Skip to main content.
Συνασπισμός Ριζοσπαστικής Αριστεράς
21/10/2013

Ερώτηση βουλευτών ΣΥΡΙΖΑ: Διάτρητο το πληροφοριακό σύστημα καταχώρησης στοιχείων για την απογραφή υπαλλήλων

Προς τους Υπουργούς Παιδείας & Θρησκευμάτων, Διοικητικής Μεταρρύθμισης και Ηλεκτρονικής Διακυβέρνησης

Όπως ήδη έχουμε επισημάνει στην με αριθμό 2324/3.10.2013 Ερώτησή μας, η κατάσταση που επικρατεί στα Πανεπιστήμια της χώρας είναι έκρυθμη. Οι επαπειλούμενες διαθεσιμότητες του προσωπικού θα οδηγήσουν σε πλήρη κατάρρευση τα Ιδρύματα, γεγονός που αναδεικνύεται και στις αποφάσεις των Συγκλήτων τους.

Η Υ.Α. με αριθμό Β.2/Δ/33/οικ.27653 ορίζει τα σχετικά με τη αποστολή των στοιχείων των υπαλλήλων στο Υπουργείο Παιδείας ώστε να απογραφούν, στο πλαίσιο της διαδικασίας της διαθεσιμότητας. Η απόφαση αυτή τροποποιεί την υπʼ αριθμ. ΔΙΠΙΔΔ/Β.2/2/οικ. 21634/2.8.2013 (ΦΕΚ 1914/Β/7.8.2013) απόφαση του Υπουργού Διοικητικής Μεταρρύθμισης και Ηλεκτρονικής Διακυβέρνησης με θέμα «Καθορισμός της διαδικασίας επιλογής των υπαλλήλων που τίθενται σε διαθεσιμότητα, των κριτηρίων επιλογής και κατάταξής τους, τον τρόπο μοριοδότησής τους και ρύθμιση ζητημάτων λειτουργίας του Τριμελούς Συμβουλίου του άρθρου 5 παρ. 3 του ν.4024/2011 και των Τριμελών Ειδικών Υπηρεσιακών Συμβουλίων. Με την τροποποίηση υποχρεώνονται οι υπηρετούντες σε ΝΠΔΔ σε προθεσμία πέντε (5) ημερών από τη δημοσίευση σχετικής πρόσκλησης να απογραφούν σε ειδικό πληροφοριακό σύστημα που το εποπτεύον Υπουργείο παρέχει και λειτουργεί για το σκοπό αυτό.

    Στην περίπτωση του Υπουργείου Παιδείας, ορίζεται η 22 Οκτωβρίου 2013 ως καταληκτική ημερομηνία για την ολοκλήρωση της διαδικασίας ατομικής απογραφής των διοικητικών υπαλλήλων σε 8 Πανεπιστήμια μέσω ειδικού πληροφοριακού συστήματος (http://odysseas.it.minedu.gov.gr).

Σύμφωνα με όσα ορίζονται στη διάταξη της παρ. 3 του άρθρου 10 του ν. 2472/1997 περί της “Προστασίας ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα”: «ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας». Στην περίπτωση των υπαλλήλων των 8 Πανεπιστημίων, ο υπεύθυνος επεξεργασίας  είναι το Υπουργείο Παιδείας.

Σε επιστολή της Ένωσης Πληροφορικών Ελλάδας καταδεικνύεται ότι υπάρχουν σημαντικά προβλήματα που προκύπτουν από τη λειτουργία του ως άνω πληροφοριακού συστήματος και πιο συγκεκριμένα:

1.    Δεν διασφαλίζεται η ταυτοποίηση των χρηστών, τα υποβαλλόμενα στοιχεία και το εν γένει περιεχόμενο της βάσης δεδομένων. Σε ότι αφορά τον χρήστη της διαδικτυακής εφαρμογής, η ταυτοποίηση γίνεται συνδυαστικά μέσω της εισαγωγής του ΑΦΜ και του ΑΜΚΑ του διοικητικού υπαλλήλου. Όμως, και οι δύο αυτοί αριθμοί μητρώου είναι δημόσια διαθέσιμοι, τόσο εντός των Πανεπιστημίων, όσο και σε διάφορες άλλες δημόσιες ή ιδιωτικές υπηρεσίες. Το ΑΦΜ και το ΑΜΚΑ κάθε διοικητικού υπαλλήλου είναι γνωστά σε ανεξέλεγκτα μεγάλο πλήθος ανθρώπων και φορέων.

Επιπροσθέτως, οι αριθμοί αυτοί έχουν ευρεία και ενδεχομένως καθημερινή χρήση, ενώ ταυτόχρονα εμφανίζονται ακόμη και σε ένα απλό ενημερωτικό έγγραφο ασφαλιστικού ταμείου ή τράπεζας ή άλλου φορέα. Επομένως, σε καμία περίπτωση δεν επαρκούν για την αξιόπιστη και ασφαλή ταυτοποίηση του χρήστη. Επιπλέον, δημιουργούν μείζον ζήτημα για τον πραγματικό χρήστη της διαδικτυακής εφαρμογής, καθώς οποιοσδήποτε τρίτος (πέραν του ίδιου του ενδιαφερόμενου διοικητικού υπαλλήλου) μπορεί να εισάγει στο σύστημα δεδομένα αντί αυτού. Τέλος, το ίδιο το πληροφοριακό σύστημα συνολικά καθίσταται αναξιόπιστο ως προς τα δεδομένα που καταγράφει, καθώς κανείς δεν μπορεί εν γένει να διασφαλίσει την ταυτοποίηση των χρηστών και την εγκυρότητα των υποβαλλόμενων στοιχείων και της βάσης δεδομένων.

2.    Δεν υπάρχει πιστοποιητικό ασφάλειας του φορέα εξυπηρέτησης της διαδικτυακής υπηρεσίας.

Σε ότι αφορά το φορέα εξυπηρέτησης της διαδικτυακής υπηρεσίας, δεν υπάρχει εγκατεστημένο πιστοποιητικό ασφάλειας, έτσι ώστε να είναι δυνατός ο έλεγχος και η πιστοποίηση του φορέα εξυπηρέτησης. Συνεπώς, οποιοδήποτε πρόβλημα ασφάλειας στον εξυπηρετητή (π.χ. DNS redirection) μπορεί να οδηγήσει σε σοβαρότατη διαρροή προσωπικών δεδομένων (phishing), καθώς οι χρήστες δεν είναι δυνατό να γνωρίζουν αν τα στοιχεία τους υποβάλλονται όντως στην αρμόδια υπηρεσία ή σε κάποιον τρίτο ο οποίος τα υποκλέπτει.

3.    Δεν υπάρχει κρυπτογράφηση δεδομένων. Σε ότι αφορά τη μετάδοση των δεδομένων, δεν προβλέπεται τυπική κρυπτογράφηση (SSL/TLS) έτσι ώστε η υποβολή των στοιχείων να προστατεύεται από περιπτώσεις διαρροής κατά τη μεταφορά και διαμεσολάβηση άλλων κόμβων στο διαδίκτυο. Σημειώνεται ότι πολλοί ενδιάμεσοι κόμβοι υποδομής (π.χ. ISP) λειτουργούν με πρόσθετες υπηρεσίες προσωρινής αποθήκευσης δεδομένων, όπως για παράδειγμα HTTP proxy ή caching. Αυτό σημαίνει ότι πολλές από αυτές τις (χωρίς κρυπτογράφηση) πληροφορίες, παραμένουν αποθηκευμένες σε αυτούς τους κόμβους για πολλές ημέρες ή και εβδομάδες, καθιστώντας τις εξαιρετικά ευάλωτες σε ότι αφορά την ανάκτησή τους από τρίτους.

4.    Δεν υπάρχει δήλωση περί προστασίας των προσωπικών δεδομένων. Στη συγκεκριμένη σελίδα δεν αναφέρεται πουθενά δήλωση για την τήρηση των προβλέψεων του νόμου περί προστασίας των προσωπικών δεδομένων, σχετικά με τον τρόπο επεξεργασίας, το χρόνο και τον τόπο αποθήκευσης, καθώς και τον υπεύθυνο διαχείρισης, όπως προβλέπεται από τους σχετικούς νόμους και τις διατάξεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

5.    Τα δεδομένα της συγκεκριμένης υπηρεσίας είναι άνευ οποιασδήποτε νομικής υπόστασης.

Η καταχώρηση και επεξεργασία δεδομένων σε παρόμοιες υπηρεσίες γενικά ακολουθεί ένα από τα εξής μοντέλα: (α) άμεση πρόσβαση στη βάση δεδομένων (online) με άμεσο έλεγχο/καταχώρηση, (β) ετεροχρονισμένη υποβολή, έλεγχο και καταχώρηση στη βάση δεδομένων (offline), (γ) κάποιο ενδιάμεσο μοντέλο, τυπικά με άμεση πρόσβαση για ανάγνωση-μόνο και ετεροχρονισμένο έλεγχο/καταχώρηση τυχόν αλλαγών. Αν στο συγκεκριμένο σύστημα εφαρμόζεται το (α), τότε ο εξαιρετικά αδύναμος μηχανισμός ταυτοποίησης κατά την είσοδο (login) καθιστά ολόκληρη τη βάση δεδομένων ανοικτή σε καταστροφικές αλλαγές από τρίτους, μη εξουσιοδοτημένους χρήστες. Αν στο σύστημα εφαρμόζεται είτε το (β) είτε το (γ), αυτό σημαίνει ότι για την οριστική καταχώρηση των στοιχείων στη βάση δεδομένων πρέπει αναγκαστικά να προηγηθεί έλεγχος και επικύρωση από αρμόδιους υπαλλήλους - κάτι που δεν προβλέπεται ούτε στην περιγραφή της συγκεκριμένης υπηρεσίας (βλ. 4), ούτε και στην αντίστοιχη "Πρόσκληση Απογραφής" που αναφέρεται (150628/15-10-2013). Ως εκ τούτου, η συγκεκριμένη υπηρεσία είναι άνευ οποιασδήποτε νομικής υπόστασης σε ότι αφορά τη διασφάλιση της εγκυρότητας του τρόπου επεξεργασίας των δεδομένων που υποβάλλονται, κάτι που επιβεβαιώνεται και από την ίδια την πρόσκληση (βλ. παρ. Β, περί πρόσθετης κατάθεσης εγγράφως).

6.    Τα δεδομένα της συγκεκριμένης υπηρεσίας είναι άκυρα και παράνομα. Εφόσον ο συγκεκριμένος μηχανισμός που έχει υλοποιηθεί στην εν λόγω πλατφόρμα, σε καμία περίπτωση δεν διασφαλίζει την αξιόπιστη ταυτοποίηση του χρήστη, είναι φανερό πως δεν μπορεί να χρησιμοποιηθεί σύμφωνα με τους σκοπούς που αναφέρει και δεν επέχει θέση υπεύθυνης δήλωσης από τον υπάλληλο. Επιπλέον, οποιοσδήποτε υπάλληλος έχει ήδη καταγραφεί στο σύστημα μπορεί κάλλιστα να ισχυριστεί ότι η εισαγωγή των στοιχείων του έγινε από κάποιον τρίτο χωρίς την έγκριση του ίδιου (άρα είναι άκυρη και παράνομη). Συνεπώς δεν ισχύει η πρόβλεψη της παρ.Δ στην πρόσκληση απογραφής περί ισχύος ως υπεύθυνης δήλωσης του ν.1599/1986.

Επειδή  η λειτουργία του πληροφοριακού συστήματος θέτει σε σοβαρό κίνδυνο διαρροής τα προσωπικά δεδομένα των υπαλλήλων

Επειδή κανείς δεν μπορεί να διασφαλίσει ότι η καταχώρηση των εν λόγω στοιχείων θα γίνει προσωπικά από τον κάθε υπάλληλο

Επειδή η διαδικασία απογραφής καταπατά την συνταγματική αυτονομία και αυτοδιοίκηση των ΑΕΙ, αναθέτοντας σε προσωπικό καθήκον την όποια διαδικασία απογραφής υπαλληλικών στοιχείων

Επειδή και με την πράξη αυτή ο Υπουργός Παιδείας αποκαλύπτει την επιθυμία του κυρίως για τις απολύσεις προσωπικού και όχι για τη φυσιολογική λειτουργία των Ιδρυμάτων

Ερωτώνται οι κκ. Υπουργοί

1.    Θα απενεργοποιήσουν άμεσα τη λειτουργία της πλατφόρμας καταγραφής προσωπικών στοιχείων των υπαλλήλων και θα αποσύρουν όλες τις σχετικές διατάξεις περί μετακινήσεων/διαθεσιμοτήτων/απολύσεων προσωπικού, έτσι ώστε να επανέλθουν τα ΑΕΙ στη φυσιολογική λειτουργία τους;

ΟΙ ΕΡΩΤΩΝΤΕΣ ΒΟΥΛΕΥΤΕΣ

Θεανώ Φωτίου

Τάσος Κουράκης

Χρήστος Μαντάς

Απόστολος Αλεξόπουλος

Παναγιώτα Δριτσέλη

Γιώργος Πάντζας

Παναγιώτης Κουρουμπλής

Αϊχάν Καρά Γιουσούφ

Μιχάλης Κριτσωτάκης

Έφη Γεωργοπούλου - Σαλτάρη