Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα – Αλλαγές στο mySchool ως προς τα δεδομένα των μαθητών

Απόφαση 139/2014 (αρ. πρωτ. Γ/ΕΞ/5902/02-10-2014) της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Logo_APDPXΗ Αρχή Προστασίας Προσωπικών Δεδομένων, μετά από καταγγελία του Συλλόγου Εκπαιδευτικών Πρωτοβάθμιας Εκπαίδευσης Κεντρικής και Νότιας Χαλκιδικής (και στη συνέχεια ακολούθησαν καταγγελίες της ΟΛΜΕ, ΔΟΕ και Συλλόγου Γονέων  Σύρου), με απόφασή της αναφέρει ότι το Υπουργείο Παιδείας οφείλει :

α) Να προβεί σε κρυπτογράφηση, σύμφωνα με τα διεθνώς αποδεκτά πρότυπα, κατ’ ελάχιστον, των δεδομένων ταυτοποίησης των μαθητών και των γονέων-κηδεμόνων τους (καθώς και των δεδομένων ταυτοποίησης όλων των κατηγοριών υποκειμένων) που τηρούνται στη βάση δεδομένων του εν λόγω συστήματος.

Ο ισχυρισμός του ΥΠΑΙΘ σχετικά με τη μη αποδεκτή υποβάθμιση της υπολογιστικής απόδοσης του συστήματος σε περίπτωση κρυπτογράφησης δεν μπορεί να γίνει δεκτός καθώς η δυνατότητα αύξησης της υπολογιστικής ισχύος σε συνδυασμό με τις προηγμένες μεθόδους κρυπτογράφησης επιτρέπουν τη λειτουργία μεγάλων πληροφοριακών συστημάτων, με συχνή χρήση που υποστηρίζουν την επεξεργασία υψηλού όγκου δεδομένων, με αποδεκτή απόδοση, ειδικά των συστημάτων που σχεδιάζονται με σκοπό την παροχή ψηφιακών υπηρεσιών προστιθέμενης αξίας στους πολίτες και κατά κανόνα ενσωματώνουν τα μέτρα για την προστασία των προσωπικών δεδομένων κατά το στάδιο του σχεδιασμού (privacy by design). Επίσης, ο παραπάνω ισχυρισμός δεν μπορεί να γίνει δεκτός όπως διατυπώνεται γενικά χωρίς να τεκμηριώνεται σαφώς και ειδικώς από αντικειμενικά στοιχεία βάσει των οποίων εκτιμάται η μη αποδεκτή υποβάθμιση της απόδοσης του συστήματος λόγω κρυπτογράφησης. Αξίζει να τονισθεί ότι υπάρχοντα μεγάλα συστήματα ηλεκτρονικής διακυβέρνησης με πολύ συχνή χρήση και αυξημένο όγκο δεδομένων, όπως το Σύστημα της Ηλεκτρονικής Συνταγογράφησης, εφαρμόζουν κρυπτογράφηση στη βάση δεδομένων.

Ως προς τον έτερο ισχυρισμό του ΥΠΑΙΘ περί μη ουσιαστικής αναγκαιότητας επιλογής κάποιου σχήματος κρυπτογράφησης των δεδομένων στη βάση διότι είναι πρακτικά αδύνατο να αφαιρεθούν οι σκληροί δίσκοι της υποδομής λόγω εξαιρετικά ενισχυμένης φυσικής ασφάλειας του υπολογιστικού κέντρου, τα ενισχυμένα μέτρα φυσικής ασφάλειας δεν αναιρούν το ενδεχόμενο πραγματοποίησης περιστατικού παραβίασης προσωπικών δεδομένων ή την αναγκαιότητα και την χρησιμότητα της κρυπτογράφησης σε περίπτωση διαρροής προσωπικών δεδομένων.

Σε κάθε περίπτωση το ΥΠΑΙΘ μπορεί να ενημερώσει την Αρχή σχετικά με τα αντικειμενικά στοιχεία βάσει των οποίων εκτιμάται η μη αποδεκτή υποβάθμιση της απόδοσης του εν λόγω συστήματος λόγω κρυπτογράφησης στη βάση δεδομένων.

β) Να μεριμνήσει, ώστε να περιληφθεί στο σύστημα η δυνατότητα δημιουργίας ατομικών λογαριασμών χρηστών που να αποδίδονται σε κατάλληλα εξουσιοδοτημένους εκπαιδευτικούς της κάθε σχολικής μονάδας και υπαλλήλους της κάθε διοικητικής δομής όπως διεύθυνση ή περιφερειακή διεύθυνση, ώστε να αποφευχθεί τυχόν κοινή χρήση του μοναδικού λογαριασμού που αποδίδεται στον διευθυντή της σχολικής μονάδας ή της διοικητικής δομής για την διεκπεραίωση όλων των εργασιών που απαιτούνται στο πλαίσιο του συστήματος mySchool.

γ) Να καταργήσει την πρόσβαση που έχουν οι ατομικοί λογαριασμοί των χρηστών που αποδίδονται στους διευθυντές των διοικητικών δομών στα ονοματεπώνυμα των μαθητών των σχολικών μονάδων στην περιοχή της ευθύνης τους. Επίσης, να καταργήσει την πρόσβαση που, επίσης σύμφωνα με το παραπάνω υπόμνημα, έχουν οι λογαριασμοί των χρηστών που αποδίδονται στους αρμόδιους υπαλλήλους των διευθύνσεων σπουδών της Κεντρικής Υπηρεσίας του ΥΠΑΙΘ στα ονομαστικά στοιχεία μαθητών, τους αριθμούς μητρώου και τις τάξεις εγγραφής.

δ) Να εξασφαλίσει ότι πρόσβαση στα προσωπικά δεδομένα των μαθητών και των γονέων/κηδεμόνων τους που τηρούνται στο σύστημα έχει μόνο η σχολική μονάδα φοίτησης του μαθητή.

ε) Να μεριμνήσει για την κατάλληλη εκπαίδευση των χρηστών του συστήματος σε θέματα προστασίας και ασφάλειας προσωπικών δεδομένων.

στ) Να ενεργοποιήσει τη δυνατότητα καταγραφής των ενεργειών των χρηστών του συστήματος, περιλαμβανομένων των διαχειριστών της υποδομής.

ζ) Να μεριμνήσει ώστε το σύστημα να αποκλείει την πρόσβαση των χρηστών που προέρχονται από IP διευθύνσεις εκτός του Πανελλήνιου Σχολικού Δικτύου δεδομένου ότι η εφαρμογή επιτρέπει την πρόσβαση μόνο στους χρήστες που είναι πιστοποιημένοι από την Κεντρική Υπηρεσία Πιστοποίησης του Πανελλήνιου Σχολικού Δικτύου και το ΥΠΑΙΘ δεν τεκμηριώνει καθόλου για ποιό λόγο επιτρέπεται η πρόσβαση από όλες τις ελληνικές IP διευθύνσεις, γεγονός που αυξάνει τον κίνδυνο διαδικτυακών επιθέσεων.

η) Να καταρτίσει σχέδιο ασφάλειας, στο οποίο να προσδιορίζονται σαφώς τα τεχνικά και οργανωτικά μέτρα ασφάλειας που άπτονται της συγκεκριμένης επεξεργασίας.

θ) Να μεριμνήσει για τον έλεγχο της ορθής εφαρμογής της εγκεκριμένης πολιτικής ασφαλείας στο εν λόγω σύστημα από όλα τα εμπλεκόμενα μέρη, καθώς και τον εκτελούντα την επεξεργασία Ινστιτούτο Τεχνολογίας Υπολογιστών & Εκδόσεων (ΙΤΥΕ) – Διόφαντος.

Τέλος, το ΥΠΑΙΘ πρέπει να ενημερώσει εγγράφως την Αρχή για την εκπλήρωση των συστάσεων του υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/8052/14-12-2012 πορίσματος διοικητικού ελέγχου που πραγματοποιήθηκε στα συστήματα e-school και e-datacenter (ειδικά αυτών που εξακολουθούν να ισχύουν και μετά τη μετάβαση στο εν λόγω πληροφοριακό σύστημα), σύμφωνα με την με αριθμ. 187/2012 Απόφασή της.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Η Αρχή δέχεται εν μέρει, κατά το μέρος που συλλέγονται πλείονα των καλυπτομένων από τις ισχύουσες διατάξεις προσωπικά δεδομένα των μαθητών, τις προσφυγές που αναφέρονται στο ιστορικό της παρούσας.

Περαιτέρω, η Αρχή καλεί το Υπουργείο Παιδείας και Θρησκευμάτων:

  1. Να τηρεί στη βάση δεδομένων του Ενιαίου Πληροφοριακού Συστήματος με την ονομασία mySchool μόνο τα προσωπικά δεδομένα των μαθητών, τα οποία συλλέγονται βάσει νομοθετικών διατάξεων από τις σχολικές μονάδες, σύμφωνα με το σκεπτικό της παρούσας.
  2. Να διαγράψει τα επιπλέον προσωπικά δεδομένα που δεν προβλέπονται σε νομοθετική διάταξη και για τα οποία δεν τεκμηριώθηκε η ανάγκη τήρησής τους για τον επιδιωκόμενο σκοπό, καθώς και τα αντίστοιχα πεδία της βάσης δεδομένων και της εφαρμογής του συστήματος mySchool.
  3. Να διαγράψει τυχόν δεδομένα από το σύστημα mySchool που αφορούν το Ατομικό Δελτίο Υγείας του μαθητή και τα αντίστοιχα πεδία της βάσης δεδομένων και της εφαρμογής.
  4. Να ορίσει ανώτατο χρόνο τήρησης των προσωπικών δεδομένων των μαθητών στο εν λόγω πληροφοριακό σύστημα.
  5. Να εφαρμόσει τα μέτρα ασφάλειας που αναφέρονται στο σημείο 6 του σκεπτικού της παρούσας και να υποβάλει εντός δύο μηνών από την κοινοποίηση της παρούσας αναλυτικό χρονοδιάγραμμα για την εφαρμογή των μέτρων αυτών. Επίσης, να υποβάλει ανά δίμηνο περιοδικές εκθέσεις παρακολούθησης της πορείας υλοποίησης του ανωτέρω χρονοδιαγράμματος.
  6. Να ενημερώσει την Αρχή για τις παραπάνω ενέργειες.

Διαβάστε ολόκληρη την απόφαση

  •  
  •  
  •  
  •  
  •  
  •  
  •  

Σχολιάστε