Webex: H απίστευτη εμμονή του Υπ. Παιδείας σε μία ανασφαλή πλατφόρμα
Για το Υπουργείο Παιδείας φαίνεται ότι δεν έχει καμία σημασία η διαπίστωση της Αρχής Προστασίας Δεδομένων ότι με τη χρήση της Webex υπάρχει πιθανότητα παράνομης διαβίβασης προσωπικών δεδομένων των χρηστών στις ΗΠΑ.
- 07 Φεβρουαρίου 2023 09:48
Αν και έχουν περάσει τρεις ολόκληροι μήνες από την απόφαση 61/2022 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με την οποία χαρακτηριζόταν προβληματική η διαβίβαση προσωπικών δεδομένων των χρηστών της Webex στις ΗΠΑ, το Υπουργείο Παιδείας επιμένει, εμμονικά θα έλεγε κανείς, η τηλεκπαίδευση να διεξάγεται ΜΟΝΟ μέσα από τη συγκεκριμένη πλατφόρμα της αμερικανικής εταιρίας Cisco.
Τις δύο τελευταίες ημέρες άλλωστε τουλάχιστον τα μισά σχολεία της επικράτειας πήραν την εν λόγω εντολή αφού, λόγω της κακοκαιρίας Μπάρμπαρα, η απόφαση του Υπουργείου ήταν η εκπαιδευτική διαδικασία να συνεχιστεί εξ αποστάσεως από την πλατφόρμα της Webex.
Για ακόμη μία φορά οι πολύ προσεκτικά διατυπωμένες επιφυλάξεις της Αρχής για το (μη) σύννομο της διαβίβασης των προσωπικών δεδομένων των χρηστών (ανώ των 1,5εκ θυμίζουμε) στις ΗΠΑ ρίχθηκαν στον κάλαθο των αχρήστων ως μάλλον κάτι επουσιώδες στο οποίο λίγοι θα δώσουν την απαραίτητη προσοχή.
Η Αρχή, ωστόσο, ήταν σαφής.
Ας θυμηθούμε τι αναφέρει σχετικά η απόφαση 61/2022: “Δεν επιβεβαιώνεται ο ισχυρισμός του ΥΠΑΙΘ ότι προς το σκοπό της εκτέλεσης των συμβάσεων που συνάπτει η CISCO HELLAS η ίδια η εταιρεία είναι υπεύθυνος επεξεργασίας (για την τεχνική λειτουργία της πλατφόρμας τηλεκπαίδευσης και για λόγους τιμολόγησης). Επισημαίνεται προς πληρότητα και ενημέρωση, ότι σε κάθε περίπτωση, ακόμα δηλαδή κι αν θεωρηθεί ότι η διαβίβαση γίνεται από την CISCO για τους δικούς της σκοπούς (ως υπεύθυνης επεξεργασίας και όχι στο πλαίσιο της σύμβασης) είναι σαφές ότι το ΥΠΑΙΘ έχει ευθύνη να ελέγξει αν η διαβίβαση των δεδομένων προς την CISCO Ηellas είναι νόμιμη, γνωρίζοντας ότι τα δεδομένα αυτά μπορεί να διαβιβαστούν στις Η.Π.Α.”.
Και εν συνεχεία: “Επισημαίνεται ότι η προσέγγιση με βάση τον κίνδυνο δεν έχει γίνει, έως σήμερα, δεκτή από τις εποπτικές αρχές του ΓΚΠΔ. Συγκεκριμένα, η διατύπωση του άρθρου 44 του ΓΚΠΔ δεν προβλέπει το μέγεθος του απειλούμενου κινδύνου ως κριτήριο της δυνατότητας διαβίβασης, αλλά απαιτεί να μην υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο ΓΚΠΔ. Μάλιστα, στις περιπτώσεις που ο νομοθέτης ακολουθεί προσέγγιση με βάση τον κίνδυνο στο ΓΚΠΔ, αυτό αναφέρεται ρητά στην εκάστοτε διάταξη.
Συνεπώς, αν και η Αρχή δέχεται ότι η πιθανότητα πρόσβασης από τις αρχές επιβολής του νόμου των Η.Π.Α. στα δεδομένα προσωπικού χαρακτήρα της εν λόγω επεξεργασίας, είναι πολύ μικρή, είναι αμφίβολο αν η διαπίστωση αυτή καθιστά επιτρεπτή τη διαβίβαση (ακόμα και μετά την 1/7/2022). Το εν λόγω ζήτημα, όμως, δεν αφορά μόνο το ΥΠΑΙΘ, αλλά αφορά κάθε υπεύθυνο επεξεργασίας ο οποίος χρησιμοποιεί υπηρεσίες τηλεδιάσκεψης εταιρειών οι οποίες ανήκουν σε όμιλο ελεγχόμενο από οντότητα που υπόκειται στο δίκαιο των Η.Π.Α.
Οπως είχαμε επισημάνει και στο αντίστοιχο ρεπορτάζ της 4ης Νοεμβρίου (όταν το Υπουργείο πανηγύριζε μία στρατηγική του ήττα) η Αρχή, κομψά, διακριτικά αλλά στο τέλος της ημέρας ξεκάθαρα ισχυριζόταν ότι η συνέχιση της συνεργασίας με οποιαδήποτε αμερικανική εταιρία πριν συναφθεί νέα συμφωνία μεταξύ Ευρωπαϊκής Ενωσης και Ηνωμένων Πολιτειών καθίσταται τουλάχιστον προβληματική.
Οι πληροφορίες του NEWS 24/7 αναφέρουν ότι η υπογραφή μίας τέτοιας συμφωνίας μεταξύ ΕΕ και ΗΠΑ θα καθυστερήσει ακόμα σημαντικά καθώς τα γραφειοκρατικά εμπόδια που πρέπει να ξεπεραστούν είναι πολλά. Είναι, άρα, προφανές ότι το Υπουργείο Παιδείας θα έπρεπε να αναζητήσει άλλη λύση για την παροχή υπηρεσιών τηλεκπαίδευσης στις δεκάδες εταιρίες που εδρεύουν στην Ευρώπη και προσφέρουν απόλυτη ασφάλεια στην προστασία των προσωπικών δεδομένων των χρηστών.
Παρά όμως την απόφαση της Αρχής και πηγαίνοντας κόντρα ακόμα και στην απλή λογική (γιατί να μην επιλεγεί μία πλατφόρμα που θα είναι απολύτως ασφαλής από άλλη που παρουσιάζει συγκεκριμένα προβλήματα ασφάλειας) το Υπουργείο Παιδείας επιμένει να προσφέρει υπηρεσίες τηλεκπαίδευσης μόνο από την πλατφόρμα της Cisco αν και ξέρει ότι η προστασία των προσωπικών δεδομένων των χρηστών έχει κριθεί το λιγότερο επισφαλής.
Πρόκειται, έτσι και αλλιώς, για να πρόβλημα πανευρωπαϊκό το οποίο όμως οι υπόλοιπες χώρες της Ευρώπης προτίμησαν να επιχειρήσουν να το λύσουν με σύνεση και λογική, όχι με εμμονικές επιλογές που προκαλούν εύλογα ερωτηματικά.
Ηδη σε ρεπορτάζ της 25ης Μαρτίου του 2021, αναφέραμε τον τρόπο με τον οποίο επέλεξε να κινηθεί η ολλανδική Αρχή Προστασίας Δεδομένων.
Η Αρχή της Ολλανδίας λοιπόν, ήδη από τον Απρίλιο 2020, διέγνωσε τη μεγάλη αύξηση στη χρήση λογισμικού τηλεδιασκέψεων, το οποίο χρησιμοποιήθηκε και για την εξ αποστάσεως εκπαίδευση και εξέδωσε συγκριτικό πίνακα για μια σειρά εφαρμογές. Ο συγκριτικός πίνακας έχει σκοπό να πληροφορήσει τους Υπευθύνους Επεξεργασίας που θα χρησιμοποιήσουν τέτοιο λογισμικό σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ώστε οι επιλογές που θα γίνουν να έχουν λάβει υπόψη τους αυτή την παράμετρο.
Γιατί προχώρησε σε μία τέτοια κίνηση; Διότι, όπως εξηγούσαμε, “οι πλατφόρμες για την εξ αποστάσεως εκπαίδευση συλλέγουν πληθώρα προσωπικών δεδομένων, τόσο «στατικών» (πληροφορίες συσκευής, διεύθυνση, περιηγητής, και άλλα) όσο και «δυναμικών» (προτιμήσεις, επιλογές, χρόνοι επίσκεψης και άλλα)”.
Και ποιες, τέλος, πληροφορίες μάς έδινε για τη Cisco ο εν λόγω συγκριτικός πίνακας; “Οτι η Cisco Webex παράγει έσοδα και με έναν άλλο τρόπο: «(gepersonaliseerde) advertenties tonen». Στα ελληνικά σημαίνει “προβολή εξατομικευμένων διαφημίσεων” για τις οποίες τα προσωπικά δεδομένα των χρηστών είναι άκρως απαραίτητα (για την ακρίβεια ένας μικρός θησαυρός).
Τρία χρόνια μετά την εφαρμογή της τηλεκπαίδευσης στα ελληνικά σχολεία λόγω της πανδημίας, το Υπουργείο Παιδείας επιμένει να παίζει με τη φωτιά ανίκανο ή άβουλο να προσφέρει στους χρήστες πλατφόρμα η οποία θα προσφέρει ουσιαστική προστασία σύμφωνα με τα ευρωπαϊκά στάνταρτς όπως αυτά ορίζονται από τον Γενικό Κανονισμό Προστασίας Δεδομένων.
Δεν ενημερώνει καν για το αν έχει υπογραφεί νέα σύμβαση με την Cisco αφού, σύμφωνα με την απόφαση της Αρχής “με το πρώτο υπόμνημά του το ΥΠΑΙΘ ενημέρωσε ότι με την ολοκλήρωση της μελέτης DTIA, το ΥΠΑΙΘ και η CISCO θα προχωρήσουν σε σύναψη νέας σύμβασης, η οποία θα περιλαμβάνει επικαιροποιημένες συμβατικές ρήτρες σύμφωνα με ταδιαλαμβανόμενα στην Εκτελεστική Απόφαση (ΕΕ) 2021/914 της Επιτροπής της 4ης Ιουνίου 2021″.
Περιττές λεπτομέρειες τα θεωρούν αυτά στο Μαρούσι. Ομως, ως γνωστόν, ο διάβολος κρύβεται πάντα στις λεπτομέρειες…
Ακολουθήστε το News247.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις