Ουκ ολίγες περιπτώσεις σοβαρών παραβιάσεων του νόμου περί προσωπικών δεδομένων διαπίστωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στη διαδικασία της τηλεκπαίδευσης και της πλατφόρμας της Cisco και του Webex που εφαρμόστηκε την περίοδο του lockdown και για όσο παρέμειναν κλειστά τα σχολεία.
Όπως αναφέρει, μεταξύ πολλών άλλων, η Αρχή Προστασίας Δεδομένων, «σε σχέση με τα ζητήματα νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, διαπιστώνεται ότι το Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 6 του ΓΚΠΔ», καθώς και ότι «διαπιστώνει πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη».
Διαβάστε ΕΔΩ αναλυτικά την απόφαση 50/2021 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).
Από την πλευρά του, πάντως, με σημερινή του ανακοίνωση, το υπουργείο Παιδείας κατηγορεί την Αρχή Προστασίας Προσωπικών Δεδομένων για εσφαλμένες παραδοχές σχετικά με την τηλεκπαίδευση.
Την απόφαση της Αρχής ακολούθησε ανακοίνωση της ΟΙΕΛΕ, στην οποία τονίζεται ότι η Η η «προσπάθεια που η Ομοσπονδία ξεκίνησε τον Μάιο του 2020 για να σταματήσει η διαρροή των προσωπικών δεδομένων χιλιάδων μαθητών και εκπαιδευτικών μέσω της τηλεκπαίδευσης δικαιώθηκε». Συγκεκριμένα, η ΟΙΕΛΕ αναφέρεται αναλυτικά στα πέντε σημεία που υποδεικνύονται από την Αρχή και δείχνουν παράβαση της νομοθεσίας.
Αυτά είναι
1. Σε σχέση με τα ζητήματα νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα έχει παραβιάσει τις διατάξεις του άρθρου 6 του ΓΚΠΔ, σε συνδυασμό με το άρθρο 4 παρ. 5 του ν. 3471/2006, όπως ισχύει.
Συγκεκριμένα διαπιστώνει πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη κατά παράβαση του άρθρου 4 παρ. 5 του ν. 3471/2006, και ότι δεν έχει διενεργηθεί αναλυτική διερεύνηση της νομιμότητας των εξής σκοπών της επεξεργασίας :
- Εξαγωγή συμπερασμάτων σχετικά με την τηλεκπαίδευση, ως στατιστικός και ερευνητικός σκοπός, με υπεύθυνο επεξεργασίας το ΥΠΑΙΘ και εκτελούντα την επεξεργασία τη CISCO,
- Βελτίωση της παρεχόμενης από τη Cisco υπηρεσίας, για την οποία προκύπτει ότι υπεύθυνος επεξεργασίας μπορεί να είναι η Cisco και
- Συμμόρφωση της Cisco με οικονομικές και ελεγκτικές απαιτήσεις, συμπεριλαμβανομένης της χρέωσης των υπηρεσιών, με υπεύθυνο επεξεργασίας τη Cisco, ώστε να μπορεί να τεκμηριωθεί η νομιμότητά του με βάση το άρθρο 6 του ΓΚΠΔ.
Παράλληλα δίνει εντολή στο ΥΠΑΙΘ να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης. Μετά το διάστημα αυτό, το ΥΠΑΙΘ οφείλει να έχει εξασφαλίσει ότι λαμβάνει συγκατάθεση για την πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη, όταν αυτό δεν είναι απαραίτητο για την παροχή της υπηρεσίας που ζήτησε ο χρήστης, και να έχει τεκμηριώσει αναλυτικά τη νομιμότητα των σκοπών επεξεργασίας που αναφέρθηκαν πιο πάνω.
2. Σε σχέση με τα ζητήματα διαφάνειας και όσον αφορά την ανακοίνωση στοιχείων του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) έχει παραβιάσει τις διατάξεις του άρθρου 13, σε συνδυασμό με το άρθρο 5 παρ. 1 α του ΓΚΠΔ, το άρθρο 12 και το άρθρο 37 παρ. 7 ΓΚΠΔ. Συγκεκριμένα, διαπιστώνεται ότι οι παρεχόμενες πληροφορίες είναι λιγότερες από όσες επιβάλλει ο ΓΚΠΔ, ότι οι πληροφορίες δεν είναι σε κατανοητή και εύκολα προσβάσιμη μορφή και δεν χρησιμοποιείται σαφής και απλή διατύπωση, λαμβάνοντας ιδίως υπόψη και ότι πρόκειται για πληροφορία που απευθύνεται και σε παιδιά. Κι αυτό γιατί ο ρόλος των εκπαιδευτικών και ενημερωτικών δράσεων δεν περιορίζεται στην ικανοποίηση της αρχής της διαφάνειας αλλά και στην ορθή κατανόηση των κινδύνων και των συνεπειών από πιθανή επεξεργασία δεδομένων κατά τη διαδικασία τηλεκπαίδευσης. Απαιτείται, λοιπόν, προσέγγιση ώστε να εξασφαλίζεται ότι οι πληροφορίες οι οποίες απευθύνονται στις διαφορετικές κατηγορίες υποκειμένων των δεδομένων είναι συνοπτικές, διαφανείς, κατανοητές και εύκολα προσβάσιμες, με απλή διατύπωση ειδικά όσον αφορά σε παιδιά. Παράλληλα δίνει εντολή στο ΥΠΑΙΘ να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ, αντιμετωπίζοντας τις παραβάσεις και τροποποιώντας τη διαδικασία και το περιεχόμενο της παρεχόμενης ενημέρωσης εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης.
3. Σε σχέση με τους κινδύνους που ενέχει η συγκεκριμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα σε ζητήματα όπως ο έλεγχος ταυτοπροσωπίας (βασικό μέτρο ασφάλειας για τον περιορισμό της πρόσβασης τρίτων στις «ψηφιακές τάξεις») ή η χρήση προσωπικών ηλεκτρικών συσκευών, διαπιστώθηκε ότι το ΥΠΑΙΘ δεν προκύπτει ότι έχει παράσχει κατάλληλες οδηγίες και εκπαίδευση προς το προσωπικό του (τους εκπαιδευτικούς) και ότι έχει παραβιάσει τις διατάξεις του άρθρου 25 παρ. 1 του ΓΚΠΔ, καθώς τα λαμβανόμενα τεχνικά και οργανωτικά μέτρα δεν προστατεύουν επαρκώς τα δικαιώματα των υποκειμένων των δεδομένων. Παράλληλα δίνει εντολή στο ΥΠΑΙΘ να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης.
4. Σε σχέση με την έκφραση γνώμης των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία (ότι δηλ. ποτέ δεν έγινε μία ουσιαστική διαβούλευση για τον τρόπο λειτουργίας και όλες εν γένει τις παραμέτρους της τηλεκπαίδευσης), διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε την υποχρέωση του άρθρου 35 παρ. 9 του ΓΚΠΔ.
5. Σε σχέση με το ζήτημα της διαβίβασης δεδομένων εκτός Ε.Ε., δοθέντος ότι η εταιρεία Cisco (εν προκειμένω ο όμιλος και οι εταιρείες του) υπόκειται στο δίκαιο των ΗΠΑ, συνεπώς, κατ’ αρχήν, δεν εξασφαλίζεται επαρκές επίπεδο προστασίας προσωπικών δεδομένων, διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε τις υποχρεώσεις του άρθρου 46 του ΓΚΠΔ, καθώς δεν έχει πραγματοποιηθεί αξιολόγηση της διαβίβασης με τον τρόπο που περιγράφεται στο σκεπτικό της απόφασης της Αρχής. Παράλληλα δίνει εντολή στο ΥΠΑΙΘ να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ, αντιμετωπίζοντας τις παραβάσεις ως προς το ζήτημα αυτό, εντός προθεσμίας τεσσάρων μηνών από την επίδοση της απόφασης.
ΣΥΡΙΖΑ: Μονόδρομος η παραίτηση Κεραμέως
«Μονόδρομος η παραίτηση της υπουργού Παιδείας μετά την πλήρη αποκάλυψη του σκανδάλου Cisco», τόνιζε σε ανακοίνωσή της η ΕΠΕΚΕ Παιδείας του ΣΥΡΙΖΑ-Προοδευτική Συμμαχία.
«Ούτε ένα ούτε δύο αλλά πέντε δυνατά “σκαμπίλια” δέχτηκε το υπουργείο Παιδείας και προσωπικά η υπουργός κυρία Κεραμέως από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) υπ` αρ. 50/2021 απόφασή της. Τα ραπίσματα αυτά προστίθενται στον ατελείωτο κατάλογο των αποτυχιών στην πανδημία, του αυταρχικού αντιδημοκρατικού κατήφορου εναντίον των εκπαιδευτικών, της υποβάθμισης του δημόσιου σχολείου, της θεσμικής παράκαμψης και της απόλυτης αναστάτωσης που έχει επέλθει στη δημόσια εκπαίδευση επί κυβέρνησης Μητσοτάκη» ανέφερε, μεταξύ άλλων.
Η απάντηση του υπουργείου Παιδείας
Η Απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) 50/2021 σχετικά με την τηλεκπαίδευση, η οποία παρασχέθηκε την προηγούμενη σχολική χρονιά με στόχο την απρόσκοπτη συνέχιση της εκπαιδευτικής διαδικασίας παρά την πανδημία, εκπλήσσει λόγω των εσφαλμένων της παραδοχών, αλλά και λόγω της ξαφνικής αλλαγής πλεύσης εκ μέρους της Αρχής και παράκαμψης του διαρκούς διαλόγου της με το Υπουργείο Παιδείας και Θρησκευμάτων.
Η ΑΠΔΠΧ, με την 4/2020 γνωμοδότησή της, είχε κρίνει καταρχήν νόμιμη την τηλεκπαίδευση, προβαίνοντας σε κάποιες συστάσεις, τις οποίες υιοθέτησε το Υπουργείο εντός της προβλεπόμενης τρίμηνης προθεσμίας. Έκτοτε, και ενώ το Υπουργείο βρισκόταν σε συνεχή επικοινωνία με την Αρχή και παρείχε επιπλέον πληροφορίες που ζητήθηκαν, ουδέποτε επισημάνθηκαν αποκλίσεις από τους κανόνες προστασίας προσωπικών δεδομένων, ούτε βεβαίως αναφέρθηκαν τα όσα μόλις επικαλέστηκε για πρώτη φορά η Αρχή για να αιτιολογήσει τη νέα απόφασή της.
Και ενώ δεν εφαρμόζεται πλέον η τηλεκπαίδευση και τα σχολεία μας έχουν επιστρέψει στην κανονικότητα, συγκαλείται περιέργως έκτακτη συνεδρίαση η οποία καταλήγει σε απόφαση στην οποία μεταξύ άλλων:
1. Η Αρχή θεωρεί εσφαλμένα ότι η επεξεργασία δεδομένων που εφαρμόζεται στην τηλεκπαίδευση είναι αυτή που περιγράφεται στα Privacy data sheets της CISCO. Αυτό όμως δεν ισχύει καθώς το Υπουργείο πέτυχε ειδικούς, αυστηρότερους όρους προστασίας των δεδομένων που ισχύουν μόνο στο πλαίσιο της δικής μας σύμβασης. Πέρα από αυτό, η ίδια η Αρχή αναγνωρίζει ότι τα δεδομένα είναι ψευδωνυμοποιημένα και ότι είναι αμφίβολο αν μπορούν να χρησιμοποιηθούν με τρόπο που να επιφέρει δυσμενείς συνέπειες στα υποκείμενα των δεδομένων.
2. Η Αρχή αφιερώνει 3 ολόκληρες σελίδες για να περιγράψει τα μέτρα ενημέρωσης των μελών της εκπαιδευτικής κοινότητας, ήτοι δημιουργία δύο δικτυακών τόπων και τηλεφωνικού κέντρου υποστήριξης, έκδοση εγκυκλίων, ανακοινώσεων και διενέργεια προγραμμάτων επιμόρφωσης (περιλαμβανομένου οδηγού του ΙΕΠ), αλλά ταυτόχρονα κάνει λόγο για… παραβίαση των σχετικών διατάξεων περί ενημέρωσης. Υπογραμμίζεται ότι μέχρι σήμερα ουδέποτε επισημάνθηκε από την Αρχή οποιαδήποτε αστοχία σε σχέση με την ενημέρωση η οποία παρασχέθηκε μεσούσης της πανδημίας.
3. Η Αρχή αξιολογεί μόνο ορισμένα από τα μέτρα που πήρε το Υπουργείο για την ενημέρωση αμφισβητώντας την αποτελεσματικότητά τους χωρίς την απαιτούμενη τεκμηρίωση/αιτιολόγηση, π.χ. δεν εξηγεί γιατί θεωρεί ότι η λειτουργία ομάδας υποστήριξης σε επίπεδο σχολικής μονάδας δεν διασφαλίζει ότι έχουν ενημερωθεί κατάλληλα οι εκπαιδευτικοί.
4. Η Αρχή επιπλήττει το Υπουργείο Παιδείας για μη συμμόρφωση με νέες υποχρεώσεις που θεσμοθετήθηκαν μόλις τον περασμένο Ιούνιο ενώ η σχολική χρονιά ολοκληρωνόταν και μαζί της και η τηλεκπαίδευση και ενώ η Μελέτη Εκτίμησης Αντικτύπου είχε εκπονηθεί μήνες πριν!
Σημειωτέον, δε, ότι σε καμία άλλη ευρωπαϊκή χώρα δεν γνωρίζουμε να έχει δημιουργηθεί οποιοδήποτε ζήτημα με την εφαρμογή του πανευρωπαϊκού κανονισμού για την προστασία των προσωπικών δεδομένων και τη συγκεκριμένη πλατφόρμα.
Το Υπουργείο Παιδείας και Θρησκευμάτων ασφαλώς σέβεται τις Αποφάσεις των Ανεξάρτητων Αρχών. Οι αποφάσεις, όμως, αυτές υπόκεινται σε δικαστική κρίση.
Όσο για την ανακοίνωση του ΣΥΡΙΖΑ, είναι ανάξια λόγου. Οι εμπνευστές της σπεύδουν να υιοθετήσουν ερμηνείες χωρίς αντίκρισμα, ενώ δεν διστάζουν και να παραποιήσουν πλήρως την ίδια την απόφαση της Αρχής, αναφέροντας ψευδώς ότι δήθεν στην απόφαση περιλαμβάνεται ότι, πέραν πάσης αμφισβητήσεως, προσωπικά δεδομένα διαβιβάστηκαν στις ΗΠΑ και αποτέλεσαν αντικείμενο εμπορικής εκμετάλλευσης. Πόσο πιο χαμηλά! Και μέσα στην απελπισία τους καταστροφολογούν όπως πάντα, πιστοί στο δόγμα του ΟΧΙ σε όλα. Κλείνουν τα σχολεία λόγω πανδημίας, ο ΣΥΡΙΖΑ λέει ΟΧΙ στην τηλεκπαίδευση και τα παιδιά μας στο σκοτάδι. Ανοίγουν τα σχολεία, ο ΣΥΡΙΖΑ λέει ΟΧΙ στη δια ζώσης λειτουργία τους. Διορίζονται 16.200 εκπαιδευτικοί για πρώτη φορά μετά από 12 χρόνια, ο ΣΥΡΙΖΑ καταψηφίζει. Το Νέο Σχολείο γίνεται πράξη, ο ΣΥΡΙΖΑ διαφωνεί. Χωρίς ποτέ να προτείνει κάτι συγκεκριμένο και θετικό.
Η Παιδεία αλλάζει. Με τη στήριξη της κοινωνίας που απαιτεί το καλύτερο για τα παιδιά μας.
Στο λαϊκισμό απαντάμε με υπευθυνότητα. Εργαζόμαστε, μαζί με την εκπαιδευτική κοινότητα, δημιουργώντας το σύγχρονο εκπαιδευτικό σύστημα που αξίζουν τα παιδιά μας και οι εκπαιδευτικοί μας.
