Τι έκανε η Κεραμέως με τα προσωπικά μας δεδομένα – O DPO, o νόμος και η “μοναξιά” της CISCO ( ΜΑΣ ΕΝΔΙΑΦΕΡΕΙ ΟΛΟΥΣ ΔΙΑΒΑΣΤΕ ΤΟ )

Πώς η τηλεκπαίδευση έλαβε χώρα στην Ελλάδα χωρίς να εφαρμοστεί κατά γράμμα η σχετική νομοθεσία περί Προσωπικών Δεδομένων.

 

Κατά τη διάρκεια της πανδημίας η ελληνική κυβέρνηση ήρθε, όπως ήταν αναμενόμενο, αντιμέτωπη με μία πρωτόγνωρη κατάσταση και επιχείρησε να βρει λύσεις οι οποίες, θεωρητικά τουλάχιστον, αφενός θα εξυπηρετούσαν το δημόσιο συμφέρον και αφετέρου θα έδιναν γρήγορη διέξοδο στα προβλήματα που δημιουργούνταν.

Με την τεχνολογία να εισβάλλει πλέον ορμητικά στη ζωή μας και μεγάλο μέρος των δραστηριοτήτων μας να εκτελούνται μέσω διαδικτύου, πολύ φυσιολογικά ήρθε στην επικαιρότητα και το ζήτημα της τήρησης της σχετικής νομοθεσίας περί προστασίας των προσωπικών δεδομένων, κυρίως από το ελληνικό κράτος το οποίο είχε την πρωτοβουλία των κινήσεων.

Είναι μάλλον περιττή μία διεξοδική ανάλυση για τη σημασία της τήρησης του νόμου περί προσωπικών δεδομένων. Αρκεί να αναφέρουμε τον ορισμό της “παραβίασης προσωπικών δεδομένων”. Αυτός είναι ο εξής: “η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία”.

Επίσης, ο ορισμός των προσωπικών δεδομένων είναι ο εξής: “κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (“υποκείμενο των δεδομένων”)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου”.

Δεν αφορά, κοντολογίς, μόνο το όνομα ή την εικόνα ενός ανθρώπου αλλά πολλά άλλα πράγματα που όπως διαπιστώσατε ορίζονται σαφώς.

Το μεγάλο “όχι” από το Υπουργείο Υγείας

Πριν περάσουμε στο κυρίως θέμα, αυτό δηλαδή που αφορά τις ενέργειες (και μη ενέργειες) του Υπουργείου Παιδείας για την προστασία των Προσωπικών Δεδομένων εκπαιδευτικών και μαθητών κατά την τηλεκπαίδευση, ας εξετάσουμε ένα άλλο κυβερνητικό παράδειγμα. Τη διαχείριση ανάλογης, πιο σοβαρής κατάστασης από το Υπουργείο Υγείας. Κατάσταση η οποία θα μπορούσε να χαρακτηριστεί κάλλιστα ως ζωής ή θανάτου.

Κατά την πανδημία, ειδικά στην πρώτη φάση της, πολλά ήταν τα νοσοκομεία που απηύθυναν ερωτήματα στο Υπουργείο Υγείας για το αν μπορούν να εγκαταστήσουν κάμερες στις ΜΕΘ και στους θαλάμους αρνητικής πίεσης των πνευμονολογικών κλινικών έτσι, ώστε να ελέγχουν και εξ αποστάσεως την κατάσταση της υγείας των ασθενών, αλλά και τον τρόπο με τον οποίο ανταποκρίνεται το προσωπικό στις αυξημένες ανάγκες φροντίδας.

Στιγμιότυπα από την Μονάδα εντατικής θεραπείας στο νοσοκομείο “ΣΩΤΗΡΙΑ”, ένα από τα νοσοκομεία αναφοράς για τον COVID-19 (Φωτογραφία αρχείου) EUROKINISSI

Το Υπουργείο, ως όφειλε, απευθύνθηκε με τη σειρά του στον καθ’ ύλην αρμόδιο, τον DPO Δημήτρη Ζωγραφόπουλο. Χρήσιμη παρένθεση για το τι ακριβώς είναι ο DPO. Πρόκειται για τον Υπεύθυνο Προστασίας Δεδομένων,στην περίπτωσή μας του Υπεύθυνου Προστασίας Δεδομένων για το Υπουργείο Υγείας. Τα καθήκοντά του ορίζονται σαφώς από το άρθρο 39 του σχετικού νόμου (GDPR 679/2016).

Ο δικηγόρος και DPO του Υπουργείου Υγείας, λοιπόν, Δημήτρης Ζωγραφόπουλος, αφού εξέτασε όλα τα δεδομένα αλλά και το νόμο, γνωμοδότησε αρνητικά και τόνισε ότι τα παραπάνω αιτήματα δεν μπορούν να γίνουν αποδεκτά.

Η επιτροπή λοιμωξιολόγων αποδέχθηκε τη γνωμοδότηση. Το πιο σημαντικό είναι όμως ότι την αποδέχθηκε και ο Υπουργός, Βασίλης Κικίλιας αν και από το νόμο έχει κάθε δικαίωμα να αγνοήσει τη γνωμοδότηση και να αποφασίσει κατά το δοκούν. Δεν το έκανε, κάτι που σημαίνει ότι έχει απόλυτη εμπιστοσύνη στον DPO του Υπουργείου του. Μπορεί να ισχυριστεί το ίδιο η κα Κεραμέως για το Υπουργείο Παιδείας; Αυτό θα εξετάσουμε ακριβώς παρακάτω.

Ποιος ήταν Υπεύθυνος Προστασίας Δεδομένων στο Υπουργείο Παιδείας;

O νόμος περί Προστασίας Δεδομένων είναι ξεκάθαρος. Το Υπουργείο οφείλει να έχει Υπεύθυνο Προστασίας Δεδομένων (DPO), ρόλος που στην εποχή της τηλεκπαίδευσης καθίσταται άκρως απαραίτητος και κομβικός για την ομαλή λειτουργία των πραγμάτων.

Ομως στο Υπουργείο Παιδείας η πρώην DPO, Μαρία Τουρλούπη τελούσε υπό παραίτηση από τις 14 Ιουνίου του 2019 μέχρι και τον Μάιο του 2020, όταν τελικά αντικαταστάθηκε. Ανέλαβε τα καθήκοντα της Υπεύθυνης Προστασίας Δεδομένων του Υπουργείου στις 20 Ιουλίου του 2018 επί υπουργίας Γαβρόγλου και επισήμως απαλλάχθηκε από αυτά στις 7 Μαϊου του 2020.

Εκ του νόμου όμως υπάρχουν καθήκοντα για κάποιον που είναι ακόμη εν ενεργεία, ακόμα και τυπικά. Το ερώτημα που προκύπτει στη σχετική περίπτωση είναι αν άσκησε την οποιαδήποτε δραστηριότητα η πρώην DPO του Υπουργείου. Αποδεικνύεται η εκτέλεση των καθηκόντων της και ιδιαίτερα για την επίμαχη περίοδο από τις 13 Μαρτίου μέχρι και τις 7 Μαϊου του 2020; Σε περίπτωση που η απάντηση είναι αρνητική, τότε είναι σαφές ότι η τηλεκπαίδευση εφαρμόστηκε χωρίς ουσιαστικά να έχει ενεργήσει η (πρώην) DPO, αν και το Υπουργείο είχε την υποχρέωση να διαθέτει ενεργό DPO προκειμένου να λαμβάνει συμβουλές και ενημέρωση αλλά και να υπάρχει συνεχής παρακολούθηση της συμμόρφωσης με τον νόμο και τον ΓΚΠΔ σε σχέση με τα προσωπικά δεδομένα των εκπαιδευτικών και των μαθητών. Δεν προκύπτει πάντως ότι στο κρίσιμο διάστημα Μαρτίου-Απριλίου η υπό παραίτηση κα Τουρλούπη πράγματι ασκούσε τα καθήκοντά της ως DPO.

Σε σχέση όμως με το ζήτημα του DPO του Υπουργείου υπάρχει και μία άλλη, σοβαρότερη, παράμετρος. Η δικηγόρος Ειρήνη Καπελλάκη, που ανέλαβε τη θέση της DPO (με την απόφαση 52509/Γ1, στις 7 Μαΐου του 2020), είναι μετακλητή υπάλληλος και σύμβουλος της Υπουργού. Εκ του νόμου (άρθρο 38) ο DPO δεν μπορεί να λαμβάνει εντολές για την άσκηση των καθηκόντων του. Είναι δυνατόν όμως μετακλητή υπάλληλος να μην λαμβάνει εντολές από την επικεφαλής, εκείνη που την διόρισε στη θέση;

Eπίσης, στο site της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αναφέρεται ρητά ότι, όταν ο DPO “ασκεί πρόσθετα καθήκοντα, αυτά να μην συνεπάγονται σύγκρουση συμφερόντων (π.χ. δεν μπορεί να κατέχει θέση από την οποία μπορεί να καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας, όπως θέσεις ανώτερης διοίκησης, νομικού συμβούλου)”. Είναι απορίας άξιον πως ο DPO που πρέπει να έχει πλήρη ανεξαρτησία στην άσκηση των καθηκόντων του μπορεί να είναι παράλληλα μετάκλητος υπάλληλος, σχέση που εξ ορισμού δεν είναι σχέση ανεξαρτησίας.

Επιπρόσθετα, η Ειρήνη Καπελλάκη είναι μέλος του Διοικητικού Συμβουλίου του Συλλόγου Αποφοίτων Κολλεγίου Αθηνών Κολλεγίου Ψυχικού από τον Οκτώβριο του 2019 (για διετή θητεία, όπως σαφώς αναφέρεται στο site του συλλόγου). Εξελέγη δηλαδή στο Δ.Σ. του Συλλόγου Αποφοίτων ενός πολύ γνωστού ιδιωτικού σχολείου μετά την επιλογή της ως μετακλητής υπαλλήλου του Υπουργείου Παιδείας από τη Νίκη Κεραμέως τον Σεπτέμβριο του 2019.

Aπό όλα τα παραπάνω δημιουργούνται ερωτηματικά για το αν η DPO του Υπουργείου Παιδείας πληροί τις απαραίτητες προϋποθέσεις που ορίζει (με σαφήνεια) ο νόμος για την θέση αυτή. Οπως γίνεται κατανοητό, στην εποχή κατά την οποία εφαρμόζεται η τηλεκπαίδευση και ανακύπτουν τεράστιοι κίνδυνοι για την προστασία Δεδομένων Προσωπικού Χαρακτήρα, το θέμα της ύπαρξης ενεργού DPO συνιστά ζήτημα πρώτου μεγέθους για το αρμόδιο Υπουργείο.

H Εκτίμηση Αντικτύπου και η σημασία της

Στην αιτιολογική έκθεση που συνοδεύει την τροπολογία του Υπουργείου Παιδείας με την οποία κατοχυρώθηκε νομοθετικά η εξ αποστάσεως εκπαίδευση (με πολύ μεγάλη καθυστέρηση, στις 15 Μαϊου, ενώ είχε αρχίσει από τα μέσα Μαρτίου) αναγράφονται ρητά τα εξής: “με την προτεινόμενη ρύθμιση προβλέπεται ότι με απόφαση του Υπουργού Παιδείας και Θρησκευμάτων, η οποία εκδίδεται μετά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (Ε.Α.Π.Δ.) που προβλέπεται στο άρθρο 35, παρ 1 του Γ.Κ.Π.Δ. και στο άρθρο 65 του ν.4624/2019, ορίζονται και ρυθμίζονται ο τρόπος και τα μέσα τεχνολογίας που χρησιμοποιούνται για την υλοποίηση της εξ αποστάσεως εκπαίδευσης, ο τρόπος συμμετοχής τόσο των εκπαιδευτικών όσο και των μαθητών σε αυτήν, κτλ…”

nomos_4686_2020

Ας κρατήσουμε από την παραπάνω παράγραφο τη φράση “εκτίμηση αντικτύπου”. Γιατί προβλέπεται από το νόμο περί Προσωπικών Δεδομένων και γιατί θεωρείται τόσο σημαντική; Οταν λέμε εκτίμηση αντικτύπου, εννοούμε, την εκτίμηση του κινδύνου όταν οι πράξεις επεξεργασίας ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων ιδίως με τη χρήση νέων τεχνολογιών και συνεκτιμώντας το φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας Γίνεται, άρα, σαφές ότι η εκπόνηση εκτίμησης αντικτύπου είναι σημαντική γιατί υπολογίζει επακριβώς τους κινδύνους που διατρέχει σε σχέση με τα Προσωπικά του Δεδομένα το υποκείμενο των προσωπικών δεδομένων. Στην προκειμένη περίπτωση λοιπόν η εκτίμηση αντικτύπου εκτιμά τον κίνδυνο που διατρέχουν τα δικαιώματα και τις ελευθερίες των επαγγελματιών της εκπαίδευσης καθώς και των ανήλικων μαθητών, δηλαδή περίπου 1.400.000 άτομα στο σύνολο.

O σχετικός νόμος αναφέρει ότι η εκτίμηση δεν διεξάγεται από τον DPO. Ο DPO όμως παρακολουθεί την υλοποίηση της εκτίμησης αντικτύπου και παρέχει συμβουλές, εφόσον του ζητηθεί. Το σημαντικό όμως εδώ είναι ότι κατά τους μήνες όμως Μάρτιο και Απρίλιο, όπως είδαμε και πιο πάνω, το Υπουργείο Παιδείας δεν διέθετε επί της ουσίας DPO. Η μεν Μαρία Τουρλούπη τελούσε υπό παραίτηση από τις 14 Ιουνίου του 2019, η δε Ειρήνη Καπελλάκη ανέλαβε καθήκοντα στις 8 Μαϊου.

Παραμένει έτσι το ερωτηματικό: Ποιος παρακολούθησε την υλοποίηση της Εκτίμησης Αντικτύπου που τελικά εκπονήθηκε; Και επιπλέον: Γιατί δεν έχει δοθεί ακόμη στη δημοσιότητα η εν λόγω εκτίμηση;

Τα σχετικά ερωτήματα, μάλιστα, γίνονται σχεδόν εκκωφαντικά μετά την εισαγγελική παραγγελία για τη χορήγηση της Εκτίμησης Αντικτύπου στη Διδασκαλική Ομοσπονδία Ελλάδας μετά από σχετικό αίτημά της. Η Εισαγγελική, αυτή, παραγγελία κατατέθηκε στο Υπουργείο Παιδείας από το Δ.Σ. της Δ.Ο.Ε. στις 19 Ιουνίου.

Η σχετική ανακοίνωση της Δ.Ο.Ε. ενημερώνει επίσης ότι η Ομοσπονδία έχει ήδη προχωρήσει στην κατάθεση προσφυγής προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κατά της τροπολογίας και της Υπουργικής Απόφασης του Υπουργείου Παιδείας που αφορά τη ζωντανή αναμετάδοση των μαθημάτων μέσα από τη σχολική αίθουσα.

Αναλυτικά: Κατατέθηκε την Παρασκευή 19 Ιουνίου 2020, από το Διοικητικό Συμβούλιο της Δ.Ο.Ε. στο Υπουργείο Παιδείας, η εισαγγελική παραγγελία η οποία εκδόθηκε έπειτα από αίτημα του Δ.Σ. για τη χορήγηση της Εκτίμησης Αντικτύπου που αφορά στη ζωντανή αναμετάδοση των μαθημάτων μέσα από τη σχολική αίθουσα.

Το Δ.Σ. της Δ.Ο.Ε. είχε ζητήσει με το α. π. 560/18-5-2020 έγγραφό του από το Υπουργείο Παιδείας να του χορηγηθεί αντίγραφο της Εκτίμησης Αντικτύπου αίτημα στο οποίο μέχρι και σήμερα το Υπουργείο Παιδείας δεν έχει ανταποκριθεί.

Το Δ.Σ. της Δ.Ο.Ε. στο πλαίσιο των αποφάσεών του έχει ήδη προχωρήσει στην κατάθεση της προσφυγής προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα κατά της τροπολογίας και της Υπουργικής Απόφασης του Υπουργείου Παιδείας που αφορά τη ζωντανή αναμετάδοση των μαθημάτων μέσα από τη σχολική αίθουσα.

Οι διευκρινίσεις που ζητήθηκαν από την ΑΠΔΠΧ και δεν δόθηκαν από το Υπουργείο

Από την έναρξη της εφαρμογής της τηλεκπαίδευσης είχαν εκφραστεί ουκ ολίγες επιφυλάξεις από διάφορους φορείς για τον τρόπο με τον οποίο θα προστατεύονταν τα Δεδομένα Προσωπικού Χαρακτήρα τόσο των εκπαιδευτικών όσο και των μαθητών.

Οταν όμως ζητά διευκρινίσεις για το ζήτημα και η ίδια η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα τα πράγματα γίνονται εξόχως σοβαρά. Η Αρχή, λοιπόν, μέσω των ελεγκτών της Γιώργου Ρουσόπουλου και Κάλλης Καρβέλη, ζήτησε διευκρινίσεις από το Υπουργείο με αφορμή την αναφορά της ΟΙΕΛΕ (Ομοσπονδία Ιδιωτικών Εκπαιδευτικών Λειτουργών) στην Αρχή.

 

Οι διευκρινίσεις από το Υπουργείο ζητήθηκαν με το έγγραφο που πήρε αριθμό πρωτοκόλλου Γ/ΕΞ/3307-1 στις 18 Μαϊου του 2020. Μάλιστα μπήκε σε αυτό ο χαρακτηρισμός “επείγον” ένδειξη ότι η Αρχή ζητούσε μία όσο το δυνατόν πιο άμεση απάντηση από το Υπουργείο Παιδείας.

Η καταγγελία της ΟΙΕΛΕ προς την Αρχή περιείχε δέκα βασικά σημεία με τα οποία η Ομοσπονδία των Ιδιωτικών Εκπαιδευτικών Λειτουργών επιχειρούσε να καταδείξει ότι οι παραλείψεις του Υπουργείου Παιδείας πλήττουν τα προσωπικά δεδομένα χιλιάδων εκπαιδευτικών και μαθητών.

Σύμφωνα, λοιπόν, με την ΟΙΕΛΕ: “Το Υπουργείο δεν ζήτησε τη γραπτή γνώμη και δεν διαβουλεύθηκε έγκαιρα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη διάταξη που ψηφίστηκε, ενώ είχε από το νόμο τέτοια υποχρέωση. (Άμεση παραβίαση του GDPR).

Ο σκοπός επεξεργασίας με τον τρόπο που περιγράφεται (ή καλύτερα με τον τρόπο που δεν περιγράφεται) στη διάταξη δεν είναι νόμιμος. Η διατύπωση είναι τόσο αόριστη, που δεν ξέρει κανείς για ποιους πραγματικούς σκοπούς θα συλλεχθούν τα δεδομένα μας. (Άμεση παραβίαση του GDPR)

Το Υπουργείο δεν προέβλεψε και δεν ενημέρωσε καν ποια πρόσωπα θα αφορά η επεξεργασία αυτή και ποια ακριβώς προσωπικά δεδομένα θα συλλέξει. Κανείς μας τελικά δεν ξέρει ποια ακριβώς δεδομένα συλλέγονται. (Άμεση παραβίαση του GDPR).

Το Υπουργείο δεν προέβλεψε ότι υπάρχει δυνατότητα καταγραφής είτε της εικόνας είτε του ήχου από τις συσκευές στις οποίες καταλήγει η μετάδοση του μαθήματος. Δεν προέβλεψε επίσης ότι στη διάρκεια του μαθήματος και ως κομμάτι της εκπαιδευτικής διαδικασίας, ανακοινώνονται γεγονότα και δεδομένα της προσωπικής και οικογενειακής ζωής των μαθητών, των εκπαιδευτικών και ενδεχομένως και άλλων προσώπων. (Έμμεση και άμεση παραβίαση του GDPR).

Το Υπουργείο δεν όρισε ποια είναι τα περίφημα μεταδεδομένα. Η αόριστη αυτή αναφορά σε συνδυασμό με τις δυνατότητες που έχει η τεχνολογία, καθιστά εύκολη την παρακολούθηση και το σχηματισμό προφίλ για μαθητές και εκπαιδευτικούς. Αυτά δεν απαγορεύονται μόνο από τον GDPR αλλά είναι και ευθέως αντισυνταγματικά, γιατί αλλάζουν την ουσία της εκπαίδευσης. (Άμεση παραβίαση του GDPR)

Το Υπουργείο δεν συμπεριέλαβε στη διάταξη νόμου τα βασικά χαρακτηριστικά αυτής της επεξεργασίας δεδομένων και δεν τα αιτιολόγησε με ακρίβεια, ώστε να είναι σαφές υπό ποιες συνθήκες και λόγους θα γίνεται επεξεργασία δεδομένων, ποιους θα αφορά, ποια δεδομένα, αν θα υπάρχουν συνεργάτες που θα χρησιμοποιηθούν (π.χ. εταιρείες), τι εγγυήσεις θα πρέπει να πληρούν, σε ποιους άλλους θα κοινοποιούνται τα δεδομένα, για πόσο χρόνο θα διατηρούνται κ.ά. Αντίθετα, επιχείρησε να ορίσει κάποια από αυτά τα ζητήματα με την υπουργική απόφαση. Η πρακτική αυτή είναι αντίθετη στο Σύνταγμα και σε όσα έχει κρίνει η Αρχή Προστασίας Δεδομένων σε ανάλογα ζητήματα.

Το Υπουργείο Παιδείας φαίνεται ότι δεν έχει κάνει διαδικασίες συμμόρφωσης με τις υποχρεώσεις που ορίζει ο GDPR. Αντί λοιπόν να φροντίσει να λύσει τα σοβαρά ζητήματα που έχει, με τα οποία έχει ασχοληθεί στο παρελθόν η Αρχή Προστασίας Δεδομένων, αντί να ελέγξει μήπως έχει συμβεί μέχρι και παραβίαση δεδομένων, χωρίς καμία υποδομή και προετοιμασία, αποφάσισε να κάνει μια επεξεργασία δεδομένων που αφορά 1,5 εκατομμύρια φυσικά πρόσωπα, χωρίς να συμβουλευτεί ούτε έναν ειδικό. (Άμεση παραβίαση του GDPR).

Το Υπουργείο Παιδείας στην ουσία δεν είχε Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer) για 11 μήνες, ενώ όρισε μόλις μία ημέρα πριν ψηφίσει τη διάταξη νόμου για την εξ αποστάσεως «εκπαίδευση». Ο GDPR λέει ότι ο DPO συμβουλεύει τον υπεύθυνο επεξεργασίας και παρακολουθεί τη συμμόρφωση. Είναι βέβαιο ότι o DPO δεν πρόλαβε να μελετήσει και να συμβουλεύσει το Υπουργείο Παιδείας μέσα σε μία μέρα για ένα τόσο σοβαρό ζήτημα. (Άμεση παραβίαση του GDPR).

Το Υπουργείο Παιδείας δεν έκανε Εκτίμηση Αντικτύπου Προστασίας Δεδομένων για όσες επεξεργασίες δεδομένων έκανε ήδη μέχρι τώρα, δεν είχε κάνει διαβούλευση με την Αρχή Προστασίας Δεδομένων και δεν είχε ποτέ ζητήσει τη γνώμη μας. Επίσης χρησιμοποίησε εταιρείες, δίχως να μας ενημερώσει ποτέ επίσημα ποιες είναι αυτές, ποια δεδομένα μας συλλέγουν, τι τα κάνουν και αν δεσμεύονται από κάποια πράξη. (Άμεση παραβίαση του GDPR).

Το Υπουργείο Παιδείας σε σχέση με τη διάταξη που ψήφισε, δεν ξεκίνησε ποτέ έναν ανοιχτό επιστημονικό διάλογο και δεν ζήτησε ποτέ τη γνώμη της εκπαιδευτικής κοινότητας ή των εκπροσώπων της. Δηλαδή, δεν ζήτησε τη γνώμη 1,5 εκατομμυρίου ανθρώπων για το τι θα γίνουν τα απλά αλλά και τα ευαίσθητα δεδομένα τους. Δεν ζήτησε τη γνώμη 1,5 εκατομμυρίου ανθρώπων των οποίων τα δεδομένα θα επεξεργαστεί υποχρεωτικά το Υπουργείο, τα ιδιωτικά σχολεία και τρίτοι, τη στιγμή μάλιστα κατά την οποία δεν είχε κάνει την παραμικρή προετοιμασία και δεν είχε κανένα σχεδιασμό”.

Για όλα τα παραπάνω η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ζήτησε διευκρινίσεις από το Υπουργείο τις οποίες δεν έχει λάβει ακόμα.

To Νews 24/7 ήρθε σε επικοινωνία με την Αρχή και έθεσε το εξής ερώτημα:

Η Αρχή Προστασίας Προσωπικών δεδομένων έχει ζητήσει διευκρινίσεις από το υπουργείο Παιδείας σχετικά με τη χρήση προσωπικών δεδομένων την περίοδο της τηλεκπαίδευσης. Έχει λάβει απάντηση από το υπουργείο Παιδείας η Αρχη; Τι προτίθεται να κάνει αν δεν λάβει απάντηση μέχρι την Παρασκευή που κλείνουν και τα Δημοτικά σχολεία;

Η απάντηση ήρθε από τον Ηλία Αθανασιάδη προϊστάμενο επικοινωνίας της Αρχής, και έχει ως εξής: “Προς απάντηση των ερωτημάτων σας, επιβεβαιώνουμε ότι έχει ζητηθεί από το Υπουργείο Παιδείας η παροχή διευκρινίσεων επί των αναφορών της ΟΙΕΛΕ και της ΔΟΕ, οι οποίες έχουν υποβληθεί στην Αρχή. Επιπρόσθετα, σας ενημερώνουμε ότι η Αρχή αναμένει τις απόψεις του Υπουργείου επί των θεμάτων της τηλεκπαίδευσης που τίθενται στις αναφορές αυτές. Ωστόσο, σημειώνεται ότι η προσβαλλόμενη από την ΟΙΕΛΕ και ΔΟΕ υπουργική απόφαση, ως πάγια ρύθμιση, έχει γενικότερο ενδιαφέρον και δεν περιορίζεται στην φετινή σχολική χρονιά που ολοκληρώνεται τις προσεχείς ημέρες, αλλά αφορά σαφώς και την επόμενη. Ενόψει αυτού, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, στο πλαίσιο των αρμοδιοτήτων της, θα εξετάσει σύντομα τα ζητήματα της τηλεκπαίδευσης και θα εκδώσει σχετική απόφαση πολύ πριν τη νέα σχολική χρονιά”.

Είναι σαφές, άρα, από την απάντηση ότι το Υπουργείο δεν έχει απαντήσει ακόμα. Σαφές ακόμη ότι η Αρχή θα λάβει μέτρα για την επόμενη σχολική σεζόν.

Επίσης, σε Δελτίο Τύπου που εξέδωσε στις 29 Μαϊου του 2020 το Υπουργείο Παιδείας απαντώντας σε σχετικές, για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα, καταγγελίες της αξιωματικής αντιπολίτευσης περί διαρροών στοιχείων, τόνισε ότι “τα στοιχεία έχουν καταχωριστεί οικειοθελώς από τους ίδιους τους εκπαιδευτικούς και χρησιμεύουν, εν γνώσει τους, ως οδηγός για την καταχώριση στοιχείων από τους συναδέλφους τους”.

Ωστόσο, σε ανακοίνωση της ΟΛΜΕ, μερικές ημέρες αργότερα, στις 7 Ιουνίου, διαβάζουμε τα εξής: “Η συγκέντρωση στοιχείων, όπως ονοματεπώνυμα εκπαιδευτικών, σχολικές μονάδες, διάρκεια και συμμετέχοντες των ψηφιακών τάξεων, που τελικά διέρρευσαν, έγινε με προσωπικές τηλεφωνικές επικοινωνίες της Γενικής Γραμματέως του Υπουργείου, η οποία πίεζε τα στελέχη της εκπαίδευσης, όπως μας κατήγγειλαν, να συγκεντρώνουν αυτά τα στοιχεία σε τοπικό επίπεδο ή να τα διαβιβάζουν στο υπουργείο “οικειοθελώς”. Στην ερώτηση πολλών στελεχών, βάσει ποιας εγκυκλίου ή ποιων οδηγιών ζητείται αυτή η καταγραφή, η Γενική Γραμματέας δεν απαντούσε ποτέ”.

Το Υπουργείο ουδέποτε επανήλθε στο θέμα με επίσημη, τουλάχιστον, τοποθέτηση.

Εξ αποστάσεως εκπαίδευση: Πώς οι τρεις εταιρείες έγιναν μία…

Πέραν όμως του ζητήματος των προσωπικών δεδομένων για την εξ αποστάσεως εκπαίδευση στα δημόσια σχολεία, υπάρχουν και άλλα, αναπάντητα, μέχρι σήμερα ερωτηματικά για την όλη διαδικασία.

Να γίνουμε περισσότερο συγκεκριμένοι: Από την ιστοσελίδα του Υπουργείου Παιδείας στις 13 Μαρτίου του 2020 (δύο ημέρες μετά την απόφαση για κλείσιμο όλων των σχολείων της χώρας) μαθαίνουμε την εξής είδηση: “Το καλάθι των διαθέσιμων ψηφιακών εργαλείων για την υλοποίηση της εξ αποστάσεως εκπαίδευσης θα περιλαμβάνει (α) όλες τις προαναφερόμενες, υφιστάμενες ψηφιακές δομές του Υπουργείου, καθώς και τις δικτυακές συνδέσεις και υπηρεσίες του Πανελλήνιου Σχολικού Δικτύου, αλλά και (β) τρεις ψηφιακές πλατφόρμες που παρέχονται δωρεάν προς το Υπουργείο και τους εποπτευόμενους φορείς του από τις εταιρείες CISCO, Google και Microsoft, τις οποίες το Υπουργείο ευχαριστεί θερμά για την ευγενική αυτή παροχή τους”.

Εκτός λοιπόν από τις υφιστάμενες δομές του Υπουργείου, η Νίκη Κεραμέως έχει στη διάθεσή της και άλλες από τρεις διαφορετικές εταιρείες-κολοσσούς του ιδιωτικού τομέα. Οι υπηρεσίες, σημειωτέον, θα παρέχονταν δωρεάν. Θεωρητικά επρόκειτο για μία εξέλιξη που θα έλυνε τα χέρια της Υπουργού και θα χάριζε πολλές και διαφορετικές δυνατότητες. Ακόμα και αν κάποια από τις εταιρείες δήλωνε τελικά αδυναμία συμμετοχής, θα υπήρχαν διαθέσιμες οι υπόλοιπες.

Τα πράγματα όμως δεν εξελίχθηκαν ακριβώς έτσι. Στην πορεία, υπηρεσίες πρόσφερε μόνο μία από τις τρεις εταιρείες, η CΙSCO, ενώ η τύχη των άλλων δύο…αγνοείται. Για το θέμα δεν ακούστηκε στη συνέχεια το παραμικρό. Το Υπουργείο δεν έχει, μέχρι στιγμής, αιτιολογήσει το λόγο για τον οποίο κατέληξε στη συνεργασία με μία εταιρεία (ενώ αρχικά είχε τη δυνατότητα για σύναψη συμφωνίας με τρεις) και δεν έχει δώσει στη δημοσιότητα τη σύμβαση που την δεσμεύει με τη CISCO.

Εκτός αυτού δεν έχει δοθεί στη δημοσιότητα οποιοσδήποτε όρος που αφορά τη δωρεά της εταιρείας προς το ελληνικό δημόσιο για τις ανάγκες της τηλεκπαίδευσης.

Σημαντικό είναι να αναφέρουμε και τα εξής: Κατά την τηλεκπαίδευση θα μπορούσαν, υπό όρους που θα αναλύσουμε, να χρησιμοποιηθούν περισσότερο αποφασιστικά κρατικές ηλεκτρονικές δομές όπως το Πανελλήνιο Σχολικό Δίκτυο. Επιλογή του Υπουργείου όμως αποτέλεσε να δοθεί προτεραιότητα στη συνεργασία με την ιδιωτική εταιρεία CISCO. Προφανώς, για λόγους ταχύτητας, η επιλογή συνεργασίας με τον ιδιωτικό τομέα, μπορεί να χαρακτηριστεί σαφώς λογική.

Δεν μπορεί όμως κανείς να πει το ίδιο για τον ουσιαστικό παραγκωνισμό των κρατικών εργαλείων τα οποία φαίνεται, όχι μόνο με ευθύνη της παρούσας ηγεσίας του Υπουργείου, να έχουν αφεθεί στην τύχη τους. Πηγές της εκπαιδευτικής κοινότητας τόνισαν στο News24/7 ότι το Πανελλήνιο Σχολικό Δίκτυο, υπό την παρούσα δομή του και τις τεχνολογικές δυνατότητές του, δεν μπορούσε να προσφέρει υπηρεσίες είτε ασύγχρονης είτε σύγχρονης τηλεκπαίδευσης.

Αυτό, όπως γίνεται κατανοητό, συνιστά τεράστιο πρόβλημα σε εποχές όπως αυτή που διανύσαμε την άνοιξη κατά την οποία προέκυψε άμεση ανάγκη για εξ αποστάσεως εκπαίδευση σε όλα τα μήκη και πλάτη της χώρας. Η επιλογή της ιδιωτικής εταιρείας ήταν λοιπόν μία από τις λογικές λύσεις που μπορούσαν να επιλεγούν. Η έτερη λογική λύση που δεν επιλέχθηκε είναι η τεχνολογική αναβάθμιση του Πανελλήνιου Σχολικού Δικτύου.

Οι υπόλοιπες ευρωπαϊκές χώρες χρησιμοποίησαν, κατά κύριο λόγο, τις κρατικές δομές για να προσφέρουν τηλεκπαίδευση στους μαθητές τους και έτσι ήταν πιο εύκολο να λύσουν και το πρόβλημα της Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Στην Ελλάδα η επίλυση αυτού του προβλήματος δεν επιτεύχθηκε ποτέ. Και αυτό είναι μία αναντίρρητη πραγματικότητα.

Τέλος, προκύπτει και ένα σημαντικό ερώτημα και αυτό αφορά το πώς προετοιμάζεται το Υπουργείο για ένα πιθανό δεύτερο κύμα της πανδημίας και κατά συνέπεια για ένα δεύτερο μαζικό κλείσιμο των σχολείων και αν θα προτιμήσει να αναβαθμίσει αυτά τα εργαλεία που έχει ως Υπουργείο στη διάθεσή του ή θα περιμένει πάλι κάποια δωρεά από τον ιδιωτικό τομέα.