Donosimo slučaj iz Grčke gdje je nadzorno tijelo za zaštitu osobnih podataka upozorilo njihovo ministarstvo u resoru obrazovanja zbog propusta u vezi provođenja obveznih GDPR mjera i DPIA postupka (Procjena učinka na zaštitu podataka), odnosno, procjene rizika na prava i slobode pojedinaca, konkretno, učenika, učitelja i nastavnika osnovnih i srednjih škola, kojima je ministarstvo naložilo da u svrhe online nastave koriste Cisco Webex platformu.
 
Nadzorno tijelo utvrdilo je da je ministarstvo propustilo provesti niz obveznih mjera i dalo im rok od nekoliko mjeseci da isprave nepravilnosti.
 
U odluci nadzornog tijela navode se slijedeće nepravilnosti i propusti ministarstva:
 
- Ugovor između Ministarstva i kompanije Cisco nije objavljen kako bi se nadzornom tijelu omogućilo da utvrdi odnos između stranaka;
- Smjernice nadzornom tijelu o sigurnosnim mjerama u kontekstu online rada nisu se slijedile jer je bilo upitno je li osigurana end-to-end enkripcija;
- Cisco WebEx aplikacija nije certificirana od strane nacionalnog Instituta za tehnologiju i računalne publikacije
- Ministarstvo je prekršilo načelo transparentnosti, posebno u pogledu pružanja informacija i korištene terminologije metapodataka;
- Osobni podaci članova obrazovne zajednice vjerojatno će se obrađivati u komercijalne svrhe;
- Ministarstvo je održalo neovlašteni postupak profiliranja s neutvrđenim postupkom anonimizacije;
- Osobni podaci nezakonito su preneseni izvan EU-a; i
- Nije postojala mogućnost zadovoljavanja prava ispitanika na brisanje.
- Ministarstvo nije provelo detaljnu procjenu zakonitosti svrhe obrade podataka, posebno u pogledu dobivanja suglasnosti za pristup informacijama pohranjenim u terminalnoj opremi korisnika kada takva obrada nije bila potrebna za pružanje usluga, što je rezultiralo kršenjem članka 6. GDPR-a i ePrivacy Direktive;
- Informacije na internetskim stranicama koje su dostupne ispitanicima nedovoljne su jer ne pružaju podatke za kontakt voditelja obrade podataka i dodatne informacije o primateljima osobnih podataka studenata, nemaju strukturu i nisu primjerene dobi;
- Iako su provedene sigurnosne mjere, one moraju biti uvedene na način koji je dostupan svakom učitelju, a svo osoblje uključeno u e-nastavu mora biti odgovarajuće osposobljeno i usmjereno;
- Ministarstvo je prekršilo svoju obvezu iz članka 35. stavka 9. GDPR-a u pogledu izražavanja mišljenja ispitanika ili njihovih predstavnika o planiranoj obradi podataka; i
- Nije provedena odgovarajuća evaluacija prijenosa podataka izvan EU-a u svjetlu presude Suda Europske unije u predmetu povjerenik za zaštitu podataka protiv Facebook Ireland Limited, Maximillian Schrems (C-311/18) („Schrems II”).
 
Ove primjedbe i dokazani propusti minstarstva nisu šala, ministarstvo obrazovanja odredilo je koje se aplikacije i online sustavi za nastavu moraju koristiti, ali prethodno nije provelo opsežan skup mjera prije početka primjene sustava online nastave kojima se izlažu osobni podaci učenika, uglavnom maloljetnika, ali i učitelja i nastavnika.
 
Pri tom ni učenici ni učitelji ili nastavnici nemaju nikakvu mogućnost prigovora ili odbijanja korištenja online platforme.
 
Vjerujemo da nije problem samo u Cisco Webex platformi, vrlo usporediva pitanja mogu se postavljati i za Microsoft Teams, Zoom, ili Google Meet platforme.
 
 
Konkretnije o slučaju:
 
https://gdprhub.eu/index.php?title=HDPA_(Greece)_-_Decision_50/2021&mtc=today
 
https://www.dataguidance.com/news/greece-hdpa-reprimands-ministry-education-distance
 
 
Photo by Julia M Cameron from Pexels