Τα κενά σε ό,τι αφορά στην προστασία των προσωπικών δεδομένων των φοιτητών επισημαίνει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επί του νομοσχεδίου Κεραμέως – Χρυσοχοϊδη και ειδικά επί του άρθρου που αφορά το «Σχέδιο ασφάλειας και προστασίας των ΑΕΙ».

Στη σχετική γνωμοδότηση επισημαίνεται, μεταξύ άλλων, ότι «όπως παγίως κρίνει η Αρχή όταν μία επεξεργασία προσωπικών δεδομένων προβλέπεται σε διάταξη τυπικού νόμου τότε η διάταξη θα πρέπει μεταξύ άλλων να αναφέρει βασικά χαρακτηριστικά της επεξεργασίας συμπεριλαμβανομένων, πέρα του σκοπού αυτής, και των δεδομένων τα οποία θα τύχουν προστασίας».

Αναφέρει επίσης, ότι «ο νομοθέτης πρέπει να εξασφαλίσει ότι ορίζεται ως υπεύθυνος επεξεργασίας η οντότητα η οποία έχει πραγματική δυνατότητα ελέγχου ως προς το σκοπό και τα μέσα της επεξεργασίας, ενώ ο σκοπός θα πρέπει να συνδέεται με τις οριζόμενες στο νόμο αρμοδιότητες του φορέα».

Σε ό,τι αφορά το ζήτημα της παραπομπής, από το νομοσχέσιο, στο προεδρικό διάταγμα 75/2020 για τη χρήση συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους χώρους, η Αρχή αναφέρει: «Η ευθεία παραπομπή στο εν λόγω ΠΔ δεν είναι καταρχάς ορθή δεδομένου ότι ο υπεύθυνος επεξεργασίας θα είναι το εκάστοτε ΑΕΙ το οποίο δεν έχει κατ’αρχήν αρμοδιότητες που περιγράφονται στην παρ.1 του προαναφερθέντος νόμου, αλλά και διότι το πεδίο εφαρμογής της διάταξης του σχεδίου νόμου είναι διαφορετικό».

Επίσης: «Οι περιορισμοί ατομικού δικαιώματος πρέπει να δικαιολογούνται από αποχρώντες λόγους δημοσίου συμφέροντος, να τελούν σε πρόδηλη λογική συνάφεια με το σκοπό αυτό, να είναι πρόσφοροι, κατάλληλοι και αναγκαίοι για την επίτευξη του επιδιωκόμενου σκοπού, να μην θίγουν τον πυρήνα του δικαιώματος και να μην απονέμουν στη διοίκηση ευρεία διακριτική ευχέρεια. Στο πλαίσιο αυτό καθίσταται αναγκαίο στη νομοθετική διάταξη να υπάρχουν σαφείς και ακριβείς κανόνες που επιβάλλουν έναν ελάχιστο αριθμό απαιτήσεων ούτως ώστε τα πρόσωπα των οποίων τα δεδομένα υφίστανται επεξεργασία να έχουν επαρκείς εγγυήσεις ότι προστατεύονται αποτελεσματικά τα προσωπικού χαρακτήρα δεδομένα τους».

Όπως αναφέρει η Εφημερίδα των Συντακτών, στο τελικό κείμενο του νομοσχεδίου ορίστηκαν ο σκοπός και η φύση των δεδομένων που θα τύχουν επεξεργασίας, όμως τα προβλήματα παραμένουν.

Η Αρχή παίρνει ως δεδομένο ότι αρμόδιο για τον ορισμό υπευθύνου επεξεργασίας δεδομένων είναι το εκάστοτε ΑΕΙ, επισημαίνοντας ωστόσο: «κατά τον προσδιορισμό του υπευθύνου επεξεργασίας, θα πρέπει επίσης να διευκρινιστεί πλήρως ο ρόλος αυτού σε σχέση και με τις αρμοδιότητες της Ελληνικής Αστυνομίας».

Σε απάντηση των παραπάνω, το υπουργείο ορίζει δύο υπεύθυνους επεξεργασίας, έναν από το πανεπιστήμιο και έναν από την ΕΛ.ΑΣ., χωρίς να καθορίζονται πουθενά μέσα στον νόμο οι αρμοδιότητες αυτών. Αντίθετα, προβλέπεται η σύναψη Μνημονίου Συνεργασίας μεταξύ των δύο υπευθύνων επεξεργασίας δεδομένων, χωρίς καν να υπάρχει η δέσμευση δημοσιοποίησης αυτού του Μνημονίου.

Σε κάθε περίπτωση, η Αρχή καταλήγει ως εξής: «Τέλος πρέπει να επισημανθεί ότι τα παραπάνω αποτελούν αρχικές βασικές παρατηρήσεις, που είναι εστιασμένες στο άρθρο 8 του σχεδίου νόμου και δεν εξαντλούν τα θέματα προστασίας προσωπικών δεδομένων που ενδεχομένως σχετίζονται με το σχέδιο νόμου συνολικά».