Berisping voor niet adequate DPIA bij gebruik methode afstandsonderwijs
Vanwege de COVID-19-pandemieperiode heeft het Griekse ministerie van Onderwijs en Religies (het ministerie) besloten om een methode van afstandsonderwijs met technologische middelen te promoten en te implementeren voor studenten in het basis- en voortgezet onderwijs. De Griekse AP (HDPA) beschouwde deze methode als legaal, maar vond dat het ministerie bij het uitvoeren van een Data Protection Impact Assessment (DPIA) geen rekening had gehouden met een aantal factoren en risico's met betrekking tot de rechten en vrijheden van de betrokkenen.
De HDPA erkende de noodzaak van het hedendaagse afstandsonderwijs en gaf een advies aan het ministerie om de tekortkomingen en tekortkomingen aan te pakken. De HDPA riep het ministerie op om binnen een exclusieve periode van drie maanden de juiste wijzigingen in de DPIA aan te brengen. Na die periode analyseerde de HDPA nogmaals de maatregelen die het ministerie heeft genomen om te beoordelen of de gehanteerde methode van afstandsonderwijs en de daarmee gepaard gaande maatregelen voldeden aan de AVG.
De HDPA onderzocht de bijgewerkte DPIA en de nalevingsmaatregelen van het ministerie. De HDPA heeft de volgende tekortkomingen vastgesteld: ten eerste heeft de HDPA vastgesteld dat het ministerie nooit een gedetailleerd onderzoek heeft ingesteld naar de rechtmatigheid van de verwerkingsdoeleinden op grond van artikel 6, lid 4, AVG, met name met betrekking tot de toestemming voor toegang tot informatie die is opgeslagen in de eindapparatuur van een gebruiker, wanneer dit niet nodig is om de door de gebruiker gevraagde dienst te verlenen.
Met betrekking tot het transparantiebeginsel en het recht op toegang door de betrokkene, werd de door het ministerie aan de betrokkenen verstrekte informatie volgens de artikelen 12 en 14 AVG niet passend en voldoende geacht. De HDPA constateerde met name dat de verstrekte informatie niet gemakkelijk te begrijpen was en (gebrek aan toegankelijkheid en duidelijke en eenvoudige bewoordingen), vooral ten aanzien van kinderen.De HDPA oordeelde verder dat de toegepaste maatregelen, ondanks het feit dat ze waren verbeterd, nog moesten worden voltooid, om er met name voor te zorgen dat alle leraren die betrokken zijn bij het afstandsonderwijs minimale informatie ontvangen in overeenstemming met artikel 13 van de AVG.
Bovendien oordeelde de HDPA dat het ministerie de verplichting van artikel 35, lid 9, AVG heeft geschonden met betrekking tot de meningsuiting van de betrokkenen of hun vertegenwoordigers voor de verwerkingsactiviteit.
Last but not least is er geen behoorlijke evaluatie van de doorgifte van gegevens naar niet-EU-landen uitgevoerd, met name in het licht van het arrest van het HvJ-EU in zaak C-311/18 (Schrems II).
Gezien alle bovenstaande schendingen heeft de HDPA het ministerie berispt en het ministerie opgedragen deze tekortkomingen aan te pakken op de manier die in het besluit is geanalyseerd binnen een periode van twee maanden (vier maanden met betrekking tot de gegevensoverdrachten).
Zie voor meer informatie: Modern afstandsonderwijsproces door het ministerie van Onderwijs | Griekse Gegevensbeschermingsautoriteit (dpa.gr)
Bron: HDPA (Greece) - Decision 50/2021 - GDPRhub