντων, καθώς και κάθε άλλη λεπτοµέρεια για την εφαρµογή του παρόντος.»
Με την από 10/08/2020 ΠΝΠ (ΦΕΚ Α 157) το άρθρο 63 του ν. 4686/2020
τροποποιήθηκε ως εξής:

«Άρθρο δέκατο έβδοµο

Παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης

Το πρώτο εδάφιο της παρ. 1 του άρθρου 63 του ν. 4686/2020 (Α’ 96) αντικαθίσταται ως εξής: «Παρέχεται, κατά παρέκκλιση κάθε άλλης διάταξης και υπό τους ειδικότερους όρους, τις προϋποθέσεις και την έκταση που αποφασίζονται κατά


περίπτωση από τον Υπουργό Παιδείας και Θρησκευµάτων, σύγχρονη εξ αποστάσεως εκπαίδευση µε χρήση µέσων τεχνολογίας σε µαθητές πρωτοβάθµιας και δευτεροβάθµιας εκπαίδευσης που δεν δύνανται να παρακολουθήσουν διά ζώσης την εκ- παιδευτική διαδικασία είτε λόγω καθολικής ή µερικής αναστολής ή απαγόρευσης ή εκ περιτροπής λειτουργίας εκπαιδευτικής δοµής είτε για άλλο λόγο που ανάγεται σε έκτακτο ή απρόβλεπτο γεγονός.».
Τέλος µε την υπ’ αριθ. 57233/Υ1 από 15.05.20 Κοινή Απόφαση της Υπουργού και της Υφυπουργού Παιδείας και Θρησκευµάτων (ΦΕΚ Β΄ 1859/15.05.2020) προβλέφθηκε η δυνατότητα παροχής σύγχρονης εξ αποστάσεως εκπαίδευσης στις σχολικές µονάδες πρωτοβάθµιας και δευτεροβάθµιας εκπαίδευσης µέχρι τη λήξη του σχολικού έτους 2019-2020 και ρυθµίστηκαν: α) τα ειδικότερα ζητήµατα σχετικά µε τον τρόπο και τα µέσα υλοποίησης της εξ αποστάσεως εκπαίδευσης τον τρόπο συµµετοχής των εκπαιδευτικών και των µαθητών σε αυτήν, καθως και β) οι όροι και οι προϋποθέσεις διενέργειας της διαδικασίας, συµπεριλαµβανοµένων τυχόν οργανωτικών ή/και τεχνικών µέτρων προς διασφάλιση της προστασίας των προσωπικών δεδοµένων των συµµετεχόντων.


2.1. Επί της νοµιµότητας της σκοπούµενης επεξεργασίας


Στην κρινόµενη περίπτωση, ο σκοπός που επιδιώκεται µε την υπό εξέταση επεξεργασία είναι ρητώς και σαφώς καθορισµένος στον νόµο και ειδικότερα στην παρ. 1 του άρθρου 63 του ν. 4686/20, σύµφωνα µε την οποία, ο αποκλειστικός σκοπός της εξεταζόµενης επεξεργασίας είναι η παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης µε χρήση µέσων τεχνολογίας σε µαθητές πρωτοβάθµιας και δευτεροβάθµιας εκπαίδευσης που δεν δύνανται να παρακολουθήσουν δια ζώσης την εκπαιδευτική διαδικασία είτε λόγω καθολικής ή µερικής αναστολής ή απαγόρευσης λειτουργίας εκπαιδευτικής δοµής είτε για άλλον λόγο που ανάγεται σε έκτακτο ή απρόβλεπτο γεγονός. Η ταυτόχρονη διδασκαλία σε µαθητές οι οποίοι συµµετέχουν εξ αποστάσεως επιτρέπεται µόνον σε περίπτωση επιδηµικών νόσων.
Σηµειώνεται ότι στην προαναφερόµενη υπ’ αριθ. 57233/Υ1 από 15.05.20 Υπουργική Απόφαση – της οποίας η ισχύς έληξε το τέλος του σχολικού έτους 2019- 2020 – αναφέρεται ότι τα προσωπικά δεδοµένα των µαθητών/τριων, γονέων ή/και κηδεµόνων, συγκεκριµένα η διεύθυνση ηλεκτρονικής αλληλογραφίας αυτών,


αποτελούν αντικείµενο επεξεργασίας από τη σχολική µονάδα λόγω της ιδιότητάς τους ως µαθητών/τριών ή/και γονέων ή κηδεµόνων και της σχέσης τους, αντίστοιχα,
µε το ελληνικό δηµόσιο ή µε ιδιωτική σχολική µονάδα, η επεξεργασία δε αυτή είναι αναγκαία για την εκπλήρωση των σκοπών και υποχρεώσεων του ελληνικού δηµοσίου ή ιδιωτικού εκπαιδευτικού φορέα για τη διασφάλιση της απρόσκοπτης λειτουργίας της  εκπαιδευτικής  δραστηριότητας  κατά  την  περίοδο  εφαρµογής  των  έκτακτων
µέτρων για την αντιµετώπιση του κορωνοϊού   COVID-19 (παρ. 5 περ, β΄). Σύµφωνα
µε τα προβλεπόµενα στην υπουργική αυτή απόφαση (παρ. 7), σκοπός επεξεργασίας των δεδοµένων αυτών είναι το δηµόσιο αγαθό της παροχής εκπαίδευσης υπό καταστάσεις εκτάκτου ανάγκης, όπως είναι η πανδηµία του COVID-19, η νόµιµη δε βάση επεξεργασίας των εν λόγω δεδοµένων είναι το άρθρο 6 παρ. 1 στοιχ. γ’ (συµµόρφωση σε έννοµη υποχρέωση) και ε’ (εκπλήρωση καθήκοντος που εκτελείται προς το δηµόσιο συµφέρον ) του ΓΚΠ∆.
Το υπό εξέταση µέτρο της σύγχρονης εξ αποστάσεως εκπαίδευσης είναι απολύτως συµβατό µε τη βασική αποστολή του Κράτους, όπως αυτή απορρέει από τις διατάξεις του άρθρου 16 του Σ., είναι δε πρόσφορο για τη διατήρηση της σχέσης εκπαιδευτικού-µαθητή και αναγκαίο εν µέσω υγειονοµικής κρίσης, καθώς η χρήση ηπιότερων µεσων, όπως η ασύγχρονη τηλεκπαίδευση, δεν είναι δυνατόν εκ της φύσεώς της να έχει τα ίδια αποτελέσµατα.
Κατά συνέπεια, σύµφωνα µε τα προαναφερόµενα, η επεξεργασία την οποία συνεπάγεται καταρχήν η παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης δεν αντίκειται στη νοµοθεσία για την προστασία των δεδοµένων προσωπικού χαρακτήρα, εφόσον ο σκοπός που εξυπηρετείται µε τη συγκεκριµένη επεξεργασία είναι νόµιµος, δεν καταγράφονται προσωπικά δεδοµένα εικόνας και ήχου από τις τηλεδιασκέψεις και δεν επιβάλλεται η υποχρέωση τηλεδιδασκαλίας πριν τη σχετική απόφαση του Υπουργού.


2.2 Επί της ΕΑΠ∆

Α. Σε σχέση µε την αναγκαιότητα και την αναλογικότητα των πράξεων επεξεργασίας σε συνάρτηση µε τους σκοπούς
Η ΕΑΠ∆ περιέχει στην ενότητα 2.4, σύµφωνα και µε τη σχετική υποχρέωση του υπευθύνου επεξεργασίας µε βάση το άρθρο 35 παρ. 7 β) του ΓΚΠ∆, κρίση για


την αναγκαιότητα και την αναλογικότητα των πράξεων επεξεργασίας σε συνάρτηση
µε τους σκοπούς της διαδικασίας εξ αποστάσεως εκπαίδευσης.

Ο υπεύθυνος επεξεργασίας, σε σχέση µε την καταλληλόλητα του µέτρου, εξετάζει, ως ηπιότερο µέτρο, την πραγµατοποίηση από τους µαθητές εργασιών, κρίνοντας ότι δεν είναι καταλληλότερο µέτρο. Σε σχέση µε την επέµβαση στη διαδραστική παιδαγωγική σχέση, η οποία επισηµαίνεται ότι αποτελεί το κυριότερο εργαλείο για τη πραγµάτωση του δικαιώµατος στην εκπαίδευση, στην ΕΑΠ∆ κρίνεται ότι, καθώς η ζωντανή µετάδοση του µαθήµατος γίνεται σε εξαιρετικές περιστάσεις, όπως αυτή της πανδηµίας, µε τη λήψη µέτρων, τα συγκρουόµενα συνταγµατικά αγαθά, βρίσκονται σε αρµονία.
Κατά τη γνώµη της Αρχής, η ορθότητα της κρίσης αυτής είναι προφανής, στην περίπτωση της «κλασσικής» σύγχρονης τηλεκπαίδευσης σε καιρό πανδηµίας, όταν δεν υπάρχει η δυνατότητα λειτουργίας της τάξης σε σχολική αίθουσα. Στην περίπτωση αυτή, η επιλογή του υπευθύνου επεξεργασίας είναι µεταξύ µοντέλων ασύγχρονης και σύγχρονης εξ αποστάσεως εκπαίδευσης. Συνεπώς, η χρήση σύγχρονης τηλεκπαίδευσης η οποία παρέχει τη δυνατότητα επικοινωνίας, και ικανοποιητικού βαθµού διάδρασης, δεδοµένων των συνθηκών, ικανοποιεί την αρχή της αναλογικότητας.
∆ιαφορετικό ζήτηµα αποτελεί η κρίση σε σχέση µε την αναλογικότητα του
µέτρου στην περίπτωση της «ταυτόχρονης» µετάδοσης του µαθήµατος της σχολικής αίθουσας σε µαθητές οι οποίοι απουσιάζουν. Στην ΕΑΠ∆ δεν διαφοροποιείται η συγκεκριµένη µέθοδος, ως µια διαφορετική µορφή επεξεργασίας αν και εξετάζονται κάποιες από τις παραµέτρους της. Όµως, στην περίπτωση αυτή, η επέµβαση στο δικαίωµα της εκπαίδευσης των µαθητών οι οποίοι βρίσκονται στην αίθουσα, εξ αιτίας της µετάδοσης του µαθήµατος στους µαθητές που απουσιάζουν, αποτελεί ένα παράγοντα που δεν έχει εξετασθεί, αν και ενδέχεται να επηρεάζει σε σηµαντικό βαθµό την κρίση για την αναγκαιότητα και την αναλογικότητα της επεξεργασίας. Σε αυτή τη µορφή της εκπαίδευσης, ο εκπαιδευτικός οφείλει, κατά τη διάρκεια µιας συνεδρίας και ταυτόχρονα µε την παρουσία του στην σχολική αίθουσα, να εκτελεί
µια σειρά από ενέργειες που διαφοροποιούν ουσιωδώς τον τρόπο εκπαίδευσης. Για παράδειγµα, ο εκπαιδευτικός οφείλει να ελέγχει τη συσκευή µετάδοσης ήχου/εικόνας, να επιτρέπει την εισαγωγή µαθητών στην τάξη, να ανοίγει/κλείνει ήχο και εικόνα, να


είναι σε θέση να περιορίσει τον ήχο σε περίπτωση που κάποιος µαθητής µιλήσει, να επαναλαµβάνει ερωτήσεις ή απαντήσεις µαθητών κλπ.
Μάλιστα, θα πρέπει να συνυπολογίζεται η διαφοροποίηση των αναγκών και των συνθηκών ανά βαθµίδα εκπαίδευσης (και ίσως ανά οµάδα τάξεων, π.χ. Α-Β
∆ηµοτικού, Γ-∆ κλπ). Συνεπώς απαιτείται µελέτη περισσότερων εναλλακτικών λύσεων/µεθόδων και προσδιορισµός ειδικών µέτρων και τεχνικών (συµπεριλαµβανοµένων των εκπαιδευτικών µεθόδων) για την ελαχιστοποίηση των επιπτώσεων στα δικαιώµατα των υποκειµένων των δεδοµένων, προσαρµοσµένων ανά ηλικιακή οµάδα, για την τεκµηρίωση της αναγκαιότητας και αναλογικότητας.


Β. Εµπλοκή των υποκειµένων των δεδοµένων και κατάλληλων εµπειρογνωµόνων
Για την υλοποίηση της ΕΑΠ∆ δεν ζητήθηκε η γνώµη των υποκειµένων των δεδοµένων ή των εκπροσώπων τους για τη σχεδιαζόµενη επεξεργασία. Όπως απαιτείται, σύµφωνα µε τις προαναφερθείσες κατευθυντήριες γραµµές, στην ΕΑΠ∆ παρατίθεται αιτιολόγηση για την εν λόγω παράλειψη, µε την εξής αναφορά: «1. Η χρονική περίοδος κατά την οποία εκπονήθηκε η παρούσα είναι ιδιαιτέρως κρίσιµη, καθώς συµπίπτει αφενός µε την επαναλειτουργία των σχολικών µονάδων µετά τη λήξη της προσωρινής απαγόρευσης λειτουργίας τους λόγω της πανδηµίας Covid_19 και αφετέρου µε την προετοιµασία της διεξαγωγής των Πανελλαδικών Εξετάσεων και τη λήξη του διδακτικού έτους. Εποµένως, η διαβούλευση κρίνεται, κατά τη σύνταξη της παρούσης, µη εφαρµόσιµη για λόγους ουσιαστικού δηµοσίου συµφέροντος.
2.     Η παρούσα ΕΑΠ∆ περιέχει, µεταξύ άλλων, ειδικό κεφάλαιο µε τα µέτρα που έχει λάβει το ΥΠΑΙΘ για την απρόσκοπτη και ασφαλή διεξαγωγή της επεξεργασίας, τα οποία πρέπει να παραµείνουν εµπιστευτικά.
3.    Στην παρούσα περιγράφονται τα µέτρα προστασίας Π∆ που εφαρµόζει η Cisco, τα οποία συνδέονται άρρηκτα µε τον σχεδιασµό και την καθ΄αυτό λειτουργία της εφαρµογής «Webex Meetings». Η αποκάλυψη τέτοιου είδους πληροφοριών σε ένα τόσο
µεγάλο πλήθος Υποκειµένων δηµιουργεί σοβαρούς κινδύνους εµπιστευτικότητας και επιχειρηµατικού απορρήτου.»


Σηµειώνεται µάλιστα ότι «παρά το γεγονός πως από την παρούσα συνάγεται ότι η δραστηριότητα επεξεργασίας δεν συνεπάγεται µη διαχειρίσιµους, υψηλούς κινδύνους για τα δικαιώµατα και τις ελευθερίες των Υποκειµένων, το ΥΠΑΙΘ εξετάζει το ενδεχόµενο διαβούλευσης µε τα εµπλεκόµενα µέρη µετά το τέλος του διδακτικού έτους στο πλαίσιο κατάρτισης πολιτικής προστασίας για την περίπτωση που το µέτρο της τηλεκπαίδευσης απαιτηθεί εκ νέου στις εξαιρετικές περιπτώσεις που προβλέπει η νοµοθεσία.»
Η ΕΑΠ∆ φαίνεται να υλοποιήθηκε σε εξαιρετικά σύντοµο χρόνο, στο πλαίσιο των έκτακτων συνθηκών που δηµιουργήθηκαν λόγω της πανδηµίας. Η κατάθεση της τροπολογίας πραγµατοποιήθηκε στις 08/05/2020, η διάταξη δηµοσιεύθηκε σε ΦΕΚ στις 12/05/2020 ενώ η ΕΑΠ∆ και η επακόλουθη Υ.Α. υπ’ αριθµ. 57233/Υ1 (ΦΕΚ B 1859) εκδόθηκαν στις 15.05.2020. Το επιχείρηµα ότι ήταν επείγουσα ανάγκη προβάλλεται, κατ’ αρχήν, βάσιµα, χωρίς όµως αυτό να παρέχει επαρκή αιτιολόγηση για την παράκαµψη της διαδικασίας λήψης γνώµης των υποκειµένων των δεδοµένων.
Τα επιχειρήµατα µε αριθµό 2 και 3 του υπευθύνου επεξεργασίας, δεν είναι βάσιµα. Τα µέτρα που έχει λάβει το ΥΠΑΙΘ για την απρόσκοπτη και ασφαλή διεξαγωγή της επεξεργασίας και τα οποία υποστηρίζει ότι πρέπει να παραµείνουν εµπιστευτικά, περιλαµβάνουν κυρίως οργανωτικά και λιγότερο τεχνικά µέτρα, τα οποία είτε είναι ήδη δηµόσια γνωστά µέσω των εγκυκλίων του Υπουργείου είτε αποτελούν τυπική πρακτική κατά τη λήψη µέτρων σε αντίστοιχες περιπτώσεις, ώστε να µην τίθεται κανένα θέµα διακινδύνευσης. Όσον αφορά τα µέτρα προστασίας προσωπικών δεδοµένων τα οποία εφαρµόζει η Cisco, αυτά βασίζονται στις ήδη δηµοσιευµένες πρακτικές της εταιρείας (π.χ. Cisco Webex Meetings Privacy Data Sheet, δηµόσια διαθέσιµα στο https://trustportal.cisco.com), χωρίς να µπορεί να τεκµηριωθεί θέµα εµπιστευτικότητας ή επιχειρηµατικού απορρήτου.
Όπως προκύπτει από το ιστορικό της υπόθεσης, η επεξεργασία αφορά µεγάλο αριθµό ευάλωτων υποκειµένων (µαθητών και εργαζοµένων) ενώ, έµµεσα ή άµεσα, επηρεάζεται και το οικογενειακό περιβάλλον των µαθητών. Τα επηρεαζόµενα δικαιώµατα συνδέονται µε την εκπαίδευση και την υγεία, και όχι µόνο στενά µε την προστασία των δεδοµένων προσωπικού χαρακτήρα. Συνεπώς, ο υπεύθυνος επεξεργασίας που προτίθεται να εισάγει µια καινοφανή λύση (ιδίως ως προς τη παράµετρο της «ταυτόχρονης» τηλεκπαίδευσης) οφείλει να ακολουθεί συστηµατική


προσέγγιση ως προς τον εντοπισµό και την αντιµετώπιση των κινδύνων. Απαραίτητο στοιχείο της προσέγγισης αυτής είναι η εµπλοκή των υποκειµένων των δεδοµένων, τα οποία επηρεάζονται άµεσα ή έµµεσα, αλλά και κατάλληλων εµπειρογνωµόνων.
Η Αρχή επισηµαίνει ότι η εµπλοκή των υποκειµένων της επεξεργασίας και των εµπείρων φορέων στο στάδιο σύνταξης της ΕΑΠ∆ (όπως και η δηµοσίευση της ΕΑΠ∆ ή µέρους αυτής), έχει ως αποτέλεσµα αυξηµένη διαφάνεια και εν τέλει, µπορεί να οδηγήσει σε αυξηµένη εµπιστοσύνη1 των υποκειµένων των δεδοµένων στις πράξεις επεξεργασίας και την απόδειξη της διαφάνειας και της λογοδοσίας (και εν προκειµένω σε αυξηµένη χρήση των διαδικασιών σύγχρονης τηλεκπαίδευσης).
Περαιτέρω, µε δεδοµένο ότι η ΕΑΠ∆ είναι ένα «ζωντανό» κείµενο (όπως άλλωστε αναφέρεται και στο κείµενο της ΕΑΠ∆) η διαδικασία διατύπωσης γνώµης των υποκειµένων (ή των εκπροσώπων τους) θα µπορούσε να έχει αρχικά συντµηθεί, λόγω του επείγοντος χαρακτήρα, αλλά θα έπρεπε να έχει συνεχιστεί  συστηµατικότερα σε επόµενο στάδιο.


Γ. Μεθοδολογία ΕΑΠ∆. Προσδιορισµός, ανάλυση κινδύνων και µέτρων αντιµετώπισης αυτών
Το Υ.ΠΑΙ.Θ., λαµβάνοντας υπόψη το άρθρο 35 του ΓΚΠ∆ και το άρθρο 63 του ν. 4686/2020 διενήργησε εκτίµηση αντικτύπου σχετικά µε την προστασία δεδοµένων (ΕΑΠ∆) για τις δραστηριότητες επεξεργασίας που συνδέονται µε την παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης. Καθώς, σύµφωνα µε την κρίση του υπεύθυνου επεξεργασίας, η επεξεργασία δεν θα προκαλούσε υψηλό κίνδυνο, µετά και τη λήψη των µέτρων µετριασµού του κινδύνου, και για τον λόγο αυτό δεν πραγµατοποιήθηκε διαβούλευση µε την Αρχή, η οποία απαιτείται, µε βάση το άρθρο
36 παρ. 1 του ΓΚΠ∆, µόνον όταν η ΕΑΠ∆ υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει µέτρων µετριασµού. Επισηµαίνεται όµως, ότι από τα προσκοµισθέντα στοιχεία δεν προκύπτει µε βεβαιότητα η ηµεροµηνία εκτέλεσης και ολοκλήρωσης της ΕΑΠ∆, αφού στο κείµενο που έχει κατατεθεί στην Αρχή  δεν   έχει   τεθεί  έγγραφη  ή  ηλεκτρονική  σήµανση  (π.χ.   αρ.  πρωτοκόλλου,





1 Πρβλ. ΟΕ. Αρ 29 - Κατευθυντήριες γραµµές σχετικά µε τη διαφάνεια βάσει του κανονισµού
2016/679 - WP260 rev.01, σκέψη 42.


ηλεκτρονική υπογραφή κλπ). Σηµειώνεται ότι ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει τον χρόνο εκπόνησης και ολοκλήρωσης της ΕΑΠ∆.
Η προσκοµισθείσα ΕΑΠ∆, ακολουθεί µεθοδολογία που φαίνεται να βασίζεται στις κατευθυντήριες γραµµές του ΕΣΠ∆ και εποπτικών αρχών (ιδίως των CNIL και ICO). Όµως, από το κείµενο της ΕΑΠ∆ δεν προκύπτει µε ποιο τρόπο έχει εφαρµοστεί η µεθοδολογία και έχει εκπονηθεί η ΕΑΠ∆, ώστε να είναι σαφές ότι η µελέτη είναι πλήρης. Συγκεκριµένα, από την ΕΑΠ∆ δεν προκύπτει ποια άτοµα και µε ποιο τρόπο, έχουν εµπλακεί για την εκτέλεση της ΕΑΠ∆ και συγκεκριµένα για ενέργειες που είναι απαραίτητες για την εκπόνησή της και περιλαµβάνουν την ανάλυση των χαρακτηριστικών της επεξεργασίας, τον προσδιορισµό των πηγών των κινδύνων, των δυνητικών επιπτώσεων στα δικαιώµατα και τις ελευθερίες των υποκειµένων των δεδοµένων, την εξακρίβωση πιθανών απειλών, τον καθορισµό µέτρων αντιµετώπισης των κινδύνων ή την αποδοχή αυτών.
Σηµειώνεται ότι στις κατευθυντήριες γραµµές ΕΑΠ∆ γίνεται ειδική αναφορά για τον τοµέα αυτό:
«Τέλος, συνιστά ορθή πρακτική ο καθορισµός και η τεκµηρίωση άλλων ειδικών ρόλων και αρµοδιοτήτων, ανάλογα µε την εσωτερική πολιτική, τις διαδικασίες και τους κανόνες, π.χ.:

-         όποτε ενδείκνυται, συνιστάται να ζητείται η γνώµη ανεξάρτητων εµπειρογνωµόνων από διαφορετικά επαγγέλµατα (από δικηγόρους, ειδικούς τεχνολογίας πληροφοριών, εµπειρογνώµονες σε θέµατα ασφαλείας, δεοντολογίας, κοινωνιολόγους κ.ο.κ.).
-     οι ρόλοι και οι αρµοδιότητες των εκτελούντων την επεξεργασία πρέπει να ορίζονται συµβατικά· και η ΕΑΠ∆ πρέπει να διενεργείται µε τη συνδροµή του εκτελούντος την επεξεργασία, λαµβανοµένης υπόψη της φύσης της επεξεργασίας και των πληροφοριών που διαθέτει ο εκτελών την επεξεργασία [άρθρο 28 παράγραφος 3 στοιχείο στ)]·
-   ο υπεύθυνος ασφάλειας πληροφοριών (ΥΑΠ), εφόσον έχει οριστεί, καθώς και ο υπεύθυνος προστασίας δεδοµένων (ΥΠ∆) θα µπορούσαν να προτείνουν τη διενέργεια


ΕΑΠ∆ από τον υπεύθυνο επεξεργασίας σε συγκεκριµένη πράξη επεξεργασίας και θα πρέπει να συνδράµουν τους ενδιαφερόµενους παράγοντες στη µεθοδολογία, να συνδράµουν στην αξιολόγηση της ποιότητας της εκτίµησης κινδύνου και στον καθορισµό του κατά πόσον ο υπολειπόµενος κίνδυνος είναι αποδεκτός και στην ανάπτυξη ειδικής γνώσης σε σχέση µε το πλαίσιο του υπεύθυνου επεξεργασίας·
-     ο υπεύθυνος ασφάλειας πληροφοριών (ΥΑΠ), εφόσον έχει οριστεί, και/ή το τµήµα τεχνολογίας πληροφοριών, θα πρέπει να παράσχουν συνδροµή στον υπεύθυνο επεξεργασίας και θα µπορούσαν να προτείνουν τη διενέργεια ΕΑΠ∆ σε συγκεκριµένη πράξη επεξεργασίας ανάλογα µε τις λειτουργικές ανάγκες ή τις ανάγκες ασφαλείας»
Το τµήµα της ΕΑΠ∆, στο οποίο γίνεται η τελική εκτίµηση των πράξεων επεξεργασίας για τον προσδιορισµό αναγκαίων παρεµβάσεων είναι το κρισιµότερο για την πληρότητα της µελέτης, καθώς, όπως αναφέρεται στις σχετικές κατευθυντήριες γραµµές, πρέπει να τελούν υπό διαχείριση οι κίνδυνοι για τα δικαιώµατα και τις ελευθερίες των υποκειµένων των δεδοµένων (πρβλ. ΓΚΠ∆ άρθρο 35 παρ. 7 γ). Προς τον σκοπό αυτό, στην ΕΑΠ∆ (σελ. 5) αναφέρεται ότι «Ειδικός στόχος της παρούσας µελέτης είναι να αναγνωριστούν και να καταγραφούν οι κίνδυνοι για την ιδιωτικότητα και ειδικότερα για τα προσωπικά δεδοµένα κατά την τηλεκπαίδευση.» Όπως έχει αναλυθεί παραπάνω, η εν λόγω αναφορά είναι ελλιπής, καθώς πρέπει να λαµβάνονται υπόψη οι κίνδυνοι για τα δικαιώµατα και τις ελευθερίες φυσικών προσώπων και όχι µόνο για την ιδιωτικότητα. Εξάλλου, σε σχέση µε την ανάλυση κινδύνων, επιπτώσεων και συνεπειών, στην ΕΑΠ∆ εξετάζονται, συνοπτικά, οι εξής κίνδυνοι:
1.    Παράνοµη πρόσβαση σε προσωπικά δεδοµένα,

2.    Παράνοµη καταγραφή προσωπικών δεδοµένων,

3.    Αλλαγή / αλλοίωση προσωπικών δεδοµένων (τροποποίηση),

4.    Αποκάλυψη πληροφοριών στους γονείς των µαθητών ή σε τρίτους,

5.    Ανισότητα µεταξύ µαθητών,

6.    Ακαδηµαϊκή ελευθερία του εκπαιδευτικού,

7.    Ελεύθερη ανάπτυξη της προσωπικότητας των µαθητών.


Συνεπώς, φαίνεται ότι τελικά ο υπεύθυνος επεξεργασίας περιλαµβάνει µόνον τρεις κατηγορίες κινδύνων οι οποίοι σχετίζονται µε δικαιώµατα και ελευθερίες φυσικών προσώπων διαφορετικά από το δικαίωµα της προστασίας δεδοµένων προσωπικού χαρακτήρα.
Στον πίνακα των σελ. 32-35 της ΕΑΠ∆ παρουσιάζονται οι κίνδυνοι, οι επιπτώσεις τους, η πιθανότητα εµφάνισης και η πιθανότητα ο κίνδυνος να επιφέρει βλάβη. Στον εν λόγω πίνακα οι κίνδυνοι αναφέρονται χωρίς περαιτέρω ανάλυση, ενώ επίσης οι εκτιµήσεις του υπεύθυνου επεξεργασίας παρουσιάζονται άνευ περαιτέρω τεκµηρίωσης (µε αριθµητικές τιµές και µε επαρκή αιτιολόγηση) . Συνεπώς, σε καµία από τις παραπάνω κατηγορίες δεν αναλύεται επαρκώς, ο προσδιορισµένος κίνδυνος. Οµοίως, δεν αναλύεται ούτε τεκµηριώνεται επαρκώς η επιλογή σε σχέση µε τη σοβαρότητα των συνεπειών στα δικαιώµατα και τις ελευθερίες των υποκειµένων των δεδοµένων, τη σοβαρότητα των συνεπειών, την πιθανότητα εµφάνισης του κινδύνου και την πιθανότητα ο κίνδυνος να επιφέρει βλάβη.
Σηµειώνεται ότι στις κατευθυντήριες γραµµές ΕΑΠ∆ επισηµαίνονται ως κριτήρια αποδοχής της, όσον αφορά στον συγκεκριµένο τοµέα, τα εξής:
·         «έχουν αξιολογηθεί η προέλευση, η φύση, η ιδιαιτερότητα και η σοβαρότητα των κινδύνων (πρβλ. αιτιολογική σκέψη 84) ή ειδικότερα κάθε κίνδυνος (αθέµιτη πρόσβαση, ανεπιθύµητη τροποποίηση, και εξαφάνιση δεδοµένων) από την οπτική των υποκειµένων των δεδοµένων·
·         έχουν ληφθεί υπόψη οι πηγές των κινδύνων (αιτιολογική σκέψη 90)·
·         εξακριβώνονται οι δυνητικές επιπτώσεις στα δικαιώµατα και τις ελευθερίες των υποκειµένων των δεδοµένων σε περιπτώσεις συµβάντων που περιλαµβάνουν αθέµιτη πρόσβαση, ανεπιθύµητη τροποποίηση και εξαφάνιση δεδοµένων·
·         εξακριβώνονται απειλές που θα µπορούσαν να επιφέρουν αθέµιτη πρόσβαση, ανεπιθύµητη τροποποίηση και εξαφάνιση δεδοµένων·
·         εκτιµώνται η πιθανότητα και η σοβαρότητα (αιτιολογική σκέψη 90)»
Περαιτέρω, η ΕΑΠ∆ εκπονήθηκε σε σύντοµο χρονικό διάστηµα, όπως αναφέρεται ανωτέρω, ουδεµία δε αναφορά γίνεται στη µέθοδο προσδιορισµού των κινδύνων και στα πρόσωπα τα οποία συνέβαλλαν, µε τη γνώµη τους ή εκ της αρµοδιότητάς τους, στην κατάρτιση του εν λόγω πίνακα. Υπενθυµίζεται ότι, µε βάση


τις κατευθυντήριες γραµµές, συνιστάται η εµπλοκή ανεξάρτητων εµπειρογνωµόνων από τα κατάλληλα επαγγέλµατα, του εκτελούντος την επεξεργασία, του υπεύθυνου ασφάλειας πληροφοριών, εφόσον έχει οριστεί, και/ή του σχετικού τµήµατος τεχνολογίας πληροφοριών. Στην προκειµένη περίπτωση, καθώς, όπως έχει ήδη αναφερθεί, εισάγεται µια καινοφανής διαδικασία, η οποία επηρεάζει δικαιώµατα που δεν περιορίζονται στην προστασία των προσωπικών δεδοµένων, είναι απαραίτητη η συµµετοχή κατάλληλων εµπειρογνωµόνων (ενδεικτικά: ακαδηµαϊκοί φορείς, δηµόσιοι φορείς εκπαιδευτικής πολιτικής κλπ.).
Ως επακόλουθο, ο «χάρτης κινδύνων» που παρουσιάζεται στην ΕΑΠ∆ εµφανίζει µη τεκµηριωµένες, υποκειµενικές, εκτιµήσεις του υπεύθυνου επεξεργασίας. Συνεπώς, είναι απαραίτητο, στη διαδικασία προσδιορισµού, ανάλυσης κινδύνων και εντοπισµού µέτρων αντιµετώπισης αυτών να παρέχεται πλήρης ανάλυση των κινδύνων, ώστε να είναι κατανοητή από τον αναγνώστη της ΕΑΠ∆, η τεκµηρίωση των επιλογών του υπευθύνου επεξεργασίας για τις εκτιµήσεις που κάνει σε σχέση µε τους δείκτες από τους οποίους προκύπτει, ακόµα κι αν οι εκτιµήσεις αυτές παραµένουν ως ένα βαθµό υποκειµενικές.
Επισηµαίνεται ότι ακόµα και στους προσδιορισµένους κινδύνους, πολλές επιλογές του υπεύθυνου επεξεργασίας ενδέχεται να χρήζουν πληρέστερης αξιολόγησης. Ενδεικτικά: α) στον κίνδυνο 1 (Παράνοµη πρόσβαση σε προσωπικά δεδοµένα) η επιλογή ότι ο κίνδυνος είναι αµελητέος επειδή η τηλεδιάσκεψη πραγµατοποιείται µε πρόσκληση σε συγκεκριµένο αριθµό χρηστών δεν είναι αυτονοήτως ορθή καθώς: αα) όλοι οι µαθητές ενός εκπαιδευτικού γνωρίζουν την
«προσωπική του τάξη», συνεπώς, ενδέχεται να δοκιµάσουν να συνδεθούν σε διαφορετικό χρόνο, αβ) η διεύθυνση της προσωπικής τάξης µπορεί να γίνει (ειδικά µε την πάροδο του χρόνου) γνωστή και σε τρίτους, αγ) ο εκπαιδευτικός, µε δεδοµένο ότι ο µαθητής µπορεί να επιλέξει όποιο όνοµα επιθυµεί, δεν γνωρίζει πάντα ποιος είναι ο χρήστης που ζητάει να συνδεθεί στην αίθουσα· β) στους κινδύνους 2 και 4 (αποκάλυψη πληροφοριών στους γονείς των µαθητών ή σε τρίτους) η σοβαρότητα των συνεπειών µπορεί, σε κάποιες περιπτώσεις, να είναι µεγάλη (ιδίως αν ληφθεί υπόψη ότι ενδέχεται να καταγραφούν ειδικές κατηγορίες δεδοµένων) ενώ η πιθανότητα εµφάνισης του κινδύνου ενδέχεται να είναι ιδιαίτερα µεγαλύτερη, καθώς λόγω του µεγάλου αριθµού µαθητών µπορεί βασίµως να πιθανολογηθεί ότι κάποιοι γονείς/τρίτοι   παρακολουθούν·   γ)   Η   πιθανότητα   εµφάνισης   του   κινδύνου  της


ανισότητας είναι µεγάλη καθώς είναι γνωστό ότι δεν διαθέτουν όλοι οι µαθητές και οι σχολικές µονάδες υποδοµή σύνδεσης, ή την ίδια υποδοµή σύνδεσης.
Περαιτέρω, από τους προσδιορισµένους κινδύνους φαίνεται να απουσιάζουν ή να µην αναλύονται επαρκώς µια σειρά από κινδύνους. Ενδεικτικά η Αρχή παραθέτει τους παρακάτω κινδύνους, οι οποίοι θα πρέπει να αντιµετωπισθούν:
·         Κίνδυνοι σχετιζόµενοι µε την επέµβαση στην εκπαιδευτική διαδικασία, οι οποίοι επηρεάζουν το δικαίωµα στην εκπαίδευση. Απουσιάζει εκτίµηση και ανάλυση της επέµβασης ανά εκπαιδευτική βαθµίδα/τάξη, προσαρµοσµένη στις ιδιαιτερότητες των µαθητών. Για παράδειγµα, οι κίνδυνοι αυτοί µπορεί να αντιµετωπιστούν µε την εισαγωγή ή χρήση νέων εκπαιδευτικών µεθόδων, την παροχή κατάλληλης εκπαίδευσης και επιµόρφωσης στους εκπαιδευτικούς, µε τη συµβολή των κατάλληλων εκπαιδευτικών και ακαδηµαϊκών φορέων.
·         Κίνδυνοι από τη χρήση εξοπλισµού που δεν βρίσκεται στην ευθύνη του υπευθύνου επεξεργασίας, ιδίως όσον αφορά στους εκπαιδευτικούς. Στο πλαίσιο αυτής της ανάλυσης θα πρέπει να εξεταστεί και το ζήτηµα της χρήσης προσωπικής συσκευής για υπηρεσιακό σκοπό (πρβλ. και απόφαση 77/2018 της Αρχής). Περαιτέρω στην ΕΑΠ∆ αναφέρεται ότι η πλατφόρµα και οι χρήστες δεν κινδυνεύουν από πιθανή ύπαρξη ιών σε τερµατικό εξοπλισµό συγκεκριµένου χρήστη (σελ 16), χωρίς περαιτέρω τεκµηρίωση.
·         Κίνδυνοι από τις διαβιβάσεις δεδοµένων εκτός Ε.Ε. Να σηµειωθεί ότι όπως προκύπτει από την προσκοµισθείσα σύµβαση, δεν αποκλείεται η πιθανότητα χρήσης κέντρου δεδοµένων εκτός Ε.Ε., τουλάχιστον σε περίπτωση «βλάβης». Να σηµειωθεί, ότι πλέον, ο υπεύθυνος επεξεργασίας οφείλει να µελετήσει την απόφαση C-311/18 του ∆ΕΕ και να διασφαλίσει ότι δεν υπάρχει περίπτωση διαβίβασης δεδοµένων προσωπικού χαρακτήρα εκτός Ε.Ε.2 Ο υπεύθυνος επεξεργασίας οφείλει να διερευνά το εφαρµοστέο νοµικό καθεστώς στη χώρα του εισαγωγέα,




2 Βλ. σχετικά τη δήλωση του ΕΣΠ∆ επί της απόφασης του ∆ικαστηρίου της Ευρωπαϊκής Ένωσης στην υπόθεση C-311/18-Data Protection Commissioner κατά Facebook Ireland και Maximillian Schrems - https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_20200717_cjeujudgmentc- 311_18_el.pdf και τις σχετικές Συχνές Ερωτήσεις - https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_el.pdf


ώστε να εξασφαλίζει την εφαρµογή των δικαιωµάτων των υποκειµένων των δεδοµένων, σε κάθε περίπτωση. Τονίζεται ότι ο κίνδυνος αυτός ενδέχεται να υφίσταται στην περίπτωση χρήσης εταιρειών οι οποίες εµπίπτουν στη νοµοθεσία των ΗΠΑ (π.χ. άρθρο 702 του νόµου FISA και εκτελεστικό διάταγµα EO 12333), ανεξάρτητα του τόπου τήρησης των δεδοµένων.
·         Κίνδυνοι που απορρέουν από τους όρους της σύµβασης. Ειδικότερα, από τη µελέτη της σύµβασης, προκύπτει ότι κάποια δεδοµένα διατηρούνται από τον εκτελούντα την επεξεργασία (Cisco). Τα δεδοµένα αυτά περιλαµβάνουν δεδοµένα που παράγονται κατά τη χρήση των υπηρεσιών· επισηµαίνεται ότι η σύµβαση διασφαλίζει δεδοµένα τα οποία «διαθέτει» το Υπουργείο στη Cisco, χωρίς να είναι σαφές αν σε αυτά περιλαµβάνονται και τα παραγόµενα δεδοµένα χρηστών. Από τη σύµβαση3 προκύπτει σαφώς ότι τηρούνται, για επτά έτη, µια σειρά από δεδοµένα προσωπικού χαρακτήρα, τα οποία περιλαµβάνουν τα δεδοµένα εγγραφής, αλλά και ψευδώνυµα δεδοµένα για σκοπούς «analytics» και µέτρησης απόδοσης. Επισηµαίνεται ότι σύµφωνα µε τους ορισµούς του ΓΚΠ∆, τα ψευδώνυµα δεδοµένα αποτελούν προσωπικά δεδοµένα και η άρση της ψευδωνυµοποίησης αποτελεί κίνδυνο ο οποίος πρέπει να αντιµετωπισθεί. Μάλιστα, στη σελ.
19 της ΕΑΠ∆ γίνεται αναφορά σε «Μεταδεδοµένα αµιγώς τεχνικής φύσης µέσω των οποίων δεν καθίσταται ικανή η προσωπική ταυτοποίηση των χρηστών». Σηµειώνεται επίσης ότι, υπό προϋποθέσεις, µπορεί να υπάρξει αναγνώριση υποκειµένων δεδοµένων, π.χ. µέσω συσχέτισης των µεταδεδοµένων µε άλλες γνωστές πληροφορίες που αφορούν ένα υποκείµενο των δεδοµένων. Περαιτέρω, ένας επιπλέον κίνδυνος απορρέει από την έλλειψη συµπλήρωσης, στη σύµβαση, του πεδίου το οποίο αφορά το πρόσωπο του υπεύθυνου επεξεργασίας, τον οποίο θα ενηµερώσει η Cisco (ως εκτελούσα την επεξεργασία) σε περίπτωση περιστατικού παραβίασης (βλ. σελ. 7 του παραρτήµατος Α).
·        



Κίνδυνοι από τη χρήση τρίτων εκτελούντων την επεξεργασία (sub- processors), οι οποίοι δεν φαίνεται να έχουν προσδιοριστεί.
3 βλ. Cisco Webex Meetings Privacy Sheet – ενότητα 6. Data Deletion & Retention – Registration Information, User Generated Information, Host and Usage Information


Επισηµαίνεται ότι µε βάση το άρθρο 28 παρ. 2 του ΓΚΠ∆, ο εκτελών την επεξεργασία δεν προσλαµβάνει άλλον εκτελούντα την επεξεργασία χωρίς προηγούµενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας και σε περίπτωση γενικής γραπτής άδειας, όπως φαίνεται να ισχύει µε την υφιστάµενη σύµβαση, ο εκτελών την επεξεργασία ενηµερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούµενες αλλαγές που αφορούν την προσθήκη ή την αντικατάσταση των άλλων εκτελούντων την επεξεργασία, παρέχοντας µε τον τρόπο αυτό τη δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις αλλαγές.
·         Κίνδυνοι από τη χρήση προσωπικών ηλεκτρονικών διευθύνσεων των εκπαιδευτικών και τη διαβίβαση ηλεκτρονικά στη Cisco, ακόµα κι αν ένας εκπαιδευτικός δεν ενεργοποιήσει την τηλεκπαίδευση. Στο σύστηµα
«myschool» φαίνεται να συµπεριλαµβάνονται οι διευθύνσεις ηλεκτρονικού ταχυδροµείου (email) των εκπαιδευτικών χωρίς να είναι σαφές για ποιο σκοπό έχουν συλλεγεί. Περαιτέρω, καθώς οι εκπαιδευτικοί χρησιµοποιούν για επικοινωνία προσωπικά email (πολλές φορές) υπάρχει κίνδυνος για αυτούς. Π.χ. σκόπιµο θα ήταν όλες οι ενέργειες να γίνονται από τους λογαριασµούς του σχολικού δικτύου (email επικοινωνίας; @sch.gr).


Τέλος, επισηµαίνεται ότι µετά τη διενέργεια της ΕΑΠ∆, πέραν των ήδη ληφθέντων τεχνικών και οργανωτικών µέτρων, ο υπεύθυνος επεξεργασίας κρίνει ότι δεν είναι απαραίτητη η λήψη περαιτέρω µέτρων µε τη σκέψη ότι δεν υπολείπονται υψηλοί κίνδυνοι και, συνεπώς, δεν απαιτείται να λάβει άλλα µέτρα για τον περιορισµό αυτών.
Σύµφωνα µε όσα προαναφέρθηκαν, ο στόχος της ΕΑΠ∆ είναι να προσδιοριστούν µέτρα αντιµετώπισης των κινδύνων, περιλαµβανοµένων των εγγυήσεων, των µέτρων και µηχανισµών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδοµένων προσωπικού χαρακτήρα και να αποδεικνύεται η συµµόρφωση προς τον ΓΚΠ∆. Με βάση την αρχή της προστασίας των δεδοµένων ήδη από τον σχεδιασµό (αρ. 25 παρ. 1 ΓΚΠ∆) ο υπεύθυνος επεξεργασίας, λαµβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρµογής και τη φύση, το


πεδίο εφαρµογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, εφαρµόζει αποτελεσµατικά, τόσο κατά τη στιγµή του καθορισµού των µέσων επεξεργασίας όσο και κατά τη στιγµή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά µέτρα. Συνεπώς, ο υπεύθυνος οφείλει να ελαχιστοποιήσει κάθε κίνδυνο, τεκµηριώνοντας επαρκώς το συµπέρασµα ότι ένας υπολειπόµενος κίνδυνος, έστω και µη υψηλός, γίνεται αποδεκτός, δεδοµένου ότι η ΕΑΠ∆ χρησιµοποιείται για να περιορίσει το επίπεδο όλων των κινδύνων. Συνεπώς, απαιτείται κρίση για το αν απαιτούνται περαιτέρω µέτρα αντιµετώπισης κάθε κινδύνου, ακόµα κι αν αυτός δεν φαίνεται να είναι υψηλός. Εποµένως, στην ΕΑΠ∆ δεν τεκµηριώνεται ότι οι προσδιορισµένοι κίνδυνοι έχουν ελαχιστοποιηθεί και δεν απαιτείται προσδιορισµός κατάλληλων
µέτρων.

Όσον αφορά στα λαµβανόµενα µέτρα µετριασµού των επιπτώσεων, η Αρχή επισηµαίνει την υποχρέωση του υπευθύνου επεξεργασίας για αυξηµένη διαφάνεια και δράσεις ενηµέρωσης και ευαισθητοποίησης των εµπλεκοµένων (εκπαιδευτικοί,
µαθητές, οικογένεια) σε σχέση µε τη διαδικασία τηλεκπαίδευσης και τα δεδοµένα προσωπικού χαρακτήρα. Στη σελ. 21 της ΕΑΠ∆ γίνεται αναφορά στις πληροφορίες που παρέχονται στα υποκείµενα των δεδοµένων. Φαίνεται ότι ακολουθείται µια τυπική -υπηρεσιακή- πληροφόρηση η οποία βασίζεται, κυρίως στα κείµενα των εγκυκλίων. Σύµφωνα µε όσα αναφέρονται στις κατευθυντήριες γραµµές του ΕΣΠ∆4 για τη διαφάνεια, απαιτείται ενηµέρωση µε κατάλληλο τρόπο, προσαρµοσµένη στα παιδιά και τις ευάλωτες οµάδες. Η παροχή κατάλληλης ενηµέρωσης και προγραµµάτων ευαισθητοποίησης, σε εκπαιδευτικούς, αλλά κυρίως µαθητές και οικογένεια, µπορεί µάλιστα να λειτουργήσει ως ένα κατάλληλο µέτρο µετριασµού των επιπτώσεων των κινδύνων που σχετίζονται µε µη νόµιµη διάδοση δεδοµένων. Στην ΕΑΠ∆ γίνεται αναφορά σε κατάρτιση κώδικα ορθής συµπεριφοράς5 / ευπρέπειας και σε αναλυτικές οδηγίες από τους εκπαιδευτικούς προς τους µαθητές, οι οποίες όµως δεν φαίνεται να έχουν καταρτιστεί.






4 ΟΕ. Αρ 29 - Κατευθυντήριες γραµµές σχετικά µε τη διαφάνεια βάσει του κανονισµού 2016/679 - WP260 rev.01
5 Στο κείµενο της ΕΑΠ∆ ο εν λόγω κώδικας συγχέεται µε τους Κώδικες ∆εοντολογίας του αρ. 40 του ΓΚΠ∆. Είναι σαφές ότι δεν υφίσταται τέτοιος κώδικας δεοντολογίας.


∆. Επιµέρους θέµατα – παρατηρήσεις

Τέλος, η Αρχή, εξετάζοντας το κείµενο της ΕΑΠ∆ επισηµαίνει επιπλέον τα εξής σηµεία για τα οποία είναι αναγκαίες βελτιώσεις:
1)       Στη σελ. 37 της ΕΑΠ∆, η «επίσηµη αποδοχή» της φαίνεται να γίνεται από την Υπεύθυνο Προστασίας ∆εδοµένων του Υπουργείου. Ειδικότερα, αναφέρεται ότι «εγκρίθηκαν τα µέτρα» και «παρασχέθηκε η συµβουλή της DPO». Επισηµαίνεται ότι στα καθήκοντα του Υπευθύνου Προστασίας
∆εδοµένων (βλ. αρ. 39 ΓΚΠ∆) δεν περιλαµβάνεται η έγκριση της ΕΑΠ∆. Οι αποφάσεις, σε σχέση µε τη λήψη µέτρων λαµβάνονται από τον υπεύθυνο επεξεργασίας µε τη συµβουλή του Υπευθύνου Προστασίας ∆εδοµένων, ο οποίος δεν έχει αποφασιστική αρµοδιότητα. Σχετική αναφορά γίνεται και στο κείµενο των κατευθυντήριων γραµµών ΕΑΠ∆ (σελ. 18) όπου αναφέρεται ότι : «…Ο υπεύθυνος επεξεργασίας πρέπει επίσης να ζητεί τη γνώµη του υπευθύνου προστασίας δεδοµένων (ΥΠ∆), εφόσον έχει οριστεί (άρθρο 35 παράγραφος 2) και η γνώµη αυτή, καθώς και οι αποφάσεις του υπεύθυνου επεξεργασίας, θα πρέπει να τεκµηριώνονται στην ΕΑΠ∆. Ο ΥΠ∆ θα πρέπει επίσης να παρακολουθεί την υλοποίηση της ΕΑΠ∆ [άρθρο 39 παράγραφος 1 στοιχείο γ)]….» Επίσης, επισηµαίνεται ότι τόσο η γνώµη της ΥΠ∆ όσο και οι αποφάσεις του υπεύθυνου επεξεργασίας θα πρέπει να τεκµηριώνονται στην ΕΑΠ∆.
2)      Στη σελ 20 της ΕΑΠ∆ η εταιρεία Cisco αναφέρεται ως «τρίτος», ενώ αποτελεί εκτελούντα την επεξεργασία. Από τους ορισµούς του κανονισµού (βλ. άρθρο 4 παρ. 10), ένας «εκτελών την επεξεργασία» δεν αποτελεί τρίτο, εκτός από την περίπτωση που αποφασίσει να επεξεργαστεί δεδοµένα για δικό του, διαφορετικό, σκοπό.


Ε. Προθεσµία προς συµµόρφωση

Εν όψει των ανωτέρω σκέψεων και λαµβάνοντας υπόψη ότι:

Α) η εκπαιδευτική διαδικασία πρέπει απαραίτητα να λειτουργήσει µε τον καλύτερο δυνατό τρόπο


Β) η σύγχρονη εξ αποστάσεως εκπαίδευση αποτελεί χρήσιµο εργαλείο εκπαίδευσης, µε αυξηµένη χρησιµότητα ειδικά σε περιόδους πανδηµίας
Γ) η επεξεργασία δεδοµένων προσωπικού χαρακτήρα που διενεργείται κατά τη σύγχρονη εξ αποστάσεως εκπαίδευση µπορεί να συντελεστεί µε τρόπο συµβατό
µε τον ΓΚΠ∆, και

∆) για τη συµµόρφωση προς τις ανωτέρω συστάσεις απαιτείται εύλογο χρονικό διάστηµα το οποίο δεν µπορεί να υπερβαίνει τους τρεις µήνες
η Αρχή κρίνει ότι πρέπει στην παρούσα περίπτωση να ασκήσει τη συµβουλευτική της εξουσία, η οποία απορρέει από το άρθρο 58 παρ. 3 εδ. β του ΓΚΠ∆.



ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ


Η Αρχή:
1)       ΚΡΙΝΕΙ νόµιµη την κατά το άρθρο 63 του ν. 4686/2020 σύγχρονη εξ αποστάσεως εκπαίδευση για τους λόγους που αναφέρονται στο σκεπτικό της παρούσας.
2)       ΚΑΛΕΙ το Υπουργείο Παιδείας και Θρησκευµάτων να λάβει υπόψη τις συστάσεις που αναφέρονται στο σκεπτικό της παρούσας και να τροποποιήσει και συµπληρώσει αναλόγως την ανωτέρω ΕΑΠ∆ σε αποκλειστική προθεσµία τριών (3) µηνών από τη δηµοσίευση της παρούσας απόφασης.
3)       ΚΡΙΝΕΙ ότι επιτρέπεται η εξ αποστάσεως εκπαίδευση στις σχολικές µονάδες της πρωτοβάθµιας και της δευτεροβάθµιας εκπαίδευσης κατά τη διάρκεια του ως άνω τριµήνου, εφόσον συντρέχουν οι προϋποθέσεις που προβλέπονται στο άρθρο 63 του ν. 4686/2020, όπως ισχύει µετά την τροποποίησή του µε την από 10/08/2020 ΠΝΠ.



Ο Πρόεδρος                                                             Η Γραµµατέας


Κων/νος Μενουδάκος                                          Γεωργία Παλαιολόγου

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου