Παρατηρήσεις της Homo Digitalis σχετικά με τη σύμβαση του Υπουργείου Παιδείας Θρησκευμάτων με την εταιρεία CISCO για την παροχή εξ αποστάσεως εκπαίδευσης
Μετά τη δημοσίευση τόσο της αρχικής σύμβασης για την παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης μεταξύ του Υπουργείου Παιδείας και Θρησκευμάτων (εφεξής Υπ.Παιδείας) και της εταιρείας Cisco, όσο και των μεταγενέστερων τροποποιήσεων της, η Homo Digitalis γνωστοποιεί τις ακόλουθες παρατηρήσεις της για την προστασία προσωπικών δεδομένων όπως κατοχυρώνεται από τη σύμβαση και κατά τη διαδικασία παροχής των υπηρεσιών τηλεκπαίδευσης. Σημειώνεται εκ των προτέρων ότι οι παρατηρήσεις σχετίζονται αποκλειστικά με το πεδίο δράσης της οργάνωσης, δηλαδή την προστασία των ψηφιακών δικαιωμάτων και δεν εκτείνονται σε παρατηρήσεις επί της διαδικασίας υπογραφής της σύμβασης ή της μετέπειτακοινοποίησης της.
Ειδικότερα, οι παρατηρήσεις της Homo Digitalis έχουν ως εξής:
Α) Γενικότερη Προχειρότητα ως προς την προστασία προσωπικών δεδομένων
Τοποθετώντας τα γεγονότα σε μία σειρά, παρατηρείται ότι η σύμβαση του Υπουργείου τον Μάρτιο του 2020, ενώ η πρώτη Μελέτη Εκτίμησης Αντικτύπου εκπονήθηκε στις 15 Μαΐου 2020, δηλαδή δύο μήνες αργότερα.
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) σημείωσε πολλές και σημαντικές αστοχίες στη Μελέτη Εκτίμησης Αντικτύπου με τη Γνωμοδότηση 4/2020 τον Σεπτέμβριο του 2020, πέντε μήνες μετά τη θέση της σύμβασης σε ισχύ.Η ίδια Μελέτη Εκτίμησης Αντικτύπου τροποποιήθηκε και έλαβε την τελική της μορφή στις αρχές Δεκεμβρίου 2020, δηλαδή 9 μήνες μετά την αρχική υπογραφή της σύμβασης και 3 μήνες μετά τη σχετική Γνωμοδότηση της ΑΠΔΠΧ.
Το παραπάνω χρονικό νήμα και οι αντίστοιχες τροποποιήσεις της Μελέτης Εκτίμησης Αντικτύπου και της σύμβασης (με πρόσθετες τροποποιητικές πράξεις), δίνουν την εικόνα μίας ανεπίτρεπτης χρονικήςκαθυστέρησης αναφορικά με τον περιορισμό των κινδύνων για τα προσωπικά δεδομένα των χρηστών.
Υπενθυμίζουμε ότι η εκπόνηση Μελέτης Εκτίμησης Αντικτύπου θα πρέπει να λάβει χώρα από τον υπεύθυνοεπεξεργασίας πριν από την έναρξη των πράξεων επεξεργασίας και όχι παράλληλα ή μετά από αυτές, όπωςπροβλέπεται ρητά ως υποχρέωση στο άρθρο 35 του Γενικού Κανονισμού Προστασίας Δεδομένων (εφεξής ΓΚΠΔ).
Επιπλέον, παρότι έγινε παραμετροποίηση της πλατφόρμας για τις ανάγκες της σύγχρονης τηλεκπαίδευσης (καθότι η πλατφόρμα Webex είναι κατ’ αρχήν εργαλείο τηλεδιάσκεψης και όχι τηλεκπαίδευσης), δεν έγιναν οι αντίστοιχες αλλαγές στο κείμενο της σύμβασης και στα παραρτήματα που τη συνοδεύουν.
Έτσι συναντάμε για παράδειγμα στο App.1 των Τυποποιημένων Ρητρών Προστασίας (SCCs) τον όρο “employees”, όταν αναφέρεται στα δεδομένα χρηστών, ενώ η επεξεργασία στη συγκεκριμένη περίπτωση αφορά σε εκπαιδευτικούς και μαθητές. Επίσης, σύμφωνα με τον όρο 4(d)(vii) στο Attachment B, του MasterData Protection Agreement προβλέπεται ότι η Cisco “δε θα εκμισθώσει, πωλήσει, διανείμει ή με άλλο τρόπο επιβαρύνει τα προσωπικά δεδομένα, εκτός αν συμφωνηθεί από κοινού με ξεχωριστή σύμβαση”. Ο συγκεκριμένος όρος μάλλον έχει παραμείνει από την εξυπηρέτηση άλλων συμβάσεων και όχι της συγκεκριμένης, εκτός αν έχει όντως συμφωνηθεί τέτοιος όρος με το Υπουργείο.
Β) Παραβίαση της αρχής της διαφάνειας
Η προστασία προσωπικών δεδομένων και των δικαιωμάτων των υποκειμένων των δεδομένων φαίνεται να έχει αντιμετωπιστεί ως δευτερεύον ζήτημα και από το γεγονός ότι το Υπ.Π&Θ, ούτε πριν, ούτε κατά τα αρχικά στάδια της διαδικασίας τηλεκπαίδευσης, ούτε μετέπειτα, έλαβε τα απαραίτητα μέτρα για να ικανοποιήσει τις απαιτήσεις διαφάνειας που επιτάσσει ο ΓΚΠΔ (Άρθρο 12-14). Όπως επεσήμανε και η ΑΠΔΠΧ η εμπλοκή των υποκειμένων της επεξεργασίας και άλλων εμπείρων φορέων στο στάδιο σύνταξης της Μελέτης Εκτίμησης Αντικτύπου, θα είχε ως αποτέλεσμα αυξημένη διαφάνεια που θα μπορούσε να οδηγήσει σε αυξημένη εμπιστοσύνη των υποκειμένων των δεδομένων στις πράξεις επεξεργασίας. Κάτιτέτοιο δεν έγινε.
Περαιτέρω, με δεδομένο ότι η Μελέτη Εκτίμησης Αντικτύπου είναι ένα «ζωντανό» κείμενο (όπως άλλωστε αναφέρει και στο κείμενο της το Υπουργείο), η διαδικασία διατύπωσης γνώμης των υποκειμένων (ή των εκπροσώπων τους) θα μπορούσε να έχει αρχικά συντμηθεί, λόγω του επείγοντος χαρακτήρα του μέτρου της τηλεκπαίδευσης, αλλά μπορούσε σε κάθε περίπτωση να ζητηθεί σε επόμενο στάδιο, ειδικά από τη στιγμή που η τελευταία τροποποίηση της Μελέτης Εκτίμησης Αντικτύπου πραγματοποιήθηκε 9 μήνες μετά τη σύναψη της σύμβασης.
Εκτός των παραπάνω το Υπουργείο, δεν φαίνεται να έχει προβεί σε ενημέρωση για την επεξεργασία δεδομένων προς τους χρήστες σύμφωνα με τα αρ.12-14 ΓΚΠΔ και αρ. 31-32 του ν.4624/2019, πέρα από τις οδηγίες σύνδεσης που παρέχονται στην ιστοσελίδα του. Σημειώνεται ότι η δημοσιοποίηση της σύμβασης δεν ικανοποιεί το συγκεκριμένο σκοπό. Συγκεκριμένα, το Υπουργείο έχει την υποχρέωση να παρέχει στα υποκείμενα των δεδομένων (εκπαιδευτικούς και μαθητές) κάθε πληροφορία που αφορά την επεξεργασία των προσωπικών δεδομένων τους στο πλαίσιο της τηλεκπαίδευσης σε συνοπτική, διαφανή, κατανοητή καιεύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως κατά την παρούσα επεξεργασία που σχετίζεται ειδικά με παιδιά.
Για να εκπληρώσει αυτή του την υποχρέωση, το Υπουργείο θα έπρεπε να ενημερώσει μαθητές και εκπαιδευτικούς με σαφή και διαφανή τρόπο σε απλή γλώσσα για την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας, τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων του Υπουργείου, τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία τους και τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα. Ακόμη, προκειμένου να πληρούνται τα κριτήρια της διαφανούς και θεμιτής επεξεργασίας, το Υπουργείο θα έπρεπε να ενημερώσει τους μαθητές και τους εκπαιδευτικούς για το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα και την ύπαρξη δικαιώματος υποβολής αιτήματος για πρόσβαση στα προσωπικά τους δεδομένα, μεταξύ άλλων.
Το Υπουργείο θα μπορούσε να έχει αναρτήσει ένα σχετικό κείμενο δημόσια προσβάσιμο σε όλους ή ακόμη να δημιουργήσει οπτικοακουστικό υλικό, το οποίο όντας πολύ φιλικό προς τους μαθητές και τους εκπαιδευτικούς, θα τους ενημέρωνε με σαφήνεια για όλα τα παραπάνω στοιχεία. Εναλλακτικά, το Υπουργείο θα μπορούσε να ενημερώσει την πολιτική προστασίας προσωπικών δεδομένων, όπως αυτή έχει αναρτηθεί στην ιστοσελίδα του Πανελλήνιου Σχολικού Δικτύου, προκειμένου να υπάρχει ειδική ενότηταπου να ενημερώνει ειδικά τα υποκείμενα των δεδομένων σχετικά με τις υπηρεσίες τηλεκπαίδευσης στο πλαίσιο της σύμβασης με τη Cisco. Παρόλα αυτά, το Υπουργείο δεν έχει έως και σήμερα πραγματοποιήσει τις ανωτέρω υποχρεώσεις του. Υπό αυτό το πρίσμα και για τους σκοπούς της περαιτέρω διαφάνειας της επεξεργασίας προσωπικών δεδομένων, το Υπουργείο θα μπορούσε επίσης να δημοσιεύσει και την
Συμφωνία για την Επεξεργασία Δεδομένων που πρέπει να υπάρχει σε ισχύ μεταξύ του Υπουργείου και του Ι.Τ.Υ.Ε. Διόφαντος, το οποίο εν προκειμένω λειτουργεί ως Εκτελών την Επεξεργασία, βάσει της τροποποιητικής σύμβασης στοιχείο 2.1 (4/12/2020), και παρέχει δεδομένα στη Cisco.
Γ) Περιορισμένη ασφάλεια εξαιτίας των κωδικών
H Cisco είναι μία εταιρεία εγνωσμένου παγκόσμιου κύρους και τα μέτρα ασφαλείας που λαμβάνει για τα συστήματά της φαίνεται να είναι εκτενή. Ωστόσο, από την εμπειρία της Homo Digitalis, τα μεγαλύτερα ζητήματα ασφαλείας ανακύπτουν συνήθως από τους ίδιους τους χρήστες. Εν προκειμένω, αν και στοAttachment A Information Security Exhibit, σελ.3, παρ g., αναφέρεται ότι “passwords will change regularly,every 180 days” και “passwords will conform to strong password control parameters”, η εν λόγω απαίτηση δεν τηρείται και παραβιάζεται συνεχώς λόγω του (πραγματικού) τρόπου με τον οποίο γίνεται η ταυτοποίηση τόσο των εκπαιδευτικών όσο και των μαθητών.
Σύμφωνα με τις οδηγίες που έχει εκδώσει το Υπουργείο Παιδείας [στη σελίδα https://webex.sch.gr/docs.php και συγκεκριμένα στο αρχείο https://webex.sch.gr/docs/Cisco_webex_App_Windows.pdf για εκπαιδευτικούς: εγκατάσταση και χρήση της εφαρμογής Cisco Webex Meetings για υπολογιστές], ο εκπαιδευτικός συνδέεται στην υπηρεσία μέσω του συστήματος ταυτοποίησης χρηστών του Πανελλήνιου Σχολικού Δικτύου (ΠΣΔ). Η ταυτοποίηση στο εν λόγω σύστημα είναι αδύναμη και δε συνάδει με κανένα τρόπο με τις σύγχρονες καλές πρακτικές ισχυρής ταυτοποίησης χρηστών. Οι κωδικοί των χρηστών δεν αλλάζουν –όπως προτείνει και η σύμβαση- , οι απαιτήσεις για ισχυρούς κωδικούς είναι οι ελάχιστες δυνατές, ενώ δεν υπάρχει η δυνατότητα για ταυτοποίηση πολλαπλών παραγόντων (multi-factor authentication) σε περίπτωση που θα ήθελε να τηχρησιμοποιήσει το Υπουργείο.
Τελικά, το αποτέλεσμα είναι ότι οι εν λόγω λογαριασμοί των εκπαιδευτικών είναι ευάλωτοι ακόμα και σε απλές επιθέσεις παραβίασης ή υποκλοπής πιστοποιητικών ταυτοποίησης, αφήνοντας κατ’ επέκταση ευάλωτα σε επιθέσεις τα προσωπικά δεδομένα που διαχειρίζεται η εφαρμογή Webex. Τυχόν παραβίαση της ασφάλειας του συστήματος σημαίνει ότι παραβιάζεται η εμπιστευτικότητα και η ακεραιότητα των προσωπικών δεδομένων που συλλέγονται από τη Cisco βάσει της σύμβασης.
Δ) Δεδομένα Τηλεμετρίας και πιθανές προκλήσεις για τα προσωπικά δεδομένα
Σχετικά με τα δεδομένα τηλεμετρίας, δεν ορίζεται σαφώς στη σύμβαση τι περιλαμβάνει ο όρος, καθώς ο ορισμός που παρέχεται στο σχετικό γλωσσάριο από τη CISCO είναι αρκετά γενικός. Αυτός ο γενικός ορισμός δημιουργεί ευλόγως απορίες και σε συνδυασμό με τις προβλέψεις του Master Data Protection Agreement (Attachment C, παρ. 8) με βάση το οποίο η Cisco έχει το δικαίωμα να αποκαλύψει δεδομένα τηλεμετρίας μαζί με δεδομένα υποστήριξης σε τρίτους, υπό την προϋπόθεση ότι τα δεδομένα αυτά είναι ανωνυμοποιημένα (de-identified στο αγγλικό κείμενο) και δεν μπορούν να οδηγήσουν στην ταυτοποίηση κανενός φυσικού προσώπου.
Ακόμη, ο χρόνος διατήρησης των δεδομένων χρήσης της εφαρμογής (εκ των οποίων πολλές κατηγορίες δεδομένων θα μπορούσαν να θεωρηθούν ως δεδομένα τηλεμετρίας) για 7 έτη σε ψευδωνυμοποιημένη μορφή δεν αιτιολογείται επαρκώς (βλέπετε σημείο Ε κάτωθι).
Επομένως, το συγκεκριμένο σημείο χρήζει διευκρίνησης από τον Υπεύθυνο Επεξεργασίας προκειμένου να αποσαφηνιστεί ο όρος «δεδομένα τηλεμετρίας» και να υπάρχει ασφαλής απάντηση ως προς την ακριβή επεξεργασία των δεδομένων των χρηστών. Σκοπός είναι να αποσαφηνιστεί ότι σημαντικά δεδομένα που θα μπορούσαν να οδηγήσουν στην ταυτοποίηση των χρηστών, όπως π.χ. η διεύθυνση Media Access Control -ΜΑC, δεν συμπεριλαμβάνονται στα δεδομένα τηλεμετρίας.
Ε) Χρόνοι διατήρησης
Το Υπουργείο βεβαιώνει στη Μελέτη Εκτίμησης Αντικτύπου ότι όλα τα μεταδεδομένα διαγράφονται μόλις λήξει η σύμβαση με τον πάροχο (Cisco) , ενώ σύμφωνα με τη σύμβαση (βλ. Cisco Webex Meetings Privacy Sheet – ενότητα 6. Data Deletion & Retention – Registration Information, User Generated Information, Host and Usage Information) και το Privacy Data Sheet, που έχει αναρτήσει η εταιρεία περιγράφοντας τις δυνατότητες της πλατφόρμας, τα μεταδεδομένα τηρούνται για 7 έτη από τη λήξη της σύμβασης.
Αυτά τα δεδομένα προσωπικού χαρακτήρα περιλαμβάνουν τα δεδομένα εγγραφής, αλλά και ψευδωνυμοποιημένα δεδομένα για σκοπούς ανάλυσης και μέτρησης απόδοσης των παρεχόμενων υπηρεσιών. Επομένως και αυτό το ζήτημα χρήζει διευκρίνισης. Επισημαίνεται και πάλι ότι σύμφωνα με τους ορισμούς του ΓΚΠΔ, τα ψευδώνυμα δεδομένα αποτελούν προσωπικά δεδομένα και η άρση της ψευδωνυμοποίησης αποτελεί κίνδυνο ο οποίος πρέπει να αντιμετωπισθεί σύμφωνα και με την Αρχή.
Σύντομο Συμπέρασμα
Η Homo Digitalis καταλήγει στο συμπέρασμα ότι το Υπουργείο Παιδείας θα έπρεπε να έχει επιδείξει την αρμόζουσα επιμέλεια αναφορικά με την επεξεργασία και την προστασία δεδομένων κατά τη διαδικασία παροχής εξ αποστάσεως εκπαίδευσης. Με συγκεκριμένες πρωτοβουλίες και προγραμματισμό πριν από την επεξεργασία θα έπρεπε να έχει αντιμετωπίσει τα ζητήματα ασφάλειας και διαφάνειας που ανακύπτουν τόσο από τη σύμβαση, όσο και από τη διαδικασία. Περαιτέρω η Homo Digitalis συστήνει στο Υπουργείο, υπό την ιδιότητά τους ως Υπευθύνου Επεξεργασίας, να διευκρινίσει τα σημεία που αναδεικνύονται ανωτέρω προκειμένου να παρέχει την απαραίτητη ασφάλεια δικαίου σε εκπαιδευτικούς και μαθητές, αλλά και το ευρύτερο κοινωνικό σύνολο.
e-prologos.gr