Παραβίαση Προσωπικών Δεδομένων στο Ελληνικό Ανοικτό Πανεπιστήμιο (ΕΑΠ): Τι συνέβη και ποια είναι τα δικαιώματα των φοιτητών και ακαδημαϊκών

2025-10-16

Καταγγελία στην ΑΠΔΠΧ και Προστασία των Δικαιωμάτων σας.

1. Εισαγωγή

Η κυβερνοεπίθεση που υπέστη το Ελληνικό Ανοικτό Πανεπιστήμιο (ΕΑΠ) στα τέλη του 2024 και έγινε γνωστή το 2025 προκάλεσε έντονη ανησυχία στην ακαδημαϊκή κοινότητα. Χιλιάδες φοιτητές και μέλη του διδακτικού προσωπικού αντιμετωπίζουν το ενδεχόμενο διαρροής ευαίσθητων προσωπικών δεδομένων τους στο διαδίκτυο και ιδίως στο dark web. Πέρα από την προφανή τεχνική διάσταση, η υπόθεση εγείρει σοβαρά νομικά ζητήματα σχετικά με την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων και τις ευθύνες του ιδρύματος βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR).

2. Το πραγματικό περιστατικό: Κυβερνοεπίθεση και διαρροή δεδομένων στο dark web

Σύμφωνα με δημοσιεύματα του Documento, του News247 και του Insider Greece, το ΕΑΠ αντιμετώπισε το φθινόπωρο του 2024 μια σοβαρή κυβερνοεπίθεση τύπου ransomware. Κατά την επίθεση παραβιάστηκαν οι βάσεις δεδομένων του ιδρύματος και διέρρευσαν περισσότερα από 800 GB αρχείων που περιείχαν ονοματεπώνυμα, ΑΦΜ, ΑΜΚΑ, στοιχεία επικοινωνίας, βαθμολογίες και οικονομικά δεδομένα φοιτητών και προσωπικού. Τμήμα αυτών εντοπίστηκε σε φόρουμ του dark web, ενώ το ΕΑΠ ενημέρωσε επίσημα την κοινότητα μόλις στις 28 Μαρτίου 2025 — με καθυστέρηση περίπου πέντε μηνών.

3. Νομικό πλαίσιο: Ο GDPR και η ελληνική νομοθεσία

Το ΕΑΠ, ως υπεύθυνος επεξεργασίας δεδομένων, υποχρεούται να διασφαλίζει την ακεραιότητα και εμπιστευτικότητα των πληροφοριών σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και τον Ν. 4624/2019. Η μη έγκαιρη ενημέρωση των υποκειμένων ενδέχεται να συνιστά παράβαση του άρθρου 33 του GDPR, που επιβάλλει ειδοποίηση εντός 72 ωρών από τη διαπίστωση της παραβίασης.

Αγωγή GDPR και δικαίωση φοιτητών και μελών ΔΕΠ

4. Δικαιώματα φοιτητών και ακαδημαϊκών

Μετά από περιστατικό παραβίασης, κάθε φοιτητής ή μέλος ΔΕΠ έχει το δικαίωμα πρόσβασης, ενημέρωσης, διόρθωσης, διαγραφής και περιορισμού της επεξεργασίας των προσωπικών του δεδομένων, καθώς και το δικαίωμα καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

5. Καταγγελία στην ΑΠΔΠΧ

Οι πολίτες μπορούν να προσφύγουν στην ΑΠΔΠΧ, υποβάλλοντας ηλεκτρονικά καταγγελία στο www.dpa.gr, επισυνάπτοντας αποδείξεις παραβίασης ή αδράνειας του φορέα. Η ΑΠΔΠΧ διαθέτει εξουσία ελέγχου και επιβολής προστίμων έως 20 εκατομμύρια ευρώ ή 4% του ετήσιου κύκλου εργασιών.

6. Αγωγή στα δικαστήρια – Αποζημίωση και δικαστική διεκδίκηση

Το άρθρο 82 του GDPR και το άρθρο 38 του Ν. 4624/2019 αναγνωρίζουν δικαίωμα αποζημίωσης για κάθε πρόσωπο που υπέστη ζημία από παραβίαση προσωπικών δεδομένων. Δεδομένου ότι το Ελληνικό Ανοικτό Πανεπιστήμιο (ΕΑΠ) είναι Νομικό Πρόσωπο Δημοσίου Δικαίου (ΝΠΔΔ), η αγωγή αποζημίωσης ασκείται ενώπιον των Διοικητικών Πρωτοδικείων, με βάση το άρθρο 105 ΕισΝΑΚ σε συνδυασμό με το άρθρο 82 του GDPR. Εφόσον όμως συντρέχει συνευθύνη ιδιωτικής εταιρείας (π.χ. παρόχου τεχνικών υπηρεσιών), η αντίστοιχη αγωγή μπορεί να ασκηθεί στα πολιτικά δικαστήρια. Οι θιγόμενοι μπορούν να αξιώσουν τόσο υλική ζημία όσο και αποζημίωση για ηθική βλάβη, λόγω προσβολής της προσωπικότητας και της ιδιωτικότητάς τους.

7. Ομαδικές αγωγές

Οι φοιτητές και οι καθηγητές μπορούν να κινηθούν συλλογικά, ασκώντας ομαδικές αγωγές. Αυτό μειώνει το κόστος και αυξάνει τη νομική πίεση προς το ίδρυμα, διευκολύνοντας πιθανές εξωδικαστικές λύσεις ή θετικές αποφάσεις.

8. Νομολογία και ευρωπαϊκές τάσεις

Η ευρωπαϊκή νομολογία, όπως η υπόθεση C-300/21 (Österreichische Post), επιβεβαιώνει ότι το θύμα παραβίασης δεδομένων δικαιούται αποζημίωση ακόμη και για καθαρά ηθική βλάβη. Στην Ελλάδα, αποφάσεις της ΑΠΔΠΧ έχουν ήδη αναγνωρίσει ευθύνη δημόσιων φορέων για ελλιπή μέτρα προστασίας.

9. Ο ρόλος της νομικής υποστήριξης

Η υποβολή καταγγελίας ή αγωγής απαιτεί εξειδικευμένη γνώση του GDPR και της διοικητικής διαδικασίας. Το γραφείο Optima Justitia διαθέτει εμπειρία στην εκπροσώπηση πολιτών και φοιτητών σε υποθέσεις παραβίασης δεδομένων, παρέχοντας πλήρη νομική υποστήριξη σε κάθε στάδιο.

10. Συμπέρασμα και κάλεσμα για δράση

Η παραβίαση προσωπικών δεδομένων στο ΕΑΠ δείχνει ότι κανένας φορέας δεν είναι απρόσβλητος. Οι φοιτητές και τα μέλη ΔΕΠ έχουν δικαίωμα προστασίας και αποζημίωσης. Η έγκαιρη νομική ενέργεια μπορεί να αποφέρει ουσιαστικά αποτελέσματα και να συμβάλει στην ενίσχυση της ασφάλειας στον χώρο της εκπαίδευσης. Αν είστε φοιτητής ή μέλος του ΕΑΠ και θεωρείτε ότι τα προσωπικά σας δεδομένα έχουν παραβιαστεί, επικοινωνήστε με το γραφείο Optima Justitia μέσω της φόρμας επικοινωνίας στο www.giannoulislaw.com. Η ομάδα μας εξειδικεύεται στην προστασία προσωπικών δεδομένων και αναλαμβάνει υποθέσεις σε όλη την Ελλάδα, με στόχο τη δικαίωση και την αποζημίωση των πολιτών.