Νομοθετική ρύθμιση σχεδιάζει το Υπουργείο Παιδείας με την οποία θα θεσμοθετηθεί ένας Ενιαίος Αριθμός Μαθητή προκειμένου να είναι εφικτή..
η παρακολούθηση της Πρόωρης Εγκατάλειψης του Σχολείου.
Πιθανόν το Υπουργείο Παιδείας να προχώρησε σε αυτή την απόφαση μετά το πόρισμα της Αρχής Προστασίας Προσωπικών Δεδομένων για τα στοιχεία που καταγράφονται στο mySchool. Μεταξύ των άλλων η Αρχή είχε καταλήξει ότι το ΥΠΑΙΘ δύναται να επεξεργάζεται μόνο εκείνα τα προσωπικά δεδομένα των μαθητών η συλλογή και τήρηση των οποίων προβλέπεται από το ισχύον νομοθετικό καθεστώς και όχι εκείνα, για τα οποία δεν υπάρχει σχετική νομοθετική πρόβλεψη, όπως για παράδειγμα είναι ο ΑΜΚΑ των μαθητών εκτός αν άλλως κριθεί αναγκαίο από το νόμο.
Για το ΑΜΚΑ το Υπουργείο Παιδείας είχε απαντήσει εγγράφως ότι η χρήση του έχει ως μοναδικό στόχο την ορθή ταυτοποίηση του μαθητή και την αποφυγή διπλοεγγραφών και λανθασμένων συσχετίσεων μαθητών με σχολικές μονάδες, λόγω του ότι είναι το μοναδικό στοιχείο ταυτοποίησης που παρέχεται σε όλους τους πολίτες.
Ισοδύναμο στοιχείο κρίνει το Υπουργείο Παιδείας ότι θα μπορούσε να είναι ένας μοναδικός αριθμός μητρώου ο οποίος αποδίδεται σε κάθε μαθητή κατά την εισαγωγή του στο εκπαιδευτικό σύστημα και θα τον ακολουθεί μέχρι και την έξοδό του από αυτό.
Το Υπουργείο Παιδείας με υπόμνημά του ενημέρωσε την ΑΠΠΔ ότι σχεδιάζεται, όπως αναφέρθηκε, νομοθετική ρύθμιση ώστε να θεσμοθετηθεί ένας Ενιαίος Αριθμός Μαθητή
Δεν ήταν όμως μόνο το ΑΜΚΑ που προκάλεσε τις ενστάσεις της Αρχής Προστασίας Προσωπικών Δεδομένων καθώς το Υπουργείο καλείται να προχωρήσει στα εξής:
· Να τηρεί στη βάση δεδομένων του Ενιαίου Πληροφοριακού Συστήματος με την ονομασία mySchool μόνο τα προσωπικά δεδομένα των μαθητών, τα οποία συλλέγονται βάσει νομοθετικών διατάξεων από τις σχολικές μονάδες.
· Να διαγράψει τα επιπλέον προσωπικά δεδομένα που δεν προβλέπονται σε νομοθετική διάταξη και για τα οποία δεν τεκμηριώθηκε η ανάγκη τήρησής τους για τον επιδιωκόμενο σκοπό, καθώς και τα αντίστοιχα πεδία της βάσης δεδομένων και της εφαρμογής του συστήματος mySchool.
· Να διαγράψει τυχόν δεδομένα από το σύστημα mySchool που αφορούν το Ατομικό Δελτίο Υγείας του μαθητή και τα αντίστοιχα πεδία της βάσης δεδομένων και της εφαρμογής.
· Να ορίσει ανώτατο χρόνο τήρησης των προσωπικών δεδομένων των μαθητών στο εν λόγω πληροφοριακό σύστημα
· Να εφαρμόσει τα μέτρα ασφαλείας των δεδομένων που καταγράφονται
· Να υποβάλει εντός δύο μηνών από την κοινοποίηση της απόφασης αναλυτικό χρονοδιάγραμμα για την εφαρμογή των μέτρων αυτών. Επίσης να υποβάλει ανά δίμηνο περιοδικές εκθέσεις παρακολούθησης της πορείας υλοποίησης των ανωτέρω χρονοδιαγράμματος.
Επίσης η ΑΠΠΔ καλεί το Υπουργείο να προχωρήσει:
1.Σε κρυπτογράφηση των δεδομένων ταυτοποίησης μαθητών και γονέων-κηδεμόνων τους.
2. Να μεριμνήσει, ώστε να περιληφθεί στο σύστημα η δυνατότητα δημιουργίας ατομικών λογαριασμών χρηστών που να αποδίδονται σε κατάλληλα εξουσιοδοτημένους εκπαιδευτικούς της κάθε σχολικής μονάδας και υπαλλήλους της κάθε διοικητικής δομής όπως Διεύθυνση ή Περιφερειακή Διεύθυνση, ώστε να αποφευχθεί τυχόν κοινή χρήση του μοναδικού λογαριασμού που αποδίδεται στον Διευθυντή της σχολικής μονάδας ή της διοικητικής δομής για την διεκπεραίωση όλων των εργασιών που απατούνται στο πλαίσιο του συστήματος mySchool.
3.Να καταργήσει την πρόσβαση που έχουν οι ατομικοί λογαριασμοί των χρηστών που αποδίδονται στους Διευθυντές των διοικητικών δομών στα ονοματεπώνυμα των μαθητών των σχολικών μονάδων στην περιοχή ευθύνης τους. Επίσης να καταργήσει την πρόσβαση που έχουν οι λογαριασμοί των χρηστών που αποδίδονται στους αρμόδιους υπαλλήλους των Διευθύνσεων Σπουδών της Κεντρικής Υπηρεσίας του υπουργείου Παιδείας στα ονομαστικά στοιχεία μαθητών, τους αριθμο9ύς Μητρώου και τις τάξεις εγγραφής.
4. Να εξασφαλίσει ότι πρόσβαση στα προσωπικά δεδομένα των μαθητών και των γονέων/κηδεμόνων τους που τηρούνται στο σύστημα έχει μόνο η σχολική μονάδα φοίτησης του μαθητή.
5.Να μεριμνήσει για την κατάλληλη εκπαίδευση των χρηστών του συστήματος σε θέματα προστασίας και ασφάλειας προσωπικών δεδομένων.
6. Να μεριμνήσει ώστε το σύστημα να αποκλείει την πρόσβαση των χρηστών που προέρχονται από IP διευθύνσεις εκτός του Πανελλήνιου Σχολικού Δικτύου, δεδομένου ότι η εφαρμογή επιτρέπει την πρόσβαση μόνο στους χρήστες που είναι πιστοποιημένοι από την Κεντρική Υπηρεσία Πιστοποίησης του Πανελλήνιου Σχολικού Δικτύου και το ΥΠΑΙΘ δεν τεκμηριώνει καθόλου για ποιο λόγο επιτρέπεται η πρόσβαση από όλες της ελληνικές IP Διευθύνσεις , γεγονός που αυξάνει τον κίνδυνο διαδικτυακών επιθέσεων.
7. Να καταρτίσει σχέδιο ασφαλείας στο οποίο να προσδιορίζονται σαφώς τα τεχνικά και οργανωτικά μέτρα ασφάλειας που άπτονται της συγκεκριμένης επεξεργασίας.
8.Να μεριμνήσει για τον έλεγχο της ορθής εφαρμογής της εγκεκριμένης πολιτικής ασφάλειας στο εν λόγω σύστημα απ' όλα τα εμπλεκόμενα μέρη καθώς και τον εκτελούντα την επεξεργασία ΙΤΥΕ-Διόφαντο.
Να θυμίσουμε ότι το όλο θέμα με τα στοιχεία που καταγράφονται στο mySchool ξεκίνησε το προηγούμενο σχολικό έτος όταν ο Σύλλογος Εκπαιδευτικών Πρωτοβάθμιας Εκπαίδευσης Κεντρικής και Νότιας Χαλκιδικής με καταγγελία του στην Αρχή Προστασίας Προσωπικών Δεδομένων ζητούσε τον έλεγχο α) νομιμότητας της ψηφιακής εφαρμογής του συστήματος Μyschool ως προς την προστασία προσωπικών δεδομένων μαθητών, γονέων και κηδεμόνων, β) νομιμότητας και δικαιοδοσίας διευθυντών και προϊσταμένων σχολικών μονάδων να συγκεντρώσουν τα στοιχεία που απαιτούνται από την ψηφιακή εφαρμογή για τους μαθητές και γ) τυχόν παραβίασης προσωπικών δεδομένων και απόσυρσης της ψηφιακής πλατφόρμας/εφαρμογής.
Η Αρχή Προστασίας κάλεσε το Υπουργείο Παιδείας να τοποθετηθεί για τα όσα καταγγέλλονται ενώ ακολούθησαν άλλες τρεις καταγγελίες αυτές των ΟΛΜΕ, ΔΟΕ και Ένωσης Γονέων Δήμου Σύρου –Ερμούπολης. Μετά από τις ανταλλαγές εγγράφων και την τοποθέτηση του Υπουργείου η ΑΠΠΔ προχώρησε σε μια απόφαση που φέρνει ανατροπές, όπως προειπώθηκε στο mySchool.