Τι τρέχει με την Cisco;

Αρχικά, ξέρουμε ότι η Αρχή Προστασίας των Προσωπικών Δεδομένων είναι μια συνταγματικά κατοχυρωμένη και ανεξάρτητη Αρχή που δεν κάνει πολιτική. Ο πρόεδρος της δε, είναι ανώτατος δικαστικός λειτουργός και πρώην πρόεδρος του Συμβουλίου της Επικρατείας και τα μέλη της νομικοί του δημοσίου δικαίου και του τομέα της πληροφορικής. Άρα μπορούμε να υποθέσουμε ότι γνωρίζουν τον νόμο.

Από την πλευρά του το υπουργείο Παιδείας διαχειρίστηκε προ διετίας μια μεγάλη κρίση με την έναρξη της πανδημίας και της τηλεκπαίδευσης. Έκανε επιλογές. Πήρε αποφάσεις. Ήταν σωστές και βαθιά τεκμηριωμένες; Ήταν εύκολες και επιφανειακές; Αυτό θα κριθεί στην πορεία του χρόνου.

Η περίοδος πάντως (με την πανδημία σε εξέλιξη) δεν προσφέρεται για την δημιουργία εντυπώσεων ή για εύκολους αντιπολιτευτικούς μαξιμαλισμούς.

Αν έγιναν λάθη στο θέμα της διαχείρισης των προσωπικών δεδομένων των μαθητών και μαθητριών την περίοδο της τηλεκπαίδευσης μέσω της σύμβασης με την πλατφόρμα μεγάλης αμερικανικής πολυεθνικής, πρέπει να διορθωθούν με την συνεργασία των εκπροσώπων και των Θεσμών του κράτους. Και, αν έγιναν, ο μάλλον χειρότερος δρόμος θα ήταν να προχωρήσουμε (για μια ακόμη φορά), σε νομικές αμφισβητήσεις.

Τι ακριβώς συνέβη λοιπόν με την περίφημη σύμβαση της Cisco του υπουργείου Παιδείας και προς τι ο «πόλεμος» που μοιάζει να εξελίσσεται μεταξύ υπουργείου Παιδείας και Αρχής για την προστασία των προσωπικών δεδομένων για τα … μεταδεδομένα των χρηστών της πλατφόρμας μελών της εκπαιδευτικής κοινότητας της χώρας που συγκεντρώθηκαν την περίοδο της πανδημίας;

Η Αρχή Προστασίας των Προσωπικών Δεδομένων επέπληξε προχθές το υπουργείο Παιδείας για την παραβίαση 4 κανόνων της σχετικής νομοθεσίας και ζήτησε συμμόρφωση του μέσα σε λίγους μήνες, αφού ο σχετικός νόμος δεν έχει καταργηθεί και μπορεί να προκύψει ξανά ανάγκη των υπηρεσιών της τηλεκπαίδευσης.

Στα παραπάνω το υπουργείο Παιδείας αντέδρασε σήμερα κάνοντας λόγο για εσφαλμένη κρίση της Αρχής και απείλησε με προσφυγές ακύρωσης της κρίσης της αναφέροντας ότι είχε προβλέψει ειδική συμφωνία για να προστατεύσει τα δεδομένα των μαθητών που χρησιμοποίησαν την πλατφόρμα της Cisco στη διάρκεια της τηλεκπαίδευσης (Webex) με την οποία η Ελλάδα έκανε αποκλειστική συμφωνία. Το υπουργείο Παιδείας έτσι προανήγγειλε προσφυγή με αίτημα ακύρωσης της απόφασης της Αρχής, πιθανότατα βέβαια γιατί προκάλεσε ανησυχία η μικρή διορία των 2 έως 4 μηνών για να γίνει συμμόρφωση με τους κανόνες και τους νόμους που ισχύουν.

Τι διαπιστώνει με λίγα λόγια η Αρχή στο κείμενο-απόφαση της; Ότι παραβιάστηκαν οι σχετικοί νόμοι στο κομμάτι που απαιτεί την συγκατάθεση των μαθητών ή άλλων εμπλεκόμενων στο επίπεδο της συγκέντρωσης των μεταδεδομένων των τηλε-μαθημάτων τους. Ότι δεν ενημερώθηκαν επαρκώς οι 150.000 εκπαιδευτικοί της χώρας που κλήθηκαν με ελάχιστη επιμόρφωση να διαχειριστούν την πλατφόρμα για το πως θα προστατεύσουν τα προσωπικά δεδομένα των μαθητών η μαθητριών και τα δικά τους. Ότι παραβιάστηκαν οι ευρωπαϊκοί νόμοι που απαγορεύουν το να δοθούν αντίστοιχα δεδομένα σε χώρες όπως η ΗΠΑ (πρόκειται για αμερικανική εταιρία), καθώς οι νόμοι εκεί είναι διαφορετικοί και η χώρα δεν θεωρείται «ασφαλής λιμένας» με το δεδομένα ότι πρόσβαση σε τέτοια στοιχεία μπορούν να έχουν το FBI ή άλλες υπηρεσίες της χώρας, εάν το χρειαστούν για δικές τους έρευνες.

Τι στοιχεία συγκεντρώθηκαν; Κυρίως μεταδεδομένα, όχι ονόματα ή ηλεκτρονικές διευθύνσεις των μαθητών, αλλά κυρίως πληροφορίες, πόση ώρα έμειναν συνδεδεμένοι οι χρήστες, πόσοι υπολογιστές κλπ, αλλά βέβαια και τεχνικά στοιχεία των ίδιων των υπολογιστών.

Για τα παραπάνω, όπως αναφέρεται στην απόφαση της Αρχής θα έπρεπε να έχουν ενημερωθεί όλοι και να έχουν συγκατατεθεί (κάτι που φαίνεται ότι το έκανε τελικά το υπουργείο Παιδείας, καθώς τα σχολεία δεν έχουν υπεύθυνους για την προστασία των προσωπικών τους δεδομένων).

Ωστόσο, στο ίδιο το υπουργείο Παιδείας ο Υπεύθυνος Προστασίας Προσωπικών Δεδομένων (dpo) φαίνεται ότι δεν καλύπτει τις αυστηρές προδιαγραφές της θέσης (ανεξαρτησία, αντικειμενική κρίση). Και αυτό γιατί θήτευσε πριν ως νομική σύμβουλος της ηγεσίας του, που κλήθηκε να καλύψει εκ των ενόντων τις ανάγκες της θέσης αυτής.

Γιατί διάλεξε όμως το υπουργείο Παιδείας τη συγκεκριμένη αμερικανική πολυεθνική με έδρα την Καλιφόρνια, η οποία και μέσω των εκπαιδευτικών αναγκών που δημιούργησε η πανδημία επεκτάθηκε σε ένα τεράστιο κοινό; Γιατί δεν διάλεξε μια ευρωπαϊκή εταιρία; Μια πρώτη απλή απάντηση είναι ότι έδωσε την καλύτερη προσφορά. Αυτό δεν απαντάει βέβαια στην αποκλειστικότητα της σύμβασης για την οποία το υπουργείο Παιδείας είχε απαντήσει στο παρελθόν ότι η εταιρεία αυτή έδωσε τις μεγαλύτερες εγγυήσεις στα θέματα προστασίας των δεδομένων, ενώ η χρήση της πλατφόρμας της ήταν γνωστή ήδη  σε μεγάλη μερίδα της εκπαιδευτικής κοινότητας και δεν υπήρχε λόγος να μπερδευτούν και με τη χρήση κάποιας άλλης δάσκαλοι και καθηγητές.

Οι λεπτομέρειες

Όπως αναφέρουν ωστόσο νομικοί με ειδική κατάρτιση στα παραπάνω θέματα που αναζητήθηκαν για τις ανάγκες του ρεπορτάζ, χρειάζονταν περαιτέρω διασφαλίσεις πριν τη χρήση της οποιασδήποτε πλατφόρμας για τις ανάγκες της τηλεκπαίδευσης, οι οποίες βέβαια θα απαιτούσαν πολύ περισσότερο χρόνο και δουλειά από το υπουργείο Παιδείας και έναν άμεσο πανελλαδικό συντονισμό, ενώ την περίοδο εκείνη, το «στοίχημα» που έπρεπε να κερδηθεί ήταν ότι η τηλεκπαίδευση …δούλεψε.

Συγκεκριμένα και όπως αναφέρεται στην απόφαση της Αρχής Προστασίας των προσωπικών δεδομένων:

• Είναι σαφές ότι η εταιρεία Cisco (εν προκειμένω ο όμιλος και οι εταιρείες του) υπόκειται στο δίκαιο των ΗΠΑ, συνεπώς, κατ’ αρχήν, δεν εξασφαλίζεται επαρκές επίπεδο προστασίας προσωπικών δεδομένων. Επομένως, κάθε διαβίβαση πρέπει να εξετάζεται ξεχωριστά́ ως προς τη νομιμότητά της.
• Κατά την εξέταση των απαιτήσεων για την ικανοποίηση της αρχής της διαφάνειας, στην ιστοσελίδα του υπουργείου υπάρχει ουσιώδης παράλειψη που συνίσταται στην έλλειψη ειδικής ενημέρωσης σε σχέση με τα προσωπικά́ δεδομένα (πολιτική́) και αναφοράς στα στοιχεία επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων.
• Σε σχέση με τα ζητήματα νομιμότητας της επεξεργασίας δεδομένων προσωπικού́ χαρακτήρα, διαπιστώνεται ότι το υπουργείο Παιδείας έχει παραβιάσει τις διατάξεις και διαπιστώνεται πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό́ εξοπλισμό́ ενός χρήστη κατά́ παράβαση των άρθρων του νόμου. Στο μέλλον και αφού λυθούν αυτά τα προβλήματα, το υπουργείο Παιδείας οφείλει να έχει εξασφαλίσει ότι λαμβάνει συγκατάθεση για την πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό́ εξοπλισμό́ ενός χρήστη, όταν αυτό́ δεν είναι απαραίτητο για την παροχή́ της υπηρεσίας που ζήτησε ο χρήστης, και να έχει τεκμηριώσει αναλυτικά́ τη νομιμότητα των σκοπών επεξεργασίας.
• Σε σχέση με τους κίνδυνους που ενέχει η συγκεκριμένη επεξεργασία δεδομένων προσωπικού́ χαρακτήρα όπως αναλύονται στην απόφαση διαπιστώνεται ότι το υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 25 παρ. 1 του Γενικού Ποινικού Κώδικα καθώς τα λαμβανόμενα τεχνικά́ και οργανωτικά́ μέτρα δεν προστατεύουν επαρκώς τα δικαιώματα των υποκείμενων των δεδομένων.
• Σε σχέση με το ζήτημα της διαβίβασης δεδομένων εκτός Ε.Ε. διαπιστώνεται ότι το υπουργείο Παιδείας παραβίασε τις υποχρεώσεις των άρθρων του νόμου, καθώς δεν έχει πραγματοποιηθεί́ αξιολόγηση της διαβίβασης με τον τρόπο που περιγράφεται παραπάνω.

Τι απάντησε το υπουργείο Παιδείας

«Η Απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σχετικά με την τηλεκπαίδευση, η οποία παρασχέθηκε την προηγούμενη σχολική χρονιά με στόχο την απρόσκοπτη συνέχιση της εκπαιδευτικής διαδικασίας παρά την πανδημία, εκπλήσσει λόγω των εσφαλμένων της παραδοχών, αλλά και λόγω της ξαφνικής αλλαγής πλεύσης εκ μέρους της Αρχής και παράκαμψης του διαρκούς διαλόγου της με το Υπουργείο Παιδείας και Θρησκευμάτων» ανέφερε στην απάντηση του το υπουργείο Παιδείας. Και πρόσθεσε ότι:

• Η Αρχή με την γνωμοδότησή της, είχε κρίνει καταρχήν νόμιμη την τηλεκπαίδευση, προβαίνοντας σε κάποιες συστάσεις, τις οποίες υιοθέτησε το υπουργείο εντός της προβλεπόμενης τρίμηνης προθεσμίας. Έκτοτε, και ενώ βρισκόταν σε συνεχή επικοινωνία με την Αρχή και παρείχε επιπλέον πληροφορίες που ζητήθηκαν, ουδέποτε επισημάνθηκαν αποκλίσεις από τους κανόνες προστασίας προσωπικών δεδομένων, ούτε βεβαίως αναφέρθηκαν τα όσα μόλις επικαλέστηκε για πρώτη φορά η Αρχή για να αιτιολογήσει τη νέα απόφασή της.
• Η Αρχή θεωρεί εσφαλμένα ότι η επεξεργασία δεδομένων που εφαρμόζεται στην τηλεκπαίδευση είναι αυτή που περιγράφεται στα Privacy data sheets της Cisco. Αυτό όμως δεν ισχύει καθώς το υπουργείο πέτυχε ειδικούς, αυστηρότερους όρους προστασίας των δεδομένων (για χρονο διαγραφης) που ισχύουν μόνο στο πλαίσιο της δικής μας σύμβασης. Πέρα από αυτό, η ίδια η Αρχή αναγνωρίζει ότι τα δεδομένα είναι ψευδωνυμοποιημένα και ότι είναι αμφίβολο αν μπορούν να χρησιμοποιηθούν με τρόπο που να επιφέρει δυσμενείς συνέπειες στα υποκείμενα των δεδομένων.
• Η Αρχή αφιερώνει 3 ολόκληρες σελίδες για να περιγράψει τα μέτρα ενημέρωσης των μελών της εκπαιδευτικής κοινότητας, ήτοι δημιουργία δύο δικτυακών τόπων και τηλεφωνικού κέντρου υποστήριξης, έκδοση εγκυκλίων, ανακοινώσεων και διενέργεια προγραμμάτων επιμόρφωσης (περιλαμβανομένου οδηγού του ΙΕΠ), αλλά ταυτόχρονα κάνει λόγο για… παραβίαση των σχετικών διατάξεων περί ενημέρωσης. Υπογραμμίζεται  ότι μέχρι σήμερα ουδέποτε επισημάνθηκε από την Αρχή οποιαδήποτε αστοχία σε σχέση με την ενημέρωση η οποία παρασχέθηκε μεσούσης της πανδημίας.
• Η Αρχή αξιολογεί μόνο ορισμένα από τα μέτρα που πήρε το Υπουργείο για την ενημέρωση  αμφισβητώντας την αποτελεσματικότητά τους χωρίς την απαιτούμενη τεκμηρίωση/αιτιολόγηση, π.χ. δεν εξηγεί γιατί θεωρεί ότι η λειτουργία ομάδας υποστήριξης σε επίπεδο σχολικής μονάδας δεν διασφαλίζει ότι έχουν ενημερωθεί κατάλληλα οι εκπαιδευτικοί.
• Η Αρχή επιπλήττει το υπουργείο Παιδείας για μη συμμόρφωση με νέες υποχρεώσεις που θεσμοθετήθηκαν μόλις τον περασμένο Ιούνιο ενώ η σχολική χρονιά ολοκληρωνόταν και μαζί της και η τηλεκπαίδευση και ενώ η Μελέτη Εκτίμησης Αντικτύπου είχε εκπονηθεί μήνες πριν! Σημειωτέον, δε, ότι σε καμία άλλη ευρωπαϊκή χώρα δεν γνωρίζουμε να έχει δημιουργηθεί οποιοδήποτε ζήτημα με την εφαρμογή του πανευρωπαϊκού κανονισμού για την προστασία των προσωπικών δεδομένων και τη συγκεκριμένη πλατφόρμα.