Σε συνέχεια της προηγούμενης ανακοίνωσης του Γραφείου της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ημερομηνίας 12 Μαΐου, επισημαίνεται ότι το Γραφείο συνεχίζει να γίνεται δέκτης ανησυχιών, ερωτημάτων και παραπόνων από φοιτητές και οργανωμένα σύνολα φοιτητών σχετικά με την εξ αποστάσεως διενέργεια εξετάσεων και αξιολόγηση φοιτητών από ανώτερα και ανώτατα εκπαιδευτικά ιδρύματα, στο πλαίσιο του Covid-19.
Το Γραφείο, ύστερα από μελέτη δείγματος απαντήσεων στο ερωτηματολόγιο που στάληκε στα ανώτερα και ανώτατα εκπαιδευτικά ιδρύματα αναφορικά με την εφαρμογή και υλοποίηση προγραμμάτων/λογισμικών/εφαρμογών, διαδικασιών και πολιτικών στο πλαίσιο της εξ αποστάσεως διεξαγωγής εξετάσεων, έκρινε απαραίτητη την έκδοση, συμπληρωματικά των διαβουλεύσεων με αντιπροσωπεία Πρυτάνεων, κατευθυντήριων γραμμών με σκοπό αφενός την ομοιόμορφη εφαρμογή των κανόνων δικαίου, ήτοι του νομοθετικού πλαισίου και αφετέρου, την ενσωμάτωση της αρχής της αναλογικότητας και της ελαχιστοποίησης των δεδομένων στα πιο πάνω τεχνολογικά μέσα, στοχεύοντας στην ελαχιστοποίηση των παρεμβάσεων και τυχόν κινδύνων στα προσωπικά δεδομένα των επηρεαζόμενων φυσικών προσώπων, ήτοι των φοιτητών.
Να σημειωθεί ότι οι εν λόγω κατευθυντήριες γραμμές στάληκαν επίσης στον Φορέα Διασφάλισης και Πιστοποίησης της Ποιότητας της Ανώτερης Εκπαίδευσης (ΔΙΠΑΕ).
Κατευθυντήριες Γραμμές Επιτρόπου
Οι κατευθυντήριες γραμμές που έχουν εκδοθεί παρατίθενται σύμφωνα με την ανακοίνωση για σκοπούς διαφάνειας.
Καλούνται όλα τα Ιδρύματα Ανώτερης Εκπαίδευσης όπως:
(1) Απέχουν από την εφαρμογή συστημάτων ή προδιαγραφών ή εργαλείων τους, τα οποία προβαίνουν σε επεξεργασία προσωπικών δεδομένων μέσω βιομετρικών μεθόδων.
(2) Απέχουν από την εφαρμογή μέτρων, ως αποτέλεσμα απόφασης που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ.
(3) Στις περιπτώσεις χρήσης συστημάτων/προγραμμάτων/εργαλείων, μέσω των οποίων θα γίνεται ταυτοποίηση των εξεταζόμενων και παρακολούθηση του αδιάβλητου της διαδικασίας μέσω ηχητικού ή και οπτικού υλικού, προκρίνεται ως νομική βάση η λήψη συγκατάθεσης των εξεταζόμενων, νοουμένου ότι πληροί τα συστατικά στοιχεία του άρθρου 7 και υπάρχει εναλλακτική λύση ως επιλογή στην περίπτωση μη υποβολής συγκατάθεσης. Το βάρος απόδειξης της ελεύθερης και διαφανούς συγκατάθεσης, φέρει ο υπεύθυνος επεξεργασίας.
(4) Αυστηρή τήρηση της αρχής της αναλογικότητας και ελαχιστοποίησης των δεδομένων καθ’ όλη τη διάρκεια της διαδικασίας και σύμφωνα με κάθε είδος κάθε πράξης επεξεργασίας και κάθε επιδιωκόμενου σκοπού. Η ενσωμάτωση της αρχής της ελαχιστοποίησης στη διαδικασία μπορεί να περιλαμβάνει, μεταξύ άλλων, τα ακόλουθα:
(α) προσαρμογή και /ή αναβάθμιση συστημάτων/απενεργοποίηση ή κατάργηση εργαλείων/ ρυθμίσεων και τεχνικών χαρακτηριστικών με βάση τα οποία συλλέγονται ή τυγχάνουν επεξεργασίας περισσότερα δεδομένα, απ’ ό,τι τα απολύτως απαραίτητα, σε σχέση με κάθε συγκεκριμένη πράξη επεξεργασίας και κάθε συγκεκριμένο επιδιωκόμενο σκοπό.
(β) συλλογή και επεξεργασία ειδικών κατηγοριών δεδομένων μέσω οπτικού υλικού να αποφεύγεται.
(γ) χρήση ομαδοποιημένων/ συνολικών δεδομένων όπου είναι δυνατόν.
(δ) Ψευδωνυμοποίηση προσωπικών δεδομένων άμεσα, αφού παρέλθει ο σκοπός της ταυτοποίησης για σκοπούς μετριασμού των κινδύνων στα δικαιώματα των υποκειμένων των δεδομένων και φύλαξη κλειδιών ταυτοποίησης χωριστά.
2 (ε) Ανωνυμοποίηση προσωπικών δεδομένων, μόλις ικανοποιηθεί για κάθε συγκεκριμένη πράξη επεξεργασίας, ο επιδιωκόμενος σκοπός ή διαγραφή των δεδομένων.
(στ) Η ροή των δεδομένων να περιορίζεται σε αυστηρά περιορισμένα αντίγραφα ή σημεία καταχωρήσεων.
(ζ) Ο υπεύθυνος επεξεργασίας να εφαρμόζει τη λιγότερο παρεμβατική, διαθέσιμη και κατάλληλη τεχνολογία, ώστε να διασφαλίζει την αποφυγή συλλογής περισσότερων δεδομένων και την ελαχιστοποίησή τους.
(5) Διαφάνεια διαδικασίας – ενημέρωση των υποκειμένων των δεδομένων και ικανοποίηση των δικαιωμάτων τους.
(6) Ασφάλεια των δεδομένων – ενσωμάτωση στην ενιαία πολιτική ασφαλείας. Νοείται ότι ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση και φέρει το βάρος να τεκμηριώσει τις επιλογές του αναφορικά με τα πιο πάνω θέματα. Νοείται περαιτέρω ότι σε περίπτωση υποβολής καταγγελίας από επηρεαζόμενο υποκείμενο των δεδομένων, η Επίτροπος διατηρεί το δικαίωμα να διερευνήσει την υποβληθείσα καταγγελία στη βάση των συγκεκριμένων στοιχείων της υπόθεσης ασκώντας όλες τις εκ του Κανονισμού (ΕΕ) 2016/679 και Νόμου 125(Ι)/2018, εξουσίες της. Νοείται έτι περαιτέρω ότι οι παρούσες Κατευθυντήριες Γραμμές εκδίδονται ανεξάρτητα από ενδεχόμενες υποχρεώσεις των Ιδρυμάτων Ανώτερης Εκπαίδευσης, σε σχέση με το αδιάβλητο της διαδικασίας και τη σχετική νομοθεσία /οδηγιών του Φορέα Διασφάλισης και Πιστοποίησης της Ποιότητας της Ανώτερης Εκπαίδευσης (ΔΙΠΑΕ).
Η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σημειώνει επίσης ότι αναμένει όλα τα ανώτερα και ανώτατα εκπαιδευτικά Ιδρύματα θα προσαρμόσουν, αναβαθμίσουν και ευθυγραμμίσουν όλα τα ανωτέρω μέσα καθώς και διαδικασίες, ως οι κατευθυντήριες γραμμές.
