Search
Close this search box.
Ο Κώστας Μποτόπουλος αναλύει την απόφαση 50/2021 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), που διαμόρφωσε το πλαίσιο αφενός για τη θέσπιση και λειτουργία της σύγχρονης εξ αποστάσεως εκπαίδευσης στις σχολικές μονάδες και αφετέρου για την προστασία των προσωπικών δεδομένων κατά την τηλεκπαίδευση.

Με την υπ’ αριθμ. 50/2021 απόφασή της, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) συμπλήρωσε και εξειδίκευσε την ομόθεμη υπ’ αριθμ. 4/2020 γνωμοδότηση. Μαζί, τα δυο κείμενα διαμόρφωσαν το πλαίσιο αφενός για τη θέσπιση και λειτουργία της «σύγχρονης εξ αποστάσεως εκπαίδευσης στις σχολικές μονάδες» (τηλεκπαίδευση) και αφετέρου για την προστασία των προσωπικών δεδομένων κατά την τηλεκπαίδευση.

Ως προς τη νομιμότητα της τηλεκπαίδευσης και τη συμβατότητά της με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ), τις βάσεις έβαλε η γνωμοδότηση 4/2020. Εξετάζοντας τις κύριες προϋποθέσεις νομιμότητας της επεξεργασίας που θέτει ο ΓΚΠΔ στο άρθρο 5 (συλλογή δεδομένων κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς) υπό το φως των ειδικών στόχων και σκοπών της τηλεκπαίδευσης, όπως καθορίζονται στην ειδική περί αυτής ρύθμιση (άρθρο 63 ν. 4686/2020, όπως ισχύει κατόπιν της – ελαφράς – τροποποίησής της από την ΠΝΠ 10/08/2020), η Αρχή αποφάνθηκε υπέρ της καταρχήν νομιμότητας και συμβατότητας. Θεώρησε ότι ο σκοπός της τηλεκπαίδευσης είναι «ρητώς και σαφώς καθορισμένος στο νόμο», συνίσταται στην παροχή «σύγχρονης εκπαίδευσης», η οποία είναι δυνατή μόνον όταν οι μαθητές «δεν δύνανται να παρακολουθήσουν διά ζώσης την εκπαιδευτική διαδικασία» σε δυο εξαιρετικές περιπτώσεις: αναστολής ή απαγόρευσης της εκπαιδευτικής λειτουργίας και επέλευσης «έκτακτου και απρόβλεπτου γεγονότος». Η ΑΠΔΠΧ έκρινε ότι, υπ’ αυτές τις προϋποθέσεις, η τηλεκπαίδευση είναι «απολύτως συμβατή με τη βασική αποστολή του κράτους, όπως αυτή απορρέει από τις διατάξεις του άρθρου 16 του Συντάγματος» και «αναγκαία εν μέσω υγειονομικής κρίσης», θεωρώντας έτσι, χωρίς να το λέει, αλλά με σχεδόν αυτονόητο τρόπο, ότι η «υγειονομική κρίση», ειδικά με τις διαστάσεις μιας πανδημίας όπως αυτή που βιώνουμε, εμπεριέχεται στην έννοια «έκτακτο και απρόβλεπτο γεγονός». Ως νόμιμη βάση της επεξεργασίας, η Αρχή προέκρινε τις περιπτώσεις 1γ (συμμόρφωση με έννομη υποχρέωση) και 1ε  (εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον) του άρθρου 6 του ΓΚΠΔ   

Δέχτηκε επίσης η Αρχή, χωρίς περαιτέρω ανάλυση, ότι η «επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται κατά τη σύγχρονη εξ αποστάσεως εκπαίδευση μπορεί να συντελεστεί με τρόπο συμβατό με τον ΓΚΠΔ». Ως βασική προϋπόθεση για να συμβεί αυτό, η Αρχή έθεσε την ύπαρξη νόμιμης και πλήρους «εκτίμησης αντικτύπου προσωπικών δεδομένων» (ΕΑΠΔ), γύρω από την οποία προέβη σε μια σειρά από συστάσεις, θέτοντας συγχρόνως τρίμηνη προθεσμία συμμόρφωσης στο Υπουργείο Παιδείας.

Ως προς την ΕΑΠΔ, και με επίκεντρο το σχετικό άρθρο 35 του ΓΚΠΔ σε συνδυασμό με την Κατευθυντήρια Γραμμή WP 248 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, η εν λόγω γνωμοδότηση έδωσε έμφαση α) στην πληρότητα των πληροφοριών, που δεν βρισκόταν στον επιθυμητό βαθμό στην εκτίμηση που υποβλήθηκε από το Υπουργείο, β) στην απαιτούμενη κατά περίπτωση γνώμη των υποκειμένων των δεδομένων για τη σχεδιαζόμενη επεξεργασία, η οποία δεν ζητήθηκε καθόλου, για λόγους επείγοντος, από το Υπουργείο, ενώ η Αρχή έκρινε ότι, ενόψει της σημασίας της συγκεκριμένης επεξεργασίας, ήταν απαραίτητη και γ) στην υποχρέωση «αυξημένης διαφάνειας», δηλαδή αυξημένης πληροφόρησης», σε σχέση με την ενημέρωση και ευαισθητοποίηση των εκπαιδευτικών, των μαθητών και των γονέων. Και στα τρία αυτά θέματα η γνωμοδότηση 4/2020 έκανε συστάσεις, και στα τρία αυτά θέματα η απόφαση 50/2021 θα επανερχόταν.

Στην περίοδο μεταξύ των δυο κειμένων το Υπουργείο Παιδείας υποτίθεται ότι έλαβε υπόψη τις συστάσεις και αναπροσάρμοσε σύμφωνα με αυτές την απαιτούμενη εκτίμηση αντικτύπου. Όμως η απόφαση 50/2021 θεώρησε την αναπροσαρμογή πλημμελή και αναγκάστηκε πρώτον να αποσαφηνίσει και εξειδικεύσει ορισμένες παρατηρήσεις και απαιτήσεις της και δεύτερον να επιβάλλει ποινές για τις παραβιάσεις που, κατά την κρίση της, έλαβαν χώρα.

Παρότι η απόφαση δεν επανήλθε στο θέμα της νομιμότητας, προέβη, πριν εισέλθει στα τεχνικά της ΕΑΠΔ, σε ορισμένες γενικές παρατηρήσεις. Πρώτον, διατύπωσε την άποψη ότι «η έννοια της διαφάνειας δεν είναι φορμαλιστική» –  κι έτσι κατέληξε στην κρίση ότι η ενημέρωση στην οποία προέβη, μεταξύ των δυο αποφάσεων, το Υπουργείο ήταν πλημμελής και δεν πληρούσε τα κριτήρια του άρθρου 13 ΓΚΠΔ και το απαιτούμενο βάθος τους. Δεύτερον προέβη σε μια διάκριση μεταξύ «σύγχρονης» (παρακολούθηση τηλεκπαίδευσης από όλα τα παιδιά την ίδια στιγμή) και «μη σύγχρονης» εκπαίδευσης – και διατύπωσε τη γνώμη ότι η πρώτη ήταν προτιμότερη και μόνο αυτή πληρούσε άνευ ετέρου τα κριτήρια του νόμου και τις περί νομιμότητας αποφάνσεις της γνωμοδότησης 4/2020. Τρίτον, παρατήρησε ότι, δίπλα στον κατεξοχήν υπεύθυνο επεξεργασίας των δεδομένων της τηλεκπαίδευσης, το Υπουργείο Παιδείας, συμμετοχή και άρα και ευθύνη, με την ιδιότητα του «από κοινού υπεύθυνου επεξεργασίας», είχε και η εταιρία (Cisco) η οποία πρόσφερε και «λειτούργησε» το εφαρμοσθέν για την τηλεκπαίδευση «σύστημα» (Webex) –και έκρινε, ως προς αυτό, ότι το Υπουργείο δεν είχε διενεργήσει αναλυτική διερεύνηση της νομιμότητας των σκοπών επεξεργασίας εκ μέρους της συγκεκριμένης εταιρίας. Και τέταρτον, έδωσε ιδιαίτερη έμφαση στο ζήτημα της διαβίβασης δεδομένων σε τρίτους, βάσει του άρθρου 46 ΓΚΠΔ και τελικά θεώρησε ότι το αναγκαστικό για τεχνολογικούς λόγους «ταξίδι» των δεδομένων μέσω του συστήματος στις ΗΠΑ δεν πληρούσε, εφόσον έγινε μέσω «τυποποιημένων συμβατικών ρητρών» και όχι μέσω ειδικής απόδειξης καταλληλότητας, τις προϋποθέσεις του νόμου, υπό το φως ιδίως της απόφασης «Schrems III» (C-311/18) του Δικαστηρίου της Ευρωπαϊκής Ένωσης.

Ειδικότερα για την ΕΑΠΔ, στην οποία η συγκεκριμένη απόφαση αφιέρωσε το μεγαλύτερο μέρος των αναλύσεων της, η 50/2021 εξειδίκευσε την έννοια της πληρότητας, που είχε θέσει και στη γνωμοδότηση 4/20, και έκρινε ότι, σε μια σειρά από μέτωπα, η αναθεωρηθείσα ΕΑΠΔ παρουσίαζε υστερήσεις και πλημμέλειες. Τα κυριότερα από αυτά τα μέτωπα ήταν: α) ο τρόπος ενημέρωσης για την διεξαχθείσα τηλεκπαίδευση και ιδίως το γεγονός ότι το κείμενο της σχετικής ενημέρωσης, υπό τη μορφή ερωταποκρίσεων, δεν είναι εύκολα προσβάσιμο ούτε κατάλληλο για παιδιά, β) τα μέσα που χρησιμοποιήθηκαν (ιδίως συναντήσεις και επεξηγήσεις) για την «εμπλοκή των δεδομένων της επεξεργασίας», γ) τα τεχνικά και οργανωτικά μέτρα για την προστασία των δικαιωμάτων των υποκειμένων.

Συνολικά η Αρχή θεώρησε ότι συντελέστηκαν πέντε διαφορετικές παραβιάσεις: άρθρο 6 ΓΚΠΔ για τους σκοπούς επεξεργασίας εκ μέρους του «από κοινού υπευθύνου», άρθρο 13 ΓΚΠΔ σε σχέση με τις προϋποθέσεις διαφάνειας-ενημέρωσης, άρθρο 25 ΓΚΠΔ σε σχέση με τους κινδύνους, άρθρο 35 ΓΚΠΔ σε σχέση με την έκφραση γνώμης των υποκειμένων, άρθρο 46 ΓΚΠΔ σχετικά με τις υποχρεώσεις διαβίβασης σε τρίτους. Για καθεμία από τις ως άνω παραβιάσεις η Αρχή επέβαλε επίπληξη στο Υπουργείο Παιδείας – ενδεικτική του οριακού χαρακτήρα των παραβιάσεων και της παιδαγωγικής βούλησης της Αρχής – και του ζήτησε διόρθωση εντός δύο μηνών. Αν δικαιούται κάποιος να θεωρήσει ότι, σε ορισμένες περιπτώσεις και σε σχέση με ορισμένες από τις αποφάνσεις της, η Αρχή διέβη ίσως την κόκκινη γραμμή περί «φορμαλισμού», που η ίδια είχε θέσει έναντι των υπευθύνων επεξεργασίας, κανείς δεν μπορεί, νομίζω, να αμφισβητήσει ότι με το πλέγμα των αποφάσεων 4/20 και 50/21 η ελληνική έννομη τάξη, και η κοινότητα των «GDPRολόγων», διαθέτει πλέον ένα πολύ πλήρες και πολύ συνεκτικό υπόδειγμα για το πώς πρέπει να λειτουργεί η τηλεκπαίδευση αλλά και τι πρέπει να περιέχει μια ολοκληρωμένη εκτίμηση αντικτύπου.     

Κώστας Μποτόπουλος
Συνταγματολόγος, Δικηγόρος

Σου άρεσε το άρθρο, αλλά σου δημιούργησε νέες απορίες;

Έχεις και άλλα ερωτήματα που σε απασχολούν σε σχέση με το Σύνταγμα, τους Θεσμούς, τα δικαιώματα και τη λειτουργία της Δημοκρατίας;

Σχετικά Άρθρα

Η συνταγματική δέσμευση της συμμετοχής της Ελλάδας στην Ευρωζώνη: Μια υπόμνηση για το μέλλον;

Ο Γιάννης Τασόπουλος υπογραμμίζει τα συνταγματικά θεμέλια της συμμετοχής της Ελλάδας στην Ευρωζώνη, επισημαίνοντας παράλληλα ότι το Σύνταγμα δεν περιορίζεται απλώς στην εξουσιοδότηση του κοινού νομοθέτη και στην απλή παροχή δυνατότητας για τη συμμετοχή ή όχι στην Ο.Ν.Ε., η οποία τελεί στη διακριτική ευχέρεια της εκάστοτε κυβέρνησης και εξαρτάται από την ίδια, αλλά ανάγει τη συμμετοχή της χώρας στη διαδικασία της ευρωπαϊκής ολοκλήρωσης σε δεσμευτικό συνταγματικό σκοπό της Πολιτείας.

Περισσότερα

Δήλωση του Προέδρου της ΑΔΑΕ Χρήστου Ράμμου για τη Γνωμοδότηση 1/10879/10.01.2023 του Εισαγγελέως του Αρείου Πάγου κ. Ισίδωρου Ντογιάκου

Διαβάστε τη δήλωση του Προέδρου της ΑΔΑΕ Χρήστου Ράμμου για τη Γνωμοδότηση 1/10879/10.01.2023 του Εισαγγελέως του Αρείου Πάγου κ. Ισίδωρου Ντογιάκου.

Περισσότερα

Live webcast: Το δημόσιο δίκαιο απέναντι στις κρίσεις

Παρακολουθήστε ολόκληρη την εκδήλωση με τίτλο “Το δημόσιο δίκαιο απέναντι στις κρίσεις”, που διοργάνωσε το ηλεκτρονικό περιοδικό Δημοσίου Δικαίου ελεύθερης πρόσβασης e-ΠΟΛΙΤΕΙΑ, με αφορμή την κυκλοφορία του πρώτου τεύχους του (Ιανουάριος-Μάρτιος 2022).

Περισσότερα

Θέλεις να μαθαίνεις

πρώτος τα νέα μας;

Αν σε ενδιαφέρει να ενημερώνεσαι άμεσα για τις νέες δημοσιεύσεις και τις δράσεις του Syntagma Watch, τότε εγγράψου στο newsletter μας!

Αυτός ο ιστότοπος για τη διευκόλυνση της λειτουργίας του και προκειμένου να σας παρέχει μια προσωποποιημένη εμπειρία χρησιμοποιεί cookies. Για να ενημερωθείτε για τη χρήση των cookies και τις σχετικές ρυθμίσεις μπορείτε να επιλέξετε εδώ

JOIN THE CLUB!

It’s easy: all we need is your email & your eternal love. But we’ll settle for your email.

Subscribe

* indicates required
Email Format

Please select all the ways you would like to hear from Syntagma Watch:

You can unsubscribe at any time by clicking the link in the footer of our emails. For information about our privacy practices, please visit our website.

We use Mailchimp as our marketing platform. By clicking below to subscribe, you acknowledge that your information will be transferred to Mailchimp for processing. Learn more about Mailchimp's privacy practices here.