Πέμπτη 18 Νοεμβρίου 2021

Σκάνδαλο Cisco: Ποια δεδομένα μας «κρατάει» το Webex - Το χρονικό

Νίκος Μάστορας

Tα δεδομένα που κρατάει το  Webex της τηλεκπαίδευσης και παραχωρούνται στην εταιρεία Cisco, η οποία βέβαια μας έχει διαβεβαιώσει ότι...δεν τα χρησιμοποιεί, παρουσιάζει σήμερα το alfavita.gr .

Ταυτόχρονα, παρουσιάζουμε το χρονικό του σκανδάλου που συνταράσσει για δεύτερη φορά την εκπαιδευτική κοινότητα μετά από την απόφαση-κόλαφο της Αρχής Προστασίας Προσωπικών Δεδομένων κατά της κ.Κεραμέως, την παραίτηση της οποίας ζήτησε, ξανά, ο ΣΥΡΙΖΑ.

Αποκάλυψη: Ποια δεδομένα μας κρατάει το Webex

Aς δούμε όμως προηγουμένως ποιά ακριβώς δεδομένα και μεταδεδομένα κρατάει το Webex, όπως καταγράφονται στην απόφαση της Αρχής.  Από την επικαιροποιημένη Εκτίμηση Αντικτύπου Προστασίας Δεδομένων (ΕΑΠΔ) και τα στοιχεία του φακέλου της υπόθεσης (συμπεριλαμβανομένου του αρχείου δραστηριοτήτων), προκύπτουν τα εξής σε σχέση με τις διενεργούμενες πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα, μέσω του συστήματος Webex. Συγκεκριμένα, από την ανάλυση των “privacy data sheets” της Cisco και από την ενότητα 2.3 της ΕΑΠΔ προκύπτει ότι κατά την επεξεργασία συλλέγονται οι εξής κατηγορίες δεδομένων:

Α) Δεδομένα πληροφοριών χρήστη: όνομα (name), διεύθυνση email, κωδικός πρόσβασης, λογισμικό φυλλομετρητή (browser), τηλεφωνικός αριθμός (προαιρετικά), διεύθυνση ταχυδρομείου (προαιρετικά), εικονίδιο avatar (προαιρετικό), πληροφορίες χρήστη που περιλαμβάνονται στο φάκελό του (σε περίπτωση συγχρονισμού), μοναδικό αναγνωριστικό χρήστη (UUID).

B) Δεδομένα υπολογιστών και χρήσης: διεύθυνση IP, αναγνωριστικό User Agent, τύπος υλισμικού, τύπος και έκδοση λειτουργικού συστήματος, έκδοση προγράμματος πελάτη, διευθύνσεις IP δικτυακής διαδρομής, διεύθυνση MAC χρήστη (όπου εφαρμόζεται), έκδοση υπηρεσίας, ενέργειες που έγιναν, γεωγραφική περιοχή, πληροφορίες συνόδου συνάντησης (Session Information π.χ. ημέρα και ώρα, συχνότητα, μέση και πραγματική διάρκεια, ποσότητα, ποιότητα, δικτυακή δραστηριότητα, και δικτυακή συνδεσιμότητα), αριθμό συναντήσεων, αριθμό συνόδων με και χωρίς διαμοιρασμό οθόνης, αριθμό συμμετεχόντων, ανάλυση οθόνης, μέθοδος σύνδεσης, απόδοση, πληροφορίες διάγνωσης και αντιμετώπισης προβλημάτων, πληροφορίες του φιλοξενούντα (host) τη συνάντηση για σκοπούς χρέωσης (όνομα και ID host, URL συνάντησης, ώρα αρχής/τέλους συνάντησης), τίτλος συνάντησης, πληροφορία συμμετεχόντων η οποία περιλαμβάνει διευθύνσεις email, διευθύνσεις IP, ονόματα χρήστη, τηλεφωνικούς αριθμούς, πληροφορίες συσκευής δωματίου (room device information).

Γ) Πληροφορίες που δημιουργούνται από τον χρήστη: εγγραφές συνάντησης (αν έχουν ενεργοποιηθεί), μεταγραφές εγγραφών συνάντησης (προαιρετικό, μόνο αν ενεργοποιηθεί), μεταφορτωμένα αρχεία (για το Webex Events and Training μόνο).

Οι χρόνοι διατήρησης δεδομένων για κάθε κατηγορία

α. Για ενεργές συνδρομές: όσο είναι ενεργή η συνδρομή. Για ληγμένες συνδρομές: Τα δεδομένα διαγράφονται εκτός από τα Name και UUID, τα οποία διατηρούνται για 7 έτη ως μέρος των επιχειρηματικών αρχείων της Cisco και διατηρούνται ώστε να η εταιρεία να συμμορφώνεται με οικονομικές και ελεγκτικές απαιτήσεις (όπως και τα δεδομένα που αφορούν χρεώσεις).

β. Διατηρούνται για 3 έτη, για το αρχείο που σχετίζεται με την παράδοση των υπηρεσιών της Cisco. Οι πληροφορίες αυτές χρησιμοποιούνται για την εξαγωγή αναλυτικών στοιχείων και για τη στατιστική μέτρηση της απόδοσης αλλά ψευδωνυμοποιημένες. Οι πληροφορίες χρέωσης (billing) που τηρούνται για 7 έτη.)

γ. Οι πληροφορίες αυτές διατηρούνται έως 60 ημέρες μετά τη λήξη της υπηρεσίας. Σε σχέση με τα μέτρα ασφάλειας, τα δεδομένα κατηγοριών α και γ κρυπτογραφούνται κατά τη μετάδοση και κατά την αποθήκευση, ενώ της κατηγορίας β μόνο κατά την αποθήκευση

Το χρονικό του σκανδάλου Cisco

-Τον Απρίλιο του 2020, εν μέσω πρώτου κύματος πανδημίας και αρχών τηλεκπαίδευσης, ο Νίκος Φίλης καταγγέλει μέσα στη Βουλή προσπάθεια ιδιωτικοποίησης της Μέσης Εκπαίδευσης η οποία μάλιστα "έχει όνομα και λέγεται CISCO". Ρώτησε μάλιστα αν η Cisco μπήκε στο σχολικό δίκτυο έχοντας πρόσβαση στα προσωπικά δεδομένα μαθητών και εκπαιδευτικών και αν το υπουργείο Παιδείας έχει επικοινωνήσει για το ζήτημα αυτό με την Αρχή Προστασίας Προσωπικών Δεδομένων. Η κ.Κεραμέως απαντά  ότι ο ΣΥΡΙΖΑ βλέπει εχθρούς εκεί που δεν υπάρχουν και ποινικοποιεί τις δωρεάν παροχές του ιδιωτικού τομέα, γιαυτό και κάνει στείρα αντιπολίτευση.

-Τον Μάιο, αποκαλύφθηκε ότι ούτε Εκθεση Αντικτύπου δεν είχε φροντίσει να κάνει το υπουργείο, με αποτέλεσμα τον Σεπτέμβριο του 2020, να εκδοθει η Γνωμοδότηση 4/2020 (7.9.2020), της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) που έκρινε ότι η παροχή σύγχρονης εξ αποστάσεως εκπαίδευσης δεν αντίκειται στη νοµοθεσία, ωστόσο ανέφερε ρητά ότι αποκλείστηκαν από τη διαδικασία οι εμπλεκόμενοι φορείς και οι κατάλληλοι εμπειρογνώμονες, ενώ οι έκτακτες συνθήκες της πανδημίας δεν καθιστούν επαρκή αιτιολόγηση για την παράκαµψη της διαδικασίας λήψης γνώµης των υποκειµένων των δεδοµένων.

-Τον Νοέμβριο του ίδιου χρόνου, κι ενώ η αντιπολίτευση-όχι μόνο ο ΣΥΡΙΖΑ- ζητά με έμφαση πλέον να δει τις συμβάσεις με τη Cisco, η κ.Κεραμέως επιμένει ότι πρόκειται για δωρεά και ότι το Δημόσιο «δεν έχει ξοδέψει ούτε ευρώ», ενώ  απευθύνει την αδιανόητη πρόσκληση στα κόμματα να...πάνε στο γραφείο της να δουν τη σύμβαση -αντί να την καταθέσει στη Βουλή.

-Το υπουργείο Παιδείας υπογράφει δύο νέες συμβάσεις με τη Cisco (11 Σεπτεμβρίου 2020 και 9 Νοεμβρίου 2020). Στις 7 Νοεμβρίου ξεκινά η υποχρεωτική τηλεκπαίδευση σε Γυμνάσια και Λύκεια. Η πλατφόρμα που βασίζεται στη δοκιμαστική (και όχι δωρεάν) έκδοση του Webex καταρρέει...

-Τον Μάρτιο του 2021, οι συμβάσεις δημοσιοποιούνται "σιωπηρά" και το alfavita.gr αποκαλύπτει για πρώτη φορά ότι δίνουν δυνατότητα πρόσβασης και αξιοποίησης στατιστικών στοιχείων από τα προσωπικά δεδομένα εκατοντάδων χιλιάδων μαθητών και εκπαιδευτικών. Από τη σύμβαση προκύπτει επίσης ότι, μέσω της Κοινωνίας της Πληροφορίας, έγινε τροποποίηση προηγούμενων συμβάσεων με τη huawei με κόστος ύψους 1.896.630 ευρώ. Συνεπώς ούτε δωρεάν είναι η πλατφόρμα... Η κ.Κεραμέως όμως αντί να απολογηθεί, επιμένει να κατηγορεί τον ΣΥΡΙΖΑ ότι "...αλλοπρόσαλλα όπως πάντα - ως Αντιπολίτευση πολεμάει λυσσαλέα την τηλεκπαίδευση και τη χρήση λογισμικού της συγκεκριμένης εταιρείας, και ως Κυβέρνηση αγόραζε άδειες και προϊόντα τηλεδιασκέψεων της συγκεκριμένης εταιρείας"

-Την επόμενη μέρα η Cisco μας ενημερώνει ότι δεν κάνει τέτοια πράγματα: «Στην Cisco (Webex) δεσμευόμαστε για το σεβασμό του απόρρητου των προσωπικών δεδομένων των χρηστών μας, σύμφωνα με τη νομοθεσία περί προστασίας δεδομένων της ΕΕ. Δεν χρησιμοποιούμε για εμπορικούς σκοπούς και δεν μοιραζόμαστε με οποιονδήποτε άλλο τρόπο, τα προσωπικά δεδομένα των χρηστών μας σε τρίτα μέρη και δεν διεξάγουμε δραστηριότητες δημιουργίας προφίλ με τα δεδομένα αυτά», αναφέρει σε δήλωση της η Έλενα Πρασσάκη, διευθύντρια Μάρκετινγκ και Επικοινωνίας της Cisco. Ταυτόχρονα ο Αλέξης Τσίπρας ζητά παραίτηση κεραμέως, κάνοντας την εκτίμηση ότι ο Πρωθυπουργός ήταν σε γνώση της παραχώρησης των μεταδεδομένων 1,5 εκατομμυρίου μαθητών στην εταιρεία Cisco.

-Καθώς η κατάσταση γίνεται πλέον δύσκολη, η κ.Κεραμέως αρχίζει να  λέει τώρα οτι η σύμβαση δεν ήταν μεν δωρεάν, αλλά... Συγκεκριμένα είπε: «Η τηλεκπαίδευση δεν θα μπορούσε να είναι εσαεί δωρεάν. Αυτονοήτως, έπρεπε να εξασφαλίσουμε τη δυνατότητα να συνεχίσουν οι μαθητές και οι εκπαιδευτικοί μας να αξιοποιούν ψηφιακά εργαλεία τηλεκπαίδευσης» δηλώνει η υπουργός και προσθέτει: «Όταν η δωρεά έληξε τον Ιανουάριο 2021, τα υπουργεία Παιδείας και Θρησκευμάτων και Ψηφιακής Διακυβέρνησης αποφάσισαν την αξιοποίηση υφιστάμενων, ανενεργών αδειών, χωρίς επιπλέον επιβάρυνση του δημοσίου, για κάθε χρήση τηλεδιάσκεψης, συνεδριάσεων, τηλεκπαίδευσης, μέσω του Έργου ΣΥΖΕΥΞΙΣ ΙΙ». Εξακολουθεί βεβαίως να μην απαντά για τις 154.000 άδειες CISCO Webex for Education 12άμηνης χρήσης που αγοράστηκαν για τις ανάγκες του υπουργείου Παιδείας κατόπιν αιτήματος του διευθυντή του υπουργού Κυριάκου Πιερρακάκη στην Κοινωνία της Πληροφορίας, η οποία με τη σειρά της προχώρησε στην τροποποίηση έξι εκτελεστικών συμβάσεων υλοποίησης του Εθνικού Δικτύου Δημίσου Τομέα «ΣΥΖΕΥΞΙΣ ΙΙ», που μέχρι τότε έκαναν χρήση υπηρεσιών/προϊόντων της Huawei.

-«Είναι πραγματικά δύσκολο να κατανοήσει κάποιος το λόγο που το υπουργείο Παιδείας αποφάσισε την παραχώρηση εξαιρετικά πολύτιμων δεδομένων δωρεάν σε μια ιδιωτική εταιρία, χωρίς μάλιστα να ενημερώσει κανέναν. Πολύ περισσότερο, όταν τα δεδομένα αυτά αφορούν παιδιά προσχολικής και σχολικής ηλικίας, καθώς και των γονέων τους, δηλαδή περίπου 1,5 εκατομμυρίων πολιτών» τονίζει μεταξύ άλλων στην ανακοίνωσή της η Ένωση Πληροφορικών Ελλάδας (ΕΠΕ).

-Η υπόθεση σιγά-σιγά ξεχνιέται με τόσα που συμβαίνουν καθημερινά σε αυτή τη χώρα, ώσπου προχτές, η Αρχή Προστασίας Δεδομένων εκδίδει την απόφαση-κόλαφο για την κ.Κεραμέως, χρεώνοντας όχι μια και δύο, αλλά ΠΕΝΤΕ παραβάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων στο Υπουργείο Παιδείας. Ο ΣΥΡΙΖΑ επανέρχεται στο θέμα ζητώντας εκ νέου παραίτηση της υπουργού: "Η υπουργός Παιδείας  θρασύτατα και ψευδέστατα διαβεβαίωνε τους εκπαιδευτικούς, τους μαθητές και τους γονείς τους, ότι προστατεύονται τα προσωπικά τους δεδομένα. Η υπουργός  έλεγε ξεδιάντροπα  ψέματα στην εθνική αντιπροσωπεία ότι η τηλεκπαίδευση παρέχεται δωρεάν από τη Cisco. Αρνούνταν για μήνες την δημοσιοποίηση εγγράφων και φρόντιζε να βρίσκονται άτομα του στενού της περιβάλλοντος στη θέση Υπευθύνων Προστασίας Δεδομένων του Υπουργείου. Είναι προφανές ότι μετά από αυτά τα ατοπήματα η κυρία Κεραμέως δεν μπορεί πλέον να στέκεται ούτε μία ώρα στη θέση της"

Η ίδια πάντως μέχρι στιγμής σιωπά. Λογικά όταν μιλήσει, θα κατηγορήσει την αντιπολίτευση.

Οι 5 "κόκκινες κάρτες" της Αρχής Προστασίας Δεδομένων στην κ.Κεραμέως

Σύμφωνα με την Αρχή Προστασίας Δεδομένων Προσπωπικού Χαρακτήρα η σύμβαση με τη Cisco παρουσιάζει παραβιάσεις της νομοθεσίας σε 5 σημεία, για τα οποία η Αρχή έκανε ισάριθμες επιπλήξεις στο Υπουργείο Παιδείας και ζήτησε την άμεση (εντός μηνών) διόρθωσή τους (Αφαιρέσαμε από το κείμενο τις παραπομπές σε διατάξεις ώστε να είναι ευανάγνωστο, όμως μπορείτε να το δείτε πλήρες στο τέλος του κειμένου)

α) σε σχέση με τα ζητήματα νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, διαπιστώνεται ότι το Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 6 του ΓΚΠΔ, σε συνδυασμό με το άρθρο 4 παρ. 5 του ν. 3471/2006, όπως ισχύει. Συγκεκριμένα, διαπιστώνει πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη και ότι δεν έχει διενεργηθεί αναλυτική διερεύνηση της νομιμότητας των εν λόγω σκοπών, ώστε να μπορεί να τεκμηριωθεί η νομιμότητά του. Ως προς την εν λόγω παράβαση, η Αρχή κρίνει ότι, σε αυτό το στάδιο, το αποτελεσματικό, αναλογικό και αποτρεπτικό μέτρο για την αντιμετώπιση της εν λόγω παράβασης είναι να απευθύνει επίπληξη προς το ΥΠΑΙΘ και παράλληλα να του δώσει εντολή να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ, αντιμετωπίζοντας τις παραβάσεις εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης. Μετά το διάστημα αυτό, το ΥΠΑΙΘ οφείλει να έχει εξασφαλίσει ότι λαμβάνει συγκατάθεση για την πρόσβαση σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό ενός χρήστη, όταν αυτό δεν είναι απαραίτητο για την παροχή της υπηρεσίας που ζήτησε ο χρήστης, και να έχει τεκμηριώσει αναλυτικά τη νομιμότητα των σκοπών επεξεργασίας

β) σε σχέση με τα ζητήματα διαφάνειας διαπιστώνεται ότι το Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 13, σε συνδυασμό με το άρθρο 5 παρ. 1 α του ΓΚΠΔ, το άρθρο 12 και το άρθρο 37 παρ. 7 ΓΚΠΔ. Συγκεκριμένα, διαπιστώνεται ότι οι παρεχόμενες πληροφορίες είναι λιγότερες από όσες επιβάλλει ο ΓΚΠΔ, ότι οι πληροφορίες δεν είναι σε κατανοητή και εύκολα προσβάσιμη μορφή και δεν χρησιμοποιείται σαφής και απλή διατύπωση, λαμβάνοντας ιδίως υπόψη και ότι πρόκειται για πληροφορία που απευθύνεται και σε παιδιά. Ως προς την εν λόγω παράβαση, η Αρχή κρίνει ότι σε αυτό το στάδιο, το αποτελεσματικό, αναλογικό και αποτρεπτικό μέτρο για την αντιμετώπιση της εν λόγω παράβασης είναι, να απευθύνει επίπληξη προς το ΥΠΑΙΘ και παράλληλα να του δώσει εντολή να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ, αντιμετωπίζοντας τις παραβάσεις και τροποποιώντας τη διαδικασία και το περιεχόμενο της παρεχόμενης ενημέρωσης εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης.

γ) Σε σχέση με τους κινδύνους που ενέχει η συγκεκριμένη επεξεργασία δεδομένων προσωπικού χαρακτήρα διαπιστώνεται ότι το Υπουργείο έχει παραβιάσει τις διατάξεις του άρθρου 25 παρ. 1 του ΓΚΠΔ, καθώς τα λαμβανόμενα τεχνικά και οργανωτικά μέτρα δεν προστατεύουν επαρκώς τα δικαιώματα των υποκειμένων των δεδομένων. Ως προς την εν λόγω παράβαση, η Αρχή κρίνει ότι, σε αυτό το στάδιο, το αποτελεσματικό, αναλογικό και αποτρεπτικό μέτρο για την αντιμετώπιση της εν λόγω παράβασης είναι να απευθύνει επίπληξη προς το ΥΠΑΙΘ και παράλληλα να του δώσει εντολή να καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ εντός προθεσμίας δύο μηνών από την επίδοση της απόφασης.

δ) Σε σχέση με την έκφραση γνώμης των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε την υποχρέωση του άρθρου 35 παρ. 9 του ΓΚΠΔ. Ως προς την εν λόγω παράβαση, η Αρχή κρίνει ότι, σε αυτό το στάδιο, το αποτελεσματικό, αναλογικό και αποτρεπτικό μέτρο για την αντιμετώπιση της εν λόγω παράβασης είναι να απευθύνει επίπληξη προς το ΥΠΑΙΘ.

ε) Σε σχέση με το ζήτημα της διαβίβασης δεδομένων εκτός Ε.Ε. διαπιστώνεται ότι το ΥΠΑΙΘ παραβίασε τις υποχρεώσεις του άρθρου 46 του ΓΚΠΔ, καθώς δεν έχει πραγματοποιηθεί αξιολόγηση της διαβίβασης. Ως προς την εν λόγω παράβαση και λαμβάνοντας υπόψη την πολύ πρόσφατη σχετική καθοδήγηση του ΕΣΠΔ, η Αρχή κρίνει ότι, σε αυτό το στάδιο, το αποτελεσματικό, αναλογικό και αποτρεπτικό μέτρο για την αντιμετώπιση της εν λόγω παράβασης είναι να απευθύνει επίπληξη προς το ΥΠΑΙΘ και παράλληλα να του δώσει εντολήνα καταστήσει τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του ΓΚΠΔ, αντιμετωπίζοντας τις παραβάσεις εντός προθεσμίας τεσσάρων μηνών από την επίδοση της απόφασης.

Κατόπιν αυτών είναι προφανές, σε μια χώρα που σέβεται τους θεσμούς, ένας υπουργός που έχει δεχθεί τόσα "ραπίσματα" και εμπλέκεται  σε σκάνδαλο παραχώρησης μεταδεδομένων εκατοντάδων χιλιάδων μαθητών σε μια αμερικάνικη εταιρεία, δε θα μπορούσε να παραμείνει στη θέση του. Σε κάποια άλλη χώρα ίσως...

Δείτε εδώ ΟΛΗ την απόφαση της ΑΠΔΠΧ για τη σύμβαση με τη Cisco

πηγή

Δεν υπάρχουν σχόλια: