Επιχείρηση παραπλάνησης της Βουλής από την Κεραμέως

Aπό τις 15 Ιουλίου το News24/7 σας είχε ενημερώσει για την ακρόαση που έλαβε στην ολομέλεια της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για το κρίσιμο ζήτημα της τήρησης ή όχι της σχετικής νομοθεσίας κατά τη διάρκεια της τηλεκπαίδευσης.

Κατά τη διάρκεια της ακρόασης, ουσιαστικά συζητήθηκε η προσφυγή στην οποία είχε προχωρήσει η Διδασκαλική Ομοσπονδία Ελλάδας, συνεπώς επιχειρηματολόγησαν σχετικά τόσο οι εκπρόσωποι της ΔΟΕ όσο και της ΟΙΕΛΕ (σσ η ομοσπονδία των Εκπαιδευτικών που εργάζονται στον ιδιωτικό τομέα) που επίσης είχε (και εξακολουθεί να έχει όπως θα δούμε παρακάτω) σοβαρά ερωτηματικά για τη στάση του Υπουργείου Παδείας στο ζήτημα.

Το παρόν φυσικά έδωσαν και εκπρόσωποι του Υπουργείου που έδωσαν τη δική τους εκδοχή για τα γεγονότα. Εν συνεχεία η Αρχή, αφού άκουσε προσεκτικά όλες τις απόψεις, έδωσε χρόνο για να υποβληθούν σχετικά υπομνήματα πριν η ίδια καταλήξη σε απόφαση-σύσταση.

Σήμερα (29/7) τo News24/7 φέρνει στο φως της δημοσιότητας εκτεταμένα σημεία από το υπόμνημα που κατέθεσε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα η ΟΙΕΛΕ στο οποίο διατυπώνονται πολύ σοβαρά ερωτήματα που καλείται να απαντήσει το Υπουργείο Παιδείας. Τα μισά από τα ερωτήματα έχουν, όπως θα διαπιστώσετε και εσείς, σχέση με την Εκτίμηση Αντικτύπου Προσωπικών Δεδομένων την οποία το Υπουργείο έδωσε στη δημοσιότητα μόλις στις 10 Ιουλίου του 2020 αν και είχε ζητηθεί πολύ νωρίτερα τόσο από τις Ενώσεις των εκπαιδευτικών όσο και από πολιτικά κόμματα στη Βουλή.

Ειρήσθω εν παρόδω, είχε ζητηθεί πολύ νωρίτερα γιατί υποτίθεται ότι, βάσει του νόμου, η Εκτίμηση Αντικτύπου θα έπρεπε να είχε εκπονηθεί ΠΡΙΝ την έναρξη της τηλεκπαίδευσης έτσι ώστε να μπορέσει να γνωμοδοτήσει γραπτώς και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κάτι που ΟΥΔΕΠΟΤΕ έγινε. Ετσι ακριβώς, μέσα σ’ αυτό το τουλάχιστον προβληματικό πλαίσιο, προέκυψε και η σχετική προσφυγή της ΔΟΕ.

Παρακάτω θα αναφερθούν (και μέσα από το σχετικό υπόμνημα, λέξη-λέξη) τα τέσσερα πιο σοβαρά στοιχεία που επισημαίνει η ΟΙΕΛΕ και από τα οποία προκύπτουν όχι μόνο ζητήματα τήρησης της κείμενης νομοθεσίας αλλά και στοιχειώδους πολιτικής αξιοπιστίας για την Υπουργό, Νίκη Κεραμέως και την υπόλοιπη πολιτική ηγεσία του Υπουργείου Παιδείας και Θρησκευμάτων.

1ον: Η Υπουργός παραπλανά τη Βουλή

Η Εκτίμηση Αντικτύπου Προσωπικών Δεδομένων ζητήθηκε για πρώτη φορά από πολιτικό κόμμα (ΣΥΡΙΖΑ) με σχετική ερώτηση στα μέσα του Απριλίου (συγκεκριμένα στις 13/4).

Η Υπουργός τότε απάντησε ότι θα δοθεί και μάλιστα με όλες τις αναλυτικές λεπτομέρειες. Στις 15 Μαϊου, ημέρα που ψηφίστηκε η τροπολογία για την τηλεκπαίδευση, η Υπουργός ισχυριζόταν ότι η Εκτίμηση Αντικτύπου (που, επαναλαμβάνουμε, έπρεπε να είναι έτοιμη πριν την έναρξη της διαδικασίας της τηλεκπαίδευσης, τον Μάρτιο) έχει συνταχθεί. Τελικά την έδωσε στη δημοσιότητα στις 10 Ιουλίου (!) και μάλιστα όχι ολόκληρη.

Το κείμενο Εκτίμησης Αντικτύπου που ανέβηκε στην ιστοσελίδα του Υπουργείου δεν περιλαμβάνει τμήματα που, όπως χαρακτηριστικά τονίζεται, “αφορούν τεχνικά ζητήματα ασφαλείας”. Της CISCO. Ολόκληρο το κείμενο (με το “κομμένα” σημεία) έφτασε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, επίσης στις 10 Ιουλίου.

Κοντολογίς με τέσσερις μήνες καθυστέρηση η καθοριστική Εκτίμηση Αντικτύπου δημοσιεύτηκε μισή! Και στη δημοσιεύση αναφέρεται ότι συντάχθηκε στις 15/5 ενώ αυτό δεν αποδεικνύεται.

Επίσης, πρέπει να τονιστεί και το εξής: Η κα Κεραμέως ισχυρίστηκε σε ανύποπτο χρόνο ότι είχε υπάρξει διαβούλευση με την Αρχή. Ομως, το κείμενο της Εκτίμησης Αντικτύπου έφτασε στα χέρια της Αρχής στις 10 Ιουλίου, δύο σχεδόν μήνες μετά την ψήφιση της σχετικής τροπολογίας και παρά το γεγονός ότι υπήρχε στα υπόψιν έγγραφα κατά τη διάρκεια της συζήτησης της τροπολογίας χωρίς όμως να κατατεθεί ποτέ!

Λέει για όλα αυτά το υπόμνημα της ΟΙΕΛΕ: Εφόσον το Υπουργείο είχε δημιουργήσει την ΕΑΠΔ από 15/5/2020, διερωτώμεθα:

α) γιατί τελικά τα δημοσιευθέντα ηλεκτρονικά αρχεία σε σχέση με την δηλωμένη ημερομηνία δημιουργίας της ΕΑΠΔ, έχουν σχεδόν 2 μήνες διαφορά (όπως προκύπτει από τα μεταδεδομένα αυτών) ;

β) γιατί δεν προσκομίσθηκε αρχείο/έγγραφο της ΕΑΠΔ με βέβαιη ημερομηνία 15/5/2020; Γιατί δεν υπεβλήθη καν ισχυρισμός εκ μέρους του Υπουργείου περί ύπαρξης άλλου αντιγράφου του εγγράφου της ΕΑΠΔ που φέρει ημερομηνία 15/5/2020 ;

γ) γιατί το σαρωμένο αρχείο δε φέρει έστω ημερομηνία 1-2 ημερών μεταγενέστερης της 15/5/2020 (αν ήταν πχ σαρωμένο του πρωτοτύπου έγγραφο), αλλά αντιθέτως φέρει στα μεταδεδομένα την ημερομηνία της δημοσίευσής του ;

2ον: Την Εκτίμηση συνέταξε αλλά και έλεγξε το ίδιο πρόσωπο

Μία όχι ιδιαίτερα αναλυτικά ματιά στην Εκτίμηση Αντικτύπου όπως “ανέβηκε” στην επίσημη ιστοσελίδα του Υπουργείου καταδεικνύει ότι το ίδιο και το αυτό πρόσωπο προχώρησαν τόσο στη σύνταξή της όσο και στον έλεγχό της. Αναφέρεται ρητά ότι “τα μετρά εγκρίθηκαν από την Ειρήνη Καπελλάκη, Υπεύθυνη Προστασίας Δεδομένων Υ.ΠΑΙ.Θ και ότι παρασχέθηκε η συμβουλή της DPO, Ειρήνη Καπελλάκη.

Πρωτά απ’ όλα στο ρεπορτάζ μας στις 25 Ιουνίου είχε αναδειχθεί το γεγονός ότι η Ειρήνη Καπελλάκη, ως μετακλητός συνεργάτης της Νίκης Κεραμέως, δεν είναι το πλέον κατάλληλο πρόσωπο για την ευαίσθητη θέση του DPO (Υπεύθυνη Προστασίας Δεδομένων). Ο νόμος (άρθρο 38) προβλέπει ότι “ο DPO δεν μπορεί να λαμβάνει εντολές για την άσκηση των καθηκόντων του”. Είναι όμως δυνατόν μετακλητός υπάλληλος να μην λαμβάνει εντολές;

Αλλά, έστω, ότι δεν υπάρχει κώλυμα ως προς αυτό. Είναι όμως ποτέ δυνατόν να συμπίμπτουν, όπως λέει και η ΟΙΕΛΕ στο υπόμνημά της, “κρίνων και κρινόμενος;”. Η αξιοπιστία του Υπουργείου για μία ακόμη φορά πέφτει στα τάρταρα.

Αναλυτικά, για το συγκεκριμένο θέμα στο υπόμνημα αναφέρονται τα εξής: “Η ΥΠΔ του Υπουργείου αφενός ενέκρινε επίσημα την ΕΑΠΔ για λογαριασμό του Υπουργείου, αφετέρου και ταυτόχρονα παρείχε και τη συμβουλή της στη διενέργειά της. Η έγκριση μιας ΕΑΠΔ όχι μόνο δεν ανάγεται στον κύκλο καθηκόντων ενός ΥΠΔ, αλλά συνιστά παραβίαση του ΓΚΠΔ (σσ νόμος για τα Προσωπικά Δεδομένα), διότι επέρχεται ευθεία σύγκρουση συμφερόντων στο πρόσωπό του, μέσω της λήψης δεσμευτικής απόφασης για λογαριασμό του υπευθύνου επεξεργασίας, ταυτιζόμενος κατ’ ουσίαν με αυτόν. Από μια τέτοια πράξη έπρεπε να απέχει ρητά η ΥΠΔ του Υπουργείου επικαλούμενη σύγκρουση συμφερόντων.

Περαιτέρω και δεδομένου ότι δεν αναφέρεται ούτε προκύπτει κάποιο άλλο πρόσωπο ή πρόσωπα για τη διενέργειά της, συμπεραίνεται δυστυχώς από όλα τα δεδομένα ότι την ΕΑΠΔ διενήργησε η ίδια η ΥΠΔ του Υπουργείου. Τούτη η τεκμαιρόμενη (πλέον των λοιπών) παραβίαση, περιέχει ακόμα ένα λογικό σφάλμα : δεν είναι δυνατό το ίδιο πρόσωπο να διενεργεί μια ΕΑΠΔ και το ίδιο πρόσωπο να την εγκρίνει. Δεν είναι δυνατό κρίνων και κρινόμενος να συμπίπτουν. Έπρεπε κατά νομική αλλά και στοιχειωδώς λογική απαίτηση, τα πρόσωπα αυτά να διαφοροποιούνται.

3ον: Είναι ή όχι ασφαλής η πλατφόρμα;

Ηταν ίσως το κύριο ζήτημα στη διαδικασία της τηλεκπαίδευσης. Το αν, δηλαδή, η πλατφόρμα που επιλέχθηκε προσφέρει την απόλυτη ασφάλεια σε εκπαιδευτικούς και μαθητές στο θέμα των προσωπικών δεδομένων.

Είναι χαρακτηριστικό ότι το εν λόγω πρόβλημα τέθηκε και από τον νομικό εκπρόσωπο του Συνδέσμου Ιδιόκτητων Ιδιωτικών Σχολείων ο οποίος τόνισε ότι “είναι πολύ σοβαρό”.

Στο υπόμνημά της η ΟΙΕΛΕ αναφέρει: Οι μόνες παραμετροποιήσεις στην πλατφόρμα CISCO WEBEX MEETING που δηλώθηκε ότι έγιναν εκ μέρους της εκτελούσας την επεξεργασία κατ’ απαίτηση του Υπουργείου, είναι η απενεργοποίηση της δυνατότητας καταγραφής/αποθήκευσης και η δημιουργία κλειδωμένων ψηφιακών αιθουσών. Εξ ου επάγεται ότι οι λοιπές δυνατότητες της πλατφόρμας όπως προκύπτουν από το CISCO WEBEX MEETINGS PRIVACY DATA SHEET είναι ενεργές. Με τον τρόπο αυτό επιβεβαιώνεται η ύπαρξη επεξεργασίας και άλλων δεδομένων αλλά και η υλοποίηση άλλων σκοπών επεξεργασίας, όπως αυτά αναφέρονται στο CISCO WEBEX MEETINGS PRIVACY DATA SHEET .

Το ζήτημα αυτό αναδείχθηκε με ακρίβεια και από τον νομικό εκπρόσωπο του Συνδέσμου Ιδιοκτητών Ιδιωτικών Σχολείων, ο οποίος έκανε λόγο για ένα σοβαρό ζήτημα, το οποίο είναι δυσχερές ως προς τη νομική αλλά και πραγματική του διαχείριση, ζητώντας (αν και φρονούμε ότι στον κατάλληλο χρόνο, διότι η επεξεργασία είχε ήδη εκκινήσει και στα ιδιωτικά σχολεία) από την Αρχή σας την παροχή συμβουλών. Το Υπουργείο δεν είχε κάνει καμία νύξη επί του θέματος αυτού όλο αυτό το διάστημα.

Κατά την ενώπιον Σας ακρόαση, δηλώθηκε εκ μέρους του Υπουργείου, ότι το δημοσιευμένο DATA PRIVACY SHEET της εταιρείας CISCO δεν είναι αυτό που ισχύει για τη συγκεκριμένη επεξεργασία και ότι έχει συνταχθεί άλλο. Διερωτώμεθα εύλογα: που, πως και πότε δημοσιεύθηκε το συγκεκριμένο έγγραφο ; Για ποιο λόγο έχει κρατηθεί και αυτό στην αφάνεια; Πως και πότε τελικά θα ενημερωθούν αξιόπιστα και με πληρότητα τα υποκείμενα των δεδομένων;

4ον: Ο τρόπος επιλογής της CISCO

Πρόκειται για κάτι το οποίο δεν “φωτίστηκε”. Δεν δόθηκαν, δηλαδή, λεπτομέρειες στη δημοσιότητα γιατί επιλέχθηκε εν τέλει η CISCO και απορρίφθηκαν οι πλατφόρμες των δύο άλλων εταιριών (Google και Microsoft) για τις οποίες το ίδιο το Υπουργείο ανακοίνωσε ότι είχαν εκδηλώσει ενδιαφέρον για συμμετοχή στη διαδικασία. Το ερώτημα του πως οι τρεις εταιρίες έγιναν μία παραμένει έως και σήμερα, τέσσερις μήνες μετά, αναπάντητο.

Η ΟΙΕΛΕ σημειώνει στο υπόμνημά της: Σημειώνεται ότι βασικό κριτήριο στην επιλογή της συγκεκριμένης πλατφόρμας ήταν ακριβώς το γεγονός ότι απαιτούνται περιορισμένα προσωπικά δεδομένα για τη χρήση της και δεν είναι αναγκαία η δημιουργία προσωπικού λογαριασμού του μαθητή. Από το τμήμα αυτό συνάγεται ότι υπήρξε διαδικασία και τεχνικά κριτήρια επιλογής πλατφόρμας, μεταξύ περισσότερων διαθεσίμων, έτσι ώστε να επιλεγεί μια εξ αυτών. Ποια είναι τα ακριβή αυτά κριτήρια; Που και πότε δημοσιεύθηκαν; Ποια ήταν τα χαρακτηριστικά των λοιπών πλατφορμών τα οποία κρίθηκαν ότι δεν πληρούν τα τεθέντα κριτήρια;

Στην διεθνή αγορά είναι γνωστές οι συγκρίσεις μεταξύ γνωστών πλατφορμών (WEBEX, MEET/DUO/HANGOUTS, SKYPE/TEAMS) αναφορικά με ζητήματα ιδιωτικότητας. Ερωτάται λοιπόν εύλογα: το Υπουργείο προέβη σε μια τέτοια στοιχειώδη σύγκριση μεταξύ των προσφερθέντων πλατφορμών; Και αν ναι, ποια τα κριτήρια και τα αποτελέσματα αυτής;

Μετά από όλα αυτά αναμένεται με ιδιαίτερο ενδιαφέρον -και με δεδομένο ότι η διαδικασία της τηλεκπαίδευσης είναι πολύ πιθανόν να ξαναχρειαστεί-η κρίση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα που θα έχει και τον τελικό λόγο. Το ρεπορτάζ αναφέρει ότι αυτή δεν θα αργήσει πάρα πολύ. Οψόμεθα για τις εξελίξεις λοιπόν.