Εκπαιδευτικό δίκαιοΜελέτες-θέματα εκπαίδευσης-έρευνεςΤΗΛΕΚΠΑΙΔΕΥΣΗ ΚΑΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΓΝΩΜΟΔΟΤΗΣΗ ΚΑΙ ΣΧΟΛΙΑΣΜΟΣ ΣΤΗΝ ΥΠ’ΑΡΙΘΜ. 4/2020 ΑΠΟΦΑΣΗ ΤΗΣ ΑΠΔΠΧ

1
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ∆Ε∆ΟΜΕΝΩΝ
ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Αθήνα, 07-09-2020
Αριθ. Πρωτ.: Γ/ΕΞ/6031/07-09-2020
ΓΝΩΜΟ∆ΟΤΗΣΗ 4/2020
Η Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα συνήλθε µετά από
πρόσκληση του Προέδρου της σε τακτική συνεδρίαση µέσω τηλεδιάσκεψης την
19.08.20 σε συνέχεια των από 14.7.20 και 12.8.20 συνεδριάσεών της, προκειµένου να
εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν ο
Πρόεδρος της Αρχής Κωνσταντίνος Μενουδάκος, και τα τακτικά µέλη της Αρχής
Σπυρίδων Βλαχόπουλος, Χαράλαµπος Ανθόπουλος και Κων/νος Λαµπρινουδάκης, οι
δύο τελευταίοι και ως εισηγητές της υπόθεσης. Παρόντες χωρίς δικαίωµα ψήφου
ήταν οι Καλλιόπη Καρβέλη και Γεώργιος Ρουσόπουλος, ειδικοί επιστήµονες, ως
βοηθοί εισηγητών, οι οποίοι αποχώρησαν µετά τη συζήτηση της υπόθεσης και πριν
από τη διάσκεψη και τη λήψη απόφασης και η Γεωργία Παλαιολόγου, υπάλληλος του
τµήµατος διοικητικών υποθέσεων της Αρχής, ως γραµµατέας.
Η Αρχή έλαβε υπόψη τα παρακάτω:
Με τις υπ’ αριθ. πρωτ. Γ/ΕΙΣ/3307/14.05.20 και Γ/ΕΙΣ/3701/29.05.20,
Γ/ΕΙΣ/4144/16.6.20 και Γ/ΕΙΣ/3866/5.6.20 αναφορές τους κατά του Υπουργείου
Παιδείας και Θρησκευµάτων (εφεξής Υ.ΠΑΙ.Θ.) αντίστοιχα η Οµοσπονδία Ιδιωτικών
Εκπαιδευτικών Λειτουργών Ελλάδος (εφεξής ΟΙΕΛΕ), η ∆ιδασκαλική Οµοσπονδία
Ελλάδος (εφεξής ∆ΟΕ) και η A προβάλλονται παραβιάσεις της νοµοθεσίας για την
προστασία των προσωπικών από το Υπουργείο Παιδείας και Θρησκευµάτων και
ζητούν την παρέµβαση της Αρχής. Μεταξύ άλλων ζητείται να διερευνηθεί η2
συµβατότητα της σύγχρονης εξ αποστάσεως εκπαίδευσης στις σχολικές µονάδες της
πρωτοβάθµιας και δευτεροβάθµιας εκπαίδευσης µε τις διατάξεις του Γενικού
Κανονισµού Προστασίας ∆εδοµένων (εφεξής ΓΚΠ∆) και του ν. 4624/2019 καθώς και
κατά πόσον η παροχή της συνιστά νόµιµη επεξεργασία προσωπικών δεδοµένων ή όχι.
Με την παρούσα γνωµοδότηση εξετάζονται τα ζητήµατα που σχετίζονται µε το
τελευταίο αυτό θέµα, επιφυλάσσεται δε η Αρχή ως προς τις λοιπές αιτιάσεις που
περιέχονται στις ανωτέρω αναφορές
Ως προς το εξεταζόµενο θέµα, η ΟΙΕΛΕ και η ∆ΟΕ µε τις υπ’ αριθ. πρωτ.
Γ/ΕΙΣ/3307/14.05.20, Γ/ΕΙΣ/3701/29.05.20 και Γ/ΕΙΣ/4144/16.6.20 αντίστοιχες
αναφορές τους ζητούν την παρέµβαση της Αρχής προκειµένου να διερευνηθεί: α) η
συµβατότητα της σύγχρονης εξ αποστάσεως εκπαίδευσης στις σχολικές µονάδες της
πρωτοβάθµιας και δευτεροβάθµιας εκπαίδευσης µε τις διατάξεις του ΓΚΠ∆ και του ν.
4624/2019, β) κατά πόσον η επεξεργασία προσωπικών δεδοµένων που έλαβε χώρα
από τα µέσα Μαρτίου 2020 µέχρι και τις αρχές Μαΐου 2020 στα δηµόσια και ιδιωτικά
σχολεία στο πλαίσιο της ασύγχρονης αλλά κυρίως της σύγχρονης εξ αποστάσεως
διδασκαλίας ήταν σύµφωνη µε τις διατάξεις του ΓΚΠ∆ και γ) κατά πόσον η
επεξεργασία προσωπικών δεδοµένων που πραγµατοποιήθηκε στα ιδιωτικά σχολεία
της Αθήνας και του Πειραιά από τη ∆ευτέρα 11 Μαΐου 2020, στο πλαίσιο της
σύγχρονης εξ αποστάσεως διδασκαλίας, είναι σύµφωνη µε τις διατάξεις του ΓΚΠ∆.
Επίσης η ΟΙΕΛΕ καταγγέλλει ότι από την εγκύκλιο του Υ.ΠΑΙ.Θ. υπ’ αριθ.
57521/Γ∆4/17.05.2020: α) επιβεβαιώνεται το παράνοµο της επεξεργασίας της
σύγχρονης εκπαίδευσης, από τα µέσα Μαρτίου µέχρι και τις 15.5.20, στη δηµόσια και
ιδιωτική εκπαίδευση, λόγω παραβίασης της αρχής της νοµιµότητας (έλλειψη νοµίµου
βάσεως επεξεργασίας) αναφορικά µε τον δηµόσιο και ιδιωτικό τοµέα, β) εντοπίζεται
συστηµατική και µε ποικίλους τρόπους παραβίαση των κανόνων των άρθρων 24 και
25 ΓΚΠ∆ (ιδίως η αρχή της προστασίας των δεδοµένων ήδη από τον σχεδιασµό) εκ
µέρους του Υ.ΠΑΙ.Θ. στον κανονιστικό, οργανωτικό και τεχνικό σχεδιασµό της
επεξεργασίας, γ) το περιεχόµενο της εγκυκλίου αποκαλύπτει περιορισµό στα
αναγνωρισµένα εκ του ΓΚΠ∆ δικαιώµατα των υποκειµένων, δίχως να είναι
συνταγµατικά ανεκτή µια τέτοια επιλογή και δίχως να εξασφαλίζεται από κανένα
κείµενο η τήρηση των εγγυήσεων του άρθ. 23 ΓΚΠ∆ και δ) δεν διασφαλίζονται
σαφείς διαδικασίες για την άσκηση δικαιωµάτων των υποκειµένων, στην ως άνω
επεξεργασία. Ακόµη η ∆ΟΕ ζητά από την Αρχή να εξετάσει την τήρηση από το 3
Υ.ΠΑΙ.Θ. της αρχής της λογοδοσίας, ήτοι να αξιολογηθεί η πληρότητα της
εκπονηθείσας µελέτης εκτίµησης αντικτύπου.
Στο πλαίσιο διερεύνησης των καταγγελιών η Αρχή απέστειλε τα µε αριθ. πρωτ.
Γ/ΕΞ/3307-1/18.05.20, Γ/ΕΞ/3701-1/02-06-2020, Γ/ΕΞ/4144-1/22.06.20 και
Γ/ΕΞ/3866-1/23.06.20 έγγραφα προς παροχή διευκρινίσεων στο Υ.ΠΑΙ.Θ., το οποίο
στις µε αριθ. πρωτ. Γ/ΕΙΣ/4844/13.07.20 και Γ/ΕΙΣ/4644/03.07.20 απαντήσεις του
ανέφερε τα εξής : α) η ταυτόχρονη διδασκαλία σε µαθητές τόσο µε φυσική παρουσία
όσο και µε τη µέθοδο της εξ αποστάσεως εκπαίδευσης µε χρήση µέσων τεχνολογίας
σε περίπτωση καθολικής ή µερικής αναστολής ή απαγόρευσης λειτουργίας
εκπαιδευτικής δοµής είτε για άλλον λόγο που ανάγεται σε έκτακτο ή απρόβλεπτο
γεγονός, προβλέπεται στο άρθρο 63 του ν. 4686/20, β) σε συνέχεια της δυνατότητας
αυτής εκπονήθηκε η Μελέτη Εκτίµησης Αντικτύπου, σύµφωνα µε το άρθρο 35 του
ΓΚΠ∆, γ) στη συνέχεια, η δυνατότητα οι σχολικές µονάδες της πρωτοβάθµιας και
δευτεροβάθµιας εκπαίδευσης να παρέχουν σύγχρονη εξ αποστάσεως εκπαίδευση
ρυθµίστηκε µε την υπ’ αριθ. 57233/Υ1 Υπουργική απόφαση, στην οποία
προβλέφθηκαν όλα τα συναφή ζητήµατα για την εφαρµογή της τηλεκπαίδευσης, όπως
οι όροι και προϋποθέσεις διενέργειας της διαδικασίας, συµπεριλαµβανοµένων τυχόν
οργανωτικών ή/και τεχνικών µέτρων προς διασφάλιση της προστασίας των
προσωπικών δεδοµένων των συµµετεχόντων, καθώς και ο τρόπος και τα µέσα που
χρησιµοποιούνται για την υλοποίηση της εξ αποστάσεως εκπαίδευσης και ο τρόπος
συµµετοχής των εκπαιδευτικών και των µαθητών σε αυτή, δ) η υλοποίηση της
σύγχρονης εξ αποστάσεως εκπαίδευσης πραγµατοποιείται µέσω κατάλληλης
ψηφιακής πλατφόρµας, η οποία καθιστά δυνατή την απευθείας µετάδοση ήχου ή/και
εικόνας του µαθήµατος από τους ίδιους τους εκπαιδευτικούς προς τους µαθητές.
Προς τον σκοπό αυτό το Υ.ΠΑΙ.Θ. έχει συνάψει σχετική σύµβαση µε την εταιρία
Cisco Hellas A.E. ως εκτελούσα την επεξεργασία, στην οποία περιλήφθηκαν όροι για
την προστασία των προσωπικών δεδοµένων σύµφωνα µε τις διατάξεις του άρθρου 28
ΓΚΠ∆, ε) νοµική βάση της επεξεργασίας προσωπικών δεδοµένων από το Υ.ΠΑΙ.Θ
προς τον σκοπό της παροχής σύγχρονης εξ αποστάσεως εκπαίδευσης είναι η
εκπλήρωση της υποχρέωσης για παροχή δηµόσιας εκπαίδευσης που αποτελεί
ταυτόχρονα και σκοπό δηµοσίου συµφέροντος (άρθρο 6 παρ. 1 περ. γ’ και ε’ του
ΓΚΠ∆), στ) το Υ.ΠΑΙ.Θ έχει ενηµερώσει τα υποκείµενα για την επεξεργασία των
προσωπικών τους δεδοµένων που διενεργεί µέσω της διαδικασίας της
τηλεκπαίδευσης, σύµφωνα µε τις διατάξεις των άρθρων 12-14 του ΓΚΠ∆, καθώς4
όλες οι σχετικές πληροφορίες περιλαµβάνονται στη διάταξη του άρθρου 63 του ν.
4686/20 και στη βάσει αυτής εκδοθείσα υπ’ αριθ. 57233/Υ1 Υπουργική απόφαση,
περαιτέρω, τόσο στους διδάσκοντες όσο και στους µαθητές και στους
γονείς/κηδεµόνες αυτών χορηγήθηκε αναλυτικό ενηµερωτικό έγγραφο σε φυσική ή
ηλεκτρονική µορφή, ζ) δεν επιτρέπεται βάσει του άρθρου 63 παρ. 2 του ν. 4686/20, η
καταγραφή και αποθήκευση του µαθήµατος, είτε η παράδοση γίνεται σε αίθουσα
διδασκαλίας παρουσία κάποιων µαθητών είτε σε άλλο χώρο δίχως τη παρουσία
µαθητών, επιτρέπεται µόνον η ζωντανή µετάδοση ήχου ή/και εικόνας σε πραγµατικό
χρόνο, µε µοναδικούς αποδέκτες τους µαθητές και τον ίδιο τον εκπαιδευτικό και έχει
απενεργοποιηθεί στην εφαρµογή η δυνατότητα καταγραφής/αποθήκευσης του
διαδικτυακού µαθήµατος, η) η ζωντανή µετάδοση αφορά µόνο στο τµήµα της
σχολικής ώρας που αφιερώνεται στη διδασκαλία-παράδοση και όχι κατά την
ενδεχόµενη εξέταση-αξιολόγηση µαθητών, θ) τόσο ο εκπαιδευτικός όσο και οι
µαθητές µπορούν να ενεργοποιούν/απενεργοποιούν τη χρήση της κάµερας και του
µικροφώνου τους καθ’ όλη τη διάρκεια του διαδικτυακού µαθήµατος, ι) για τη
µετάδοση του ήχου η συσκευή του εκπαιδευτικού επιβάλλεται να είναι σταθερά
τοποθετηµένη κοντά στον ίδιο, ενώ ο εκπαιδευτικός διατηρεί το δικαίωµα σίγασης
της φωνής του µαθητή ή ακόµα και διακοπής της µετάδοσης, εάν το κρίνει
απαραίτητο, ιδίως για την προστασία κάποιου µαθητή, ια) στην περίπτωση που
επιλεγεί η µετάδοση εικόνας, η κάµερα επιβάλλεται να εστιάζει αποκλειστικά και
µόνο στον εκπαιδευτικό ή/και στον πίνακα της αίθουσας διδασκαλίας, εφόσον δεν
χρησιµοποιείται από µαθητή, και απαγορεύεται να εστιάζει σε µαθητές που
βρίσκονται στην αίθουσα διδασκαλίας, ιβ) κατά τη διάρκεια του διαδικτυακού
µαθήµατος συλλέγονται µεταδεδοµένα, τα οποία παράγονται κατά τη χρήση της
πλατφόρµας τηλεκπαίδευσης και είναι απαραίτητα για διάγνωση των ανακυπτόντων
τεχνικών ζητηµάτων και συνακόλουθα για την τεχνική υποστήριξη της πλατφόρµας
τηλεκπαίδευσης, αυτά περιλαµβάνουν ειδικότερα τη διεύθυνση IP, το αναγνωριστικό
«User Agent», τον τύπο υλικού, τον τύπο και την έκδοση λειτουργικού συστήµατος,
την έκδοση διακοµιστή-πελάτη, τη διεύθυνση Mac κατά περίπτωση, την έκδοση
εφαρµογής, τις υλοποιηθείσες ενέργειες (είσοδος-έξοδος), και τις πληροφορίες
σύσκεψης (τίτλος, ηµεροµηνία και ώρα, συχνότητα, µέση και πραγµατική συχνότητα,
ποιότητα, ποσότητα, δραστηριότητα δικτύου και συνδεσιµότητα) και, τέλος, ιγ) το
Υ.ΠΑΙ.Θ. ως υπεύθυνος επεξεργασίας, δύναται µέσω των εξουσιοδοτηµένων
στελεχών του, υπό την ιδιότητα του διαχειριστή της πλατφόρµας τηλεκπαίδευσης, να5
αποκτά πρόσβαση στα ονόµατα χρηστών και τα παραγόµενα για αυτούς
µεταδεδοµένα υπό τη µορφή αναφορών για ερευνητικούς και στατιστικούς σκοπούς
σχετικά µε την τηλεκπαίδευση, στο πλαίσιο της αποστολής του Υ.ΠΑΙ.Θ.
Η Αρχή µε τις υπ’ αριθ. πρωτ. Γ/ΕΞ/4630/02.07.20, Γ/ΕΞ/4631/02.07.20, Γ/ΕΞ/
4632/02.07.20, Γ/ΕΞ/4633/02.07.20 και Γ/ΕΞ/4634/02.07.20 κλήσεις αντίστοιχα,
κάλεσε το Υ.ΠΑΙ.Θ. και τους Α, ΟΙΕΛΕ και ∆ΟΕ να παραστούν στη συνεδρίαση της
Ολοµέλειας της Αρχής την 14.07.2020, προκειµένου να συζητηθούν οι ως άνω
αναφορές. Επίσης εκλήθη να συµµετέχει στην ως άνω συνεδρίαση και ο Σύνδεσµος
Ιδιωτικών Σχολείων (εφεξής ΣΙΣ) ως προσθέτως παρεµβαίνων στην υπόθεση.
Κατά την ακρόαση της 14.07.20 παρέστησαν η Α, οι πληρεξούσιοι δικηγόροι της
ΟΙΕΛΕ, Γεώργιος Μελισσάρης και ∆ηµήτριος Φάκας, ο Πρόεδρος της ∆ΟΕ
Αθανάσιος Κικίνης και η Μαρία – Μαγδαληνή Τσίπρα, πληρεξούσια δικηγόρος της
Οµοσπονδίας. Εκ µέρους του Υ.ΠΑΙ.Θ. παρέστησαν οι Σπυρίδων
Παπαγιαννόπουλος, Αντιπρόεδρος του Νοµικού Συµβουλίου του Κράτους,
Αλέξανδρος Βαρβέρης, Τεχνικός Σύµβουλος του Υ.ΠΑΙ.Θ., Αρετή Οκονόµου
Νοµική Σύµβουλος του Υ.ΠΑΙ.Θ. και Ειρήνη Καπελάκη, DPO του Υπουργείου χωρις
δικαίωµα διατύπωσης γνώµης. Επίσης παρέστη και ο Γρηγόριος Λαζαράκος, ως
πληρεξούσιος δικηγόρος του προσθέτως παρεµβαίνοντος του ΣΙΣ.
Η Α κατά την ανωτέρω ακρόαση της 14.07.20 αλλά και στο µε αριθ. πρωτ.
Γ/ΕΙΣ/5060/20.07.20 συµπληρωµατικό υπόµνηµά της ανέφερε ότι α) το Υ.ΠΑΙ.Θ.
εξακολουθεί να µην ανταποκρίνεται στα αιτήµατά της, που αφορούν τη διάθεση και
χρήση της πλατφόρµας webex της εταιρείας Cisco κατά την εκπαιδευτική διαδικασία
τον Απρίλιο του 2020, και συνεχίζει να µην της γνωστοποιεί: 1) την επίσηµη έγγραφη
σύµβαση µεταξύ του Υ.ΠΑΙ.Θ. και της Cisco, 2) την Κ.Υ.Α. που αφορά την
προαναφερθείσα εκπαιδευτική διαδικασία, και 3) τον τρόπο αποδοχής της δωρεάς
των υπηρεσιών της εταιρείας Cisco, αίτηµα το οποίο διατύπωσε προφορικά, µετά την
ανάγνωση του άρθρου εξηκοστού πέµπτου της Π.Ν.Π. της 20ης Μαρτίου 2020
(επικυρώθηκε µε τον νόµο 4683/2020), ενώπιον των νοµικών εκπροσώπων του
Υ.ΠΑΙ.Θ. κατά την 14/7/2020 ακροαµατική διαδικασία ενώπιον της Αρχής, β) το
Υ.ΠΑΙ.Θ. της γνωστοποίησε µία Μελέτη, που δεν αφορά τον µήνα Απρίλιο 2020, η
ανάγνωση της οποίας προκαλεί εύλογη ανησυχία και νέα ερωτηµατικά ως προς τη
µεθοδολογία, τη διαφάνεια και την επιστηµονική εγκυρότητα και επάρκεια µε τις
οποίες εισήχθη η τηλεκπαίδευση µε εντολή Υ.ΠΑΙ.Θ. στην εκπαιδευτική διαδικασία
πανελλαδικά. 6
Οι πληρεξούσιοι δικηγόροι της ΟΙΕΛΕ κατά την ανωτέρω ακρόαση της 14.07.20
αλλά και στο µε αριθ. πρωτ. Γ/ΕΙΣ/5242/24.07.20 συµπληρωµατικό υπόµνηµά τους
ανέφεραν τα εξής: α) η από 15.5.20 διενεργηθείσα µελέτη εκτίµησης αντικτύπου
(εφεξής ΕΑΠ∆) δεν συνιστά έγγραφο βέβαιης χρονολογίας, δεν φέρει αριθµό
εισερχοµένου πρωτοκόλλου µε το οποίο εισήχθη στο αρχείο του Υπουργείου, δεν
φέρει αριθµό διαβιβαστικού, ούτε ηλεκτρονική υπογραφή, β) από το σώµα της
δηµοσιευµένης ΕΑΠ∆ δεν αναφέρεται το πρόσωπο ή πρόσωπα που τη διενήργησαν,
γ) δεν καθίστατο βέβαιο αν η ΕΑΠ∆ αφορά και το χρονικό διάστηµα από 13.3.20 έως
και 15.5.20, σε κάθε δε περίπτωση για το διάστηµα αυτό και για την επεξεργασία
δεδοµένων που έγινε δεν δηµοσιεύθηκε προ της έναρξής της καµία σχετική ΕΑΠ∆, δ)
η έγκριση της ΕΑΠ∆ από τον Υπεύθυνο Προστασίας ∆εδοµένων (ΥΠ∆) του
Υπουργείου όχι µόνον δεν ανάγεται στον κύκλο καθηκόντων του ΥΠ∆, αλλά συνιστά
παραβίαση του ΓΚΠ∆, διότι επέρχεται ευθεία σύγκρουση συµφερόντων στο
πρόσωπό του, µέσω της λήψης δεσµευτικής απόφασης για λογαριασµό του
υπευθύνου επεξεργασίας ταυτιζόµενος κατ’ ουσία µε αυτόν, ε) για τη σύνταξη της
ΕΑΠ∆ δεν έχουν ληφθεί υπόψη το άρθρο 63 του ν. 4686/20 και η υπ’ αριθ. 57233/Υ1
Υπουργική Απόφαση, καθώς και τµήµατα της σύµβασης µε τη CISCO HELLAS A.E
και στ) δεν προκύπτει εάν το Υπουργείο προέβη σε στοιχειώδη σύγκριση µεταξύ των
προσφερθέντων πλατφορµών και εάν ναι, µε ποια κριτήρια και ποια ήταν τα
αποτελέσµατα αυτής.
Η πληρεξούσια δικηγόρος της ∆ΟΕ κατά την ανωτέρω ακρόαση της 14.07.20
αλλά και στο µε αριθ. πρωτ. Γ/ΕΙΣ/5216/24.07.20 συµπληρωµατικό υπόµνηµά της
ανέφερε τα εξής: α) το Υ.ΠΑΙ.Θ βεβαιώνει στην ΕΑΠ∆ ότι τα µεταδεδοµένα
διαγράφονται µόλις λήξει η σύµβαση µε τον πάροχο, ήτοι σε διάστηµα 4 µηνών από
τις 13.3.20, ενώ σύµφωνα µε το Privacy Data Sheet, που έχει αναρτήσει η Cisco, στο
οποίο περιγράφει τις δυνατότητες της πλατφόρµας, αναφέρεται ότι τα µεταδεδοµένα
τηρούνται για 7 έτη από τη λήξη της σύµβασης, β) ο σκοπός της τηλεκπαίδευσης
είναι καταρχήν νόµιµος, πλην όµως είναι µη καθορισµένος ως προς τα βασικά του
χαρακτηριστικά, διότι δεν οριοθετείται το πεδίο εφαρµογής της επεξεργασίας και
παρότι παρατίθενται κάποιες περιστάσεις υπό τις οποίες θα µπορούσε να λαµβάνει
χώρα η σύγχρονη εξ αποστάσεως εκπαίδευση, οι σχετικές διατυπώσεις είναι ασαφείς
και γενικές, γ) υφίσταται υπέρβαση της αρχής της αναλογικότητας στη συγκεκριµένη
επεξεργασία και δ) εάν η κατηγορία των τυπικά απλών και κατά περίπτωση
ευαίσθητων δεδοµένων καταστούν αντικείµενο επεξεργασίας, τίθενται αυτοµάτως σε7
κίνδυνο τα υποκείµενα των δεδοµένων, ανεξαρτήτως των τεχνικών µέσων που θα
χρησιµοποιηθούν.
Ο πληρεξούσιος δικηγόρος του ΣΙΣ κατά την ανωτέρω ακρόαση της 14.07.20
αλλά και στο µε αριθ. πρωτ. Γ/ΕΙΣ/5156/23.07.20 συµπληρωµατικό υπόµνηµά του
ανέφερε τα εξής: α) η σύγχρονη εξ αποστάσεως εκπαίδευση αποτελεί µέτρο
πρόσφορο, αναγκαίο και αναλογικό για την παροχή εκπαίδευσης σε περιόδους
έκτακτης και απρόβλεπτης ανάγκης, όπως αυτή της πανδηµίας του COVID-19, β) ο
κίνδυνος για την ελεύθερη ανάπτυξη της προσωπικότητας των µαθητών αξιολογείται
ως περιορισµένος, γ) η σύγχρονη τηλεκπαίδευση συνιστούσε ένα έκτακτο µέτρο που
εισήχθη ως προσωρινός τρόπος διδασκαλίας µε τον χαρακτήρα του επείγοντος,
γεγονός που δεν κατέλειπε στα σχολεία εύλογο χρόνο να εκπονήσουν ΕΑΠ∆, δ) δεν
απαιτείται η εκπόνηση νέας ΕΑΠ∆ εφόσον η Υπουργική Απόφαση καταλαµβάνει και
τα ιδιωτικά σχολεία, ε) θα πρέπει να διερευνηθεί το ζήτηµα της ακεραιότητας και
εµπιστευτικότητας καθώς και της ελαχιστοποίησης των δεδοµένων, στ) η ορθή
νοµική βάση της τηλεκπαίδευσης στα ιδιωτικά σχολεία πρέπει να είναι το άρθρο 6
παρ. 1 περ. β’ (εκτέλεση σύµβασης) και γ’ (συµµόρφωση σε έννοµη υποχρέωση) του
ΓΚΠ∆ και ζ) τα ιδιωτικά σχολεία συµµορφώθηκαν πλήρως µε τις οδηγίες του
Υ.ΠΑΙ.Θ.
Τέλος, οι εκπρόσωποι του Υ.ΠΑΙ.Θ κατά την ανωτέρω ακρόαση της 14.07.20
αλλά και στο µε αριθ. πρωτ. Γ/ΕΙΣ/5271/27.07.20 συµπληρωµατικό υπόµνηµά τους
ανέφεραν τα εξής: α) επελέγη η πλατφόρµα «WebEx Meetings» της Cisco Hellas
A.E., καθώς ήταν η µόνη από τις προσφερόµενες εταιρίες που δεν απαιτούσε τη
δηµιουργία λογαριασµού από τον µαθητή και πραγµατοποιήθηκε παραµετροποίηση
του συστήµατος σε συνεργασία µε το Υ.ΠΑΙ.Θ. για την προστασία των δεδοµένων
των εκπαιδευτικών και των µαθητών, β) η επεξεργασία που διενεργεί ο πάροχος της
πλατφόρµας τηλεκπαίδευσης, ο οποίος υπέχει θέση εκτελούντος την επεξεργασία,
διέπεται από τους όρους των ακόλουθων συµβατικών κειµένων 1) της από 13.3.20
σύµβασης δωρεάν παραχώρησης της πλατφόρµας τηλεδιασκέψεων WEBEX για την
πραγµατοποίηση σύγχρονης εξ αποστάσεως διδασκαλίας, 2) της από 13.3.20
σύµβασης -πλαίσιο περί προστασίας προσωπικών δεδοµένων µε τίτλο «Master Data
Protection Agreement», 3) του από 13.3.20 παραρτήµατος µε τίτλο «Cisco WebEx
Meetings Privacy Data Sheet» και 4) του από 13.3.20 παραρτήµατος µε τίτλο
«CLARIFICATION APPENDIX», γ) ο εκτελών την επεξεργασία προβαίνει
αµελλητί σε διαγραφή των δεδοµένων που συλλέγονται στο πλαίσιο της σύµβασης8
µόλις εκπληρωθεί ο σκοπός αυτής και δεν διαβιβάζει προσωπικά δεδοµένα εκτός ΕΕ,
χωρίς την προηγούµενη συγκατάθεση του Υ.ΠΑΙ.Θ., δ) τα µεταδεδοµένα που
συλλέγονται κατά τη χρήση της πλατφόρµας τηλεκπαίδευσης υποβάλλονται σε
επεξεργασία για σκοπούς ερευνητικούς και στατιστικούς, αφού προηγουµένως
ανωνυµοποιηθούν, ε) οι πραγµατοποιηθείσες παραµετροποιήσεις περιλαµβάνουν: 1)
την απενεργοποίηση της δυνατότητας καταγραφής της τηλεδιάσκεψης, 2) τη
δηµιουργία ψηφιακής τάξης µέσω της εγγραφής των εκπαιδευτικών στην
παραµετροποιηµένη πλατφόρµα και της αποστολής σε αυτούς συνδέσµου
δηµιουργίας λογαριασµού, 3) την απενεργοποίηση της λειτουργικότητας «People
Insights» και της αναγνώρισης προσώπου «facial recognition», 4) την καθιέρωση
υποχρέωσης τήρησης των δεδοµένων εντός ΕΕ και διαβίβασης αυτών διασυνοριακά
µόνον κατόπιν έγγραφης συγκατάθεσης από το Υ.ΠΑΙ.Θ, 5) την οριστική διαγραφή
των δεδοµένων µε τη λήξη ή την καθ’ οιονδήποτε τρόπο λύση της σύµβασης, στ)
συνήφθη σύµφωνο µε τις εταιρίες κινητής τηλεφωνίας για δωρεάν παροχή στους
µαθητές και εκπαιδευτικούς δεδοµένων κινητής τηλεφωνίας και για παροχή της
δυνατότητας σύνδεσης µε την πλατφόρµα ακόµη και µέσω σταθερού τηλεφώνου µε
αστική χρέωση και, τέλος, ζ) εξασφαλίστηκαν κονδύλια για παροχή στους µαθητές
φορητών συσκευών (tablets).
Επίσης, µε το δεύτερο υπόµνηµά του προς την Αρχή, το Υ.ΠΑΙ.Θ. υπέβαλε
αντίγραφο της συναφθείσας σύµβασης µεταξύ του ιδίου και της εταιρείας CISCO
HELLAS A.E. καθώς και την από 15.05.20 µελέτη εκτίµησης αντικτύπου.
Η Αρχή, µετά από εξέταση των στοιχείων του φακέλου, την ακροαµατική
διαδικασία και αφού άκουσε τους εισηγητές και τους βοηθούς εισηγητές, οι οποίοι
αποχώρησαν µετά τη συζήτηση της υπόθεσης και πριν από τη διάσκεψη και τη λήψη
απόφασης, µετά από διεξοδική συζήτηση
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Σύµφωνα µε τις διατάξεις του άρθρου 5 του ΓΚΠ∆, τα δεδοµένα προσωπικού
χαρακτηρα πρέπει να συλλέγονται κατά τρόπο θεµιτό και νόµιµο για καθορισµένους,
σαφείς και νόµιµους σκοπούς και να υφίστανται θεµιτή και νόµιµη επεξργασία9
ενόψει των σκοπών αυτών, καθώς και να είναι συναφή, πρόσφορα και όχι
περισσότερα από όσα κάθε φορά απαιτείται ενόψει των σκοπών της επεξεργασίας.
Επίσης σύµφωνα µε τις διατάξεις του άρθρου 6 παρ. 1 του ΓΚΠ∆, η επεξεργασία
είναι σύννοµη µόνον εάν και εφόσον ισχύει τουλάχιστον µία από τις ακόλουθες
προϋποθέσεις: …γ) η επεξεργασία είναι απαραίτητη για τη συµµόρφωση µε έννοµη
υποχρέωση του υπευθύνου επεξεργασίας,…..ε) η επεξεργασία είναι απαραίτητη για
την εκπλήρωση καθήκοντος που εκτελείται προς το δηµόσιο συµφέρον ή κατά την
άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας…
Περαιτέρω, στο άρθρο 35 του ΓΚΠ∆ προβλέπεται το εξής:
«1. Όταν ένα είδος επεξεργασίας, ιδίως µε χρήση νέων τεχνολογιών και
συνεκτιµώντας τη φύση, το πεδίο εφαρµογής, το πλαίσιο και τους σκοπούς της
επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώµατα και τις
ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την
επεξεργασία, εκτίµηση των επιπτώσεων των σχεδιαζόµενων πράξεων επεξεργασίας
στην προστασία δεδοµένων προσωπικού χαρακτήρα. Σε µία εκτίµηση µπορεί να
εξετάζεται ένα σύνολο παρόµοιων πράξεων επεξεργασίας οι οποίες ενέχουν
παρόµοιους υψηλούς κινδύνους.
2. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώµη του υπευθύνου προστασίας
δεδοµένων, εφόσον έχει οριστεί, κατά τη διενέργεια εκτίµησης αντικτύπου σχετικά µε
την προστασία δεδοµένων.
(….)
7. Η εκτίµηση περιέχει τουλάχιστον:
α) συστηµατική περιγραφή των προβλεπόµενων πράξεων επεξεργασίας και των
σκοπών της επεξεργασίας, περιλαµβανοµένου, κατά περίπτωση, του έννοµου
συµφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας,
β) εκτίµηση της αναγκαιότητας και της αναλογικότητας των πράξεων
επεξεργασίας σε συνάρτηση µε τους σκοπούς,
γ) εκτίµηση των κινδύνων για τα δικαιώµατα και τις ελευθερίες των
υποκειµένων των δεδοµένων που αναφέρονται στην παράγραφο 1 και10
δ) τα προβλεπόµενα µέτρα αντιµετώπισης των κινδύνων, περιλαµβανοµένων
των εγγυήσεων, των µέτρων και µηχανισµών ασφάλειας, ώστε να διασφαλίζεται η
προστασία των δεδοµένων προσωπικού χαρακτήρα και να αποδεικνύεται η
συµµόρφωση προς τον παρόντα κανονισµό, λαµβάνοντας υπόψη τα δικαιώµατα και τα
έννοµα συµφέροντα των υποκειµένων των δεδοµένων και άλλων ενδιαφερόµενων
προσώπων.
(….)
9. Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας ζητεί τη γνώµη των υποκειµένων
των δεδοµένων ή των εκπροσώπων τους για τη σχεδιαζόµενη επεξεργασία, µε την
επιφύλαξη της προστασίας εµπορικών ή δηµόσιων συµφερόντων ή της ασφάλειας των
πράξεων επεξεργασίας.
10. Όταν η επεξεργασία δυνάµει του άρθρου 6 παράγραφος 1 στοιχείο γ) ή ε) έχει
νοµική βάση στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους µέλους στο οποίο
υπόκειται ο υπεύθυνος επεξεργασίας, το εν λόγω δίκαιο ρυθµίζει την εκάστοτε
συγκεκριµένη πράξη επεξεργασίας ή σειρά πράξεων και έχει διενεργηθεί ήδη εκτίµηση
αντικτύπου σχετικά µε την προστασία δεδοµένων ως µέρος γενικής εκτίµησης
αντικτύπου στο πλαίσιο της έγκρισης της εν λόγω νοµικής βάσης, οι παράγραφοι 1 έως
7 δεν εφαρµόζονται, εκτός εάν τα κράτη µέλη κρίνουν απαραίτητη τη διενέργεια της εν
λόγω εκτίµησης πριν από τις δραστηριότητες επεξεργασίας.
11. Όπου απαιτείται, ο υπεύθυνος επεξεργασίας προβαίνει σε επανεξέταση για να
εκτιµήσει εάν η επεξεργασία των δεδοµένων προσωπικού χαρακτήρα διενεργείται
σύµφωνα µε την εκτίµηση αντικτύπου στην προστασία δεδοµένων τουλάχιστον όταν
µεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας.»
Σχετική είναι και η αιτιολογική σκέψη µε αριθµό 75 του ΓΚΠ∆ στην οποία
αναφέρεται ότι «Οι κίνδυνοι για τα δικαιώµατα και τις ελευθερίες φυσικών
προσώπων, ποικίλης πιθανότητας και σοβαρότητας, είναι δυνατόν να προκύπτουν
από την επεξεργασία δεδοµένων προσωπικού χαρακτήρα η οποία θα µπορούσε να
οδηγήσει σε σωµατική, υλική ή µη υλική βλάβη, ιδίως όταν η επεξεργασία µπορεί να
οδηγήσει σε διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονοµική απώλεια,
βλάβη φήµης, απώλεια της εµπιστευτικότητας των δεδοµένων προσωπικού χαρακτήρα
που προστατεύονται από επαγγελµατικό απόρρητο, παράνοµη άρση της11
ψευδωνυµοποίησης, ή οποιοδήποτε άλλο σηµαντικό οικονοµικό ή κοινωνικό
µειονέκτηµα· όταν τα υποκείµενα των δεδοµένων θα µπορούσαν να στερηθούν των
δικαιωµάτων και ελευθεριών τους ή να εµποδίζονται από την άσκηση ελέγχου επί των
δεδοµένων τους προσωπικού χαρακτήρα· όταν υπόκεινται σε επεξεργασία δεδοµένα
προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή,
πολιτικά φρονήµατα, θρησκεία ή φιλοσοφικές πεποιθήσεις ή συµµετοχή σε συνδικάτα
και γίνεται επεξεργασία γενετικών δεδοµένων, δεδοµένων που αφορούν την υγεία ή
δεδοµένων που αφορούν τη σεξουαλική ζωή ή ποινικές καταδίκες και αδικήµατα ή
σχετικά µέτρα ασφάλειας· όταν αξιολογούνται προσωπικές πτυχές, ιδίως όταν
επιχειρείται ανάλυση ή πρόβλεψη πτυχών που αφορούν τις επιδόσεις στην εργασία, την
οικονοµική κατάσταση, την υγεία, προσωπικές προτιµήσεις ή συµφέροντα, την
αξιοπιστία ή τη συµπεριφορά, τη θέση ή µετακινήσεις, προκειµένου να δηµιουργηθούν ή
να χρησιµοποιηθούν προσωπικά προφίλ· όταν υποβάλλονται σε επεξεργασία δεδοµένα
προσωπικού χαρακτήρα ευάλωτων φυσικών προσώπων, ιδίως παιδιών· ή όταν η
επεξεργασία περιλαµβάνει µεγάλη ποσότητα δεδοµένων προσωπικού χαρακτήρα και
επηρεάζει µεγάλο αριθµό υποκειµένων των δεδοµένων.»
Προς περαιτέρω καθοδήγηση, το ΕΣΠ∆ έχει υιοθετήσει τις «Κατευθυντήριες
γραµµές για την εκτίµηση του αντικτύπου σχετικά µε την προστασία δεδοµένων
(ΕΑΠ∆) και καθορισµός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει
υψηλό κίνδυνο» για τους σκοπούς του κανονισµού 2016/679.» (WP 248 αναθ. 01)
που εκδόθηκαν από την Ο.Ε. του άρ. 29 (εφεξής κατευθυντήριες γραµµές ΕΑΠ∆).
Στο κείµενο αυτό επισηµαίνεται ότι «Το άρθρο 35 κάνει λόγο για ενδεχόµενο υψηλό
κίνδυνο «για τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων». Όπως
προκύπτει από τη δήλωση της οµάδας εργασίας του άρθρου 29 για την προστασία των
δεδοµένων αναφορικά µε τον ρόλο µιας προσέγγισης βάσει κινδύνου στο νοµικό
πλαίσιο της προστασίας δεδοµένων, η παραποµπή «στα δικαιώµατα και στις
ελευθερίες» των υποκειµένων των δεδοµένων αφορά πρωτίστως τα δικαιώµατα
προστασίας των δεδοµένων και της ιδιωτικής ζωής, ενδέχεται όµως να
συµπεριλαµβάνει και άλλα θεµελιώδη δικαιώµατα, όπως την ελευθερία του λόγου,
την ελευθερία της σκέψης, την ελευθερία κυκλοφορίας, την απαγόρευση των
διακρίσεων, το δικαίωµα στην ελευθερία, την ελευθερία συνειδήσεως και θρησκείας.»
Σε σχέση µε την προβλεπόµενη στο άρθρο 35 παρ. 9 του ΓΚΠ∆ εµπλοκή των
υποκειµένων των δεδοµένων το εν λόγω κείµενο αναφέρει: «Ο υπεύθυνος12
επεξεργασίας οφείλει, «όποτε ενδείκνυται», να «ζητεί τη γνώµη των υποκειµένων των
δεδοµένων ή των εκπροσώπων τους» (άρθρο 35 παράγραφος 9). Η οµάδα εργασίας του
άρθρου 29 θεωρεί ότι:
– οι εν λόγω γνώµες θα µπορούσαν να ζητηθούν µε διάφορα µέσα, ανάλογα µε το
πλαίσιο (π.χ. µε γενική µελέτη που σχετίζεται µε τον σκοπό και τα µέσα της πράξης
επεξεργασίας, µε ερώτηµα προς τους εκπροσώπους των εργαζοµένων ή µε συνήθεις
έρευνες που αποστέλλονται στους µελλοντικούς πελάτες του υπεύθυνου επεξεργασίας)
διασφαλίζοντας ότι ο υπεύθυνος επεξεργασίας έχει νόµιµη βάση επεξεργασίας των
δεδοµένων προσωπικού χαρακτήρα που διακυβεύονται όταν ζητούνται οι εν λόγω
γνώµες. Παρά ταύτα, θα πρέπει να σηµειωθεί ότι η συναίνεση στην επεξεργασία
προφανώς δεν αποτελεί µέσο αναζήτησης της γνώµης των υποκειµένων των
δεδοµένων·
– εάν η τελική απόφαση του υπεύθυνου επεξεργασίας διαφέρει από τη γνώµη των
υποκειµένων των δεδοµένων, τότε θα πρέπει να τεκµηριώνει τους λόγους για τους
οποίους αποφάσισε να συνεχίσει ή όχι·
– ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να τεκµηριώνει τον λόγο για τον
οποίο δεν ζήτησε τη γνώµη των υποκειµένων των δεδοµένων, εφόσον αποφασίζει ότι
δεν ενδείκνυται, για παράδειγµα εάν κάτι τέτοιο θα διακινδύνευε την εµπιστευτικότητα
των επιχειρηµατικών σχεδίων της εταιρείας ή θα ήταν δυσανάλογο ή µη εφαρµόσιµο.
Τέλος, συνιστά ορθή πρακτική ο καθορισµός και η τεκµηρίωση άλλων ειδικών
ρόλων και αρµοδιοτήτων, ανάλογα µε την εσωτερική πολιτική, τις διαδικασίες και τους
κανόνες, π.χ.:
– όποτε συγκεκριµένες επιχειρηµατικές µονάδες προτείνουν τη διενέργεια ΕΑΠ∆,
τότε θα πρέπει να εισφέρουν δεδοµένα στην ΕΑΠ∆ και να µετέχουν στη διαδικασία
επικύρωσής της·
– όποτε ενδείκνυται, συνιστάται να ζητείται η γνώµη ανεξάρτητων
εµπειρογνωµόνων από διαφορετικά επαγγέλµατα (από δικηγόρους, ειδικούς
τεχνολογίας πληροφοριών, εµπειρογνώµονες σε θέµατα ασφαλείας, δεοντολογίας,
κοινωνιολόγους κ.ο.κ.). 13
– οι ρόλοι και οι αρµοδιότητες των εκτελούντων την επεξεργασία πρέπει να
ορίζονται συµβατικά· και η ΕΑΠ∆ πρέπει να διενεργείται µε τη συνδροµή του
εκτελούντος την επεξεργασία, λαµβανοµένης υπόψη της φύσης της επεξεργασίας και
των πληροφοριών που διαθέτει ο εκτελών την επεξεργασία [άρθρο 28 παράγραφος 3
στοιχείο στ)]·
– ο υπεύθυνος ασφάλειας πληροφοριών (ΥΑΠ), εφόσον έχει οριστεί, καθώς και ο
υπεύθυνος προστασίας δεδοµένων (ΥΠ∆) θα µπορούσαν να προτείνουν τη διενέργεια
ΕΑΠ∆ από τον υπεύθυνο επεξεργασίας σε συγκεκριµένη πράξη επεξεργασίας και θα
πρέπει να συνδράµουν τους ενδιαφερόµενους παράγοντες στη µεθοδολογία, να
συνδράµουν στην αξιολόγηση της ποιότητας της εκτίµησης κινδύνου και στον
καθορισµό του κατά πόσον ο υπολειπόµενος κίνδυνος είναι αποδεκτός και στην
ανάπτυξη ειδικής γνώσης σε σχέση µε το πλαίσιο του υπεύθυνου επεξεργασίας·
– ο υπεύθυνος ασφάλειας πληροφοριών (ΥΑΠ), εφόσον έχει οριστεί, και/ή το
τµήµα τεχνολογίας πληροφοριών, θα πρέπει να παράσχουν συνδροµή στον υπεύθυνο
επεξεργασίας και θα µπορούσαν να προτείνουν τη διενέργεια ΕΑΠ∆ σε συγκεκριµένη
πράξη επεξεργασίας ανάλογα µε τις λειτουργικές ανάγκες ή τις ανάγκες ασφαλείας. »
Σύµφωνα µε τη διάταξη του άρθρου 63 του ν. 4686/2020 (Α’ 96):
«Παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης
1. Είναι δυνατή η, κατά παρέκκλιση κάθε άλλης διάταξης, παροχή σύγχρονης εξ
αποστάσεως εκπαίδευσης µε χρήση µέσων τεχνολογίας σε µαθητές πρωτοβάθµιας και
δευτεροβάθµιας εκπαίδευσης που δεν δύνανται να παρακολουθήσουν δια ζώσης την
εκπαιδευτική διαδικασία είτε λόγω καθολικής ή µερικής αναστολής ή απαγόρευσης
λειτουργίας εκπαιδευτικής δοµής είτε για άλλον λόγο που ανάγεται σε έκτακτο ή
απρόβλεπτο γεγονός. Η ταυτόχρονη διδασκαλία σε µαθητές οι οποίοι συµµετέχουν στο
µάθηµα µε φυσική παρουσία και σε άλλους µαθητές οι οποίοι συµµετέχουν εξ
αποστάσεως επιτρέπεται µόνο σε περίπτωση επιδηµικών νόσων. Σκοπός της
παρεχόµενης δυνατότητας όλων των ανωτέρω περιπτώσεων είναι αποκλειστικά η
παροχή εκπαίδευσης.
2. Στο πλαίσιο της διαδικασίας της παραγράφου 1, δεν επιτρέπεται η καταγραφή
και αποθήκευση του παραδιδόµενου µαθήµατος, παρά µόνον η ζωντανή µετάδοση ήχου
ή/και εικόνας σε πραγµατικό χρόνο για τον ανωτέρω συγκεκριµένο σκοπό. Τα14
µεταδεδοµένα που τυχόν παράγονται στο ίδιο ως άνω πλαίσιο διατηρούνται για
συγκεκριµένο εύλογο χρονικό διάστηµα, όπως αυτό προσδιορίζεται στο πλαίσιο
επεξεργασίας των συγκεκριµένων δεδοµένων, µετά την πάροδο του οποίου
καταστρέφονται. Η επεξεργασία των εν λόγω µεταδεδοµένων επιτρέπεται αποκλειστικά
για σκοπούς ερευνητικούς ή στατιστικούς. Υπεύθυνος επεξεργασίας δεδοµένων κατά την
έννοια του άρθρου 4 του Κανονισµού (ΕΕ) 2016/679 (Γενικός Κανονισµός για την
Προστασία ∆εδοµένων, «Γ.Κ.Π.∆.») είναι:
α) για όλες τις εκπαιδευτικές δοµές της πρωτοβάθµιας και της δευτεροβάθµιας
δηµόσιας εκπαίδευσης το Υπουργείο Παιδείας και Θρησκευµάτων και
β) για όλες τις εκπαιδευτικές δοµές της πρωτοβάθµιας και της δευτεροβάθµιας
ιδιωτικής εκπαίδευσης το πρόσωπο, φυσικό ή νοµικό, ή άλλου είδους νοµική οντότητα
ανεξαρτήτως νοµικής προσωπικότητας στα οποία έχει χορηγηθεί η άδεια λειτουργίας
της αντίστοιχης ιδιωτικής εκπαιδευτικής δοµής.
3. Με απόφαση του Υπουργού Παιδείας και Θρησκευµάτων, η οποία εκδίδεται
µετά τη διενέργεια εκτίµησης αντικτύπου σχετικά µε την προστασία δεδοµένων
(Ε.Α.Π.∆.) σύµφωνα µε τα άρθρα 35 παράγραφος 1 του Γ.Κ.Π.∆. και 65 του ν.
4624/2019 (Α΄ 137), ορίζονται και ρυθµίζονται ο τρόπος και τα µέσα τεχνολογίας που
χρησιµοποιούνται για την υλοποίηση της εξ αποστάσεως εκπαίδευσης στις περιστάσεις
αυτές, ο τρόπος συµµετοχής των εκπαιδευτικών και των µαθητών σε αυτήν, οι όροι και
οι προϋποθέσεις διενέργειας της διαδικασίας, συµπεριλαµβανοµένων τυχόν
οργανωτικών ή/και τεχνικών µέτρων προς διασφάλιση της προστασίας των
προσωπικών δεδοµένων των συµµετεχόντων, καθώς και κάθε άλλη λεπτοµέρεια για την
εφαρµογή του παρόντος.»
Με την από 10/08/2020 ΠΝΠ (ΦΕΚ Α 157) το άρθρο 63 του ν. 4686/2020
τροποποιήθηκε ως εξής:
«Άρθρο δέκατο έβδοµο
Παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης
Το πρώτο εδάφιο της παρ. 1 του άρθρου 63 του ν. 4686/2020 (Α’ 96)
αντικαθίσταται ως εξής: «Παρέχεται, κατά παρέκκλιση κάθε άλλης διάταξης και υπό
τους ειδικότερους όρους, τις προϋποθέσεις και την έκταση που αποφασίζονται κατά15
περίπτωση από τον Υπουργό Παιδείας και Θρησκευµάτων, σύγχρονη εξ αποστάσεως
εκπαίδευση µε χρήση µέσων τεχνολογίας σε µαθητές πρωτοβάθµιας και
δευτεροβάθµιας εκπαίδευσης που δεν δύνανται να παρακολουθήσουν διά ζώσης την εκπαιδευτική διαδικασία είτε λόγω καθολικής ή µερικής αναστολής ή απαγόρευσης ή εκ
περιτροπής λειτουργίας εκπαιδευτικής δοµής είτε για άλλο λόγο που ανάγεται σε
έκτακτο ή απρόβλεπτο γεγονός.».
Τέλος µε την υπ’ αριθ. 57233/Υ1 από 15.05.20 Κοινή Απόφαση της Υπουργού
και της Υφυπουργού Παιδείας και Θρησκευµάτων (ΦΕΚ Β΄ 1859/15.05.2020)
προβλέφθηκε η δυνατότητα παροχής σύγχρονης εξ αποστάσεως εκπαίδευσης στις
σχολικές µονάδες πρωτοβάθµιας και δευτεροβάθµιας εκπαίδευσης µέχρι τη λήξη του
σχολικού έτους 2019-2020 και ρυθµίστηκαν: α) τα ειδικότερα ζητήµατα σχετικά µε
τον τρόπο και τα µέσα υλοποίησης της εξ αποστάσεως εκπαίδευσης τον τρόπο
συµµετοχής των εκπαιδευτικών και των µαθητών σε αυτήν, καθως και β) οι όροι και
οι προϋποθέσεις διενέργειας της διαδικασίας, συµπεριλαµβανοµένων τυχόν
οργανωτικών ή/και τεχνικών µέτρων προς διασφάλιση της προστασίας των
προσωπικών δεδοµένων των συµµετεχόντων.
2.1. Επί της νοµιµότητας της σκοπούµενης επεξεργασίας
Στην κρινόµενη περίπτωση, ο σκοπός που επιδιώκεται µε την υπό εξέταση
επεξεργασία είναι ρητώς και σαφώς καθορισµένος στον νόµο και ειδικότερα στην
παρ. 1 του άρθρου 63 του ν. 4686/20, σύµφωνα µε την οποία, ο αποκλειστικός
σκοπός της εξεταζόµενης επεξεργασίας είναι η παροχή σύγχρονης εξ αποστάσεως
εκπαίδευσης µε χρήση µέσων τεχνολογίας σε µαθητές πρωτοβάθµιας και
δευτεροβάθµιας εκπαίδευσης που δεν δύνανται να παρακολουθήσουν δια ζώσης την
εκπαιδευτική διαδικασία είτε λόγω καθολικής ή µερικής αναστολής ή απαγόρευσης
λειτουργίας εκπαιδευτικής δοµής είτε για άλλον λόγο που ανάγεται σε έκτακτο ή
απρόβλεπτο γεγονός. Η ταυτόχρονη διδασκαλία σε µαθητές οι οποίοι συµµετέχουν εξ
αποστάσεως επιτρέπεται µόνον σε περίπτωση επιδηµικών νόσων.
Σηµειώνεται ότι στην προαναφερόµενη υπ’ αριθ. 57233/Υ1 από 15.05.20
Υπουργική Απόφαση – της οποίας η ισχύς έληξε το τέλος του σχολικού έτους 2019-
2020 – αναφέρεται ότι τα προσωπικά δεδοµένα των µαθητών/τριων, γονέων ή/και
κηδεµόνων, συγκεκριµένα η διεύθυνση ηλεκτρονικής αλληλογραφίας αυτών, 16
αποτελούν αντικείµενο επεξεργασίας από τη σχολική µονάδα λόγω της ιδιότητάς
τους ως µαθητών/τριών ή/και γονέων ή κηδεµόνων και της σχέσης τους, αντίστοιχα,
µε το ελληνικό δηµόσιο ή µε ιδιωτική σχολική µονάδα, η επεξεργασία δε αυτή είναι
αναγκαία για την εκπλήρωση των σκοπών και υποχρεώσεων του ελληνικού δηµοσίου
ή ιδιωτικού εκπαιδευτικού φορέα για τη διασφάλιση της απρόσκοπτης λειτουργίας
της εκπαιδευτικής δραστηριότητας κατά την περίοδο εφαρµογής των έκτακτων
µέτρων για την αντιµετώπιση του κορωνοϊού COVID-19 (παρ. 5 περ, β΄). Σύµφωνα
µε τα προβλεπόµενα στην υπουργική αυτή απόφαση (παρ. 7), σκοπός επεξεργασίας
των δεδοµένων αυτών είναι το δηµόσιο αγαθό της παροχής εκπαίδευσης υπό
καταστάσεις εκτάκτου ανάγκης, όπως είναι η πανδηµία του COVID-19, η νόµιµη δε
βάση επεξεργασίας των εν λόγω δεδοµένων είναι το άρθρο 6 παρ. 1 στοιχ. γ’
(συµµόρφωση σε έννοµη υποχρέωση) και ε’ (εκπλήρωση καθήκοντος που εκτελείται
προς το δηµόσιο συµφέρον ) του ΓΚΠ∆.
Το υπό εξέταση µέτρο της σύγχρονης εξ αποστάσεως εκπαίδευσης είναι
απολύτως συµβατό µε τη βασική αποστολή του Κράτους, όπως αυτή απορρέει από
τις διατάξεις του άρθρου 16 του Σ., είναι δε πρόσφορο για τη διατήρηση της σχέσης
εκπαιδευτικού-µαθητή και αναγκαίο εν µέσω υγειονοµικής κρίσης, καθώς η χρήση
ηπιότερων µεσων, όπως η ασύγχρονη τηλεκπαίδευση, δεν είναι δυνατόν εκ της
φύσεώς της να έχει τα ίδια αποτελέσµατα.
Κατά συνέπεια, σύµφωνα µε τα προαναφερόµενα, η επεξεργασία την οποία
συνεπάγεται καταρχήν η παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης δεν
αντίκειται στη νοµοθεσία για την προστασία των δεδοµένων προσωπικού χαρακτήρα,
εφόσον ο σκοπός που εξυπηρετείται µε τη συγκεκριµένη επεξεργασία είναι νόµιµος,
δεν καταγράφονται προσωπικά δεδοµένα εικόνας και ήχου από τις τηλεδιασκέψεις
και δεν επιβάλλεται η υποχρέωση τηλεδιδασκαλίας πριν τη σχετική απόφαση του
Υπουργού.

2.2 Επί της ΕΑΠ∆
Α. Σε σχέση µε την αναγκαιότητα και την αναλογικότητα των πράξεων
επεξεργασίας σε συνάρτηση µε τους σκοπούς
Η ΕΑΠ∆ περιέχει στην ενότητα 2.4, σύµφωνα και µε τη σχετική υποχρέωση
του υπευθύνου επεξεργασίας µε βάση το άρθρο 35 παρ. 7 β) του ΓΚΠ∆, κρίση για17
την αναγκαιότητα και την αναλογικότητα των πράξεων επεξεργασίας σε συνάρτηση
µε τους σκοπούς της διαδικασίας εξ αποστάσεως εκπαίδευσης.
Ο υπεύθυνος επεξεργασίας, σε σχέση µε την καταλληλόλητα του µέτρου,
εξετάζει, ως ηπιότερο µέτρο, την πραγµατοποίηση από τους µαθητές εργασιών,
κρίνοντας ότι δεν είναι καταλληλότερο µέτρο. Σε σχέση µε την επέµβαση στη
διαδραστική παιδαγωγική σχέση, η οποία επισηµαίνεται ότι αποτελεί το κυριότερο
εργαλείο για τη πραγµάτωση του δικαιώµατος στην εκπαίδευση, στην ΕΑΠ∆
κρίνεται ότι, καθώς η ζωντανή µετάδοση του µαθήµατος γίνεται σε εξαιρετικές
περιστάσεις, όπως αυτή της πανδηµίας, µε τη λήψη µέτρων, τα συγκρουόµενα
συνταγµατικά αγαθά, βρίσκονται σε αρµονία.
Κατά τη γνώµη της Αρχής, η ορθότητα της κρίσης αυτής είναι προφανής, στην
περίπτωση της «κλασσικής» σύγχρονης τηλεκπαίδευσης σε καιρό πανδηµίας, όταν
δεν υπάρχει η δυνατότητα λειτουργίας της τάξης σε σχολική αίθουσα. Στην
περίπτωση αυτή, η επιλογή του υπευθύνου επεξεργασίας είναι µεταξύ µοντέλων
ασύγχρονης και σύγχρονης εξ αποστάσεως εκπαίδευσης. Συνεπώς, η χρήση
σύγχρονης τηλεκπαίδευσης η οποία παρέχει τη δυνατότητα επικοινωνίας, και
ικανοποιητικού βαθµού διάδρασης, δεδοµένων των συνθηκών, ικανοποιεί την αρχή
της αναλογικότητας.
∆ιαφορετικό ζήτηµα αποτελεί η κρίση σε σχέση µε την αναλογικότητα του
µέτρου στην περίπτωση της «ταυτόχρονης» µετάδοσης του µαθήµατος της σχολικής
αίθουσας σε µαθητές οι οποίοι απουσιάζουν. Στην ΕΑΠ∆ δεν διαφοροποιείται η
συγκεκριµένη µέθοδος, ως µια διαφορετική µορφή επεξεργασίας αν και εξετάζονται
κάποιες από τις παραµέτρους της. Όµως, στην περίπτωση αυτή, η επέµβαση στο
δικαίωµα της εκπαίδευσης των µαθητών οι οποίοι βρίσκονται στην αίθουσα, εξ αιτίας
της µετάδοσης του µαθήµατος στους µαθητές που απουσιάζουν, αποτελεί ένα
παράγοντα που δεν έχει εξετασθεί, αν και ενδέχεται να επηρεάζει σε σηµαντικό
βαθµό την κρίση για την αναγκαιότητα και την αναλογικότητα της επεξεργασίας. Σε
αυτή τη µορφή της εκπαίδευσης, ο εκπαιδευτικός οφείλει, κατά τη διάρκεια µιας
συνεδρίας και ταυτόχρονα µε την παρουσία του στην σχολική αίθουσα, να εκτελεί
µια σειρά από ενέργειες που διαφοροποιούν ουσιωδώς τον τρόπο εκπαίδευσης. Για
παράδειγµα, ο εκπαιδευτικός οφείλει να ελέγχει τη συσκευή µετάδοσης ήχου/εικόνας,
να επιτρέπει την εισαγωγή µαθητών στην τάξη, να ανοίγει/κλείνει ήχο και εικόνα, να18
είναι σε θέση να περιορίσει τον ήχο σε περίπτωση που κάποιος µαθητής µιλήσει, να
επαναλαµβάνει ερωτήσεις ή απαντήσεις µαθητών κλπ.
Μάλιστα, θα πρέπει να συνυπολογίζεται η διαφοροποίηση των αναγκών και
των συνθηκών ανά βαθµίδα εκπαίδευσης (και ίσως ανά οµάδα τάξεων, π.χ. Α-Β
∆ηµοτικού, Γ-∆ κλπ). Συνεπώς απαιτείται µελέτη περισσότερων εναλλακτικών
λύσεων/µεθόδων και προσδιορισµός ειδικών µέτρων και τεχνικών
(συµπεριλαµβανοµένων των εκπαιδευτικών µεθόδων) για την ελαχιστοποίηση των
επιπτώσεων στα δικαιώµατα των υποκειµένων των δεδοµένων, προσαρµοσµένων ανά
ηλικιακή οµάδα, για την τεκµηρίωση της αναγκαιότητας και αναλογικότητας.
Β. Εµπλοκή των υποκειµένων των δεδοµένων και κατάλληλων
εµπειρογνωµόνων
Για την υλοποίηση της ΕΑΠ∆ δεν ζητήθηκε η γνώµη των υποκειµένων των
δεδοµένων ή των εκπροσώπων τους για τη σχεδιαζόµενη επεξεργασία. Όπως
απαιτείται, σύµφωνα µε τις προαναφερθείσες κατευθυντήριες γραµµές, στην ΕΑΠ∆
παρατίθεται αιτιολόγηση για την εν λόγω παράλειψη, µε την εξής αναφορά: «1. Η
χρονική περίοδος κατά την οποία εκπονήθηκε η παρούσα είναι ιδιαιτέρως κρίσιµη,
καθώς συµπίπτει αφενός µε την επαναλειτουργία των σχολικών µονάδων µετά τη λήξη
της προσωρινής απαγόρευσης λειτουργίας τους λόγω της πανδηµίας Covid_19 και
αφετέρου µε την προετοιµασία της διεξαγωγής των Πανελλαδικών Εξετάσεων και τη
λήξη του διδακτικού έτους. Εποµένως, η διαβούλευση κρίνεται, κατά τη σύνταξη της
παρούσης, µη εφαρµόσιµη για λόγους ουσιαστικού δηµοσίου συµφέροντος.
2. Η παρούσα ΕΑΠ∆ περιέχει, µεταξύ άλλων, ειδικό κεφάλαιο µε τα µέτρα που
έχει λάβει το ΥΠΑΙΘ για την απρόσκοπτη και ασφαλή διεξαγωγή της επεξεργασίας, τα
οποία πρέπει να παραµείνουν εµπιστευτικά.
3. Στην παρούσα περιγράφονται τα µέτρα προστασίας Π∆ που εφαρµόζει η Cisco,
τα οποία συνδέονται άρρηκτα µε τον σχεδιασµό και την καθ΄αυτό λειτουργία της
εφαρµογής «Webex Meetings». Η αποκάλυψη τέτοιου είδους πληροφοριών σε ένα τόσο
µεγάλο πλήθος Υποκειµένων δηµιουργεί σοβαρούς κινδύνους εµπιστευτικότητας και
επιχειρηµατικού απορρήτου.» 19
Σηµειώνεται µάλιστα ότι «παρά το γεγονός πως από την παρούσα συνάγεται ότι
η δραστηριότητα επεξεργασίας δεν συνεπάγεται µη διαχειρίσιµους, υψηλούς κινδύνους
για τα δικαιώµατα και τις ελευθερίες των Υποκειµένων, το ΥΠΑΙΘ εξετάζει το
ενδεχόµενο διαβούλευσης µε τα εµπλεκόµενα µέρη µετά το τέλος του διδακτικού έτους
στο πλαίσιο κατάρτισης πολιτικής προστασίας για την περίπτωση που το µέτρο της
τηλεκπαίδευσης απαιτηθεί εκ νέου στις εξαιρετικές περιπτώσεις που προβλέπει η
νοµοθεσία.»
Η ΕΑΠ∆ φαίνεται να υλοποιήθηκε σε εξαιρετικά σύντοµο χρόνο, στο πλαίσιο
των έκτακτων συνθηκών που δηµιουργήθηκαν λόγω της πανδηµίας. Η κατάθεση της
τροπολογίας πραγµατοποιήθηκε στις 08/05/2020, η διάταξη δηµοσιεύθηκε σε ΦΕΚ
στις 12/05/2020 ενώ η ΕΑΠ∆ και η επακόλουθη Υ.Α. υπ’ αριθµ. 57233/Υ1 (ΦΕΚ B
1859) εκδόθηκαν στις 15.05.2020. Το επιχείρηµα ότι ήταν επείγουσα ανάγκη
προβάλλεται, κατ’ αρχήν, βάσιµα, χωρίς όµως αυτό να παρέχει επαρκή αιτιολόγηση
για την παράκαµψη της διαδικασίας λήψης γνώµης των υποκειµένων των δεδοµένων.
Τα επιχειρήµατα µε αριθµό 2 και 3 του υπευθύνου επεξεργασίας, δεν είναι
βάσιµα. Τα µέτρα που έχει λάβει το ΥΠΑΙΘ για την απρόσκοπτη και ασφαλή
διεξαγωγή της επεξεργασίας και τα οποία υποστηρίζει ότι πρέπει να παραµείνουν
εµπιστευτικά, περιλαµβάνουν κυρίως οργανωτικά και λιγότερο τεχνικά µέτρα, τα
οποία είτε είναι ήδη δηµόσια γνωστά µέσω των εγκυκλίων του Υπουργείου είτε
αποτελούν τυπική πρακτική κατά τη λήψη µέτρων σε αντίστοιχες περιπτώσεις, ώστε
να µην τίθεται κανένα θέµα διακινδύνευσης. Όσον αφορά τα µέτρα προστασίας
προσωπικών δεδοµένων τα οποία εφαρµόζει η Cisco, αυτά βασίζονται στις ήδη
δηµοσιευµένες πρακτικές της εταιρείας (π.χ. Cisco Webex Meetings Privacy Data
Sheet, δηµόσια διαθέσιµα στο https://trustportal.cisco.com), χωρίς να µπορεί να
τεκµηριωθεί θέµα εµπιστευτικότητας ή επιχειρηµατικού απορρήτου.
Όπως προκύπτει από το ιστορικό της υπόθεσης, η επεξεργασία αφορά µεγάλο
αριθµό ευάλωτων υποκειµένων (µαθητών και εργαζοµένων) ενώ, έµµεσα ή άµεσα,
επηρεάζεται και το οικογενειακό περιβάλλον των µαθητών. Τα επηρεαζόµενα
δικαιώµατα συνδέονται µε την εκπαίδευση και την υγεία, και όχι µόνο στενά µε την
προστασία των δεδοµένων προσωπικού χαρακτήρα. Συνεπώς, ο υπεύθυνος
επεξεργασίας που προτίθεται να εισάγει µια καινοφανή λύση (ιδίως ως προς τη
παράµετρο της «ταυτόχρονης» τηλεκπαίδευσης) οφείλει να ακολουθεί συστηµατική20
προσέγγιση ως προς τον εντοπισµό και την αντιµετώπιση των κινδύνων. Απαραίτητο
στοιχείο της προσέγγισης αυτής είναι η εµπλοκή των υποκειµένων των δεδοµένων, τα
οποία επηρεάζονται άµεσα ή έµµεσα, αλλά και κατάλληλων εµπειρογνωµόνων.
Η Αρχή επισηµαίνει ότι η εµπλοκή των υποκειµένων της επεξεργασίας και των
εµπείρων φορέων στο στάδιο σύνταξης της ΕΑΠ∆ (όπως και η δηµοσίευση της
ΕΑΠ∆ ή µέρους αυτής), έχει ως αποτέλεσµα αυξηµένη διαφάνεια και εν τέλει, µπορεί
να οδηγήσει σε αυξηµένη εµπιστοσύνη1
των υποκειµένων των δεδοµένων στις
πράξεις επεξεργασίας και την απόδειξη της διαφάνειας και της λογοδοσίας (και εν
προκειµένω σε αυξηµένη χρήση των διαδικασιών σύγχρονης τηλεκπαίδευσης).
Περαιτέρω, µε δεδοµένο ότι η ΕΑΠ∆ είναι ένα «ζωντανό» κείµενο (όπως
άλλωστε αναφέρεται και στο κείµενο της ΕΑΠ∆) η διαδικασία διατύπωσης γνώµης
των υποκειµένων (ή των εκπροσώπων τους) θα µπορούσε να έχει αρχικά συντµηθεί,
λόγω του επείγοντος χαρακτήρα, αλλά θα έπρεπε να έχει συνεχιστεί
συστηµατικότερα σε επόµενο στάδιο.
Γ. Μεθοδολογία ΕΑΠ∆. Προσδιορισµός, ανάλυση κινδύνων και µέτρων
αντιµετώπισης αυτών
Το Υ.ΠΑΙ.Θ., λαµβάνοντας υπόψη το άρθρο 35 του ΓΚΠ∆ και το άρθρο 63 του
ν. 4686/2020 διενήργησε εκτίµηση αντικτύπου σχετικά µε την προστασία δεδοµένων
(ΕΑΠ∆) για τις δραστηριότητες επεξεργασίας που συνδέονται µε την παροχή
σύγχρονης εξ αποστάσεως εκπαίδευσης. Καθώς, σύµφωνα µε την κρίση του
υπεύθυνου επεξεργασίας, η επεξεργασία δεν θα προκαλούσε υψηλό κίνδυνο, µετά και
τη λήψη των µέτρων µετριασµού του κινδύνου, και για τον λόγο αυτό δεν
πραγµατοποιήθηκε διαβούλευση µε την Αρχή, η οποία απαιτείται, µε βάση το άρθρο
36 παρ. 1 του ΓΚΠ∆, µόνον όταν η ΕΑΠ∆ υποδεικνύει ότι η επεξεργασία θα
προκαλούσε υψηλό κίνδυνο ελλείψει µέτρων µετριασµού. Επισηµαίνεται όµως, ότι
από τα προσκοµισθέντα στοιχεία δεν προκύπτει µε βεβαιότητα η ηµεροµηνία
εκτέλεσης και ολοκλήρωσης της ΕΑΠ∆, αφού στο κείµενο που έχει κατατεθεί στην
Αρχή δεν έχει τεθεί έγγραφη ή ηλεκτρονική σήµανση (π.χ. αρ. πρωτοκόλλου,

1 Πρβλ. ΟΕ. Αρ 29 – Κατευθυντήριες γραµµές σχετικά µε τη διαφάνεια βάσει του κανονισµού
2016/679 – WP260 rev.01, σκέψη 42. 21
ηλεκτρονική υπογραφή κλπ). Σηµειώνεται ότι ο υπεύθυνος επεξεργασίας θα πρέπει
να είναι σε θέση να αποδείξει τον χρόνο εκπόνησης και ολοκλήρωσης της ΕΑΠ∆.
Η προσκοµισθείσα ΕΑΠ∆, ακολουθεί µεθοδολογία που φαίνεται να βασίζεται
στις κατευθυντήριες γραµµές του ΕΣΠ∆ και εποπτικών αρχών (ιδίως των CNIL και
ICO). Όµως, από το κείµενο της ΕΑΠ∆ δεν προκύπτει µε ποιο τρόπο έχει εφαρµοστεί
η µεθοδολογία και έχει εκπονηθεί η ΕΑΠ∆, ώστε να είναι σαφές ότι η µελέτη είναι
πλήρης. Συγκεκριµένα, από την ΕΑΠ∆ δεν προκύπτει ποια άτοµα και µε ποιο τρόπο,
έχουν εµπλακεί για την εκτέλεση της ΕΑΠ∆ και συγκεκριµένα για ενέργειες που
είναι απαραίτητες για την εκπόνησή της και περιλαµβάνουν την ανάλυση των
χαρακτηριστικών της επεξεργασίας, τον προσδιορισµό των πηγών των κινδύνων, των
δυνητικών επιπτώσεων στα δικαιώµατα και τις ελευθερίες των υποκειµένων των
δεδοµένων, την εξακρίβωση πιθανών απειλών, τον καθορισµό µέτρων αντιµετώπισης
των κινδύνων ή την αποδοχή αυτών.
Σηµειώνεται ότι στις κατευθυντήριες γραµµές ΕΑΠ∆ γίνεται ειδική αναφορά
για τον τοµέα αυτό:
«Τέλος, συνιστά ορθή πρακτική ο καθορισµός και η τεκµηρίωση άλλων ειδικών
ρόλων και αρµοδιοτήτων, ανάλογα µε την εσωτερική πολιτική, τις διαδικασίες και τους
κανόνες, π.χ.:
…
– όποτε ενδείκνυται, συνιστάται να ζητείται η γνώµη ανεξάρτητων
εµπειρογνωµόνων από διαφορετικά επαγγέλµατα (από δικηγόρους, ειδικούς
τεχνολογίας πληροφοριών, εµπειρογνώµονες σε θέµατα ασφαλείας, δεοντολογίας,
κοινωνιολόγους κ.ο.κ.).
– οι ρόλοι και οι αρµοδιότητες των εκτελούντων την επεξεργασία πρέπει να
ορίζονται συµβατικά· και η ΕΑΠ∆ πρέπει να διενεργείται µε τη συνδροµή του
εκτελούντος την επεξεργασία, λαµβανοµένης υπόψη της φύσης της επεξεργασίας και
των πληροφοριών που διαθέτει ο εκτελών την επεξεργασία [άρθρο 28 παράγραφος 3
στοιχείο στ)]·
– ο υπεύθυνος ασφάλειας πληροφοριών (ΥΑΠ), εφόσον έχει οριστεί, καθώς και ο
υπεύθυνος προστασίας δεδοµένων (ΥΠ∆) θα µπορούσαν να προτείνουν τη διενέργεια22
ΕΑΠ∆ από τον υπεύθυνο επεξεργασίας σε συγκεκριµένη πράξη επεξεργασίας και θα
πρέπει να συνδράµουν τους ενδιαφερόµενους παράγοντες στη µεθοδολογία, να
συνδράµουν στην αξιολόγηση της ποιότητας της εκτίµησης κινδύνου και στον
καθορισµό του κατά πόσον ο υπολειπόµενος κίνδυνος είναι αποδεκτός και στην
ανάπτυξη ειδικής γνώσης σε σχέση µε το πλαίσιο του υπεύθυνου επεξεργασίας·
– ο υπεύθυνος ασφάλειας πληροφοριών (ΥΑΠ), εφόσον έχει οριστεί, και/ή το
τµήµα τεχνολογίας πληροφοριών, θα πρέπει να παράσχουν συνδροµή στον υπεύθυνο
επεξεργασίας και θα µπορούσαν να προτείνουν τη διενέργεια ΕΑΠ∆ σε συγκεκριµένη
πράξη επεξεργασίας ανάλογα µε τις λειτουργικές ανάγκες ή τις ανάγκες ασφαλείας»
Το τµήµα της ΕΑΠ∆, στο οποίο γίνεται η τελική εκτίµηση των πράξεων
επεξεργασίας για τον προσδιορισµό αναγκαίων παρεµβάσεων είναι το κρισιµότερο
για την πληρότητα της µελέτης, καθώς, όπως αναφέρεται στις σχετικές
κατευθυντήριες γραµµές, πρέπει να τελούν υπό διαχείριση οι κίνδυνοι για τα
δικαιώµατα και τις ελευθερίες των υποκειµένων των δεδοµένων (πρβλ. ΓΚΠ∆ άρθρο
35 παρ. 7 γ). Προς τον σκοπό αυτό, στην ΕΑΠ∆ (σελ. 5) αναφέρεται ότι «Ειδικός
στόχος της παρούσας µελέτης είναι να αναγνωριστούν και να καταγραφούν οι κίνδυνοι
για την ιδιωτικότητα και ειδικότερα για τα προσωπικά δεδοµένα κατά την
τηλεκπαίδευση.» Όπως έχει αναλυθεί παραπάνω, η εν λόγω αναφορά είναι ελλιπής,
καθώς πρέπει να λαµβάνονται υπόψη οι κίνδυνοι για τα δικαιώµατα και τις
ελευθερίες φυσικών προσώπων και όχι µόνο για την ιδιωτικότητα. Εξάλλου, σε
σχέση µε την ανάλυση κινδύνων, επιπτώσεων και συνεπειών, στην ΕΑΠ∆
εξετάζονται, συνοπτικά, οι εξής κίνδυνοι:
1. Παράνοµη πρόσβαση σε προσωπικά δεδοµένα,
2. Παράνοµη καταγραφή προσωπικών δεδοµένων,
3. Αλλαγή / αλλοίωση προσωπικών δεδοµένων (τροποποίηση),
4. Αποκάλυψη πληροφοριών στους γονείς των µαθητών ή σε τρίτους,
5. Ανισότητα µεταξύ µαθητών,
6. Ακαδηµαϊκή ελευθερία του εκπαιδευτικού,
7. Ελεύθερη ανάπτυξη της προσωπικότητας των µαθητών. 23
Συνεπώς, φαίνεται ότι τελικά ο υπεύθυνος επεξεργασίας περιλαµβάνει µόνον
τρεις κατηγορίες κινδύνων οι οποίοι σχετίζονται µε δικαιώµατα και ελευθερίες
φυσικών προσώπων διαφορετικά από το δικαίωµα της προστασίας δεδοµένων
προσωπικού χαρακτήρα.
Στον πίνακα των σελ. 32-35 της ΕΑΠ∆ παρουσιάζονται οι κίνδυνοι, οι
επιπτώσεις τους, η πιθανότητα εµφάνισης και η πιθανότητα ο κίνδυνος να επιφέρει
βλάβη. Στον εν λόγω πίνακα οι κίνδυνοι αναφέρονται χωρίς περαιτέρω ανάλυση, ενώ
επίσης οι εκτιµήσεις του υπεύθυνου επεξεργασίας παρουσιάζονται άνευ περαιτέρω
τεκµηρίωσης (µε αριθµητικές τιµές και µε επαρκή αιτιολόγηση) . Συνεπώς, σε καµία
από τις παραπάνω κατηγορίες δεν αναλύεται επαρκώς, ο προσδιορισµένος κίνδυνος.
Οµοίως, δεν αναλύεται ούτε τεκµηριώνεται επαρκώς η επιλογή σε σχέση µε τη
σοβαρότητα των συνεπειών στα δικαιώµατα και τις ελευθερίες των υποκειµένων των
δεδοµένων, τη σοβαρότητα των συνεπειών, την πιθανότητα εµφάνισης του κινδύνου
και την πιθανότητα ο κίνδυνος να επιφέρει βλάβη.
Σηµειώνεται ότι στις κατευθυντήριες γραµµές ΕΑΠ∆ επισηµαίνονται ως
κριτήρια αποδοχής της, όσον αφορά στον συγκεκριµένο τοµέα, τα εξής:
• «έχουν αξιολογηθεί η προέλευση, η φύση, η ιδιαιτερότητα και η
σοβαρότητα των κινδύνων (πρβλ. αιτιολογική σκέψη 84) ή ειδικότερα
κάθε κίνδυνος (αθέµιτη πρόσβαση, ανεπιθύµητη τροποποίηση, και
εξαφάνιση δεδοµένων) από την οπτική των υποκειµένων των δεδοµένων·
• έχουν ληφθεί υπόψη οι πηγές των κινδύνων (αιτιολογική σκέψη 90)·
• εξακριβώνονται οι δυνητικές επιπτώσεις στα δικαιώµατα και τις
ελευθερίες των υποκειµένων των δεδοµένων σε περιπτώσεις συµβάντων
που περιλαµβάνουν αθέµιτη πρόσβαση, ανεπιθύµητη τροποποίηση και
εξαφάνιση δεδοµένων·
• εξακριβώνονται απειλές που θα µπορούσαν να επιφέρουν αθέµιτη
πρόσβαση, ανεπιθύµητη τροποποίηση και εξαφάνιση δεδοµένων·
• εκτιµώνται η πιθανότητα και η σοβαρότητα (αιτιολογική σκέψη 90)»
Περαιτέρω, η ΕΑΠ∆ εκπονήθηκε σε σύντοµο χρονικό διάστηµα, όπως
αναφέρεται ανωτέρω, ουδεµία δε αναφορά γίνεται στη µέθοδο προσδιορισµού των
κινδύνων και στα πρόσωπα τα οποία συνέβαλλαν, µε τη γνώµη τους ή εκ της
αρµοδιότητάς τους, στην κατάρτιση του εν λόγω πίνακα. Υπενθυµίζεται ότι, µε βάση24
τις κατευθυντήριες γραµµές, συνιστάται η εµπλοκή ανεξάρτητων εµπειρογνωµόνων
από τα κατάλληλα επαγγέλµατα, του εκτελούντος την επεξεργασία, του υπεύθυνου
ασφάλειας πληροφοριών, εφόσον έχει οριστεί, και/ή του σχετικού τµήµατος
τεχνολογίας πληροφοριών. Στην προκειµένη περίπτωση, καθώς, όπως έχει ήδη
αναφερθεί, εισάγεται µια καινοφανής διαδικασία, η οποία επηρεάζει δικαιώµατα που
δεν περιορίζονται στην προστασία των προσωπικών δεδοµένων, είναι απαραίτητη η
συµµετοχή κατάλληλων εµπειρογνωµόνων (ενδεικτικά: ακαδηµαϊκοί φορείς,
δηµόσιοι φορείς εκπαιδευτικής πολιτικής κλπ.).
Ως επακόλουθο, ο «χάρτης κινδύνων» που παρουσιάζεται στην ΕΑΠ∆
εµφανίζει µη τεκµηριωµένες, υποκειµενικές, εκτιµήσεις του υπεύθυνου επεξεργασίας.
Συνεπώς, είναι απαραίτητο, στη διαδικασία προσδιορισµού, ανάλυσης κινδύνων και
εντοπισµού µέτρων αντιµετώπισης αυτών να παρέχεται πλήρης ανάλυση των
κινδύνων, ώστε να είναι κατανοητή από τον αναγνώστη της ΕΑΠ∆, η τεκµηρίωση
των επιλογών του υπευθύνου επεξεργασίας για τις εκτιµήσεις που κάνει σε σχέση µε
τους δείκτες από τους οποίους προκύπτει, ακόµα κι αν οι εκτιµήσεις αυτές
παραµένουν ως ένα βαθµό υποκειµενικές.
Επισηµαίνεται ότι ακόµα και στους προσδιορισµένους κινδύνους, πολλές
επιλογές του υπεύθυνου επεξεργασίας ενδέχεται να χρήζουν πληρέστερης
αξιολόγησης. Ενδεικτικά: α) στον κίνδυνο 1 (Παράνοµη πρόσβαση σε προσωπικά
δεδοµένα) η επιλογή ότι ο κίνδυνος είναι αµελητέος επειδή η τηλεδιάσκεψη
πραγµατοποιείται µε πρόσκληση σε συγκεκριµένο αριθµό χρηστών δεν είναι
αυτονοήτως ορθή καθώς: αα) όλοι οι µαθητές ενός εκπαιδευτικού γνωρίζουν την
«προσωπική του τάξη», συνεπώς, ενδέχεται να δοκιµάσουν να συνδεθούν σε
διαφορετικό χρόνο, αβ) η διεύθυνση της προσωπικής τάξης µπορεί να γίνει (ειδικά µε
την πάροδο του χρόνου) γνωστή και σε τρίτους, αγ) ο εκπαιδευτικός, µε δεδοµένο ότι
ο µαθητής µπορεί να επιλέξει όποιο όνοµα επιθυµεί, δεν γνωρίζει πάντα ποιος είναι ο
χρήστης που ζητάει να συνδεθεί στην αίθουσα· β) στους κινδύνους 2 και 4
(αποκάλυψη πληροφοριών στους γονείς των µαθητών ή σε τρίτους) η σοβαρότητα
των συνεπειών µπορεί, σε κάποιες περιπτώσεις, να είναι µεγάλη (ιδίως αν ληφθεί
υπόψη ότι ενδέχεται να καταγραφούν ειδικές κατηγορίες δεδοµένων) ενώ η
πιθανότητα εµφάνισης του κινδύνου ενδέχεται να είναι ιδιαίτερα µεγαλύτερη, καθώς
λόγω του µεγάλου αριθµού µαθητών µπορεί βασίµως να πιθανολογηθεί ότι κάποιοι
γονείς/τρίτοι παρακολουθούν· γ) Η πιθανότητα εµφάνισης του κινδύνου της25
ανισότητας είναι µεγάλη καθώς είναι γνωστό ότι δεν διαθέτουν όλοι οι µαθητές και οι
σχολικές µονάδες υποδοµή σύνδεσης, ή την ίδια υποδοµή σύνδεσης.
Περαιτέρω, από τους προσδιορισµένους κινδύνους φαίνεται να απουσιάζουν ή
να µην αναλύονται επαρκώς µια σειρά από κινδύνους. Ενδεικτικά η Αρχή παραθέτει
τους παρακάτω κινδύνους, οι οποίοι θα πρέπει να αντιµετωπισθούν:
• Κίνδυνοι σχετιζόµενοι µε την επέµβαση στην εκπαιδευτική διαδικασία,
οι οποίοι επηρεάζουν το δικαίωµα στην εκπαίδευση. Απουσιάζει
εκτίµηση και ανάλυση της επέµβασης ανά εκπαιδευτική βαθµίδα/τάξη,
προσαρµοσµένη στις ιδιαιτερότητες των µαθητών. Για παράδειγµα, οι
κίνδυνοι αυτοί µπορεί να αντιµετωπιστούν µε την εισαγωγή ή χρήση
νέων εκπαιδευτικών µεθόδων, την παροχή κατάλληλης εκπαίδευσης και
επιµόρφωσης στους εκπαιδευτικούς, µε τη συµβολή των κατάλληλων
εκπαιδευτικών και ακαδηµαϊκών φορέων.
• Κίνδυνοι από τη χρήση εξοπλισµού που δεν βρίσκεται στην ευθύνη του
υπευθύνου επεξεργασίας, ιδίως όσον αφορά στους εκπαιδευτικούς. Στο
πλαίσιο αυτής της ανάλυσης θα πρέπει να εξεταστεί και το ζήτηµα της
χρήσης προσωπικής συσκευής για υπηρεσιακό σκοπό (πρβλ. και
απόφαση 77/2018 της Αρχής). Περαιτέρω στην ΕΑΠ∆ αναφέρεται ότι η
πλατφόρµα και οι χρήστες δεν κινδυνεύουν από πιθανή ύπαρξη ιών σε
τερµατικό εξοπλισµό συγκεκριµένου χρήστη (σελ 16), χωρίς περαιτέρω
τεκµηρίωση.
• Κίνδυνοι από τις διαβιβάσεις δεδοµένων εκτός Ε.Ε. Να σηµειωθεί ότι
όπως προκύπτει από την προσκοµισθείσα σύµβαση, δεν αποκλείεται η
πιθανότητα χρήσης κέντρου δεδοµένων εκτός Ε.Ε., τουλάχιστον σε
περίπτωση «βλάβης». Να σηµειωθεί, ότι πλέον, ο υπεύθυνος
επεξεργασίας οφείλει να µελετήσει την απόφαση C-311/18 του ∆ΕΕ και
να διασφαλίσει ότι δεν υπάρχει περίπτωση διαβίβασης δεδοµένων
προσωπικού χαρακτήρα εκτός Ε.Ε.
2 Ο υπεύθυνος επεξεργασίας οφείλει
να διερευνά το εφαρµοστέο νοµικό καθεστώς στη χώρα του εισαγωγέα,

2 Βλ. σχετικά τη δήλωση του ΕΣΠ∆ επί της απόφασης του ∆ικαστηρίου της Ευρωπαϊκής Ένωσης στην
υπόθεση C-311/18-Data Protection Commissioner κατά Facebook Ireland και Maximillian Schrems –
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_20200717_cjeujudgmentc311_18_el.pdf και τις σχετικές Συχνές Ερωτήσεις –
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_el.pdf 26
ώστε να εξασφαλίζει την εφαρµογή των δικαιωµάτων των υποκειµένων
των δεδοµένων, σε κάθε περίπτωση. Τονίζεται ότι ο κίνδυνος αυτός
ενδέχεται να υφίσταται στην περίπτωση χρήσης εταιρειών οι οποίες
εµπίπτουν στη νοµοθεσία των ΗΠΑ (π.χ. άρθρο 702 του νόµου FISA
και εκτελεστικό διάταγµα EO 12333), ανεξάρτητα του τόπου τήρησης
των δεδοµένων.
• Κίνδυνοι που απορρέουν από τους όρους της σύµβασης. Ειδικότερα,
από τη µελέτη της σύµβασης, προκύπτει ότι κάποια δεδοµένα
διατηρούνται από τον εκτελούντα την επεξεργασία (Cisco). Τα
δεδοµένα αυτά περιλαµβάνουν δεδοµένα που παράγονται κατά τη
χρήση των υπηρεσιών· επισηµαίνεται ότι η σύµβαση διασφαλίζει
δεδοµένα τα οποία «διαθέτει» το Υπουργείο στη Cisco, χωρίς να είναι
σαφές αν σε αυτά περιλαµβάνονται και τα παραγόµενα δεδοµένα
χρηστών. Από τη σύµβαση3
προκύπτει σαφώς ότι τηρούνται, για επτά
έτη, µια σειρά από δεδοµένα προσωπικού χαρακτήρα, τα οποία
περιλαµβάνουν τα δεδοµένα εγγραφής, αλλά και ψευδώνυµα δεδοµένα
για σκοπούς «analytics» και µέτρησης απόδοσης. Επισηµαίνεται ότι
σύµφωνα µε τους ορισµούς του ΓΚΠ∆, τα ψευδώνυµα δεδοµένα
αποτελούν προσωπικά δεδοµένα και η άρση της ψευδωνυµοποίησης
αποτελεί κίνδυνο ο οποίος πρέπει να αντιµετωπισθεί. Μάλιστα, στη σελ.
19 της ΕΑΠ∆ γίνεται αναφορά σε «Μεταδεδοµένα αµιγώς τεχνικής
φύσης µέσω των οποίων δεν καθίσταται ικανή η προσωπική ταυτοποίηση
των χρηστών». Σηµειώνεται επίσης ότι, υπό προϋποθέσεις, µπορεί να
υπάρξει αναγνώριση υποκειµένων δεδοµένων, π.χ. µέσω συσχέτισης
των µεταδεδοµένων µε άλλες γνωστές πληροφορίες που αφορούν ένα
υποκείµενο των δεδοµένων. Περαιτέρω, ένας επιπλέον κίνδυνος
απορρέει από την έλλειψη συµπλήρωσης, στη σύµβαση, του πεδίου το
οποίο αφορά το πρόσωπο του υπεύθυνου επεξεργασίας, τον οποίο θα
ενηµερώσει η Cisco (ως εκτελούσα την επεξεργασία) σε περίπτωση
περιστατικού παραβίασης (βλ. σελ. 7 του παραρτήµατος Α).
• Κίνδυνοι από τη χρήση τρίτων εκτελούντων την επεξεργασία (subprocessors), οι οποίοι δεν φαίνεται να έχουν προσδιοριστεί.

3 βλ. Cisco Webex Meetings Privacy Sheet – ενότητα 6. Data Deletion & Retention – Registration
Information, User Generated Information, Host and Usage Information 27
Επισηµαίνεται ότι µε βάση το άρθρο 28 παρ. 2 του ΓΚΠ∆, ο εκτελών
την επεξεργασία δεν προσλαµβάνει άλλον εκτελούντα την επεξεργασία
χωρίς προηγούµενη ειδική ή γενική γραπτή άδεια του υπευθύνου
επεξεργασίας και σε περίπτωση γενικής γραπτής άδειας, όπως φαίνεται
να ισχύει µε την υφιστάµενη σύµβαση, ο εκτελών την επεξεργασία
ενηµερώνει τον υπεύθυνο επεξεργασίας για τυχόν σκοπούµενες αλλαγές
που αφορούν την προσθήκη ή την αντικατάσταση των άλλων
εκτελούντων την επεξεργασία, παρέχοντας µε τον τρόπο αυτό τη
δυνατότητα στον υπεύθυνο επεξεργασίας να αντιταχθεί σε αυτές τις
αλλαγές.
• Κίνδυνοι από τη χρήση προσωπικών ηλεκτρονικών διευθύνσεων των
εκπαιδευτικών και τη διαβίβαση ηλεκτρονικά στη Cisco, ακόµα κι αν
ένας εκπαιδευτικός δεν ενεργοποιήσει την τηλεκπαίδευση. Στο σύστηµα
«myschool» φαίνεται να συµπεριλαµβάνονται οι διευθύνσεις
ηλεκτρονικού ταχυδροµείου (email) των εκπαιδευτικών χωρίς να είναι
σαφές για ποιο σκοπό έχουν συλλεγεί. Περαιτέρω, καθώς οι
εκπαιδευτικοί χρησιµοποιούν για επικοινωνία προσωπικά email (πολλές
φορές) υπάρχει κίνδυνος για αυτούς. Π.χ. σκόπιµο θα ήταν όλες οι
ενέργειες να γίνονται από τους λογαριασµούς του σχολικού δικτύου
(email επικοινωνίας; @sch.gr).
Τέλος, επισηµαίνεται ότι µετά τη διενέργεια της ΕΑΠ∆, πέραν των ήδη
ληφθέντων τεχνικών και οργανωτικών µέτρων, ο υπεύθυνος επεξεργασίας κρίνει ότι
δεν είναι απαραίτητη η λήψη περαιτέρω µέτρων µε τη σκέψη ότι δεν υπολείπονται
υψηλοί κίνδυνοι και, συνεπώς, δεν απαιτείται να λάβει άλλα µέτρα για τον
περιορισµό αυτών.
Σύµφωνα µε όσα προαναφέρθηκαν, ο στόχος της ΕΑΠ∆ είναι να
προσδιοριστούν µέτρα αντιµετώπισης των κινδύνων, περιλαµβανοµένων των
εγγυήσεων, των µέτρων και µηχανισµών ασφάλειας, ώστε να διασφαλίζεται η
προστασία των δεδοµένων προσωπικού χαρακτήρα και να αποδεικνύεται η
συµµόρφωση προς τον ΓΚΠ∆. Με βάση την αρχή της προστασίας των δεδοµένων
ήδη από τον σχεδιασµό (αρ. 25 παρ. 1 ΓΚΠ∆) ο υπεύθυνος επεξεργασίας,
λαµβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρµογής και τη φύση, το28
πεδίο εφαρµογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους
κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώµατα
και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, εφαρµόζει
αποτελεσµατικά, τόσο κατά τη στιγµή του καθορισµού των µέσων επεξεργασίας όσο
και κατά τη στιγµή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά µέτρα.
Συνεπώς, ο υπεύθυνος οφείλει να ελαχιστοποιήσει κάθε κίνδυνο, τεκµηριώνοντας
επαρκώς το συµπέρασµα ότι ένας υπολειπόµενος κίνδυνος, έστω και µη υψηλός,
γίνεται αποδεκτός, δεδοµένου ότι η ΕΑΠ∆ χρησιµοποιείται για να περιορίσει το
επίπεδο όλων των κινδύνων. Συνεπώς, απαιτείται κρίση για το αν απαιτούνται
περαιτέρω µέτρα αντιµετώπισης κάθε κινδύνου, ακόµα κι αν αυτός δεν φαίνεται να
είναι υψηλός. Εποµένως, στην ΕΑΠ∆ δεν τεκµηριώνεται ότι οι προσδιορισµένοι
κίνδυνοι έχουν ελαχιστοποιηθεί και δεν απαιτείται προσδιορισµός κατάλληλων
µέτρων.
Όσον αφορά στα λαµβανόµενα µέτρα µετριασµού των επιπτώσεων, η Αρχή
επισηµαίνει την υποχρέωση του υπευθύνου επεξεργασίας για αυξηµένη διαφάνεια και
δράσεις ενηµέρωσης και ευαισθητοποίησης των εµπλεκοµένων (εκπαιδευτικοί,
µαθητές, οικογένεια) σε σχέση µε τη διαδικασία τηλεκπαίδευσης και τα δεδοµένα
προσωπικού χαρακτήρα. Στη σελ. 21 της ΕΑΠ∆ γίνεται αναφορά στις πληροφορίες
που παρέχονται στα υποκείµενα των δεδοµένων. Φαίνεται ότι ακολουθείται µια
τυπική -υπηρεσιακή- πληροφόρηση η οποία βασίζεται, κυρίως στα κείµενα των
εγκυκλίων. Σύµφωνα µε όσα αναφέρονται στις κατευθυντήριες γραµµές του ΕΣΠ∆4
για τη διαφάνεια, απαιτείται ενηµέρωση µε κατάλληλο τρόπο, προσαρµοσµένη στα
παιδιά και τις ευάλωτες οµάδες. Η παροχή κατάλληλης ενηµέρωσης και
προγραµµάτων ευαισθητοποίησης, σε εκπαιδευτικούς, αλλά κυρίως µαθητές και
οικογένεια, µπορεί µάλιστα να λειτουργήσει ως ένα κατάλληλο µέτρο µετριασµού
των επιπτώσεων των κινδύνων που σχετίζονται µε µη νόµιµη διάδοση δεδοµένων.
Στην ΕΑΠ∆ γίνεται αναφορά σε κατάρτιση κώδικα ορθής συµπεριφοράς5
/
ευπρέπειας και σε αναλυτικές οδηγίες από τους εκπαιδευτικούς προς τους µαθητές, οι
οποίες όµως δεν φαίνεται να έχουν καταρτιστεί.

4 ΟΕ. Αρ 29 – Κατευθυντήριες γραµµές σχετικά µε τη διαφάνεια βάσει του κανονισµού 2016/679 –
WP260 rev.01
5 Στο κείµενο της ΕΑΠ∆ ο εν λόγω κώδικας συγχέεται µε τους Κώδικες ∆εοντολογίας του αρ. 40 του
ΓΚΠ∆. Είναι σαφές ότι δεν υφίσταται τέτοιος κώδικας δεοντολογίας. 29
∆. Επιµέρους θέµατα – παρατηρήσεις
Τέλος, η Αρχή, εξετάζοντας το κείµενο της ΕΑΠ∆ επισηµαίνει επιπλέον τα
εξής σηµεία για τα οποία είναι αναγκαίες βελτιώσεις:
1) Στη σελ. 37 της ΕΑΠ∆, η «επίσηµη αποδοχή» της φαίνεται να γίνεται από
την Υπεύθυνο Προστασίας ∆εδοµένων του Υπουργείου. Ειδικότερα,
αναφέρεται ότι «εγκρίθηκαν τα µέτρα» και «παρασχέθηκε η συµβουλή της
DPO». Επισηµαίνεται ότι στα καθήκοντα του Υπευθύνου Προστασίας
∆εδοµένων (βλ. αρ. 39 ΓΚΠ∆) δεν περιλαµβάνεται η έγκριση της ΕΑΠ∆.
Οι αποφάσεις, σε σχέση µε τη λήψη µέτρων λαµβάνονται από τον υπεύθυνο
επεξεργασίας µε τη συµβουλή του Υπευθύνου Προστασίας ∆εδοµένων, ο
οποίος δεν έχει αποφασιστική αρµοδιότητα. Σχετική αναφορά γίνεται και
στο κείµενο των κατευθυντήριων γραµµών ΕΑΠ∆ (σελ. 18) όπου
αναφέρεται ότι : «…Ο υπεύθυνος επεξεργασίας πρέπει επίσης να ζητεί τη
γνώµη του υπευθύνου προστασίας δεδοµένων (ΥΠ∆), εφόσον έχει οριστεί
(άρθρο 35 παράγραφος 2) και η γνώµη αυτή, καθώς και οι αποφάσεις του
υπεύθυνου επεξεργασίας, θα πρέπει να τεκµηριώνονται στην ΕΑΠ∆. Ο ΥΠ∆
θα πρέπει επίσης να παρακολουθεί την υλοποίηση της ΕΑΠ∆ [άρθρο 39
παράγραφος 1 στοιχείο γ)]….» Επίσης, επισηµαίνεται ότι τόσο η γνώµη της
ΥΠ∆ όσο και οι αποφάσεις του υπεύθυνου επεξεργασίας θα πρέπει να
τεκµηριώνονται στην ΕΑΠ∆.
2) Στη σελ 20 της ΕΑΠ∆ η εταιρεία Cisco αναφέρεται ως «τρίτος», ενώ
αποτελεί εκτελούντα την επεξεργασία. Από τους ορισµούς του κανονισµού
(βλ. άρθρο 4 παρ. 10), ένας «εκτελών την επεξεργασία» δεν αποτελεί τρίτο,
εκτός από την περίπτωση που αποφασίσει να επεξεργαστεί δεδοµένα για
δικό του, διαφορετικό, σκοπό.
Ε. Προθεσµία προς συµµόρφωση
Εν όψει των ανωτέρω σκέψεων και λαµβάνοντας υπόψη ότι:
Α) η εκπαιδευτική διαδικασία πρέπει απαραίτητα να λειτουργήσει µε τον
καλύτερο δυνατό τρόπο 30
Β) η σύγχρονη εξ αποστάσεως εκπαίδευση αποτελεί χρήσιµο εργαλείο
εκπαίδευσης, µε αυξηµένη χρησιµότητα ειδικά σε περιόδους πανδηµίας
Γ) η επεξεργασία δεδοµένων προσωπικού χαρακτήρα που διενεργείται κατά τη
σύγχρονη εξ αποστάσεως εκπαίδευση µπορεί να συντελεστεί µε τρόπο συµβατό
µε τον ΓΚΠ∆, και
∆) για τη συµµόρφωση προς τις ανωτέρω συστάσεις απαιτείται εύλογο χρονικό
διάστηµα το οποίο δεν µπορεί να υπερβαίνει τους τρεις µήνες
η Αρχή κρίνει ότι πρέπει στην παρούσα περίπτωση να ασκήσει τη συµβουλευτική της
εξουσία, η οποία απορρέει από το άρθρο 58 παρ. 3 εδ. β του ΓΚΠ∆.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή:
1) ΚΡΙΝΕΙ νόµιµη την κατά το άρθρο 63 του ν. 4686/2020 σύγχρονη εξ
αποστάσεως εκπαίδευση για τους λόγους που αναφέρονται στο σκεπτικό της
παρούσας.
2) ΚΑΛΕΙ το Υπουργείο Παιδείας και Θρησκευµάτων να λάβει υπόψη τις
συστάσεις που αναφέρονται στο σκεπτικό της παρούσας και να τροποποιήσει
και συµπληρώσει αναλόγως την ανωτέρω ΕΑΠ∆ σε αποκλειστική προθεσµία
τριών (3) µηνών από τη δηµοσίευση της παρούσας απόφασης.
3) ΚΡΙΝΕΙ ότι επιτρέπεται η εξ αποστάσεως εκπαίδευση στις σχολικές µονάδες
της πρωτοβάθµιας και της δευτεροβάθµιας εκπαίδευσης κατά τη διάρκεια του
ως άνω τριµήνου, εφόσον συντρέχουν οι προϋποθέσεις που προβλέπονται στο
άρθρο 63 του ν. 4686/2020, όπως ισχύει µετά την τροποποίησή του µε την
από 10/08/2020 ΠΝΠ.

Ο Πρόεδρος Η Γραµµατέας
Κων/νος Μενουδάκος Γεωργία Παλαιολόγου

 

ΣΧΟΛΙΑΣΜΟΣ

 

 

Στα πλαίσια  της γνωμοδότησης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα( ΑΠΔΠΧ εφεξής) επί της συμβατότητας της εξ αποστάσεως εκπαίδευσης με τη χρήση σύγχρονων οπτικοακουστικών μέσων με τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων ως θεσπίστηκε με τον Κανονισμό του Συμβουλίου της Ευρωπαϊκής           Ένωσης ( 2016/679) και τέθηκε σε ισχύ από 25-05-2018, αναδεικνύεται εν πολλοίς ο ρόλος του υπευθύνου επεξεργασίας των προσωπικών δεδομένων και, ειδικότερα η υποχρέωση λογοδοσίας του υπό την έκφανση της επεξήγησης και αιτιολόγησης του τρόπου με τον οποίο ο υπεύθυνος ανταποκρίνεται σε υποχρεώσεις και καθήκοντα.

Δίχως να παραγνωρίζεται ο αναντίρρητα υψηλός βαθμός δυσκολίας της πρακτικής εναρμόνισης των αρχών της αναλογικότητας, προσφορότητας και καταλληλότητας του επιδιωκόμενου σκοπού( παροχή εκπαίδευσης σε όλες τις βαθμίδες αυτής κατά τη διάρκεια έκτακτων και απρόβλεπτων συνθηκών, όπως αυτή της πανδημίας του κορωνοϊού) και του υϊοθετούμενου μέτρου( σύγχρονη εξ αποστάσεως εκπαίδευση με χρήση εκπαιδευτικής πλατφόρμας και τεχνολογιών διαδικτύου) , ο υπεύθυνος επεξεργασίας των προσωπικών δεδομένων καλείται να επιτελέσει ένα ιδιαίτερα σημαντικό έργο που συνίσταται στην ευθύνη και την απόδειξη συμμόρφωσης με τον κανονισμό υϊοθετώντας ένα βάρος απόδειξης όχι μόνο ως προς τη συγκατάθεση του υποκειμένου στην επεξεργασία των δεδομένων του αλλά , τελικώς, στην ίδια τη νομιμότητα της επεξεργασίας των προσωπικών δεδομένων αναδεικνύοντάς τον σε κατ’ εξοχήν ουσιώδη παράγοντα της προστασίας των( Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων GDPR- Νομική διάσταση και πρακτική εφαρμογή, Κοτσαλής Λ., Μενουδάκος Κ., Νομική Βιβλιοθήκη, 2018. Σελ. 170 επ.) .

Σύμφωνα με την εν λόγω αρχή, ο υπεύθυνος επεξεργασίας οφείλει να σχεδιάζει και να εφαρμόζει τις κατάλληλες πρακτικές που συμβαδίζουν με τον Κανονισμό , περαιτέρω, δε, να αποδεικνύει την καταλληλότητα και νομιμότητα αυτών στην ΑΠΔΠΧ καθώς και στις δικαστικές αρχές . Πρακτικά, οφείλει να διαθέτει πρόγραμμα διαχείρισης ιδιωτικότητας με τις επιμέρους αρχές διασφάλισης της προστασίας των προσωπικών δεδομένων, να επαγρυπνά για την τήρηση μηχανισμών ελέγχου, να οργανώνει ορθά την πολιτική προστασίας δρομολογώντας τις σχετικές διαδικασίες αναφοράς σε αιτήματα των εμπλεκόμενων προσώπων και κοινοποιώντας τυχόν παραβάσεις των δεδομένων αυτών. Ως έννοια η λογοδοσία φέρει γενικό και αόριστο χαρακτήρα, εν τούτοις οι διατάξεις του Ν. 2472/1997 περί προστασίας του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα εκμαιεύουν  στην ουσία τις βασικές κατευθύνσεις της αρχής της λογοδοσίας : διαβούλευση και συνεργασία με ΑΠΔΠΧ, εκτίμηση των συνεπειών της επεξεργασίας δεδομένων , εφαρμογή μέτρων ασφαλείας και δεοντολογικού κώδικα, τήρηση αρχών επεξεργασίας και αναφορά παραβάσεων .

Βέβαια , λόγω της ιδιαιτερότητας της εκάστοτε περίπτωσης, τα ανωτέρω δε συνιστούν απόλυτο μεθοδολογικό εργαλείο, απλώς αποτυπώνουν σε γενικό πλαίσιο τους βασικούς άξονες επί των οποίων θα κινηθεί ο υπεύθυνος επεξεργασίας κατά την τέλεση των καθηκόντων του. Περαιτέρω μέτρα προστασίας (Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων GDPR- Νομική διάσταση και πρακτική εφαρμογή, Κοτσαλής Λ., Μενουδάκος Κ., Νομική Βιβλιοθήκη, 2018. Σελ. 175-176) αποτελούν η πρόβλεψη των ενεργειών και διαδικασιών επεξεργασίας, η θέσπιση εσωτερικών πολιτικών προστασίας δεδομένων κατά τρόπο γραπτό και δεσμευτικό , η υϊοθέτηση εργαλείων εφαρμογής των ως άνω πολιτικών , η δημιουργία ενδεδειγμένων διαδικασιών που αφορούν στην έγκαιρη ενημέρωση, πρόσβαση, διόρθωση, διαγραφή και περιορισμό της επεξεργασίας, και η αποτύπωση τυχόν παραβάσεων μέσω μηχανισμού ελέγχου των καταγγελιών .

Η στάθμιση των εκάστοτε αγαθών και δεδομένων σε συνδυασμό με την επεξεργασία δεδομένων πολλών προσώπων ή ειδικών κατηγοριών δεδομένων( επεξεργασία μεγάλης κλίμακας)  καθώς και η εκτίμηση των κινδύνων της επεξεργασίας για τα ατομικά δικαιώματα και τις ελευθερίες αποτελούν περιπτώσεις στις οποίες η εκτίμηση του αντικτύπου της επεξεργασίας είναι εμφανής, και, ως εκ τούτου η μελέτη για την εκτίμηση των επιπτώσεων στην προστασία των προσωπικών δεδομένων καθίσταται υποχρεωτική στα πλαίσια του νέου κανονισμού 679/2016.

Η σπουδαιότητα μιας τέτοιας μελέτης είναι αναμφίβολα μεγάλη, ωστόσο η αποτύπωσή της απαιτεί γνώσεις τεχνικού χαρακτήρα και αμιγώς νομικές , εξ ου και προκρίνεται συνεργασία φορέων και η  διαβούλευση με την εποπτική αρχή ώστε να υφίσταται το κατάλληλο πλέγμα εγγυήσεων ως προς την ορθή επεξεργασία των προσωπικών δεδομένων εφαρμόζοντας τα απαραίτητα τεχνικά και οργανωτικά μέτρα για το σκοπό της επεξεργασίας και προβλέποντας τη συλλογή και τήρηση αυτών για σκοπό κατάλληλο και όχι πέραν του αναγκαίου μέτρου προς τους σκοπούς της επεξεργασίας. Για το λόγο αυτό το υποκείμενο δίνει τη  σχετική συγκατάθεσή  του στην επεξεργασία των προσωπικών του δεδομένων , ενώ του επιτρέπεται  να ρυθμίζει, ενίοτε και το ίδιο τον τρόπο και τον αριθμό προσώπων που δύνανται να έχουν πρόσβαση στις προσωπικές του πληροφορίες μέσω ειδικών εφαρμογών  και συστημάτων που τίθενται στη διάθεσή τους κατά τρόπο κατανοητό και σαφή και με απώτατο σκοπό τη διαφύλαξη και περιφρούρηση της ιδιωτικότητάς τους.

Επομένως η ύπαρξη ασφαλών συστημάτων λογισμικού και τεχνικού σχεδιασμού  αποτελεί επιβοηθητικό παράγοντα και οδηγό για τον υπεύθυνο επεξεργασίας στην επιτέλεση των καθηκόντων του ήδη κατά το στάδιο επιλογής του συστήματος μέσω δημοσίου διαγωνισμού κατά τρόπο που να συμβαδίζει και να συνυφαίνεται με τις αρχές του Κανονισμού και τις εσωτερικές πολιτικές του υπευθύνου επεξεργασίας.

Σε κάθε περίπτωση- και στην υπό σχολιασμό απόφαση της ΑΠΔΠΧ- διαβλέπουμε εμφανώς ότι  το εγχείρημα είναι αρκετά δυσχερές,  αφού οι ερμηνευτικές προσεγγίσεις και οι πρακτικές εφαρμογές απαιτούν εξειδικευμένες γνώσεις σε ένα διαρκώς μεταβαλλόμενο περιβάλλον , αυτό του διαδικτύου, με τους εκάστοτε κινδύνους που ελοχεύουν σε αυτό. Η συνεργασία όλων των φορέων , ήτοι της ΑΠΔΠΧ, των υπευθύνων επεξεργασίας, των εταιριών παραγωγής λογισμικού, των επιστημονικών φορέων ( νομικών, ακαδημαϊκών) αλλά και των επιχειρήσεων που δραστηριοποιούνται σε τομείς τεχνολογίας και έρευνας συμβάλλουν αποφασιστικά στην άρση των δυσχερειών και τη δημιουργία μιας ασφαλούς επεξεργασίας προσωπικών δεδομένων με την μέγιστη ωφέλεια των πλεονεκτημάτων της χρήσης σύγχρονων τεχνολογικών οπτικοακουστικών μέσων.