Όλα τα ιδιωτικά σχολεία, φροντιστήρια και ΚΔΑΠ πρέπει να είναι ιδιαιτέρως προσεκτικά όσον αφορά την συμμόρφωσή τους με τον Νέο Κανονισμό Προσωπικών Δεδομένων, λόγω της ευαίσθητης φύσης των δεδομένων που χειρίζονται αλλά και των εσφαλμένων πρακτικών εφαρμογής πολιτικών όσον αφορά την λήψη αλλά και την αποθήκευση των προσωπικών δεδομένων που λαμβάνουν.
Όσον αφορά την λήψη της συγκατάθεσης:
- Η συγκατάθεση του γονέα ή του μαθητή θα πρέπει να δίδεται πριν την επεξεργασία των προσωπικών τους δεδομένων.
- Στο έντυπο συγκατάθεσης θα πρέπει να διασαφηνίζονται τα άτομα που θα έχουν πρόσβαση στα προσωπικά δεδομένα.
- Η συγκατάθεση θα πρέπει να έχει δοθεί ελεύθερα, δηλαδή θα πρέπει να δίνεται αληθινή επιλογή στο αν επιθυμεί την παροχή των δεδομένων που σας παρέχει και να μπορεί να αποσύρει την συγκατάθεσή του χωρίς να ζημιωθεί με οποιονδήποτε τρόπο (λχ. κατάργηση έκπτωσης).
- Δεν μπορείτε να απαιτείτε την συγκατάθεση των υποκειμένων των δικαιωμάτων για την παροχή των υπηρεσιών σας ή να αρνείστε την εγγραφή ή συνέχιση της φοίτησης για αυτό το λόγο.
- Εάν χρησιμοποιείτε τα προσωπικά δεδομένα για πολλαπλούς σκοπούς, θα πρέπει να διευκρινίζεται ποιοι είναι αυτοί και να ζητάτε ξεχωριστή συναίνεση για κάθε χρήση τους.
- Θα πρέπει να παρέχετε πάντα την δυνατότητα ανάκλησης της συναίνεσης που έχετε λάβει και μάλιστα με τρόπο εξίσου εύκολο με αυτόν που την λάβατε (λχ. ύπαρξη εντύπου πάντα διαθέσιμου). Η ενημέρωση για το δικαίωμα αυτό θα πρέπει να γίνεται πριν την λήψη της συγκατάθεσης. Εάν μετά την ανάκληση της συγκατάθεσης επιθυμείτε τη συνέχιση της επεξεργασίας με άλλη νομιμοποιητική βάση πρέπει να το δηλώσετε ρητώς στο άτομο που αφορά σύμφωνα με τα άρθρα 13 και 14 ΓΚΠΔ.
- Η συγκατάθεση θα πρέπει να δίνεται με σαφή θετική ενέργεια, γραπτή ή ηλεκτρονική. Αυτό θα μπορούσε να είναι η συμπλήρωση ενός τετραγώνου στο έντυπο συγκατάθεσης ή μια αντίστοιχη επιλογή κατά την επίσκεψη στην διαδικτυακή ιστοσελίδα σας. Δεν επιτρέπεται να λαμβάνετε η συγκατάθεση με σιωπή, με προσυμπληρωμένα κουτάκια ή με αδράνεια.
- Τα απολύτως απαραίτητα στοιχεία που πρέπει να υπάρχουν στην συναίνεση είναι η ταυτότητα του υπευθύνου επεξεργασίας, ο σκοπός ή οι σκοποί της επεξεργασίας, το είδος των δεδομένων που θα συλλέγετε, ενημέρωση για το δικαίωμα ανάκλησης της συγκατάθεσης, πληροφορίες σχετικά με τον τρόπου που θα χρησιμοποιηθούν τα δεδομένων, ιδίως σε περιπτώσεις ηλεκτρονικής επεξεργασίας, όπως η δημιουργία προφίλ, και εάν η συγκατάθεση περιλαμβάνει και διαβιβάσεις, να αναφέρονται οι κίνδυνοι που μπορεί να προκύψουν, κ.α.
Όταν η συγκατάθεση λαμβάνεται από παιδιά, απαιτείται να υπάρχει ιδιαίτερη προστασία κατά την επεξεργασία προσωπικών τους δεδομένων. Σαν βάση για την επεξεργασία μπορεί να είναι η παροχή των υπηρεσιών σας, αλλά οφείλετε να λαμβάνετε υπόψη και άλλα στοιχεία:
- Θα πρέπει η γλώσσα που χρησιμοποιείται να είναι απλή, σαφής και κατανοητή για ένα παιδί ώστε να καταλαβαίνει σαφώς σε τι συναινεί.
- Όσον αφορά τα ηλικία για την λήψη της συγκατάθεσης ο ΓΚΠΔ θέτει ηλικιακά όρια για την έγκυρη υποβολή της. Τα παιδιά που είναι άνω των 16 ετών έχουν δικαίωμα να υποβάλουν έγκυρα μόνα τους τη συγκατάθεσή τους (το όριο μπορεί να ρυθμιστεί ελεύθερα από τα Κράτη από 13 μέχρι 16 ετών βάσει του κανονισμού, ενδεχομένως μετά την έκδοση του εθνικού εφαρμοστικού νόμου να διαφοροποιηθεί), ενώ όσον αφορά τα παιδιά που είναι κάτω των 16 ετών (ή του ανάλογου ορίου όπως θεσπιστεί) η συγκατάθεση μπορεί να δοθεί μόνο από αυτόν που έχει τη γονική μέριμνα, δηλαδή τον γονέα ή τον κηδεμόνα (προσοχή όχι μόνο από αυτόν που έχει την επιμέλεια).
- Η αυτόματη λήψη αποφάσεων ή γενικά η κατάρτιση προφίλ δεν επιτρέπεται, εάν έχουν επίδραση ή επηρεάζουν τα παιδιά σημαντικά. Ο Κανονισμός βέβαια υπό προϋποθέσεις το επιτρέπει εφόσον έχουν ληφθεί τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων τους.
Σε περίπτωση που καταρτίζεται προφίλ για παιδιά, θα πρέπει ο υπεύθυνος της επεξεργασίας αυτής να είναι ιδιαιτέρως προσεκτικός στην πληροφόρηση που παρέχει σχετικά με την επεξεργασία που κάνει και τους σκοπούς της. - Σε κάθε περίπτωση απαγορεύεται αυστηρά η κατάρτιση προφίλ για παιδιά για σκοπούς εμπορικής προώθησης προϊόντων (όπως βοηθήματα κ.α.) και σε περίπτωση που γίνει αντιληπτό ότι γίνεται έστω και σε μικρό βαθμό θα πρέπει να πάψει κάθε ενέργεια εάν υπάρχει εναντίωση από το παιδί.
Η συμμόρφωση όλων των επαγγελματιών της εκπαίδευσης είναι ιδιαιτέρως ευαίσθητος και θα πρέπει να λαμβάνεται ιδιαίτερη προσοχή τόσο στην αρχική συμμόρφωση της επιχείρησης με τον ΓΚΠΔ (GDPR), όσο και στην συνέχεια της λειτουργίας της επιχείρησης, ιδίως όταν υπάρχουν αλλαγές στον τρόπο λειτουργίας της επιχείρησης, παροχής νέων υπηρεσιών ή αλλαγής προσωπικού εκπαίδευσης.
Ενημερωθείτε από το γραφείο μας για τις δυνατότητες συμμόρφωσης με τον Κανονισμό.
Βάιος Ντόκας
Δικηγόρος MSc