Κατευθυντήριες γραμμές από Επίτροπο Προστασίας Δεδομένων για εξ’ αποστάσεως εξετάσεις φοιτητών

Στην έκδοση κατευθυντήριων γραμμών προχώρησε η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Ειρήνη Λοïζίδου Νικολαΐδου, καθώς όπως λέει, το γραφείο της συνεχίζει να γίνεται δέκτης ανησυχιών, ερωτημάτων και παραπόνων από φοιτητές και οργανωμένα σύνολα φοιτητών σχετικά με την εξ’ αποστάσεως διενέργεια εξετάσεων και αξιολόγηση φοιτητών από ανώτερα και ανώτατα εκπαιδευτικά ιδρύματα.

Σε συνέχεια προηγούμενης ανακοίνωσής της, ημερομηνίας 12 Μαΐου 2020, η Επίτροπος αναφέρει εξάλλου ότι το Γραφείο της παρακολουθεί στενά το θέμα αυτό.

Το γραφείο της Επιτρόπου «ύστερα από μελέτη δείγματος απαντήσεων στο ερωτηματολόγιο που στάληκε στα ανώτερα και ανώτατα εκπαιδευτικά ιδρύματα αναφορικά με την εφαρμογή και υλοποίηση προγραμμάτων/ λογισμικών/ εφαρμογών, διαδικασιών και πολιτικών στο πλαίσιο της εξ’ αποστάσεως διεξαγωγής εξετάσεων, έκρινε απαραίτητη την έκδοση, συμπληρωματικά των διαβουλεύσεων με αντιπροσωπεία Πρυτάνεων, κατευθυντήριων γραμμών με σκοπό αφενός την ομοιόμορφη εφαρμογή των κανόνων δικαίου ήτοι του νομοθετικού πλαισίου και αφετέρου την ενσωμάτωση της αρχής της αναλογικότητας και της ελαχιστοποίησης των δεδομένων στα πιο πάνω τεχνολογικά μέσα στοχεύοντας την ελαχιστοποίηση των παρεμβάσεων και τυχόν κινδύνων στα προσωπικά δεδομένα των επηρεαζόμενων φυσικών προσώπων ήτοι των φοιτητών».

Οι εν λόγω κατευθυντήριες γραμμές στάληκαν επίσης στον Φορέα Διασφάλισης και Πιστοποίησης της Ποιότητας της Ανώτερης Εκπαίδευσης (ΔΙΠΑΕ), συμπληρώνει, ενώ λέει ότι αναμένει πως όλα τα ανώτερα και ανώτατα εκπαιδευτικά Ιδρύματα θα προσαρμόσουν, αναβαθμίσουν, και ευθυγραμμίσουν όλα τα ανωτέρω μέσα καθώς και διαδικασίες ως οι κατευθυντήριες γραμμές.

Σύμφωνα με τις κατευθυντήριες γραμμές της Επιτρόπου για την εξ’ αποστάσεως διεξαγωγή εξετάσεων και αξιολόγηση φοιτητών, καλούνται όλα τα Ιδρύματα Ανώτερης Εκπαίδευσης όπως απέχουν από την εφαρμογή συστημάτων ή προδιαγραφών ή εργαλείων τους, τα οποία προβαίνουν σε επεξεργασία προσωπικών δεδομένων μέσω βιομετρικών μεθόδων.

Ζητά επίσης να απέχουν από την εφαρμογή μέτρων, ως αποτέλεσμα απόφασης που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ.

Στις περιπτώσεις χρήσης συστημάτων / προγραμμάτων / εργαλείων, μέσω των οποίων θα γίνεται ταυτοποίηση των εξεταζόμενων και παρακολούθηση του αδιάβλητου της διαδικασίας μέσω ηχητικού ή και οπτικού υλικού, προκρίνεται ως νομική βάση η λήψη συγκατάθεσης των εξεταζόμενων, νοουμένου ότι πληροί τα συστατικά στοιχεία του άρθρου 7 και υπάρχει εναλλακτική λύση ως επιλογή στην περίπτωση μη υποβολής συγκατάθεσης. Το βάρος απόδειξης της ελεύθερης και διαφανούς συγκατάθεσης, φέρει ο υπεύθυνος επεξεργασίας, αναφέρει η Επίτροπος.

Ζητά παράλληλα αυστηρή τήρηση της αρχής της αναλογικότητας και ελαχιστοποίησης των δεδομένων καθ’ όλη τη διάρκεια της διαδικασίας και σύμφωνα με κάθε είδος κάθε πράξης επεξεργασίας και κάθε επιδιωκόμενου σκοπού. Η ενσωμάτωση της αρχής της ελαχιστοποίησης στη διαδικασία μπορεί να περιλαμβάνει μεταξύ άλλων τα ακόλουθα:
(α) προσαρμογή και /ή αναβάθμιση συστημάτων / απενεργοποίηση ή κατάργηση εργαλείων/ ρυθμίσεων και τεχνικών χαρακτηριστικών με βάση τα οποία συλλέγονται ή τυγχάνουν επεξεργασίας περισσότερα δεδομένα, απ’ ότι τα απολύτως απαραίτητα, σε σχέση με κάθε συγκεκριμένη πράξη επεξεργασίας και κάθε συγκεκριμένο επιδιωκόμενο σκοπό.
(β) συλλογή και επεξεργασία ειδικών κατηγοριών δεδομένων μέσω οπτικού υλικού να αποφεύγεται.
(γ) Χρήση ομαδοποιημένων/ συνολικών δεδομένων όπου είναι δυνατόν.
(δ)  Ψευδωνυμοποίηση  προσωπικών δεδομένων άμεσα, αφού παρέλθει ο σκοπός της ταυτοποίησης για σκοπούς μετριασμού των κινδύνων στα δικαιώματα των υποκειμένων των δεδομένων και φύλαξη κλειδιών ταυτοποίησης χωριστά.
(ε) Ανωνυμοποίηση προσωπικών δεδομένων, μόλις ικανοποιηθεί για κάθε συγκεκριμένη πράξη επεξεργασίας, ο επιδιωκόμενος σκοπός ή διαγραφή των δεδομένων.
(στ) Η ροή των δεδομένων να περιορίζεται σε αυστηρά περιορισμένα αντίγραφα ή σημεία καταχωρήσεων.
(ζ) Ο υπεύθυνος επεξεργασίας να εφαρμόζει τη λιγότερο παρεμβατική, διαθέσιμη και κατάλληλη τεχνολογία, ώστε να διασφαλίζει την αποφυγή συλλογής περισσότερων δεδομένων και την ελαχιστοποίησή τους.

Εξάλλου, η Επίτροπος ζητά διαφάνεια στη διαδικασία με ενημέρωση των υποκειμένων των δεδομένων και ικανοποίηση των δικαιωμάτων τους.
Τέλος αναφέρεται στην ασφάλεια των δεδομένων και την ενσωμάτωση στην ενιαία πολιτική ασφαλείας.

Ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση και φέρει το βάρος να τεκμηριώσει τις επιλογές του ενώ σε περίπτωση υποβολής καταγγελίας από επηρεαζόμενο υποκείμενο των δεδομένων, η Επίτροπος διατηρεί το δικαίωμα να διερευνήσει την υποβληθείσα καταγγελία στη βάση των συγκεκριμένων στοιχείων της υπόθεσης ασκώντας όλες τις εξουσίες της.

Οι Κατευθυντήριες Γραμμές εκδίδονται ανεξάρτητα από ενδεχόμενες υποχρεώσεις των Ιδρυμάτων Ανώτερης Εκπαίδευσης, σε σχέση με το αδιάβλητο της διαδικασίας και τη σχετική νομοθεσία /οδηγιών του Φορέα Διασφάλισης και Πιστοποίησης της Ποιότητας της Ανώτερης Εκπαίδευσης (ΔΙΠΑΕ), καταλήγει.

 

Πηγή: ΚΥΠΕ