@tdiam

Η έκτακτη γνωριμία των ελληνικών πανεπιστημίων με τον GDPR

by

tdiam
in

Πώς 8 από τα 25 πανεπιστήμια θα διεξάγουν εξετάσεις εξ αποστάσεως χωρίς καμία συμμόρφωση με τον νόμο για τα προσωπικά δεδομένα.

Ενημέρωση 21/6/2020: Ανανεώθηκαν οι πληροφορίες για το Πάντειο Πανεπιστήμιο και το Πανεπιστήμιο Δυτικής Μακεδονίας.

Στις 25 Μαΐου συμπληρώθηκαν δύο χρόνια αφότου τέθηκε σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων και τον είχαμε πρωτογνωρίσει από τέτοια mail:

Εισερχόμενα email με θέματα μηνυμάτων "Τελευταία ευκαιρία!", "Δώσε μία τελευταία ευκαιρία στη σχέση μας!", "Τι λες; Θα κάνουμε μία νέα αρχή στη σχέση μας;", "Μην μας κλείνεις την πόρτα!", "Σημαντική Ενημέρωση για το Λογαριασμό σου"
Απαλλοτριωμένο από το Luben

Μια άλλη γνωριμία ωστόσο, που και άργησε και δεν πήγε τόσο καλά, ήταν αυτή των φορέων του δημοσίου με τον GDPR. Μέχρι και σήμερα πολλοί φορείς, κοτζάμ Υπουργεία μάλιστα, δεν έχουν συμμορφωθεί ή υποπίπτουν σε σημαντικά λάθη, όπως έχει μαλλιάσει η γλώσσα του δικηγόρου Βασίλη Σωτηρόπουλου να λέει στο blog του. Μεταξύ αυτών και τα δημόσια πανεπιστήμια που παρότι χειρίζονται ετησίως χιλιάδες έγγραφα φοιτητών, ενίοτε και ευαίσθητα δεδομένα υγείας, έμειναν ως επί το πλείστον ασυγκίνητα.

Τώρα λοιπόν που λόγω καραντίνας παρέλυσε ο πραγματικός κόσμος και στραφήκαμε παγκοσμίως, πολίτες και δημόσιο, σε αυτόν που έμεινε ζωντανός όσο ποτέ – το ίντερνετ, η συνάντηση με τον GDPR ήταν μοιραία.

Ενόψει της εαρινής εξεταστικής, τα Α.Ε.Ι. θα διεξάγουν για πρώτη φορά εξετάσεις εξ αποστάσεως. Αρχικά προτάθηκε να γίνουν γραπτώς με επιτήρηση της φοιτήτριας* μέσω καταγραφής κάμερας, ήχου και οθόνης από λογισμικά e-proctoring. Ωστόσο, με υπουργική απόφαση της 20ης Μαΐου ορίστηκε ότι, για να γίνουν εξετάσεις εξ αποστάσεως, θα πρέπει στην ίδια απόφαση της Συγκλήτου να περιλαμβάνεται η πολιτική προστασίας δεδομένων που θα ακολουθηθεί κι έτσι οι διοικήσεις των ιδρυμάτων αντιλήφθηκαν γρήγορα ότι η πρόταση “εγείρει περισσότερα θέματα προσωπικών δεδομένων παρά συνεισφέρει στο αδιάβλητο και την αξιοπιστία των εξετάσεων“. Φυσικά, η επιλογή ηπιότερων μέσων, από την εκπόνηση εργασίας μέχρι την επιτήρηση μέσω τηλεδιάσκεψης, δεν απήλλαξε τα ιδρύματα από την υποχρέωση του να καταρτίσουν πολιτική προστασίας δεδομένων και έτσι να ασχοληθούν -για πρώτη φορά τα περισσότερα- με τον GDPR.

Φοιτήτρια που εξετάζεται γραπτώς υπό την επίβλεψη καθηγήτριάς της μέσω βιντεοκλήσης.
(Anna Shvets / Pexels)

Καθώς λοιπόν ξεκινά -ή αλλού έχει ξεκινήσει- η εξεταστική περιόδος, ψαχούλεψα τη Διαύγεια για να δω τι παρήγαγε το κάθε πανεπιστήμιο, κάτι που εν τέλει κατέληξε να διαμορφωθεί σε μία ερασιτεχνική πλην τίμια αναφορά, η οποία είναι διαθέσιμη εδώ σε PDF.

greek_university_exams_spring2020_gdpr_v20200621_0Download

Κύρια συμπεράσματα

  • Σε 7 από τα 25 ελληνικά πανεπιστήμια, η πολιτική προστασίας δεδομένων για τις εξετάσεις εξ αποστάσεως είτε δεν υπάρχει (ΕΜΠ, ΓΠΑ, ΑΣΚΤ) κατά παρέκκλιση της υπουργικής απόφασης, είτε δεν καλύπτει κανένα από τα βασικά στοιχεία (ΙΠ, ΠΑΠΕΛ, ΔΙΠΑΕ, ΠΑΔΑ), όπως το ποια δεδομένα συλλέγονται και για πόσο διατηρούνται. Ιδιάζει η περίπτωση του ΕΑΠ που θεωρεί ότι οι ηλεκτρονικές εξετάσεις με “οπτική και ακουστική επιτήρηση” δεν περιλαμβάνουν επεξεργασία προσωπικών δεδομένων κι έτσι δεν όρισε πολιτική προστασίας.
  • Σε 10 πανεπιστήμια δεν υπάρχει ενημέρωση των φοιτητών για τα δικαιώματά τους σχετικά με τα δεδομένα τους.
  • Κανένα πανεπιστήμιο δεν διενήργησε εκτίμηση αντικτύπου, ή τουλάχιστον δεν τη δημοσίευσε, ώστε να διαπιστωθούν η αναγκαιότητα και αναλογικότητα των πράξεων επεξεργασίας, καθώς και οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες των υποκειμένων.

Στατιστικά

ΠΠΠΔ: Πολιτική προστασίας προσωπικών δεδομένων / ΥΠΔ: Υπεύθυνος Προστασίας Δεδομένων

Αξιολόγηση συμμόρφωσης ανά Α.Ε.Ι.

Αξιολόγηση συμμόρφωσηςΠανεπιστήμια
  Καμία συμμόρφωσηΕθνικό Μετσόβιο Πολυτεχνείο
Γεωπονικό Πανεπιστήμιο Αθηνών
Ιόνιο Πανεπιστήμιο
Πανεπιστήμιο Πελοποννήσου
Διεθνές Πανεπιστήμιο Ελλάδας
Πανεπιστήμιο Δυτικής Αττικής
Ελληνικό Ανοικτό Πανεπιστήμιο
Ανωτάτη Σχολή Καλών Τεχνών
  ΑνεπαρκήςΕθνικό Καποδιστριακό Πανεπιστήμιο Αθηνών
Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης
Χαροκόπειο Πανεπιστήμιο
Πάντειο Πανεπιστήμιο
Πανεπιστήμιο Πειραιώς
Πανεπιστήμιο Πατρών
Πανεπιστήμιο Ιωαννίνων
Πανεπιστήμιο Κρήτης
Πανεπιστήμιο Αιγαίου
Πανεπιστήμιο Θεσσαλίας
Πανεπιστήμιο Δυτικής Μακεδονίας
Ελληνικό Μεσογειακό Πανεπιστήμιο
  ΕπαρκήςΠανεπιστήμιο Μακεδονίας
Δημοκρίτειο Πανεπιστήμιο Θράκης
Πολυτεχνείο Κρήτης
  ΕξαιρετικήΟικονομικό Πανεπιστήμιο Αθηνών
Ανώτατη Σχολή Παιδαγωγικής και Τεχνολογικής Εκπαίδευσης

Τι μας νοιάζουν αυτά;

Η συμμόρφωση με τον GDPR δεν είναι μόνο για το trend. Είναι μια ένδειξη ότι αυτή που θα αποκτήσει πρόσβαση στα δεδομένα σου έχει επίγνωση των ευθυνών της. Την ευθύνη του να μην τα χρησιμοποιήσει για άλλο σκοπό από τον ορισμένο, την ευθύνη του να μην τα διατηρήσει για αόριστο χρονικό διάστημα, την ευθύνη του να έχει προβλέψει το ενδεχόμενο διαρροής τους και ούτω καθεξής.

Η δικαιολογία για την αποτυχία των περισσότερων πανεπιστημίων να χειριστούν όπως πρέπει το ζήτημα των προσωπικών δεδομένων ίσως είναι οι έκτακτες συνθήκες, οι πρόσφατες συγχωνεύσεις, η μακρόχρονη οικονομική τους λιτότητα κτλ. Με το πέρας της πανδημίας όμως θα πρέπει να έχει γίνει πλέον αντιληπτή η επικαιρότητα του θέματος από όλες τις διοικήσεις και να συνεχιστεί εντονότερα η διαδικασία εναρμόνισής τους με τον Κανονισμό. Με κινήσεις αλληλοσυνεργασίας όπως η συνάντηση υπεύθυνων προστασίας δεδομένων, με παραδειγματισμό από τα πανεπιστήμια που πρωτοστατούν, αλλά κυρίως με επιμόρφωση προσωπικού.

Σημείωση: Η κατάταξη της ΠΠΠΔ κάποιου Α.Ε.Ι. στο εκάστοτε επίπεδο συμμόρφωσης δεν αποτελεί επ’ ουδενί ισχυρισμό περί της νομιμότητας ή μη της επεξεργασίας δεδομένων που διενεργεί το ίδρυμα, αλλά αποτελεί αξιολογική κρίση στη βάση υποκειμενικών κριτηρίων και σταθμίσεων των διατάξεων του ΓΚΠΔ. Σε καμία περίπτωση οι αναφερόμενες πληροφορίες δεν μπορούν να θεωρηθούν νομικές συμβουλές. Ο συντάκτης δεν είναι φοιτητής ούτε απόφοιτος νομικής σχολής, ούτε ασκεί νομικό επάγγελμα. Συμβουλευτείτε επαγγελματίες νομικούς.