Τετάρτη, 15 Οκτωβρίου 2014

Αυστηρή προειδοποίηση της Αρχής για την προστασία των προσωπικών δεδομένων στο υπ. Παιδείας

Δεν τηρήθηκαν οι κανόνες ασφαλείας κατά την απογραφή των υπαλλήλων των Πανεπιστημίων


«Κόκκινη κάρτα» βγάζει η Αρχή Προστασίας Προσωπικών Δεδομένων στο Υπουργείο Παιδείας αποδεχόμενη καταγγελίες ότι δεν τηρήθηκαν οι κανόνες ασφαλείας στους διαδικτυακούς τόπους όπου έγινε απογραφή διοικητικών υπαλλήλων οκτώ Πανεπιστημίων οι οποίοι βγήκαν σε διαθεσιμότητα αλλά και εκπαιδευτικών που έκαναν αιτήσεις για απασχόληση σε δημόσια ΙΕΚ.


Πρόκειται για τους διαδικτυακούς τόπους http://odysseas.it.minedu.gov.gr/ και http://iekteachers.sch.gr/Login όπου εμφανίζεται να μην ήταν κρυπτογραφημένη η σύνδεση των χρηστών αλλά ούτε και σε ισχύ επαρκείς μηχανισμοί για την αυθεντικοποίηση των στοιχείων. Συγκεκριμένα, σύμφωνα με τις καταγγελίες, για την πρόσβαση στον πρώτο διαδικτυακό τόπο «απαιτείτο η εισαγωγή προσωπικών στοιχείων του εκάστοτε υπαλλήλου τα οποία δύνανται να γνωρίζουν και άλλοι, χωρίς να πραγματοποιείται κανένας άλλος έλεγχος σχετικά με την επιβεβαίωση της ταυτότητάς του». Στην δεύτερη περίπτωση «τα δεδομένα που αποστέλλονται στον συγκεκριμένο διαδικτυακό τόπο, όπως ο Αριθμός Φορολογικού Μητρώου και ο Αριθμός Μητρώου Κοινωνικής Ασφάλισης, δεν είναι κρυπτογραφημένα».

Η Αρχή δεν πείστηκε από τους ισχυρισμούς των υπευθύνων επεξεργασίας οι οποίοι και απάντησαν στις αιτιάσεις της ότι τηρήθηκαν όλοι οι κανόνες ασφαλείας. 

Αυτό που βάρυνε στην περίπτωση των υπαλλήλων των Πανεπιστημίων ήταν «ότι οι πίνακες μοριοδότησης προσόντων των υπαλλήλων που βασίστηκαν σε μη ακριβή δεδομένα δεν έχουν πλέον ισχύ» με αποτέλεσμα η Αρχή να περιοριστεί σε αυστηρή προειδοποίηση προς το Υπουργείο Παιδείας. Προχώρησε, μάλιστα, ένα ακόμη βήμα δίνοντας και οδηγίες ώστε το υπουργείο Παιδείας να εφαρμόζει κατάλληλα μέτρα κατά την επεξεργασία προσωπικών δεδομένων μέσω των διαδικτυακών του εφαρμογών. 

Όπως αναφέρεται χαρακτηριστικά στην επίμαχη απόφαση: 

«Ειδικότερα, για οποιαδήποτε διαδικτυακή εφαρμογή του Υπουργείου απαιτείται η σύνδεση χρηστών μέσω διακριτικών αυθεντικοποίησης, θα πρέπει να πληρούνται τα κάτωθι:

α) Ως προς τους μηχανισμούς αυθεντικοποίησης των χρηστών, θα πρέπει να ακολουθούνται τα όσα ρητώς επισημαίνονται στο Πλαίσιο Παροχής Υπηρεσιών Ηλεκτρονικής Διακυβέρνησης. Επισημαίνεται ιδιαίτερα ότι σε καμία περίπτωση δεν επιτρέπεται να βασίζεται η αυθεντικοποίηση των χρηστών των διαδικτυακών εφαρμογών μόνο σε αναγνωριστικά τα οποία δύνανται να είναι εις γνώσιν άλλων (όπως είναι, για παράδειγμα, ο Αριθμός Φορολογικού Μητρώου), ακόμα και εάν επίκειται υποβολή εγγράφων αποδεικτικών των υποβληθέντων στοιχείων.

β) Αναφορικά με την απόδοση διαπιστευτηρίων στους χρήστες (ήτοι την εγγραφή τους στις ηλεκτρονικές υπηρεσίες), θα πρέπει να ακολουθούνται τα όσα ρητώς επισημαίνονται στο Πλαίσιο Παροχής Υπηρεσιών Ηλεκτρονικής Διακυβέρνησης. Επισημαίνεται ιδιαίτερα ότι, εφόσον πραγματοποιείται επεξεργασία ευαίσθητων προσωπικών δεδομένων μέσω διαδικτυακής εφαρμογής, ο χρήστης θα πρέπει να παραλαμβάνει τα διακριτικά αυθεντικοποίησής του με φυσική του παρουσία στην αρμόδια Υπηρεσία, σύμφωνα με τα όσα αναφέρονται στο Πλαίσιο Παροχής Υπηρεσιών Ηλεκτρονικής Διακυβέρνησης.

γ) Η σύνδεση των χρηστών με τη διαδικτυακή εφαρμογή θα πρέπει να είναι κρυπτογραφημένη με χρήση του πρωτοκόλλου HTTPS, το οποίο να βασίζεται στη χρήση πιστοποιητικών που χαρακτηρίζονται ως ασφαλή από τα προγράμματα πλοήγησης στο Διαδίκτυο (φυλλομετρητές)».

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου