Το Vouliwatch σάς παρουσιάζει το ιστορικό της συνεργασίας της κυβέρνησης με τη Cisco και την προβληματική κατοχύρωση των δεδομένων εκατοντάδων χιλιάδων μελών της εκπαιδευτικής κοινότητας, μαθητών και καθηγητών. Ένα ιστορικό συστηματικής παράκαμψης της νομοθεσίας προστασίας προσωπικών δεδομένων, των κοινοβουλευτικών κανόνων και της αρχής της διαφάνειας.
Την Τρίτη, 16 Νοεμβρίου, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής ΑΠΔΠΧ ή Αρχή) έδωσε στη δημοσιότητα την απόφασή της (50/2021) σχετικά με τη συμμόρφωση του συστήματος τηλεκπαίδευσης -που εφάρμοσε το Υπουργείο κατά τη διάρκεια της πανδημίας- με μια σειρά νομοθετικών διατάξεων του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ, δηλαδή του GDPR) και του ν. 3471/2006 σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών.
Για τις ανάγκες της τηλεκπαίδευσης το υπουργείο είχε υπογράψει σύμβαση με την εταιρεία Cisco, την οποία μάλιστα έδωσε στη δημοσιότητα με καθυστέρηση περίπου 10 μηνών και, όπως είχαμε ήδη αναδείξει ως Vouliwatch, κατά παράβαση της νομοθεσίας για τη διαφάνεια και την υποχρεωτική ανάρτηση πράξεων της Διοίκησης (βλ. αναλυτικά παρακάτω στο ΙΣΤΟΡΙΚΟ).
Η ενασχόληση της ΑΠΔΠΧ με την υπόθεση, ωστόσο, δεν ξεκινά με την παραπάνω απόφαση. Τον Σεπτέμβριο του 2020 η Αρχή εξέδωσε γνωμοδότηση (4/2020), με την οποία έδωσε συστάσεις προς το υπουργείο Παιδείας ώστε η τηλεκπαίδευση στις σχολικές μονάδες να ακολουθεί πλήρως τις διατάξεις της νομοθεσίας για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Μάλιστα, ήδη από τότε, η Αρχή είχε μιλήσει για κινδύνους σχετικά με τα προσωπικά δεδομένα μαθητών και καθηγητών. Αυτοί οι κίνδυνοι αφορούσαν, μεταξύ άλλων:
• τις διαβιβάσεις προσωπικών δεδομένων εκτός ΕΕ,
• τους όρους της σύμβασης με τη Cisco (αφού από τη μελέτη της προκύπτει ότι κάποια δεδομένα διατηρούνται από την ιδιωτική εταιρεία), καθώς και
• τη χρήση προσωπικών ηλεκτρονικών διευθύνσεων των εκπαιδευτικών και την ηλεκτρονική διαβίβασή τους στη Cisco (ακόμα κι όταν ένας εκπαιδευτικός δεν είχε προχωρήσει σε ενεργοποίηση της τηλεκπαίδευσης).
Η Γνωμοδότηση της ΑΠΔΠΧ: σωρεία παραβάσεων από το υπουργείο Παιδείας
Τώρα, μετά από διάστημα 14 μηνών, η ΑΠΔΠΧ δημοσίευσε την απόφασή της, όπου ουσιαστικά εξέτασε αν το υπουργείο συμμορφώθηκε προς την παραπάνω γνωμοδότηση, αλλά και ως προς τη νομοθεσία για τα προσωπικά δεδομένα. Αντί για συμμόρφωση, η Αρχή διαπίστωσε σοβαρές ελλείψεις και παραβάσεις σε πέντε σημεία:
• Το υπουργείο Παιδείας δεν διερεύνησε αναλυτικά, κατά παράβαση του ΓΚΠΔ, τη νομιμότητα των ΣΚΟΠΩΝ επεξεργασίας των προσωπικών δεδομένων χρηστών, ιδίως σε σχέση με τη συγκατάθεσή τους για πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη, όταν αυτή η πρόσβαση δεν είναι απαραίτητη για την παροχή της υπηρεσίας.
• Οι χειρισμοί του υπουργείου εγείρουν σοβαρά ζητήματα ΔΙΑΦΑΝΕΙΑΣ, αφού σύμφωνα με την Αρχή οι πληροφορίες που παρέχονται σε όσους συμμετέχουν στην εκπαιδευτική διαδικασία σχετικά με τα προσωπικά δεδομένα τους είναι λιγότερες από αυτές που προβλέπει ο ΓΚΠΔ για την πλήρη ενημέρωσή τους. Μάλιστα, ακόμα και αυτές που παρέχονται δεν είναι εύκολα προσβάσιμες, ούτε απλά και σαφώς διατυπωμένες, παρότι πρόκειται για πληροφορίες που απευθύνονται σε μαθητές και παιδιά. Ειδικότερα, σχετικά με αυτή την παράβαση εκ μέρους του υπουργείου Παιδείας, η ΑΠΔΠΧ σημειώνει ότι, μεταξύ άλλων αστοχιών, από τις παρεχόμενες πληροφορίες «απουσιάζουν τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων» και «δεν υπάρχει διευκρίνιση σε σχέση με την τήρηση μεταδεδομένων, συνεπώς η ενημέρωση είναι ελλιπής όσον αφορά τις κατηγορίες των δεδομένων, τους σκοπούς και τους χρόνους τήρησης που σχετίζονται με την επεξεργασία αυτών των δεδομένων». Ακόμη, «το κείμενο (σ.σ.: με τις πληροφορίες για την ενημέρωση των χρηστών) είναι γραμμένο με μη δομημένο τρόπο» και «δεν είναι εύκολα προσβάσιμο, καθώς εμπεριέχεται εντός συχνών ερωτήσεων».
• Το υπουργείο Παιδείας δεν παρείχε σε εκπαιδευτικούς και μαθητές την κατάλληλη ΕΚΠΑΙΔΕΥΣΗ, ούτε τα αναγκαία ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ, με σκοπό να μη γνωρίζουν πώς θα προστατεύουν αποτελεσματικά τα προσωπικά δεδομένα τους. Κι αυτό γιατί, σύμφωνα με την ΑΠΔΠΧ, «το ΥΠΑΙΘ (σ.σ.: υπουργείο Παιδείας) ως υπεύθυνος επεξεργασίας […] δεν εφαρμόζει κατά τη στιγμή της επεξεργασίας κατάλληλα τεχνικά και οργανωτικά μέτρα για την εφαρμογή αρχών προστασίας των δεδομένων και την ενσωμάτωση των απαραίτητων εγγυήσεων. Τα εφαρμοζόμενα μέτρα βρίσκονται προς τη σωστή κατεύθυνση και πρέπει να συμπληρωθούν, με τρόπο που να είναι διαθέσιμος σε κάθε εκπαιδευτικό, ενώ πρέπει να εξασφαλιστεί ότι το σύνολο των εκπαιδευτικών που εμπλέκονται στη διαδικασία εξ αποστάσεως εκπαίδευσης έχουν λάβει ελάχιστη ενημέρωση ώστε να εξασφαλίζεται η μείωση των κινδύνων», αναφέρει το σκεπτικό της Αρχής.
• Το υπουργείο Παιδείας δεν εκπλήρωσε την υποχρέωση που έχει από τον ΓΚΠΔ σε σχέση με την ΕΚΦΡΑΣΗ ΓΝΩΜΗΣ των υποκειμένων των δεδομένων ή και των εκπροσώπων τους, δηλαδή, δεν έδωσε τη δυνατότητα στους μαθητές και τους κηδεμόνες τους να εκφράσουν τη γνώμη τους για την επεξεργασία των προσωπικών δεδομένων τους, ώστε να διασφαλιστεί η «νόμιμη βάση επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που διακυβεύονται όταν ζητούνται οι εν λόγω γνώμες».
• Δεν έγινε ορθή αξιολόγηση της διαβίβασης δεδομένων σε χώρες ΕΚΤΟΣ της ΕΕ. Η Αρχή σημειώνει ότι η Cisco (εν προκειμένω ο όμιλος και οι εταιρείες του) υπόκειται στο δίκαιο των ΗΠΑ και, συνεπώς, έπρεπε να ληφθούν αποτελεσματικά συμπληρωματικά μέτρα για να εξασφαλιστεί επαρκές επίπεδο προστασίας προσωπικών δεδομένων, ανάλογο με αυτό που κατοχυρώνει η ενωσιακή και εθνική νομοθεσία. Ωστόσο, τέτοια αποτελεσματικά μέτρα δεν υιοθετήθηκαν.
Αφού εντόπισε τις παραβάσεις της νομοθεσίας, η Αρχή προχώρησε σε επιπλήξεις προς το υπουργείο και έδωσε εντολή να αντιμετωπιστούν οι ελλείψεις μέσα σε δύο μήνες (τέσσερις για τις διαβιβάσεις των δεδομένων).
Έκπληξη και αιχμές από το υπουργείο Παιδείας
Δύο ημέρες αργότερα, στις 18 Νοεμβρίου, το υπουργείο εξέδωσε ανακοίνωση αντιδρώντας σε όσα του προσάπτει η ΑΠΔΠΧ. Προκαλεί εντύπωση τόσο το γεγονός ότι το υπουργείο έκανε λόγο για «εσφαλμένες παραδοχές», αλλά ακόμα περισσότερο ότι η ηγεσία του υποστήριξε ότι η απόφαση εκπλήσσει «και λόγω της ξαφνικής αλλαγής πλεύσης εκ μέρους της Αρχής και παράκαμψης του διαρκούς διαλόγου της με το Υπουργείο Παιδείας και Θρησκευμάτων».
«Η ΑΠΔΠΧ, με την 4/2020 γνωμοδότησή της, είχε κρίνει καταρχήν νόμιμη την τηλεκπαίδευση, προβαίνοντας σε κάποιες συστάσεις, τις οποίες υιοθέτησε το Υπουργείο εντός της προβλεπόμενης τρίμηνης προθεσμίας. Έκτοτε, και ενώ το Υπουργείο βρισκόταν σε συνεχή επικοινωνία με την Αρχή και παρείχε επιπλέον πληροφορίες που ζητήθηκαν, ουδέποτε επισημάνθηκαν αποκλίσεις από τους κανόνες προστασίας προσωπικών δεδομένων, ούτε βεβαίως αναφέρθηκαν τα όσα μόλις επικαλέστηκε για πρώτη φορά η Αρχή για να αιτιολογήσει τη νέα απόφασή της», σημείωσε το υπουργείο.
Από την ανακοίνωση προκύπτει ότι το υπουργείο αμφισβητεί όχι μόνο το σκεπτικό της απόφασης, αλλά και την ακεραιότητα της Αρχής, κατηγορώντας την για ξαφνική και εμμέσως δόλια αλλαγή πλεύσης.
Ιστορικό Παραβάσεων Διαφάνειας και Κοινοβουλευτικών Κανόνων
Η συνεργασία του υπουργείου Παιδείας με τη Cisco δεν εγείρει μόνο ζητήματα προσωπικών δεδομένων, αλλά και διαφανούς λειτουργίας της κυβέρνησης και της Βουλής.
Όπως είχαμε αναδείξει ως Vouliwatch τον περασμένο Απρίλιο, η υπουργός Παιδείας, Νίκη Κεραμέως, έδωσε στη δημοσιότητα τη σύμβαση με τη Cisco με καθυστέρηση περίπου 10 μηνών. Παρά τον ισχυρισμό της Υπουργού ότι δεν υπήρχε υποχρέωση ανάρτησης επειδή επρόκειτο για δωρεά, η μη δημοσιοποίηση της σύμβασης έγινε κατά παράβαση της νομοθεσίας για τη διαφανή λειτουργία της Διοίκησης.
Κι αυτό γιατί ο νόμος (άρθρο 2 ν. 3861/2010 – «Ενίσχυση της διαφάνειας με την υποχρεωτική ανάρτηση νόμων και πράξεων των κυβερνητικών, διοικητικών και αυτοδιοικητικών οργάνων στο διαδίκτυο «Πρόγραμμα Διαύγεια» και άλλες διατάξεις») επιβάλλει την ανάρτηση στο διαδίκτυο και των πράξεων αποδοχής δωρεών προς το Ελληνικό Δημόσιο. Το ίδιο ισχύει και για τις επόμενες δύο συμβάσεις που υπέγραψε το υπουργείο Παιδείας με τη Cisco, με ημερομηνίες 9.11.2020 και 4.12.2020.
Μάλιστα, σύμφωνα με τον νόμο 4727/20 («Ψηφιακή Διακυβέρνηση (Ενσωμάτωση στην Ελληνική Νομοθεσία της Οδηγίας (ΕΕ) 2016/2102 και της Οδηγίας (ΕΕ) 2019/1024»), η μη ανάρτηση ή η μη έγκαιρη ανάρτηση στο διαδίκτυο των πράξεων που από τον νόμο επιβάλλεται να δημοσιευθούν «συνιστά πειθαρχικό παράπτωμα για το όργανο που την εξέδωσε ή για τον υπάλληλο που έχει την ευθύνη για την ανάρτηση».
Τέλος, σε αυτή την υπόθεση η κ. Κεραμέως παραβίασε και τον Κανονισμό της Βουλής. Πράγματι, στο πλαίσιο του κοινοβουλευτικού ελέγχου τα κόμματα της αντιπολίτευσης άσκησαν σωρηδόν σχετικά κοινοβουλευτικά μέσα, όπως: Επίκαιρες ερωτήσεις (ΣΥΡΙΖΑ -9.11.2020 και 11.12.2020, ΚΙΝΑΛ 9.11.2020 και ΜέΡΑ25 23.3.2021) και Αιτήσεις Κατάθεσης Εγγράφων. Το Υπουργείο δεν ανταποκρίθηκε ποτέ (θυμίζουμε την απάντηση της Υπουργού από το βήμα της Βουλής ότι «οι βουλευτές μπορούν να την δουν στο γραφείο μου») παραβαίνοντας κατ’ επανάληψη το άρθρο 133 παρ. 3 του Κανονισμού της Βουλής («Κεφάλαιο Ε’: Αίτησης κατάθεσης εγγράφων») που προβλέπει ότι «ο Υπουργός οφείλει μέσα σε τριάντα (30) ημέρες από την παραλαβή της σχετικής αίτησης είτε να αποστείλει στη Βουλή τα ζητούμενα έγγραφα, είτε να αναφέρει σ’αυτήν τους λόγους για τους οποίους η κατάθεση όλων ή ορισμένων, ειδικά κατονομαζόμενων, δεν είναι δυνατή».
Συμπερασματικά, η εκτελεστική εξουσία στη χώρα μας, αποδεικνύει για μια ακόμη φορά ότι έννοιες όπως η τήρηση των αρχών ενός σύγχρονου κράτους δικαίου, της ευρωπαϊκής και εθνικής νομοθεσίας αλλά ακόμη και του πολύπαθου κοινοβουλευτισμού είναι μόνο θεωρητικές, εύηχα ακούσματα για την αντιπαράθεση στα έδρανα της Βουλής και τα τηλεοπτικά παράθυρα αλλά και για τη νουθεσία των πολιτών, και μόνο!