kerameos
ΛΙΑΚΟΣ ΓΙΑΝΝΗΣ / INTIME NEWS
Η 4η εντολή: Η κ.Kεραμέως αποφάσισε τελικά να συνεργαστεί με την Αρχή Προστασίας Δεδομένων και τώρα καλείται να εξετάσει τον τρόπο με τον οποίο διασφαλίζονται οι διαβιβάσεις δεδομένων εκτός Ε.Ε από τη Cisco

Σε νέες συζητήσεις και ίσως διαπραγματεύσεις με τη Cisco για την πλατφόρμα της τηλεκπαίδευσης και τα δεδομένα των μαθητών και εκπαιδευτικών, οδηγείται το Υπουργείο Παιδείας με βάση  την 4η εντολή της Αρχής Προστασίας Δεδομένων.

Ηδη, όπως ανακοινώσε χτες η ΑΠΔΠΧ, η κ.Κεραμέως, αποφάσισε τελικά να συνεργαστεί μαζί της αντί να προσφύγει στη δικαιοσύνη εναντίον  της όπως είχε αρχικά υπαινιχθεί, και εφάρμοσε τις 3 από τις 4 εντολές της αρχής -αν και τεχνικές λεπτομέρειες δεν έχουν γίνει ακόμα γνωστές.

Η κ.Κεραμέως όμως, εφόσον αποφάσισε να συνεργαστεί - o ΣΥΡΙΖΑ το αποκάλεσε ομολογία ενοχής-   απομένει να εφαρμόσει και την τέταρτη εντολή, με προθεσμία 2 μήνες ακόμα.

Συνεπώς μέχρι τα μέσα Μαρτίου θα πρέπει να γίνουν συζητήσεις με την εταιρεία Cisco προκειμένου το υπουργείο «να αποδείξει και τεκμηριώσει με μια λεπτομερή έκθεση ότι η προβληματική νομοθεσία δεν θα εφαρμοστεί στην πράξη στα διαβιβαζόμενα δεδομένα», να διασφαλίσει δηλαδή ότι τα δεδομένα χιλιάδων μαθητών και εκπαιδευτικών από την τηλεκπαίδευση, δεν θα διαβιβάζονται εκτός ΕΕ.

Ας δούμε αναλυτικά: Με την απόφαση της, η ΑΠΔΠΧ έδωσε εντολή στο Υπουργείο Παιδείας και Θρησκευμάτων, ως υπεύθυνο επεξεργασίας, όπως καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του κανονισμού και συγκεκριμένα εντός δύο (2) μηνών από την παραλαβή της παρούσας:

Η πρώτη εντολή

α) Αντιμετωπίσει τις παραβάσεις των διατάξεων του άρθρου 6 του ΓΚΠΔ, σε συνδυασμό με το άρθρο 4 παρ. 5 του ν. 3471/2006 με τον τρόπο που αναλύεται στις σκέψεις 11 έως και 16 της παρούσας. Το άρθρο 6 αφορά στη  Νομιμότητα της επεξεργασίας δεδομένων. Από τις σκέψεις ειδική σημασία έχει η 12η, που αναφέρει μεταξύ άλλων τι γίνεται με τα δεδομένα των μαθητών. Ας δούμε ορισμένα στοιχεία που αναφέρει:

Τα δεδομένα που συλλέγονται

Κατά την επεξεργασία συλλέγονται οι εξής κατηγορίες δεδομένων:

Α) Δεδομένα πληροφοριών χρήστη: όνομα (name), διεύθυνση email, κωδικός πρόσβασης, λογισμικό φυλλομετρητή (browser), τηλεφωνικός αριθμός (προαιρετικά), διεύθυνση ταχυδρομείου (προαιρετικά), εικονίδιο avatar (προαιρετικό), πληροφορίες χρήστη που περιλαμβάνονται στο φάκελό του (σε περίπτωση συγχρονισμού), μοναδικό αναγνωριστικό χρήστη (UUID).

B) Δεδομένα υπολογιστών και χρήσης: διεύθυνση IP, αναγνωριστικό User Agent, τύπος υλισμικού, τύπος και έκδοση λειτουργικού συστήματος, έκδοση προγράμματος πελάτη, διευθύνσεις IP δικτυακής διαδρομής, διεύθυνση MAC χρήστη (όπου εφαρμόζεται), έκδοση υπηρεσίας, ενέργειες που έγιναν, γεωγραφική περιοχή, πληροφορίες συνόδου συνάντησης (Session Information π.χ. ημέρα και ώρα, συχνότητα, μέση και πραγματική διάρκεια, ποσότητα, ποιότητα, δικτυακή δραστηριότητα, και δικτυακή συνδεσιμότητα), αριθμό συναντήσεων, αριθμό συνόδων με και χωρίς διαμοιρασμό οθόνης, αριθμό συμμετεχόντων, ανάλυση οθόνης, μέθοδος σύνδεσης, απόδοση, πληροφορίες διάγνωσης και αντιμετώπισης προβλημάτων, πληροφορίες του φιλοξενούντα (host) τη συνάντηση για σκοπούς χρέωσης (όνομα και ID host, URL συνάντησης, ώρα αρχής/τέλους συνάντησης), τίτλος συνάντησης, πληροφορία συμμετεχόντων η οποία περιλαμβάνει διευθύνσεις email, διευθύνσεις IP, ονόματα χρήστη, τηλεφωνικούς αριθμούς, πληροφορίες συσκευής δωματίου (room device information). 

Γ) Πληροφορίες που δημιουργούνται από τον χρήστη: εγγραφές συνάντησης (αν έχουν ενεργοποιηθεί), μεταγραφές εγγραφών συνάντησης (προαιρετικό, μόνο αν ενεργοποιηθεί), μεταφορτωμένα αρχεία (για το Webex Events and Training μόνο).

Οι χρόνοι τήρησης

είναι ως εξής για κάθε κατηγορία: α. για ενεργές συνδρομές: όσο είναι ενεργή η συνδρομή. Για ληγμένες συνδρομές: Τα δεδομένα διαγράφονται εκτός από τα Name και UUID, τα οποία διατηρούνται για 7 έτη ως μέρος των επιχειρηματικών αρχείων της Cisco και διατηρούνται ώστε να η εταιρεία να συμμορφώνεται με οικονομικές και ελεγκτικές απαιτήσεις (όπως και τα δεδομένα που αφορούν χρεώσεις). β. Διατηρούνται για 3 έτη, για το αρχείο που σχετίζεται με την παράδοση των υπηρεσιών της Cisco. Οι πληροφορίες αυτές χρησιμοποιούνται για την εξαγωγή αναλυτικών στοιχείων και για τη στατιστική μέτρηση της απόδοσης αλλά ψευδωνυμοποιημένες. Οι πληροφορίες χρέωσης (billing) που τηρούνται για 7 έτη.) γ. Οι πληροφορίες αυτές διατηρούνται έως 60 ημέρες μετά τη λήξη της υπηρεσίας. Σε σχέση με τα μέτρα ασφάλειας, τα δεδομένα κατηγοριών α και γ κρυπτογραφούνται κατά τη μετάδοση και κατά την αποθήκευση, ενώ της κατηγορίας β μόνο κατά την αποθήκευση.

Από τις πληροφορίες που παρέχει η Cisco, τα ανωτέρω δεδομένα χρησιμοποιούνται για τους παρακάτω σκοπούς:

α και γ. Ανάλογα με τους σκοπούς του πελάτη της Cisco (εν προκειμένω του ΥΠΑΙΘ) για τη διαχείριση των τηλεδιασκέψεων και για την υποστήριξη της παροχής της υπηρεσίας από τη Cisco. β. Οι σκοποί είναι παρόμοιοι, εκτός από το ότι στους σκοπούς προστίθεται η βελτίωση της παρεχόμενης από τη Cisco υπηρεσίας.

Συνεπώς, σε συνδυασμό με όσα αναφέρονται στην ενότητα 2.4 της ΕΑΠΔ, προκύπτουν οι εξής σκοποί και υπεύθυνοι επεξεργασίας:

Σκοπός 1ος: Η παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης, για την ικανοποίηση της υποχρέωσης του κράτους να παρέχει εκπαίδευση, με υπεύθυνο επεξεργασίας το ΥΠΑΙΘ και εκτελούντες την επεξεργασία τη CISCO και το ITYE Διόφαντος.

Σκοπός 2ος: η υποστήριξη της παροχής σύγχρονης εξ αποστάσεως εκπαίδευσης, με υπεύθυνο επεξεργασίας το ΥΠΑΙΘ και εκτελούντες CISCO και ITYE Διόφαντος. Ο σκοπός αυτός μπορεί να θεωρηθεί ως επιμέρους σκοπός του 1ου.

Σκοπός 3ος: Η εξαγωγή συμπερασμάτων σχετικά με την τηλεκπαίδευση, ως στατιστικός και ερευνητικός σκοπός, με υπεύθυνο επεξεργασίας το ΥΠΑΙΘ και εκτελούντα την επεξεργασία τη CISCO.

Σκοπός 4ος: Η βελτίωση της παρεχόμενης από τη Cisco υπηρεσίας, για την οποία προκύπτει ότι υπεύθυνος επεξεργασίας μπορεί να είναι η Cisco.

Σκοπός 5ος: Η συμμόρφωση της Cisco με οικονομικές και ελεγκτικές απαιτήσεις, συμπεριλαμβανομένης της χρέωσης των υπηρεσιών, με υπεύθυνο επεξεργασίας τη Cisco.

Η δεύτερη εντολή

β) Αντιμετωπίσει τις παραβάσεις των διατάξεων του άρθρου 13, σε συνδυασμό με το άρθρο 5 παρ. 1 α του ΓΚΠΔ, το άρθρο 12 και το άρθρο 37 παρ. 7 ΓΚΠΔ, όπως αναλύονται στις σκέψεις 17 και 21 της παρούσας, τροποποιώντας τη διαδικασία και το περιεχόμενο της παρεχόμενης ενημέρωσης.

Άρθρο 12 Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων

Άρθρο 13 Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων

Η τρίτη εντολή

γ) Αντιμετωπίσει τις παραβάσεις των διατάξεων του άρθρου 25 παρ. 1 του ΓΚΠΔ με τον τρόπο που αναλύεται στις σκέψη 18 της παρούσης.

Τι λέει το αρθρο 25: Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού 1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.

Η σκέψη 18 καταλήγει: Συνεπώς, προκύπτει ότι το ΥΠΑΙΘ ως υπεύθυνος επεξεργασίας,  δεν εφαρμόζει κατά τη στιγμή της επεξεργασίας κατάλληλα τεχνικά και οργανωτικά μέτρα για την εφαρμογή αρχών προστασίας των δεδομένων και την ενσωμάτωση των απαραίτητων εγγυήσεων. Τα εφαρμοζόμενα μέτρα βρίσκονται όμως προς τη σωστή κατεύθυνση και πρέπει να συμπληρωθούν, με τρόπο που να είναι διαθέσιμος σε κάθε εκπαιδευτικό, ενώ πρέπει να εξασφαλιστεί ότι το σύνολο των εκπαιδευτικών που εμπλέκονται στη διαδικασία εξ αποστάσεως εκπαίδευσης έχουν λάβει ελάχιστη ενημέρωση ώστε να εξασφαλίζεται η μείωση των κινδύνων.

Η τέταρτη εντολή

Τι απομένει; Η ΑΔΠΧ ζήτησε από το ΥΠΑΙΘ εντός τεσσάρων (4) μηνών από την παραλαβή της παρούσας να αντιμετωπίσει τις παραβάσεις των διατάξεων του άρθρου 46 του ΓΚΠΔ με τον τρόπο που αναλύεται στις σκέψη 20 της απόφασης. Σε αυτό εχει κρίνει ότι «δεν εξασφαλίζεται επαρκές επίπεδο προστασίας προσωπικών δεδομένων. Επομένως, κάθε διαβίβαση πρέπει να εξετάζεται ξεχωριστά ως προς τη νομιμότητά της», συνεπώς το υπουργείο καλέιται να ζητήσει τις κατάλληλες εγγυήσεις απο την εταιρεία- πάροχο της πλατφόρμας τηλεκπαίδευσης.

Το άρθρο 46 ονομάζεται Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις και μεταξύ άλλων προβλέπει ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό μόνο εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει παράσχει κατάλληλες εγγυήσεις και υπό την προϋπόθεση ότι υφίστανται εκτελεστά δικαιώματα και αποτελεσματικά ένδικα μέσα για τα υποκείμενα των δεδομένων.

Η σκέψη 20 αναφέρει μεταξύ άλλων ότι  ...σε σχέση με το ζήτημα της διαβίβασης δεδομένων εκτός ΕΟΧ, από τα Privacy Data Sheets της Cisco για το Webex Meetings (ενότητα 3, έκδοση 4.6 – Απρ 2021) προκύπτει ότι οι «πληροφορίες που δημιουργούνται από τον χρήστη» τηρούνται μόνο στην Ευρώπη. Όμως, οι πληροφορίες κατηγοριών Α και Β (δεδομένα πληροφοριών χρήστη συμπεριλαμβανομένων των δεδομένων χρέωσης και δεδομένα υπολογιστών και χρήσης) τηρούνται στις ΗΠΑ. Το Υπουργείο αναφέρει ότι η Cisco χρησιμοποιεί διάφορους μηχανισμούς για να εξασφαλίσει τις διαβιβάσεις δεδομένων σε χώρες εκτός Ε.Ε. και παραπέμπει ειδικά σε δεσμευτικούς εταιρικούς κανόνες (οι οποίοι, όπως προκύπτει από την έρευνα της Αρχής, έχουν εγκριθεί μεν από την Ολλανδική εποπτική αρχή, αλλά δεν αφορούν τις υπό εξέταση δραστηριότητες επεξεργασίας δεδομένων ούτε μπορεί να εφαρμοστούν για το ΥΠΑΙΘ, αλλά μόνο για διαβιβάσεις δεδομένων μεταξύ εταιρειών που ανήκουν στον όμιλο της Cisco) και τυποποιημένες ρήτρες προστασίας δεδομένων που έχουν εκδοθεί από την Ε. Επιτροπή. Εν προκειμένω, αν και το ΥΠΑΙΘ δεν το επισημαίνει στο υπόμνημά του, εφαρμοστέες μπορεί να είναι μόνο οι τυποποιημένες συμβατικές ρήτρες οι οποίες περιλαμβάνονται στο εκάστοτε «MASTER DATA PROTECTION AGREEMENT» που αποτελεί αναπόσπαστο τμήμα των συμβάσεων δωρεάν παραχώρησης της πλατφόρμας Webex. Με βάση τις ρήτρες αυτές, προκύπτει ότι πραγματοποιείται διαβίβαση δεδομένων από το ΥΠΑΙΘ ως υπεύθυνο επεξεργασίας, προς την εδρεύουσα στις ΗΠΑ Cisco. Οι δραστηριότητες επεξεργασίας εξειδικεύονται στο παράρτημα των ρητρών στους εξής επιμέρους σκοπούς: εγγραφή του πελάτη στην υπηρεσία, εμφάνιση της εικόνας avatar ενός χρήστη σε άλλους χρήστες, παροχή υποστήριξης, κατανόηση του τρόπου λειτουργίας, διάγνωση τεχνικών θεμάτων, βελτίωση της υπηρεσίας με ανάλυση συγκεντρωτικών στοιχείων, απάντηση σε αιτήματα πελάτη, παροχή προαιρετικών συστατικών της υπηρεσίας, επίβλεψη ποιότητας της υπηρεσίας, ανάλυση της υπηρεσίας. Είναι σαφές ότι η εταιρεία Cisco (εν προκειμένω ο όμιλος και οι εταιρείες του) υπόκειται στο δίκαιο των ΗΠΑ, συνεπώς, κατ’ αρχήν, δεν εξασφαλίζεται επαρκές επίπεδο προστασίας προσωπικών δεδομένων. Επομένως, κάθε διαβίβαση πρέπει να εξετάζεται ξεχωριστά ως προς τη νομιμότητά της. 

Και καταλήγει: Στην συγκεκριμένη περίπτωση απουσιάζει τέτοια εμπεριστατωμένη μελέτη. Η αναφορά ότι η «CISCO HELLAS A.E.» ανέλαβε συμβατικά τη δέσμευση να μη διαβιβάζει εκτός EE/EOX τα προσωπικά δεδομένα που επεξεργάζεται για λογαριασμό του Υπουργείου χωρίς να έχει προηγουμένως ενημερώσει, απλά επαναλαμβάνει την υποχρέωση του νόμου, χωρίς να παρέχει τεκμήρια για τη μη εφαρμογή της νομοθεσίας των ΗΠΑ . Γίνεται αναφορά σε αξιολόγηση από τον Όμιλο CISCO (που βασίζεται ιδίως σε τυποποιημένες συμβατικές ρήτρες και δεσμευτικούς εταιρικούς κανόνες διαβιβάσεις με τις οποίες εξασφαλίζεται η εφαρμογή των δικαιωμάτων των υποκειμένων και κατά την οποία ελήφθησαν υπ' όψη, τα μέτρα προστασίας και η διαβεβαίωση πως μέχρι σήμερα ουδέποτε έχει υποβληθεί στις εδρεύουσες στις ΗΠΑ εταιρείες του Ομίλου αίτημα για παροχή/αποκάλυψη δεδομένων) η οποία όμως δεν έχει παρασχεθεί, ενώ είναι σαφές ότι οι δεσμευτικοί εταιρικοί κανόνες δεν είναι εφαρμοστέοι στην υπό εξέταση περίπτωση. Η αναφορά σε διαβεβαίωση πως μέχρι σήμερα ουδέποτε έχει υποβληθεί στις εδρεύουσες στις ΗΠΑ εταιρείες του Ομίλου αίτημα για παροχή/αποκάλυψη δεδομένων δεν επαρκεί, ενώ δεν είναι τεκμηριωμένη σε πληροφορίες που είναι διαθέσιμες, δημόσια ή με άλλο επαληθεύσιμο τρόπο. Επομένως, το Υπουργείο οφείλει να αποδείξει και τεκμηριώσει με μια λεπτομερή έκθεση ότι η προβληματική νομοθεσία δεν θα εφαρμοστεί στην πράξη στα διαβιβαζόμενα δεδομένα ή/και στον εισαγωγέα και, κατά συνέπεια, ότι η νομοθεσία αυτή δεν θα εμποδίσει τον εισαγωγέα να εκπληρώσει τις υποχρεώσεις του οι οποίες απορρέουν από το άρθρο 46 του ΓΚΠΔ. Περαιτέρω, κατά τη μελέτη αυτή το Υπουργείο οφείλει να εξετάσει και τον τρόπο με τον οποίο διασφαλίζονται οι διαβιβάσεις δεδομένων εκτός ΕΟΧ μετά την έκδοση της Εκτελεστικής Απόφασης (ΕΕ) 2021/914 της Επιτροπής της 4ης Ιουνίου 2021 «σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου». Επισημαίνεται ότι με βάση το άρθρο 4 της εν λόγω απόφασης, οι αποφάσεις 2001/497/ΕΚ και 2010/87/ΕΕ καταργούνται από τις 27 Σεπτεμβρίου 2021 και οι συμβάσεις που έχουν συναφθεί πριν από τις 27 Σεπτεμβρίου 2021 με βάση τις αποφάσεις αυτές θεωρείται ότι παρέχουν κατάλληλες εγγυήσεις έως τις 27 Δεκεμβρίου 2022, υπό την προϋπόθεση ότι οι πράξεις επεξεργασίας που αποτελούν αντικείμενο της σύμβασης παραμένουν αμετάβλητες και ότι η επίκληση των ρητρών αυτών διασφαλίζει ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα υπόκειται σε κατάλληλες εγγυήσεις.

Ολη η απόφαση της ΑΠΔΠΧ

Όλες οι σημαντικές και έκτακτες ειδήσεις σήμερα

Ποια είναι η ευχή της μάνας με 6 λέξεις και μόνο φωνήεντα

Μοριοδοτούμενο σεμινάριο Ειδικής Αγωγής (ΕΛΜΕΠΑ) με μόνο 50Є εγγραφή- αιτήσεις ως 19/3

2ος Πανελλήνιος Γραπτός Διαγωνισμός ΑΣΕΠ: Τα 2 μαθήματα εξέτασης και η ύλη

Παν.Πατρών: Μοριοδοτούμενο σεμινάριο ΕΙΔΙΚΗ ΑΓΩΓΗΣ με μόνο 65Є εγγραφή

Proficiency και Lower μόνο 95 ευρώ σε 2 μόνο ημέρες στα χέρια σας (ΧΩΡΙΣ προφορικά, ΧΩΡΙΣ έκθεση!)

ΕΥΚΟΛΕΣ ΠΙΣΤΟΠΟΙΗΣΕΙΣ ΙΣΠΑΝΙΚΩΝ και ΙΤΑΛΙΚΩΝ για εκπαιδευτικούς - Πάρτε τις άμεσα

Google news logo Ακολουθήστε το Alfavita στo Google News Viber logo Ακολουθήστε το Alfavita στo Viber

σχετικά άρθρα

συλλήψεις ΑΠΘ
Απίστευτη προβοκάτσια στο ΑΠΘ: Το "πυρηνικό ριφιφί" στο ΑΠΘ ήταν κατασκεύασμα των ΜΜΕ - Καμιά παραβίαση δεν έγινε!
"Πυρηνικό ριφιφί" στο ΑΠΘ ή ένας ακόμη τρόπος για να δικαιολογηθούν οι δεκάδες συλλήψεις φοιτητών;  «Δεν παραβιάστηκε ο χώρος στον οποίο φυλάσσεται ο...
Απίστευτη προβοκάτσια στο ΑΠΘ: Το "πυρηνικό ριφιφί" στο ΑΠΘ ήταν κατασκεύασμα των ΜΜΕ - Καμιά παραβίαση δεν έγινε!
ΠΙΕΡΡΑΚΑΚΗΣ
Αποκάλυψη Πιερρακάκη: Ερχονται προσλήψεις εκπαιδευτικών με ... «συνταγή» ΟΟΣΑ!
Πιερρακάκης: «Ο τρόπος διορισμού των εκπαιδευτικών, είναι κάτι το οποίο εξετάζουμε αυτό το διάστημα. Θα επανέλθουμε στην πορεία της τετραετίας»
Αποκάλυψη Πιερρακάκη: Ερχονται προσλήψεις εκπαιδευτικών με ... «συνταγή» ΟΟΣΑ!