Η Αρχή Προστασίας Προσωπικών Δεδομένων για θέματα εκπαιδευτικών
Όπως αναφέρεται στην ετήσια έκθεση πεπραγμένων της Αρχής Προστασίας Προσωπικών Δεδομένων του 2014 εξετάστηκαν υποθέσεις που αφορούσαν εκπαιδευτικούς και μαθητές.
Χαρακτηριστικά αναφέρονται τα ακόλουθα:
Τέλος, η Αρχή σε δύο υποθέσεις εξέτασε την περίπτωση ανάρτησης στο διαδίκτυο προσωπικών δεδομένων εκπαιδευτικών και μαθητών, αντίστοιχα. Συγκεκριμένα, στην πρώτη περίπτωση, κατόπιν καταγγελίας για την ανάρτηση στο διαδίκτυο από Διευθύνσεις Δευτεροβάθμιας Εκπαίδευσης στοιχείων εκπαιδευτικών προς διαθεσιμότητα, η Αρχή εξετάζοντας τη νομιμότητα της εν λόγω ανάρτησης έκρινε ότι δεν πληρούται η αρχή της αναλογικότητας, εφόσον τα δεδομένα που αναρτήθηκαν στο διαδίκτυο ήταν περισσότερα από αυτά που ήταν αναγκαία για τον επιδιωκόμενο σκοπό, δηλαδή την ενημέρωση των εκπαιδευτικών.
Για τον λόγο αυτό προχώρησε σε σχετική σύσταση προς το Υπουργείο Παιδείας να τηρεί απαρεγκλίτως όλες τις οριζόμενες στις διατάξεις του Ν. 2472/1997 προϋποθέσεις νομιμότητας επεξεργασίας των προσωπικών δεδομένων (Γ/ΕΞ/6266/16.10.2014). Στη δεύτερη υπόθεση, η Αρχή, εξετάζοντας τη νομιμότητα ανάρτησης σε ιστοσελίδα σχολείου φωτογραφιών και βίντεο μαθητών από σχολικές δραστηριότητες και λαμβάνοντας υπόψη ότι μια ανάρτηση στο διαδίκτυο συνεπάγεται διάδοση του αναρτώμενου υλικού σε απεριόριστο και μη ελεγχόμενο αριθμό προσώπων, έκρινε ότι για να είναι νόμιμη η ανάρτηση αυτή θα πρέπει να έχουν προηγουμένως ενημερωθεί οι γονείς ή οι ασκούντες τη γονική μέριμνα των μαθητών για το είδος και τον σκοπό της υπό κρίση επεξεργασίας και να έχει δοθεί η συγκατάθεσή τους για την επεξεργασία αυτή, ενώ ταυτόχρονα το σχολείο οφείλει, ως υπεύθυνος επεξεργασίας, να ικανοποιεί τα δικαιώματα πρόσβασης και αντίρρησης (Γ/ΕΞ/6443−1/12.11.2014).
Αιτήσεις καθηγητών σε ΙΕΚ
Δύο καταγγελίες διαβιβάσθηκαν στην Αρχή από την Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών αναφορικά με την ασφάλεια δύο διαδικτυακών τόπων. Στον έναν εξ αυτών απογράφησαν οι υπάλληλοι συγκεκριμένων κλάδων οκτώ Πανεπιστημίων, ενώ στον δεύτερο, καθηγητές υπέβαλαν αιτήσεις για εργασία σε δημόσια ΙΕΚ. Υπεύθυνος επεξεργασίας και των δύο διαδικτυακών τόπων ήταν το Υπουργείο Παιδείας.
Κοινό πρόβλημα και στα δύο συστήματα ήταν η μη κρυπτογραφημένη σύνδεση των χρηστών. Σημειωτέον ότι και στις δύο εφαρμογές έγινε επεξεργασία ευαίσθητων προσωπικών δεδομένων υγείας (ποσοστό αναπηρίας για τον διαδικτυακό τόπο απογραφής υπαλλήλων και δήλωση ΑΜΕΑ για τον διαδικτυακό τόπο των εκπαιδευτών αντίστοιχα), αλλά και κοινωνικής πρόνοιας των χρηστών. Όσον αφορά στην επεξεργασία αυτή, η Αρχή έκρινε ότι έχει εφαρμογή το άρθρο 7Α παρ. 1 στοιχ. α΄ του N. 2472/1997 περί απαλλαγής του υπευθύνου επεξεργασίας από την υποχρέωση γνωστοποίησης και λήψης άδειας της Αρχής.
Όσον αφορά, ωστόσο, στην ασφάλεια των εφαρμογών, ιδίως σε σχέση με την επεξεργασία των ως άνω ευαίσθητων προσωπικών δεδομένων, η Αρχή έκρινε ότι ο υπεύθυνος επεξεργασίας δεν ακολούθησε επαρκή μέθοδο αυθεντικοποίησης των χρηστών, με αποτέλεσμα να τεθεί σε κίνδυνο η ακρίβεια των δεδομένων, και δεν παρείχε κρυπτογράφηση, με αποτέλεσμα να μην υπάρχουν γενικότερα τα ενδεδειγμένα μέτρα για τη διασφάλιση της εμπιστευτικότητας των δεδομένων. Για τους λόγους αυτούς η Αρχή απηύθυνε αυστηρή προειδοποίηση στο Υπουργείο Παιδείας να εφαρμόζει τα κατάλληλα οργανωτικά μέτρα στις δύο ως άνω εφαρμογές του (απόφαση 121/2014).
ΔΔΕ ΦΛΩΡΙΝΑΣ
