Καταγγέλουν το υπ. Παιδείας για παραβίαση προσωπικών δεδομένων

Το Διοικητικό Συμβούλιο της ΟΛΜΕ κατέθεσε στις 7 Μαρτίου 2014 προσφυγή στην Αρχή Προστασίας Προσωπικών Δεδομένων για τη λειτουργία του ηλεκτρονικού συστήματος MySchool του υπουργείου Παιδείας.

Ολόκληρο το κείμενο της προσφυγής είναι το παρακάτω:

TI EINAI TO MYSCHOOL:

Πρόκειται για μια νέα ηλεκτρονική πύλη του Υπουργείου Παιδείας με στόχο τη καθολική λειτουργική ενοποίηση των υφιστάμενων πληροφοριακών συστημάτων υποστήριξης της καθημερινής λειτουργίας των σχολικών μονάδων. 

Σύμφωνα με την εγκύκλιο 42456/Δ1/28.3.2013 του Υπουργείου Παιδείας το “My School” ενοποιεί τα προηγούμενα πληροφοριακά συστήματα e-School, e-Data Center, Survey, ΟΠΣΥΔ, κλπ, που έως σήμερα χρησιμοποιούνταν παράλληλα ή διαδοχικά. Το σημαντικότερο, όμως, είναι ότι το “My School” περιλαμβάνει και καταγράφει πλέον, κάθε τι που  αφορά στα διοικητικά των σχολείων της Α/μιας και Β/μιας εκπαίδευσης. 

Το “My School”  εγκαταστάθηκε στους server  του Υπουργείο Παιδείας πριν τις 28.3.2013 ημέρα που στάλθηκε η εγκύκλιος για τη γνωστοποίηση της λειτουργίας του και την έναρξη της πιλοτικής εφαρμογής του από τις κατά τόπους Διευθύνσεις Α/μιας & Β/μιας Εκπαίδευσης, τα Νηπιαγωγεία, τα Δημοτικά και τα Γυμνάσια, προκειμένου να εντοπιστούν και επιλυθούν τα προβλήματα της νηπιακής ηλικίας του.

Στις 13.11.2013 το “My School” ανακοινώνει στη διαδικτυακή του πύλη τα εξής:

"Θα θέλαμε να σας ενημερώσουμε ότι το πληροφοριακό σύστημα My School θα είναι διαθέσιμο από το πρωί της 14/11/2013 με βάση την εγκύκλιο 171490/Δ2/12.11.2013 του ΥΠΑΙΘ   για την έναρξη της παραγωγικής λειτουργίας στα Νηπιαγωγεία, Δημοτικά και Γυμνάσια και την έναρξη της πιλοτικής λειτουργίας για Λύκεια, ΔΠΕ, ΔΔΕ και ΠΔΕ. Η αποστολή των λογαριασμών σε όσες μονάδες ή δομές δεν έχουν λάβει κατά το παρελθόν θα πραγματοποιηθεί εντός της 13/11/2013».

Τα Νηπιαγωγεία, τα Δημοτικά και τα Γυμνάσια, καθώς και οι Δ/νσεις Α/θμιας Εκπ/σης  θα ενημερώνουν το “My School”  σε καθημερινή βάση από 14.11.2013 με το σύστημα να βρίσκεται γι' αυτά σε παραγωγική λειτουργία, δηλαδή όλα τα στοιχεία που θα καταχωρούνται πλέον θα είναι χρησιμοποιήσιμα, από τις υπηρεσίες του ΥΠΑΙΘ.

Τα Γενικά & Επαγγελματικά Λύκεια και Σχολές (ΓΕΛ,ΕΠΑΛ & Β΄τάξη ΕΠΑΣ), όπως και οι Δ/νσεις Β/θμιας Εκπαίδευσης (ΔΕ) και οι Περιφερειακές (ΠΔΕ) θα μπουν έως τις 20.12.2014 στην φάση πιλοτικής λειτουργίας του “My School”  και από 8.1.2014 στην παραγωγική λειτουργία του.

Σύμφωνα με την εγκύκλιο  171490/Δ2/12.11.2013 του ΥΠΑΙΘ, όσα στοιχεία καταχωρηθούν στο “My School”  κατά την φάση της πιλοτικής λειτουργίας θα διαγραφούν και  η συμπλήρωση των ζητούμενων από αυτό στοιχείων θα ξεκινήσει από μηδενική βάση.

ΠΟΙΑ ΕΙΝΑΙ ΤΑ ΚΑΤΑΧΩΡΟΥΜΕΝΑ ΣΤΟΙΧΕΙΑ:

α) Μαθητές

1. Όνομα και Επώνυμο, 2. Όνομα και Επώνυμο Πατέρα, 3. Όνομα Μητέρας, 4. Όνομα και Επώνυμο Κηδεμόνα, 5. Γένος Μητέρας, 6. Φύλλο, 7. Ημερομηνία Γέννησης, 8. ΑΜΚΑ, 9. Τίτλος Εισόδου, 10. Τάξη, 11. Κωδικός ΥΠΑΙΘ Σχ. Μονάδας προέλευσης, 12. Αριθμός Βιβλίου Μητρώου, 13. ΑΜ, 14. Διεύθυνση, 15. Ταχ. Κώδικας, 16. Περιοχή, 17. Δημοτική Ενότητα, 18. Τηλέφωνο, 19. Τηλέφωνο Κηδεμόνα, 20. Κατάσταση Φοίτησης Μαθητή (φοιτά, έχει μεταγραφεί, έχει διακόψει), 21. Τομέας Σπουδών (Λύκεια & Β΄ΕΠΑΣ), 22. Τμήμα, 23.Ειδικός κανόνας υπολογισμού αποτελεσμάτων (Δημοτικό, Γυμνάσιο, Γενικό Λύκειο & ΕΠΑΛ),  24. Κανόνας υπολογισμού αποτελεσμάτων (Γυμνάσιο, Γενικό Λύκειο, ΕΠΑΛ & ΕΠΑΣ), 25. Στοιχεία Πανελληνίων Εξετάσεων (ΓΕΛ & ΕΠΑΛ – Δήλωση Συμμετοχής, Κωδικός υποψηφίου, Κατάσταση Αίτησης Πανελλαδικών), 26. Παρακολουθεί μόνο μαθήματα ειδικότητας (ΕΠΑΛ), 27. Τομέας/Ειδικότητα (ΕΠΑΛ & ΕΠΑΣ), 28. Προσωπικά στοιχεία μαθητή (Τόπος γέννησης,Υπηκοότητα,Θρήσκευμα,Στοιχεία Δηματολογίου, κλπ.), 29. Οικογενειακά στοιχεία μαθητή ( Επώνυμο & Επάγγελμα Πατέρα, Μόρφωση και Υπηκοότητα Πατέρα, Επώνυμο & Επάγγελμα Μητέρας, Μόρφωση και Υπηκοότητα Μητέρας, Γλώσσα Μητέρας, κλπ.) 30. Στοιχεία Κηδεμόνα (Όνομα, Επάγγελμα, Υπηκοότητα, Μόρφωση, Γλώσσα), 31. Στοιχεία Επικοινωνίας Μαθητή (Διεύθυνση, τηλέφωνο, κινητό), 32. Στοιχεία Επικοινωνίας Κηδεμόνα, 33. Στοιχεία Εγγραφής Μαθητή (Τίτλος,Πρωτόκολλο Τίτλου Εγγραφής, Εκδούσα Αρχή,Ημερομηνία εγγραφής,Σχολείο, Αρ. Μητρώου, Αρ. Βιβλίου Μητρώου, Σχολικό Έτος), 34. Μεταγραφή (Τίτλος & Σχολείο Μεταγραφής, Ημερομηνία και πρωτόκολλο μεταγραφής), 35. Διακοπή Φοίτησης (Ημερομηνία και αιτία διακοπής φοίτησης) 36. Μαθήματα (μαθήματα που παρακολουθεί ο μαθητής και επιπλέον): α. Δημοτικό – Τμήμα που παρακολουθεί ο μαθητής,Τύπος Μαθήματος, Απαλλαγή & Αριθμός Πράξης απαλλαγής από το μάθημα (αν έχει απαλλαγή)-, β. Γυμνάσια,ΓΕΛ, ΕΠΑΛ & ΕΠΑΣ  -Τμήμα στο οποίο ανήκει ο μαθητής,Τύπος μαθήματος, Μάθημα, (Απαλλαγή μαθητή από μάθημα, Βαθμός βάσης μαθήματος, Υπολογισμός μαθήματος στο Μ.Ο. Χαρακτηρισμού φοίτησης, Υπολογισμός μαθήματος στο Μ.Ο. Χαρακτηρισμού Προαγωγής/Απόλυσης και αριθμός πράξης απαλλαγής από το μάθημα)-, 37. Βαθμοί (Μαθήματα, Βαθμολογία μαθητή ανά βαθμολογική περίοδο), 38. Απουσίες μαθητή, 38. Ηθικές Αμοιβές μαθητή (Αριστεία, Βραβεία), 39. Ποινές μαθητή (Αποβολή, Ωριαία αποβολή, Μείωση Διαγωγής, Παρατήρηση, Επίπληξη, Αλλαγή Σχολικού Περιβάλλοντος και για κάθε ποινή: Αιτία, Φορέας Επιβολής & Πρακτικό), 40. Μαθητικό Δυναμικό (Τάξεις,Τμήματα,Αριθμός Εγγεγραμμένων Μαθητών -αγόρια/κορίτσια-, Αριθμός Ενεργών Μαθητών -αγόρια/κορίτσια-), 41. Κατηγορίες Μαθητών (Αλλοδαποί,Παλιννοστούντες, Χώρα προέλευσης, Αριθμός -αγόρια/κορίτσια-), 42. Κατάλογος Μαθητών

β) Εκπαιδευτικοί

1. Όνομα, 2. Επώνυμο, 3. Ειδικότητα, 4. Αριθμός Μητρώου, 5. Α.Φ.Μ., 6. Σχέση Εργασίας (Μόνιμος, Δόκιμος, Με Σύμβαση, Αναπληρωτής), 7. Έτος Υπηρέτησης, 8. Απουσία από το σχολείο (Απόσπαση,Μακροχρόνια άδεια, κλπ), 9. Υπηρεσιακά στοιχεία (Ιδιότητα, Βαθμίδα Εκπαίδευσης, κλπ), 10. Θέση Φακέλου, 11. Οργανική Θέση, 12. Στοιχεία Επικοινωνίας (Διεύθυνση, τηλέφωνο, Ηλεκτρονική Διεύθυνση), 13. Σχέση Εργασίας, 14. Τύπος Υπηρέτησης, 15. Κλάδος – Ειδικότητα, 15. Περιοχή Διορισμού, 16. Περιοχή Μετάθεσης Οργανικής θέσης, 17. Φορέας Οργανικής Θέσης, 18. Στοιχεία Πράξης Ανάληψης Υπηρεσίας (Ημερομηνία και Αριθμός Πράξης), 19. Στοιχεία Πράξης Αποχώρησης (Ημερομηνία και Αριθμός Πράξης),  20. Ωράριο Εργασίας (Κατηγορία, Ώρες/Εβδομάδα, Ισχύς από ... έως...), 21. Ωράριο Εργασίας σε Θέση Ευθύνης (Κατηγορία, Ώρες/Εβδομάδα, Ισχύς από ... έως...), 22. Απουσίες εργαζόμενου (Τύπος απουσίας, Ισχύς από... έως...), 23. Υπηρέτηση σε άλλες Μονάδες (Φορέας, Τύπος υπηρέτησης, Ημερομηνία ανάληψης και αποχώρησης, Α, Ανάθεση, Β΄ ανάθεση, Πρόσθετα τμήματα, Άλλη), 24. Άδειες Απουσίες (Στοιχεία Εργαζόμενου, Τύπος Άδειας, Ημερομηνία έναρξης, Κατάσταση -προς έγκριση, Εγκρίθηκε, Απορρίφθηκε-), 25. Απεργίες / Στάσεις Εργασίας (Στοιχεία Εργαζόμενου, Ημερομηνία Απεργίας ή Στάσης Εργασίας, Τύπος Απεργίας ή στάσης Εργασίας), 26. Αναθέσεις Μαθημάτων (Μάθημα, Τμήμα, Εκπαιδευτικός, Ώρες Διδασκαλίας),  27. Κενές ώρες μαθημάτων, 28. Ωρολόγιο Πρόγραμμα (Περιγραφή, Ισχύς από... έως..., Επίσημο Πρόγραμμα).

γ) Εκπαιδευτικοί – Υπηρεσιακά Στοιχεία  (Τηρείται από τις Οικείες Διευθύνσεις Εκπαίδευσης)

1. Ονοματεπώνυμο, 2. Όνομα Πατέρα, 3. Όνομα Μητέρας, 4. Αριθμός Μητρώου, 5. Α.Φ.Μ., 6. ΑΜΚΑ, 7. Φύλο, 8. Ημερομηνία Γέννησης, 9. Ιδιότητα εργαζόμενου, 10. Σχέση Εργασίας, 11. Βαθμίδα Εκπαίδευσης, 12. Κατάσταση Εργαζόμενου, 13. Ειδικότητα, 14. Θέση Προσωπικού Φακέλου (ηλεκτρονική), 15. Οργανική Θέση, 16. Εποπτεύων Φορέας, 17. Βαθμός & Μ.Κ., 18. Προηγούμενη Τιμή Μ.Κ., 19. ΦΕΚ διορισμού (Αριθμός, Ημερομηνία & Σειρά Δημοσίευσης), 20. Ημερομηνία Πρώτης Ανάληψης Υπηρεσίας, 21. Αναγνωρισμένη Προϋπηρεσία (Έτη, Μήνες, Ημέρες ανά τύπο Προϋπηρεσίας), 22. Τύπος Προϋπηρεσίας (Δημόσια Εκπαιδευτική, Ιδιωτική Εκπαιδευτική, Δημόσια Μη εκπαιδευτική, Ιδιωτική μη εκπαιδευτική, Διδακτική, Υπηρεσία μέχρι 31/8 προηγούμενου έτους), 23. Προσωπικά Στοιχεία (Δηματολόγιο, Στοιχεία Ταυτότητας, κλπ.), 24. Ειδική κατηγορία Ατόμου (Μακροχρόνια ασθένεια, κλπ), 25. Στρατιωτικές Υποχρεώσεις (Εκπληρωμένες ή όχι), 26. Οικογενειακή Κατάσταση (Στοιχεία Συζύγου, Στοιχεία Τέκνων, Καστάσταση υγείας Τέκνων), 27. Στοιχεία Επικοινωνίας Εκπαιδευτικού (Διεύθυνση, τηλέφωνο, ηλεκτρονική διεύθυνση, κλπ), 28. Υπηρεσιακές μεταβολές εκπαιδευτικού (Διορισμός, Παλιότερος Διορισμός, Εφεδρεία, κλπ), 29. Στοιχεία πιστοποίησης και αναγνώρισης προϋπηρεσίας, 30. Άδειες (Τύπος άδειας, Έναρξη..., Κατάσταση, Ημέρες, Μήνες, Χρόνια), 31. Γλώσσες (Ξένη Γλώσσα, Επαρκής Γνώση, Επίπεδο γνώσης), 32. Προσόντα (Κλάδος/Ειδικότητα,Τύπος Προσόντος,Προσόν,Ημερομηνία απόκτησης,Τίτλος, Βαθμός Τίτλου), 33. Τίτλοι Σπουδών (Τύπος Τίτλου, Τίτλος, Φορέας Χορήγηση, Ημερομηνία Απόκτησης, Διάρκεια Σπουδών, Μονάδα Διάρκειας Σπουδών, Βαθμός Τίτλου, Τύπος Ισοτιμίας, Ημ/νια Πράξης Αναγνώρισης, Πράξη Αναγνώρισης, Φορέας/Όργανο Αναγνώρισης, Ημ/νία Επανεκπαίδευσης, Είναι Εξωτερικού, Χρησιμοποιήθηκε στον Διορισμό, Χρησιμοποιήθηκε στην Απόδοση Ειδικότητας).

Διαφορές με τα προηγούμενα πληροφοριακά συστήματα του ΥΠΑΙΘ και ειδικότερα, το Survey.

To “My School” είναι το πρώτο πλήρως ολοκληρωμένο σύστημα πληροφορικής, καταγραφής όλων των δεδομένων της Α/μιας και Β/μιας Εκπαίδευσης. Σε αντίθεση με survey, που στην πράξη ήταν ένα “χαλαρό” σύστημα χαμηλής αξιοπιστίας ως προς την ορθότητα των στοιχείων που κατέγραφε, το “My School”   είναι σχεδιασμένο κατά τρόπο που τα στοιχεία τα οποία θα καταχωρούνται σ' αυτό να μην επιδέχονται καμία αμφισβήτηση. Για όποιον μελέτησε έστω και επί τροχάδην τα επιμέρους στοιχεία του, όπως και τα προβλεπόμενα “κλειδιά” αναζήτησης που ενσωματώνει, γίνεται άμεσα αντιληπτό ότι σχεδιάστηκε σαν εργαλείο που θα δίνει ανά πάσα χρονική στιγμή  πλήρη εικόνα της  Α/θμιας και Β/θμιας Εκπαίδευσης τόσο ποσοτικά, όσο και ποιοτικά σε ότι αφορά το ανθρώπινο δυναμικό της (Μαθητές και Εκπαιδευτικοί) και όχι μόνο.

Σε κάθε περίπτωση, οι διευθυντές των σχολικών μονάδων που έχουν και την ευθύνη της καταχώρησης των στοιχείων θα επιμελούνται πλέον με ακρίβεια όλα τα στοιχεία που αφορούν την σχολική τους μονάδα, αφού οτιδήποτε άλλο θα αποτελεί «Παράβαση Καθήκοντος».

      Επίσης, σε αντίθεση με το  survey που λόγω της γενικότητας και κυρίως της ποσοτικής μορφής των στοιχείων του, ο έλεγχος ήταν σχετικά δύσκολος, το “My School” οριοθετεί την δυνατότητα ελέγχου σε πραγματικό χρόνο και χωρίς καν να απαιτείται η επίσκεψη των “ελεγκτών” στις σχολικές μονάδες.

      Ο Σύλλογος Εκπαιδευτικών Π.Ε. Κεντρικής και Νότιας Χαλκιδικής μετά από ομόφωνη απόφαση του Δ.Σ. του (18/11/2013) κατέθεσε στις 26/11/2013 έγγραφη καταγγελία στην Αρχή Προστασίας Προσωπικών Δεδομένων σχετικά με την ψηφιακή εφαρμογή MySchool. Συγκεκριμένα, η καταγγελία κατέληγε με το αίτημα για έλεγχο α) νομιμότητας της ψηφιακής εφαρμογής του συστήματος Μyschool ως προς την προστασία προσωπικών δεδομένων μαθητών, γονέων και κηδεμόνων, β) νομιμότητας και δικαιοδοσίας διευθυντών και προϊσταμένων σχολικών μονάδων να συγκεντρώσουν τα στοιχεία που απαιτούνται από την ψηφιακή εφαρμογή για τους μαθητές και γ) τυχόν παραβίασης προσωπικών δεδομένων και απόσυρσης της ψηφιακής πλατφόρμας/εφαρμογής.

Στις 9 Ιανουαρίου 2014, ο Σύλλογος παρέλαβε το, από 19/12/2013, έγγραφο της Αρχής Προστασίας Προσωπικών Δεδομένων, σύμφωνα με το οποίο απευθύνεται στο Υπουργείο Παιδείας και Θρησκευμάτων ως εξής:

"Στο πλαίσιο εξέτασης της ως άνω υπόθεσης, προκειμένου η Αρχή να είναι σε θέση να ασκήσει τις προβλεπόμενες στο ν.2472/1997 αρμοδιότητές της, σας κοινοποιούμε αντίγραφο της ως άνω καταγγελίας και σας καλούμε, εντός δεκαπέντε (15) ημερών από τη λήψη του παρόντος εγγράφου, να μας γνωρίσετε τις απόψεις σας επ’ αυτής καθώς και να απαντήσετε σαφώς σε καθένα από τα ζητήματα που τίθενται στην καταγγελία αυτή.  

Επιπλέον, παρακαλούμε για τα εξής:

1) Να μας γνωρίσετε τις νομοθετικές διατάξεις βάσει των οποίων προκύπτει αρμοδιότητα του Υπουργείου Παιδείας και Θρησκευμάτων να συλλέγει και επεξεργάζεται τα δεδομένα των μαθητών και των γονέων-κηδεμόνων τους στο πλαίσιο του ως άνω πληροφοριακού συστήματος.

2) Να γνωστοποιήσετε στην Αρχή την επεξεργασία προσωπικών δεδομένων που πραγματοποιείται μέσω του ως άνω πληροφοριακού συστήματος.

3) Να προσδιορίσετε επακριβώς το σκοπό της επεξεργασίας καθώς και το είδος των προσωπικών δεδομένων που συλλέγονται.

4) Να τεκμηριώστε σαφώς και ειδικώς εάν η συλλογή καθενός εκ των συγκεκριμένων στοιχείων που προσδιορίζονται στην ως άνω καταγγελία (στοιχεία α) έως η) της καταγγελίας) είναι απολύτως απαραίτητη για α) την επίτευξη του επιδιωκόμενου σκοπού της επεξεργασίας και β) για την σχολική φοίτηση.

5) Να περιγράψετε τη λειτουργία του ως άνω πληροφοριακού συστήματος και την γενική αρχιτεκτονική της τεχνολογικής και δικτυακής υποδομής που υποστηρίζει την επεξεργασία’’

Κατόπιν τούτων, επειδή σύμφωνα με το άρθρο 2 του Ν. 2472/1997 ορίζεται ότι:

"α) “Δεδομένα προσωπικού χαρακτήρα”, είναι κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων,

β) “Ευαίσθητα δεδομένα”, είναι τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων.»

Επειδή στο ίδιο ως άνω άρθρο ορίζεται ότι «γ) “Υποκείμενο των δεδομένων”, το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα, και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός η περισσότερων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική.

δ) “Επεξεργασία δεδομένων προσωπικού χαρακτήρα” (“επεξεργασία”), κάθε εργασία ή σειρά εργασιών που πραγματοποιείται, από το Δημόσιο ή από νομικό πρόσωπο δημοσίου δικαίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση ή αποθήκευση, η τροποποίηση, η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλης μορφής διάθεση, η συσχέτιση ή ο συνδυασμός, η διασύνδεση, η δέσμευση (κλείδωμα), η διαγραφή, η καταστροφή.

ζ) “Υπεύθυνος επεξεργασίας”, οποιοσδήποτε καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός. Όταν ο σκοπός και ο τρόπος της επεξεργασίας καθορίζονται με διατάξεις νόμου ή κανονιστικές διατάξεις εθνικού ή κοινοτικού δικαίου, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια βάσει των οποίων γίνεται η επιλογή του καθορίζονται αντίστοιχα από το εθνικό ή το κοινοτικό δίκαιο.

η) “Εκτελών την επεξεργασία”, οποιοσδήποτε επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό υπεύθυνου επεξεργασίας, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός.

θ) “Τρίτος”, κάθε φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία, ή οποιοσδήποτε άλλος οργανισμός, εκτός από το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας και τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, εφόσον ενεργούν υπό την άμεση εποπτεία ή για λογαριασμό του υπεύθυνου επεξεργασίας.

ι) “Αποδέκτης”, το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή υπηρεσία, ή οποιοσδήποτε άλλος οργανισμός, στον οποίο ανακοινώνονται ή μεταδίδονται τα δεδομένα, ανεξαρτήτως αν πρόκειται για τρίτο ή όχι.

ια) “Συγκατάθεση” του υποκειμένου των δεδομένων, κάθε ελεύθερη, ρητή και ειδική δήλωση βουλήσεως, που εκφράζεται με τρόπο σαφή, και εν πλήρη επιγνώσει, και με την οποία, το υποκείμενο των δεδομένων, αφού προηγουμένως ενημερωθεί, δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Η ενημέρωση αυτή περιλαμβάνει πληροφόρηση τουλάχιστον για τον σκοπό της επεξεργασίας, τα δεδομένα ή τις κατηγορίες δεδομένων που αφορά η επεξεργασία, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, καθώς και το όνομα, την επωνυμία και τη διεύθυνση του υπεύθυνου επεξεργασίας και του τυχόν εκπροσώπου του. Η συγκατάθεση μπορεί να ανακληθεί οποτεδήποτε, χωρίς αναδρομικό αποτέλεσμα.»

Επειδή στο άρθρο 3 παρ. 3 ορίζεται ότιQ

"3. Ο παρών νόμος εφαρμόζεται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον αυτή εκτελείται:

α) Από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, εγκατεστημένο στην Ελληνική Επικράτεια ή σε τόπο όπου βάσει του δημοσίου διεθνούς δικαίου εφαρμόζεται το ελληνικό δίκαιο.

Επειδή στο άρθρο 4 ορίζεται ότι «1. Τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει:

α) Να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών.

β) Να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας.

γ) Να είναι ακριβή και, εφόσον χρειάζεται, να υποβάλλονται σε ενημέρωση

δ) Να διατηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται, κατά την κρίση της Αρχής, για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους. Μετά την παρέλευση της περιόδου αυτής, η Αρχή μπορεί, με αιτιολογημένη απόφασή της, να επιτρέπει τη διατήρηση δεδομένων προσωπικού χαρακτήρα για ιστορικούς επιστημονικούς ή στατιστικούς σκοπούς, εφ’ όσον κρίνει ότι δεν θίγονται σε κάθε συγκεκριμένη περίπτωση τα δικαιώματα των υποκειμένων τους ή και τρίτων.

Η τήρηση των διατάξεων της προηγούμενης παραγράφου βαρύνει τον υπεύθυνο επεξεργασίας. Δεδομένα προσωπικού χαρακτήρα που έχουν συλλεχθεί ή υφίστανται επεξεργασία κατά παράβαση της προηγούμενης παραγράφου καταστρέφονται με ευθύνη του υπεύθυνου επεξεργασίας. Η Αρχή, εάν εξακριβώσει αυτεπαγγέλτως ή μετά από σχετική καταγγελία παράβαση των διατάξεων της προηγούμενης παραγράφου, επιβάλλει την διακοπή της συλλογής ή της επεξεργασίας και την καταστροφή των δεδομένων προσωπικού χαρακτήρα που έχουν ήδη συλλεγεί ή τύχει επεξεργασίας.

Επειδή στο άρθρο 6 ορίζεται ότι:

1. Ο υπεύθυνος επεξεργασίας υποχρεούται να γνωστοποιήσει εγγράφως στην Αρχή, τη σύσταση και λειτουργία αρχείου ή την έναρξη της επεξεργασίας.

Με τη γνωστοποίηση της προηγούμενης παραγράφου ο υπεύθυνος επεξεργασίας πρέπει απαραιτήτως να δηλώνει:

α) Το ονοματεπώνυμο ή την επωνυμία ή τον τίτλο του, και τη διεύθυνσή του.

β) Τη διεύθυνση όπου είναι εγκατεστημένο το αρχείο ή ο κύριος εξοπλισμός που υποστηρίζει την επεξεργασία.

γ) Την περιγραφή του σκοπού της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιέχονται ή πρόκειται να περιληφθούν στο αρχείο.

δ) Το είδος των δεδομένων προσωπικού χαρακτήρα που υφίστανται ή πρόκειται να υποστούν επεξεργασία ή περιέχονται ή πρόκειται να περιληφθούν στο αρχείο.

ε) Το χρονικό διάστημα για το οποίο προτίθεται να εκτελεί την επεξεργασία ή να διατηρήσει το αρχείο.

στ) Τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους ανακοινώνει ή ενδέχεται να ανακοινώνει τα δεδομένα προσωπικού χαρακτήρα.

ζ) Τις ενδεχόμενες διαβιβάσεις και το σκοπό της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες.

η) Τα βασικά χαρακτηριστικά του συστήματος και των μέτρων ασφαλείας του αρχείου ή της επεξεργασίας.

3. Τα στοιχεία της προηγούμενης παραγράφου καταχωρίζονται στο Μητρώο Αρχείων και Επεξεργασιών που τηρεί η Αρχή.

4. Κάθε μεταβολή των στοιχείων που αναφέρονται στην παράγραφο 2 πρέπει να γνωστοποιείται εγγράφως και χωρίς καθυστέρηση από τον υπεύθυνο στην Αρχή.

Επειδή στο άρθρο 7 παρ. 3 και 4,5,6,7, ορίζεται ότι «Η Αρχή χορηγεί άδεια συλλογής και επεξεργασίας ευαίσθητων δεδομένων, καθώς και άδεια ιδρύσεως και λειτουργίας σχετικού αρχείου, ύστερα από αίτηση του υπεύθυνου επεξεργασίας. Εφ’ όσον η Αρχή διαπιστώσει ότι πραγματοποιείται επεξεργασία ευαίσθητων δεδομένων, η γνωστοποίηση αρχείου, σύμφωνα με το άρθρο 6 του παρόντος νόμου, επέχει θέση αιτήσεως για τη χορήγηση άδειας".

5. Η άδεια εκδίδεται για ορισμένο χρόνο, ανάλογα με τον σκοπό της επεξεργασίας. Μπορεί να ανανεωθεί ύστερα από αίτηση του υπεύθυνου επεξεργασίας.

6. Η άδεια περιέχει απαραιτήτως:

α) Το ονοματεπώνυμο ή την επωνυμία ή τον τίτλο καθώς και τη διεύθυνση του υπεύθυνου επεξεργασίας και του τυχόν εκπροσώπου του.

β) Τη διεύθυνση όπου είναι εγκατεστημένο το αρχείο.

γ) Το είδος των δεδομένων προσωπικού χαρακτήρα που επιτρέπεται να περιληφθούν στο αρχείο.

δ) Το χρονικό διάστημα για το οποίο χορηγείται η άδεια.

ε) Τους τυχόν όρους και προϋποθέσεις που έχει επιβάλει η Αρχή για την ίδρυση και λειτουργία του αρχείου.

στ) Την υποχρέωση γνωστοποίησής του ή των αποδεκτών ευθύς ως εξατομικευτούν.

7. Αντίγραφο της άδειας καταχωρίζεται στο Μητρώο Αδειών που διατηρεί η Αρχή.

8. Κάθε μεταβολή των στοιχείων που αναφέρονται στην παράγραφο 5 γνωστοποιείται χωρίς καθυστέρηση στην Αρχή. Κάθε άλλη μεταβολή, πλην της διεύθυνσης του υπευθύνου ή του εκπροσώπου του, συνεπάγεται την έκδοση νέας άδειας, εφόσον συντρέχουν οι νόμιμες προϋποθέσεις.

Επειδή απαλλαγή υποχρέωσης γνωστοποίησης και λήψης άδειας υφίσταται μόνο όταν η επεξεργασία πραγματοποιείται αποκλειστικά για σκοπούς που συνδέονται άμεσα με σχέση εργασίας ή έργου ή με παροχή υπηρεσιών στο δημόσιο τομέα και είναι αναγκαία για την εκπλήρωση υποχρέωσης που επιβάλλει ο νόμος ή για την εκτέλεση των υποχρεώσεων από τις παραπάνω σχέσεις και το υποκείμενο έχει προηγουμένως ενημερωθεί.

Επειδή κάθε διασύνδεση γνωστοποιείται στην Αρχή με δήλωση την οποία υποβάλλουν από κοινού οι υπεύθυνοι επεξεργασίας ή ο υπεύθυνος επεξεργασίας που διασυνδέει δύο ή περισσότερα αρχεία που εξυπηρετούν διαφορετικούς σκοπούς.

Επειδή στο άρθρο 10 ορίζεται ότι:

"1.Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνον κατ’ εντολή του.

2. Για τη διεξαγωγή της επεξεργασίας ο υπεύθυνος επεξεργασίας οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου.

3. Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας. Με την επιφύλαξη άλλων διατάξεων, η Αρχή παρέχει οδηγίες ή εκδίδει κανονιστικές πράξεις σύμφωνα με το άρθρο 19 παρ. 1 ι' για τη ρύθμιση θεμάτων σχετικά με τον βαθμό ασφαλείας των δεδομένων και των υπολογιστικών και επικοινωνιακών υποδομών, τα μέτρα ασφάλειας που είναι αναγκαίο να λαμβάνονται για κάθε κατηγορία και επεξεργασία δεδομένων, καθώς και για τη χρήση τεχνολογιών ενίσχυσης της ιδιωτικότητας.»

Επειδή καθένας έχει δικαίωμα να γνωρίζει εάν δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας. Προς τούτο, ο υπεύθυνος επεξεργασίας, έχει υποχρέωση να του απαντήσει εγγράφως.

Επειδή εάν ο υπεύθυνος επεξεργασίας δεν απαντήσει εντός δεκαπέντε (15) ημερών ή εάν η απάντησή του δεν είναι ικανοποιητική, το υποκείμενο των δεδομένων έχει δικαίωμα να προσφύγει στην Αρχή. Στην περίπτωση κατά την οποία ο υπεύθυνος επεξεργασίας αρνηθεί να ικανοποιήσει το αίτημα του ενδιαφερόμενου, κοινοποιεί την απάντησή του στην Αρχή και ενημερώνει τον ενδιαφερόμενο ότι μπορεί να προσφύγει σε αυτήν.

Επειδή σύμφωνα με το άρθρο 19 του ιδίου νόμου ορίζεται ότι η Αρχή έχει την αρμοδιότητα να:

α) Απευθύνει συστάσεις και υποδείξεις στους υπεύθυνους επεξεργασίας ή τους τυχόν εκπροσώπους τους και δίδει κατά την κρίση της δημοσιότητα σε αυτές.

β) Χορηγεί τις άδειες που προβλέπουν οι διατάξεις του παρόντος νόμου και καθορίζει το ύψος των σχετικών παραβόλων.

γ) Καταγγέλλει τις παραβάσεις των διατάξεων του παρόντος νόμου στις αρμόδιες διοικητικές και δικαστικές αρχές.

δ) Επιβάλλει τις κατά το άρθρο 21 του παρόντος νόμου διοικητικές κυρώσεις.

ε) Αναθέτει σε μέλος ή μέλη της τη διενέργεια διοικητικών εξετάσεων.

στ) Ενεργεί αυτεπαγγέλτως ή κατόπιν καταγγελίας διοικητικούς ελέγχους στο πλαίσιο των οποίων ελέγχονται η τεχνολογική υποδομή και άλλα, αυτοματοποιημένα ή μη, μέσα που υποστηρίζουν την επεξεργασία των δεδομένων. Έχει προς τούτο δικαίωμα προσβάσεως στα δεδομένα προσωπικού χαρακτήρα και συλλογής κάθε πληροφορίας για τους σκοπούς του ελέγχου, χωρίς να μπορεί να της αντιταχθεί κανενός είδους απόρρητο. Κατ’ εξαίρεση, η Αρχή δεν έχει πρόσβαση στα στοιχεία ταυτότητας συνεργατών που περιέχονται σε αρχεία που τηρούνται για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων. Τον έλεγχο διενεργεί μέλος ή μέλη της Αρχής ή υπάλληλος του κλάδου των ελεγκτών της Γραμματείας, ειδικά προς τούτο εντεταλμένος από τον Πρόεδρο της Αρχής. Κατά τον έλεγχο αρχείων που τηρούνται για λόγους εθνικής ασφαλείας, παρίσταται αυτοπροσώπως ο Πρόεδρος της Αρχής.

ζ) Γνωμοδοτεί για κάθε ρύθμιση που αφορά την επεξεργασία και προστασία δεδομένων προσωπικού χαρακτήρα.

Επειδή  η Αρχή επιβάλλει στους υπεύθυνους επεξεργασίας ή στους τυχόν εκπροσώπους τους  διοικητικές κυρώσεις, για παράβαση των υποχρεώσεών τους που απορρέουν από τον παρόντα νόμο και από κάθε άλλη ρύθμιση που αφορά την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Επειδή, σύμφωνα με το άρθρο 22, "1. Όποιος παραλείπει να γνωστοποιήσει στην Αρχή, κατά το άρθρο 6 του παρόντος νόμου τη σύσταση και λειτουργία αρχείου ή οποιαδήποτε μεταβολή στους όρους και τις προϋποθέσεις χορηγήσεως της άδειας που προβλέπεται από την παρ. 3 του άρθρου 7 του παρόντος νόμου, τιμωρείται με φυλάκιση έως τριών (3) ετών και χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) δραχμών έως πέντε εκατομμυρίων (5.000.000) δραχμών.

2. Όποιος κατά παράβαση του άρθρου 7 του παρόντος νόμου διατηρεί αρχείο χωρίς άδεια ή κατά παράβαση των όρων και προϋποθέσεων της άδειας της Αρχής, τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) δραχμών έως πέντε εκατομμυρίων (5.000.000) δραχμών.

3. Όποιος κατά παράβαση του άρθρου 8 του παρόντος νόμου προβαίνει σε διασύνδεση αρχείων χωρίς να την γνωστοποιήσει στην Αρχή, τιμωρείται με φυλάκιση έως τριών (3) ετών και χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) δραχμών έως πέντε εκατομμυρίων (5.000.000) δραχμών. Όποιος προβαίνει σε διασύνδεση αρχείων χωρίς την άδεια της Αρχής, όπου αυτή απαιτείται ή κατά παράβαση των όρων της άδειας που του έχει χορηγηθεί, τιμωρείται με φυλάκιση τουλάχιστον ενός έτους και χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) δραχμών έως πέντε εκατομμυρίων (5.000.000) δραχμών".

Σύμφωνα με την παρ.5, "Υπεύθυνος επεξεργασίας που δεν συμμορφώνεται με τις αποφάσεις της Αρχής που εκδίδονται για την ικανοποίηση του δικαιώματος πρόσβασης, σύμφωνα με την παρ. 4 του άρθρου 12, για την ικανοποίηση του δικαιώματος αντίρρησης, σύμφωνα με την παρ. 2 του άρθρου 13, καθώς και με πράξεις επιβολής των διοικητικών κυρώσεων των περιπτώσεων γ’, δ’ και ε’ της παρ. 1 του άρθρου 21 τιμωρείται με φυλάκιση τουλάχιστον δύο (2) ετών και με χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) δραχμών έως πέντε εκατομμυρίων (5.000.000) δραχμών. Με τις ποινές του προηγούμενου εδαφίου τιμωρείται ο υπεύθυνος επεξεργασίας που διαβιβάζει δεδομένα προσωπικού χαρακτήρα κατά παράβαση του άρθρου 9 καθώς και εκείνος που δεν συμμορφώνεται προς την δικαστική απόφαση του άρθρου 14 του παρόντος νόμου".

Επίσης, ορίζεται ότι:

1. Φυσικό πρόσωπο ή νομικό πρόσωπο ιδιωτικού δικαίου, που κατά παράβαση του παρόντος νόμου, προκαλεί περιουσιακή βλάβη, υποχρεούται σε πλήρη αποζημίωση. Αν προκάλεσε ηθική βλάβη, υποχρεούται σε χρηματική ικανοποίηση. Η ευθύνη υπάρχει και όταν ο υπόχρεος όφειλε να γνωρίζει την πιθανότητα να επέλθει βλάβη σε άλλον.

2. Η κατά το άρθρο 932 ΑΚ χρηματική ικανοποίηση λόγω ηθικής βλάβης για παράβαση του παρόντος νόμου ορίζεται κατ’ ελάχιστο στο ποσό των δύο εκατομμυρίων (2.000.000) δραχμών, εκτός αν ζητήθηκε από τον ενάγοντα μικρότερο ποσό ή η παράβαση οφείλεται σε αμέλεια. Η χρηματική αυτή ικανοποίηση επιδικάζεται ανεξαρτήτως από την αιτούμενη αποζημίωση για περιουσιακή βλάβη".

Ύστερα από όλα τα παραπάνω, τίθενται τα παρακάτω ερωτήματα και σας καλούμε να προβείτε στις δέουσες  ενέργειες  και σε περίπτωση παραβίασης να επιβάλλετε κυρώσεις:

1. Γιατί το υπουργείο δεν απαντά τα ερωτήματα που του έθεσε η Αρχή καθώς έχει παρέλθει κατά πολύ το χρονικό διάστημα των δεκαπέντε ημερών που αρχικά ετέθη;

2. Γιατί το υπουργείο δεν έχει γνωστοποιήσει στην Αρχή την επεξεργασία των δεδομένων;

3. Γιατί δεν έχει τεκμηριώσει ποια δεδομένα θα επεξεργάζεται, βάσει ποιών διατάξεων, για ποιο σκοπό τα συλλέγει, πόσο καιρό θα διατηρεί τα δεδομένα και πώς προτίθεται να τα  χρησιμοποιήσει;

4. Έχει λάβει την απαιτούμενη άδεια της Αρχής για να ξεκινήσει την επεξεργασία;

5. Έχει θέσει υπεύθυνους σε κάθε επίπεδο πρόσβασης ώστε εάν τα δεδομένα αλλοιωθούν, καταστραφούν, χρησιμοποιηθούν αθέμιτα, να είναι σαφές ποιος θα ευθύνεται;

6. Ποιοι φορείς θα έχουν πρόσβαση σε αυτά τα δεδομένα και με ποια νομιμοποίηση;

7. Υπάρχει άλλος τρόπος ταυτοποίησης του κάθε  μαθητή εκτός από το ΑΜΚΑ που αποτελεί ευαίσθητο δεδομένο;