Aπόφαση-καταπέλτης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την τηλεκπαίδευση σύμφωνα με την οποία διαπιστώνονται παραβιάσεις άρθρων του Γενικού Κανονισμού για την Προστασία των Δεδομένων.
Η πολυσέλιδη απόφαση εντοπίζει πέντε βασικές παραβιάσεις ως προς τον τρόπο που εφαρμόστηκε η τηλεκπαίδευση:
1. Ολόκληρες κατηγορίες δεδομένων/μεταδεδομένων έτυχαν παράνομης επεξεργασίας, καθώς για ορισμένους τύπους δεδομένων θα έπρεπε να ζητείται συγκατάθεση από τα φυσικά πρόσωπα, ενώ άλλοι τύποι δεν θα έπρεπε να τύχουν καθόλου επεξεργασίας.
2. Τα υποκείμενα της επεξεργασίας δεν ενημερώθηκαν σαφώς και με διαφάνεια από το υπουργείο αναφορικά με την επεξεργασία των προσωπικών τους δεδομένων. «Οι παρεχόμενες πληροφορίες είναι λιγότερες από όσες επιβάλλει ο ΓΚΠΔ», αναφέρει η απόφαση της ΑΠΔΠΧ και προσθέτει: «Οι πληροφορίες δεν είναι σε κατανοητή και εύκολα προσβάσιμη μορφή και δεν χρησιμοποιείται σαφής και απλή διατύπωση, λαμβάνοντας ιδίως υπόψη και ότι πρόκειται για πληροφορία που απευθύνεται και σε παιδιά».
3. Ανεπάρκεια των μέτρων ασφαλείας και των μέτρων για την ικανοποίηση των δικαιωμάτων των φυσικών προσώπων.
4. Τα φυσικά πρόσωπα ουδέποτε ρωτήθηκαν για την επεξεργασία των προσωπικών τους δεδομένων, όπως προβλέπει ο ΓΚΠΔ.
5. Η επεξεργασία των προσωπικών δεδομένων από την εταιρεία Cisco είναι παράνομη. «Είναι σαφές ότι η εταιρεία Cisco (εν προκειμένω ο όμιλος και οι εταιρείες του) υπόκειται στο δίκαιο των ΗΠΑ, συνεπώς, κατ’ αρχήν, δεν εξασφαλίζεται επαρκές επίπεδο προστασίας προσωπικών δεδομένων», τονίζει η Αρχή, λέγοντας ουσιαστικά ότι τα δεδομένα των χρηστών της πλατφόρμας τηλεκπαίδευσης πωλήθηκαν παράνομα στις ΗΠΑ, ότι η εταιρεία συνέλεγε με την ανοχή του υπουργείου πλήθος δεδομένων/μεταδεδομένων μαθητών, γονέων και εκπαιδευτικών για εμπορικούς λόγους που δεν έχουν σχέση με την προσφορά της εξ αποστάσεως εκπαίδευσης.
Η απόφαση αυτή δικαιώνει τις εκπαιδευτικές ομοσπονδίες που είχαν προσφύγει στην Αρχή και οι οποίες με αναφορές τους είχαν επισημάνει τα προβληματικά σημεία της εφαρμογής της εξ αποστάσεως εκπαίδευση και πώς αυτός θέτει σε κίνδυνο τα προσωπικά δεδομένα χιλιάδων χρηστών ακόμη και ανήλικων παιδιών, από τη στιγμή μάλιστα που εμπλέκεται ένας ιδιωτικός τεχνολογικός κολοσσός.
Η ΑΠΔΠΧ δίνει ρητή εντολή, εντός συγκεκριμένου χρονικού διαστήματος, το ΥΠΑΙΘ να καταστήσει σύμφωνες με τις διατάξεις του ΓΚΠΔ τις πράξεις επεξεργασίας των προσωπικών δεδομένων μαθητών, γονέων και εκπαιδευτικών από την ιδιωτική εταιρεία CISCO και τη δυνατότητα εμπορικής αξιοποίησής τους.
Η απάντηση από το Υπουργείο Παιδείας
Το Υπουργείο Παιδείας σε σκληρή γλώσσα απαντά ότι πρόκειτα για εσφαλμένες παραδοχές στην απόφαση της Αρχής Προστασίας Προσωπικών Δεδομένων.
“Η Απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) 50/2021 σχετικά με την τηλεκπαίδευση, η οποία παρασχέθηκε την προηγούμενη σχολική χρονιά με στόχο την απρόσκοπτη συνέχιση της εκπαιδευτικής διαδικασίας παρά την πανδημία, εκπλήσσει λόγω των εσφαλμένων της παραδοχών, αλλά και λόγω της ξαφνικής αλλαγής πλεύσης εκ μέρους της Αρχής και παράκαμψης του διαρκούς διαλόγου της με το Υπουργείο Παιδείας και Θρησκευμάτων.
Η ΑΠΔΠΧ, με την 4/2020 γνωμοδότησή της, είχε κρίνει καταρχήν νόμιμη την τηλεκπαίδευση, προβαίνοντας σε κάποιες συστάσεις, τις οποίες υιοθέτησε το Υπουργείο εντός της προβλεπόμενης τρίμηνης προθεσμίας. Έκτοτε, και ενώ το Υπουργείο βρισκόταν σε συνεχή επικοινωνία με την Αρχή και παρείχε επιπλέον πληροφορίες που ζητήθηκαν, ουδέποτε επισημάνθηκαν αποκλίσεις από τους κανόνες προστασίας προσωπικών δεδομένων, ούτε βεβαίως αναφέρθηκαν τα όσα μόλις επικαλέστηκε για πρώτη φορά η Αρχή για να αιτιολογήσει τη νέα απόφασή της.
Και ενώ δεν εφαρμόζεται πλέον η τηλεκπαίδευση και τα σχολεία μας έχουν επιστρέψει στην κανονικότητα, συγκαλείται περιέργως έκτακτη συνεδρίαση η οποία καταλήγει σε απόφαση στην οποία μεταξύ άλλων:
1. Η Αρχή θεωρεί εσφαλμένα ότι η επεξεργασία δεδομένων που εφαρμόζεται στην τηλεκπαίδευση είναι αυτή που περιγράφεται στα Privacy data sheets της CISCO. Αυτό όμως δεν ισχύει καθώς το Υπουργείο πέτυχε ειδικούς, αυστηρότερους όρους προστασίας των δεδομένων που ισχύουν μόνο στο πλαίσιο της δικής μας σύμβασης. Πέρα από αυτό, η ίδια η Αρχή αναγνωρίζει ότι τα δεδομένα είναι ψευδωνυμοποιημένα και ότι είναι αμφίβολο αν μπορούν να χρησιμοποιηθούν με τρόπο που να επιφέρει δυσμενείς συνέπειες στα υποκείμενα των δεδομένων.
2. Η Αρχή αφιερώνει 3 ολόκληρες σελίδες για να περιγράψει τα μέτρα ενημέρωσης των μελών της εκπαιδευτικής κοινότητας, ήτοι δημιουργία δύο δικτυακών τόπων και τηλεφωνικού κέντρου υποστήριξης, έκδοση εγκυκλίων, ανακοινώσεων και διενέργεια προγραμμάτων επιμόρφωσης (περιλαμβανομένου οδηγού του ΙΕΠ), αλλά ταυτόχρονα κάνει λόγο για… παραβίαση των σχετικών διατάξεων περί ενημέρωσης. Υπογραμμίζεται ότι μέχρι σήμερα ουδέποτε επισημάνθηκε από την Αρχή οποιαδήποτε αστοχία σε σχέση με την ενημέρωση η οποία παρασχέθηκε μεσούσης της πανδημίας.
3. Η Αρχή αξιολογεί μόνο ορισμένα από τα μέτρα που πήρε το Υπουργείο για την ενημέρωση αμφισβητώντας την αποτελεσματικότητά τους χωρίς την απαιτούμενη τεκμηρίωση/αιτιολόγηση, π.χ. δεν εξηγεί γιατί θεωρεί ότι η λειτουργία ομάδας υποστήριξης σε επίπεδο σχολικής μονάδας δεν διασφαλίζει ότι έχουν ενημερωθεί κατάλληλα οι εκπαιδευτικοί.
4. Η Αρχή επιπλήττει το Υπουργείο Παιδείας για μη συμμόρφωση με νέες υποχρεώσεις που θεσμοθετήθηκαν μόλις τον περασμένο Ιούνιο ενώ η σχολική χρονιά ολοκληρωνόταν και μαζί της και η τηλεκπαίδευση και ενώ η Μελέτη Εκτίμησης Αντικτύπου είχε εκπονηθεί μήνες πριν!
Σημειωτέον, δε, ότι σε καμία άλλη ευρωπαϊκή χώρα δεν γνωρίζουμε να έχει δημιουργηθεί οποιοδήποτε ζήτημα με την εφαρμογή του πανευρωπαϊκού κανονισμού για την προστασία των προσωπικών δεδομένων και τη συγκεκριμένη πλατφόρμα.
Το Υπουργείο Παιδείας και Θρησκευμάτων ασφαλώς σέβεται τις Αποφάσεις των Ανεξάρτητων Αρχών. Οι αποφάσεις, όμως, αυτές υπόκεινται σε δικαστική κρίση”.
