19 Νοεμβρίου, 2021

Σύντομα συμπεράσματα από την απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) σχετικά με την εξ αποστάσεως σχολική εκπαίδευση.

Του Σωκράτη Βερτέλλη

Η υπ’αρ. 50/2021 απόφαση της ΑΠΔΠΧ που εκδόθηκε μόλις προχθές (16.11.2021) αναφορικά με την εξ αποστάσεως σχολική εκπαίδευση που εφάρμοσε το Υπουργείο Παιδείας και Θρησκευμάτων λόγω της πανδημίας, είναι  η πιο σημαντική απόφαση που έχει εκδοθεί από την αρμόδια ελληνική αρχή από την ημερομηνία έναρξης ισχύος του Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ευρύτερα γνωστού ως GDPR.

Εν τάχει, να πούμε ότι η Αρχή καταλογίζει στο Υπουργείο Παιδείας ότι σε σχέση με τους σκοπούς επεξεργασίας που γνωστοποιήθηκαν στην Αρχή, δηλαδή σε σχέση με τους λόγους για τους οποίους συλλέγονται και αξιοποιούνται τα προσωπικά δεδομένα, το Υπουργείο δεν μερίμνησε ούτε για την ορθή εφαρμογή της αρχής της νομιμότητας της επεξεργασίας σε συνδυασμό με την αρχή της διαφάνειας, ούτε για την άρτια πληροφόρηση των υποκειμένων των δεδομένων σχετικά με την επεξεργασία των προσωπικών τους δεδομένων.

Στην προκειμένη περίπτωση, η επεξεργασία γινόταν μέσω της πλατφόρμας που παρείχε για την τηλεκπαίδευση ο αμερικανικός κολοσσός CISCO. Η Αρχή θεώρησε, μεταξύ άλλων, ότι μέσω της χρήσης της εν λόγω πλατφόρμας τα προσωπικά δεδομένα των μελών της εκπαιδευτικής κοινότητας μπορεί να τύχουν επεξεργασίας και για αμιγώς εμπορικούς σκοπούς της CISCO, καθώς και ότι υφίσταται μη επιτρεπτή διαδικασία κατάρτισης προφίλ των χρηστών.

Επιπλέον, με δεδομένη την έδρα της CISCO στις ΗΠΑ, η Αρχή προσάπτει στο Υπουργείο ότι αν και έχει ακυρωθεί από το Δικαστήριο των Ευρωπαϊκών Κοινοτήτων η συμφωνία μεταξύ ΕΕ και ΗΠΑ για τη διαβίβαση δεδομένων στην Αμερική (γνωστή ως EU-US Privacy Shield), εξαιτίας του ότι οι ΗΠΑ δεν παρείχαν επαρκή μέσα για την ασφάλεια των προσωπικών δεδομένων που διαβιβάζονται σε αυτές – άρα δεν θα έπρεπε τα προσωπικά δεδομένα των χρηστών της πλατφόρμας να εξάγονται στις ΗΠΑ – το Υπουργείο δεν φρόντισε να βεβαιωθεί γι’ αυτό.

Η ανωτέρω απόφαση είναι, θεωρούμε, ιδιαίτερα σημαντική για τους εξής απλούς λόγους:

Κατά πρώτον, αποδεικνύει τη βούληση της ΑΠΔΠΧ να εφαρμόσει τον GDPR και στο Δημόσιο Τομέα. Αν και η Αρχή δεν έκανε χρήση της πιο αυστηρής δυνατότητας που της παρέχει ο νόμος (επιβολή χρηματικής ποινής) και επέλεξε την επίπληξη και την έκκληση προς το Υπουργείο για συμμόρφωση εντός συγκεκριμένης προθεσμίας που έταξε, δεν μπορούμε παρά να χειροκροτήσουμε μία απόφαση που καθιστά σαφές ότι κανείς, δημόσιος ή ιδιωτικός φορέας, δεν είναι υπέρ άνω του Κανονισμού.

Δεύτερον, λόγω της ευρείας έκτασης που έλαβε η τηλεκπαίδευση πρόσφατα, αλλά και της εργαλειοποίησης της οποίας είναι βέβαιο ότι θα τύχει η απόφαση της Αρχής από την αντιπολίτευση για να πλήξει την Κυβέρνηση, εκ των πραγμάτων θα ακολουθήσει μία δημόσια συζήτηση σχετικά με τα προσωπικά δεδομένα, που θα έχει ως αποτέλεσμα οι πολίτες – υποκείμενα προσωπικών δεδομένων – να ευαισθητοποιηθούν περισσότερο και να ενημερωθούν καλύτερα αναφορικά με τα δικαιώματα που τους παρέχει ο Κανονισμός. Αυτό μόνο θετικό μπορεί να είναι αφού, μέσα στο χάος της ηλεκτρονικής επικοινωνίας, τα φυσικά πρόσωπα αισθάνονται ότι μπορούν να ανακτήσουν μέρος της ιδιωτικότητάς τους και να την προστατεύσουν.

Τρίτον – και αυτό σχετίζεται με το προηγούμενο συμπέρασμα – θα κινητοποιήσει αναγκαστικά πολλές επιχειρήσεις αλλά και δημόσιους φορείς, επιτέλους, να δράσουν για να συμμορφωθούν με τον Κανονισμό. Δυστυχώς, στην Ελλάδα, τα ποσοστά συμμόρφωσης είναι ακόμα πολύ χαμηλά. Ο γράφων έχει σχολιάσει σε παλαιότερο άρθρο που δημοσιεύτηκε στο Capital.gr  την απροθυμία των επιχειρήσεων να συμμορφωθούν με τον Κανονισμό, η οποία οφείλεται στο χαμηλό, γενικά, ποσοστό ελέγχων και προστίμων που έχει επιβληθεί από την ΑΠΔΠΧ και την οικονομική κρίση, η οποία ανάγκασε τις επιχειρήσεις να θέσουν άλλες προτεραιότητες.

Ειδικά, μάλιστα, αναφορικά με το Δημόσιο, είχαμε επισημάνει σε παλαιότερη συνέντευξη, ότι η εικόνα που επικρατεί σε νοσοκομεία, ασφαλιστικούς φορείς, εφορίες και άλλες δημόσιες υπηρεσίες είναι απογοητευτική και είχαμε προβλέψει με μαθηματική βεβαιότητα ότι μία απόφαση της Αρχής κατά του Δημοσίου είναι θέμα χρόνου. Επιβεβαιωθήκαμε εμφατικά. Όμως, ούτε αυτό από μόνο του είναι αρνητικό, αν το Κράτος δει μία ευκαιρία για σωστές δομές και επιτάχυνση της συμμόρφωσης σε όλο το Δημόσιο Τομέα. Ήδη τα βήματα που έχει κάνει το Υπουργείο Ψηφιακής Μεταρρύθμισης είναι τεράστια και αξίζουν θερμά συγχαρητήρια. Αρκεί το παράδειγμα αυτό να εφαρμοστεί και σε άλλα πεδία.  

Τέλος, γίνεται εμφανές ότι η συμμόρφωση με τον Κανονισμό αλλά και γενικότερα η εφαρμογή στην πράξη του δικαίου της τεχνολογίας δεν είναι απλή υπόθεση, την οποία μπορεί να αναλάβει οποιοσδήποτε. Δυστυχώς, αφενός μεν πολλοί από εκείνους που παρέχουν υπηρεσίες συμμόρφωσης είναι πρόσωπα με πολύ ελλιπή και αποσπασματική κατάρτιση (συνήθως από αμφίβολης ποιότητας σεμινάρια) οι οποίοι ρίχνουν σημαντικά το κόστος προκειμένου να προσελκύσουν πελατεία, αφετέρου δε πολλές επιχειρήσεις, όταν πρόκειται για τη συμμόρφωσή τους, προτάσσουν το κόστος από την ποιότητα της υπηρεσίας.

*O Σωκράτης Βερτέλλης είναι Δικηγόρος Αθηνών εξειδικευμένος στο Δίκαιο της Τεχνολογίας, με Master’s από το Πανεπιστήμιο του Λονδίνου Queen Mary και το Πανεπιστήμιο της Σορβόννης στο Παρίσι, συνιδρυτής τη www.intel-lex.eu