Κωνσταντινοπούλου Βασιλική, MSc Law & ICT, CIPP/E, CIPM, Αναπληρώτρια Υπεύθυνη Προστασίας Δεδομένων, vikikons@gmail.com
Περίληψη
Στο παρόν άρθρο γίνεται μία σύντομη ιστορική αναδρομή στη νομοθεσία των προσωπικών δεδομένων για να εξετάσουμε ποια είναι η ανάγκη της προστασίας των δεδομένων που ανακύπτει μέσα από την τεχνολογική εξέλιξη και της αυτόματης επεξεργασίας των δεδομένων. Έπειτα, θα γίνει αναφορά σε βέλτιστες πρακτικές προστασίας δεδομένων για τους εκπαιδευτικούς που καθημερινά διαχειρίζονται προσωπικά δεδομένα εκατοντάδων μαθητών. Τέλος, θα παρουσιαστούν κάποιες από τις προκλήσεις σχετικά με την ασφαλή επεξεργασία των δεδομένων.
Λέξεις κλειδιά: «Γενικός Κανονισμός», «Προστασία Δεδομένων», «Εκπαίδευση», «Σχολεία», «Μαθητές», «Προσωπικά δεδομένα», «Ασφάλεια»
Εισαγωγή
Ο «Γενικός Κανονισμός Προστασίας Δεδομένων» (εφεξής ΓΚΠΔ) επέφερε αλλαγές στην προστασία των δεδομένων προσωπικού χαρακτήρα. Έβαλε στο επίκεντρο το άτομο και τα δικαιώματα του ως προς την προστασία των δεδομένων του και μετέφερε το βάρος της απόδειξης συμμόρφωσης στον εκάστοτε «υπεύθυνο επεξεργασίας». Τα σχολεία, ως «υπεύθυνοι επεξεργασίας» κλείνονται να συμμορφωθούν όχι μόνο σύμφωνα με τις επιταγές του ΓΚΠΔ αλλά και της εν γένει νομοθεσίας της προστασίας των δεδομένων προσωπικού χαρακτήρα. Η συμμόρφωση είναι ένα αέναο εγχείρημα, όπου τα οργανωτικά και τεχνικά μέτρα θα πρέπει να επικαιροποιούνται διαρκώς και το διδακτικό και διοικητικό προσωπικό θα πρέπει να εκπαιδεύεται συνεχώς, ώστε να κρατά επαφή με τις αναδυόμενες τάσεις και προκλήσεις που ανακύπτουν. Η υποχρέωση αυτή δεν ξεκινά με τον ΓΚΠΔ αλλά προϋπάρχει αυτού, το ταξίδι της προστασίας στο σύγχρονο κόσμο θα μπορούσαμε να το εντοπίσουμε στα μέσα του περασμένου αιώνα.
Ιστορική αναδρομή
Τα κράτη μετά τα γεγονότα του δευτέρου παγκοσμίου πόλεμου είδαν την αναγκαιότητα της προστασίας των ανθρωπίνων δικαιωμάτων και της προστασίας του ατόμου εν γένει. Οι φρικαλεότητες του ολοκαυτώματος δεν έπρεπε να επαναληφθούν για το λόγο αυτό τα κράτη προχώρησαν στην Οικουμενική Διακήρυξη για τα Δικαιώματα του ανθρώπου στη Γενική Συνέλευση του ΟΗΕ το Δεκέμβριο του 1948, το οποίο ήταν ένα μη νομικά δεσμευτικό κείμενο. Στο άρθρο 12 της διακήρυξης αναφέρεται και η προστασία της ιδιωτικότητας του ατόμου, συγκεκριμένα: «κανείς δεν επιτρέπεται να υποστεί αυθαίρετες επεμβάσεις στην ιδιωτική του ζωή, την οικογένεια, την κατοικία ή την αλληλογραφία του, ούτε προσβολές της τιμής και της υπόληψης του. Καθένας έχει το δικαίωμα να τον προστατεύουν οι νόμοι από επεμβάσεις και προσβολές αυτού του είδους[1]». Γίνεται αντιληπτό ότι όχι μόνο πρέπει να προστατεύεται ο άνθρωπος αλλά και η ιδιωτικότητά του.
Η ιδέα αυτή παίρνει σάρκα υπό την αιγίδα του Συμβουλίου της Ευρώπης όπου με τη Σύμβαση της Ρώμης, της 4ης Νοεμβρίου 1950 για την «προστασία των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών», στο άρθρο 8, αυτής, ρυθμίζεται το δικαίωμα κάθε προσώπου να γίνεται σεβαστή η ιδιωτική και οικογενειακή του ζωή, η κατοικία και η αλληλογραφία του[2].
Αφήνοντας την μεταπολεμική περίοδο και προχωρώντας στις αρχές του 1980 η εισαγωγή των προσωπικών υπολογιστών στην αγορά από την IBM, και την ολοένα τότε αυξανόμενη χρήση των προσωπικών δεδομένων από το δημόσιο και τον ιδιωτικό τομέα, το Συμβούλιο της Ευρώπης την 28η του Ιανουαρίου του 1981 προχωρά στην Σύμβαση για την «προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα», όπου είναι η πρώτη νομικά διεθνής δεσμευτική πράξη. (εφεξής «Σύμβαση 108»). Ο σκοπός της Σύμβασης 108 ήταν να εξασφαλίσει το σεβασμού των θεμελιωδών δικαιωμάτων και ελευθεριών κάθε φυσικού προσώπου και ιδιαίτερα της ιδιωτικής του ζωής και την προστασία του έναντι της αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων που το αφορούν[3].
Λίγο πριν στις 28 Σεπτεμβρίου του 1980 είχε προχωρήσει και ο Οργανισμός Οικονομικής Συνεργασίας και Ανάπτυξης στην έκδοση μια σειράς από κατευθυντήριες οδηγίες για την «προστασία της ιδιωτικότητας και τις διασυνοριακές ροές προσωπικών δεδομένων» μη νομικά δεσμευτικές[4]. Οι αρχές όμως που εισήγαγε για την προστασία των δεδομένων είναι καθιερωμένες ακόμη και σήμερα, αυτές είναι:
- Η αρχή του περιορισμού στην συγκέντρωση δεδομένων
- Η αρχή της ποιότητας των δεδομένων
- Η αρχή του προσδιορισμού του σκοπού
- Η αρχή της περιορισμένης χρήσης των δεδομένων
- Η αρχή των μέτρων ασφαλείας των δεδομένων
- Η αρχή της διαφάνειας
- Η αρχή της συμμετοχής του ατόμου
- Η αρχή της ευθύνης
Στον ΓΚΠΔ [5]επαναδιατυπώνονται ακολούθως:
- Η αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας.
- Η αρχή του περιορισμού του σκοπού
- Η αρχή της αναλογικότητας («ελαχιστοποίηση των δεδομένων»)
- Η αρχή της ακρίβειας των δεδομένων
- Η αρχή του καθορισμού της χρονικής διάρκειας της επεξεργασίας («περιορισμός της περιόδου αποθήκευσης»)
- Η αρχή της «ακεραιότητας και εμπιστευτικότητας»
- Η αρχή της λογοδοσίας του υπευθύνου επεξεργασίας
Μετά και το τέλος του ψυχρού πολέμου, στα μέσα της δεκαετίας του 1990, το Ευρωπαϊκό Κοινοβούλιο προχωρά στην Οδηγία 95/46/ΕΚ για την «προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών»[6]. Η Οδηγία αυτή ήταν αδιαμφισβήτητα ένας σταθμός για την προστασία των προσωπικών δεδομένων. Στο κείμενο αυτό θεσπίζονται οι βασικές αρχές επεξεργασίας εφόσον ισχύει μία από τις νομικές βάσεις που απαριθμούνται εντός αυτού. Κατοχυρώνονται τα δικαιώματα του υποκειμένου των δεδομένων και θεσπίζονται οι «Αρχές Προστασίας των Δεδομένων Προσωπικού Χαρακτήρα». Στην Ελλάδα, η οδηγία προσαρτιέται στην ελληνική νομοθεσία με τον Ν. 2472/1997[7]. Το ίδιο έτος και δη τον Δεκέμβριο του 1997, το Ευρωπαϊκό Κοινοβούλιο προχωρά και στην Οδηγία 97/66/ΕΚ περί «επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και προστασίας της ιδιωτικής ζωής στον τηλεπικοινωνιακό τομέα»[8]. Με το Νόμο 2774/1999, η Ελλάδα προχωρά στην προσάρτηση και αυτής της οδηγίας[9].
Με την αναθεώρηση του Συντάγματος το 2001, στην Ελλάδα, εισάγεται η προστασία των δεδομένων προσωπικού χαρακτήρα ως συνταγματικό δικαίωμα πλέον. Συγκεκριμένα, το άρθρο 9Α αναφέρει ότι «καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει.[10]»
Με την αυγή της νέας χιλιετηρίδας και την ολοένα διαπίστωση του Ευρωπαϊκού Κοινοβουλίου για την αναπροσαρμογή της Οδηγίας 97/66/ΕΚ στις εξελίξεις των αγορών καθώς και την ανάγκη της συμπλήρωσης της Οδηγίας 95/46/ΕΚ, προχώρησε στην Οδηγία 2002/58/ΕΚ για «επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες[11])». Αντίστοιχα, στην Ελλάδα προσαρτήθηκε το 2006 με το Ν. 3471/2006[12].
Παρά τις προσπάθειες του Ευρωπαϊκού Κοινοβουλίου να προλάβει τις τεχνολογικές εξελίξεις και να εναρμονίσει το νομοθετικό πλαίσιο των κρατών-μελών του, άρχισε να διαφαίνεται η ανάγκη για πιο δραστικά μέτρα ήδη από τα τέλη της δεκαετίας του 2000. Η Ομάδα εργασίας του Άρθρου 29, το Δεκέμβριο του 2009, με την έκδοση του κειμένου «Future of Privacy» τόνιζε την ανάγκη αυτή για υιοθέτηση νέων εργαλείων που θα ενίσχυαν το νομοθετικό πλαίσιο της Ευρωπαϊκής Ένωσης[13].
Γενικός Κανονισμός Προστασίας Δεδομένων
Η προηγούμενη δεκαετία ξεκίνησε με την πρόταση της Κομισιόν για την αναθεώρηση της Οδηγίας 95/46/ΕΚ. Οι τεχνολογικές εξελίξεις ήταν ραγδαίες και τα τεχνολογικά επιτεύγματα πραγμάτωναν όλο και περισσότερο την παγκοσμιοποίηση, αυτό είχε ως αποτέλεσμα να αλλάξει σε βάθος ο τρόπος επεξεργασίας των δεδομένων και το κείμενο της Οδηγίας δεν μπορούσε πλέον να ανταποκριθεί σ’ αυτές τις προκλήσεις που αναδυόταν συνεχώς. Το 2012, η Κομισιόν πρότεινε την υιοθέτηση ενός Γενικού Κανονισμού Προστασίας Δεδομένων. Το 2014, το Ευρωπαϊκό Κοινοβούλιο ψήφισε υπέρ της υιοθέτησης του ΓΚΠΔ. Το 2015, η Κομισιόν, το Συμβούλιο και το Κοινοβούλιο συμφώνησαν σε ένα ενιαίο κείμενο για το ΓΚΠΔ. Το 2016, υιοθετήθηκε ο ΓΚΠΔ και άρχισε να ισχύει άμεσα σε όλα τα κράτη μέλη. Στις 25 Μαΐου του 2018, τέθηκε σε εφαρμογή[14].
Ο ΓΚΠΔ εισήγαγε μια σειρά από νέα μέτρα τα οποία επιγραμματικά είναι τα εξής:
- Αυξημένα δικαιώματα των υποκείμενων των δεδομένων
- Ενίσχυση της προστασίας των ανήλικων
- Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα
- Εισαγωγή της έννοιας «προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού» (data protection by design and by default)
- Αυστηροποίηση των προϋποθέσεων της παροχής συγκατάθεσης των υποκείμενων των δεδομένων
- Εισαγωγή της αρχής της λογοδοσίας του υπεύθυνου επεξεργασίας (μελέτη εκτίμησης αντικτύπου, ορισμός υπεύθυνου προστασίας προσωπικών δεδομένων)
Οι στόχοι του ΓΚΠΔ ήταν οι εξής:
- Ενοποίηση του νομικού πλαισίου στα κράτη μέλη της ΕΕ
- Αύξηση της ευαισθητοποίησης του κοινού
- Αύξηση της εμπιστοσύνης του κοινού στα πληροφοριακά συστήματα (εφεξής «ΠΣ»)
- Διευκόλυνση της ανάπτυξης και χρήσης ΠΣ σε διεθνές επίπεδο
- Ενίσχυση της διεθνούς συνεργασίας στον τομέα της ασφάλειας ΠΣ
Πριν προχωρήσουμε στην παρουσίαση των βέλτιστων πρακτικών για τη διαχείριση των δεδομένων θα σταθούμε σε δύο σημεία του ΓΚΠΔ. Το πρώτο είναι τα μέτρα που αφορούν την προστασία των ανηλίκων και το δεύτερο είναι η αρχή της λογοδοσίας.
Για να μπορεί ένας «υπεύθυνος επεξεργασίας» να επεξεργαστεί δεδομένα ανηλίκων θα πρέπει να ισχύουν μία από τις νομικές βάσεις που απαριθμεί ο ΓΚΠΔ. Σύμφωνα με την αιτιολογική σκέψη 38 του Κανονισμού:
Τα παιδιά απαιτούν ειδική προστασία όσον αφορά τα δεδομένα τους προσωπικού χαρακτήρα, καθώς τα παιδιά μπορεί να έχουν μικρότερη επίγνωση των σχετικών κινδύνων, συνεπειών και εγγυήσεων και των δικαιωμάτων τους σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Αυτή η ειδική προστασία θα πρέπει να ισχύει ιδίως στη χρήση των δεδομένων προσωπικού χαρακτήρα με σκοπό την εμπορία ή τη δημιουργία προφίλ προσωπικότητας ή προφίλ χρήστη και τη συλλογή δεδομένων προσωπικού χαρακτήρα όσον αφορά παιδιά κατά τη χρήση υπηρεσιών που προσφέρονται άμεσα σε ένα παιδί. Η συγκατάθεση του γονέα ή κηδεμόνα δεν θα πρέπει να είναι απαραίτητη σε συνάρτηση με υπηρεσίες πρόληψης ή παροχής συμβουλών που προσφέρονται άμεσα σε ένα παιδί.
Για το λόγο αυτό σημειώνεται στο κείμενο του Κανονισμού ότι για τη συγκατάθεση συντρέχουν κάποιες παραπάνω υποχρεώσεις, όπως ότι:
«ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά.»
Ακόμη ορίζεται ένας ηλιακός περιορισμός σχετικά με την συγκατάθεση του παιδιού, συγκεκριμένα: «εάν ο ανήλικος είναι κάτω των 15 ετών η παραπάνω επεξεργασία είναι σύννομη μόνο μετά την παροχή συγκατάθεσης του νομίμου αντιπροσώπου του».
Θα πρέπει να τονιστεί στο σημείο αυτό ότι ο ΓΚΠΔ εισάγει την αρχή της λογοδοσίας, όπου ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση. Είναι υποχρέωση του υπεύθυνου επεξεργασίας να λαμβάνει τα αναγκαία μέτρα για τη συμμόρφωση με τον Κανονισμό. Για το σκοπό αυτό ο Κανονισμός προτείνει μια σειρά από μέτρα που μπορεί να ακολουθήσει ο υπεύθυνος επεξεργασίας. Αυτά επιγραμματικά σύμφωνα και τις οδηγίες της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα[15] είναι:
- Η τήρηση αρχείων δραστηριοτήτων επεξεργασίας
- η εφαρμογή μέτρων ασφαλείας
- η εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων
- η προηγούμενη διαβούλευση και συνεργασία με την εποπτική αρχή
- ο ορισμός υπευθύνου προστασίας δεδομένων
- η τήρηση των υποχρεώσεων κοινοποίησης της παραβίασης δεδομένων
Τα παραπάνω αφορούν στα τεχνικά και οργανωτικά μέτρα που πρέπει να λάβει ένας υπεύθυνος επεξεργασίας στην επόμενη ενότητα θα παρουσιάσουμε κάποιες καθημερινές βέλτιστες πρακτικές για το εκπαιδευτικό προσωπικό και πως μπορεί με ασφάλεια να χειριστεί τα προσωπικά δεδομένα των μαθητών.
Βέλτιστες πρακτικές διαχείρισης δεδομένων
- Ισχυροί κωδικοί πρόσβασης/αλλαγή ανά τακτά χρονικά διαστήματα.
- Κρυπτογράφηση των δίσκων που περιέχουν προσωπικά δεδομένα
- Διατήρηση αντιγράφων ασφαλείας
- Δεν δίνουμε πληροφορίες για άλλα άτομα έστω και εάν ζητηθεί γραπτώς, επικοινωνούμε πρώτα με τον υπεύθυνο από το διοικητικό προσωπικό.
- Δεν δίνουμε πληροφορίες σε γονείς ΕΝΗΛΙΚΩΝ παιδιών τους (π.χ. γονείς ενήλικων αποφοίτων, φοιτητών).
- Πάντα κλειδώνουμε τον Η/Υ, εάν χρειαστεί να απομακρυνθούμε (είτε στο σπίτι, είτε στο σχολείο).
- Δεν αφήνουμε πάνω στο γραφείο μας χειρόγραφες σημειώσεις, post-it και λοιπά έγγραφα με προσωπικά δεδομένα τρίτων ή με κωδικούς μας για πρόσβαση στα ΠΣ (=clean desk policy).
- Η αποστολή email με προσωπικά δεδομένα τρίτων σε λάθος παραλήπτη είναι παραβίαση της ασφάλειας δεδομένων και θα πρέπει να αναφερθεί στον Υπεύθυνο Προστασίας Δεδομένων και στον υπεύθυνο ζητημάτων ασφαλείας.
Προσέχουμε:
- τον παραλήπτη/τους παραλήπτες,
- το περιεχόμενο του μηνύματος,
- τα συνημμένα έγγραφα.
Προτιμούμε την αποστολή με BCC αντί για CC.
- Διαρκής εκπαίδευση του προσωπικού τόσο για πρακτικές ασφάλειας όσο και για θέματα στην προστασία των δεδομένων και για τις προκλήσεις που αναδύουν.
- Προσοχή στην χρήση των ελεύθερων εργαλείων τεχνητής νοημοσύνης, συχνά η ανταλλαγή για την προσφορά μιας ελεύθερης υπηρεσίας είναι η συλλογή προσωπικών δεδομένων.
Προκλήσεις
Οι τεχνολογικές εξελίξεις τείνουν πλέον να αφήνουν πίσω τους εκπαιδευτικούς και τους μαθητές και να είναι αδύνατο πολλές φορές να μπορούν να ακολουθήσουν αυτή την τάση. Με την εισαγωγή και της τεχνητής νοημοσύνης στην καθημερινότητα η προστασία των δεδομένων γίνεται όλο και πιο δυσχερές ως έργο.
Μία από τις μεγαλύτερες προκλήσεις είναι η διαρκής ενημέρωση και εκπαίδευση τόσο των εκπαιδευτικών όσο και των μαθητών. Για το λόγο αυτό θα πρέπει να υπάρχει ένας ανοιχτός δίαυλος επικοινωνίας με τους μαθητές, ώστε να έχουν εικόνα οι εκπαιδευτικοί για το πως αντιλαμβάνονται οι μαθητές την προστασία των δεδομένων και πως μπορούν να τους ενημερώσουν επαρκώς για τα θέματα της προστασίας στο διαδίκτυο και στις υπηρεσίες της κοινωνίας της πληροφορίας.
Μία άλλη πρόκληση είναι η χρήση δωρεάν εργαλείων τεχνητής νοημοσύνης. Συχνά, τόσο οι εκπαιδευτικοί όσο και οι μαθητές μπορεί να καταφεύγουν στη χρήση εργαλείων generative AI για τους σκοπούς εκπαίδευσης και εκμάθησης, αλλά θα πρέπει, όπως αναφέρθηκε και ανωτέρω να προσέχουν τι δεδομένα ζητάνε ως αντάλλαγμα της δωρεάν προσφοράς. Προτιμότερη είναι η επιλογή ενός εργαλείου που θα έχει αγοραστεί κεντρικά από τον οργανισμό και ο κάθε εκπαιδευτικός θα έχει δικό του προφίλ χρήστη. Αν αυτό δεν μπορεί να καταστεί δυνατόν, τότε θα πρέπει να εφιστούν την προσοχή τους στους όρους χρήσης της υπηρεσίας και στα δεδομένα που συλλέγει.
Σε απόρροια της παραπάνω πρόκλησης είναι και η έλλειψη ενός κεντρικού πλάνου διαχείρισης των δεδομένων και η επικοινωνία του σε όλο το εκπαιδευτικό προσωπικό. Η συμμόρφωση πρέπει να είναι μία ζωντανή διαδικασία που τα μέτρα τεχνικά και οργανωτικά θα πρέπει να επικαιροποιούνται κατάλληλα, μπορεί στο πλάνο συμμόρφωσης να υπάρχουν διαδικασίες που πλέον δε χρειάζονται ή είναι παρωχημένες και αυτές να δυσχεραίνουν την εύρυθμη λειτουργία του οργανισμού. Είναι αναγκαίο να υπάρχει μια πολιτική διαχείρισης των συστημάτων, των πληροφοριών καθώς και του τρόπου προστασίας τόσο σε καθημερινές εργασίες όσο και σε περιπτώσεις παραβίασης των συστημάτων.
Συμπεράσματα
Η προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απλώς μια υποχρέωση που απορρέει από το ΓΚΠΔ, αφορά στην προστασία της ιδιωτικότητας του ίδιου του ατόμου. Η νομοθεσία της προστασίας των δεδομένων εξελίχθηκε καθώς εξελισσόταν η κοινωνία και η τεχνολογία. Σήμερα, με την τεχνητή νοημοσύνη και τον κίνδυνο της αλόγιστης χρήσης και της υπερβολικής συγκέντρωσης δεδομένων σε φορείς, είναι επιτακτική η ανάγκη για την περαιτέρω ευαισθητοποίηση του κοινού για τα ζητήματα της προστασίας των δεδομένων. Αντίστοιχα, οι εκπαιδευτικοί καλούνται καθημερινά τόσο στο διδακτικό τους έργο όσο και στην διαχείριση των δεδομένων των μαθητών να αντιμετωπίζουν πολύπλοκα ζητήματα. Για το λόγο αυτό απαιτείται ένα κεντρικό πλάνο διαχείρισης των δεδομένων και διαρκής εκπαίδευση πάνω στα θέματα αυτά. Για να μπορέσει να επιτευχθεί αυτό, θα πρέπει η προστασία των δεδομένων να αντιμετωπιστεί όχι ως ένα τροχοπέδη στη διαχείρισης των δεδομένων αλλά ως αρωγός για την καλύτερη διαχείριση τους. Πίσω από τα προσωπικά δεδομένα υπάρχουν άτομα και αυτά αφορούν πτυχές της προσωπικής τους ζωής. Για να είναι επιτυχημένο ένα πλάνο διαχείρισης και ασφάλειας δεδομένων απαιτείται αλλαγή της κουλτούρας και της αντιμετώπισης της νομοθεσίας. Η νομοθεσία δεν είναι παρά ένα εργαλείο για να επιτευχθεί ο στόχος της εμπιστοσύνης του ατόμου προς τον εκάστοτε οργανισμό. Η ορθή χρήση των δεδομένων μπορεί να διευκολύνει στην ανάπτυξη και στη χρήση των πληροφοριακών συστημάτων στον τομέα της παιδείας και να βοηθήσει στην εκσυγχρόνηση του εκπαιδευτικού συστήματος.
Βιβλιογραφία
Ernst Oliver Wilhelm, A brief history of the General Data Protection Regulation (1981-2016), IAPP, 2016
Μήτρου, Λίλιαν, Η προστασία της Ιδιωτικότητας στην Πληροφορική και τις Επικοινωνιες: Η νομική διάσταση, Πανεπιστήμιο Αιγαίου, 2010
[4] Κατευθυντήριες οδηγίες για την «προστασία της ιδιωτικότητας και τις διασυνοριακές ροές προσωπικών δεδομένων
[5] ΓΚΠΔ, άρθρο 5, Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα
[10] Μήτρου, Λίλιαν: Η προστασία της Ιδιωτικότητας στην Πληροφορική και τις Επικοινωνιες;Η νομική διάσταση, Πανεπιστήμιο Αιγαίου, 2010
[14] Ernst Oliver Wilhelm, A brief history of the General Data Protection Regulation (1981-2016), IAPP, 2016