ΥΠΠΟΑ και διασφάλιση δεδομένων

Πρόκειται για το πώς, αν και με ποιο τρόπο το ΥΠΠΟΑ, ως κρατικός θεσμός, διασφαλίζει το απόρρητο των στοιχείων που του αποστέλλονται από οργανισμούς, καλλιτέχνες, εταιρείες κ.λπ, για το ποια είναι η σχέση του ΥΠΠΟΑ (ηγεσίας ή/και στελεχών του υπουργείου ή και κάποιον άλλο...;) με την Google, πόσα (εγκληματικά) σοβαρά (όχι σύμφωνα με μας, αλλά σύμφωνα με την Ε.Ε.) είναι όσα ζητήματα προκύπτουν από αυτή τη «σχέση» και γιατί τελικά «έπεσε» για μέρες όχι μόνο ο ιστότοπος με τις αναρτηθείσες επιχορηγήσεις αλλά ολόκληρο το ηλεκτρονικό σύστημα του ΥΠΠΟΑ (το απέδωσαν σε επίθεση χάκερ πάλι, αλλά είναι έτσι;).

Θα τα παρουσιάσουμε αρχικά ως κεντρικά σημεία/γεγονότα και θα συνεχίσουμε με την ανάλυση και τις ερωτήσεις, για να γίνει κατανοητό και το θέμα και η σπουδαιότητά του:

● Στις επιτροπές που δημιουργεί το ΥΠΠΟΑ για να αξιολογήσουν τις αιτήσεις για επιχορηγήσεις σε καλλιτεχνικές ομάδες από όλο το πολιτιστικό φάσμα, δεν μετέχουν μόνο στελέχη του ΥΠΠΟΑ αλλά και ιδιώτες, τους οποίους επιλέγει το υπουργείο και δεν είναι λίγες οι φορές που απλώς κάνει λόγο για «άτομα που γνωρίζουν σε βάθος το αντικείμενο» δίχως να λέει καν ποιοι είναι (στην επιτροπή ψηφιακού πολιτισμού, κανείς δεν ξέρει ποια είναι τα εξωθεσμικά μέλη για παράδειγμα).

● Η Ε.Ε. έχει θεσπίσει νομικά τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (γνωστός ως GDPR - General Data Protection Regulation 2016/679). Πρόκειται για έναν κανονισμό στη νομοθεσία της Ε.Ε. (νόμος, όχι οδηγία!) για την προστασία των δεδομένων και την ιδιωτικότητα στην Ε.Ε. και στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ). Αναφέρεται επίσης στη μεταφορά προσωπικών δεδομένων εκτός των χωρών της Ε.Ε. και του ΕΟΧ. Το ότι δηλαδή δεν επιτρέπεται καμία χώρα-μέλος της, με οιονδήποτε τρόπο να επιτρέψει την «μεταφορά»/πώληση/διακίνηση/αποθήκευση (παρά για «ελάχιστη χρονική περίοδο») προσωπικών δεδομένων εκτός Ε.Ε. (όλα αναλυτικά υπάρχουν εδώ: europa.eu - Προστασία δεδομένων στο πλαίσιο του ΓΚΠΔ).

● Η χρήση όλων των προϊόντων της Google (από το να έχεις ένα απλό gmail έως google play ή ό,τι άλλο) από επιχειρήσεις και οργανισμούς (ένα υπουργείο μπορεί να θεωρηθεί οργανισμός, δεν είναι φυσικό πρόσωπο), χρειάζεται νόμιμα εξουσιοδοτημένο εκπρόσωπο του οργανισμού, ο οποίος πρέπει να αποδεχτεί ανεπιφύλακτα τους όρους χρήσης της Google. Ποιοι είναι αυτοί; Πολύ απλά, αναγράφονται πάντοτε στο privacy, στους όρους χρήσης δηλαδή, και πρέπει να το τσεκάρεις για να συνεχίσεις.

● Τι κάνει η Google σε σχέση με τον GDPR; Προσπαθεί ή όχι να τον αποφύγει «περιφερειακά»; Ζητάει από το ΥΠΠΟΑ στην προκειμένη περίπτωση να θέσει έναν (έναν ζητάει η Google) νόμιμα εξουσιοδοτημένο εκπρόσωπό του, ώστε να αποδεχθεί ανεπιφύλακτα τους όρους χρήσης της. Το έχει κάνει αυτό το ΥΠΠΟΑ;

● H Google (πλέον ονομάζεται Alphabet) ισχυρίζεται, τόσο με την επικοινωνιακή της τακτική όσο και από διατυπώσεις στους όρους χρήσης και όρους για τα προσωπικά δεδομένα, ότι προσπαθεί να συμμορφωθεί με την ευρωπαϊκή νομοθεσία. Διάφορες ευρωπαϊκές ανεξάρτητες αρχές φαίνεται ότι έχουν άλλη γνώμη. Αυτά που χρειάζεται να κάνει η Google είναι πολύ απλά και καθαρά, άσχετα αν ίσως έρχονται σε αντίθεση με τα εταιρικά της συμφέροντα. Επιπλέον, η Κομισιόν, στις 14 Ιουνίου 2023, ανακοίνωσε ότι την προβληματίζει η παραβίαση της αντιμονοπωλιακής νομοθεσίας και η παραμόρφωση του ανταγωνισμού στην αγορά της διαφήμισης (γνωστή ως adtech). Αυτό αφορά το Google Search, το YouTube και τις συσκευές Android.

● Υποθέσεις (είναι δεκάδες, αναφέρουμε ενδεικτικά κάποιες):

Ιανουάριος 2022: Η Αυστριακή Αρχή Προστασίας Δεδομένων έκρινε το Google Analytics παράνομο με βάση την απόφαση ότι οι ιστότοποι που χρησιμοποιούν το Google Analytics αποστέλλουν δεδομένα στις ΗΠΑ.

Φεβρουάριος 2022: Η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL) έκρινε ότι η χρήση του Google Analytics είναι παράνομη βάσει του GDPR, λόγω διαβιβάσεων δεδομένων στις ΗΠΑ.

Ιούλιος 2023: Η Σουηδική Αρχή Προστασίας Δεδομένων (IMY) επέβαλε σημαντικά πρόστιμα για πρώτη φορά σε εταιρείες που χρησιμοποιούν το Google Analytics στους ιστότοπούς τους.

Η Margrethe Vestager, ανώτατο στέλεχος της Κομισιόν, δήλωσε πριν λίγες μόλις ημέρες: «Η Google κατέχει πολύ ισχυρή θέση στην αγορά στον τομέα της τεχνολογίας της διαδικτυακής διαφήμισης. Συλλέγει δεδομένα των χρηστών, πουλά διαφημιστικό χώρο και ενεργεί ως διαμεσολαβητής διαδικτυακής διαφήμισης. Ετσι, η Google είναι παρούσα σε όλα σχεδόν τα επίπεδα της λεγόμενης αλυσίδας εφοδιασμού adtech. Η αρχική μας ανησυχία είναι ότι η Google μπορεί να έχει χρησιμοποιήσει τη θέση της στην αγορά για να ευνοήσει τις δικές της υπηρεσίες διαμεσολάβησης. Αυτό δεν έβλαψε μόνο τους ανταγωνιστές της Google, αλλά και τα συμφέροντα των εκδοτών, αυξάνοντας παράλληλα το κόστος των διαφημιζόμενων. Εάν επιβεβαιωθεί, οι πρακτικές της Google θα ήταν παράνομες σύμφωνα με τους κανόνες ανταγωνισμού μας» (Margrethe Vestager, εκτελεστική αντιπρόεδρος αρμόδια για την πολιτική ανταγωνισμού - 14/06/2023)... Υπάρχει κάτι πιο επίσημο από αυτή τη δήλωση;

● Τι έχει κάνει το ΥΠΠΟΑ πλέον: αντί να έχει ΜΟΝΟ λογαριασμούς στους οποίους αποστέλλονται τα πάντα, σε ένα email που να καταλήγει σε @gov ή @culture κ.λπ., βλέπουμε (είναι μόνο κάποια από τα δεκάδες παραδείγματα που βρήκαμε): Τοπικό Συμβούλιο Μνημείων Ανατολικής Μακεδονίας & Θράκης - [email protected], Διεύθυνση Νεότερης Πολιτιστικής Κληρονομιάς - [email protected], Εφορεία Αρχαιοτήτων Ανατολικής Αττικής - [email protected] και ακόμα πόσα.

Ας περάσουμε στην ανάλυση και τα ερωτήματα:

Γιατί οι επιτροπές δεν αποτελούνται μόνο από στελέχη του ΥΠΠΟΑ, τα οποία δεσμεύονται (έστω νομικά) από το απόρρητο; (Οπως και όλοι οι δημόσιοι υπάλληλοι. Δεν μπορεί, για παράδειγμα, να πάρει ο έφορος τα αρχεία των πολιτών, ιδιωτών και επαγγελματιών, και να φύγει.) Ωστόσο, στις επιτροπές αξιολόγησης μετέχουν και εξωθεσμικά μέλη. Οι οποίοι έχουν υπογράψει κάποια ρήτρα εμπιστευτικότητας για τα αρχεία που τους δίνει το υπουργείο για την αξιολόγηση, όπως είναι αρχεία εταιρειών, πρωτότυπες προτάσεις κ.λπ.; Το ρεπορτάζ λέει πως «όχι». Τι γίνεται με αυτά τα αρχεία; Πού «αποθηκεύονται»; Ποιοι είχαν και έχουν πρόσβαση σε αυτά και πώς ακριβώς (ακριβώς όμως) διασφαλίζεται ότι δεν θα διαρρεύσει καμία πληροφορία από αυτά, διά οιονδήποτε τρόπο;

Ας μιλήσουμε με παραδείγματα: Ας πούμε πως εγώ, η Νόρα, έχω μία ΑΜΚΕ. Και καταθέτω μια πρόταση στο Υπουργείο Πολιτισμού ζητώντας χρηματοδότηση. Τι ακριβώς καταθέτω κατ’ αρχάς; Καταθέτω: 1ον) μία αναλυτική πλήρως πρόταση, πρωτότυπη η οποία προστατεύεται από τον νόμο περί πνευματικών δικαιωμάτων μου επάνω της, 2ον) φορολογικά στοιχεία, 3ον) οικονομικά στοιχεία (έως τρία χρόνια πίσω ζητούν στοιχεία από το ΥΠΠΟΑ σαν καταθέτεις πρόταση), 4ον) συντελεστές, αλλά και πληρωμή συντελεστών!

Αν όλα πάνε καλά και αξιολογηθείς και επιχορηγηθείς (αλήθεια, με ποια κριτήρια; Εγώ ας πούμε, αν κάνω πράγματι μία ΑΜΚΕ, ότι έχω γράψει αυτό το ρεπορτάζ θα παίξει ρόλο στην αξιολόγηση;), αν λοιπόν γίνει αυτό, τότε πρέπει να καταθέσεις ξανά αναλυτικά όχι μόνο πού και πώς επακριβώς χρησιμοποίησες τα «ψίχουλα» που θα σου δώσουν (ή όπως τα αξιολογεί ο καθένας τελοσπάντων), όχι μόνο πόσα έσοδα είχες από εισιτήρια, αλλά και τι έλαβες από χορηγούς! Και ξαναρωτώ: το να πρέπει να δηλώσω στον δημόσιο φορέα που μέσω αυτού, έλαβα δημόσιο χρήμα, το τι το έκανα, να το καταλάβω. Τις χορηγίες γιατί να τις δηλώσω; Πώς εξασφαλίζεται το ότι δεν θα δει ή δεν θα πουληθούν (με την κυριολεκτική έννοια του όρου) σε έναν ανταγωνιστή τα επαγγελματικά μου στοιχεία; Επίσης, αφού εγώ είμαι αναγκασμένη να καταθέσω και τις αμοιβές όλων των συντελεστών, σε περίπτωση που δεν διασφαλίζεται το απόρρητο, αυτό δεν σημαίνει κατευθείαν πως οποιοδήποτε ιδιώτης μπορεί να μάθει τη μισθοδοσία επαγγελματιών του χώρου; Αρα δεν «καίγεται» αυτοστιγμεί το διαπραγματευτικό τους χαρτί; Και αυτό σε παγκόσμια κλίμακα, καθώς τα δεδομένα πουλιούνται και διακινούνται σε παγκόσμια κλίμακα. Ποιος, δηλαδή, με κατοχυρώνει πως κάποιοι καλλιτεχνικοί διευθυντές ή και κάποιοι επιχειρηματίες δεν έχουν πρόσβαση, έστω και ανεπίσημα, σε αυτά τα τόσο «ευαίσθητα» και απολύτως σημαντικά δεδομένα; Το ΥΠΠΟΑ αν το επιτρέπει (εις γνώσιν του;) αυτό, τότε υπονομεύει ή όχι τη διαπραγματευτική δυνατότητα Ελλήνων καλλιτεχνών στο εξωτερικό;

Τι γίνεται με την Google και το ΥΠΠΟΑ; Γιατί το ΥΠΠΟΑ επέλεξε την Google; Εκανε διαγωνισμό; Εχει γίνει ποτέ συνάντηση του ΥΠΠΟΑ, σε οποιοδήποτε επίπεδο (υπουργός, στελέχη, υπάλληλοι), με στελέχη ή υπαλλήλους της εταιρείας Google ή της θυγατρικής της στην Ελλάδα ή με εμπορικούς αντιπροσώπους της εταιρείας; Αν ναι, ποιο ήταν το αντικείμενο της συνάντησης; Kρατήθηκαν πρακτικά και τι περιλαμβάνουν; Γιατί εφόσον η ίδια η Margrethe Vestager δήλωσε τα όσα δήλωσε τον Ιούνιο και υπάρχουν ήδη αποφάσεις δικαστηρίων σε άλλες χώρες, το ΥΠΠΟΑ θεωρεί ότι διασφαλίζει τους επαγγελματίες (προσωπικά και επαγγελματικά δεδομένα, διαπραγματευτική ισχύ κ.λπ.) σύμφωνα πάντα με την ευρωπαϊκή νομοθεσία; Δεν πιστεύει στην Ε.Ε. το ΥΠΠΟΑ; Η κυβέρνηση της Ν.Δ. δεν ήταν με τους «Μένουμε Ευρώπη»; Μόνο στα λόγια;

Με ποια διαδικασία έγινε από το ελληνικό Δημόσιο ανάθεση σχεδιασμού και εξέλιξης (design and development) του digitalculture.gov.gr στην εταιρεία Cloudevo; Επαιξε ρόλο στην επιλογή της το ότι συνεργάζεται με την Google (Google Partner); Πότε ήταν η τελευταία φορά που έγινε εκπαίδευση των στελεχών και υπαλλήλων του υπουργείου Πολιτισμού σε θέματα που αφορούν τη νομοθεσία GDPR, από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ή άλλο αρμόδιο φορέα; Είναι ενήμερο το ΥΠΠΟΑ για τις ανωτέρω αποφάσεις και έρευνες που έχουν γίνει ή είναι σε εξέλιξη από οργανισμούς κρατών-μελών της Ε.Ε. σχετικά με την Google, τα προϊόντα της και τις πολιτικές της;

Διαθέτει το υπουργείο Πολιτισμού αντίγραφα ασφάλειας για όλη την ηλεκτρονική αλληλογραφία του; Κατά το πρόσφατο πρόβλημα που ανακοίνωσε το υπουργείο ότι αντιμετώπισε, έχασε οποιοδήποτε αρχείο, όπως ηλεκτρονική αλληλογραφία, για το οποίο δεν υπάρχει κανένα αντίγραφο ασφάλειας, δηλαδή δεν μπορεί να αποκατασταθεί; Αν ήταν «χάκερ» τι συμπέρασμα έβγαλε η Δίωξη Ηλεκτρονικού Εγκλήματος; Το ΥΠΠΟΑ έκανε λόγο για «χάκερς από τη Βόρεια Κορέα οι οποίοι μάλιστα ζητούν μεγάλα χρηματικά ποσά». Μήπως χρειάζονταν μια καλή πολιτική αφορμή για να υποβιβαστούν οι ηλεκτρονικές υπηρεσίες του ΥΠΠΟΑ και να «αναγκαστεί» τελικά να πάει σε μια πολυεθνική (στο «παιχνίδι» δεν είναι μόνο η Google, αλλά και άλλες πολυεθνικές); Ελληνικοί αντίστοιχοι πάροχοι υπάρχουν – τους έψαξε το ΥΠΠΟΑ; Γιατί και με ποια διαδικασία επιλέχθηκε το gmail ως εναλλακτική για ηλεκτρονική αλληλογραφία με διευθύνσεις και τμήματα του υπουργείου πολιτισμού;

Τα ερωτήματα πληθαίνουν. Ο λόγος είναι πλέον και στους ίδιους τους ανθρώπους του Πολιτισμού. Από τη μεριά μας, το ρεπορτάζ ήδη συνεχίζεται.