Η οριστική απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη διαδικασία της τηλεκπαίδευσης στην Ελλάδα, φαίνεται να εκθέτει το Υπουργείο Παιδείας, και συγκεκριμένα τη Νίκη Κεραμέως, καθώς κρίνει πως έχουν τελεστεί σοβαρές παραβιάσεις του νόμου περί προσωπικών δεδομένων.
Η
Αρχή διαπίστωσε παραβιάσεις της νομοθεσίας σε αρκετές περιπτώσεις, μεταξύ αυτών
και στη χρήση των μεταδεδομένων των χρηστών, για τα οποία είχε δοθεί στην
εταιρία CISCO να τα εμπορευτεί όπως η ίδια επιθυμεί.
Στην
πολυσέλιδη απόφαση αναφέρεται πως θα πρέπει να υπάρξει συμμόρφωση εντός 2
μηνών, ενώ καταλήγει και σε επιπλήξεις προς το Υπουργείο. Χαρακτηριστικά, η
Αρχή συμπεραίνει πως έχει παραβιαστεί το άρθρο του GDPR περί νομιμότητας της
επεξεργασίας των δεδομένων. Αναλυτικά, αναφέρει: «Σε σχέση με τα ζητήματα
νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως ιδίως
εκτίθενται στις σκέψεις 11 έως και 16 της παρούσης, διαπιστώνεται ότι το
Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 6 του ΓΚΠΔ, σε συνδυασμό με
το άρθρο 4 παρ. 5 του ν. 3471/2006, όπως ισχύει».
Διαπιστώθηκε,
επίσης, ότι το Υπουργείο δεν πήρε μέτρα για να αποτρέψει τους κινδύνους που
ενέχει η εν λόγω επεξεργασία: «Σε σχέση με τους κινδύνους που ενέχει η
συγκεκριμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα όπως αναλύονται στη
σκέψη 18 της παρούσης, διαπιστώνεται ότι το Υπουργείο έχει παραβιάσει τις
διατάξεις του άρθρου 25 παρ. 1 του ΓΚΠΔ, καθώς τα λαμβανόμενα τεχνικά και
οργανωτικά μέτρα δεν προστατεύουν επαρκώς τα δικαιώματα των υποκειμένων των
δεδομένων».
Τέλος,
εξίσου σημαντικό είναι το γεγονός πως η αρχή συμπεραίνει ότι παρανόμως
πωλήθηκαν τα δεδομένα των χρηστών στις ΗΠΑ. Αναφέρεται ρητά ότι «σε σχέση με το
ζήτημα της διαβίβασης δεδομένων εκτός Ε.Ε., όπως αναλύεται στη σκέψη 20 της
παρούσης, διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε τις υποχρεώσεις του άρθρου 46
του ΓΚΠΔ, καθώς δεν έχει πραγματοποιηθεί αξιολόγηση της διαβίβασης με τον τρόπο
που περιγράφεται στην εν λόγω σκέψη».
Η
Νίκη Κεραμέως απάντησε, εξαπολύοντας επίθεση κατά της ανεξάρτητης Αρχής
Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, κατηγορώντας την για «ξαφνική
αλλαγής πλεύσης» και «παράκαμψη του διαρκούς διαλόγου της με το υπουργείο».
Η
δημοσίευση των συμβάσεων
Υπενθυμίζεται
πως η συμφωνία του υπουργείου Παιδείας με την εταιρεία Cisco, δημοσιεύθηκε τον
Μάρτιο του 2021, έπειτα από μήνες πιέσεων από φορείς αλλά και από την
αντιπολίτευση, χωρίς μάλιστα δελτίο τύπου.
Από
το έγγραφο των 172 σελίδων που είχε δοθεί στη δημοσιότητα, προέκυψε πως από τη
μία η κυβέρνηση φέρεται να έδωσε στην εταιρεία δεδομένα 1,5 εκατομμυρίων
πολιτών, και από την άλλη την πλήρωσε και με 2 εκατομμύρια ευρώ, αν και
ισχυριζόταν πως οι υπηρεσίες της προσφέρονταν δωρεάν. Συγκεκριμένα, στις 27
Νοεμβρίου του 2020, η Νίκη Κεραμέως δήλωνε ότι «πρόκειται για μια αποδοχή
δωρεάς ... είναι μία αποδοχή δωρεάς που δεν έχει υποχρεώσεις ... Η σύμβαση
είναι αποδοχή δωρεάς. Δεν ξοδεύει ούτε ένα ευρώ ο Έλληνας φορολογούμενος».
Επίσης,
στις 8 Απριλίου, η Νίκη Κεραμέως, απαντώντας στον Νίκο Φίλη στη Βουλή, τον
κατηγόρησε ότι «ενοχλείται» επειδή «ιδιωτικοί πάροχοι έδωσαν δωρεάν δεδομένα
... που ήλθε μια εταιρεία και δίνει δωρεάν τη δυνατότητα σε όλη τη χώρα, στο
ένα εκατομμύριο τετρακόσιες χιλιάδες μαθητές της χώρας να έχουν τη δυνατότητα
να βλέπουν ζωντανά τους εκπαιδευτικούς τους ... Τόσο πολύ ποινικοποιείτε τον
ιδιωτικό τομέα» και δήλωσε ξανά ότι «η CISCO παρέχει δωρεάν αυτή την υπηρεσία!
Δωρεάν για όλες τις εκπαιδευτικές δομές της χώρας».
Βέβαια,
λίγο αργότερα η υπουργός παιδείας δήλωνε στον ΣΚΑΙ πως «δεν μπορεί προφανώς μία
τέτοια πλατφόρμα να είναι εσαεί δωρεάν».
Από
τις συμβάσεις λοιπόν, προέκυψε πως η συνεργασία του ελληνικού Δημοσίου με τη
Cisco δεν έγινε δωρεάν, καθώς σε πρώτη φάση κόστισε 1.896.630 ευρώ. Όσον αφορά
την προστασία των προσωπικών δεδομένων των μαθητών και των εκπαιδευτικών,
αξίζει να σημειωθεί πως στα έγγραφα δεν υπήρχε γνωμάτευση της αρμόδιας αρχής, η
οποία θα έπρεπε να είχε προηγηθεί της έναρξης της διαδικασίας.
Το
πρόβλημα με τα μεταδεδομένα
Μπορεί
από την σύμβαση να προέκυψε πως τα προσωπικά δεδομένα των συμμετεχόντων στη
διαδικασία διασφαλίζονταν, ωστόσο αυτό δεν συμβαίνει με τα μεταδεδομένα, που
θεωρούνται επίσης προσωπικού χαρακτήρα και η διακίνησή τους είναι σίγουρα πιο
επικερδής από λίστες ονομάτων.
Πρόκειται
για στοιχεία που προκύπτουν από τη στατιστική επεξεργασία των ανωνυμοποιημένων
δεδομένων τα οποία οι εταιρίες πληροφορικής όπως η Cisco μπορούν να
εκμεταλλευτούν εμπορικά, εξασφαλίζοντας μεγάλα χρηματικά ποσά. Για εταιρίες σαν
την Cisco, ονόματα, ΑΜΚΑ ή ακόμα και οπτικοακουστικό υλικό δεν έχουν μεγάλη
αξία, γι’ αυτό άλλωστε δεν έχουν κάποιο ιδιαίτερο πρόβλημα να δεσμευτούν ότι δε
θα διακινήσουν τέτοιου τύπου δεδομένα. Αντιθέτως, δεδομένα όπως η ψηφιακή
διεύθυνση κατοικίας και η ψηφιακή ταυτότητα των συσκευών αποτελούν σημαντική
«πρώτη ύλη» από τη στατιστική επεξεργασία της οποίας προκύπτουν τα μεγάλης
εμπορικής αξίας μεταδεδομένα.
Αν
αναλογιστούμε ότι η εταιρία μέσω της πλατφόρμας τηλεκπαίδευσης είχε πρόσβαση σε
προσωπικά δεδομένα 1,5 εκατ. χρηστών, γίνεται αντιληπτό το περιθώριο
κερδοφορίας που η ελληνική κυβέρνηση έδωσε στην Cisco. Στην σελίδα 109,
αναφερόταν το εξής: η Cisco μπορεί να χρησιμοποιεί αυτά τα από-προσωποποιημένα
δεδομένα τηλεμετρίας και δεδομένα υποοστήριξης για δικούς της επιχειρηματικούς
σκοπούς χωρίς απόδοση ή αποζημίωση στον πελάτη
Από
την πλευρά της, η διευθύντρια Μάρκετινγκ και Επικοινωνίας της Cisco (Ελλάδα -
Κύπρος – Μάλτα), Έλενα Πρασσάκη, είχε επισημάνει ότι «δεν χρησιμοποιούμε για
εμπορικούς σκοπούς και δεν μοιραζόμαστε με οποιονδήποτε άλλο τρόπο, τα
προσωπικά δεδομένα των χρηστών μας σε τρίτα μέρη και δεν διεξάγουμε δραστηριότητες
δημιουργίας προφίλ με τα δεδομένα αυτά». «Οποιεσδήποτε πληροφορίες από έναν
χρήστη που συμμετέχει στην υπηρεσία Webex χρησιμοποιούνται, συλλέγονται και
αποθηκεύονται, σύμφωνα με τους νόμους περί προστασίας δεδομένων της ΕΕ και τα
Διεθνή Πρότυπα Ασφάλειας στον κυβερνοχώρο» προσθέτει η κ. Πρασσάκη.
Έλενα
Σπυροπούλου, δικηγόρος: Γιατί η Αρχή επιπλήττει το Υπουργείο
Η
Έλενα Σπυροπούλου, δικηγόρος, μέλος του Privacy Europe Network, πιστοποιημένη
Διαμεσολαβήτρια και Υπεύθυνη Προστασίας Δεδομένων (Data Prοtection Officer),
μιλά στο tvxs.gr και ερμηνεύει από την πλευρά της την απόφαση της Αρχής
Προστασίας Δεδομένων.
«H
Αρχή αφού ζήτησε τα σχετικά έγγραφα και το πλήρες υλικό, κρίνει κατά πόσο η όλη
διαδικασία της τηλεκπαίδευσης έγινε νόμιμα ή όχι. Καταλήγει λοιπόν ότι σε
σημεία η νομιμότητα αυτής της διαδικασίας πάσχει. Δεν είναι κάτι τραγικό εξ ου
και δεν επιβάλει πρόστιμα, απευθύνει ωστόσο επίπληξη και καλεί το Υπουργείο να
την κάνει νόμιμη. Διαπιστώνει προφανώς παραβιάσεις, όποιος όμως είναι
εξοικειωμένος με το GDPR καταλαβαίνει ότι παραβίαση από παραβίαση έχει μεγάλη
απόσταση, δηλαδή υπάρχουν παραβιάσεις που μπορεί να επιφέρουν σοβαρούς
κινδύνους για τα δικαιώματα των υποκειμένων, των χρηστών, ή μπορεί να επιφέρουν
μικρότερους κινδύνους.
Εν
προκειμένω υπάρχουν ελαττώματα και σφάλματα, υπάρχουν παραβιάσεις, δεν
κρίνονται όμως τέτοιας σπουδαιότητας ώστε να παρθούν σκληρότερα μέτρα. Κυρίως,
από ό,τι καταλαβαίνω υπερέχει ο σκοπός της τηλεκπαίδευσης, ως εκ τούτου δεν
απαγορεύεται η επεξεργασία, απλώς έρχεται η Αρχή και λέει ότι για να είναι αυτή
νόμιμη πρέπει το Υπουργείο να προβεί σε επιπλέον ενέργειες, ώστε να είναι πλήρως
συμμορφωμένη με τη νομοθεσία. Εκ των πραγμάτων βέβαια δεν είναι κάτι απλό αυτό.
Πρέπει ωστόσο να υπάρξει η ανάλογη φροντίδα από το Υπουργείο. Επί της ουσίας η
Αρχή επιπλήττει το Υπουργείο και το καλεί να κάνει σωστά τη δουλειά του».
Με
βάση και τους κανόνες που διέπουν τις εταιρείες αυτές είναι εφικτή η απόλυτη
συμμόρφωση στη νομοθεσία;
«Δεν
ξέρω αν το Υπουργείο είχε το χρόνο στην αρχή να το κάνει, τώρα όμως που έχει
μεσολαβήσει ο απαραίτητος χρόνος, οφείλει. Υπεύθυνη για την επεξεργασία δεν
είναι η Cisco, δεν είναι η εταιρεία που διενεργεί την τηλεκπαίδευση τεχνικά,
υπεύθυνο είναι το Υπουργείο, οπότε δεδομένου ότι έχει όλη την πρόσβαση και στην
πληροφορία, στους κινδύνους, στους αριθμούς των κρουσμάτων, κι άρα πιθανολογεί
αν μας χρειάζεται ή θα χρειαστεί η τηλεκπαίδευση έχει πλέον όλο το χρόνο για να
διορθώσει και τα ελαττώματα. Στη διαφάνεια, στην ενημέρωση, σε ζητήματα τεχνικά
και οργανωτικά, όλα αυτά που προσδιορίζει με σαφήνεια η Αρχή.
Για
παράδειγμα, υπάρχουν πληροφορίες, οι οποίες φεύγουν από τον τερματικό εξοπλισμό
των παιδιών, των χρηστών, οι οποίες μολονότι είναι κυρίως τεχνικές, λαμβάνονται
κατά παράβαση της νομοθεσίας. Δεν έχει ερευνηθεί από το Υπουργείο αν είναι
νόμιμος ο λόγος που φεύγουν και πηγαίνουν στην εταιρεία αυτές οι πληροφορίες.
Πρέπει
λοιπόν το Υπουργείο να ελέγξει τη νομιμότητα, να ελέγξει τη εταιρεία. Να
ζητήσει από την εταιρεία τις πληροφορίες που συγκεντρώνει, να πει η εταιρεία τι
τις κάνει μετά αυτές τις πληροφορίες. Τις πετάει, δημιουργεί βάσεις στατιστικών
δεδομένων, τις κρατά για να βελτιώσει το δικό της σύστημα; Τι πληροφορίες
παίρνει η εταιρεία, για ποιο σκοπό, πόσο καιρό τις κρατάει, και το Υπουργείο
που είναι Υπεύθυνος Επεξεργασίας να της πει αν έχει το δικαίωμα ή όχι. Αυτά όλα
πρέπει να είναι μέρος της συμφωνίας.
Επίσης,
η ενημέρωση στα υποκείμενα δεν έχει γίνει σωστά. Επιπλέον υπάρχουν κάποιες
πληροφορίες που κρίνει η Αρχή ότι δεδομένου ότι η Cisco εδρεύει στις ΗΠΑ,
μπορεί να αποθηκεύονται και στην Αμερική και όχι μόνο στην Ευρωπαϊκή Ενωση. Δεν
υπάρχει διασφάλιση και για τη διαβίβαση αυτή».
Μπορεί
να καταφύγει ένας χρήστης, ένας γονιός στη δικαιοσύνη;
«Θεωρητικά
ναι, αλλά δεν νομίζω ότι θα δικαιωθεί. Υπάρχει σαφής παραβίαση του κανονισμού
ωστόσο η Αρχή έχει κρίνει ότι υπερτερεί η ανάγκη της τηλεκπαίδευσης και ότι το
Υπουργείο έχει το περιθώριο να βελτιώσει αυτά τα σημεία».