«Διάτρητη» αποδείχτηκε η διαδικασία με την οποία έγινε η απογραφή των διοικητικών υπαλλήλων σε οκτώ πανεπιστήμια οδηγώντας την Αρχή Προστασίας Προσωπικών Δεδομένων να απευθύνει αυστηρή προειδοποίηση στο Υπουργείο Παιδείας να τηρεί τους κανόνες ασφαλείας στις διαδικτυακές εφαρμογές που χρησιμοποιεί.

Και αυτό γιατί, όπως αναφέρει σε απόφασή της η Αρχή, δεν τηρήθηκαν οι προβλεπόμενοι κανόνες ασφαλείας στους διαδικτυακούς τόπους όπου έγινε απογραφή των διοικητικών υπαλλήλων συγκεκριμένων κλάδων σε οκτώ πανεπιστήμια οι οποίοι βγήκαν σε διαθεσιμότητα αλλά και εκπαιδευτικών που έκαναν αιτήσεις για απασχόληση σε δημόσια ΙΕΚ.

ΔΙΑΦΗΜΙΣΤΙΚΟΣ ΧΩΡΟΣ

Πρόκειται για τους διαδικτυακούς τόπους http://odysseas.it.minedu.gov.gr/ και http://iekteachers.sch.gr/Login όπου εμφανίζεται να μην ήταν κρυπτογραφημένη η σύνδεση των χρηστών αλλά ούτε και σε ισχύ επαρκείς μηχανισμοί για την αυθεντικοποίηση των στοιχείων.

Η Αρχή αποδέχτηκε τις καταγγελίες που δέχτηκε για την πρόσβαση στον πρώτο διαδικτυακό τόπο «απαιτείτο η εισαγωγή προσωπικών στοιχείων του εκάστοτε υπαλλήλου τα οποία δύνανται να γνωρίζουν και άλλοι, χωρίς να πραγματοποιείται κανένας άλλος έλεγχος σχετικά με την επιβεβαίωση της ταυτότητάς του». Στην δεύτερη περίπτωση «τα δεδομένα που αποστέλλονται στον συγκεκριμένο διαδικτυακό τόπο, όπως ο Αριθμός Φορολογικού Μητρώου και ο Αριθμός Μητρώου Κοινωνικής Ασφάλισης, δεν είναι κρυπτογραφημένα».

Η Αρχή δεν πείστηκε από τους ισχυρισμούς των υπευθύνων επεξεργασίας οι οποίοι και απάντησαν στις αιτιάσεις της ότι τηρήθηκαν όλοι οι κανόνες ασφαλείας.

ΔΙΑΦΗΜΙΣΤΙΚΟΣ ΧΩΡΟΣ

Αυτό που βάρυνε στην περίπτωση των υπαλλήλων των Πανεπιστημίων ήταν «ότι οι πίνακες μοριοδότησης προσόντων των υπαλλήλων που βασίστηκαν σε μη ακριβή δεδομένα δεν έχουν πλέον ισχύ» με αποτέλεσμα η Αρχή να περιοριστεί σε αυστηρή προειδοποίηση προς το Υπουργείο Παιδείας. Προχώρησε, μάλιστα, ένα ακόμη βήμα δίνοντας και οδηγίες ώστε το υπουργείο Παιδείας να εφαρμόζει κατάλληλα μέτρα κατά την επεξεργασία προσωπικών δεδομένων μέσω των διαδικτυακών του εφαρμογών.

Όπως αναφέρεται χαρακτηριστικά στην επίμαχη απόφαση: «Ειδικότερα, για οποιαδήποτε διαδικτυακή εφαρμογή του Υπουργείου απαιτείται η σύνδεση χρηστών μέσω διακριτικών αυθεντικοποίησης, θα πρέπει να πληρούνται τα κάτωθι:

α) Ως προς τους μηχανισμούς αυθεντικοποίησης των χρηστών, θα πρέπει να ακολουθούνται τα όσα ρητώς επισημαίνονται στο Πλαίσιο Παροχής Υπηρεσιών Ηλεκτρονικής Διακυβέρνησης. Επισημαίνεται ιδιαίτερα ότι σε καμία περίπτωση δεν επιτρέπεται να βασίζεται η αυθεντικοποίηση των χρηστών των διαδικτυακών εφαρμογών μόνο σε αναγνωριστικά τα οποία δύνανται να είναι εις γνώσιν άλλων (όπως είναι, για παράδειγμα, ο Αριθμός Φορολογικού Μητρώου), ακόμα και εάν επίκειται υποβολή
εγγράφων αποδεικτικών των υποβληθέντων στοιχείων.

β) Αναφορικά με την απόδοση διαπιστευτηρίων στους χρήστες (ήτοι την εγγραφή τους στις ηλεκτρονικές υπηρεσίες), θα πρέπει να ακολουθούνται τα όσα ρητώς επισημαίνονται στο Πλαίσιο Παροχής Υπηρεσιών Ηλεκτρονικής Διακυβέρνησης. Επισημαίνεται ιδιαίτερα ότι, εφόσον πραγματοποιείται επεξεργασία ευαίσθητων προσωπικών δεδομένων μέσω διαδικτυακής εφαρμογής, ο χρήστης θα πρέπει να παραλαμβάνει τα διακριτικά αυθεντικοποίησής του με φυσική του παρουσία στην αρμόδια Υπηρεσία, σύμφωνα με τα όσα αναφέρονται στο Πλαίσιο Παροχής Υπηρεσιών Ηλεκτρονικής Διακυβέρνησης.

γ) Η σύνδεση των χρηστών με τη διαδικτυακή εφαρμογή θα πρέπει να είναι κρυπτογραφημένη με χρήση του πρωτοκόλλου HTTPS, το οποίο να βασίζεται στη χρήση πιστοποιητικών που χαρακτηρίζονται ως ασφαλή από τα προγράμματα πλοήγησης στο Διαδίκτυο (φυλλομετρητές)».

σχόλια αναγνωστών
oδηγός χρήσης
ΔΙΑΒΑΣΤΕ ΠΕΡΙΣΣΟΤΕΡΑ: #Απογραφή #δημόσιο #υπάλληλοι