Διαφορά μεταξύ των αναθεωρήσεων του «Παρατηρητήριο για το mySchool»

Από wiki.pirateparty.gr
Μετάβαση στην πλοήγηση Πήδηση στην αναζήτηση
Γραμμή 249: Γραμμή 249:
'''1'''. Το ΥΠΑΙΘ αναφέρει ότι σκοπός της υπό εξέταση επεξεργασίας προσωπικών δεδομένων αποτελεί η υποστήριξη των διαδικασιών εκπαιδευτικού σχεδιασμού και διοίκησης σχολικών μονάδων, διευθύνσεων, περιφερειακών διευθύνσεων και κεντρικής υπηρεσίας τον ΥΠΑΙΘ και γενικότερα η μηχανογραφική και γραμματειακή υποστήριξη. Συνεπώς, ο σκοπός είναι καταρχήν θεμιτός και εμπίπτει στις γενικότερες αρμοδιότητες του ΥΠΑΙΘ να οργανώνει και να διοικεί τους υπαγόμενους φορείς, μεταξύ των οποίων είναι και οι σχολικές μονάδες.
'''1'''. Το ΥΠΑΙΘ αναφέρει ότι σκοπός της υπό εξέταση επεξεργασίας προσωπικών δεδομένων αποτελεί η υποστήριξη των διαδικασιών εκπαιδευτικού σχεδιασμού και διοίκησης σχολικών μονάδων, διευθύνσεων, περιφερειακών διευθύνσεων και κεντρικής υπηρεσίας τον ΥΠΑΙΘ και γενικότερα η μηχανογραφική και γραμματειακή υποστήριξη. Συνεπώς, ο σκοπός είναι καταρχήν θεμιτός και εμπίπτει στις γενικότερες αρμοδιότητες του ΥΠΑΙΘ να οργανώνει και να διοικεί τους υπαγόμενους φορείς, μεταξύ των οποίων είναι και οι σχολικές μονάδες.
'''2'''. Στην υπό εξέταση υπόθεση υπεύθυνο επεξεργασίας αποτελούν τόσο το ΥΠΑΙΘ όσο και η κάθε σχολική μονάδα ξεχωριστά. Το ΥΠΑΙΘ αποτελεί υπεύθυνο επεξεργασίας της βάσης δεδομένων του συστήματος mySοhool καθώς σε αυτή συγκεντρώνονται δεδομένα κατ' εντολήν του από τις σχολικές μονάδες, τις οποίες το ΥΠΑΙΠ ελέγχει και εποπτεύει από τον νόμο, χωρίς, ωστόσο, να έχει άμεση πρόσβαση στα προσωπικά δεδομένα, που τηρεί το υπό εξέταση σύστημα. Άλλωστε την εγκατάσταση του εν λόγω συστήματος, αλλά και το σκοπό της εν λόγω επεξεργασίας έχει καθορίσει το ίδιο το ΥΠΑΙΘ.
'''2'''. Στην υπό εξέταση υπόθεση υπεύθυνο επεξεργασίας αποτελούν τόσο το ΥΠΑΙΘ όσο και η κάθε σχολική μονάδα ξεχωριστά. Το ΥΠΑΙΘ αποτελεί υπεύθυνο επεξεργασίας της βάσης δεδομένων του συστήματος mySοhool καθώς σε αυτή συγκεντρώνονται δεδομένα κατ' εντολήν του από τις σχολικές μονάδες, τις οποίες το ΥΠΑΙΠ ελέγχει και εποπτεύει από τον νόμο, χωρίς, ωστόσο, να έχει άμεση πρόσβαση στα προσωπικά δεδομένα, που τηρεί το υπό εξέταση σύστημα. Άλλωστε την εγκατάσταση του εν λόγω συστήματος, αλλά και το σκοπό της εν λόγω επεξεργασίας έχει καθορίσει το ίδιο το ΥΠΑΙΘ.
Γραμμή 254: Γραμμή 255:
Οι σχολικές μονάδες αποτελούν υπεύθυνο επεξεργασίας καθώς τα εν λόγω προσωπικά δεδομένα τα συλλέγουν και τα τηρούν στο πλαίσιο των αρμοδιοτήτων που τούς ανατίθενται από το ισχύον νομοθετικό καθεστώς, ιδίως στο πλαίσιο της εκπαιδευτικής διαδικασίας των μαθητών.
Οι σχολικές μονάδες αποτελούν υπεύθυνο επεξεργασίας καθώς τα εν λόγω προσωπικά δεδομένα τα συλλέγουν και τα τηρούν στο πλαίσιο των αρμοδιοτήτων που τούς ανατίθενται από το ισχύον νομοθετικό καθεστώς, ιδίως στο πλαίσιο της εκπαιδευτικής διαδικασίας των μαθητών.
'''3'''. ...
'''4'''. ...
'''3'''. ...
'''4'''. ...
'''5'''. Τα δεδομένα που δεν προβλέπονται σε κάποια από τα παραπάνω νομοθετικά κείμενα και είτε συλλέγονται για πρακτικούς λογούς από τις σχολικές μονάδες και κατ' επέκταση τηρούνται στη βάση δεδομένων του συστήματος, είτε έχουν «κληρονομηθεί» από προηγούμενες εφαρμογές είναι τα εξής: η μόρφωση του πατέρα, της μητέρας και του κηδεμόνα, το επάγγελμα της μητέρας (μόνο όσον αφορά στη δευτεροβάθμια και τριτοβάθμια εκπαίδευση) και του κηδεμόνα, η γλώσσα του πατέρα, της μητέρας και του κηδεμόνα του μαθητή, ο ΑΜΚΑ του μαθητή, καθώς και στοιχεία παλλινοστούντων - αλλοδαπών μαθητών (μητρική γλώσσα, έτη σε σχολεία εξωτερικού, γλώσσα διδασκαλίας, ελληνική καταγωγή, βαθμός προαγωγής τελευταίας τάξης φοίτησης εξωτερικού, χώρα προέλευσης, έτη σε σχολεία της Ελλάδας, έκανε ή κάνει μαθήματα για παιδιά εξωτερικού, έτος αφίξεως στην Ελλάδα) μόνο όσον αφορά στην Πρωτοβάθμια Εκπαίδευση και ιδίως για λόγους ερευνητικούς.
'''5'''. Τα δεδομένα που δεν προβλέπονται σε κάποια από τα παραπάνω νομοθετικά κείμενα και είτε συλλέγονται για πρακτικούς λογούς από τις σχολικές μονάδες και κατ' επέκταση τηρούνται στη βάση δεδομένων του συστήματος, είτε έχουν «κληρονομηθεί» από προηγούμενες εφαρμογές είναι τα εξής: η μόρφωση του πατέρα, της μητέρας και του κηδεμόνα, το επάγγελμα της μητέρας (μόνο όσον αφορά στη δευτεροβάθμια και τριτοβάθμια εκπαίδευση) και του κηδεμόνα, η γλώσσα του πατέρα, της μητέρας και του κηδεμόνα του μαθητή, ο ΑΜΚΑ του μαθητή, καθώς και στοιχεία παλλινοστούντων - αλλοδαπών μαθητών (μητρική γλώσσα, έτη σε σχολεία εξωτερικού, γλώσσα διδασκαλίας, ελληνική καταγωγή, βαθμός προαγωγής τελευταίας τάξης φοίτησης εξωτερικού, χώρα προέλευσης, έτη σε σχολεία της Ελλάδας, έκανε ή κάνει μαθήματα για παιδιά εξωτερικού, έτος αφίξεως στην Ελλάδα) μόνο όσον αφορά στην Πρωτοβάθμια Εκπαίδευση και ιδίως για λόγους ερευνητικούς.
Γραμμή 272: Γραμμή 276:
Ακολούθως, τα άρθρο 3 της Υπουργικής αυτής Απόφασης ορίζει ότι τα Α.Δ.Υ. είναι απόρρητα έγγραφα, μη ανακοινώσιμα, εκτός των περιπτώσεων ενημέρωσης των αρμοδίων εκπαιδευτικών για τη λήψη των αναγκαίων μέτρων προστασίας και στήριξης των μαθητών-τριών, διέπονται από τις αρχές και τους κανόνες για την προστασία των δεδομένων προσωπικού χαρακτήρα και των ευαίσθητων δεδομένων και φυλάσσονται εντός ειδικού φακέλου σε ασφαλές μέρος της σχολικής μονάδας στο οποίο δεν επιτρέπεται να έχουν πρόσβαση άλλοι πλην του Διευθυντή. Η αδικαιολόγητη παράβαση του απορρήτου των ΑΔΥ, εκτός από ποινικό αδίκημα, κατά τον Ποινικό Κώδικα, συνιστά και τα πειθαρχικά παραπτώματα της παράβασης καθήκοντος και της παράβασης της υποχρέωσης εχεμύθειας.
Ακολούθως, τα άρθρο 3 της Υπουργικής αυτής Απόφασης ορίζει ότι τα Α.Δ.Υ. είναι απόρρητα έγγραφα, μη ανακοινώσιμα, εκτός των περιπτώσεων ενημέρωσης των αρμοδίων εκπαιδευτικών για τη λήψη των αναγκαίων μέτρων προστασίας και στήριξης των μαθητών-τριών, διέπονται από τις αρχές και τους κανόνες για την προστασία των δεδομένων προσωπικού χαρακτήρα και των ευαίσθητων δεδομένων και φυλάσσονται εντός ειδικού φακέλου σε ασφαλές μέρος της σχολικής μονάδας στο οποίο δεν επιτρέπεται να έχουν πρόσβαση άλλοι πλην του Διευθυντή. Η αδικαιολόγητη παράβαση του απορρήτου των ΑΔΥ, εκτός από ποινικό αδίκημα, κατά τον Ποινικό Κώδικα, συνιστά και τα πειθαρχικά παραπτώματα της παράβασης καθήκοντος και της παράβασης της υποχρέωσης εχεμύθειας.
<sup>'''[1]'''</sup> Το ΥΠΑΙΘ με το με υπόμνημά του στην Αρχή δηλώνει ότι σχεδιάζεται νομοθετική ρύθμιση ώστε να θεσμοθετηθεί ένας Ενιαίας Αριθμός Μαθητή προκειμένου να είναι εφικτή η παρακολούθηση της Πρόωρης Εγκατάλειψης του Σχολείου
<sup>'''[1]'''</sup> Το ΥΠΑΙΘ με το με υπόμνημά του στην Αρχή δηλώνει ότι σχεδιάζεται νομοθετική ρύθμιση ώστε να θεσμοθετηθεί ένας Ενιαίας Αριθμός Μαθητή προκειμένου να είναι εφικτή η παρακολούθηση της Πρόωρης Εγκατάλειψης του Σχολείου.
'''6'''. Το ΥΠΑΙΘ, συνεπώς, ως υπεύθυνος επεξεργασίας, βαρύνεται με την υποχρέωση λήψης και εφαρμογής των κατάλληλων μέτρων για την ασφάλεια των προσωπικών δεδομένων που τηρούνται στη βάση δεδομένων του εν λόγω πληροφοριακού συστήματος. Η υποχρέωση αυτή βαρύνει αναλόγως καi τον εκτελούντα την επεξεργασία, δηλαδή το Ινστιτούτο Τεχνολογίας Υπολογιστών & Εκδόσεων (ΙΤΥΕ) - Διόφαντος, σύμφωνα με την παρ. 4 του ιδίου άρθρου του παραπάνω νόμου. Το γεγονός δε ότι στη βάση δεδομένων του εν λόγω πληροφοριακού συστήματος, που είναι προσβάσιμη μέσω του διαδικτύου, καταχωρίζεται ο μεγάλος όγκος των προσωπικών δεδομένων - ευαίσθητων και μη - όλων των μαθητών της χώρας (καθώς και δεδομένων άλλων κατηγοριών υποκειμένων, όπως όλων των εκπαιδευτικών της χώρας, αφού το εν λόγω σύστημα ενοποιεί επιμέρους υφιστάμενα συστήματα) καθιστά επιβεβλημένη τη διατήρηση υψηλού επιπέδου ασφαλείας που να εξασφαλίζει την ιδιαίτερη προστασία των δεδομένων αυτών.
'''6'''. Το ΥΠΑΙΘ, συνεπώς, ως υπεύθυνος επεξεργασίας, βαρύνεται με την υποχρέωση λήψης και εφαρμογής των κατάλληλων μέτρων για την ασφάλεια των προσωπικών δεδομένων που τηρούνται στη βάση δεδομένων του εν λόγω πληροφοριακού συστήματος. Η υποχρέωση αυτή βαρύνει αναλόγως καi τον εκτελούντα την επεξεργασία, δηλαδή το Ινστιτούτο Τεχνολογίας Υπολογιστών & Εκδόσεων (ΙΤΥΕ) - Διόφαντος, σύμφωνα με την παρ. 4 του ιδίου άρθρου του παραπάνω νόμου. Το γεγονός δε ότι στη βάση δεδομένων του εν λόγω πληροφοριακού συστήματος, που είναι προσβάσιμη μέσω του διαδικτύου, καταχωρίζεται ο μεγάλος όγκος των προσωπικών δεδομένων - ευαίσθητων και μη - όλων των μαθητών της χώρας (καθώς και δεδομένων άλλων κατηγοριών υποκειμένων, όπως όλων των εκπαιδευτικών της χώρας, αφού το εν λόγω σύστημα ενοποιεί επιμέρους υφιστάμενα συστήματα) καθιστά επιβεβλημένη τη διατήρηση υψηλού επιπέδου ασφαλείας που να εξασφαλίζει την ιδιαίτερη προστασία των δεδομένων αυτών.
Επομένως τα ΥΠΑΙΘ οφείλει:
Επομένως τα ΥΠΑΙΘ οφείλει:
Γραμμή 285: Γραμμή 291:
<sup>'''[2]'''</sup> Ως περιστατικό παραβίασης προσωπικών δεδομένων θεωρείται κάθε περίπτωση παραβίασης της ασφάλειας των δεδομένων στα Πλαίσιο του χρησιμοποιούμενου συστήματος επεξεργασίας, όπως τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας (βλ. Απόφαση 59/2012 της Αρχής).
<sup>'''[2]'''</sup> Ως περιστατικό παραβίασης προσωπικών δεδομένων θεωρείται κάθε περίπτωση παραβίασης της ασφάλειας των δεδομένων στα Πλαίσιο του χρησιμοποιούμενου συστήματος επεξεργασίας, όπως τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας (βλ. Απόφαση 59/2012 της Αρχής).
β) Να μεριμνήσει, ώστε να περιληφθεί στο σύστημα η δυνατότητα δημιουργίας ατομικών λογαριασμών χρηστών που να αποδίδονται σε κατάλληλα εξουσιοδοτημένους εκπαιδευτικούς της κάθε σχολικής μονάδας και υπαλλήλους της κάθε διοικητικής δομής όπως διεύθυνση ή περιφερειακή διεύθυνση, ώστε να αποφευχθεί τυχόν κοινή χρήση του μοναδικού λογαριασμού που αποδίδεται στον διευθυντή της σχολικής μονάδας ή της διοικητικής δομής για την διεκπεραίωση όλων των εργασιών που απαιτούνται στο πλαίσιο του συστήματος mySchool.
β) Να μεριμνήσει, ώστε να περιληφθεί στο σύστημα η δυνατότητα δημιουργίας ατομικών λογαριασμών χρηστών που να αποδίδονται σε κατάλληλα εξουσιοδοτημένους εκπαιδευτικούς της κάθε σχολικής μονάδας και υπαλλήλους της κάθε διοικητικής δομής όπως διεύθυνση ή περιφερειακή διεύθυνση, ώστε να αποφευχθεί τυχόν κοινή χρήση του μοναδικού λογαριασμού που αποδίδεται στον διευθυντή της σχολικής μονάδας ή της διοικητικής δομής για την διεκπεραίωση όλων των εργασιών που απαιτούνται στο πλαίσιο του συστήματος mySchool.
γ) Να καταργήσει την πρόσβαση που, σύμφωνα με το υπ' αριθμ. πρωτ. Α.Π. εξ. 2693/4.8.2014 υπόμνημα, έχουν οι ατομικοί λογαριασμοί των χρηστών που αποδίδονται στους διευθυντές των διοικητικών δομών στα ονοματεπώνυμα των μαθητών των σχολικών μονάδων στην περιοχή της ευθύνης τους. Επίσης, να καταργήσει την πρόσβαση που, επίσης σύμφωνα με το παραπάνω υπόμνημα, έχουν οι λογαριασμοί των χρηστών που αποδίδονται στους αρμόδιους υπαλλήλους των διευθύνσεων σπονδών της Κεντρικής Υπηρεσίας του ΥΠΑΙΘ στα ονομαστικά στοιχεία μαθητών, τους αριθμούς μητρώου και τις τάξεις εγγραφής.
γ) Να καταργήσει την πρόσβαση που, σύμφωνα με το υπ' αριθμ. πρωτ. Α.Π. εξ. 2693/4.8.2014 υπόμνημα, έχουν οι ατομικοί λογαριασμοί των χρηστών που αποδίδονται στους διευθυντές των διοικητικών δομών στα ονοματεπώνυμα των μαθητών των σχολικών μονάδων στην περιοχή της ευθύνης τους. Επίσης, να καταργήσει την πρόσβαση που, επίσης σύμφωνα με το παραπάνω υπόμνημα, έχουν οι λογαριασμοί των χρηστών που αποδίδονται στους αρμόδιους υπαλλήλους των διευθύνσεων σπονδών της Κεντρικής Υπηρεσίας του ΥΠΑΙΘ στα ονομαστικά στοιχεία μαθητών, τους αριθμούς μητρώου και τις τάξεις εγγραφής.
δ) Να εξασφαλίσει ότι πρόσβαση στα προσωπικά δεδομένα των μαθητών και των γονέων/κηδεμόνων τους που τηρούνται στο σύστημα έχει μόνο η σχολική μονάδα φοίτησης του μαθητή.
δ) Να εξασφαλίσει ότι πρόσβαση στα προσωπικά δεδομένα των μαθητών και των γονέων/κηδεμόνων τους που τηρούνται στο σύστημα έχει μόνο η σχολική μονάδα φοίτησης του μαθητή.
ε) Να μεριμνήσει για την κατάλληλη εκπαίδευση των χρηστών του συστήματος σε θέματα προστασίας και ασφάλειας προσωπικών δεδομένων.
ε) Να μεριμνήσει για την κατάλληλη εκπαίδευση των χρηστών του συστήματος σε θέματα προστασίας και ασφάλειας προσωπικών δεδομένων.
στ) Να ενεργοποιήσει τη δυνατότητα καταγραφής των ενεργειών των χρηστών του συστήματος, περιλαμβανομένων των διαχειριστών της υποδομής.
στ) Να ενεργοποιήσει τη δυνατότητα καταγραφής των ενεργειών των χρηστών του συστήματος, περιλαμβανομένων των διαχειριστών της υποδομής.
ζ) Να μεριμνήσει ώστε το σύστημα να αποκλείει την πρόσβαση των χρηστών που προέρχονται από ΙΡ διευθύνσεις εκτός του Πανελλήνιου Σχολικού Δικτύου δεδομένου ότι η εφαρμογή επιτρέπει την πρόσβαση μόνο στους χρήστες που είναι πιστοποιημένοι από την Κεντρική Υπηρεσία Πιστοποίησης τον Πανελλήνιου Σχολικού Δικτύου και το ΥΠΑΙΘ δεν τεκμηριώνει καθόλου για ποιό λόγο επιτρέπεται η πρόσβαση από όλες τις ελληνικές ΙΡ διευθύνσεις, γεγονός που αυξάνει τον κίνδυνο διαδικτυακών επιθέσεων.
ζ) Να μεριμνήσει ώστε το σύστημα να αποκλείει την πρόσβαση των χρηστών που προέρχονται από ΙΡ διευθύνσεις εκτός του Πανελλήνιου Σχολικού Δικτύου δεδομένου ότι η εφαρμογή επιτρέπει την πρόσβαση μόνο στους χρήστες που είναι πιστοποιημένοι από την Κεντρική Υπηρεσία Πιστοποίησης τον Πανελλήνιου Σχολικού Δικτύου και το ΥΠΑΙΘ δεν τεκμηριώνει καθόλου για ποιό λόγο επιτρέπεται η πρόσβαση από όλες τις ελληνικές ΙΡ διευθύνσεις, γεγονός που αυξάνει τον κίνδυνο διαδικτυακών επιθέσεων.
η) Να καταρτίσει σχέδιο ασφάλειας, στο οποίο να προσδιορίζονται σαφώς τα τεχνικά και οργανωτικά μέτρα ασφάλειας που άπτονται της συγκεκριμένης επεξεργασίας.
η) Να καταρτίσει σχέδιο ασφάλειας, στο οποίο να προσδιορίζονται σαφώς τα τεχνικά και οργανωτικά μέτρα ασφάλειας που άπτονται της συγκεκριμένης επεξεργασίας.
θ) Να μεριμνήσει για τον έλεγχο της ορθής εφαρμογής της εγκεκριμένης πολιτικής ασφαλείας στο εν λόγω σύστημα από όλα τα εμπλεκόμενα μέρη, καθώς και του εκτελούντα την επεξεργασία Ινστιτούτο Τεχνολογίας Υπολογιστών & Εκδόσεων (ΙΤΥΕ) — Διόφαντος.
θ) Να μεριμνήσει για τον έλεγχο της ορθής εφαρμογής της εγκεκριμένης πολιτικής ασφαλείας στο εν λόγω σύστημα από όλα τα εμπλεκόμενα μέρη, καθώς και του εκτελούντα την επεξεργασία Ινστιτούτο Τεχνολογίας Υπολογιστών & Εκδόσεων (ΙΤΥΕ) — Διόφαντος.
Τέλος, το ΥΠΑΙΘ πρέπει να ενημερώσει εγγράφως την Αρχή για την εκπλήρωση των συστάσεων του υπ' αριθμ. πρωτ. Γ/ΕΙΣ/8052/14-12-2012 πορίσματος διοικητικού ελέγχου που πραγματοποιήθηκε στα συστήματα e-school και e-datacenter<sup>'''[3]'''</sup> (ειδικά αυτών που εξακολουθούν να ισχύουν και μετά τη μετάβαση στο εν λόγω πληροφοριακό σύστημα), σύμφωνα με την με αριθμ. 187/2012 Απόφασή της.
Τέλος, το ΥΠΑΙΘ πρέπει να ενημερώσει εγγράφως την Αρχή για την εκπλήρωση των συστάσεων του υπ' αριθμ. πρωτ. Γ/ΕΙΣ/8052/14-12-2012 πορίσματος διοικητικού ελέγχου που πραγματοποιήθηκε στα συστήματα e-school και e-datacenter<sup>'''[3]'''</sup> (ειδικά αυτών που εξακολουθούν να ισχύουν και μετά τη μετάβαση στο εν λόγω πληροφοριακό σύστημα), σύμφωνα με την με αριθμ. 187/2012 Απόφασή της.



<sup>'''[3]'''</sup> Τα συστήματα e-school και e-datacenter αποτελούν λειτουργικά υφιστάμενες εφαρμογές που ενσωματώθηκαν στο σύστημα my-School.
<sup>'''[3]'''</sup> Τα συστήματα e-school και e-datacenter αποτελούν λειτουργικά υφιστάμενες εφαρμογές που ενσωματώθηκαν στο σύστημα my-School.

Αναθεώρηση της 12:18, 5 Νοεμβρίου 2014

(υπό κατασκευή)

Παρατηρητήριο για το mySchool, η παράθεση των περιεχομένων γίνεται με χρονολογική σειρά.


04-11-2013

Έργο: Απλούστευση Διαδικασιών Διοικητικής Υποστήριξης Πρωτοβάθμιας και Δευτεροβάθμιας Εκπαίδευσης

Εγχειρίδιο Χρήσης Πύλης myschool, Έκδοση 04-11-2013

pdf αρχείο, 87 σελίδες

Περιεχόμενα

  • 1 ΕΙΣΑΓΩΓΗ
  • 2 ΓΕΝΙΚΑ ΣΤΟΙΧΕΙΑ
  • 3 ΦΟΡΕΙΣ
  • 3.1 Ο Φορέας μου
  • 3.1.1 Γενικά Στοιχεία
  • 3.1.2 Οικονομικά Στοιχεία
  • 3.1.3 Λοιπά Στοιχεία
  • 3.1.4 Γεωγραφική Θέση
  • 3.2 Κατάλογος Φορέων
  • 3.3 Κτιριακή Υποδομή
  • 3.3.1 Στοιχεία Συγκροτήματος
  • 3.3.2 Στοιχεία Χώρου/Αίθουσας
  • 4 ΠΡΟΣΩΠΙΚΟ
  • 4.1 Εργαζόμενοι στο Φορέα μου
  • 4.2 Προσθήκη Εργαζόμενων στο Φορέα μου
  • 4.3 Πλήρης Κατάλογος Εργαζομένων
  • 4.4 Υπηρετήσεις Εργαζόμενων στο Φορέα μου
  • 4.5 Άδειες/Απουσίες
  • 4.6 Απεργίες/Στάσεις Εργασίας
  • 5 ΣΧΟΛΙΚΗ ΜΟΝΑΔΑ
  • 5.1 Διαχείριση Τμημάτων
  • 5.2 Διαχείριση Ομάδων Συνδιδασκαλίας
  • 5.3 Αναθέσεις Μαθημάτων σε Εκπαιδευτικούς
  • 5.4 Κενά Μαθημάτων
  • 5.5 Ωρολόγιο πρόγραμμα
  • 5.6 Μαθητικό δυναμικό
  • 5.7 Παράμετροι Αναφορών Σχολικής Μονάδας
  • 6 ΜΑΘΗΤΕΣ
  • 6.1 Στοιχεία Μαθητή
  • 6.1.1 Κατάλογος Μαθητών και Αναλυτικά Στοιχεία Μαθητή
  • 6.1.1.1 Καρτέλα Μαθητή
  • 6.1.1.1.1 Γενικά Στοιχεία
  • 6.1.1.1.2 Προσωπικά Στοιχεία
  • 6.1.1.1.3 Οικογενειακά Στοιχεία
  • 6.1.1.1.4 Κλίσεις Ονομάτων
  • 6.1.1.1.5 Στοιχεία Επικοινωνίας
  • 6.1.1.1.6 Στοιχεία Εγγραφής
  • 6.1.1.1.7 Αίτηση Μετεγγραφής
  • 6.1.1.1.8 Μαθήματα
  • 6.1.1.1.9 Βαθμοί
  • 6.1.1.1.10 Απουσίες
  • 6.1.1.1.11 Ηθικές Αμοιβές
  • 6.1.1.1.12 Ποινές
  • 6.1.1.1.13 Μαθητής Παλιννοστών/Αλλοδαπός
  • 6.2 Εγγραφές Μαθητών
  • 6.2.1 Νέες Εγγραφές Μαθητών
  • 6.2.2 Αίτηση Μετεγγραφής
  • 6.2.3 Επεξεργασία Αιτήσεων Μετεγγραφής
  • 6.2.4 Κατανομή Μαθητών σε Τμήματα
  • 6.2.5 Εισαγωγή Μαθητών από Αρχείο Excel
  • 6.3 Απουσίες
  • 6.3.1 Απουσίες ανά Τμήμα
  • 6.3.2 Απουσίες ανά Τμήμα από αρχείο Excel
  • 6.4 Βαθμολογίες
  • 6.4.1 Εισαγωγή Βαθμών ανά Τάξη
  • 6.4.2 Εισαγωγή Βαθμών ανά Τμήμα
  • 6.4.3 Εισαγωγή βαθμών ανά Τμήμα από αρχείο Excel
  • 6.4.4 Εισαγωγή βαθμών ανά Τάξη από αρχείο Excel
  • 6.5 Έκδοση Αποτελεσμάτων
  • 6.5.1 Ενημέρωση Διαγωγής
  • 6.5.2 Ενημέρωση Φοίτησης
  • 6.5.3 Τελική Επίδοση (Γενικά Αποτελέσματα)
  • 6.5.4 Τελική Επίδοση (Αποτελέσματα Επανεξέτασης)
  • 6.5.5 Ενημέρωση Αριθμών Πρωτοκόλλου
  • 7 ΑΝΑΦΟΡΕΣ
  • 7.1 Ταξινόμηση και Κριτήρια
  • 7.2 Ρυθμίσεις εμφάνισης
  • 7.3 Επικεφαλίδες και υποσέλιδα
  • 7.4 Προεπισκόπηση
  • 7.5 Διαθέσιμες Αναφορές
  • 7.5.1 Αναφορές Δημοτικού
  • 7.5.1.1 Αναφορές Μαθητών
  • 7.5.1.2 Αναφορές Εργαζομένων
  • 7.5.1.3 Αναφορές Τάξεων
  • 7.5.1.4 Αναφορές Τμημάτων
  • 7.5.1.5 Αναφορές Σχολείου
  • 7.5.2 Αναφορές Γυμνασίου
  • 7.5.2.1 Αναφορές Μαθητών
  • 7.5.2.2 Αναφορές Εργαζομένων
  • 7.5.2.3 Αναφορές Τάξεων
  • 7.5.2.4 Αναφορές Τμημάτων
  • 7.5.2.5 Αναφορές Σχολείου
  • 7.5.3 Αναφορές Λυκείου
  • 7.5.3.1 Αναφορές Μαθητών
  • 7.5.3.2 Αναφορές Εργαζομένων
  • 7.5.3.3 Αναφορές Τάξεων
  • 7.5.3.4 Αναφορές Τμημάτων
  • 7.5.3.5 Αναφορές Σχολείου
  • 7.5.4 Αναφορές Επαγγελματικού Λυκείου
  • 7.5.4.1 Αναφορές Μαθητών
  • 7.5.4.2 Αναφορές Εργαζομένων
  • 7.5.4.3 Αναφορές Τάξεων
  • 7.5.4.4 Αναφορές Τμημάτων
  • 7.5.4.5 Αναφορές Σχολείου


Η ιδιωτική εταιρία (νομικό πρόσωπο ιδιωτικού δικαίου) που έχει αναλάβει την υλοποίηση, εγκατάσταση, διαχείριση και συντήρηση της εφαρμογής mySchool είναι το Ινστιτούτο Τεχνολογίας Υπολογιστών & Εκδόσεων (ΙΤΥΕ) - ΔΙΟΦΑΝΤΟΣ

Από τον ιστότοπο του ΔΙΟΦΑΝΤΟΣ, διαβάζουμε:

Το Ινστιτούτο Τεχνολογίας Υπολογιστών και Εκδόσεων (Ι.Τ.Υ.Ε.) ιδρύθηκε με την ονομασία Ινστιτούτο Τεχνολογίας Υπολογιστών το 1985 με έδρα την Πάτρα, ως ΝΠΙΔ μη κερδοσκοπικού χαρακτήρα εποπτευόμενο από την ΓΓΕΤ (με το Προεδρικό Διάταγμα 9/1985, ΦΕΚ Α' 6, 21/01/1985, Διατάγματα 7, 8, 9 και 10 >FEK_A_6_21-01-1985<).

Από το 1992 εποπτεύεται από το Υπουργείο Παιδείας & Θρησκευμάτων και διαθέτει διοικητική, οικονομική και επιστημονική αυτοτέλεια. Με το άρθρο 2 του Ν. 2909/2001 (>FEK_A_90_02-05-2001_N_2909<), ο οποίος διέπει τη λειτουργία του, μετονομάστηκε σε Ερευνητικό Ακαδημαϊκό Ινστιτούτο Τεχνολογίας Υπολογιστών (Ε.Α.Ι.Τ.Υ.).

Με το νέο νόμο 3966/2011 (>FEK_A_118_24-05-2011_N_3966<) μετονομάστηκε σε Ινστιτούτο Τεχνολογίας Υπολογιστών και Εκδόσεων (Ι.Τ.Υ.Ε.) και είναι ο τεχνολογικός πυλώνας στήριξης των δράσεων ΤΠΕ στην εκπαίδευση και ο φορέας της έκδοσης του έντυπου [σχολικά βιβλία] και ηλεκτρονικού υλικού για την εκπαίδευση.

Επίσης, το Ι.Τ.Υ.Ε. ανέλαβε την διοίκηση & διαχείριση του Πανελλήνιου Σχολικού Δικτύου, του μεγαλύτερου δικτύου χρηστών στη χώρα. Σύμφωνα με το θεσμικό καθεστώς λειτουργίας του, διοικείται από Πρόεδρο και 9μελές Διοικητικό Συμβούλιο.

Η επιτυχημένη πορεία του οργανισμού πιστώνεται στα στελέχη και το προσωπικό του, με πρώτους στην ιεραρχία τους διατελέσαντες διευθυντές, που έθεσαν τα θεμέλια της ανάπτυξης ενός σύγχρονου ερευνητικού ιδρύματος στην ελληνική περιφέρεια.

Δραστηριότητες:

Το Ι.Τ.Υ.Ε. είναι σύγχρονος & αποδεδειγμένα αποδοτικός οργανισμός του Υπουργείου Παιδείας & Θρησκευμάτων κι έχει σύγχρονη διοικητική δομή & λειτουργία καθώς και έμπειρο & υψηλών επιστημονικών προσόντων προσωπικό. Το Ι.Τ.Υ.Ε. είναι τεχνολογικός πυλώνας για την στήριξη των ΤΠΕ στην παιδεία, είναι αρμόδιο για την έκδοση έντυπου (Διεύθυνση Εκδόσεων) & ηλεκτρονικού υλικού, καθώς και για την διοίκηση του Πανελλήνιου Σχολικού Δικτύου. Ταυτόχρονα δε, έχει στους σκοπούς του την βασική & εφαρμοσμένη έρευνα στις ΤΠΕ.

Όλες οι δραστηριότητες του Ι.Τ.Υ.Ε. αναπτύσσονται μέσα από τη λειτουργία των Λειτουργικών Παραγωγικών Μονάδων (Ερευνητικές Μονάδες και Διευθύνσεις της ΚτΠ) και υποστηρίζονται από τις υπηρεσίες των Λειτουργικών Υποστηρικτικών Μονάδων.



12-11-2013

Ξεκίνησε η χρήση της εφαρμογής mySchool από τα σχολεία της χώρας[*]. To mySchool είναι ένα νέο πληροφοριακό σύστημα του Υπουργείου Παιδείας που αποσκοπεί στη λειτουργική ενοποίηση και επέκταση των μηχανογραφικών εφαρμογών της εκπαιδευτικής κοινότητας.

[*] “Έναρξη παραγωγικής λειτουργίας νέου ενιαίου Πληροφοριακού Συστήματος Σχολικών Μονάδων και Διοικητικών Δομών «mySchool» για την Α'-Βάθμια Εκπαίδευση και Γυμνάσια”, Υφυπουργός Συμεών Κεδίκογλου, Υπουργείο Παιδείας, Μαρούσι, 12-11-2013, Αρ. Πρωτ. 171490/Δ2



26-11-2013

Αίτημα προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα από την Ομοσπονδία Λειτουργών Μέσης Εκπαίδευσης (ΟΛΜΕ), την Διδασκαλική Ομοσπονδία Ελλάδος (ΔΟΕ), την Ένωση Γονέων Δήμου Σύρου-Ερμούπολης και του Συλλόγου Εκπαιδευτικών Πρωτοβάθμιας Εκπαίδευσης (ΣΕΠΕ) Κεντρικής και Νότιας Χαλκιδικής για την εξέταση της εν λόγω εφαρμογής.

Όπως αναφέρετε στην απόφαση της ΑΠΔΠΧ:

Η Αρχή έλαβε υπόψη τα παρακάτω:

Υποβλήθηκε στην Αρχή η υπ' αριθμ. πρωτ. ΑΠΔΠΧ Γ/ΕΙΣ/17549/26-11-2013 προσφυγή του Συλλόγου Εκπαιδευτικών Πρωτοβάθμιας Εκπαίδευσης Κεντρικής και Νότιας Χαλκιδικής, όπως συμπληρώθηκε με το υπ' αριθμ. πρωτ. ΑΠΔΠΧ Γ/ΕΙΣ/17550/26-11-2013, με την οποία ο παραπάνω σύλλογος κατήγγειλε τη συλλογή και επεξεργασία των προσωπικών δεδομένων των μαθητών και των γονέων/κηδεμόνων τους από το ΥΠΑΙΘ στο πλαίσιο τον Νέου Ενιαίου Πληροφοριακού Συστήματος Σχολικών Μονάδων και Διοικητικών Μονάδων "mySchool" για Πρωτοβάθμια Εκπαίδευση και Γυμνάσια.

Σύμφωνα με τα αναφερόμενα στην ως άνω προσφυγή, το ΥΠΑΙΘ, με το υπ' αριθμ. πρωτ. 171490/Δ2 από 12/11/2013 έγγραφό του, με τίτλο "Έναρξη Παραγωγικής Λειτουργίας του Νέου Ενιαίου Πληροφοριακού Συστήματος Σχολικών Μονάδων και Διοικητικών Μονάδων "mySchool" για Πρωτοβάθμια Εκπαίδευση και Γυμνάσια", καλεί τις σχολικές μονάδες της Πρωτοβάθμιας και Δευτεροβάθμιας Εκπαίδευσης να ενημερώνουν σε καθημερινή βάση την ψηφιακή πλατφόρμα/εφαρμογή με τίτλο mySchool μέσω του διαδικτυακού τόπου https://myschool.sch.gr. Ειδικότερα, o διαχειριστής της σχολικής μονάδας καλείται να καταχωρήσει στο εν λόγω πληροφοριακό σύστημα προσωπικά δεδομένα των μαθητών της σχολικής του μονάδας, τα οποία δεν έχουν συσχέτιση ή συνάφεια ή υποχρεωτικότητα ως προς τη σχολική φοίτηση. Επίσης, οι διευθυντές και προϊστάμενοι των σχολικών μονάδων καλούνται να καταχωρήσουν στο σύστημα αυτό μια σειρά πεδίων, χωρίς την προηγούμενη συναίνεση των γονέων ή κηδεμόνων των ανήλικων μαθητών, όπως ΑΜΚΑ μαθητή, μόρφωση πατέρα και μητέρας μαθητή, γλώσσα πατέρα και μητέρας μαθητή, πλήρη στοιχεία επικοινωνίας με την οικογένεια του μαθητή (τηλέφωνα σταθερά και κινητά, φαξ, ηλεκτρονικές διευρύνσεις), πλήρη στοιχεία εργασίας γονέα ή κηδεμόνα, επτβληθείσες ποινές μαθητή (αποβολή, ωριαία αποβολή, μείωση διαγωγής κλπ), ειδικές εκπαιδευτικές ανάγκες μαθητή με πρόβλεψη καταγραφής/περιγραφής του «οικογενειακού περιβάλλοντος» και της «φαρμακευτικής αγωγής» του μαθητή, καταγραφή των παλιννοστούντων/αλλοδαπών μαθητών με ερωτήσεις όπως «Έτη σε σχολεία της Ελλάδος», «Ελληνικής καταγωγής», «Έτος αφίξεως στην Ελλάδα» κλπ.

Η Αρχή, στα πλαίσιο εξέτασης της ως άνω υπόθεσης, με τα υπ' αριθμ. πρωτ. ΑΠΔΠΧ Γ/ΕΙΣ/7549-1/19-12-2013 έγγραφό της, διαβίβασε στο ΥΠΑΙΘ αντίγραφο της ως άνω προσφυγής και ζήτησε από το ΥΠΑΙΘ τις απόψεις του επί των ζητημάτων που εκτίθενται στην προσφυγή αυτή καθώς και επιπλέον διευκρινήσεις.

Εν συνεχεία, η Αρχή, λόγω του μεγάλου αριθμού αιτημάτων και ερωτημάτων που δεχόταν για το σύστημα mySchool και επειδή δεν είχε λάβει σχετική απάντηση, με το υπ' αριθμ. πρωτ. ΑΠΔΠΧ Γ/ΕΞ/1090/18-02-2814 έγγραφό της, κάλεσε το ΥΠΑΙΘ να απαντήσει στο παραπάνω έγγραφο της.

Το ΥΠΑΙΘ απάντησε με το υπ' αριθμ. πρωτ. 945/10-3-2014 (αριθμ. πρωτ. ΑΠΔΠΧ: Γ/ΕΙΣ/1735/17-03-2014) έγγραφό του.

Ακολούθως η Αρχή με το υπ' αριθμ. πρωτ. ΑΠΔΠΧ Γ/ΕΞ/2781/05-05-2014 έγγραφό της ζήτησε από το ΥΠΑΙΘ πρόσθετα συμπληρωματικά στοιχεία και επεξηγήσεις σχετικά με την επεξεργασία των δεδομένων των μαθητών και τα μέτρα ασφάλειας καθώς και να ενημερωθεί εγγράφως για την εκπλήρωση των συστάσεων του υπ' αριθμ. πρωτ. Γ/ΕΙΣ/8052/14-12-2012 πορίσματος διοικητικού ελέγχου που πραγματοποιήθηκε στα συστήματα e-school και e-datacenter (ειδικά αυτών που εξακολουθούν να ισχύουν και μετά τη μετάβαση στο σύστημα mySchοοl), σύμφωνα με την υπ' αριθμ. 187/2012 Απόφασή της.

Στη συνέχεια υποβλήθηκαν στην Αρχή ακόμα τρεις προσφυγές για το σύστημα mySchool, η υπ' αριθμ. πρωτ. ΑΠΔΠΧ Γ/ΕΙΣ/1535/7-3-2014 προσφυγή της Ομοσπονδίας Λειτουργών Μέσης Εκπαίδευσης (ΟΛΜΕ), η υπ' αριθμ. πρωτ. ΑΠΔΠΧ Γ/ΕΙΣ/1565/10-3-2014 προσφυγή της Διδασκαλικής Ομοσπονδίας Ελλάδος (Δ.Ο.Ε.) και η υπ' αριθμ. πρωτ. ΑΠΔΠΧ Γ/ΕΙΣ/1663/13-3-2014 προσφυγή της Ένωσης Γονέων Δήμου Σύρου-Ερμούπολης όπως συμπληρώθηκε με τα υπ' αριθμ. πρωτ. ΑΠΔΠΧ Γ/ΕΙΣ/2879/8-5-2014 και Γ/ΕΙΣ/3596/5-6-2014 έγγραφα.

Η Αρχή με το υπ' αριθμ. πρωτ, ΑΠΔΠΧ Γ/ΕΞ/2920/12-05-2014 έγγραφό της διαβίβασε στο ΥΠΑΙΘ αντίγραφα των προσφυγών αυτών και ζήτησε από το ΥΠΑΙΘ να παράσχει γραπτώς τις απόψεις του για τις τρεις αυτές προσφυγές καθώς και να απαντήσει στο προηγούμενο ως άνω υπ' αριθμ. πρωτ. ΑΠΑΠΧ Γ/ΕΞ/2781/05-05-2014 έγγραφό της.

Στη συνέχεια, η Αρχή με το υπ' αριθμ. πρωτ. ΑΠΔΠΧ Γ/ΕΞ/3371/29-05-2014 έγγραφό της ζήτησε από το ΥΠΑΙΘ να απαντήσει στα δύο προηγούμενα ως άνω έγγραφά της και να ενημερώσει την Αρχή για τις προϋποθέσεις διεξαγωγής και υλοποίησης ανάλογων με το mySchool πληροφοριακών συστημάτων σε χώρες του εξωτερικού και κυρίως σε χώρες της Ευρωπαϊκής Ένωσης και να υποβάλει την πολιτική ασφαλείας του.

Ακολούθως, το ΥΠΑΙΘ με το από 3/6/2014 μήνυμα ηλεκτρονικού ταχυδρομείου, το οποίο πρωτοκολλήθηκε με το υπ' αριθμ. πρωτ. ΑΠΔΠΧ Γ/ΕΙΣ/3737/13-6-2014, ενημέρωσε την Αρχή ότι διατηρεί επιφυλάξεις ως προς την κοινοποίηση της πολιτικής ασφαλείας σε τρίτους λόγω των εμπιστευτικών συνοδευτικών παραρτημάτων της Επιτροπής Ασφαλείας και ζήτησε να ενημερωθεί αν υπάρχει συγκεκριμένη νομική διάταξη που επιτρέπει στην Αρχή να έχει πρόσβαση σε τέτοια εμπιστευτικά έγγραφα καθώς και με τον τρόπο αποστολής της πολυσέλιδης πολιτικής και κανονισμού ασφαλείας.

Η Αρχή απάντησε με το υπ' αριθ. πρωτ. ΑΠΔΠΧ Γ/ΕΞ/3925/20-6-2014 έγγραφό της, με το οποίο κάλεσε εκ νέου το ΥΠΑΙΘ να απαντήσει στα μέχρι τότε έγγραφά της και ενημέρωσε το ΥΠΑΙΘ ότι κατά το άρθρο 19 παρ. 1 στοιχ. η) του ν. 2472/1997 «Η Αρχή έχει τις εξής ιδίως αρμοδιότητες :... η) Ενεργεί αυτεπαγγέλτως ή κατόπιν καταγγελίας διοικητικούς ελέγχους στο πλαίσιο των οποίων ελέγχονται η τεχνολογική υποδομή και άλλα, αυτοματοποιημένα ή μη, μέσα που υποστηρίζουν την επεξεργασία των δεδομένων. Έχει προς τούτο δικαίωμα προσβάσεως στα δεδομένα προσωπικού χαραχτήρα και συλλογής κάθε πληροφορίας για τους σκοπούς του ελέγχου, χωρίς να, μπορεί να της αντιταχθεί κανενός είδους απόρρητο...» καθώς και σχετικά με ενδεικτικό τρόπο ασφαλούς αποστολής της πολιτικής ασφαλείας.

Στη συνέχεια και μετά από αλλεπάλληλη επικοινωνία με το ΥΠΑΙΘ, η Αρχή με την με αριθμ. πρωτ. ΑΠΔΠΧ Γ/ΕΞ/3945/23-06-2014 κλήση κάλεσε το ΥΠΑΙΘ σε ακρόαση, από το οποίο ζητήθηκε αναβολή και ορίσθηκε νέα ακρόαση στις 30.7.2014. Κατά την ακρόαση της 30.7.2014 παρευρέθησαν εκπρόσωποι του ΥΠΑΙΘ και του Ινστιτούτου Τεχνολογίας Υπολογιστών & Εκδόσεων (ΙΤΥΕ) — Διόφαντος και ορίσθηκε προθεσμία υποβολής υπομνήματος, το οποίο και κατατέθηκε στην Αρχή με το υπ' αριθμ. πρωτ. Α.Π. εξ. 2693/4.8.2014 (αριθ. πρωτ. ΑΠΔΠΧ Γ/ΕΙΣ/4833/5.8.2014) και στο οποίο τελικά δόθηκαν απαντήσεις σε ερωτήματα που έθεσε η Αρχή με τα έγγραφά της.


Αναλυτικότερα, το ΥΠΑΙΘ με το υπ' αριθμ. πρωτ. 905/10-3-2014 έγγραφό του και με το υπ' αριθμ. πρωτ. Α.Π. εξ. 2693/4.8.2014 υπόμνημα, απάντησε στην Αρχή τα εξής:


Το πληροφοριακό σύστημα mySchool αποτελεί μηχανογραφικό εργαλείο καθημερινής διοικητικής υποστήριξης των σχολικών μονάδων της επικράτειας και των υψηλότερων διοικητικά εκπαιδευτικών δομών (διευθύνσεις εκπαίδευσης, περιφερειακές διευθύνσεις, Κεντρική Υπηρεσία). Στόχος του είναι να ολοκληρώσει, να επεκτείνει και να βελτιώσει υφιστάμενες μηχανογραφικές εφαρμογές (όπως e-school, e-datacenter, survey) που αξιοποιούνται από την εκπαιδευτική κοινότητα, σε μια λειτουργικά ενιαία υπολογιστική πλατφόρμα. Η σχεδίαση και αξιοποίηση του συστήματος αυτού συνάδει με τη διεθνή πρακτική αξιοποίησης πληροφοριακών συστημάτων τέτοιας κλίμακας, με στόχο α) τη μείωση της γραφειοκρατίας, β) την παροχή (Ψηφιακών) υπηρεσιών προστιθέμενης αξίας προς του πολίτες (στην προκειμένη περίπτωση, στο σύνολο της εκπαιδευτικής κοινότητας), γ) τη βελτίωση της αποδοτικότητας και της αποτελεσματικότητας της διοίκησης, δ) τον εξορθολογισμό και την ενίσχυση της διαφάνειας στη δημόσια διοίκηση. Ειδικότερα τα οφέλη που προκύπτουν, σύμφωνα με το ΥΠΑΙΘ, από την αξιοποίηση της υπό εξέταση εφαρμογής είναι: η βελτίωση και η ανάδειξη του εκπαιδευτικού έργου, η μείωση του χρόνου άσκησης διοικητικού έργου, η υποβοήθηση στη λήψη αποφάσεων διοίκησης και εκπαιδευτικού σχεδιασμού και έρευνας, καθώς και η δωρεάν παροχή υπηρεσιών προστιθέμενης αξίας.

Πέραν των τυπικών δεδομένων φοίτησης (όπως βαθμοί, απουσίες) στη βάση δεδομένων του εν λόγω πληροφοριακού συστήματος τηρούνται και τα εξής δεδομένα των μαθητών: Όνομα, Επώνυμο, Πατρώνυμο, Μητρώνυμο, Φύλο, ΑΜΚΑ, Ημερομηνία Γέννησης, Επώνυμο Πατέρα, Επάγγελμα Πατέρα, Μόρφωση Πατέρα, Υπηκοότητα Πατέρα, Γλώσσα Πατέρα, Γένος Μητέρας, Εθνικότητα, Επώνυμο Μητέρας, Επάγγελμα Μητέρας, Μόρφωση Μητέρας, Υπηκοότητα Μητέρας, Γλώσσα Μητέρας, Επώνυμο Κηδεμόνα, Επάγγελμα Κηδεμόνα, Μόρφωση Κηδεμόνα, Υπηκοότητα Κηδεμόνα, Γλώσσα Κηδεμόνα, Στοιχεία Επικοινωνίας Μαθητή και Κηδεμόνα (Δ/νση, τηλέφωνο, φαξ, ηλεκτρονική διεύθυνση), Αριθμός Δημοτολογίου, Αριθμός Μητρώου Αρρένων.

Η εφαρμογή mySchool έχει σχεδιαστεί, ώστε να υποστηρίζει και τις ακόλουθες πληροφοριακές ομάδες δεδομένων, οι οποίες έχουν «κληρονομηθεί» από την υφιστάμενη εφαρμογή e -school και αποτυπώνονταν σε ηλεκτρονικές φόρμες της εφαρμογής κατά την πιλοτική λειτουργία, αλλά δεν εμφανίστηκαν ποτέ στην παραγωγική λειτουργία του συστήματος και ως εκ τούτον δεν υπάρχουν τα αντίστοιχα δεδομένα για την μαθητή. Τα παρακάτω πεδία υφίστανται στη σχεδίαση του συστήματος ως υπάρχουσες από προγενέστερα συστήματα οντότητες και δεν έχουν πληθυσμωθεί, ούτε εμφανίζονται στις καρτέλες της εφαρμογής:

- Θρήσκευμα και εθνικότητα,

- Δελτίο υγείας (α) ιστορικό: χρόνια νοσήματα, λοιμώδη νοσήματα, αλλεργία, χειρουργικές επεμβάσεις, προβλήματα συμπεριφοράς, διαταραχές ύπνου, ενούρηση, μαθησιακές δυσκολίες, δυσλεξία, μειωμένη επίδοση στο σχολείο, μετά από άσκηση λιποθυμία, προκάρδιο άλγος, εύκολη κόπωση, εμβολιασμοί, β) αντικειμενική εξέταση: ύψος, βάρος, δέρμα, σκελετός, σκολίωση, κύφωση, άλλα,), οπτική οξύτητα, στραβισμός, αχρωματοψία, ακοή, δόντια, κυκλοφοριακό, αρτηριακή πίεση, ψηλάφηση μηρών, βουβωνοκήλη, άλλα ευρήματα, ειδικές εκπαιδευτικές ανάγκες, αυτισμός, κινητικά προβλήματα, κωφοί και βαρήκοοι, μαθησιακές δυσκολίες, πνευματική καθυστέρηση, πολλαπλές αναπηρίες, συναισθηματικά-κοινωνικά-ψυχικά προβλήματα, τυφλοί, αμβλύωπες, ειδικές εκπαιδευτικές ανάγκες, περιγραφή σκέψης, κίνησης επικοινωνίας, περιγραφή φαρμακευτικής, άλλης αγωγής.

- Στα δεδομένα αλλοδαπών/παλιννοστούντων περιλαμβάνονται μητρικής γλώσσα, έτη σε σχολεία εξωτερικού, γλώσσα διδασκαλίας, ελληνική καταγωγή, βαθμός προαγωγής τελευταίας τάξης φοίτησης εξωτερικού, χώρα προέλευσης, έτη σε σχολεία της Ελλάδος, έκανε ή κάνει μαθήματα για παιδιά εξωτερικού, έτος αφίξεως στην Ελλάδα.

Ειδικότερα, ως προς τα δεδομένα αλλοδαπών/παλιννοστούντων στο ως άνω υπόμνημα αναφέρεται ότι αυτά συλλέγονται με χειρόγραφη συμπλήρωση φόρμας κατά την εγγραφή του μαθητή στο σχολείο, όπου ο κηδεμόνας ενημερώνεται για το ότι τα δεδομένα αυτά είναι προαιρετικά και θα χρησιμοποιηθούν για στατιστικούς σκοπούς. Στο δε απαντητικό έγγραφο αναφέρεται ότι τα στοιχεία της καταγραφής των παλιννοστούντων-αλλοδαπών μαθητών κληρονομήθηκαν από την εφαρμογή e-school, επηρεάζουν τις διαδικασίες φοίτησης (πχ συμμετοχή σε πανελλήνιες εξετάσεις), ενώ παράλληλα διευκολύνουν την εξαγωγή απαραίτητων στατιστικών στοιχείων.

Όσον αφορά στη χρήση του ΑΜΚΑ του μαθητή, αυτή έχει ως μοναδικό στόχο την ορθή ταυτοποίηση του και την αποφυγή διπλοεγγραφών και λανθασμένων συσχετίσεων μαθητών με σχολικές μονάδες, λόγω του ότι είναι το μοναδικό στοιχείο ταυτοποίησης που παρέχεται σε όλους τους πολίτες. Ισοδύναμο στοιχείο κρίνει το ΥΠΑΙΘ ότι θα μπορούσε να είναι ένας μοναδικός αριθμός μητρώου ο οποίος αποδίδεται σε κάθε μαθητή κατά την εισαγωγή του στο εκπαιδευτικό σύστημα και θα τον ακολουθεί μέχρι την έξοδο του από αυτό.

Τα στοιχεία που αφορούν στην μόρφωση, γλώσσα πατέρα και μητέρας μαθητή κληρονομήθηκαν από την υφιστάμενη εφαρμογή e-schοo1, δεν αποτελούν υποχρεωτική πληροφορία στην καταχώριση του μαθητή, παρέχονται εθελουσίως από τους γονείς και αφορούν αποκλειστικά σε στατιστική επεξεργασία στοιχείων εκ μέρους τον ΥΠΑΙΘ. Τα πλήρη στοιχεία επικοινωνίας με την οικογένεια του μαθητή, επίσης, κληρονομήθηκαν από την υφιστάμενη εφαρμογή e-school, ενώ παράλληλα το τηλέφωνο ως στοιχείο επικοινωνίας υπάρχει στο υφιστάμενο έντυπο ατομικό δελτίο μαθητή. Δεν είναι υποχρεωτικά και παρέχονται εθελουσίως από τους γονείς με προφανή σκοπό την ενημέρωση σε περίπτωση ανάγκης.

Οι επιβληθείσες ποινές μαθητή αποτελούν στοιχείο της φοίτησης του μαθητή και τηρούνται στο «Ποινολόγιο» της σχολικής μονάδας. Η εφαρμογή mySclool υλοποιεί ψηφιακή εκδοχή του ποινολογίου, της οποίας τα δεδομένα υπόκεινται στον εξής περιορισμό: οι ποινές ενός μαθητή ως ηλεκτρονική πληροφορία παραμένουν στη σχολική μονάδα που επιβλήθηκαν και καμία άλλη σχολική μονάδα μελλοντικής φοίτησης δεν θα διαθέτει αυτή την πληροφορία.

Στο εν λόγω πληροφοριακό σύστημα έχουν υλοποιηθεί κατηγορίες χρηστών που έχουν πρόσβαση αποκλειστικά και μόνο σε δεδομένα και δυνατότητες επεξεργασίας που απορρέουν από τη θεσμική τους ιδιότητα και την περιοχή ευθύνης τους. Χρήστες του συστήματος είναι οι διευθυντές των σχολικών μονάδων της Πρωτοβάθμιας και Δευτεροβάθμιας Εκπαίδευσης, οι διευθυντές των Διευθύνσεων και Περιφερειακών Διευθύνσεων Εκπαίδευσης και οι χρήστες των αρμόδιων κεντρικών διευθύνσεων τον ΥΠΑΙΘ. Οι κατηγορίες χρηστών και οι αντίστοιχοι ρόλοι Θα εμπλουτιστούν/εξειδικευθούν κατά το επόμενο σχολικό έτος (πχ. Θα προστεθεί ο ρόλος «υπεύθυνος τμήματος», «υπεύθυνος θεμάτων προσωπικού διοικητικής δομής», «υπεύθυνος θεμάτων σπουδών διοικητικής δομής»).

Στο ως άνω απαντητικό έγγραφο τον ΥΠΑΙΘ καθώς και στο ως άνω υπόμνημα τονίζεται ρητώς ότι αποκλειστική πρόσβαση στα δεδομένα των μαθητών έχει μόνο ο διευθυντής της σχολικής μονάδας, στην οποία φοιτά ο μαθητής. Κανένας χρήστης Διεύθυνσης, Περιφερειακής Διεύθυνσης, Κεντρικής Υπηρεσίας του ΥΠΑΙΘ, άλλου φορέα ή της πολιτικής ηγεσίας δεν διαθέτει πρόσβαση σε ατομικά στοιχεία μαθητή.

Οι ατομικοί λογαριασμοί που αποδίδονται στους διευθυντές των υψηλότερων διοικητικών δομών, όπως η διεύθυνση ή η περιφερειακή διεύθυνση, προσφέρουν πρόσβαση σε στοιχεία που αφορούν πληροφοριακές οντότητες στην περιοχή ευθύνης της δομής. Όπως αναφέρεται στο ως άνω υπόμνημα, οι παραπάνω ατομικοί λογαριασμοί δεν διαθέτουν πρόσβαση σε ατομικά στοιχεία μαθητών, παρά μόνο στα ονοματεπώνυμα των μαθητών μιας σχολικής μονάδας και σε στατιστικά στοιχεία. Επίσης, αναφέρεται στο υπόμνημα αυτό ότι οι χρήστες της Κεντρικής Υπηρεσίας του ΥΠΑΙΘ διαθέτουν πρόσβαση στο σύστημα και μόνο για την περιοχή δεδομένων αρμοδιότητάς τους. Για παράδειγμα οι Διευθύνσεις Σπουδών διαθέτουν πρόσβαση μόνο στα ονομαστικά στοιχεία μαθητών, τους αριθμούς μητρώου και τις τάξεις εγγραφής.

Όλοι οι λογαριασμοί χρηστών, ασχέτως κατηγορίας/ρόλου, είναι προσωπικοί και εκδίδονται με πάγιες διαδικασίες που αφορούν στη διαχείριση χρηστών από το Πανελλήνιο Σχολικό Δίκτυο. Η εφαρμογή του πληροφοριακού συστήματος mySchool είναι προσβάσιμη για χρήστες πιστοποιημένους από την Κεντρική Υπηρεσία Πιστοποίησης τον Πανελλήνιου Σχολικού Δικτύου. Επίσης, τη εφαρμογή ελέγχει και αποκλείει την πρόσβαση των χρηστών που προέρχονται από ΙΡ διευθύνσεις εκτός του ελλαδικού χώρου.

Τα δεδομένα μεταδίδονται κρυπτογραφημένα με χρήση του πρωτοκόλλου ΗΤΤΡS. Τα αντίγραφα ασφαλείας της βάσης δεδομένων τηρούνται κρυπτογραφημένα. Δεν έχει επιλεγεί κάποιο σχήμα κρυπτογράφησης των δεδομένων στη βάση, κατά τους ισχυρισμούς του ΥΠΑΙΘ, για λόγους α) μη ουσιαστικής αναγκαιότητας λόγω εξαιρετικά ενισχυμένης φυσικής ασφάλειας του υπολογιστικού κέντρου, είναι πρακτικά αδύνατο να αφαιρεθούν οι σκληροί δίσκοι της υποδομής β) σε κάθε περίπτωση, μη αποδεκτής υποβάθμισης της υπολογιστικής απόδοσης.



02-10-2014

Η Αρχή, μελετώντας το θέμα βρήκε πολλά προβλήματα, όπως η έλλειψη κρυπτογράφησης των δεδομένων, η εύκολη πρόσβαση στα δεδομένα όλων των μαθητών σε όσους έχουν λογαριασμό, καθώς και η έλλειψη οποιουδήποτε χρονοδιαγράμματος για την διαγραφή των δεδομένων αυτών από την εφαρμογή. Η απόφαση με αριθμό 139/2014 pdf αρχείο, 22 σελίδες καλεί το υπουργείο Παιδείας να πάρει μία σειρά από μέτρα σχετικά με την λειτουργία της εφαρμογής αυτής. Χρειάστηκαν 22 ολόκληρες σελίδες για να περιγραφούν όλα όσα «περίεργα» βρήκε η Αρχή σχετικά με την λειτουργία αυτής της εφαρμογής.

Από το κείμενο της απόφασης ξεχωρίζουμε μερικά χαρακτηριστικά σημεία:

Η Αρχή, μετά από εξέταση των προαναφερομένων στοιχείων, αφού άκουσε τους εισηγητές και τη βοηθό εισηγήτρια, η οποία στη συνέχεια αποχώρησε, κατ' κατόπιν διεξοδικής συζήτησης

ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ

(αναφέρουμε εδώ μόνο τις συστάσεις της Αρχής και όχι τους νόμους και τις σχετικές διατάξεις. Κάθε μια από αυτές τις συστάσεις αποτελούν το αντικείμενο του παρατηρητηρίου για το myScool)

1. Το ΥΠΑΙΘ αναφέρει ότι σκοπός της υπό εξέταση επεξεργασίας προσωπικών δεδομένων αποτελεί η υποστήριξη των διαδικασιών εκπαιδευτικού σχεδιασμού και διοίκησης σχολικών μονάδων, διευθύνσεων, περιφερειακών διευθύνσεων και κεντρικής υπηρεσίας τον ΥΠΑΙΘ και γενικότερα η μηχανογραφική και γραμματειακή υποστήριξη. Συνεπώς, ο σκοπός είναι καταρχήν θεμιτός και εμπίπτει στις γενικότερες αρμοδιότητες του ΥΠΑΙΘ να οργανώνει και να διοικεί τους υπαγόμενους φορείς, μεταξύ των οποίων είναι και οι σχολικές μονάδες.


2. Στην υπό εξέταση υπόθεση υπεύθυνο επεξεργασίας αποτελούν τόσο το ΥΠΑΙΘ όσο και η κάθε σχολική μονάδα ξεχωριστά. Το ΥΠΑΙΘ αποτελεί υπεύθυνο επεξεργασίας της βάσης δεδομένων του συστήματος mySοhool καθώς σε αυτή συγκεντρώνονται δεδομένα κατ' εντολήν του από τις σχολικές μονάδες, τις οποίες το ΥΠΑΙΠ ελέγχει και εποπτεύει από τον νόμο, χωρίς, ωστόσο, να έχει άμεση πρόσβαση στα προσωπικά δεδομένα, που τηρεί το υπό εξέταση σύστημα. Άλλωστε την εγκατάσταση του εν λόγω συστήματος, αλλά και το σκοπό της εν λόγω επεξεργασίας έχει καθορίσει το ίδιο το ΥΠΑΙΘ.

Οι σχολικές μονάδες αποτελούν υπεύθυνο επεξεργασίας καθώς τα εν λόγω προσωπικά δεδομένα τα συλλέγουν και τα τηρούν στο πλαίσιο των αρμοδιοτήτων που τούς ανατίθενται από το ισχύον νομοθετικό καθεστώς, ιδίως στο πλαίσιο της εκπαιδευτικής διαδικασίας των μαθητών.


3. ...


4. ...


5. Τα δεδομένα που δεν προβλέπονται σε κάποια από τα παραπάνω νομοθετικά κείμενα και είτε συλλέγονται για πρακτικούς λογούς από τις σχολικές μονάδες και κατ' επέκταση τηρούνται στη βάση δεδομένων του συστήματος, είτε έχουν «κληρονομηθεί» από προηγούμενες εφαρμογές είναι τα εξής: η μόρφωση του πατέρα, της μητέρας και του κηδεμόνα, το επάγγελμα της μητέρας (μόνο όσον αφορά στη δευτεροβάθμια και τριτοβάθμια εκπαίδευση) και του κηδεμόνα, η γλώσσα του πατέρα, της μητέρας και του κηδεμόνα του μαθητή, ο ΑΜΚΑ του μαθητή, καθώς και στοιχεία παλλινοστούντων - αλλοδαπών μαθητών (μητρική γλώσσα, έτη σε σχολεία εξωτερικού, γλώσσα διδασκαλίας, ελληνική καταγωγή, βαθμός προαγωγής τελευταίας τάξης φοίτησης εξωτερικού, χώρα προέλευσης, έτη σε σχολεία της Ελλάδας, έκανε ή κάνει μαθήματα για παιδιά εξωτερικού, έτος αφίξεως στην Ελλάδα) μόνο όσον αφορά στην Πρωτοβάθμια Εκπαίδευση και ιδίως για λόγους ερευνητικούς.

Σύμφωνα με το υπόμνημα τον ΥΠΑΙΘ, τα ανωτέρω δεδομένα, η συλλογή των οποίων δεν προβλέπεται ειδικότερα σε κάποια νομοθετική διάταξη, κληρονομήθηκαν από την υφιστάμενη εφαρμογή e-school, παρέχονται εθελουσίως από τους γονείς/κηδεμόνες, δεν είναι υποχρεωτική η καταχώρισή τους στο εν λόγω σύστημα και συλλέγονται αποκλειστικά για στατιστικούς λόγους, χωρίς, ωστόσο, να τεκμηριώνεται η αναγκαιότητα τήρησής τους στη βάση δεδομένων τον συστήματος. Επίσης, δεν εξηγήθηκε η αναγκαιότητα της καταχώρισης ταυ ΑΜΚΑ.

Σύμφωνα με την αρχή της αναλογικότητας, όπως αυτή περιγράφεται στο ανωτέρω άρθρο 4 του ν.2472/1997, το ΥΠΑΙΘ θα πρέπει να επεξεργάζεται κατά τρόπο θεμιτό και νόμιμο μόνο όσα δεδομένα είναι απολύτως απαραίτητα για την πραγματοποίηση τον επιδιωκόμενου σκοπού της επεξεργασίας, δηλαδή της υποστήριξης των διαδικασιών εκπαιδευτικού σχεδιασμού και οργάνωσης της εκπαιδευτικής διαδικασίας για την μόρφωση των μαθητών και διοίκησης σχολικών μονάδων, διευθύνσεων, περιφερειακών διευθύνσεων και κεντρικής υπηρεσίας τον ΥΠΑΙΘ.

Συνεπώς, το ΥΠΑΙΘ δύναται να επεξεργάζεται μόνο εκείνα τα προσωπικά δεδομένα μαθητών η συλλογή και τήρηση των οποίων προβλέπεται από το ισχύον νομοθετικό καθεστώς και όχι εκείνα, για τα οποία δεν υπάρχει σχετική νομοθετική πρόβλεψη, όπως για παράδειγμα είναι ο ΑΜΚΑ των μαθητών, εκτός αν άλλως κριθεί αναγκαίο από τον νόμο[1].

. Ειδικότερα, όσον αφορά στο Ατομικό Δελτίο Υγείας (Α.Δ.Υ) των μαθητών, σύμφωνα με τα οριζόμενα στο άρθρο 8 παρ. 3 τον ν.3194/2003 (ΦΕΚ Α'267, Ρύθμιση εκπαιδευτικών θεμάτων και άλλες διατάξεις) το Α.Δ.Υ. τηρείται στις σχολικές μονάδες πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης με την ευθύνη των διευθυντών των σχολικών αυτών μονάδων. Το περιεχόμενο των Α.Δ.Υ. χαρακτηρίζεται απόρρητο και δεν είναι ανακοινώσιμο, εκτός των περιπτώσεων ενημέρωσης των διδασκόντων για τη λήψη των αναγκαίων μέτρων στήριξης των μαθητών.

Το τελευταίο εδάφιο της παραγράφου 3 τον άρθρου αυτού προβλέπει την έκδοση υπουργικής απόφασης για τον καθορισμό του τύπου, του περιεχομένου του Α.Δ.Υ., των θεμάτων ενημέρωσής του καθώς και κάθε άλλης αναγκαίας λεπτομέρειας. Η απόφαση αριθμ. 58410/Γ4 (ΦΕΚ Β' 859, 23.06.2005) των Υπουργών Παιδείας & Θρησκευμάτων και Υγείας & Κοινωνικής Αλληλεγγύης κατ' εξουσιοδότηση της προαναφερθείσας διάταξης προβλέπει στο άρθρο 2 ότι το Α.Δ.Υ. έχει προληπτικό χαρακτήρα και αποσκοπεί στην προστασία της ζωής των μαθητών-τριών κατά τη συμμετοχή τους στο μάθημα της Φυσικής Αγωγής και γενικότερα στις σχολικές δραστηριότητες. Καταρτίζεται από τους ιατρούς των οικείων Κέντρων Υγείας ή Περιφερειακών Γενικών Νοσοκομείων ή των Ασφαλιστικών Φορέων των γονέων και κηδεμόνων ή από ιδιώτες ιατρούς και περιλαμβάνει το ονοματεπώνυμο του μαθητή-τριας, το ονοματεπώνυμο του γονέα ή κηδεμόνα, την ημερομηνία της ιατρικής εξέτασης και το ιατρικό πόρισμα.

Ακολούθως, τα άρθρο 3 της Υπουργικής αυτής Απόφασης ορίζει ότι τα Α.Δ.Υ. είναι απόρρητα έγγραφα, μη ανακοινώσιμα, εκτός των περιπτώσεων ενημέρωσης των αρμοδίων εκπαιδευτικών για τη λήψη των αναγκαίων μέτρων προστασίας και στήριξης των μαθητών-τριών, διέπονται από τις αρχές και τους κανόνες για την προστασία των δεδομένων προσωπικού χαρακτήρα και των ευαίσθητων δεδομένων και φυλάσσονται εντός ειδικού φακέλου σε ασφαλές μέρος της σχολικής μονάδας στο οποίο δεν επιτρέπεται να έχουν πρόσβαση άλλοι πλην του Διευθυντή. Η αδικαιολόγητη παράβαση του απορρήτου των ΑΔΥ, εκτός από ποινικό αδίκημα, κατά τον Ποινικό Κώδικα, συνιστά και τα πειθαρχικά παραπτώματα της παράβασης καθήκοντος και της παράβασης της υποχρέωσης εχεμύθειας.

[1] Το ΥΠΑΙΘ με το με υπόμνημά του στην Αρχή δηλώνει ότι σχεδιάζεται νομοθετική ρύθμιση ώστε να θεσμοθετηθεί ένας Ενιαίας Αριθμός Μαθητή προκειμένου να είναι εφικτή η παρακολούθηση της Πρόωρης Εγκατάλειψης του Σχολείου.


6. Το ΥΠΑΙΘ, συνεπώς, ως υπεύθυνος επεξεργασίας, βαρύνεται με την υποχρέωση λήψης και εφαρμογής των κατάλληλων μέτρων για την ασφάλεια των προσωπικών δεδομένων που τηρούνται στη βάση δεδομένων του εν λόγω πληροφοριακού συστήματος. Η υποχρέωση αυτή βαρύνει αναλόγως καi τον εκτελούντα την επεξεργασία, δηλαδή το Ινστιτούτο Τεχνολογίας Υπολογιστών & Εκδόσεων (ΙΤΥΕ) - Διόφαντος, σύμφωνα με την παρ. 4 του ιδίου άρθρου του παραπάνω νόμου. Το γεγονός δε ότι στη βάση δεδομένων του εν λόγω πληροφοριακού συστήματος, που είναι προσβάσιμη μέσω του διαδικτύου, καταχωρίζεται ο μεγάλος όγκος των προσωπικών δεδομένων - ευαίσθητων και μη - όλων των μαθητών της χώρας (καθώς και δεδομένων άλλων κατηγοριών υποκειμένων, όπως όλων των εκπαιδευτικών της χώρας, αφού το εν λόγω σύστημα ενοποιεί επιμέρους υφιστάμενα συστήματα) καθιστά επιβεβλημένη τη διατήρηση υψηλού επιπέδου ασφαλείας που να εξασφαλίζει την ιδιαίτερη προστασία των δεδομένων αυτών.


Επομένως τα ΥΠΑΙΘ οφείλει:

α) Να προβεί σε κρυπτογράφηση, σύμφωνα με τα διεθνώς αποδεκτά πρότυπα, κατ' ελάχιστον, των δεδομένων ταυτοποίησης των μαθητών και των γονέων-κηδεμόνων τους (καθώς και των δεδομένων ταυτοποίησης όλων των κατηγοριών υποκειμένων) που τηρούνται στη βάση δεδομένων του εν λόγω συστήματος. Ο ισχυρισμός του ΥΠΑΙΘ σχετικά με τη μη αποδεκτή υποβάθμιση της υπολογιστικής απόδοσης του συστήματος σε περίπτωση κρυπτογράφησης δεν μπορεί να γίνει δεκτός καθώς η δυνατότητα αύξησης της υπολογιστικής ισχύος σε συνδυασμό με τις προηγμένες μεθόδους κρυπτογράφησης επιτρέπουν τη λειτουργία μεγάλων πληροφοριακών συστημάτων, με συχνή χρήση που υποστηρίζουν την επεξεργασία υψηλού όγκου δεδομένων, με αποδεκτή απόδοση, ειδικά των συστημάτων που σχεδιάζονται με σκοπό την παροχή ψηφιακών υπηρεσιών προστιθέμενης αξίας στους πολίτες και κατά κανόνα ενσωματώνουν τα μέτρα για την προστασία των προσωπικών δεδομένων κατά το στάδιο τον σχεδιασμού (privacy by design). Επίσης, ο παραπάνω ισχυρισμός δεν μπορεί να γίνει δεκτός όπως διατυπώνεται γενικά χωρίς να τεκμηριώνεται σαφώς και ειδικώς από αντικειμενικά στοιχεία βάσει των οποίων εκτιμάται η μη αποδεκτή υποβάθμιση της απόδοσης του συστήματος λόγω κρυπτογράφησης. Αξίζει να τονισθεί ότι υπάρχοντα μεγάλα συστήματα ηλεκτρονικής διακυβέρνησης με πολύ συχνή χρήση και αυξημένο όγκο δεδομένων, όπως το Σύστημα της Ηλεκτρονικής Συνταγογράφησης, εφαρμόζουν κρυπτογράφηση στη βάση δεδομένων.

Ως προς τον έτερο ισχυρισμό του ΥΠΑΙΘ περί μη ουσιαστικής αναγκαιότητας επιλογής κάποιου σχήματος κρυπτογράφησης των δεδομένων στη βάση διότι είναι πρακτικά αδύνατο να αφαιρεθούν οι σκληροί δίσκοι της υποδομής λόγω εξαιρετικά ενισχυμένης φυσικής ασφάλειας του υπολογιστικού κέντρου, τα ενισχυμένα μέτρα φυσικής ασφάλειας δεν αναιρούν το ενδεχόμενο πραγματοποίησης περιστατικού παραβίασης προσωπικών δεδομένων[2] ή την αναγκαιότητα και την χρησιμότητα της κρυπτογράφησης σε περίπτωση διαρροής προσωπικών δεδομένων.

Σε κάθε περίπτωση το ΥΠΑΙΘ μπορεί να ενημερώσει την Αρχή σχετικά με τα αντικειμενικά στοιχεία βάσει των οποίων εκτιμάται η μη αποδεκτή υποβάθμιση της απόδοσης του εν λόγω συστήματος λόγω κρυπτογράφησης στη βάση δεδομένων.

[2] Ως περιστατικό παραβίασης προσωπικών δεδομένων θεωρείται κάθε περίπτωση παραβίασης της ασφάλειας των δεδομένων στα Πλαίσιο του χρησιμοποιούμενου συστήματος επεξεργασίας, όπως τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας (βλ. Απόφαση 59/2012 της Αρχής).


β) Να μεριμνήσει, ώστε να περιληφθεί στο σύστημα η δυνατότητα δημιουργίας ατομικών λογαριασμών χρηστών που να αποδίδονται σε κατάλληλα εξουσιοδοτημένους εκπαιδευτικούς της κάθε σχολικής μονάδας και υπαλλήλους της κάθε διοικητικής δομής όπως διεύθυνση ή περιφερειακή διεύθυνση, ώστε να αποφευχθεί τυχόν κοινή χρήση του μοναδικού λογαριασμού που αποδίδεται στον διευθυντή της σχολικής μονάδας ή της διοικητικής δομής για την διεκπεραίωση όλων των εργασιών που απαιτούνται στο πλαίσιο του συστήματος mySchool.


γ) Να καταργήσει την πρόσβαση που, σύμφωνα με το υπ' αριθμ. πρωτ. Α.Π. εξ. 2693/4.8.2014 υπόμνημα, έχουν οι ατομικοί λογαριασμοί των χρηστών που αποδίδονται στους διευθυντές των διοικητικών δομών στα ονοματεπώνυμα των μαθητών των σχολικών μονάδων στην περιοχή της ευθύνης τους. Επίσης, να καταργήσει την πρόσβαση που, επίσης σύμφωνα με το παραπάνω υπόμνημα, έχουν οι λογαριασμοί των χρηστών που αποδίδονται στους αρμόδιους υπαλλήλους των διευθύνσεων σπονδών της Κεντρικής Υπηρεσίας του ΥΠΑΙΘ στα ονομαστικά στοιχεία μαθητών, τους αριθμούς μητρώου και τις τάξεις εγγραφής.


δ) Να εξασφαλίσει ότι πρόσβαση στα προσωπικά δεδομένα των μαθητών και των γονέων/κηδεμόνων τους που τηρούνται στο σύστημα έχει μόνο η σχολική μονάδα φοίτησης του μαθητή.


ε) Να μεριμνήσει για την κατάλληλη εκπαίδευση των χρηστών του συστήματος σε θέματα προστασίας και ασφάλειας προσωπικών δεδομένων.


στ) Να ενεργοποιήσει τη δυνατότητα καταγραφής των ενεργειών των χρηστών του συστήματος, περιλαμβανομένων των διαχειριστών της υποδομής.


ζ) Να μεριμνήσει ώστε το σύστημα να αποκλείει την πρόσβαση των χρηστών που προέρχονται από ΙΡ διευθύνσεις εκτός του Πανελλήνιου Σχολικού Δικτύου δεδομένου ότι η εφαρμογή επιτρέπει την πρόσβαση μόνο στους χρήστες που είναι πιστοποιημένοι από την Κεντρική Υπηρεσία Πιστοποίησης τον Πανελλήνιου Σχολικού Δικτύου και το ΥΠΑΙΘ δεν τεκμηριώνει καθόλου για ποιό λόγο επιτρέπεται η πρόσβαση από όλες τις ελληνικές ΙΡ διευθύνσεις, γεγονός που αυξάνει τον κίνδυνο διαδικτυακών επιθέσεων.


η) Να καταρτίσει σχέδιο ασφάλειας, στο οποίο να προσδιορίζονται σαφώς τα τεχνικά και οργανωτικά μέτρα ασφάλειας που άπτονται της συγκεκριμένης επεξεργασίας.


θ) Να μεριμνήσει για τον έλεγχο της ορθής εφαρμογής της εγκεκριμένης πολιτικής ασφαλείας στο εν λόγω σύστημα από όλα τα εμπλεκόμενα μέρη, καθώς και του εκτελούντα την επεξεργασία Ινστιτούτο Τεχνολογίας Υπολογιστών & Εκδόσεων (ΙΤΥΕ) — Διόφαντος.


Τέλος, το ΥΠΑΙΘ πρέπει να ενημερώσει εγγράφως την Αρχή για την εκπλήρωση των συστάσεων του υπ' αριθμ. πρωτ. Γ/ΕΙΣ/8052/14-12-2012 πορίσματος διοικητικού ελέγχου που πραγματοποιήθηκε στα συστήματα e-school και e-datacenter[3] (ειδικά αυτών που εξακολουθούν να ισχύουν και μετά τη μετάβαση στο εν λόγω πληροφοριακό σύστημα), σύμφωνα με την με αριθμ. 187/2012 Απόφασή της.

[3] Τα συστήματα e-school και e-datacenter αποτελούν λειτουργικά υφιστάμενες εφαρμογές που ενσωματώθηκαν στο σύστημα my-School.


ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Η Αρχή δέχεται εν μέρει, κατά το μέρος που συλλέγονται πλείονα των καλυπτομένων από τις ισχύουσες διατάξεις προσωπικά δεδομένα των μαθητών, τις προσφυγές που αναφέρονται στο ιστορικά της παρούσας. Περαιτέρω, η Αρχή καλεί το Υπουργείο Παιδείας και Θρησκευμάτων:1. Να τηρεί στη βάση δεδομένων ταυ Ενιαίου Πληροφοριακού Συστήματος με την ονομασία mySchool μόνο τα προσωπικά δεδομένα των μαθητών, τα οποία συλλέγονται βάσει νομοθετικών διατάξεων από τις σχολικές μονάδες, σύμφωνα με το σκεπτικό της παρούσας.2. Να διαγράψει τα επιπλέον προσωπικά δεδομένα που δεν προβλέπονται σε νομοθετική διάταξη και για τα οποία δεν τεκμηριώθηκε η ανάγκη τήρησής τους για τον επιδιωκόμενο σκοπό, καθώς και τα αντίστοιχα πεδία της βάσης δεδομένων και της εφαρμογής τον συστήματος mySchοο1.3. Να διαγράψει τυχόν δεδομένα από το σύστημα 1rιySchaοl που αφορούν το Ατομικό Δελτίο Υγείας τον μαθητή και τα αντίστοιχα πεδία της βάσης δεδομένων κατ της εφαρμογής.4. Να ορίσει ανώτατο χρόνο τήρησης των προσωπικών δεδομένων των μαθητών στο ενλόγω πληροφοριακά σύστημα.5. Να εφαρμόσει τα μέτρα ασφάλειας που αναφέρονται στο σημείο β του σκεπτικού της Π. Κηφισίας 1-3, 11523 Αθήνα, Τηλ: 210 6475600, Fax: 210 6475628, cοιιιαει α dρα.g 1 ινιι~ν.dρα.g~ 19�παρούσας και να υποβάλει εντός δύο μηνών από την κοινοποίηση της παρούσας αναλυτικό χρονοδιάγραμμα για την εφαρμογή των μέτρων αυτών. Επίσης, να υποβάλει ανά δίμηνο περιοδικές εκθέσεις παρακολούθησης της πορείας υλοποίησης τον ανωτέρω χρονοδιαγράμματος.6. Να ενημερώσει την Αρχή για τις παραπάνω ενέργειες.