Οι δημοσιογράφοι που καλύπτουν το ρεπορτάζ του Υπουργείου Παιδείας ξύπνησαν την Πέμπτη έχοντας στο κινητό τους τηλέφωνο ένα μήνυμα το οποίο παρέπεμπε στην ακόλουθη... ανακοίνωση στην επίσημη ιστοσελίδα του Υπουργείου.
Αυτή, επί λέξει, ανέφερε: "Δικαιώνεται, μετά από δυόμιση χρόνια αμφισβητήσεων, λάσπης, προσωποποιημένων επιθέσεων, κινδυνολογίας, το Υπουργείο Παιδείας και Θρησκευμάτων ως προς την προστασία δεδομένων κατά την τηλεκπαίδευση. Με την υπ’ αρ. 61/2022 απόφασή της, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κρίνει ότι η σύγχρονη εξ αποστάσεως εκπαίδευση στις σχολικές μονάδες της πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης είναι συμβατή με τις διατάξεις της νομοθεσίας για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Έτσι, έκλεισε άλλο ένα κεφάλαιο - και οι Κασσάνδρες για άλλη μία φορά διαψεύστηκαν".
Το Υπουργείο, εκτός από το ότι ΔΕΝ δημοσιεύει το ίδιο την απόφαση που επικαλείται ούτε παραπέμπει σ' αυτήν μέσω link, δεν δίνει και καμία άλλη λεπτομέρεια της υπόθεσης. Αρκείται να μιλά για "αμφισβητήσεις, λάσπης, προσωποποιημένες επιθέσεις και κινδυνολογία" ενώ η ίδια απόφαση το θέτει προ των ευθυνών του με τρόπο διακριτικά διατυπωμένο αλλά απολύτως σαφές.
Θα μπορούσε να πει κανείς ότι το Υπουργείο Παιδείας "έντυσε με ψέματα τις λέξεις" όπως τραγουδά ο Αλκίνοος Ιωαννίδης αλλά ακόμα και αυτή η περιγραφή δεν μπορεί να αποδώσει το μέγεθος της διαστρέβλωσης που επιχειρεί το Υπουργείο στην ανακοίνωσή του. Είναι δεδομένο ότι στο εν λόγω ζήτημα το μαύρο γίνεται άσπρο.
Ειδικά ως προς το πολύ κρίσιμο θέμα της διαβίβασης προσωπικών δεδομένων στις ΗΠΑ μέσω της Cisco η απόφαση της Αρχής είναι ξεκάθαρη καθώς ζητά από το Υπουργείο να επανεξετάσει τη στάση του.
Λέει, λοιπόν, η απόφαση: "Σε σχέση με την εφαρμογή του Κεφαλαίου V του ΓΚΠΔ και την αξιολόγηση των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες (σσ ΗΠΑ), ήδη με το πρώτο υπόμνημά του το ΥΠΑΙΘ ενημέρωσε ότι με την ολοκλήρωση της μελέτης DTIA, το ΥΠΑΙΘ και η CISCO θα προχωρήσουν σε σύναψη νέας σύμβασης, η οποία θα περιλαμβάνει επικαιροποιημένες συμβατικές ρήτρες σύμφωνα με τα
διαλαμβανόμενα στην Εκτελεστική Απόφαση (ΕΕ) 2021/914 της Επιτροπής της 4ης Ιουνίου 2021, ακολουθεί δε ως προς αυτό την επισήμανση της σκέψης με αριθμό 20 της απόφασης 50/2021 της Αρχής".
Και συνεχίζει: "Δεν επιβεβαιώνεται ο ισχυρισμός του ΥΠΑΙΘ ότι προς το σκοπό της εκτέλεσης των συμβάσεων που συνάπτει η CISCO HELLAS η ίδια η εταιρεία είναι υπεύθυνος επεξεργασίας (για την τεχνική λειτουργία της πλατφόρμας τηλεκπαίδευσης και για λόγους τιμολόγησης). Επισημαίνεται προς πληρότητα και ενημέρωση, ότι σε κάθε περίπτωση, ακόμα δηλαδή κι αν θεωρηθεί ότι η διαβίβαση γίνεται από την CISCO για τους δικούς της σκοπούς (ως υπεύθυνης επεξεργασίας και όχι στο πλαίσιο της σύμβασης) είναι σαφές ότι το ΥΠΑΙΘ έχει ευθύνη να ελέγξει αν η διαβίβαση των δεδομένων προς την CISCO Ηellas είναι νόμιμη, γνωρίζοντας ότι τα δεδομένα αυτά μπορεί να διαβιβαστούν στις Η.Π.Α., όπως άλλωστε επισημαίνει στο κείμενό της και η Αρχή της Δανίας".
Kοντολογίς: Πριν υπογραφεί νέα σύμβαση μεταξύ Υπουργείου και Cisco, τα πάντα ήταν στον αέρα σε ότι αφορά τη διαβίβαση των προσωπικών δεδομένων των χρηστών στις ΗΠΑ. Το Υπουργείο Παιδείας δεν είχε, δε, κατανοήσει (και ακόμα φαίνεται ότι δεν μπορεί να το πράξει) ότι είναι το ίδιο υπεύθυνο επεξεργασίας των δεδομένων και ότι το ίδιο έχει, σε τελική ανάλυση, την ευθύνη να ελέγξει αν η διαβίβαση των δεδομένων προς την εταιρία είναι νόμιμη.
Παρακάτω η απόφαση αναφέρει: "Επισημαίνεται ότι η προσέγγιση με βάση τον κίνδυνο δεν έχει γίνει, έως σήμερα, δεκτή από τις εποπτικές αρχές του ΓΚΠΔ. Συγκεκριμένα, η διατύπωση του άρθρου 44 του ΓΚΠΔ δεν προβλέπει το μέγεθος του απειλούμενου κινδύνου ως κριτήριο της δυνατότητας διαβίβασης, αλλά απαιτεί να μην υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο ΓΚΠΔ.
Μάλιστα, στις περιπτώσεις που ο νομοθέτης ακολουθεί προσέγγιση με βάση τον κίνδυνο στο ΓΚΠΔ, αυτό αναφέρεται ρητά στην εκάστοτε διάταξη. Συνεπώς, αν και η Αρχή δέχεται ότι η πιθανότητα πρόσβασης από τις αρχές επιβολής του νόμου των Η.Π.Α. στα δεδομένα προσωπικού χαρακτήρα της εν λόγω επεξεργασίας, είναι πολύ μικρή, είναι αμφίβολο αν η διαπίστωση αυτή καθιστά επιτρεπτή τη διαβίβαση (ακόμα και μετά την 1/7/2022). Το εν λόγω ζήτημα, όμως, δεν αφορά μόνο το ΥΠΑΙΘ, αλλά αφορά κάθε υπεύθυνο επεξεργασίας ο οποίος χρησιμοποιεί υπηρεσίες τηλεδιάσκεψης εταιρειών οι οποίες ανήκουν σε όμιλο ελεγχόμενο από οντότητα που υπόκειται στο δίκαιο των Η.Π.Α.
Κοντολογίς: Η Αρχή εκφράζει τη σαφέστατη επιφύλαξή της για το αν η διαβίβαση των δεδομένων στις ΗΠΑ είναι επιτρεπτή. Ακόμα, αναφέρει ότι η προσέγγιση με βάση τον κίνδυνο δεν έχει γίνει δεκτή από τις εποπτικές αρχές του Γενικού Κανονισμού για την Προστασία Δεδομένων στην ΕΕ. Δεν την εγκρίνουν, δηλαδή, οι ευρωπαϊκές Αρχές. Η Αρχή Προστασίας Δεδομένων προφανώς και υπονοεί ότι η συνέχιση της συνεργασίας με αμερικανικές εταιρίες, τη λειτουργία των οποίων δεν τις διέπει η ΓΚΠΔ, είναι προβληματική.
Και καταλήγει η απόφαση: Καθώς το ζήτημα αυτό έχει διασυνοριακές προεκτάσεις, η Αρχή θα εξετάσει το ζήτημα με τις εποπτικές αρχές του ΓΚΠΔ μέσω των διαδικασιών συνεργασίας ή/και συνεκτικότητας οι οποίες προβλέπονται στο ΓΚΠΔ, ώστε να επιτευχθεί συνεκτική και συνολική λύση ή προσέγγιση.
Οι παρατηρήσεις της Αρχής Προστασίας Δεδομένων δεν περιορίζονται στο θέμα της διαβίβασης των δεδομένων στις ΗΠΑ αλλά και σ' αυτό της ενημέρωσης των χρηστών.
Λέει η απόφαση: "Όσον αφορά τη συγκεκριμένη μέθοδο παρουσίασης των πληροφοριών, ακολουθείται τεχνική που απαντάται συχνά σε ιστοσελίδες στην Ελλάδα, σε δημόσιους και ιδιωτικούς φορείς·οι πληροφορίες περιέχονται σε διακριτό κείμενο σε μορφότυπο «pdf» στο οποίο γίνεται παραπομπή μέσω υπερσυνδέσμου. Η Αρχή επισημαίνει ότι η συγκεκριμένη μέθοδος δεν είναι η πλέον κατάλληλη για παρουσίαση σε επιγραμμικές (online) εφαρμογές. Ο μορφότυπος «pdf» ενδείκνυται για παρουσίαση κειμένων με συγκεκριμένο τρόπο, ανεξάρτητα από συσκευές, αλλά προϋποθέτει, σε μεγάλο βαθμό, τη χρήση πρόσθετου λογισμικού, εντός ή εκτός του φυλλομετρητή διαδικτύου, ενώ δεν ενδείκνυται πάντα για παρουσίαση μακροσκελών κειμένων,ιδίως σε συσκευές οι οποίες έχουν περιορισμένο εύρος οθόνης (π.χ. κινητές συσκευές).
Περαιτέρω, η εν λόγω προσέγγιση δεν είναι κατάλληλη για επιγραμμικό περιβάλλον, καθώς λαμβάνοντας υπόψη τον όγκο των πληροφοριών και το μακροσκελές κείμενο, μειώνεται η πιθανότητα για ένα υποκείμενο των δεδομένων (ιδίως δε για ένα παιδί) να λάβει γνώση τουλάχιστον των ουσιωδών πληροφοριών.
Η Ο.Ε. του άρθρου 29 στις Κατευθυντήριες Γραμμές σχετικά με τη διαφάνεια βάσει του κανονισμού 2016/679 (WP260 rev.01) συνιστά τη χρήση προσέγγισης πολλών επιπέδων όταν η ενημέρωση γίνεται σε ψηφιακό περιβάλλον (βλ. σκέψεις 35 – 37). Η Αρχή παραπέμπει το ΥΠΑΙΘ σε σχετική ανακοίνωση την οποία εξέδωσε πρόσφατα, ώστε να βελτιώσει την παρεχόμενη στα υποκείμενα δεδομένων πληροφόρηση μέσω της ιστοσελίδας".
Κοντολογίς η Αρχή λέει ότι οι χρήστες και ιδίως τα παιδιά δεν ενημερώνονται σωστά. Δύομιση χρόνια μετά την έναρξη της τηλεκπαίδευσης το Υπουργείο δεν έχει καταφέρει να παρουσιάσει πρόοδο ως προς αυτό το κομμάτι.
Τέλος, ως προς τα cookies, η απόφαση της Αρχής αναφέρει: "Συναφώς με τα ανωτέρω και την ικανοποίηση της αρχής της διαφάνειας, παρατηρείται ότι στην ιστοσελίδα https://webex.sch.gr/students.php εμφανίζεται ενημερωτικό μήνυμα σε σχέση με τη χρήση cookies από το οποίο δημιουργείται στον επισκέπτη της ιστοσελίδας η εντύπωση ότι είναι υποχρεωμένος να παράσχει συγκατάθεση («Εάν συνεχίσετε να χρησιμοποιείτε τη σελίδα, θα υποθέσουμε πως είστε ικανοποιημένοι με αυτό»).
Καθώς, σύμφωνα με όσα αναφέρει το ΥΠΑΙΘ, τα συγκεκριμένα cookies είναι απαραίτητα για τη λειτουργία της ιστοσελίδας, το εν λόγω μήνυμα θα πρέπει να τροποποιηθεί κατάλληλα. Στην προκειμένη περίπτωση σκοπός θα πρέπει να είναι μόνο η ενημέρωση για τη χρήση cookies καθώς ο επισκέπτης της ιστοσελίδας δεν έχει επιλογή να τα αρνηθεί. Η Αρχή παραπέμπει το ΥΠΑΙΘ στο από 25/02/2020 δελτίο τύπου με «Συστάσεις για τη συμμόρφωση υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες», στο οποίο περιλαμβάνεται, υπό μορφή σημείων προσοχής, καθοδήγηση για τη σύννομη χρήση τέτοιων τεχνολογιώνκαθώς και πρακτικές που πρέπει να αποφεύγονται".
Κοντολογίς: Και εδώ μετεξεταστέο το Υπουργείο Παιδείας.
Για το τέλος ένα γενικό συμπέρασμα και μία κρίσιμη υπενθύμιση: Η απόφαση της Αρχής αφορά το τι θα γίνει από εδώ και πέρα. Ο,τι συνέβη στο παρελθόν (διαβίβαση, δηλαδή, 1,5 εκ.χρηστών στις ΗΠΑ, μέσω Cisco) συνέβη. Ούτε διορθωνεται ούτε σβήνει.
Υπενθυμίζουμε ότι τις συμβάσεις με τη Cisco η Νίκη Κεραμέως καθυστέρησε περίπου ένα χρόνο να τις φέρει στη Βουλή αν και τα κόμματα της αντιπολίτευσης τις ζήτησαν από τους πρώτους μήνες εφαρμογές της τηλεκπαίδευσης.
Υπενθυμίζουμε ακόμα ότι η πλατφόρμα της Webex χρησιμοποιείται ακόμα σε πολλές περιπτώσεις (κακοκαιρίας, καταλήψεων κτλ).
Αλήθεια, τι έκανε τα τελευταία δύομιση χρόνια το Υπουργείο Παιδείας για τη βελτίωση του Πανελληνίου Σχολικού Δικτύου έτσι ώστε τα ελληνικά σχολεία να μην έχουν ανάγκη καμία Cisco και καμία άλλη πολυεθνική για τη δυνατότητα τηλεκπαίδευσης;...
Νίκος Γιαννόπουλος
news247.gr
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου