Διαρροή Προσωπικών Δεδομένων: Πώς η Αρχή αποδόμησε την επιχειρηματολογία Κεραμέως

Η Νίκη Κεραμέως
Η Νίκη Κεραμέως EUROKINISSI

Η Αρχή Προστασίας Δεδομένων απαντά σημείο προς σημείο στην DPO του Υπουργείου Παιδείας και κατ' επέκταση στη Νίκη Κεραμέως για το θέμα διαρροής προσωπικών δεδομένων εκπαιδευτικών.

Συμπληρώνοντας ένα χρόνο από την ημέρα που πρωτοεφαρμόστηκε η τηλεκπαίδευση στο ελληνικό εκπαιδευτικό σύστημα είναι χρήσιμο να φρεσκάρουμε τη μνήμη μας και να θυμηθούμε από πότε ακριβώς άρχισε να ξυτιλίγεται το κουβάρι των αποκαλύψεων για τα πολύ σοβαρά κενά στην προστασία των προσωπικών δεδομένων μαθητών και εκπαιδευτικών τα οποία, σημειωτέον, δεν έχουν καλυφθεί ακόμα.

Ενας διαξιφισμός στη Βουλή μεταξύ της Υπουργού Παιδείας Νίκης Κεραμέως και του τομεάρχη Παιδείας του ΣΥΡΙΖΑ (και πρώην Υπουργού) Νίκου Φίλη αποτέλεσε το εναρκτήριο λάκτισμα. Στις 29 Μαϊου του 2020 ο κ. Φίλης προσκόμισε στην Εθνική Αντιπροσωπεία στικάκι από το οποίο, όπως τόνιζε "προκύπτει διαρροή προσωπικών δεδομένων εκπαιδευτικών και μαθητών. Συγκεκριμένα, 2.024 εγγραφές εκατοντάδων εκπαιδευτικών με στοιχεία, όπως ονοματεπώνυμο, σχολείο, τάξη, τμήμα, μάθημα, αριθμός μαθητών που συμμετείχαν, διάρκεια μαθήματος, ημερομηνία, ώρα παραμονής στο τηλεμάθημα, και προσωπικές σημειώσεις ή παρατηρήσεις των εκπαιδευτικών".

Η απάντηση της Υπουργού, μέσω ανακοίνωσης, αφού υποτίθεται πως έλεγξε το στικάκι και το περιεχόμενό του ήταν πολύ σκληρή: Το Υπουργείο έκανε λόγο για "πρωτοφανές φιάσκο" και "άνευ προηγουμένου κοροϊδία της Εθνικής Αντιπροσωπείας" αναφέροντας εν συνεχεία τα εξής: "Το στικάκι περιείχε ένα αρχείο εις διπλούν, σε μορφή excel και pdf, με καταγραφή στατιστικών στοιχείων από τη σύγχρονη εξ αποστάσεως εκπαίδευση, τα οποία εντοπίζονται στο διαδίκτυο και συγκεκριμένα σε blog Υπεύθυνου Πληροφορικής και Νέων Τεχνολογιών Διεύθυνσης Δευτεροβάθμιας Εκπαίδευσης.

Πρώτον, δεν πρόκειται για καμία διαρροή δεδομένων. Τα στοιχεία έχουν καταχωριστεί οικειοθελώς από τους ίδιους τους εκπαιδευτικούς και χρησιμεύουν, εν γνώσει τους, ως οδηγός για την καταχώριση στοιχείων από τους συναδέλφους τους.

– Δεύτερον, τα αρχεία δεν περιλαμβάνουν κανένα προσωπικό δεδομένο μαθητών.

– Τρίτον, καταγράφονται μόνο αριθμητικά, μη προσωπικά, αποτελέσματα της εξ αποστάσεως εκπαίδευσης, δηλαδή αποκλειστικά και μόνο συνολικοί αριθμοί μαθητών που συμμετείχαν σε συνεδρίες, ποσοστό συμμετοχής, διάρκεια σε λεπτά κτλ".

Η ανακοίνωση καταλήγει ως εξής: "Δεν περιμέναμε ποτέ ότι θα φτάσουν να συγχέουν τη διαρροή προσωπικών δεδομένων με την οικειοθελή ανάρτηση στατιστικών στοιχείων".

Σε σχέση βέβαια με όσα αποκαλύφθηκαν στη συνέχεια μέσω της δημοσιογραφικής έρευνας, στην οποία το NEWS 24/7 έπαιξε πρωταγωνιστικό ρόλο, αυτό ήταν σταγόνα στο ωκεάνο. Εχει όμως σημασία να τσεκάρουμε πως το Υπουργείο Παιδείας δικαιολόγησε τη συγκεκριμένη διαρροή στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και πως από την πλευρά της απάντησε η Αρχή. Συμμερίζεται ή όχι την άποψη του Υπουργείου περί πρωτοφανούς φιάσκου και οικειοθελούς ανάρτησης στατιστικών στοιχείων όπως αυτή περιγράφηκε στην απαντητική ανακοίνωση προς τον Νίκο Φίλη;

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, αφού παρέλαβε τη σχετική αναφορά του Νίκου Φίλη στην 15 Ιουνίου, απέστειλε με τη σειρά της επιστολή στο Υπουργείο Παιδείας για την αποστολή διευκρινίσεων στις 9 Ιουλίου.

Οι ισχυρισμοί του Υπουργείου

Οι διευκρινίσεις του Υπουργείου δόθηκαν γραπτώς σχεδόν τρεις μήνες αργότερα, στις 2 Οκτωβρίου. Το σχετικό έγγραφο (με αριθμό πρωτοκόλλου 38365) έχει την υπογραφή της Ειρήνης Καπελλάκη, Υπεύθυνης Προστασίας Δεδομένων (DPO) του Υπουργείου και μετακλητής υπαλλήλου αυτού, διορισμένη από την Νίκη Κεραμέως.

Το τελευταίο το αναφέρουμε γιατί όπως είχαμε υπογραμμίσει και σε προηγούμενο ρεπορτάζ κάτι τέτοιο (ο DPO να είναι μετακλητός υπάλληλος) δεν προβλέπεται από τον GDPR. Στο ρεπορτάζ της 25ης Ιουνίου επί λέξει γράφαμε: "Στο site της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αναφέρεται ρητά ότι, όταν ο DPO "ασκεί πρόσθετα καθήκοντα, αυτά να μην συνεπάγονται σύγκρουση συμφερόντων (π.χ. δεν μπορεί να κατέχει θέση από την οποία μπορεί να καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας, όπως θέσεις ανώτερης διοίκησης, νομικού συμβούλου)". Είναι απορίας άξιον πως ο DPO που πρέπει να έχει πλήρη ανεξαρτησία στην άσκηση των καθηκόντων του μπορεί να είναι παράλληλα μετάκλητος υπάλληλος, σχέση που εξ ορισμού δεν είναι σχέση ανεξαρτησίας". Αν και είχαμε ζητήσει την απάντηση του υπουργείου σε σχετικό ερώτημα, ουδέποτε τη λάβαμε.

Ας δούμε όμως τι γράφει η Ειρήνη Καπελλάκη στην απάντησή της προς την Αρχή για την αναφορά του Νίκου Φίλη. Στην παράγραφο 5.3 η κ. Καπελλάκη χαρακτηρίζει ως Υπεύθυνους Επεξεργασίας για το Πανελλήνιο Σχολικό Δίκτυο ακόμα και τους εκπαιδευτικούς σε μία προφανή προσπάθεια να "πετάξει" το μπαλάκι της ευθύνης της διαρροής προς την πλευρά του εκπαιδευτικού προσωπικού.

Page: /

Εν συνεχεία αναφέρει (παράγραφος 6.1) ότι "τα δεδομένα τα οποία παρέμειναν αναρτημένα στο δικτυακό τόπο της Διεύθυνσης Δευτεροβάθμιας Εκπαίδευσης Αιτωλοκαρνανίας καταχωρίζονταν οικειοθελώς στη σχετική πρότυπη σελίδα της υπηρεσίας "Google Forms" από τα ίδια τα Υποκείμενα των Δεδομένων (τους εκπαιδευτικούς) και εν συνεχεία ελέγχονταν ως προς την ορθότητά τους από τον Διευθυντή κάθε σχολικής ομάδας".

Στην παράγραφο 6.2, τέλος, υπογραμμίζεται οτι "τα δεδομένα των εκπαιδευτικών διεγράφησαν οριστικά από το δικτυακό τόπο της Διεύθυνσης Δευτεροβάθμιας Εκπαίδευσης Αιτωλοκαρνανίας ένα περίπου μήνα μετά την ανάρτηση της σχετικής πρότυπησε σελίδας και αφού αποκαστάθηκαν τα τεχνικά προβλήματα του ΠΣΔ". Αρα, λοιπόν, προσωπικά δεδομένα υπήρχαν.

Η απάντηση της Αρχής προς το Υπουργείο Παιδείας

H απάντηση της Αρχής έχει ημερομηνία την 24η Φεβρουαρίου 2021 και υπογράφεται από την Κάλλη Καρβέλη, νομικό, τον Κωνσταντίνο Λιμνιώτη, πληροφορικό και τον Γιώργο Ρουσσόπουλο, επίσης πληροφορικό.

Page: /

Οι τρεις επιστήμονες αποδομούν, εντυπωσιακά θα έλεγε κανείς, όλο το σκεπτικό της DPO του Υπουργείου και μάλιστα, στην καταληκτική τους παράγραφο αναφέρουν χαρακτηριστικά ότι "σας εφιστούμε την προσοχή προκειμένου να λαμβάνετε τα κατάλληλα μέτρα, ως υπεύθυνος επεξεργασίας, για την πλήρωση των ανωτέρω προϋποθέσεων νόμιμης επεξεργασίας". Οι ελεγκτές, δηλαδή, χτυπάνε καμπανάκι στην DPO και στο Υπουργείο Παιδείας με διακριτικό αλλά ταυτόχρονο εκκωφαντικό τρόπο.

Κατά την άποψη των τριών ελεγκτών, στην υπόθεση της διαρροής των δεδομένων σε ιστοσελίδα της Διεύθυνσης Δευτεροβάθμιας Εκπαίδευσης Αιτωλοκαρνανίας έχει παραβιαστεί πρώτα απ' όλα το άρθρο 5 (παράγραφος 1) του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) με το οποίο προβλέπεται ότι "τα δεδομένα υποβάλλονται σε σύννομη και θεμιτή επεξεγεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων".

"Στη συγκεκριμένη περίπτωση", γράφουν οι ελεγκτές, "δεν προκύπτει ότι οι εκπαιδευτικοί ήταν ενήμεροι ότι τα στοιχεία τα οποία αναρτούσαν, για το σκοπό της εξαγωγής χρήσιμων στατιστικών στοιχείων από την πλευρά του Υπουργείου ως υπευθύνου επεξεργασίας, θα ήταν δημόσια προσβάσιμα στο Διαδίκτυο – ως εκ τούτου, δεν τεκμαίρεται η διαφάνεια της επεξεργασίας". Δεν είχαν ιδέα, δηλαδή, οι εκπαιδευτικοί ότι στα δεδομένα θα είχαν πρόσβαση οι πάντες.

Εξάλλου, συνεχίζουν, "μία τέτοια δημοσιοποίηση δεν προκύπτει ως αναγκαία για την επίτευξη του σκοπού επεξεργασίας - ήτοι την εξαγωγή στατιστικών πληροφοριών από τον υπεύθυνο επεξεργασίας (βλ. αρχή της ελαχιστοποίησης των δεδομένων,όπως προδιαγράφεται στην παράγραφο 1 στοιχ. γ’ του ιδίου άρθρου).

Προς τούτο, επισημαίνεται ότι οι λόγοι διαφάνειας στη Δημόσια Διοίκηση που αναφέρετε στο έγγραφό σας αποτελούν σαφώς διακριτό σκοπό από τον αρχικό σκοπό (εξαγωγή στατιστικών), για τον οποίο επίσης θα έπρεπε να υπάρχει κατάλληλη ενημέρωση στα υποκείμενα των δεδομένων (ήτοι στους εκπαιδευτικούς), στο πλαίσιο της προαναφερθείσας αρχής της διαφάνειας που πρέπει να διέπει κάθε επεξεργασία προσωπικών δεδομένων".

Σημειώνουν επίσης οι ελεγκτές ότι "περαιτέρω, ως προς τους σκοπούς διαφάνειας της Δημόσιας Διοίκησης αναφορικά με την επίμαχη ανάρτηση τους οποίους επικαλείστε, θα πρέπει να σημειωθεί ότι η δημοσιοποίηση προσωπικών δεδομένων στο διαδίκτυο ενέχει ιδιαίτερους κινδύνους για την προσωπικότητα του ατόμου που συνδέονται με τη φύση του διαδικτύου (βλ. ενδεικτικώς και Γνωμοδότηση 1/2010 της Αρχής).

Ο συγκερασμός των συγκρουόμενων αγαθών (αφενός της προστασίας των προσωπικών δεδομένων και αφετέρου της διαφάνειας στη δράση της Διοίκησης και του δικαιώματος στην πληροφόρηση) επιτυγχάνεται με την πρακτική εναρμόνιση των συνταγματικών δικαιωμάτων. Κάθε περιορισμός του δικαιώματος στην προστασία προσωπικών δεδομένων (άρθρο 9Α Σ.) θα πρέπει να είναι αναγκαίος για την ικανοποίηση άλλου δικαιώματος ή δημοσίου συμφέροντος και να και να είναι σύμφωνος με την κατά το άρθρο 25 παρ. 1 του Συντάγματος αρχή της αναλογικότητας".

Στο τέλος, δίδεται, και η... χαριστική βολή στην επιχειρηματολογία της Ειρήνης Καπελλάκη (και της Νίκης Κεραμέως) οι οποίες έκαναν λόγο για οικειοθελή ανάρτηση των δεδομένων από τα υποκείμενα.

Αναφέρουν, λοιπόν, οι τρεις ελεγκτές: "Επισημαίνεται ότι τα ανωτέρω ισχύουν ακόμα και στην περίπτωση, κατά την οποία η καταχώρηση των εν λόγω στοιχείων, για τους διάφορους σκοπούς επεξεργασίας, γίνεται οικειοθελώς από τα υποκείμενα των δεδομένων (όπως αναφέρετε στο ως άνω γ’ σχετικό σας έγγραφο). Άλλωστε, όπως προκύπτει από τα στοιχεία της υπόθεσης, τόσο ο σκοπός όσο και τα μέσα για την επίτευξη των σκοπών της επεξεργασίας, δηλαδή η χρήση της υπηρεσίας google forms, προσδιορίστηκαν πλήρως από τη Διεύθυνση Δευτεροβάθμιας Εκπαίδευσης Αιτωλοακαρνανίας του Υπουργείου σας".

Κοντολογίς: Και διαρροή προσωπικών δεδομένων υπήρξε, και σοβαρή ήταν, και ουδεμία σχέση δεν έχει το αν η ανάρτηση των στοιχείων έγινε οικειοθελώς ή όχι. Είναι σαφές, εν τέλει, ότι φιάσκο στη συγκεκριμένη υπόθεση υπήρξε αλλά αυτό αφορά το Υπουργείο Παιδείας το οποίο πιάστηκε με τη γίδα στην πλάτη.

Για το ζήτημα ο Νίκος Φίλης τόνισε στο NEWS 24/7: "Η απάντηση της Αρχής αποτελεί πράγματι δικαίωση για όσες και όσους έχουμε επισημάνει ότι η τηλεκπαίδευση έχει εφαρμοστεί από το υπουργείο Παιδείας «στο πόδι». Ο κίνδυνος για τα προσωπικά δεδομένα εκπαιδευτικών και μαθητών ήταν και παραμένει τεράστιος. Με την καταγγελία μου στη Βουλή είχα αναδείξει μια συγκριτικά μικρή χαραμάδα διαρροής. Και το έκανα με τον μόνο τρόπο που ξέρω, μιλώντας πολιτικά και καταθέτοντας στοιχεία. Είχα μάλιστα κρατήσει στη συνέχεια χαμηλούς τόνους, γιατί ήταν βέβαιο ότι το υπουργείο θα «ξεφορτωνόταν» τη ευθύνη του πάνω στους εκπαιδευτικούς - χειριστές της υπόθεσης. Τους ασύγκριτα μεγαλύτερους κινδύνους από την παρανόμως άφαντη σύμβαση με τη Cisco (Webex) δεν είμαστε καν σε θέση να την ελέγξουμε.

Να σας θυμίσω πώς αντέδρασε την ίδια μέρα η υπουργός που υποκριτικά παραπονιέται ότι… η αντιπολίτευση δεν βοηθάει το έργο της με εποικοδομητική κριτική: «Πρωτοφανές φιάσκο η καταγγελία Φίλη, άνευ προηγουμένου κοροϊδία της Εθνικής Αντιπροσωπείας, η αξιωματική αντιπολίτευση για κάθε λύση ψάχνει ένα πρόβλημα, για κάθε πρόοδο αναζητά έναν ανύπαρκτο εχθρό». Βαρύγδουπες εκφράσεις και άφθονο κουτόχορτο μήπως μετατοπιστεί η προσοχή από την πολιτική διάλυσης του δημόσιου σχολείου και την πανθομολογούμενη αποτυχία τους σε κάθε διαχειριστικό επίπεδο. Να θυμίσω επίσης ότι αμέσως μετά τη σκυτάλη είχαν πάρει τα ΜΜΕ της λίστας Πέτσας που κατηγορούσαν την Αριστερά κι εμένα προσωπικά για «τεχνοφοβία». Αναρωτιέμαι πώς θα σχολιάσουν τώρα την κατάληξη της υπόθεσης".

Ακολουθήστε το News247.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις

ΠΕΡΙΣΣΟΤΕΡΑ: Νίκη Κεραμέως, Νικόλαος Φίλης, Προσωπικά Δεδομένα, Τηλεκπαίδευση, ΣΥ.ΡΙΖ.Α., Κυβέρνηση, Cisco
SHARE:

24Media Network