ΟΙΕΛΕ: Νέα καταγγελία για εκτενή παραβίαση των προσωπικών δεδομένων
Εκτεταμένες παραβιάσεις της νομοθεσίας προστασίας προσωπικών δεδομένων, οι οποίες προκαλούν ταυτόχρονα σοβαρότατους κινδύνους για εκπαιδευτικούς και μαθητές, καταγγέλλει η ΟΙΕΛΕ και κάνει λόγο για μέγα ζήτημα διαφάνειας στη σύμβαση με τη CISCO.
Σήμερα, 5/10/2020, η ΟΙΕΛΕ κατέθεσε ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα τη δεύτερη καταγγελία της σε σχέση με το ζήτημα της σύγχρονης εξ αποστάσεως εκπαίδευσης.
Στην καταγγελία αυτή, μεταξύ άλλων, η ΟΙΕΛΕ θέτει τα ζητήματα του πολύ σοβαρού κινδύνου διαρροής ευαίσθητων προσωπικών δεδομένων χιλιάδων εκπαιδευτικών, μαθητών και των οικογενειών τους με τη νέα Υπουργική Απόφαση Κεραμέως και της αδιαφάνειας που περιβάλλει την υπογραφή της σύμβασης του Υπουργείου με την εταιρεία CISCO.
Τα βασικά σημεία της καταγγελίας είναι τα εξής:
1. Η υπ’ αριθμ 120126/ΓΔ4 (ΦΕΚ B’ 3882/12.09.2020) Υπουργική απόφαση επικαλείται ξανά την ίδια «μελέτη ΕΑΠΔ» (εκτίμηση αντικτύπου) του Υπουργείου. Το έγγραφο αυτό που δημοσιεύθηκε στις 10/7/2020, είναι στην ουσία ανύπαρκτο καθώς δε φέρει βέβαιη χρονολογία, ούτε αριθμό πρωτοκόλλου, ούτε υπογραφή από πρόσωπο που δεσμεύει το Υπουργείο, όπως έκρινε και η Αρχή. Το έγγραφο αυτό έπρεπε να έχει δημιουργηθεί πριν τις 15/5/2020. Επιπλέον η μελέτη έχει διεξαχθεί και γίνει αποδεκτή από το ίδιο πρόσωπο, την Υπεύθυνη Προστασίας Δεδομένων του Υπουργείου. Δηλαδή, από πρόσωπο που είναι αναρμόδιο για κάτι τέτοιο και το οποίο έπρεπε να απέχει από λήψη αποφάσεων για λογαριασμό του Υπουργείου.
2. Το Υπουργείο επικαλείται νέα Σύμβαση Δωρεάς με την εταιρεία CISCO HELLAS, η οποία (όπως και η προηγούμενη) δεν έχει καν δημοσιευθεί στη ΔΙΑΥΓΕΙΑ. Η Σύμβαση αυτή έπρεπε να είναι δημόσια προσβάσιμη. Τίθεται σοβαρό ζήτημα διαφάνειας και εγκυρότητας της εν λόγω σύμβασης, η οποία επηρεάζει και την επεξεργασία των δεδομένων.
3. Η νέα Υπουργική Απόφαση, γεννά νέους και πολύ σοβαρούς κινδύνους για τους εκπαιδευτικούς και τους μαθητές, οι οποίοι δεν έχουν συνεκτιμηθεί στην ΕΑΠΔ του Υπουργείου, ούτε έχει γίνει γνωστή η διενέργεια νέας ΕΑΠΔ που να τους περιλαμβάνει.
4. Το Υπουργείο δεν εφαρμόζει τις «Κατευθυντήριες Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφάλειας στο πλαίσιο τηλεργασίας», ενώ η χρησιμοποιούμενη ψηφιακή πλατφόρμα επίσης δε φαίνεται να πληροί τις προϋποθέσεις που τάσσει η Αρχή στο έγγραφο αυτό, υπονομεύοντας έτσι το απαιτούμενο επίπεδο προστασίας.
5. Η χρησιμοποιούμενη ψηφιακή πλατφόρμα, σύμφωνα με την Υ.Α., συλλέγει εκτεταμένες κατηγορίες προσωπικών δεδομένων, κάποιες από τις οποίες εσφαλμένα χαρακτηρίζει μεταδεδομένα. Οι χρησιμοποιούμενοι όροι δεν είναι καν κατανοητοί από εκπαιδευτικούς και μαθητές. Προκύπτουν σοβαροί κίνδυνοι υπέρμετρης και δυσανάλογης παρακολούθησης και επιτήρησης των εκπαιδευτικών (και των μαθητών), καθώς και κίνδυνοι άσκησης πιέσεων για εντατικοποίηση της εργασίας (δηλαδή των μαθημάτων) και όχι μόνο. Τα δεδομένα (ή μεταδεδομένα) τηρούνται για απροσδιόριστο χρονικό διάστημα, ενώ φαινομενικά υπηρετούν «τεχνικές ανάγκες» της πλατφόρμας.
6. Υπάρχουν σοβαρές ενδείξεις ότι με τη χρήση της ψηφιακής πλατφόρμας γίνεται σχηματισμός εξατομικευμένου προφίλ (εκπαιδευτικών και μαθητών). Η διαδικασία αυτή εκτός από παράνομη είναι ιδιαίτερα επικίνδυνη και επεμβατική για τους εκπαιδευτικούς και τους μαθητές.
7. Η Υπουργική Απόφαση, κατά παράβαση του ΓΚΠΔ δεν προβλέπει το δικαίωμα διαγραφής των δεδομένων. Το δικαίωμα αυτό όμως αναφορικά με τα δεδομένα που αφορούν τις ενέργειες του χρήστη στην πλατφόρμα, είναι από τα πλέον βασικά για την προστασία εκπαιδευτικών και μαθητών, οι οποίοι διαφορετικά τίθενται σε καθεστώς ομηρίας και διαρκούς επιτήρησης για το τι έκαναν ή δεν έκαναν κατά τη χρήση της πλατφόρμας.
Επομένως, σύμφωνα με την ΟΙΕΛΕ υπάρχουν εκτεταμένες παραβιάσεις της νομοθεσίας προστασίας προσωπικών δεδομένων, οι οποίες προκαλούν ταυτόχρονα σοβαρότατους κινδύνους για εκπαιδευτικούς και μαθητές.
Η ΟΙΕΛΕ ζητά από την Αρχή:
Να λάβει αντίγραφο της Σύμβασης Επεξεργασίας Δεδομένων μεταξύ Υπουργείου και CISCO HELLAS όπως και το αντίγραφο της Σύμβασης Δωρεάς.
Επιπλέον ζητά από την Αρχή να διερευνήσει τόσο σε επίπεδο νομοθεσίας όσο και σε τεχνικό κατά πόσο η συγκεκριμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύμφωνη ή όχι με τους κανόνες και προϋποθέσεις της εφαρμοστέας εθνικής, ευρωπαϊκής και διεθνούς νομοθεσίας προστασίας δεδομένων προσωπικού χαρακτήρα.
Τέλος ζητά από την Αρχή να μας ενημερώσει κατά πόσο τα ιδιωτικά σχολεία της χώρας έχουν υποβάλλει μελέτες ΕΑΠΔ για έκφραση γνώμης και έχουν ορίσει Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ) και επιπλέον κατά πόσο η εκτελούσα την επεξεργασία (CISCO HELLAS) έχει υποβάλλει μελέτη ΕΑΠΔ και έχει ορίσει ΥΠΔ.