Νόμιμη η καταχώριση δεδομένων προσωπικού χαρακτήρα εκπαιδευτικών και μαθητών ιδιωτικών σχολείων στο MYSCHOOL. Απερρίφθη από την ΑΠΔΠΧ καταγγελία του Συνδέσμου Ιδιωτικών Σχολείων

myschool_logo

Απορριπτική απόφαση της ΑΠΔΠΧ (αρ. 10/2019) στην αριθμ. πρωτ. Γ/ΕΙΣ/7646/23.11.2016 καταγγελία του Συνδέσμου Ιδιωτικών Σχολείων σχετικά με την καταχώριση δεδομένων μαθητών/γονέων-κηδεμόνων και εκπαιδευτικών των ιδιωτικών σχολείων στην ενιαία κεντρική βάση δεδομένων του ΥΠΠΕΘ με την ονομασία «MySchool»

Η υπόθεση ξεκίνησε από την καταγγελία του Συνδέσµου Ιδιωτικών Σχολείων (ΣΙΣ) προς την ΑΠΔΠΧ αναφορικά µε επιβαλλόµενη από το ΥΠΕΘ υποχρέωση καταχώρησης «απλών» δεδοµένων και δεδοµένων ειδικών κατηγοριών των µαθητών, γονέων/κηδεµόνων και εκπαιδευτικών των ιδιωτικών σχολείων στο MYSCHOOL.

Η ΑΠΔΠΧ έκρινε ότι η καταχώριση στοιχείων στο εν λόγω σύστημα τόσο των δεδομένων των μαθητών/γονέων-κηδεμόνων όσο και εκπαιδευτικών των ιδιωτικών σχολείων είναι νόμιμη, προχώρησε ωστόσο στην υποβολή μίας σειράς συστάσεων τις οποίες πρέπει να εφαρμόσουν το ΥΠΠΕΘ, ως υπεύθυνος επεξεργασίας και το ΙΤΥΕ-∆ιόφαντος ως εκτελών την επεξεργασία.

Αξιοσημείωτη είναι η αναφορά στην υποχρέωση του ΥΠΠΕΘ για την εκπόνηση μελέτης εκτίμησης αντικτύπου:
Όσον αφορά την πρόταση του ΣΙΣ να ζητήσει η Αρχή από το ΥΠΕΘ να διενεργήσει εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων επισημαίνεται ότι η υποχρέωση για διενέργεια εκτίμησης αντικτύπου σε σύστημα που λειτουργεί ήδη τεκμηριώνεται από τον υπεύθυνο επεξεργασίας βάσει του άρθρου 35 παρ. 1, 2 και 4 του ΓΚΠ∆. Συνεπώς, το ΥΠΕΘ οφείλει να εξετάσει τη συμμόρφωσή του με το ως άνω άρθρο.

Αναλύοντας το σχετικό νομικό πλαίσιο και το ιστορικό της υπόθεσης, η ΑΠΔΠΧ, επανέλαβε επτά συστάσεις τις οποίες είχε ήδη από το έτος 2014 απευθύνει προς το ΥΠΠΕΘ με την υπ' αρίθμ. 139/2014 απόφασή της, έκρινε, δε,  ότι:

Α. Είναι νόµιµη η καταχώριση στο σύστηµα «mySchool» µόνο των δεδοµένων των εκπαιδευτικών των ιδιωτικών σχολείων που κρίνονται αναγκαία για τον σκοπό της άσκησης της ιεραρχικής και διαβαθµισµένης εποπτείας του ΥΠΕΘ, όπως αυτά περιγράφονται ανωτέρω, µε δυνατότητα πρόσβασης σε αυτά µόνο από τους χρήστες που αναφέρονται στην παρούσα (βλέπε σκέψη 13Α της απόφασης).

Β. Είναι νόµιµη η καταχώριση στο σύστηµα «mySchool» των δεδοµένων των µαθητών/γονέων-κηδεµόνων των ιδιωτικών σχολείων, η συλλογή και τήρηση των οποίων προβλέπεται ειδικώς από το ισχύον νοµοθετικό καθεστώς ή είναι αναγκαία για την άσκηση των αρµοδιοτήτων εποπτείας των οικείων υπηρεσιών του ΥΠΕΘ, όπως αυτά περιγράφονται ανωτέρω, µε δυνατότητα πρόσβασης σε αυτά µόνο από τους χρήστες που αναφέρονται στην παρούσα (βλέπε σκέψη 13Β της απόφασης).

Γ. Το ΥΠΕΘ, ως υπεύθυνος επεξεργασίας και το ΙΤΥΕ-∆ιόφαντος, ως εκτελών την επεξεργασία, οφείλουν επιπλέον να εφαρµόσουν τις συστάσεις που αναφέρονται στο σηµείο 13Γ του σκεπτικού της παρούσας απόφασης και να ενηµερώσουν την Αρχή εντός τριών µηνών από την κοινοποίησή της υποβάλλοντας αναλυτικό χρονοδιάγραµµα εφαρµογής των συστάσεων αυτών.

Επισυνάπτεται η απόφαση 10/2019 της ΑΠΔΠΧ