Συστάσεις αναφορικά με την τηλεκπαίδευση και την προστασία των προσωπικών δεδομένων
Το Δημοκρίτειο Πανεπιστήμιο Θράκης (ΔΠΘ), συμμετέχει ενεργά στα μέτρα για τον περιορισμό της εξάπλωσης του κορωνοϊού COVID 19 και παράλληλα ενισχύει την προσπάθειά του για την συνέχιση της εκπαιδευτικής δραστηριότητας εξ αποστάσεως, ως μια βέλτιστη λύση κατά την περίοδο εφαρμογής των έκτακτων μέτρων και την αναστολή της διδασκαλίας με φυσική παρουσία.
Το ΔΠΘ προτείνει εργαλεία σύγχρονης εξ αποστάσεως διδασκαλίας που παρέχουν την δυνατότητα καταγραφής της συνεδρίας, η οποία ενδεχομένως απασχολεί μέρος του διδακτικού προσωπικού, οι οποίοι θα διοργανώσουν αντίστοιχες διδασκαλίες. Κατά την καταγραφή της συνεδρίας γίνεται συλλογή προσωπικών δεδομένων των διδασκόντων ( φωνή, εικόνα, άλλα προσωπικά χαρακτηριστικά ανάλογα με τη λήψη) και ενδεχομένως και των φοιτητών (φωνή, εικόνα, γραπτά σχόλια) ανάλογα με το εργαλείο και τις ρυθμίσεις.
Η κάθε ενέργεια της καταγραφής ή και της ανάρτησης αποτελούν επεξεργασίες προσωπικών δεδομένων ( επεξεργασία εφ’ εξής) και δημιουργούν υποχρεώσεις στο ΔΠΘ σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων ( ΕΕ 2016/679 - GDPR) και τον Ν. 4624/2019, οι οποίες πρέπει να εξεταστούν αν είναι εφικτές πριν την κάθε επεξεργασία και συνοπτικά μπορούμε να αναφέρουμε:
- Πριν τη επεξεργασία, θα πρέπει να υπάρχει η κατάλληλη ενημέρωση των φοιτητών για τους σκοπούς, την νόμιμη βάση, τον χρόνο διατήρησης του αρχείου καταγραφής ή και του χρόνου ανάρτησης, τα δικαιώματα τους κ.λ.π, σύμφωνα με τον Κανονισμό.
- Να υπάρχει ρητή συγκατάθεση από διδάσκοντες και φοιτητές για να είναι η επεξεργασία σύννομη, επειδή η καταγραφή και η προβολή είναι επεξεργασίες για άλλον σκοπό από τον αρχικό, αυτόν της συμμετοχής στη εξ’ αποστάσεως διδασκαλία. Το ΔΠΘ πρέπει να είναι σε θέση να αποδείξει την κάθε συγκατάθεση (αρχή της λογοδοσίας).Ως προς την συγκατάθεση των διδασκόντων, η επεξεργασία των προσωπικών τους δεδομένων γίνεται αποκλειστικά με δική τους απόφαση και θετική ενέργεια, τα οποία αποτελούν την απόδειξη της ελεύθερης βούλησης τους, γεγονός που καθιστά νόμιμη τη συγκατάθεση τους.
- Οι φοιτητές (κυρίως) έχουν το δικαίωμα να άρουν την συγκατάθεσή τους κάθε στιγμή ή να ασκήσουν το δικαίωμα για τα προσωπικά τους δεδομένα της πρόσβασης, διαγραφής ή της εναντίωσης. Στην περίπτωση της άρσης της συγκατάθεσης ή αιτήματος διαγραφής, απαιτείται επεξεργασία του αρχείου καταγραφής ή και της εκ νέου ανάρτησής του. Κατά την άσκηση των δικαιωμάτων, θα πρέπει να ληφθεί υπόψη και η διαδικασία εντοπισμού του μέρους του αρχείου που θα πρέπει να τροποποιηθεί.
- Για τους φοιτητές που δεν έχουν δώσει συγκατάθεση θα πρέπει να μπορούν να ληφθούν τεχνικά μέτρα, όπως ενδεικτικά, για τη µεν απευθείας μετάδοση την δυνατότητα ανωνυμοποίησης (π.χ. µέσω σίγασης του μικροφώνου ή αλλαγή χροιάς/παραμόρφωση φωνής), προκειμένου να τεθεί το ερώτημα, ή, για την περίπτωση της ανάρτησης εκ των υστέρων, η δυνατότητα τεχνικής επεξεργασίας του καταγεγραμμένου υλικού (π.χ. μοντάζ). Ο διδάσκων θα μπορεί, εφόσον το κρίνει απαραίτητο για τη διδακτική διαδικασία, να επαναλάβει ο ίδιος το ερώτημα που τέθηκε από το φοιτητή ( που μπορεί να υποβληθεί γραπτά σε προσωπικό μήνυμα).
Είναι σαφές ότι η διαδικασία καταγραφής εμπεριέχει υψηλό ρίσκο έκθεσης προσωπικών δεδομένων σε τρίτους και απαιτεί αρκετά μεγάλη τεχνική επεξεργασία.
Με την ευκαιρία αυτή θα ήθελα να επιστήσω ιδιαιτέρως την προσοχή στις περιπτώσεις ανάρτησης των αρχείων καταγραφής σε δικτυακές υπηρεσίες παρόχων, των οποίων οι όροι παροχής υπηρεσιών που αφορούν το περιεχόμενο και οι πολιτικές Ιδιωτικότητας και προστασίας δεδομένων δεν είναι σαφείς αν διασφαλίζουν τη συμμόρφωση με το GDPR ή δεν το πράττουν. Οι υπηρεσίες που παρέχονται δωρεάν όπως μπορεί να είναι τα social media ή άλλες υπηρεσίες cloud είναι πιθανόν να μην εγγυώνται την προστασία του περιεχομένου.
Να διευκρινιστεί εδώ, ότι οι πάροχοι δικτυακών υπηρεσιών για μεν τα προσωπικά δεδομένα ως συνδρομητής (χρήστης) τους είναι Υπεύθυνοι Επεξεργασίας και συμμορφώνονται πλέον με το GDPR, για δε το περιεχόμενο που αναρτάται θεωρούνται Εκτελούντες την Επεξεργασία και ενδεχομένως να μην δεσμεύονται για τη προστασία του. Το ΔΠΘ ως υπεύθυνος επεξεργασίας έχει την υποχρέωση να χρησιμοποιεί μόνο Εκτελούντες την Επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την προστασία των προσωπικών δεδομένων και επομένως φέρει επιπλέον ευθύνη για όποια παραβίαση προσωπικών δεδομένων συμβεί.
Συνιστάται, επομένως, να εξετάζονται πολύ προσεκτικά οι όροι παροχής των υπηρεσιών και να αποφεύγονται αναρτήσεις καταγραφής με προσωπικά δεδομένα αν δεν είμαστε βέβαιοι για την προστασία τους.
Σε κάθε περίπτωση για θέματα προστασίας προσωπικών δεδομένων οποιοσδήποτε επιθυμεί μπορεί να επικοινωνήσει με τον Υπεύθυνο Επεξεργασίας Δεδομένων του ΔΠΘ στο dpo@duth.gr
Η Υπεύθυνη Προστασίας Προσωπικών Δεδομένων Δ.Π.Θ.
Δήμητρα Τσιμπιρίδου