ΑΝΑΦΟΡΕΣ
Υπόθεση Cisco: Παράβαση του GDPR και της νομοθεσίας για τα προσωπικά δεδομένα από την κυβέρνηση
Ένα κράτος δικαίου οφείλει να προστατεύει αποτελεσματικά τα προσωπικά δεδομένα των πολιτών του απέναντι σε τεχνολογικούς κολοσσούς και πολυεθνικές εταιρείες που ενδέχεται να τα χρησιμοποιήσουν ή να τα επεξεργαστούν κατά παράβαση της νομοθεσίας, με σκοπό να εξυπηρετήσουν δικά τους συμφέροντα.
Ωστόσο, αυτό δεν συνέβη στη συνεργασία της ελληνικής κυβέρνησης με την εταιρεία Cisco για το σύστημα της τηλεκπαίδευσης. Συγκεκριμένα, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εντόπισε σημαντικές παραβάσεις της νομοθεσίας για την προστασία των προσωπικών δεδομένων, εγείροντας σοβαρά ερωτήματα για τους χειρισμούς του υπουργείου Παιδείας και Θρησκευμάτων ως προς την κατοχύρωση των δεδομένων εκατοντάδων χιλιάδων μελών της εκπαιδευτικής κοινότητας.
Στις 16 Νοεμβρίου 2021 η Αρχή έδωσε στη δημοσιότητα την απόφασή της (50/2021) σχετικά με τη συμμόρφωση του συστήματος τηλεκπαίδευσης -που εφάρμοσε το υπουργείο κατά τη διάρκεια της πανδημίας- με μια σειρά νομοθετικών διατάξεων του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ, δηλαδή του GDPR) και του ν. 3471/2006 σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών.
Η ενασχόληση της ΑΠΔΠΧ με την υπόθεση δεν ξεκίνησε με την παραπάνω απόφαση, ούτε τα προβλήματα με τη Cisco εμφανίστηκαν για πρώτη φορά το 2021. Πράγματι, τον Σεπτέμβριο του 2020 η Αρχή είχε εκδώσει γνωμοδότηση (4/2020), με την οποία έδωσε συστάσεις προς το υπουργείο Παιδείας ώστε η τηλεκπαίδευση στις σχολικές μονάδες να ακολουθεί πλήρως τις διατάξεις της νομοθεσίας για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Μάλιστα, ήδη από τότε η Αρχή είχε μιλήσει για κινδύνους σχετικά με τα προσωπικά δεδομένα μαθητών και καθηγητών. Αυτοί οι κίνδυνοι αφορούσαν, μεταξύ άλλων, τις διαβιβάσεις προσωπικών δεδομένων εκτός ΕΕ, τους όρους της σύμβασης με τη Cisco (αφού από το περιεχόμενό της προκύπτει ότι κάποια δεδομένα διατηρούνται από την ιδιωτική εταιρεία), καθώς και τη χρήση προσωπικών ηλεκτρονικών διευθύνσεων των εκπαιδευτικών και την ηλεκτρονική διαβίβασή τους στη Cisco, ακόμα κι αν ένας εκπαιδευτικός δεν είχε προχωρήσει σε ενεργοποίηση της τηλεκπαίδευσης.
Μετά από 14 μήνες η ΑΠΔΠΧ επανήλθε στην υπόθεση με τη δημοσίευση της απόφασής της, όπου ουσιαστικά εξέτασε αν το υπουργείο συμμορφώθηκε προς την παραπάνω γνωμοδότηση, αλλά και προς τη νομοθεσία για τα προσωπικά δεδομένα. Αντί για συμμόρφωση, η Αρχή διαπίστωσε σοβαρές ελλείψεις και παραβάσεις σε πέντε σημεία.
1ο σημείο: Το υπουργείο Παιδείας δεν διερεύνησε αναλυτικά, κατά παράβαση του ΓΚΠΔ, τη νομιμότητα των σκοπών επεξεργασίας των προσωπικών δεδομένων χρηστών, ιδίως σε σχέση με τη συγκατάθεσή τους για πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη, όταν αυτή η πρόσβαση δεν είναι απαραίτητη για την παροχή της υπηρεσίας.
2ο σημείο: Οι χειρισμοί του υπουργείου εγείρουν σοβαρά ζητήματα διαφάνειας, αφού σύμφωνα με την Αρχή οι πληροφορίες που παρέχονται σε όσους συμμετέχουν στην εκπαιδευτική διαδικασία σχετικά με τα προσωπικά δεδομένα τους είναι λιγότερες από αυτές που προβλέπει ο ΓΚΠΔ για την πλήρη ενημέρωσή τους. Μάλιστα, ακόμα και αυτές που παρέχονται δεν είναι εύκολα προσβάσιμες, ούτε απλά και σαφώς διατυπωμένες, παρότι πρόκειται για πληροφορίες που απευθύνονται σε μαθητές και παιδιά.
Σχετικά με αυτή την παράβαση εκ μέρους του υπουργείου Παιδείας, η ΑΠΔΠΧ σημειώνει ότι, μεταξύ άλλων αστοχιών, από τις παρεχόμενες πληροφορίες «απουσιάζουν τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων» και «δεν υπάρχει διευκρίνιση σε σχέση με την τήρηση μεταδεδομένων, συνεπώς η ενημέρωση είναι ελλιπής όσον αφορά τις κατηγορίες των δεδομένων, τους σκοπούς και τους χρόνους τήρησης που σχετίζονται με την επεξεργασία αυτών των δεδομένων». Ακόμη, «το κείμενο (σ.σ.: με τις πληροφορίες για την ενημέρωση των χρηστών) είναι γραμμένο με μη δομημένο τρόπο» και «δεν είναι εύκολα προσβάσιμο, καθώς εμπεριέχεται εντός συχνών ερωτήσεων».
3ο σημείο: Το υπουργείο Παιδείας δεν παρείχε σε εκπαιδευτικούς και μαθητές την κατάλληλη εκπαίδευση, ούτε τα αναγκαία μέτρα ασφαλείας, με σκοπό να γνωρίζουν πώς θα προστατεύουν αποτελεσματικά τα προσωπικά δεδομένα τους. Κι αυτό γιατί, σύμφωνα με την ΑΠΔΠΧ, «το ΥΠΑΙΘ (σ.σ.: υπουργείο Παιδείας) ως υπεύθυνος επεξεργασίας […] δεν εφαρμόζει κατά τη στιγμή της επεξεργασίας κατάλληλα τεχνικά και οργανωτικά μέτρα για την εφαρμογή αρχών προστασίας των δεδομένων και την ενσωμάτωση των απαραίτητων εγγυήσεων. Τα εφαρμοζόμενα μέτρα βρίσκονται προς τη σωστή κατεύθυνση και πρέπει να συμπληρωθούν, με τρόπο που να είναι διαθέσιμος σε κάθε εκπαιδευτικό, ενώ πρέπει να εξασφαλιστεί ότι το σύνολο των εκπαιδευτικών που εμπλέκονται στη διαδικασία εξ αποστάσεως εκπαίδευσης έχουν λάβει ελάχιστη ενημέρωση ώστε να εξασφαλίζεται η μείωση των κινδύνων», αναφέρει το σκεπτικό της Αρχής.
4o σημείο: Το υπουργείο Παιδείας δεν εκπλήρωσε την υποχρέωση που έχει από τον ΓΚΠΔ σε σχέση με την έκφραση γνώμης των υποκειμένων των δεδομένων ή και των εκπροσώπων τους, δηλαδή δεν έδωσε τη δυνατότητα στους μαθητές και τους κηδεμόνες τους να εκφράσουν τη γνώμη τους για την επεξεργασία των προσωπικών δεδομένων τους, ώστε να διασφαλιστεί η «νόμιμη βάση επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που διακυβεύονται όταν ζητούνται οι εν λόγω γνώμες».
5ο σημείο: Δεν έγινε ορθή αξιολόγηση της διαβίβασης δεδομένων σε χώρες εκτός της ΕΕ. Η Αρχή σημειώνει ότι η Cisco (εν προκειμένω ο όμιλος και οι εταιρείες του) υπόκειται στο δίκαιο των ΗΠΑ και, συνεπώς, έπρεπε να παρθούν αποτελεσματικά συμπληρωματικά μέτρα για να εξασφαλιστεί επαρκές επίπεδο προστασίας προσωπικών δεδομένων, ανάλογο με αυτό που κατοχυρώνει η ενωσιακή και εθνική νομοθεσία. Ωστόσο, τέτοια αποτελεσματικά μέτρα δεν υιοθετήθηκαν.
Αφού εντόπισε τις παραβάσεις, η Αρχή προχώρησε σε επιπλήξεις προς το υπουργείο και έδωσε εντολή να αντιμετωπιστούν οι ελλείψεις μέσα σε δύο μήνες (τέσσερις για τις διαβιβάσεις των δεδομένων).
Έκπληξη και αιχμές από το υπουργείο Παιδείας
Από την πλευρά του το υπουργείο εξέδωσε ανακοίνωση στις 18 Νοεμβρίου, αντιδρώντας σε όσα του προσάπτει η ΑΠΔΠΧ. Προκαλεί εντύπωση τόσο το ότι το υπουργείο έκανε λόγο για «εσφαλμένες παραδοχές», αλλά ακόμα περισσότερο ότι η ηγεσία του υποστήριξε ότι η απόφαση εκπλήσσει «και λόγω της ξαφνικής αλλαγής πλεύσης εκ μέρους της Αρχής και παράκαμψης του διαρκούς διαλόγου της με το Υπουργείο Παιδείας και Θρησκευμάτων».
«Η ΑΠΔΠΧ, με την 4/2020 γνωμοδότησή της, είχε κρίνει καταρχήν νόμιμη την τηλεκπαίδευση, προβαίνοντας σε κάποιες συστάσεις, τις οποίες υιοθέτησε το Υπουργείο εντός της προβλεπόμενης τρίμηνης προθεσμίας. Έκτοτε, και ενώ το Υπουργείο βρισκόταν σε συνεχή επικοινωνία με την Αρχή και παρείχε επιπλέον πληροφορίες που ζητήθηκαν, ουδέποτε επισημάνθηκαν αποκλίσεις από τους κανόνες προστασίας προσωπικών δεδομένων, ούτε βεβαίως αναφέρθηκαν τα όσα μόλις επικαλέστηκε για πρώτη φορά η Αρχή για να αιτιολογήσει τη νέα απόφασή της», σημείωσε το υπουργείο.
Από την ανακοίνωση προκύπτει ότι το υπουργείο αμφισβητεί όχι μόνο το σκεπτικό της απόφασης, αλλά και την ακεραιότητα της Αρχής, κατηγορώντας την για ξαφνική και εμμέσως δόλια αλλαγή πλεύσης. Μάλιστα, με την αναφορά στην ανακοίνωση ότι «οι αποφάσεις (σ.σ.: των Ανεξάρτητων Αρχών) υπόκειται σε δικαστική κρίση», αφήνει να εννοηθεί ότι θα προσφύγει στη δικαιοσύνη κατά της ΑΠΔΠΧ.
Το εξαιρετικά προβληματικό για την εύρυθμη και σύννομη λειτουργία της κυβέρνησης στο πλαίσιο του κράτους δικαίου είναι ότι στην υπόθεση της Cisco δεν παραβιάστηκε από την ηγεσία του υπουργείου Παιδείας μόνο η νομοθεσία για τα προσωπικά δεδομένα, αλλά και ο Κανονισμός της Βουλής στο πλαίσιο του κοινοβουλευτικού ελέγχου, καθώς και η νομοθεσία για τη διαφανή λειτουργία της διοίκησης και την υποχρέωση ανάρτησης των πράξεών της στη Διαύγεια.
Μια από τις σύγχρονες απαιτήσεις του κράτους δικαίου είναι η αποτελεσματική προστασία των προσωπικών δεδομένων των πολιτών.
Ωστόσο, στην προκειμένη περίπτωση, σύμφωνα με την ΑΠΔΠΧ, το υπουργείο Παιδείας και Θρησκευμάτων απέτυχε να εκπληρώσει αυτή την επιταγή, παραβιάζοντας τόσο τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR), όσο και τον ν. 3471/2006 σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών.
Αριθμός Λογαριασμού: 1100 0232 0016 560
IBAN: GR56 0140 1100 1100 0232 0016 560
BIC: CRBAGRAA
Στον αγώνα μας για Λογοδοσία και Διαφάνεια, απέναντι σε οτιδήποτε υπονομεύει τις αρχές της Δημοκρατίας και του Κράτους Δικαίου.
Γιατί η Δημοκρατία δεν είναι αυτονόητη.
Είναι στο χέρι μας να μη στεκόμαστε απαθείς ή κυνικοί.
Δες πώς μπορείς να μας βοηθήσεις, εδώ!