«Κατασκοπία» στα social media και φωτογραφικές προδιαγραφές από το Λιμενικό

Ένας απροσδιόριστα μεγάλος αριθμός ατόμων φαίνεται πως θα μπει υπό «ψηφιακή παρακολούθηση», μόλις το Λιμενικό και η Ελληνική Ακτοφυλακή αποκτήσουν ένα εργαλείο συλλογής δεδομένων από τα μέσα κοινωνικής δικτύωσης. Οι προβληματικές τεχνικές προδιαγραφές και το λογισμικό που «φωτογραφίζει» η διακήρυξη της προμήθειας.
Χρόνος ανάγνωσης: 
15
'
Σκάφος του Λιμενικού έξω από τη Σάμο μετά το πολύνεκρο ναυάγιο του 2018 στο Αγαθονήσι. [D.S.T. Media/Eurokinissi]

Λογισμικό συλλογής δεδομένων από μέσα κοινωνικής δικτύωσης που θα εντοπίζει ακόμη και τις αναζητήσεις που κάνουν οι χρήστες, ζητά να προμηθευτεί «προς κάλυψη των (σ.σ.: αδιευκρίνιστων) αναγκών του» το Λιμενικό Σώμα και η Ελληνική Ακτοφυλακή, όπως γράφει η σχετική διακήρυξη σύμβασης προμήθειας που αναρτήθηκε στις 25 Ιανουαρίου 2022.

Η αγγλική μετάφραση του άρθρου
Αυτό το άρθρο έχει δημοσιευτεί και στα αγγλικά από το inside story, στις 14 Μαρτίου 2022. Μπορείτε να το διαβάσετε εδώ.

Το έγγραφο εντόπισε πρώτος λίγες ημέρες μετά, στις 2 Φεβρουαρίου, ο Φοίβος Συμεωνίδης, ερευνητής δεδομένων ανοιχτού κώδικα (OSINT) και ψηφιακών δικαιωμάτων με τον οποίο συνεργαστήκαμε στενά στο πλαίσιο αυτού του ρεπορτάζ.

Στις 14 Φεβρουαρίου ο ανεξάρτητος ερευνητής, πλαισιωμένος από δύο οργανισμούς που ασχολούνται με την προστασία των ψηφιακών δικαιωμάτων και τη διασφάλιση της ιδιωτικότητας, την ελληνική Homo Digitalis και την Privacy International μαζί με την Ελληνική Ένωση για τα Δικαιώματα του Ανθρώπου (ΕλΕΔΑ) και την HIAS Ελλάδος –το ελληνικό παραρτήματος της διεθνούς ΜΚΟ HIAS που προσφέρει δωρεάν νομική και ψυχοκοινωνική βοήθεια σε πρόσφυγες– κατέθεσαν ενώπιον του Προέδρου της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), Κωνσταντίνου Μενουδάκου, αίτημα για την άσκηση των εξουσιών έρευνας και την έκδοση σχετικής γνωμοδότησης επί της σχεδιαζόμενης προμήθειας του Λιμενικού.

Όπως αναφέρουν στο κοινό δελτίο Τύπου τους, «με το εν λόγω λογισμικό επιδιώκεται η παρακολούθηση ενός απροσδιόριστα μεγάλου αριθμού χρηστών των συγκεκριμένων κοινωνικών δικτύων, και η συλλογή, επεξεργασία και ανάλυση των πληροφοριών τους, χωρίς να αναφέρεται ο σκοπός των πράξεων επεξεργασίας». Μεταξύ άλλων ανησυχητικών πτυχών που επισημαίνουν, «η προμήθεια του συγκεκριμένου λογισμικού θα αποτελέσει ξεκάθαρη πρόκληση για το δικαίωμα στην προστασία των προσωπικών δεδομένων [...] καθώς επίσης και για τα δικαιώματα του σεβασμού της ιδιωτικής ζωής αλλά και της ελευθερίας της έκφρασης».

Το επίμαχο λογισμικό εντάσσεται σε μια ευρύτερη προμήθεια του Λιμενικού και της Ακτοφυλακής με τίτλο «Αναβάθμιση /συντήρηση computer room της Διεύθυνσης Ασφάλειας και Προστασίας Θαλασσίων Συνόρων (Δ.Α.Π.ΘΑ.Σ.) του Αρχηγείου Λ.Σ.-ΕΛ.ΑΚΤ. και ενίσχυση φυσικής και λογικής ασφάλειας» (συνολικής εκτιμώμενης αξίας σύμβασης 730.000 ευρώ με ΦΠΑ) και θυμίζει πολύ ένα αντίστοιχο λογισμικό που είχε επιχειρήσει να προμηθευτεί το 2019 ο Ευρωπαϊκός Οργανισμός Συνοριοφυλακής και Ακτοφυλακής (FRONTEX). Η FRONTEX τελικά απέσυρε την σχετική προκήρυξη έπειτα από επιτυχημένη δράση της Privacy International.

H (συνολική) προμήθεια του Λιμενικού και της Ακτοφυλακής συγχρηματοδοτείται από το Ευρωπαϊκό Ταμείο Εσωτερικής Ασφάλειας, που έχει ως σκοπό την πρόληψη και την καταπολέμηση της τρομοκρατίας και της ριζοσπαστικοποίησης, του σοβαρού και οργανωμένου εγκλήματος και του κυβερνοεγκλήματος, την παροχή βοήθειας και την προστασία των θυμάτων εγκληματικών πράξεων, την προετοιμασία για την αντιμετώπιση περιστατικών, κινδύνων και κρίσεων που συνδέονται με την ασφάλεια, την προστασία έναντι αυτών και την αποτελεσματική διαχείρισή τους.

Οι τεχνικές προδιαγραφές και οι όροι της διακήρυξης τέθηκαν στις 9 Οκτωβρίου 2020 από την αρμόδια Διεύθυνση Προμηθειών και Εποπτείας Αποθηκών της Γενικής Διεύθυνσης Οικονομικών Υπηρεσιών του Υπουργείου Ναυτιλίας και Νησιωτικής Πολιτικής σε ανοικτή δημόσια διαβούλευση και σε αυτή μπορούσαν να συμμετέχουν (μη δεσμευτικά) οικονομικοί φορείς, δηλαδή εταιρείες. Η διαδικασία αυτή, που είχε ως σκοπό «τη συλλογή εποικοδομητικών παρατηρήσεων και σχολίων» διάρκεσε αρκετούς μήνες και αρχές Ιουλίου 2021 αναρτήθηκαν δημόσια τα αποτελέσματά της. Μεταξύ των παρατηρήσεων που διατυπώθηκαν από την πλευρά μίας εκ των τεσσάρων εταιρειών που συμμετείχαν (ΓΡΙΒΑΣ, INTRACOM TELECOM, SPACE HELLAS, ADAPTIT) ήταν πως «οι προδιαγραφές είναι φωτογραφικές για συγκεκριμένο προϊόν». Σε αντίστοιχες ενδείξεις καταλήξαμε κι εμείς στο ρεπορτάζ μας, όπως θα δούμε παρακάτω.

Οι προβληματικές πτυχές, οι ανησυχίες και οι μισές απαντήσεις

Ας εστιάσουμε όμως πρώτα στο τι ακριβώς είναι αυτό που επιδιώκει το Λιμενικό με το προς προμήθεια λογισμικό και γιατί έχει θορυβήσει οργανισμούς, φορείς και μεμονωμένα άτομα που ασχολούνται με την προστασία των προσωπικών δεδομένων.

Σύμφωνα με τη διακήρυξη της σύμβασης προμήθειας (και το τεύχος τεχνικών προδιαγραφών), το λογισμικό θα πρέπει να υποστηρίζει τα κοινωνικά δίκτυα Facebook, Twitter, VK, Xing (σ.σ.: γερμανικό social media για δικτύωση επαγγελματιών, κάτι σαν το πολύ πιο δημοφιλές Linkedin), Instagram, και Telegram. Κάποια από τα αναγκαία χαρακτηριστικά του όπως περιγράφονται είναι:

  • Η δημιουργία διαγράμματος (visualization) πολλαπλών συσχετίσεων (φίλοι, σχόλια, αναρτήσεις, likes και followers).
  • Ο προσδιορισμός των αναγνωριστικών στοιχείων των χρηστών συμπεριλαμβανομένων και των αναζητήσεών τους
  • Η προσομοίωσης ανθρώπινης δραστηριότητας για αποφυγή αποκλεισμού του λογαριασμού.

Ειδικότερα για το Facebook, το λογισμικό θα πρέπει να επιτρέπει, μεταξύ άλλων λειτουργιών, την αποθήκευση της δημόσιας λίστας επαφών ενός προφίλ, την αποθήκευση όλων των δημόσιων επαφών δεύτερου βαθμού (σ.σ.: δηλαδή και τους φίλους των φίλων μας), την αποθήκευση των δημόσιων αναρτήσεων του χρονολογίου (συμπεριλαμβανομένων εικόνων, βίντεο, συνδεδεμένων βίντεο Youtube, σχολίων και αντιδράσεων), την αποθήκευση των γκαλερί εικόνων, την αποθήκευση δημοσιοποιημένων πληροφοριών λογαριασμού (εργοδότης, κατοικίες, εκπαίδευση), την αναζήτηση λογαριασμών για συγκεκριμένα προσωπικά χαρακτηριστικά, και την αποθήκευση των χρηστών που αποτελούν μέλη σε ομάδες του Facebook.

Όσον αφορά το Twitter, το λογισμικό θα πρέπει μεταξύ άλλων λειτουργιών να επιτρέπει την αποθήκευση της δημόσιας λίστας των λογαριασμών που ακολουθούν ένα προφίλ, την αποθήκευση όλων των δημόσιων επαφών του δεύτερου βαθμού (λίστα ακόλουθων), την αποθήκευση δημόσιων μηνυμάτων (συμπεριλαμβανομένων εικόνων, βίντεο, συνδεδεμένων βίντεο YouTube και likes).

Για το Instagram, το Λιμενικό Σώμα επιδιώκει το Λογισμικό να επιτρέπει, μεταξύ άλλων, την αποθήκευση της λίστα ακολούθων, την αποθήκευση της δημόσιας λίστας που ακολουθεί ένα προφίλ, την αποθήκευση των δημόσιων σχολίων ανά προφίλ κατά χρονική ακολουθία συμπεριλαμβανομένων εικόνων, βίντεο, διασυνδεδεμένων βίντεο Youtube και την αποθήκευση των χρονοδιαγραμμάτων καθώς και τις Ιστορίες Προφίλ.

Τέλος, αναφορικά με το Telegram το λογισμικό πρέπει να επιτρέπει την αποθήκευση των συμμετεχόντων σε ομαδικές συζητήσεις καθώς και την αποθήκευση του πλήρους περιεχομένου της εκάστοτε ομαδικής συνομιλίας (κείμενο και φωτογραφίες ή άλλο υλικό που έχει διαμοιραστεί σε αυτές).

Διαβάζοντας τα παραπάνω θα μπορούσε να αναρωτηθεί κανείς: «Και ποιο είναι το πρόβλημα; Ας μην ανέβαζαν οι χρήστες των social media δημόσια, προσωπικές πληροφορίες τους».

«Το δικαίωμά μας στην ιδιωτικότητα δεν εξατμίζεται απλώς επειδή ενεργούμε σε δημόσιο χώρο»
Ήλια Σιατίτσα, ανώτατο νομικό στέλεχος της Privacy International

Η απάντηση σε αυτό το ερώτημα δίνεται ρητά από την Ήλια Σιατίτσα, διευθύντρια προγράμματος και ανώτατο νομικό στέλεχος της Privacy International. Όπως αναφέρει στο inside story «το δικαίωμά μας στην ιδιωτικότητα δεν εξατμίζεται απλώς επειδή ενεργούμε σε δημόσιο χώρο. Η συστηματική παρακολούθηση, επεξεργασία και αποθήκευση ατομικών πληροφοριών από τα social media συνιστά παρέμβαση του δικαιώματός μας στην ιδιωτικότητα και θα πρέπει να προστατεύεται όπως και σε κάθε άλλη παρέμβαση. Οι δημόσιες αρχές δεν είναι πάνω από τον νόμο και δεν μπορούν να εισάγουν τέτοιες παρεμβατικές μεθόδους παρακολούθησης χωρίς τις κατάλληλες ασφαλιστικές δικλείδες. Προτού καν σκεφτούν την προμήθεια τέτοιων δυνατοτήτων, οι κυβερνήσεις θα πρέπει να διενεργούν αξιολογήσεις κινδύνου και επιπτώσεων στα ανθρώπινα δικαιώματα, συμπεριλαμβανομένης της ιδιωτικότητας και της προστασίας των (προσωπικών) δεδομένων. Είναι πραγματικά απαραίτητο για την άσκηση των καθηκόντων τους σε μία δημοκρατική κοινωνία να αποκτήσουν τέτοιες δυνατότητες; Είχαμε θέσει παρόμοιες ερωτήσεις στην FRONTEX όταν εξέδωσε προκήρυξη για παρόμοια προμήθεια και την απέσυραν λίγο μετά».

«Δεν γίνεται μνεία στα στάνταρ που πρέπει να πληροί ο υποψήφιος ανάδοχος από πλευράς συμμόρφωσης με το ενωσιακό και εθνικό ρυθμιστικό πλαίσιο περί προστασίας προσωπικών δεδομένων»
Homo Digitalis

Από την πλευρά της η Homo Digitalis σχολιάζει στο inside story «είναι αρκετά προβληματική η αναφορά σε Λογισμικό Συλλογής δεδομένων από μέσα κοινωνικής δικτύωσης, στη διακήρυξη του Λιμενικού σώματος. Αρχικά, αδυνατούμε να εντοπίσουμε τη σχέση της εν λόγω λειτουργίας με την δραστηριότητα του Λιμενικού σώματος. Έπειτα, είναι αμφίβολη η σύμπλευση της λειτουργίας του εν λόγω λογισμικού με τον Κανονισμό (ΕΕ) 2016/679 (ΓΚΠΔ) και ειδικότερα με τις αρχές του κανονισμού, όπως αυτές προβλέπονται στο άρθρο 5 ΓΚΠΔ, όπως η αρχή της ελαχιστοποίησης των δεδομένων. Επιπλέον, δεν τίθεται κανένα προαπαιτούμενο ή ακόμα περισσότερο δεν γίνεται έστω μνεία στα στάνταρ που πρέπει να πληροί ο υποψήφιος ανάδοχος από πλευράς συμμόρφωσης με το ενωσιακό και εθνικό ρυθμιστικό πλαίσιο περί προστασίας προσωπικών δεδομένων. Ειδικότερα, δεν γίνεται καμία αναφορά στα κατ' ελάχιστον τεχνικά και οργανωτικά μέτρα που πρέπει να έχει υιοθετήσει και να εφαρμόσει ο υποψήφιος ανάδοχος ή ο υποχρεωτικός ορισμός Υπεύθυνου Προστασίας Δεδομένων. Η χρήση ενός τέτοιου λογισμικού θα αποτελεί έντονη παραβίαση θεμελιωδών ανθρωπίνων δικαιωμάτων όπως είναι αυτό της Ιδιωτικότητας και της προστασίας δεδομένων προσωπικού χαρακτήρα που προβλέπονται στον Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ και στην Ευρωπαϊκή Σύμβασης Δικαιωμάτων του Ανθρώπου».

Επιδιώκεται παρακολούθηση απροσδιόριστου αριθμού χρηστών, τη στιγμή που ο FRONTEX είχε αποσύρει το 2019 σχετική προκήρυξη για την προμήθεια αντίστοιχου λογισμικού
Ελληνική Ένωση για τα Δικαιώματα του Ανθρώπου

Την έντονη ανησυχία και τον προβληματισμό της σε σχέση με την επίμαχη προμήθεια εκφράζει στο inside story και η Ελληνική Ένωση για τα Δικαιώματα του Ανθρώπου. «Στα προσωπικά δεδομένα που θα επεξεργάζεται το Λιμενικό –παρότι άσχετα προς την αρμοδιότητα και το έργο του– περιλαμβάνονται πληροφορίες όπως οι διαδικτυακοί φίλοι, οι αναρτήσεις, τα σχόλια, οι αναζητήσεις, τα likes, φωτογραφίες κ.λπ. Επιδιώκεται λοιπόν η πολύπλευρη και συνδυαστική παρακολούθηση απροσδιόριστου αριθμού χρηστών, τη στιγμή που ο Ευρωπαϊκός Οργανισμός Συνοριοφυλακής και Ακτοφυλακής (FRONTEX) είχε αποσύρει το 2019 σχετική προκήρυξη για την προμήθεια αντίστοιχου λογισμικού συλλογής δεδομένων από μέσα κοινωνικής δικτύωσης. Ένα τέτοιο λογισμικό αντίκειται κατ' αρχήν ευθέως στην ελληνική (ν. 4624/2019) και ευρωπαϊκή νομοθεσία. Εφόσον δεν υπάρξουν οι αναγκαίες νόμιμες εγγυήσεις, μπορεί να οδηγήσει σε κατάφωρη παραβίαση του πληροφοριακού αυτοκαθορισμού των ατόμων, με καταστροφικά αποτελέσματα για τις ατομικές ελευθερίες».

Από την πλευρά της η HIAS Ελλάδος σε γραπτό της σχόλιο προς το inside story αναφέρει: «Η χρήση του νέου λογισμικού του λιμενικού εγκυμονεί κινδύνους για την ιδιωτικότητα των πολιτών και αναμφίβολα θα οδηγήσει σε εντονότερη ποινικοποίηση του προσφυγικού και της αλληλεγγύης. Όπως έχει αποδειχθεί στο πρόσφατο παρελθόν, και μόνο η συμμετοχή σε εφαρμογές κοινωνικής δικτύωσης ομάδων έρευνας και διάσωσης ήταν αρκετή για τον σχηματισμό δικογραφιών εις βάρος αθώων αλληλέγγυων πολιτών από όλη την Ευρώπη. Κάτ' αυτόν τον τρόπο, οι “ζωές των άλλων”, και δη των μεταναστών και των ατόμων που δραστηριοποιούνται στον τομέα του προσφυγικού, τίθενται εκτός του προστατευτικού πλέγματος προστασίας προσωπικών δεδομένων που η Ε.Ε. έχει θεσπίσει για τους πολίτες της».

Το inside story με βάση τις παραπάνω αιτιάσεις απηύθυνε συγκεκριμένα ερωτήματα προς το Λιμενικό και την Ελληνική Ακτοφυλακή όπως:

  • Ποιες ακριβώς είναι οι ανάγκες που θα καλύψει η προμήθεια ενός λογισμικού συλλογής δεδομένων από τα μέσα κοινωνικής δικτύωσης;
  • Σε ποιους αφορά; Με άλλα λόγια, στην παρουσία ποιων και πόσων ατόμων στα social media θα εστιάσει αυτό το λογισμικό;
  • Με ποια κριτήρια θα γίνεται η επιλογή των ατόμων αυτών;
  • Τι μέτρα έχουν ληφθεί ώστε η συγκεκριμένη συλλογή και επεξεργασία δεδομένων να είναι σύννομη με τον Γενικό Κανονισμό Προστασίας Δεδομένων και λοιπούς σχετικούς ευρωπαϊκούς κανονισμούς όπως και να μην παραβιάζει θεμελιώδη δικαιώματα;
  • Έχει ζητηθεί η γνωμοδότηση της Αρχής Προστασίας Προσωπικών Δεδομένων;
Οι απαντήσεις του Λιμενικού

Ωστόσο οι απαντήσεις που πήραμε δεν καλύπτουν τις απορίες μας. «Από πλευράς τεχνικών προδιαγραφών έχουν προστεθεί επί αυτών όροι ώστε ο ανάδοχος να τηρεί τα αναφερόμενα στον Γενικό Κανονισμό Προστασίας Δεδομένων και στον ν.4624/2019 [...] καθώς και να τηρεί υποχρεώσεις που αφορούν την εμπιστευτικότητα των πληροφοριών. Όσον αφορά στη μετέπειτα συλλογή και την επεξεργασία των δεδομένων από πλευράς του Φορέα μας, η αρμόδια Υπηρεσία, σεβόμενη την νομοθεσία περί προσωπικών δεδομένων, πράττει τα μέγιστα για την διασφάλιση της Δημόσιας και Κρατικής Ασφάλειας των πολιτών στο πλαίσιο των αρμοδιοτήτων της, πάντοτε με την σύμφωνη γνώμη και καθοδήγηση των δικαστικών αρχών. Το ζητούμενο λογισμικό που αναφέρεται στις Τεχνικές Προδιαγραφές επεξεργάζεται αποκλειστικά δημοσιοποιημένα-δημοσιευμένα δεδομένα του διαδικτύου τα οποία έχουν αναρτηθεί δημόσια και είναι προσβάσιμα από τον οποιονδήποτε έχει πρόσβαση στο διαδίκτυο» γράφουν οι αρμόδιες Υπηρεσίες του Αρχηγείου του Λιμενικού Σώματος – Ελληνικής Ακτοφυλακής.

«Το ζητούμενο λογισμικό επεξεργάζεται αποκλειστικά δημοσιοποιημένα-δημοσιευμένα δεδομένα του διαδικτύου τα οποία έχουν αναρτηθεί δημόσια»
Απάντηση Λιμενικού Σώματος

Σχολιάζοντας την τελευταία αποστροφή του Λιμενικού περί δημοσιοποιημένων-δημοσιευμένων δεδομένων που έχουν αναρτηθεί δημόσια, ο νομικός υπεύθυνος και νομικός συντονιστής της Privacy International Γιάννης Κούβακας τονίζει πως «η απάντηση εσφαλμένα υποδηλώνει ότι εφόσον τα δεδομένα που θα τεθούν σε επεξεργασία έχουν ήδη δημοσιοποιηθεί στο διαδίκτυο, αξίζουν λιγότερη ή καθόλου προστασία. Θα πρέπει να επισημανθεί ότι οι διαδικτυακές αναρτήσεις και παρόμοια (στοιχεία) εξακολουθούν να αποτελούν προσωπικά δεδομένα και υπόκεινται στην προστασία που παρέχεται από τους νόμους περί προστασίας δεδομένων, ειδικά όταν μπορούν να αποκαλύψουν ευαίσθητα χαρακτηριστικά των χρηστών. Σε αυτό το πλαίσιο το γεγονός ότι η δημοσίευση των δεδομένων γίνεται online, είναι άσχετο. Ως χρήστες του διαδικτύου δεν μπορούμε να προβλέψουμε ότι οι αναρτήσεις μας θα βρεθούν υπό παρακολούθηση από συνοριακές αρχές ή αρχές επιβολής του νόμου για διάφορους σκοπούς».

«Η απάντηση εσφαλμένα υποδηλώνει ότι εφόσον τα δεδομένα έχουν ήδη δημοσιοποιηθεί στο διαδίκτυο, αξίζουν λιγότερη ή καθόλου προστασία»
Γιάννης Κούβακας, Privacy International

Από την πλευρά της η Homo Digitalis αναφέρει ότι «είναι ασαφής και ανεπαρκής η απάντηση του Λιμενικού. Αρχικά, δεν μας περιγράφει ή έστω αναφέρει επακριβώς τα τεχνικά και οργανωτικά τα οποία επικαλείται ή πως επιτυγχάνεται η ελαχιστοποίηση των δεδομένων. Αυτό άλλωστε γίνεται πιο εμφανές στο κομμάτι της συλλογής και περαιτέρω επεξεργασίας δεδομένων χρηστών social media όπως λίστες φίλων, οπαδών, χρονοδιαγράμματα, βίντεο και φωτογραφίες, από το Λιμενικό. Δεν υπάρχει καμία εξήγηση ως προς τη σκοπιμότητα της εν λόγω επεξεργασίας καθώς και πώς αυτή συνδράμει στη Δημόσια Ασφάλεια και στο πλαίσιο ποιας διαδικασίας οι Δικαστικές Αρχές έδωσαν έγκριση.

Τέλος δεν εξηγείται [...] γιατί δεν ερωτήθηκε και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μιας και στη διακήρυξη περιλαμβάνεται ένα τόσο παρεμβατικό λογισμικό όπως αυτό της συλλογής δεδομένων από social media χρηστών. Για εμάς η χρήση του εν λόγω λογισμικού στερείται, μεταξύ άλλων, διαφάνειας και νομικής βάσης. Το Λιμενικό δεν έδωσε καμία πληροφορία που να εξηγεί τον αναλογικό χαρακτήρα της χρήσης του λογισμικού αυτού, γιατί δεν έθεσε αυστηρές προϋποθέσεις ως προς το καθεστώς συμμόρφωσης των υποψήφιων αναδόχων με το ενωσιακό και εθνικό ρυθμιστικό πλαίσιο περί προστασίας προσωπικών δεδομένων. Επιπλέον σε κανένα σημείο δεν είναι έκδηλο ποιες ενέργειες έχει λάβει για τη διασφάλιση των δικαιωμάτων και ελευθεριών των δεδομένων, όπως λ.χ. να εκπονηθεί μελέτη εκτίμησης αντίκτυπου προστασίας δεδομένων».

Η απάντηση της Κομισιόν (και της META) στο inside story

Μιας που η προμήθεια του Λιμενικού και της Ελληνικής Ακτοφυλακής –όπως γράψαμε πιο πριν– χρηματοδοτείται και από ευρωπαϊκά κονδύλια, θέσαμε ερωτήματα και προς την Κομισιόν, όπως για παράδειγμα αν η σχετική διακήρυξη ήταν σε γνώση της και αν η Γενική Διεύθυνση Μετανάστευσης και Εσωτερικών Υποθέσεων της Ευρωπαϊκής Επιτροπής (DG HOME), έχει λάβει όλες τις απαραίτητες προφυλάξεις και ενέργειες για να διασφαλίσει ότι τέτοιες εργασίες (tasks) δεν συνιστούν παραβίαση των Θεμελιωδών Δικαιωμάτων, της Προστασίας Δεδομένων και ότι δεν συνιστούν παραβίαση του επιχειρησιακού πλαισίου της.

«Τα κράτη μέλη είναι πρωτίστως υπεύθυνα για την [...] πλήρη συμμόρφωση με τα θεμελιώδη δικαιώματα και τον σεβασμό της ανθρώπινης αξιοπρέπειας»
Απάντηση Κομισιόν

Η Κομισιόν απάντησε στο inside story ότι δεν είναι ενήμερη γι' αυτήν την προμήθεια και πως δεν έχει ενημερωθεί από τις ελληνικές αρχές γι' αυτά τα tasks, καθώς δεν απαιτείται από τους ισχύοντες ευρωπαϊκούς κανονισμούς να έχει προηγηθεί κάτι τέτοιο. Το ελληνικό πρόγραμμα του Ταμείου Εσωτερικής Ασφάλειας για την περίοδο 2014-2020 «υλοποιείται υπό την αποκλειστική ευθύνη των ελληνικών αρχών. Στην πράξη αυτό σημαίνει ότι οι αρχές των κρατών μελών επιλέγουν τους δικαιούχους του έργου σύμφωνα με τους σχετικούς κανόνες της ΕΕ και αναλαμβάνουν την ευθύνη για την καθημερινή διαχείριση. [...] Τα κράτη μέλη είναι πρωτίστως υπεύθυνα για τη χρηστή δημοσιονομική διαχείριση των κονδυλίων της ΕΕ που τους διατίθενται υπό επιμερισμένη διαχείριση, συμπεριλαμβανομένης της διασφάλισης ότι οι ενέργειες που υποστηρίζονται από το Ταμείο υλοποιούνται με πλήρη συμμόρφωση με τα θεμελιώδη δικαιώματα και τον σεβασμό της ανθρώπινης αξιοπρέπειας, τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης Ένωση και την Ευρωπαϊκή Σύμβαση για την Προστασία των Ανθρωπίνων Δικαιωμάτων και των Θεμελιωδών Ελευθεριών».

Αναλυτικές ερωτήσεις αποστείλαμε και στην εταιρεία META, μιας που ορισμένες προδιαγραφές του ζητούμενου λογισμικού παραβιάζουν ευθέως τους όρους χρήσης του facebook και του instagram όπως για παράδειγμα η «προσομοίωση ανθρώπινης δραστηριότητας», με απλά λόγια η δημιουργία ψεύτικων λογαριασμών. Μεταξύ άλλων ρωτήσαμε αν η εταιρεία επιτρέπει ή έχει δώσει άδεια στις αρμόδιες ελληνικές αρχές να δημιουργούν, να χρησιμοποιούν και να εκμεταλλεύονται ψεύτικους λογαριασμούς στις πλατφόρμες της για σκοπούς συλλογής δεδομένων από χρήστες. Αν έχει συμφωνήσει να παρέχει στις αρμόδιες ελληνικές αρχές την επιλογή μαζικής συλλογής και ανάλυσης δεδομένων όπως οι αναζητήσεις χρηστών (οι οποίες δεν προκύπτουν από τα δεδομένα που είναι διαθέσιμα σε ένα δημόσιο προφίλ). Και σε ποιες ενέργειες έχει προβεί η εταιρεία για την προστασία όσων χρησιμοποιούν τις πλατφόρμες της σύμφωνα με τις πολιτικές και τις διαδικασίες της.

Η απάντηση που λάβαμε μέσω της εταιρείας που έχει αναλάβει την επικοινωνία της ΜΕΤΑ με τα ελληνικά ΜΜΕ, μετά από αρκετή επιμονή, είναι πως «δεν θέλουν να προβούν σε κάποιο σχόλιο».

Περί φωτογραφικότητας των τεχνικών προδιαγραφών

Πέρα από την πτυχή της προστασίας της ιδιωτικότητας όλων όσοι χρησιμοποιούμε καθημερινά τα μέσα κοινωνικής δικτύωσης και τις ανησυχίες που εγείρει η σχεδιαζόμενη προμήθεια του Λιμενικού, στο παρόν ρεπορτάζ ασχοληθήκαμε και με ορισμένες πολύ συγκεκριμένες τεχνικές προδιαγραφές του ζητούμενου λογισμικού συλλογής δεδομένων που μας κίνησαν την περιέργεια και φαίνεται να οδηγούν σε μία εταιρεία στη Γερμανία και έναν συνεργάτη της στην Ελλάδα.

Διαβάζοντας τη διακήρυξη μας ξένισαν δύο σημεία: Τα υποστηριζόμενα δίκτυα κοινωνικής δικτύωσης, μεταξύ των οποίων ξεχώρισε το όχι και τόσο δημοφιλές Xing (τη στιγμή π.χ. που απουσιάζει το Linkedin) και ο αριθμός «2,412» (στις προδιαγραφές για το instagram αναφέρεται ότι θα πρέπει το λογισμικό Να πραγματοποιεί τις ακόλουθες λειτουργίες στα συλλεγμένα δεδομένα του Instagram: [...] Αποθήκευση της δημόσιας λίστας που ακολουθεί ένα προφίλ [max 2,412]). Ψάχνοντας στο διαδίκτυο για λογισμικά με αυτές τις πολύ ειδικές προδιαγραφές πέσαμε πάνω στην μπροσούρα του SOCIAL NETWORK HARVESTER (version 1.16.0) με ημερομηνία 3 Φεβρουαρίου 2020 της γερμανικής εταιρείας FREEZING DATA. Σύμφωνα με την ιστοσελίδα της, σε Ελλάδα και Κύπρο την εταιρεία εκπροσωπεί η Grivas S.A. Integrated IT Solutions, μία από τις τέσσερις εταιρείες που συμμετείχαν και στη δημόσια διαβούλευση για τις τεχνικές προδιαγραφές και τους όρους της διακήρυξης του Λιμενικού. «Το λογισμικό μας δεν πωλείται απευθείας» γράφει η FREEZING DATA. «Οι εξουσιοδοτημένοι συνεργάτες μας είναι οι άμεσες επαφές για τα ενδιαφερόμενα μέρη και τους πελάτες και προσφέρουν βοήθεια σε οτιδήποτε, από πωλήσεις έως τεχνική υποστήριξη».

Βάζοντας τα δύο έγγραφα το ένα δίπλα στο άλλο προκύπτει ότι κομμάτια της διακήρυξης του Λιμενικού είναι πιστή μετάφραση στα ελληνικά της αγγλικής μπροσούρας του SOCIAL NETWORK HARVESTER (version 1.16.0).

Ενδεικτικά:

Στις ερωτήσεις μας προς το Λιμενικό περιλαμβάνονται και οι εξής:

  • Με ποια κριτήρια επιλέχθηκαν τα συγκεκριμένα social media (Facebook, Twitter, VK, Xing, Instagram, Telegram) και για ποιο λόγο εξαιρούνται άλλες δημοφιλείς πλατφόρμες όπως π.χ. το Whatsapp και το Linkedin ενώ περιλαμβάνεται το Xing;
  • Στο σημείο 15.2.17, αναφέρετε: Να πραγματοποιεί τις ακόλουθες λειτουργίες στα συλλεγμένα δεδομένα του Instagram: [...] Αποθήκευση της δημόσιας λίστας που ακολουθεί ένα προφίλ (max 2,412) [...]. Από πού προκύπτει αυτός ο πολύ συγκεκριμένος αριθμός (2.412);

Οι αρμόδιες υπηρεσίες του Αρχηγείου του Λιμενικού Σώματος – Ελληνικής Ακτοφυλακής περιορίστηκαν να απαντήσουν απλώς ότι «αναφορικά με τις ειδικότερες απαιτήσεις των υπό προμήθεια λογισμικών, αυτές αποτυπώθηκαν τόσο στο τεύχος τεχνικών προδιαγραφών, που εκπονήθηκε από αρμόδια επιτροπή σύνταξης Τεχνικών Προδιαγραφών, όσο και στο τελικό τεύχος που διαβιβάστηκε από την επισπεύδουσα Υπηρεσία. Κατά τον έλεγχο των Τεχνικών Προδιαγραφών, ελήφθησαν υπόψη το τεύχος τεχνικών προδιαγραφών που τέθηκε σε δημόσια διαβούλευση και οι παρατηρήσεις των οικονομικών φορέων που συμμετείχαν σε αυτή. Τα ευρήματα που προέκυψαν από τον έλεγχο των τεχνικών προδιαγραφών τέθηκαν υπόψιν την αρμόδιας Επιτροπής σύνταξης Τεχνικών Προδιαγραφών και της επισπεύδουσας Υπηρεσίας και εν συνεχεία αποτυπώθηκαν εκτενώς στην Έκθεση Ελέγχου Τεχνικών Προδιαγραφών.

Επί του σχεδίου της Διακήρυξης, στην οποία περιλαμβάνεται Παράρτημα με τις Τεχνικές Προδιαγραφές ως αναπόσπαστο μέρος αυτής, διατυπώθηκε θετική γνώμη από την αρμόδια Διαχειριστική Αρχή {Ειδική Υπηρεσία Συντονισμού και Διαχείρισης Προγραμμάτων Μετανάστευσης και Εσωτερικών Υποθέσεων (ΕΥΣΥΔ-ΜΕΥ) του Υπουργείου Μετανάστευσης και Ασύλου/Γενική Γραμματεία Μεταναστευτικής Πολιτικής/Γενική Διεύθυνση Συντονισμού και Διαχείρισης Προγραμμάτων Μετανάστευσης και Εσωτερικών Υποθέσεων}».

Με βάση το τελικό τεύχος των τεχνικών προδιαγραφών, η παρατήρηση οικονομικού φορέα που έλαβε μέρος στη σχετική διαβούλευση και έκανε λόγο για φωτογραφικές προδιαγραφές για συγκεκριμένο προϊόν φαίνεται να έπεσε στο κενό.

Σύμφωνα με στέλεχος της ελληνικής αγοράς λογισμικού που έχει υπόψιν του την σχετική διακήρυξη και η εταιρεία του επίσης συμμετείχε στη διαδικασία της διαβούλευσης, «το κακό δεν είναι ότι φωτογραφίζει ένα προϊόν, το θέμα είναι ότι όλοι πρέπει να καταλήξουμε στον ίδιο κατασκευαστή – το αν υπάρχει κάτι άλλο αντίστοιχο στην αγορά σαν αυτό, δεν το γνωρίζω».

Σχολιάζοντας στην τηλεφωνική επικοινωνία που είχαμε τα περί φωτογραφικότητας της διακήρυξης, ο Χαράλαμπος Γρίβας της ΓΡΙΒΑΣ ΑΕΕ, μεταξύ των πελατών της οποίας συγκαταλέγονται η Ελληνική Αστυνομία, το Ελληνικό Κοινοβούλιο, το υπουργείο Άμυνας αλλά και μεγάλες εταιρείες του ιδιωτικού τομέα (τράπεζες, τηλεπικοινωνίες, κατασκευαστικές κ.ά.), λέει:

«Δεν ξέρω γιατί αναφέρεστε σε φωτογραφικότητα, η κάθε υπηρεσία, όχι μόνο αυτή (σ.σ.: Λιμενικό - Ελληνική Ακτοφυλακή) όταν ζητάνε κάτι βάζουν αυτοί τις προδιαγραφές. Υπάρχουν πολλά λογισμικά που κάνουν αυτή τη δουλειά, δεν νομίζω ότι φωτογραφίζει το SNH (σ.σ.: SOCIAL NETWORK HARVESTER). Στην αγορά υπάρχουν τουλάχιστον 11 προϊόντα με τις ίδιες και καλύτερες προδιαγραφές. [...] Είναι απλά λογισμικά αυτά, δεν κάνουν interception, ό,τι ανεβάζει ο χρήστης οικειοθελώς δημόσια, αυτά συλλέγουν και επεξεργάζονται. Οπότε είναι πάρα πολλά γιατί είναι ένα απλό προϊόν». Ορισμένα από τα λογισμικά που μας ανέφερε είναι το Social Links και το Intel471, ωστόσο στην αναζήτηση που κάναμε μετά τη συνομιλία μας δεν καταφέραμε να εντοπίσουμε τις ίδιες ομοιότητες που έχει το SNH με τη διακήρυξη.

Ζητήσαμε από τον κ. Γρίβα ένα email επικοινωνίας για να του στείλουμε την μπροσούρα του SNH ώστε να την εξετάσει και ο ίδιος κατ’ αντιπαράθεση με τη διακήρυξη. «Έχω τόσα άλλα θέματα που δεν ασχοληθώ τώρα με αυτό», αποκρίθηκε. Όπως εξάλλου είπε σε άλλο σημείο της κουβέντας «μάλλον δεν θα πάρουμε μέρος» (δηλαδή μάλλον δεν θα καταθέσουν οικονομική προσφορά). Ρωτήσαμε γιατί. «Αυτό είναι δικός μου λόγος, δεν μπορώ να σας πω».

Σχετικά με πιο εξειδικευμένες πληροφορίες για τα λογισμικά συλλογής δεδομένων από τα social media, μας είπε ότι «με αυτό το κομμάτι ασχολείται ένας μηχανικός της εταιρείας που είναι στο εξωτερικό για εκπαίδευση [...] αν θέλετε μετά τις 29 του μηνός που θα είναι στην Ελλάδα μπορεί να σας πάρει ένα τηλέφωνο να σας διαφωτίσει».

Προφανώς πρόκειται για λάθος εκ παραδρομής, αφού ο φετινός Φεβρουάριος έχει 28 ημέρες.

Εικόνα etriantafillou
Σπούδασε κατά λάθος Οικονομική Επιστήμη στην ΑΣΟΕΕ και το 2004 ξεκίνησε να εργάζεται ως οικονομικός συντάκτης στην Κυριακάτικη Ελευθεροτυπία. Το 2010 δημιούργησε την πρώτη αντιγραφή του σατιρικού Τhe Onion, στην Ελλάδα. Παραμένει στον χώρο των ηλεκτρονικών ΜΜΕ. Είναι ανορθόγραφη.

Διαβάστε ακόμα

Σχόλια

Εικόνα Anonymous
1

Σας πείσαμε; Εμείς σας θέλουμε μαζί μας!
Χωρίς τους υποστηρικτές μας
δεν μπορούμε να υπάρχουμε.