Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έκρινε ότι υπάρχει σειρά σοβαρών παραβιάσεων του νόμου περί προσωπικών δεδομένων στη διαδικασία της τηλεκπαίδευσης.
Η οριστική απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη διαδικασία της τηλεκπαίδευσης στην Ελλάδα αφήνει απολύτως έκθετη την ηγεσία του Υπουργείου Παιδείας και προσωπικά τη Νίκη Κεραμέως.
Η Αρχή διαπίστωσε παραβιάσεις της νομοθεσίας σε ουκ ολίγες περιπτώσεις, μεταξύ αυτών και στη χρήση των μεταδεδομένων των χρηστών για τα οποία είχε δοθεί στην εταιρία CISCO να τα εμπορευτεί όπως η ίδια επιθυμεί. Το θέμα είχε αναδείξει με σειρά ρεπορτάζ το NEWS24/7.
Η πολυσέλιδη απόφαση καταλήξει με επιπλήξεις για το Υπουργείο, πέντε τον αριθμό, και με τη ρητή προειδοποίηση ότι θα πρέπει να υπάρξει συμμόρφωση μέσα σε δύο μήνες.
Τα πιο προβληματικά σημεία
Η Αρχή συμπεραίνει ότι έχει παραβιαστεί το άρθρο του GDPR περί νόμιμης βάσης επεξεργασίας. Με άλλα λόγια έχει γίνει παράνομη επεξεργασία δεδομένων.
Γράφει επί λέξει η Αρχή: Σε σχέση με τα ζητήματα νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως ιδίως εκτίθενται στις σκέψεις 11 έως και 16 της παρούσης, διαπιστώνεται ότι το Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 6 του ΓΚΠΔ, σε συνδυασμό με το άρθρο 4 παρ. 5 του ν. 3471/2006, όπως ισχύει.
Διαπιστώθηκε, επίσης, ότι το Υπουργείο δεν πήρε μέτρα για να αποτρέψει τους κινδύνους που ενέχει η εν λόγω επεξεργασία:
Αναγράφεται το εξής: Σε σχέση με τους κινδύνους που ενέχει η συγκεκριμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα όπως αναλύονται στη σκέψη 18 της παρούσης, 44διαπιστώνεται ότι το Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 25 παρ. 1 του ΓΚΠΔ, καθώς τα λαμβανόμενα τεχνικά και οργανωτικά μέτρα δεν προστατεύουν επαρκώς τα δικαιώματα των υποκειμένων των δεδομένων.
Τελευταίο αλλά πιο σημαντικό. Παρανόμως πωλήθηκαν τα δεδομένα των χρηστών στις ΗΠΑ.
Αναφέρεται ρητά ότι “σε σχέση με το ζήτημα της διαβίβασης δεδομένων εκτός Ε.Ε., όπως αναλύεται στη σκέψη 20 της παρούσης, διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε τις υποχρεώσεις του άρθρου 46 του ΓΚΠΔ, καθώς δεν έχει πραγματοποιηθεί αξιολόγηση της διαβίβασης με τον τρόπο που περιγράφεται στην εν λόγω σκέψη”.
Τα πιο προβληματικά σημεία
Η Αρχή συμπεραίνει ότι έχει παραβιαστεί το άρθρο του GDPR περί νόμιμης βάσης επεξεργασίας. Με άλλα λόγια έχει γίνει παράνομη επεξεργασία δεδομένων.
Γράφει επί λέξει η Αρχή: Σε σχέση με τα ζητήματα νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως ιδίως εκτίθενται στις σκέψεις 11 έως και 16 της παρούσης, διαπιστώνεται ότι το Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 6 του ΓΚΠΔ, σε συνδυασμό με το άρθρο 4 παρ. 5 του ν. 3471/2006, όπως ισχύει.
Διαπιστώθηκε, επίσης, ότι το Υπουργείο δεν πήρε μέτρα για να αποτρέψει τους κινδύνους που ενέχει η εν λόγω επεξεργασία:
Αναγράφεται το εξής: Σε σχέση με τους κινδύνους που ενέχει η συγκεκριμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα όπως αναλύονται στη σκέψη 18 της παρούσης, 44διαπιστώνεται ότι το Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 25 παρ. 1 του ΓΚΠΔ, καθώς τα λαμβανόμενα τεχνικά και οργανωτικά μέτρα δεν προστατεύουν επαρκώς τα δικαιώματα των υποκειμένων των δεδομένων.
Τελευταίο αλλά πιο σημαντικό. Παρανόμως πωλήθηκαν τα δεδομένα των χρηστών στις ΗΠΑ.
Αναφέρεται ρητά ότι “σε σχέση με το ζήτημα της διαβίβασης δεδομένων εκτός Ε.Ε., όπως αναλύεται στη σκέψη 20 της παρούσης, διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε τις υποχρεώσεις του άρθρου 46 του ΓΚΠΔ, καθώς δεν έχει πραγματοποιηθεί αξιολόγηση της διαβίβασης με τον τρόπο που περιγράφεται στην εν λόγω σκέψη”.
Δείτε όλο το άρθρο στο news 24/7
