Στην παρούσα υπόθεση η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εξέτασε αυτεπαγγέλτως τη συμμόρφωση του Υπουργείου Παιδείας και Θρησκευμάτων με τις συστάσεις της γνωμοδότησης 4/2020 για τη συμβατότητα της σύγχρονης εξ αποστάσεως εκπαίδευσης στις σχολικές μονάδες της πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης με τις διατάξεις της νομοθεσίας για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Έκρινε τα εξής: Α) σχέση με τα ζητήματα νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, το Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 6 του ΓΚΠΔ, σε συνδυασμό με το άρθρο 4 παρ. 5 του ν. 3471/2006, όπως ισχύει. Συγκεκριμένα, διαπιστώνει πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη κατά παράβαση του άρθρου 4 παρ. 5 του ν. 3471/2006, και ότι δεν έχει διενεργηθεί αναλυτική διερεύνηση της νομιμότητας των εν λόγω σκοπών, ώστε να μπορεί να τεκμηριωθεί η νομιμότητά του με βάση το άρθρο 6 του ΓΚΠΔ. Ως προς την εν λόγω παράβαση, η Αρχή κρίνει ότι, σε αυτό το στάδιο, το αποτελεσματικό, αναλογικό και αποτρεπτικό μέτρο για την αντιμετώπιση της εν λόγω παράβασης είναι, με βάση το άρθρο 58 παρ. 2 β’ ΓΚΠΔ, να απευθύνει επίπληξη προς το ΥΠΑΙΘ και παράλληλα να του δώσει εντολή, με βάση το άρθρο 58 παρ. 2 δ’ ΓΚΠΔ, να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ, αντιμετωπίζοντας τις παραβάσεις εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης. Μετά το διάστημα αυτό, το ΥΠΑΙΘ οφείλει να έχει εξασφαλίσει ότι λαμβάνει συγκατάθεση για την πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη, όταν αυτό δεν είναι απαραίτητο για την παροχή της υπηρεσίας που ζήτησε ο χρήστης, και να έχει τεκμηριώσει αναλυτικά τη νομιμότητα των σκοπών επεξεργασίας με αριθμό 3 έως 5. Β) Σε σχέση με τα ζητήματα διαφάνειας, και όσον αφορά την ανακοίνωση στοιχείων ΥΠΔ, διαπιστώνεται ότι το Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 13, σε συνδυασμό με το άρθρο 5 παρ. 1 α του ΓΚΠΔ, το άρθρο 12 και το άρθρο 37 παρ. 7 ΓΚΠΔ. Συγκεκριμένα, διαπιστώνεται ότι οι παρεχόμενες πληροφορίες είναι λιγότερες από όσες επιβάλλει ο ΓΚΠΔ, ότι οι πληροφορίες δεν είναι σε κατανοητή και εύκολα προσβάσιμη μορφή και δεν χρησιμοποιείται σαφής και απλή διατύπωση, λαμβάνοντας ιδίως υπόψη και ότι πρόκειται για πληροφορία που απευθύνεται και σε παιδιά. Ως προς την εν λόγω παράβαση, η Αρχή κρίνει ότι σε αυτό το στάδιο, το αποτελεσματικό, αναλογικό και αποτρεπτικό μέτρο για την αντιμετώπιση της εν λόγω παράβασης είναι, με βάση το άρθρο 58 παρ. 2 β’ ΓΚΠΔ, να απευθύνει επίπληξη προς το ΥΠΑΙΘ και παράλληλα να του δώσει εντολή, με βάση το άρθρο 58 παρ. 2 δ’ ΓΚΠΔ, να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ, αντιμετωπίζοντας τις σχετικές παραβάσεις και τροποποιώντας τη διαδικασία και το περιεχόμενο της παρεχόμενης ενημέρωσης εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης. Γ) Σε σχέση με τους κινδύνους που ενέχει η συγκεκριμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, διαπιστώνεται ότι το Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 25 παρ. 1 του ΓΚΠΔ, καθώς τα λαμβανόμενα τεχνικά και οργανωτικά μέτρα δεν προστατεύουν επαρκώς τα δικαιώματα των υποκειμένων των δεδομένων. Ως προς την εν λόγω παράβαση, η Αρχή κρίνει ότι, σε αυτό το στάδιο, το αποτελεσματικό, αναλογικό και αποτρεπτικό μέτρο για την αντιμετώπιση της εν λόγω παράβασης είναι, με βάση το άρθρο 58 παρ. 2 β’ ΓΚΠΔ, να απευθύνει επίπληξη προς το ΥΠΑΙΘ και παράλληλα να του δώσει εντολή, με βάση το άρθρο 58 παρ. 2 δ’ ΓΚΠΔ, να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης. Δ) Σε σχέση με την έκφραση γνώμης των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε την υποχρέωση του άρθρου 35 παρ. 9 του ΓΚΠΔ. Ως προς την εν λόγω παράβαση, η Αρχή κρίνει ότι, σε αυτό το στάδιο, το αποτελεσματικό, αναλογικό και αποτρεπτικό μέτρο για την αντιμετώπιση της εν λόγω παράβασης είναι, με βάση το άρθρο 58 παρ. 2 β’ ΓΚΠΔ, να απευθύνει επίπληξη προς το ΥΠΑΙΘ. Ε) Σε σχέση με το ζήτημα της διαβίβασης δεδομένων εκτός Ε.Ε., διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε τις υποχρεώσεις του άρθρου 46 του ΓΚΠΔ, καθώς δεν έχει πραγματοποιηθεί αξιολόγηση της διαβίβασης. Ως προς την εν λόγω παράβαση και λαμβάνοντας υπόψη την πολύ πρόσφατη σχετική καθοδήγηση του ΕΣΠΔ, η Αρχή κρίνει ότι, σε αυτό το στάδιο, το αποτελεσματικό, αναλογικό και αποτρεπτικό μέτρο για την αντιμετώπιση της εν λόγω παράβασης είναι, με βάση το άρθρο 58 παρ. 2 β’ ΓΚΠΔ, να απευθύνει επίπληξη προς το ΥΠΑΙΘ και παράλληλα να του δώσει εντολή, με βάση το άρθρο 58 παρ. 2 δ’ ΓΚΠΔ, να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ, αντιμετωπίζοντας τις παραβάσεις με τον τρόπο που αναλύεται στις σκέψη 20 της παρούσας, εντός προθεσμίας τεσσάρων μηνών από την επίδοση της απόφασης.