ΑΠΟΦΑΣΗ 61/2022
Αθήνα, 01-11-2022
Αριθ. Πρωτ.: 2769
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε, μετά από πρόσκληση του Προέδρου της, σε έκτακτη συνεδρίαση μέσω τηλεδιάσκεψης την 2806-2021, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν οι Κωνσταντίνος Μενουδάκος, Πρόεδρος της Αρχής και τα τακτικά μέλη Σπυρίδων Βλαχόπουλος, Κωνσταντίνος Λαμπρινουδάκης, Χαράλαμπος Ανθόπουλος ως εισηγητής, Χρήστος Καλλονιάτης, Αικατερίνη Ηλιάδου και Γρηγόριος Τσόλιας. Στη συνεδρίαση, χωρίς δικαίωμα ψήφου, παρέστησαν, με εντολή του Προέδρου, οι ελεγκτές Καλλιόπη Καρβέλη, Φωτεινή Καρβέλα ειδικοί επιστήμονες νομικοί και Γεώργιος Ρουσόπουλος ειδικός επιστήμονας πληροφορικός, ως βοηθοί εισηγητή, και η Γεωργία Παλαιολόγου, υπάλληλος του Τμήματος Διοικητικών Υποθέσεων, ως γραμματέας.
H Αρχή έλαβε υπόψη τα παρακάτω:
Η Αρχή με την απόφαση 50/2021 εξέτασε, αυτεπάγγελτα, τη συμμόρφωση του Υπουργείου Παιδείας και Θρησκευμάτων (εφεξής ΥΠΑΙΘ) με τις συστάσεις της γνωμοδότησης 4/2020 για τη συμβατότητα της σύγχρονης εξ αποστάσεως εκπαίδευσης στις σχολικές μονάδες της πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης με τις διατάξεις της νομοθεσίας για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Στο πλαίσιο της υπόθεσης εξετάστηκε η επικαιροποιημένη Εκτίμηση Αντικτύπου σχετικά με την Προστασία Δεδομένων (εφεξής ΕΑΠΔ) καθώς και οι ενέργειες συμμόρφωσης του ΥΠΑΙΘ. Η Αρχή διαπίστωσε ελλείψεις ως προς πέντε σημεία επιβάλλοντας επίπληξη για κάθε έλλειψη, ενώ ως προς τέσσερα από τα σημεία αυτά, έδωσε εντολή στο Υπουργείο να αντιμετωπιστούν οι ελλείψεις με τον τρόπο που αναλύεται στην απόφαση εντός συγκεκριμένου χρονικού διαστήματος (δύο μηνών για τις τρεις πρώτες ελλείψεις και τεσσάρων μηνών για την τέταρτη) ώστε να αρθούν οι παραβάσεις:
Συνοπτικά, οι ελλείψεις που έπρεπε να αντιμετωπίσει το Υπουργείο, είχαν ως εξής:
1) Δεν έχει διενεργηθεί αναλυτική διερεύνηση της νομιμότητας των σκοπών επεξεργασίας από την πλευρά του Υπουργείου, ιδίως σε σχέση με τη συγκατάθεση για την πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη, όταν αυτό δεν είναι απαραίτητο για την παροχή της υπηρεσίας που ζήτησε ο χρήστης.
2) Οι παρεχόμενες στα υποκείμενα δεδομένων πληροφορίες είναι λιγότερες από όσες επιβάλλει ο ΓΚΠΔ, ενώ οι πληροφορίες αυτές δεν είναι σε κατανοητή και εύκολα προσβάσιμη μορφή με σαφή και απλή διατύπωση, ιδίως εφόσον πρόκειται για πληροφορία που απευθύνεται και σε παιδιά.
3) Τα εφαρμοζόμενα μέτρα ασφάλειας, αν και βρίσκονται προς τη σωστή κατεύθυνση, πρέπει να συμπληρωθούν, με τρόπο που να είναι διαθέσιμος σε κάθε εκπαιδευτικό, ενώ πρέπει να εξασφαλιστεί ότι το σύνολο των εκπαιδευτικών που εμπλέκονται στη διαδικασία εξ αποστάσεως εκπαίδευσης έχουν λάβει ελάχιστη ενημέρωση.
4) Δεν έχει πραγματοποιηθεί ορθή αξιολόγηση της διαβίβασης δεδομένων σε χώρες εκτός Ε.Ε. ιδίως αν ληφθεί υπόψη η απόφαση του ΔΕΕ στην υπόθεση C-311/18 (Schrems ΙΙ).
Το Υπουργείο ενημέρωσε την Αρχή για τις ενέργειές του με δύο υπομνήματα, πριν τη λήξη του διαστήματος των δύο ή τεσσάρων μηνών (Γ/ΕΙΣ/312/14-01-2022 και Γ/ΕΙΣ/4490/17-03-2022 αντίστοιχα) ενώ ενδιάμεσα είχε παράσχει πληροφορίες με τα υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/1658/02-02-2022 και Γ/ΕΙΣ/2984/01-03-2022 έγγραφά του. Με βάση τα έγγραφα αυτά παρουσιάζονται ακολούθως οι απαντήσεις του
Υπουργείου για τα ζητήματα στα οποία όφειλε να συμμορφωθεί με την απόφαση της Αρχής.
Ζήτημα 1ο: Αναλυτική διερεύνηση της νομιμότητας των σκοπών επεξεργασίας (σκέψεις 11 έως και 16 της απόφασης 50/2021)
Το ΥΠΑΙΘ παρέχει στοιχεία για την τεκμηρίωση των σκοπών επεξεργασίας 3, 4 και 5, οι οποίοι είχε κριθεί ότι δεν είχαν τεκμηριωθεί κατάλληλα. Συγκεκριμένα, ως προς κάθε ένα από τους τρεις σκοπούς επεξεργασίας για τους οποίους είχε κριθεί ότι δεν είχε διενεργηθεί αναλυτική διερεύνηση της νομιμότητας, αναφέρει, συνοπτικά, τα εξής:
Ως προς τον 3ο σκοπό (εξαγωγή συμπερασμάτων σχετικά με την τηλεκπαίδευση, ως στατιστικός και ερευνητικός σκοπός, με υπεύθυνο επεξεργασίας το ΥΠΑΙΘ και εκτελούντα την επεξεργασία τη CISCO) το ΥΠΑΙΘ, υπό την ιδιότητα του «διαχειριστή», διέθετε πρόσβαση στο σύνολο των μεταδεδομένων που συλλέγονταν από τη CISCO κατά την παροχή της υπηρεσίας. Στα εν λόγω μεταδεδομένα περιλαμβάνονταν τόσο δεδομένα που προέρχονταν από τον τερματικό εξοπλισμό των χρηστών όσο και πληροφορίες που παράγονταν κατά τη χρήση της υπηρεσίας. Στα ως άνω μεταδεδομένα αποκτούσαν πρόσβαση για λογαριασμό του ΥΠΑΙΘ εξουσιοδοτημένοι υπάλληλοι του Ινστιτούτου Τεχνολογίας Υπολογιστών και Εκδόσεων-«Διόφαντος» («Ι.Τ.Υ.Ε.-ΔΙΟΦΑΝΤΟΣ»), οι οποίοι είχαν αναλάβει την έκδοση στατιστικών σε σχέση με την τηλεκπαίδευση. Τα εν λόγω πρόσωπα κατήρτιζαν ημερησίως αναφορά υπό μορφή αρχείου «xls», η οποία περιείχε τα ακόλουθα στατιστικά στοιχεία ανά βαθμίδα εκπαίδευσης:
α. Πλήθος εγγεγραμμένων χρηστών.
β. Αριθμός τηλεδιασκέψεων που πραγματοποιήθηκαν.
γ. Συνολική διάρκεια τηλεδιασκέψεων σε λεπτά.
δ. Αριθμός εκπαιδευτικών που έκαναν τουλάχιστον μία τηλεδιάσκεψη.
ε. Αριθμός συνδέσεων μαθητών σε τηλεδιάσκεψη.
στ. Μέση διάρκεια τηλεδιασκέψεων σε λεπτά.
ζ. Μέσος αριθμός συμμετοχών σε τηλεδιάσκεψη.
Τα ως άνω στατιστικά στοιχεία είχαν κριθεί απαραίτητα για την εξαγωγή συμπερασμάτων σχετικά με την παροχή της τηλεκπαίδευσης σύμφωνα με το άρθρο 68 παρ. 2 του ν. 4686/2020. Το Υπουργείο παραθέτει σχετικά και αρχείο μορφότυπου xls με τα παραπάνω στατιστικά.
Ως προς τον 4ο σκοπό (βελτίωση της παρεχόμενης από τη Cisco υπηρεσίας, για την οποία προκύπτει ότι υπεύθυνος επεξεργασίας μπορεί να είναι η Cisco) το ΥΠΑΙΘ αναφέρει ότι «για την αποσαφήνιση των ρόλων έχει ήδη επισημανθεί (...) ότι η CISCO έχει αναλάβει συμβατικώς τη δέσμευση να μην επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για σκοπούς πέραν της εκτελέσεως της σύμβασης, ήτοι πέραν της (τεχνικής) λειτουργίας της πλατφόρμας της τηλεκπαίδευσης. Ειδικότερα, σε όλες τις συναφθείσες μεταξύ ΥΠΑΙΘ και CISCO συμβάσεις προβλέπεται ρητώς ότι η δεύτερη συμβαλλόμενη «.δεν επιτρέπεται να προβεί σε οποιαδήποτε χρήση των προσωπικών δεδομένων που θα διατεθούν για την υλοποίησης της παρούσας Σύμβασης, που να εκφεύγει του σκοπού αυτής.
Περαιτέρω, όμως, προς επιβεβαίωση των ανωτέρω, προσκομίζεται τεκμηρίωση που ζητήθηκε από την CISCO (βλ. Σχετ. 2) από την οποία προκύπτει ότι η εν λόγω συμβατική απαγόρευση κατισχύει κάθε άλλου όρου που τυχόν περιλαμβάνεται σε Πολιτικές Απορρήτου ή λοιπά έγγραφα της CISCO. Σχετικώς στις συναφθείσες μεταξύ ΥΠΑΙΘ και CISCO συμβάσεις προβλέπεται ότι «.εφόσον δεν ορίζεται διαφορετικά στην παρούσα, ισχύουν τα διαλαμβανόμενα στα Παραρτήματα Προστασίας Προσωπικών Δεδομένων».
Η εν λόγω βεβαίωση αναφέρει ότι η CISCO επεξεργάζεται δεδομένα προσωπικού χαρακτήρα σύμφωνα με τους ισχύοντες νόμους και τις συμβατικές δεσμεύσεις που προβλέπονται στο Master Data Protection Agreement της 13ης Μαρτίου 2020 και στη συμφωνία για τη δωρεάν δοκιμή της πλατφόρμας τηλεδιάσκεψης Cisco Webex για την υλοποίηση της σύγχρονης εξ αποστάσεως εκπαίδευσης στον εκπαιδευτικό σύστημα με ημερομηνία 9 Νοεμβρίου 2020, όπως τροποποιήθηκε στις 4 Δεκεμβρίου 2020 («we confirm that Cisco processes personal data in accordance with applicable statutory laws and contractual commitments made in the Master Data Protection Agreement dated 13th March 2000and the Agreement for the Free Trial of the Cisco Webex teleconferencing platform for the realization of modern distance learning in the educational system dated 9th November 2020, as amended 4th December 2020»).
Ως προς τον 5ο σκοπό (συμμόρφωση της Cisco με οικονομικές και ελεγκτικές απαιτήσεις, συμπεριλαμβανομένης της χρέωσης των υπηρεσιών, με υπεύθυνο επεξεργασίας τη Cisco) το ΥΠΑΙΘ αναφέρει: «οι έννομες υποχρεώσεις προς εκπλήρωση των οποίων η ίδια τηρεί τέτοιου είδους δεδομένα απορρέουν από την νομοθεσία των Κάτω Χωρών. Προς επιβεβαίωση, μετά την Απόφαση, το ΥΠΑΙΘ απευθύνθηκε στη CISCO αιτούμενο περαιτέρω διευκρινίσεις σε σχέση με τις εφαρμοστέες διατάξεις και τα συγκεκριμένα δεδομένα που είναι απαραίτητο να τηρούνται κατ' εφαρμογή αυτών. Με την από 13.01.2022 απάντησή της (βλ. Σχετ. 2), η CISCO επιβεβαιώνει ότι οι σχετικές οικονομικές / φορολογικές και ελεγκτικές απαιτήσεις προβλέπονται στις παραγράφους 1 έως 4 του άρθρου 52 του Ολλανδικού Γενικού Νόμου Εθνικής Φορολογίας («Algemene wet inzake rijksbelastingen») και ότι τα δεδομένα που διατηρούνται σε συμμόρφωση με τη νομοθεσία αυτή περιορίζονται στα εξής: 1) όνομα και διεύθυνση ηλεκτρονικού ταχυδρομείου του οικοδεσπότη (υπευθύνου τηλεδιάσκεψης), 2) «URL» της τηλεδιάσκεψης, 3) ώρα έναρξης/λήξης της τηλεδιάσκεψης και 4) αριθμός τηλεφώνου (όπου χρησιμοποιείται).»
Ζήτημα 2ο: Έλλειψη στις παρεχόμενες στα υποκείμενα δεδομένων πληροφορίες - μη κατανοητή και εύκολα προσβάσιμη μορφή, ιδίως για παιδιά (σκέψεις 17 και 21 της απόφασης 50/2021)
Το ΥΠΑΙΘ αναφέρει, με το πρώτο υπόμνημά του, ότι έχει προβεί στις κάτωθι ενέργειες τροποποίησης της διαδικασίας και του περιεχομένου της παρεχόμενης ενημέρωσης:
«i. Συνέταξε νέο κείμενο ενημέρωσης, το οποίο διαρθρώνεται σε δύο κεφάλαια: α) για την ενημέρωση των εκπαιδευτικών και β) για την ενημέρωση των μαθητών και των γονέων/κηδεμόνων τους ως προς την επεξεργασία των προσωπικών δεδομένων στο πλαίσιο της τηλεκπαίδευσης. Κάθε κεφάλαιο δομείται σε ενότητες, ώστε να παρέχονται κατά τρόπο διακριτό οι απαιτούμενες σύμφωνα με το άρθρο 13 ΓΚΠΔ πληροφορίες. Το δε δεύτερο κεφάλαιο είναι γραμμένο σε ιδιαιτέρως απλή και κατανοητή γλώσσα, ώστε να είναι εύληπτο για τους μαθητές και τους γονείς/κηδεμόνες αυτών (βλ. Σχετ. 3). Το εν λόγω κείμενο έχει ήδη αναρτηθεί στον δικτυακό τόπο με όνομα χώρου www.mathainoumeasfaleis.gov.gr/tilekpedefsi, o οποίος έχει αναπτυχθεί και λειτουργεί προς τον σκοπό της παροχής πληροφοριών σχετικά με την τηλεκπαίδευση. Επιπλέον, έχει δρομολογηθεί η ανάρτησή του στον επίσημο ιστότοπο του ΥΠΑΙΘ, καθώς και στον δικτυακό τόπο «webex.sch.gr» του Πανελληνίου Σχολικού Δικτύου.
ii. Αναπτύχθηκε σε συνεργασία με τη CISCO αναδυόμενο παράθυρο («pop-up window»), το οποίο θα εμφανίζεται κατά τη σύνδεση των χρηστών στην πλατφόρμα τηλεκπαίδευσης. Το εν λόγω παράθυρο θα περιλαμβάνει συνοπτικές πληροφορίες σχετικά με την επεξεργασία των προσωπικών δεδομένων των χρηστών της πλατφόρμας τηλεκπαίδευσης και θα παραπέμπει στην ως άνω (υπό i) έγγραφη ενημέρωση (βλ. Σχετ. 4).
iii. Δημιουργήθηκε οπτικοακουστικό υλικό (βίντεο) μέσω του οποίου θα παρέχονται συνοπτικά πληροφορίες στους μαθητές σχετικά με την επεξεργασία των προσωπικών τους δεδομένων κατά την παροχή της τηλεκπαίδευσης (βλ. Σχετ. 5). Το εν λόγω υλικό θα αναρτηθεί στον δικτυακό τόπο www.mathainoumeasfaleis.gov.gr και στο ΠΣΔ.»
Σε σχέση με το ανωτέρω σημείο iii, με το δεύτερο υπόμνημα, το ΥΠΑΙΘ ενημερώνει ότι στο κανάλι του στην εφαρμογή Youtube αναρτήθηκε ενημερωτικό video για μαθητές/μαθήτριες ενώ είναι προσβάσιμο και από τον ιστότοπο https://mathainoumeasfaleis.gov.gr/tilekpedefsi/.
Από την επόπτευση των σχετικών ιστοσελίδων προκύπτει ότι το video που απευθύνεται στους μαθητές περιλαμβάνει τμήμα πληροφοριών σε σχέση με την επεξεργασία προσωπικών δεδομένων αν και εστιάζει περισσότερο στη χρήση της τηλεκπαίδευσης με ασφάλεια. Σε σχέση με το σημείο ii, επισημαίνεται ότι δεν υλοποιήθηκε τελικά το αναδυόμενο παράθυρο, αλλά όταν η σύνδεση των μαθητών πραγματοποιείται μέσω της προτεινόμενης διαδικασίας (μέσω του URL
https://webex.sch.gr/students.php) υπάρχει εύκολα προσβάσιμος υπερσύνδεσμος προς την ενημέρωση σε σχέση με την επεξεργασία προσωπικών δεδομένων.
Περαιτέρω, παρατηρείται ότι στην ανωτέρω ιστοσελίδα, κατά το χρόνο της διάσκεψης, εμφανίζεται ενημερωτικό μήνυμα σε σχέση με τα cookies το οποίο αναφέρει «Χρησιμοποιούμε μόνο λειτουργικά cookies για να παρέχουμε τις υπηρεσίες στην σελίδα μας. Εάν συνεχίσετε να χρησιμοποιείτε τη σελίδα, θα υποθέσουμε πως είστε ικανοποιημένοι με αυτό Μάθετε περισσότερα» και με μόνη δυνατότητα την επιλογή του «Αποδοχή απαραίτητων cookies». Οι δύο τελευταίες λέξεις παραπέμπουν στην ιστοσελίδα https://www.sch.gr/aboutcookies όπου παρέχεται αναλυτική πληροφόρηση σε σχέση με τα cookies που χρησιμοποιούνται από το Πανελλήνιο Σχολικό Δίκτυο (ΠΣΔ) και τις φιλοξενούμενες σε αυτό ιστοσελίδες.
Ζήτημα 3ο: Βελτίωση στα εφαρμοζόμενα μέτρα ασφάλειας (σκέψη 18 της απόφασης 50/2021)
Το ΥΠΑΙΘ, με το πρώτο υπόμνημά του, ενημέρωσε την Αρχή ότι για τον περιορισμό των κινδύνων που σχετίζονται με τον έλεγχο ταυτοπροσωπίας και ιδίως με τη χρήση προσωπικών συσκευών έχουν υλοποιηθεί / βρίσκονται υπό υλοποίηση τα ακόλουθα μέτρα:
«α) Το Ι.Τ.Υ.Ε.-«ΔΙΟΦΑΝΤΟΣ» παρέχει στο σύνολο της εκπαιδευτικής κοινότητας πληροφορίες σχετικά με τη χρήση προσωπικών συσκευών για εκπαιδευτικούς-υπηρεσιακούς σκοπούς στο πλαίσιο λειτουργίας του Πανελλήνιου Σχολικού Δικτύου (ΠΣΔ).
β) Όπως προκύπτει από το κείμενο της από 7.12.2020 επικαιροποιημένης Μελέτης ΕΑΠΔ του ΥΠΑΙΘ και το σύνολο των σχετικών εγγράφων που έχουν υποβληθεί στην Αρχή, σε κάθε σχολική μονάδα έχει συσταθεί ομάδα υποστήριξης των εκπαιδευτικών κατά την τηλεκπαίδευση, η οποία αποτελείται από το Διευθυντή και από τουλάχιστον έναν εκπαιδευτικό με εξειδικευμένες ψηφιακές δεξιότητες (π.χ. εκπαιδευτικός Πληροφορικής ΠΕ86, επιμορφωτής Β' επιπέδου ΤΠΕ κτλ.). Περαιτέρω, σε δεύτερο επίπεδο λειτουργεί υπηρεσία υποστήριξης χρηστών («Help Desk) του ΠΣΔ.
γ) Ήδη με την από 7.12.2020 επικαιροποιημένη Μελέτη ΕΑΠΔ του ΥΠΑΙΘ προτάθηκε και εγκρίθηκε ως μέτρο εξάλειψης των κινδύνων από τη χρήση προσωπικών συσκευών για υπηρεσιακούς σκοπούς, η έκδοση οδηγιών σύμφωνα με τις Κατευθυντήριες Γραμμές της ΑΠΔΠΧ για την προστασία δεδομένων κατά την τηλεργασία. Συναφώς, το ΥΠΑΙΘ προχώρησε σε δημιουργία οπτικοακουστικού υλικού για εκπαιδευτικούς, το οποίο θα αναρτηθεί στον δικτυακό τόπο με όνομα χώρου www.mgthginggmegsfgleis.ggv.gr και στο ΠΣΔ (βλ. Σχετ. 6).»
Σε σχέση με το ανωτέρω σημείο γ, με το δεύτερο υπόμνημα το ΥΠΑΙΘ ενημέρωσε ότι στο κανάλι του στην εφαρμογή Youtube αναρτήθηκε ενημερωτικό video για εκπαιδευτικούς που είναι επίσης προσβάσιμο από τον ιστότοπο https://mathainoumeasfaleis.gov.gr/tilekpedefsi/. Από την επόπτευση των σχετικών ιστοσελίδων προκύπτει ότι το video εστιάζει στη χρήση της τηλεκπαίδευσης με ασφάλεια.
Παράλληλα, με το αρχικό υπόμνημά του, το ΥΠΑΙΘ ενημέρωσε ότι υπέβαλε στις 10.01.2022 αίτημα στο Ινστιτούτο Εκπαιδευτικής Πολιτικής (ΙΕΠ), προκειμένου να διενεργηθούν στο πλαίσιο του ωρολογίου προγράμματος δράσεις ευαισθητοποίησης τόσο των εκπαιδευτικών όσο και των μαθητών και με αντικείμενο ως εξής:
«i) Η πλήρης εξοικείωση των μαθητών/τριών και εκπαιδευτικών / μελών Ε.Ε.Π. - Ε.Β.Π. με τα εργαλεία της τηλεκπαίδευσης.
ii) Η παροχή βασικών πληροφοριών για την ασφάλεια των, κατά περίπτωση, προσωπικών ή υπηρεσιακών, ηλεκτρονικών συσκευών που χρησιμοποιούν οι μαθητές/τριες και οι εκπαιδευτικοί / μέλη Ε.Ε.Π. - Ε.Β.Π. κατά την τηλεκπαίδευση.
iii) Η παροχή βασικών πληροφοριών και οδηγιών για την ασφαλή πλοήγηση στο διαδίκτυο και τη χρήση της πλατφόρμας τηλεκπαίδευσης.
iv) Η παροχή βασικών συμβουλών για την προστασία της ιδιωτικότητας κατά τη χρήση της πλατφόρμας τηλεκπαίδευσης και κατά την υλοποίηση των διαδικτυακών μαθημάτων.»
Όπως προκύπτει από το δεύτερο υπόμνημα του ΥΠΑΙΘ, το ΙΕΠ ενέκρινε το εν λόγω αίτημα και στις 20.01.2022 με έγγραφο του Γ.Γ. Πρωτοβάθμιας και Δευτεροβάθμιας Εκπαίδευσης και Ειδικής Αγωγής διαβιβάστηκε προς τους διδάσκοντες (με ενυπόγραφη ενημέρωση) οδηγός που εκπονήθηκε από σύμβουλο του ΙΕΠ με θέμα: «Καθορισμός πλαισίου σχεδίων δράσης σε σχολικές μονάδες Π/θμιας- Δ/θμιας Εκπ/σης και Ειδικής Αγωγής για την ασφαλή χρήση και παιδαγωγική αξιοποίηση ψηφιακών εργαλείων τηλεκπαίδευσης και διαδικτύου».
Ζήτημα 4ο: Διαβιβάσεις δεδομένων εκτός Ε.Ε. (σκέψη 20 της απόφασης 50/2021)
Με το πρώτο υπόμνημά του το ΥΠΑΙΘ ενημέρωσε ότι βρίσκεται σε επικοινωνία με τη CISCO και παρακολουθεί τις ενέργειες στις οποίες αυτή έχει προβεί συμμορφούμενη προς τις κανονιστικές της υποχρεώσεις σε σχέση με τις διασυνοριακές διαβιβάσεις και ειδικότερα για την εκπόνηση μελέτης (σύμφωνα με τις Συστάσεις 01/2020 του ΕΣΠΔ) σχετικά με το εάν τυγχάνει εφαρμοστέα η ειδική νομοθεσία των ΗΠΑ στην περίπτωση των δεδομένων των χρηστών της πλατφόρμας τηλεκπαίδευσης και εάν διασφαλίζεται επαρκές επίπεδο προστασίας των εν λόγω δεδομένων. Παράλληλα δήλωσε ότι με την ολοκλήρωση της ως άνω μελέτης, το ΥΠΑΙΘ και η CISCO θα προχωρήσουν σε σύναψη νέας σύμβασης, η οποία θα περιλαμβάνει επικαιροποιημένες συμβατικές ρήτρες σύμφωνα με τα διαλαμβανόμενα στην Εκτελεστική Απόφαση (ΕΕ) 2021/914 της Επιτροπής της 4ης Ιουνίου 2021. Στην εν λόγω σύμβαση θα προσαρτηθεί ως Παράρτημα ειδικό και επικαιροποιημένο «privacy data sheet», το οποίο θα κατισχύει των αντίστοιχων γενικών εγγράφων της CISCO και θα περιγράφει λεπτομερώς τους όρους των επεξεργασιών που διενεργούνται κατά την παροχή της τηλεκπαίδευσης.
Αρχικά, το ΥΠΑΙΘ τόσο σε αυτό το υπόμνημα όσο και στο δεύτερό του, έθεσε θέμα σχετικά με το χαρακτηρισμό του ως «εξαγωγέα δεδομένων». Αναφέρει ότι το ίδιο διαβιβάζει δεδομένα αποκλειστικά στην αντισυμβαλλόμενή του “CISCO HELLAS ΑΕ” για το σκοπό της υλοποίησης των μαθημάτων μέσω της ειδικά παραμετροποιημένης πλατφόρμας. Κάθε περαιτέρω διαβίβαση πραγματοποιείται από την εταιρεία αυτή «ενδοομιλικά» με χρήση των εργαλείων διαβίβασης του ΓΚΠΔ (τυποποιημένες συμβατικές ρήτρες, δεσμευτικοί εταιρικοί κανόνες και κώδικας δεοντολογίας). Η CISCO HELLAS ΑΕ, ως θυγατρική του ομίλου CISCO, διαβιβάζει δεδομένα στη μητρική της που εδρεύει στις Η.Π.Α. προς το σκοπό της εκτέλεσης των συμβάσεων που η ίδια συνάπτει, λόγω της τεχνικής λειτουργίας της πλατφόρμας τηλεκπαίδευσης και για λόγους τιμολόγησης.
Οι συγκεκριμένοι σκοποί και τα ουσιώδη μέσα καθορίζονται από τις εταιρείες του ομίλου CICSO, συνεπώς αυτές πρέπει να θεωρούνται ως υπεύθυνοι επεξεργασίας υποκείμενοι στις διατάξεις του Κεφ. V του ΓΚΠΔ. Γίνεται μάλιστα αναφορά σε σχετικό παράδειγμα (με αρ. 13) κειμένου καθοδήγησης της εποπτικής αρχής της Δανίας.Κατόπιν, σε σχέση με τις υποχρεώσεις του όπως απορρέουν από την απόφαση «Schrems II» του ΔΕΕ το ΥΠΑΙΘ αναφέρει τα εξής:
Ζήτησε από τη CISCO HELLAS συνδρομή στη εκπόνηση μελέτης για την εκτίμηση του κινδύνου των διενεργούμενων διαβιβάσεων (Data Transfer Impact Assessment -εφεξής DTIA) ώστε με βάση αυτή να συναφθεί νέα σύμβαση με τις νέες τυποποιημένες συμβατικές ρήτρες. Η CISCO αποδέχθηκε το αίτημα και συμφωνήθηκε η διαδικασία να ολοκληρωθεί εντός του μηνός Απριλίου 2022 (νωρίτερα από την προθεσμία που έταξε η Ε. Επιτροπή, η οποία λήγει στις 27/12/2022). Στις 11/3/2022 υποβλήθηκε από τη CISCO στο ΥΠΑΙΘ DTIA σύμφωνα με πρότυπο που προτάθηκε από μέλος της Διεθνούς Ένωσης Επαγγελματιών Ιδιωτικότητας IAPP. Το περιεχόμενο της μελέτης αποτέλεσε προϊόν συνεργασίας με το ΥΠΑΙΘ.
Στη μελέτη αναγνωρίζονται δύο σκοποί επεξεργασίας, α) η τεχνική λειτουργία της πλατφόρμας τηλεκπαίδευσης και β) η τιμολόγηση. H CISCO φέρει τη ιδιότητα του παρόχου υπηρεσιών ηλεκτρονικής επικοινωνίας, συνεπώς αξιολογήθηκε ως ενδεχόμενη η εφαρμογή των διατάξεων του άρθρου 702 της FISA. Επομένως, αξιολογήθηκε η αποτελεσματικότητα των (νέων) συμβατικών ρητρών ως εργαλείου διαβίβασης. Το ΥΠΑΙΘ αναφέρει ότι στο δημοσίως προσβάσιμο έγγραφο του ομίλου CISCO, το οποίο αναρτήθηκε κατόπιν της παραπάνω απόφασης του ΔΕΕ, αναφέρεται ότι «Ούτε η CISCO ούτε οι Πελάτες και Συνεργάτες μας διαχειρίζονται προσωπικά δεδομένα που θα μπορούσαν να ενδιαφέρουν τις υπηρεσίες πληροφοριών των Η.Π.Α. (π.χ. πληροφορίες σημαντικές για την εθνική ασφάλεια των Η.Π.Α.). Δεν εμπλεκόμαστε σε δραστηριότητες επεξεργασίας ή διαβιβάσεις που εμφανίζουν τους κινδύνους σχετικά με την ιδιωτικότητα και τη μαζική παρακολούθηση, οι οποίοι απασχόλησαν το ΔΕΕ στην «Schrems II» (π.χ. επικοινωνίες καταναλωτών και καταναλωτική συμπεριφορά). Τα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία από τη CISCO δεν συνεπάγονται πραγματικά κίνδυνο παρακολούθησης εκ μέρους των υπηρεσιών των Η.Π.Α. και αυθαίρετης παρέμβασης στα θεμελιώδη δικαιώματα και τις ελευθερίες των Υποκειμένων εντός της ΕΕ». Για να διασφαλιστεί επαρκές επίπεδο προστασίας των προσωπικών δεδομένων κατά τη διαβίβαση στη μητρική του ομίλου CISCO στις Η.Π.Α. λαμβάνονται τα εξής μέτρα:
α) Πραγματοποιείται κρυπτογράφηση κατά τη διαβίβαση από άκρη σε άκρη.
β) Πραγματοποιείται κρυπτογράφηση κατά την αποθήκευση.
γ) Έχει θεσπιστεί πολιτική για τη μη ύπαρξη «κερκόπορτας» (no backdoor policy).
δ) Παρέχεται η δυνατότητα για διενέργεια ελέγχων ή επιθεωρήσεων των εγκαταστάσεων επεξεργασίας της CISCO από τους εξαγωγείς και, κατ’ επέκταση, από το ΥΠΑΙΘ και τους εντεταλμένους του συμβούλους.
ε) Το ΥΠΑΙΘ ενημερώνεται για οποιοδήποτε αίτημα πρόσβασης υποβάλλεται από τις δημόσιες αρχές των Η.Π.Α.
στ) Η CISCO δεσμεύεται να επανεξετάζει ανά περίπτωση, σύμφωνα με το δίκαιο των Η.Π.Α., τη νομιμότητα οποιασδήποτε εντολής για γνωστοποίηση δεδομένων.
ζ) Προβλέπεται αυξημένη διαφάνεια, καθώς η CISCO θέτει στη διάθεση του
ΥΠΑΙΘ τουλάχιστον μια φορά ανά έξι (6) μήνες αναφορές σχετικά με τα αιτήματα που
υποβάλλονται από τις αρχές των Η.Π.Α.
η) H CISCO υιοθετεί τις εκάστοτε ισχύουσες βέλτιστες πρακτικές σε σχέση με τις διασυνοριακές διαβιβάσεις και την πρόσβαση στα διαβιβαζόμενα δεδομένα (ενδεικτικά αναφέρονται έλεγχοι πρόσβασης και παροχή εκπαίδευσης στα στελέχη των εταιρειών του Ομίλου).
Το ΥΠΑΙΘ και η CISCO βρίσκονται σε διαδικασία διαπραγμάτευσης νέας σύμβασης, στην οποία (πέραν των νέων τυποποιημένων συμβατικών ρητρών) θα προστεθούν όροι για την εφαρμογή των παραπάνω μέτρων (τα οποία κρίθηκε ότι δεν έρχονται σε αντίθεση με τις ρήτρες και επαρκούν για να διασφαλιστεί το επίπεδο προστασίας που εγγυάται ο ΓΚΠΔ). Περαιτέρω, έχουν προταθεί στις αντισυμβαλλόμενες εταιρείες με τη CISCO να λαμβάνουν τα παρακάτω μέτρα:
α) Κρυπτογράφηση: Θα πραγματοποιείται σε σχέση με όλες τις τηλεδιασκέψεις. Ο αλγόριθμος της κρυπτογράφησης και η παραμετροποίηση αυτού θα είναι ισχυρά έναντι της κρυπτανάλυσης που πραγματοποιείται από τις Αρχές των Η.Π.Α.. Τα κλειδιά της κρυπτογράφησης θα τηρούνται αποκλειστικά υπό τον έλεγχο της CISCO.
β) Διαφάνεια: Η εκπονηθείσα DTIA θα αποτελέσει προσάρτημα της σύμβασης. Η CISCO θα υποβάλλει αναφορά στο ΥΠΑΙΘ ανά έξι μήνες (βλ. παραπάνω). Σε περίπτωση που η παροχή συγκεκριμένων πληροφοριών αντίκειται στις διατάξεις της νομοθεσίας των Η.Π.Α. η CISCO θα θέτει υπόψιν του ΥΠΑΙΘ επαρκή στατιστικά δεδομένα.
γ) Τακτική αξιολόγηση των συμπληρωματικών μέτρων: Τα συμβαλλόμενα μέρη θα αναλάβουν την ευθύνη να συνεργάζονται τουλάχιστον δύο φορές ετησίως για την αξιολόγηση των μέτρων. Σε περίπτωση αλλαγών στη σχετική νομοθεσία των Η.Π.Α. μπορεί να πραγματοποιείται έκτακτη επαναξιολόγηση.
Τέλος, στη σύμβαση θα προβλεφθεί όρος για κατάργηση των διαβιβάσεων σε τρίτες χώρες έως τον Ιούλιο του 2022. Η CISCO έχει διαβεβαιώσει ότι έως τότε, όλα τα δεδομένα που υποβάλλονται σε επεξεργασία κατά τη λειτουργία της πλατφόρμας τηλεκπαίδευσης θα φιλοξενούνται σε διακομιστές εντός Ε.Ε. και συγκεκριμένα στη Γερμανία, στο πλαίσιο προγράμματος «EU RESIDENCY» της εταιρείας.
Με το δεύτερο υπόμνημά του το ΥΠΑΙΘ κατέθεσε επίσης το αντίγραφο της DTIA το οποίο της διαβίβασε η CISCO HELLAS ΑΕ. Σε αυτό αναφέρονται μεταξύ άλλων τα εξής:
Εξαγωγέας δεδομένων είναι η CISCO HELLAS A.E.
Εισαγωγέας δεδομένων είναι η Cisco Systems Inc.
Πλαίσιο και σκοπός της διαβίβασης: Αν και η πλειονότητα των προσωπικών δεδομένων αποθηκεύεται στην Ε.Ε., για την παροχή της υπηρεσίας «WebEx Meetings» η Cisco πρέπει να διαβιβάσει μερικά προσωπικά δεδομένα στις Η.Π.Α. όπως αυτά παρουσιάζονται παρακάτω.
Κατηγορίες δεδομένων: πληροφορίες του φιλοξενούντα (Host) και πληροφορίες χρήστη σχετικά με τη χρέωση και τη λειτουργία της εφαρμογής. Περιλαμβάνουν: IP διεύθυνση, User Agent Identifier, IP διευθύνσεις κατά το δίκτυο, MAC διευθύνσεις συσκευών χρήστη, γεωγραφική περιοχή, πληροφορίες συμμετέχοντα (email, IP, όνομα χρήστη, τηλέφωνο), πληροφορίες Host και χρήστη (όνομα και email), URL συνεδρίας, χρόνος έναρξης και λήξης συνεδρίας.
Τεχνική υλοποίηση της διαβίβασης: Πρότυπες συμβατικές ρήτρες με συμπληρωματικά μέτρα.
Τεχνικά και οργανωτικά μέτρα: παρουσιάζονται στο https://trustportal.cisco.Com/c/r/ctp/trust-portal.html#/1604543381171981 ως πολιτική.
Από τη συνολική εκτίμηση, υπολογίζεται ότι η συνολική πιθανότητα να συμβεί έστω και μια επιτυχημένη διαβίβαση δεδομένων προσωπικού χαρακτήρα στις αρχές των Η.Π.Α. κατά παράβαση των αρχών της προστασίας δεδομένων είναι 5,4% κατά το εξεταζόμενο διάστημα (έως τις 31/7/2022). Η CISCO εκτιμά ότι ο υπολειπόμενος κίνδυνος από τη διαβίβαση είναι μικρός και ότι η διαβίβαση επιτρέπεται, με βάση τη νομοθεσία για την προστασία των δεδομένων.
Η Αρχή, προχώρησε σε διερεύνηση ώστε να διαπιστωθεί με ποιο τρόπο αντιμετωπίζεται το ζήτημα της εφαρμογής του Κεφαλαίου V του ΓΚΠΔ από εταιρείες που παρέχουν παρόμοιες/ανταγωνιστικές υπηρεσίες με τη υπηρεσία Webex της Cisco, η οποία αποτελεί κατά βάση υπηρεσία τηλεδιάσκεψης και η οποία μπορεί να αξιοποιείται στο πλαίσιο διαφόρων δραστηριοτήτων πολλών και διαφορετικής φύσης φορέων. Ειδικότερα, σε κοντινό χρόνο (17/03/2022) η Zoom Video Communications, Inc. παρουσίασε DTIA(και αμέσως μετά ΕΑΠΔ) για τις υπηρεσίες της Meetings, Webinar, και Chat. Για τους σκοπούς που αναγνωρίζονται στην εν λόγω DTIA η εκτίμηση ήταν ως εξής: Περιεχόμενο (κέντρο δεδομένων εντός Ε.Ε.) 0,0%, Λογαριασμός (ΗΠΑ) 0,05%, Υποστήριξη (ΗΠΑ): 0,38%, Διαγνωστικά δεδομένα (ΗΠΑ): 0,65%, Ομάδα Trust & Safety (ΗΠΑ): 2,7% κλπ. Η Κυβέρνηση της Ολλανδίας μαζί με πανεπιστήμια της χώρας διενέργησαν ΕΑΠΔκαι DTIA(στις 25/02/2022) για τη χρήση των εφαρμογών της εταιρείας Microsoft Teams, OneDrive and SharePoint Online, στις οποίες αναγνωρίζονται έξι (6) πηγές κινδύνου σε σχέση με το Κεφάλαιο V του ΓΚΠΔ, και παρουσιάζονται μέτρα για τον περιορισμό των κινδύνων.
Στις δύο αυτές οργανωμένες DTIA ακολουθείται παραπλήσια μεθοδολογία και, όπως και στην περίπτωση της CISCO, γίνεται εκτίμηση της νομιμότητας της επεξεργασίας σε σχέση με τις πιθανές συνέπειες για τα υποκείμενα των δεδομένων από τυχόν διασυνοριακή ροή δεδομένων. Οι υπολογιζόμενες πιθανότητες διαβίβασης προκύπτουν με ποιοτικά κριτήρια και εκτιμήσεις και δεν είναι εύκολα συγκρίσιμες. Κοινό όμως χαρακτηριστικό είναι ότι για κάποιους σκοπούς επεξεργασίας (π.χ. διαγνωστικά δεδομένα) η πιθανότητα διασυνοριακής ροής δεδομένων δεν είναι μηδενική, αν και εκτιμάται ως πολύ μικρή. Και στις τρεις DTIA, η αποδοχή ότι η επεξεργασία είναι νόμιμη γίνεται στη βάση της παραδοχής ότι είναι ασφαλές να διενεργείται η επεξεργασία καθώς είναι εξαιρετικά απίθανο, αλλά όχι αδύνατο, να υπάρξει διασυνοριακή ροή δεδομένων η οποία να προκαλέσει
δυσμενείς συνέπειες σε κάποιο από τα υποκείμενα των δεδομένων που βρίσκονται στην Ε.Ε..
Η Αρχή, μετά από εξέταση όλων των στοιχείων του φακέλου και αφού άκουσε τον εισηγητή και τους βοηθούς εισηγητές μετά από διεξοδική συζήτηση
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Η Αρχή εξετάζει αυτεπάγγελτα τη συμμόρφωση του ΥΠΑΙΘ σε σχέση με την Απόφαση 50/2021. Συνεπώς, εξετάζει τη συμμόρφωσή του με βάση τα σημεία 1 -9, 11 - 18 και 20 - 21 του σκεπτικού της εν λόγω απόφασης και τις συγκεκριμένες εντολές συμμόρφωσης του διατακτικού της απόφασης.
2. Με βάση την απάντηση του ΥΠΑΙΘ, τα δεδομένα που αξιοποιούνται από το Ι.Τ.Υ.Ε.-ΔΙΟΦΑΝΤΟΣ για τον 3ο σκοπό (την εξαγωγή στατιστικών στοιχείων ανά βαθμίδα εκπαίδευσης) δεν περιλαμβάνουν δεδομένα τα οποία προέρχονται από τις τερματικές συσκευές των χρηστών. Επομένως, δεν τίθεται θέμα εφαρμογής της διάταξης του άρθρου 4 παρ. 5 του ν. 3471/2006. Συνεπώς, καθώς η εξαγωγή στατιστικών στοιχείων προβλέπεται ήδη στο άρθρο 63 παρ. 2 του ν. 4686/2020, η εν λόγω επεξεργασία διαθέτει κατάλληλη νομική βάση με βάση το άρθρο 6 παρ. 1 ε' του ΓΚΠΔ και περιορίζεται σε δεδομένα τα οποία είναι απαραίτητα για τον εν λόγω σκοπό. Επισημαίνεται ότι ο εκτελών την επεξεργασία (το Ι.Τ.Υ.Ε.-ΔΙΟΦΑΝΤΟΣ) έχει πρόσβαση και σε δεδομένα τα οποία προέρχονται από τις τερματικές συσκευές των χρηστών τα οποία, όμως, επιτρέπεται να επεξεργάζεται μόνο για σκοπούς που είναι απαραίτητοι για την λειτουργία της πλατφόρμας (δηλαδή της υπηρεσίας που έχει ζητήσει ο χρήστης) και όχι για διαφορετικό σκοπό.
3. Σε σχέση με τον 4ο σκοπό, με βάση την απάντηση του Υπουργείου, λαμβάνοντας υπόψη τις τροποποιημένες συμβάσεις και μετά τις διευκρινίσεις της εταιρείας, γίνεται δεκτό ότι η CISCO δεν δικαιούται, εκ της σύμβασης, να χρησιμοποιήσει προσωπικά δεδομένα που προέρχονται από τη χρήση της υπηρεσίας για το σκοπό της βελτίωσης της παρεχόμενης από την ίδια υπηρεσίας. Επισημαίνεται ότι τυχόν τέτοια χρήση θα αποτελούσε αντικείμενο διακριτής διερεύνησης σε σχέση με τη νομιμότητα των δραστηριοτήτων της CISCO.
4. Σε σχέση με τον 5ο σκοπό, της συμμόρφωσης της Cisco με οικονομικές και ελεγκτικές απαιτήσεις, συμπεριλαμβανομένης της χρέωσης των υπηρεσιών, προκύπτει ότι το ΥΠΑΙΘ έχει πλέον τεκμηριώσει τη νομιμότητα της εν λόγω επεξεργασίας.
5. Σε σχέση με τις υποχρεώσεις διαφάνειας και ειδικότερα για την πλήρη παροχή του συνόλου των πληροφοριών που προβλέπεται στο άρθρο 13 του ΓΚΠΔ, η Αρχή διαπιστώνει ότι πλέον, οι πληροφορίες είναι πλήρεις, καθώς στο νέο κείμενο ενημέρωσης παρέχονται όλες οι απαραίτητες κατηγορίες πληροφοριών. Οι πληροφορίες είναι δομημένες με τρόπο κατάλληλο για ανάγνωση κειμένου, με επισήμανση κάθε κατηγορίας πληροφορίας. Όσον αφορά τη συγκεκριμένη μέθοδο παρουσίασης των πληροφοριών, ακολουθείται τεχνική που απαντάται συχνά σε ιστοσελίδες στην Ελλάδα, σε δημόσιους και ιδιωτικούς φορείς· οι πληροφορίες περιέχονται σε διακριτό κείμενο σε μορφότυπο «pdf» στο οποίο γίνεται παραπομπή μέσω υπερσυνδέσμου. Η Αρχή επισημαίνει ότι η συγκεκριμένη μέθοδος δεν είναι η πλέον κατάλληλη για παρουσίαση σε επιγραμμικές (online) εφαρμογές. Ο μορφότυπος «pdf» ενδείκνυται για παρουσίαση κειμένων με συγκεκριμένο τρόπο, ανεξάρτητα από συσκευές, αλλά προϋποθέτει, σε μεγάλο βαθμό, τη χρήση πρόσθετου λογισμικού, εντός ή εκτός του φυλλομετρητή διαδικτύου, ενώ δεν ενδείκνυται πάντα για παρουσίαση μακροσκελών κειμένων, ιδίως σε συσκευές οι οποίες έχουν περιορισμένο εύρος οθόνης (π.χ. κινητές συσκευές). Περαιτέρω, η εν λόγω προσέγγιση δεν είναι κατάλληλη για επιγραμμικό περιβάλλον, καθώς λαμβάνοντας υπόψη τον όγκο των πληροφοριών και το μακροσκελές κείμενο, μειώνεται η πιθανότητα για ένα υποκείμενο των δεδομένων (ιδίως δε για ένα παιδί) να λάβει γνώση τουλάχιστον των ουσιωδών πληροφοριών. Η Ο.Ε. του άρθρου 29 στις Κατευθυντήριες Γραμμές σχετικά με τη διαφάνεια βάσει του κανονισμού 2016/679 (WP260 rev.01)συνιστά τη χρήση προσέγγισης πολλών επιπέδων όταν η ενημέρωση γίνεται σε ψηφιακό περιβάλλον (βλ. σκέψεις 35 - 37). Η Αρχή παραπέμπει το ΥΠΑΙΘ σε σχετική ανακοίνωσητην οποία εξέδωσε πρόσφατα, ώστε να βελτιώσει την παρεχόμενη στα υποκείμενα δεδομένων πληροφόρηση μέσω της ιστοσελίδας, η οποία είναι το βασικό μέσο παροχής πληροφόρησης και στην οποία επενεργεί συμπληρωματικά το λοιπό υλικό (π.χ. οπτικοακουστικό).
6. Συναφώς με τα ανωτέρω και την ικανοποίηση της αρχής της διαφάνειας, παρατηρείται ότι στην ιστοσελίδα https://webex.sch.gr/students.php εμφανίζεται ενημερωτικό μήνυμα σε σχέση με τη χρήση cookies από το οποίο δημιουργείται στον επισκέπτη της ιστοσελίδας η εντύπωση ότι είναι υποχρεωμένος να παράσχει συγκατάθεση («Εάν συνεχίσετε να χρησιμοποιείτε τη σελίδα, θα υποθέσουμε πως είστε ικανοποιημένοι με αυτό»). Καθώς, σύμφωνα με όσα αναφέρει το ΥΠΑΙΘ, τα συγκεκριμένα cookies είναι απαραίτητα για τη λειτουργία της ιστοσελίδας, το εν λόγω μήνυμα θα πρέπει να τροποποιηθεί κατάλληλα. Στην προκειμένη περίπτωση σκοπός θα πρέπει να είναι μόνο η ενημέρωση για τη χρήση (“απαραίτητων”) cookies καθώς ο επισκέπτης της ιστοσελίδας δεν έχει επιλογή να τα αρνηθεί. Η Αρχή παραπέμπει το ΥΠΑΙΘ στο από 25/02/2020 δελτίο τύπου με «Συστάσεις για τη συμμόρφωση υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες», στο οποίο περιλαμβάνεται, υπό μορφή σημείων προσοχής, καθοδήγηση για τη σύννομη χρήση τέτοιων τεχνολογιών καθώς και πρακτικές που πρέπει να αποφεύγονται.
7. Σε σχέση με την συμπλήρωση των μέτρων που είναι απαραίτητα για τον περιορισμό των κινδύνων που σχετίζονται με τον έλεγχο ταυτοπροσωπίας, και ιδίως με τη χρήση προσωπικών συσκευών, με τρόπο που να εξασφαλίζεται ότι το σύνολο των εκπαιδευτικών που εμπλέκονται στη διαδικασία εξ αποστάσεως εκπαίδευσης λαμβάνει ελάχιστη ενημέρωση, η Αρχή κρίνει ότι το ΥΠΑΙΘ προέβη σε κατάλληλες ενέργειες, ώστε να δρομολογηθεί η βελτίωση της παρεχόμενης ενημέρωσης και της ευαισθητοποίησης των εκπαιδευτικών και μαθητών, όπως αυτές περιγράφονται στα υπομνήματά του.
8. Σε σχέση με την εφαρμογή του Κεφαλαίου V του ΓΚΠΔ και την αξιολόγηση των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες, ήδη με το πρώτο υπόμνημά του το ΥΠΑΙΘ ενημέρωσε ότι με την ολοκλήρωση της μελέτης DTIA, το ΥΠΑΙΘ και η CISCO θα προχωρήσουν σε σύναψη νέας σύμβασης, η οποία θα περιλαμβάνει επικαιροποιημένες συμβατικές ρήτρες σύμφωνα με τα διαλαμβανόμενα στην Εκτελεστική Απόφαση (ΕΕ) 2021/914 της Επιτροπής της 4ης Ιουνίου 2021, ακολουθεί δε ως προς αυτό την επισήμανση της σκέψης με αριθμό 20 της απόφασης 50/2021 της Αρχής.
9. Ως προς το ζήτημα του υπευθύνου επεξεργασίας της διαβίβασης, η CISCO HELLAS ΑΕ συλλέγει, κατ’ αρχήν, δεδομένα ως εκτελούσα την επεξεργασία για το ΥΠΑΙΘ. Όπως αναφέρεται στην απόφαση 50/2021 «...εφαρμοστέες μπορεί να είναι μόνο οι τυποποιημένες συμβατικές ρήτρες οι οποίες περιλαμβάνονται στο εκάστοτε «MASTER DATA PROTECTION AGREEMENT» που αποτελεί αναπόσπαστο τμήμα των συμβάσεων δωρεάν παραχώρησης της πλατφόρμας Webex. Με βάση τις ρήτρες αυτές, προκύπτει ότι πραγματοποιείται διαβίβαση δεδομένων από το ΥΠΑΙΘ ως υπεύθυνο επεξεργασίας, προς την εδρεύουσα στις ΗΠΑ Cisco. Το ΥΠΑΙΘ δεν έχει διευκρινίσει εάν έχει εφαρμογή ή όχι η συγκεκριμένη συμβατική ρύθμιση. Η ίδια η CISCO στο δημόσιο κείμενο FAQ: International Transfer of Personal Data post-Schrems II and Brexitδεν περιλαμβάνει τους σκοπούς επεξεργασίας στους οποίους αναφέρονται οι παραπάνω ρήτρες μεταξύ εκείνων για τους οποίους διαβιβάζει δεδομένα ως υπεύθυνος επεξεργασίας (αναφέρει στη σελ. 5 «human resources data, administrative data, billing information, and customer relationship management»). Είναι δηλαδή σαφές ότι η (τεχνική) λειτουργία της πλατφόρμας τηλεκπαίδευσης αποτελεί σκοπό για τον οποίο υπεύθυνος είναι το ΥΠΑΙΘ ενώ, όπως είχε αναφερθεί και στην απόφαση 50/2021, η CISCO HELLAS είναι υπεύθυνος επεξεργασίας για τους σκοπούς τιμολόγησης. Συνεπώς, δεν επιβεβαιώνεται ο ισχυρισμός του ΥΠΑΙΘ ότι προς το σκοπό της εκτέλεσης των συμβάσεων που συνάπτει η CISCO HELLAS η ίδια η εταιρεία είναι υπεύθυνος επεξεργασίας (για την τεχνική λειτουργία της πλατφόρμας τηλεκπαίδευσης και για λόγους τιμολόγησης). Επισημαίνεται προς πληρότητα και ενημέρωση, ότι σε κάθε περίπτωση, ακόμα δηλαδή κι αν θεωρηθεί ότι η διαβίβαση γίνεται από την CISCO HELLAS για τους δικούς της σκοπούς (ως υπεύθυνης επεξεργασίας και όχι στο πλαίσιο της σύμβασης) είναι σαφές ότι το ΥΠΑΙΘ έχει ευθύνη να ελέγξει αν η διαβίβαση των δεδομένων προς την CISCO HELLAS είναι νόμιμη, γνωρίζοντας ότι τα δεδομένα αυτά μπορεί να διαβιβαστούν στις Η.Π.Α., όπως άλλωστε επισημαίνει στο κείμενό της και η Αρχή της Δανίας («.the Danish company must assess on which legal basis it may disclose the relevant metadata to the CSP for the CSP’s processing of the data for its own purposes....»).
10. Το ΥΠΑΙΘ, μέσω της CISCO έχει ακολουθήσει τη λεγόμενη “risk based approach” και έχει εκτιμήσει ότι καθώς η πιθανότητα πρόσβασης των αρχών των Η.Π.Α. στα δεδομένα είναι πολύ μικρή, η εν λόγω επεξεργασία είναι επιτρεπτή. Συγκεκριμένα, η αξιολόγηση του ΥΠΑΙΘ ως υπευθύνου επεξεργασίας καταλήγει στο συμπέρασμα ότι η σχετική νομοθεσία στις Η.Π.Α. είναι προβληματική και ότι τα διαβιβαζόμενα δεδομένα και/ή ο εισαγωγέας των δεδομένων εμπίπτει στο πεδίο εφαρμογής της νομοθεσίας αυτής. Στη συνέχεια, όπως προκύπτει από το υπόμνημα του ΥΠΑΙΘ και τη σχετική ανάλυση της CISCOεξετάστηκαν από το Υπουργείο τα συμπληρωματικά μέτρα που εφαρμόζονται, ώστε ο επιλεχθείς μηχανισμός διαβίβασης (τυποποιημένες ρήτρες προστασίας δεδομένων) να διασφαλίζει «ουσιαστικά ισοδύναμο» επίπεδο προστασίας με αυτό της Ε.Ε., εξασφαλίζοντας ότι κάθε αίτημα των αρχών επιβολής του νόμου της τρίτης χώρας (εν προκειμένω Η.Π.Α.) είναι «αναγκαίο και αναλογικό». Περαιτέρω, μετά τον Ιούλιο του 2022, το ΥΠΑΙΘ αναφέρει ότι καταργούνται οι διαβιβάσεις σε χώρες εκτός Ε.Ε. και τα δεδομένα θα τηρούνται εντός Ε.Ε.. Συνεπώς, μετά την ημερομηνία αυτή, το μόνο ζήτημα που παραμένει είναι η δυνατότητα πρόσβασης των αρχών των Η.Π.Α. στα τηρούμενα εντός Ε.Ε. δεδομένα. Οι συνέπειες από τον υπολογισθέντα κίνδυνο μειώνονται, ακόμα περισσότερο στην περίπτωση του ΥΠΑΙΘ, καθώς από τα διαβιβαζόμενα δεδομένα (ή/και αυτά που θα τυγχάνουν επεξεργασίας μετά την 1/7/2022) περιλαμβάνουν σε μεγάλο βαθμό εικονικά στοιχεία, όσον αφορά στους μαθητές, και η ταυτοποίησή τους, αν και δεν μπορεί να αποκλειστεί, λόγω της παρουσίας αναγνωριστικών όπως οι IP και MAC διευθύνσεις, απαιτεί διασταύρωση (ενδεχομένως πολλαπλές διασταυρώσεις) με άλλες πηγές δεδομένων. Στην περίπτωση βέβαια των εκπαιδευτικών η ταυτοποίηση μπορεί να γίνει απλούστερα. Πρέπει επίσης να ληφθεί υπόψη ότι εκ του σκοπού και της φύσης της διαδικασίας εξ αποστάσεως εκπαίδευσης, είναι εξαιρετικά απίθανο τέτοια δεδομένα -τα οποία αναφέρονται σε εκπαιδευτική διαδικασία- να είναι αναγκαία για τις αρχές επιβολής του νόμου των Η.Π.Α.. Η προσέγγιση αυτή, με βάση τον κίνδυνο, όπως φαίνεται και από τις αντίστοιχες μελέτες για ανταγωνιστικά προϊόντα, έχει γίνει μια λύση που φαίνεται ότι ακολουθείται ή προτείνεται από υπεύθυνους επεξεργασίας σε παρόμοιες εφαρμογές. Συνεπώς, εκ της μεθόδου που εργάστηκε το ΥΠΑΙΘ και βάσει της οποίας τεκμηρίωσε τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα σε χώρες εκτός Ε.Ε. μπορεί να γίνει δεκτό ότι το Υπουργείο πραγματοποίησε αξιολόγηση της διαβίβασης με τρόπο ο οποίος περιγράφεται στην σκέψη 20 της Απόφασης 50/2021 της Αρχής.
11. Επισημαίνεται ότι η προσέγγιση με βάση τον κίνδυνο δεν έχει γίνει, έως σήμερα, δεκτή από τις εποπτικές αρχές του ΓΚΠΔ. Συγκεκριμένα, η διατύπωση του άρθρου 44 του ΓΚΠΔ δεν προβλέπει το μέγεθος του απειλούμενου κινδύνου ως κριτήριο της δυνατότητας διαβίβασης, αλλά απαιτεί να μην υπονομεύεται το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο ΓΚΠΔ. Μάλιστα, στις περιπτώσεις που ο νομοθέτης ακολουθεί προσέγγιση με βάση τον κίνδυνο στο ΓΚΠΔ, αυτό αναφέρεται ρητά στην εκάστοτε διάταξη. Συνεπώς, αν και η Αρχή δέχεται ότι η πιθανότητα πρόσβασης από τις αρχές επιβολής του νόμου των Η.Π.Α. στα δεδομένα προσωπικού χαρακτήρα της εν λόγω επεξεργασίας, είναι πολύ μικρή, είναι αμφίβολο αν η διαπίστωση αυτή καθιστά επιτρεπτή τη διαβίβαση (ακόμα και μετά την 1/7/2022). Το εν λόγω ζήτημα, όμως, δεν αφορά μόνο το ΥΠΑΙΘ, αλλά αφορά κάθε υπεύθυνο επεξεργασίας ο οποίος χρησιμοποιεί υπηρεσίες τηλεδιάσκεψης εταιρειών οι οποίες ανήκουν σε όμιλο ελεγχόμενο από οντότητα που υπόκειται στο δίκαιο των Η.Π.Α.. Καθώς το ζήτημα αυτό έχει διασυνοριακές προεκτάσεις, η Αρχή θα εξετάσει το ζήτημα με τις εποπτικές αρχές του ΓΚΠΔ μέσω των διαδικασιών συνεργασίας ή/και συνεκτικότητας οι οποίες προβλέπονται στο ΓΚΠΔ, ώστε να επιτευχθεί συνεκτική και συνολική λύση ή προσέγγιση.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή κρίνει ότι δεν απαιτείται νέο διορθωτικό μέτρο σε σχέση με την ανωτέρω υπόθεση. Παράλληλα καλεί το Υπουργείο Παιδείας και Θρησκευμάτων όπως προβεί στις αναγκαίες τροποποιήσεις για τη βελτίωση της διαφάνειας, όπως περιγράφονται στις σκέψεις 5 και 6 της απόφασης.
Ο Πρόεδρος
Η Γραμματέας
Κωνσταντίνος Μενουδάκος
Γεωργία Παλαιολόγου