Γαλλική Αρχή Προστασίας Δεδομένων: Τέλος στη χρήση πλατφορμών συνεργασίας εταιρειών με έδρα στις ΗΠΑ
Μετά τη μάχη με το Microsoft Azure για τη φιλοξενία του Health Data Hub, η Γαλλική CNIL ανοίγει μέτωπο με τις πλατφόρμες συνεργασίας.
- 15 Ιουνίου 2021 09:21
Στην τριτοβάθμια εκπαίδευση η χρήση πλατφορμών σε περιβάλλον cloud έχει καθιερωθεί εδώ και πολλά χρόνια ως λύση για την απομακρυσμένη εργασία/συνεργασία μεταξύ καθηγητών, φοιτητών, ερευνητών και άλλων. Μεταξύ αυτών πολύ γνωστές πλατφόρμες τεχνολογικών κολοσσών όπως η Google, Microsoft, Cisco και άλλες.
Δυο παράγοντες το τελευταίο διάστημα κυριολεκτικά εκτίναξαν τη χρήση τέτοιων εφαρμογών: ο Ψηφιακός Μετασχηματισμός και η πανδημία της Covid-19.
Στα πλαίσια αυτά, οι Conférence des grandes écoles (CGE) και Conférence des présidents d’université (CPU), θεσμοί παρόμοιοι με τη δική μας Συνόδου των Πρυτάνεων, ζήτησαν τη συμβουλευτική καθοδήγηση της Γαλλικής Αρχής Προστασίας Δεδομένων (CNIL) σχετικά με τη χρήση τέτοιων εργαλείων (απομακρυσμένης συνεργασίας και ανταλλαγής δεδομένων μέσω cloud).
Ο λόγος; Το γεγονός της κατάργησης του EU-US Privacy Shield από το καλοκαίρι του 2020 και η συνεπακόλουθη θεώρηση ότι οι ΗΠΑ δεν είναι «επαρκής» χώρα από πλευράς διασφαλίσεων προστασίας προσωπικών δεδομένων.
Όπως επισημαίνει η CNIL, οι εφαρμογές εταιρειών με έδρα στις ΗΠΑ δεν προσφέρουν διασφαλίσεις για την επεξεργασία προσωπικών δεδομένων σύμφωνα με τον GDPR, καθώς οι Αμερικανικές αρχές μπορούν να ζητήσουν ανά πάσα στιγμή οποιαδήποτε στοιχεία χωρίς, ουσιαστικά, οι εταιρείες να μπορούν να αρνηθούν.
Το γεγονός αυτό μάλιστα αφορά ακόμη και τα δεδομένα που αποθηκεύονται σε άλλες ηπείρους, όπως στην Ευρώπη. Η έννοια «Κυριαρχία» και στο θέμα των προσωπικών δεδομένων έχει νόημα και σχετίζεται με τον τρόπο που κάποιος έχει (ή δεν έχει) έλεγχο επί των δεδομένων του. Οι εγγυήσεις που παρέχονται με τον GDPR δεν υπάρχουν στις ΗΠΑ.
Ποια είναι η στάση της CNIL στο ερώτημα που θέτουν τα Γαλλικά τριτοβάθμια ιδρύματα;
Η αναμενόμενη στάση οποιασδήποτε εποπτικής αρχής προστασίας δεδομένων Ευρωπαϊκής χώρας που λειτουργεί σύμφωνα με τον GDPR: δεν μπορείτε να χρησιμοποιείτε άκριτα και χωρίς ειδικούς όρους και διασφαλίσεις εφαρμογές απομακρυσμένης συνεργασίας, τηλεδιασκέψεων, κλπ εταιρειών με έδρα στις ΗΠΑ. Γιατί όχι; Γιατί δε διασφαλίζουν το απαιτούμενο από τον GDPR επίπεδο προστασίας των προσωπικών δεδομένων.
Τι σημαίνει αυτή η γνωμοδότηση – κατεύθυνση; Ότι πρέπει να διακοπεί η λειτουργία τέτοιων εφαρμογών άμεσα; Φυσικά και όχι. Δίνεται η συμβουλή/δυνατότητα να εξεταστούν εναλλακτικές επιλογές, να ενισχυθούν οι διασφαλίσεις στις υπάρχουσες επιλογές εφαρμογών και στο διάστημα που διαρκεί αυτή η αναζήτηση να συνεχιστεί η χρήση των εφαρμογών που λειτουργούν τα Ιδρύματα σήμερα.
Η CNIL δεν παραλείπει να επισημάνει πως οι όποιες επιπλέον διασφαλίσεις ληφθούν στις υπάρχουσες εφαρμογές εταιρειών των ΗΠΑ θα είναι προσωρινές και θα θεωρούνται «εξαίρεση». Σε καμιά περίπτωση δεν μπορεί να γίνει ο κανόνας. Σηματοδοτείται με τον τρόπο αυτό και το όριο της ανοχής που θα επιδείξει η εποπτική αρχή ανάλογα με τη στάση που θα κρατήσει ο καθένας.
Παρόμοια συμβουλευτική καθοδήγηση παρείχε και η ολλανδική εποπτική αρχή προστασίας δεδομένων σχετικά με τις επιλογές εφαρμογών τηλεδιασκέψεων που χρησιμοποιήθηκαν και για την εξ αποστάσεως εκπαίδευση.
Στην Ελλάδα, 15 μήνες μετά την καθολική, σχεδόν, εφαρμογή της εξ αποστάσεως εκπαίδευσης, ειδικά στα ιδρύματα της τριτοβάθμιας η χρήση εφαρμογών ανταλλαγής δεδομένων μέσω cloud έχει γενικευτεί. Μαθήματα, εξετάσεις, έρευνα, όλα γίνονται με τέτοιου τύπου εφαρμογές.
Παρά το μεγάλο θόρυβο που έχει γίνει γύρω από τη χρήση τέτοιων εφαρμογών στην πρωτοβάθμια και δευτεροβάθμια εκπαίδευση, δε φαίνεται να έχει υπάρξει αντίστοιχος προβληματισμός στην τριτοβάθμια εκπαίδευση ή στην ΑΠΔΠΧ.
Η κατεύθυνση που δίνει η CNIL, πέραν του ότι είναι απολύτως συμβατή με τη σχετική απόφαση του Ευρωπαϊκού Δικαστηρίου και τον GDPR, δίνει και την αίσθηση για το ποια θα ήταν η απάντηση της ΑΠΔΠΧ σε αντίστοιχο ερώτημα. Το θεσμικό πλαίσιο είναι το ίδιο και στις 2 χώρες, όπως και (σε γενικές γραμμές) οι αρμοδιότητες, τα καθήκοντα και οι εξουσίες των δυο εποπτικών αρχών, Ελλάδας και Γαλλίας.
Αν η απάντηση αναμένεται η ίδια, μένει να γίνει η ερώτηση.
Ο Θόδωρος Μπλίκας είναι Διπλωματούχος Ηλεκτρολόγος Μηχανικός, MBA, Certified DPO
Ακολουθήστε το News247.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις