Τρίτη, Φεβρουαρίου 02, 2021

Το νομοσχέδιο για τα Α.Ε.Ι. και η προστασία προσωπικών δεδομένων

Με το νομοσχέδιο για την αστυνόμευση στην τριτοβάθμια εκπαίδευση, εισάγεται η δυνατότητα βιντεοεπιτήρησης των πανεπιστημιακών χώρων, με συνέργεια των Α.Ε.Ι. και της ΕΛ.ΑΣ. Σαφέστατα και μπορούν να επιτηρούνται οι εν λόγω δημόσιοι χώροι, αλλά αυτό πρέπει να γίνεται με πλήρη σεβασμό τόσο του GDPR, όσο και του Ν.4624/2019 που ενσωματώνει στο Ελληνικό δίκαιο και την Οδηγία 2016/680 για την επεξεργασία δεδομένων από τις διωκτικές αρχές. Το νομοσχέδιο έχει ορισμένες σχετικές διατάξεις που παρουσίασαν προβλήματα, τα οποία εντόπισε ο πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Συγκεκριμένα, με επιστολή του προέδρου επισημάνθηκαν ορισμένα κενά στην προστασία δεδομένων, όπως αυτή κατοχυρώνεται από τις προς ψήφιση διατάξεις. Ανάμεσα στα κενά που εντόπισε ο κ. Μενουδάκος είναι και ότι ενώ αναγνωρίζονται ως "από κοινού" υπεύθυνοι επεξεργασίας τα Α.Ε.Ι. και η ΕΛ.ΑΣ., δεν έχει διευκρινιστεί το μέτρο της ευθύνης της κάθε πλευράς. Η Αρχή αναφέρει ότι δεν έχει τηρηθεί το άρθρο 26 του GDPR που ορίζει τα εξής:

"Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπευθύνους επεξεργασίας. Αυτοί καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους για να παρέχουν τις πληροφορίες που αναφέρονται στα άρθρα 13 και 14, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Στη συμφωνία μπορεί να αναφέρεται ένα σημείο επικοινωνίας για τα υποκείμενα των δεδομένων."

Ενώ λοιπόν με σαφήνεια ο GDPR λέει ότι ο καθορισμός της μεταξύ τους ευθύνης ΔΕΝ γίνεται "μέσω συμφωνία μεταξύ τους", όταν οι αρμοδιότητες των υπεύθυνων επεξεργασίας καθορίζονται από την νομοθεσία, όπως εξ ορισμού συμβαίνει με τις αρμοδιότητες των Α.Ε.Ι. και της ΕΛ.ΑΣ., αίφνης, το Υπουργείο Παιδείας, μετά την επισήμανση της Αρχής, έρχεται και προβαίνει στην εξής τροποποίηση του νομοσχεδίου:


"Οι λεπτομέρειες ως προς την κατανομή της ευθύνης τους για συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον Γ.Κ.Π.Δ., ιδίως όσον αφορά στα καθήκοντά τους για την ικανοποίηση των υποκειμένων των δεδομένων, για την ενημέρωσή τους, ως προς τη λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων και κάθε άλλο συναφές ζήτημα καθορίζονται με Μνημόνιο Συνεργασίας, το οποίο υπογράφουν οι από κοινού Υπεύθυνοι Επεξεργασίας και τηρούν για σκοπούς λογοδοσίας"!!!


Δηλαδή ενώ ο ΓΚΠΔ ξεκάθαρα ορίζει στο άρθρο 26 ότι οι ευθύνες καθορίζονται "με διαφανή τρόπο" και ΟΧΙ με μεταξύ τους συμφωνία όταν οι αρμοδιότητες ορίζονται νομοθετικά, το Υπουργείο Παιδείας φέρνει διάταξη εντελώς αντίθετη με τον GDPR ορίζοντας ότι ο καθορισμός ευθυνών καθορίζεται με "μνημόνιο συνεργασίας", δηλαδή με συμφωνία τους, το οποίο δεν δημοσιεύουν καν (πάει ο "διαφανής τρόπος"), αλλά το τηρούν σε ένα συρτάρι. 




Δεν υπάρχουν σχόλια:

4 παραβάσεις του GDPR από την Google διαπίστωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Με την σημερινή απόφαση 54/2024 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, σε υπόθεση που εκπροσωπώ τον καταγγέλλοντα - που απασχό...