Πρόσθετα νομοθετικά μέτρα ελήφθησαν με το νόμο «Ν. 3674/2008» για την ενίσχυση του θεσμικού πλαισίου διασφάλισης του απορρήτου της τηλεφωνικής επικοινωνίας, καθορίζοντας πλέον με σαφήνεια υποχρεώσεις, δικαιώματα, κυρώσεις και αρμοδιότητες όλων των εμπλεκομένων φορέων στο κρίσιμο αυτό ζήτημα.
Με το Ν. 3674/2008 (ΦΕΚ Α’ 136/10-7-08) ελήφθησαν πρόσθετα νομοθετικά μέτρα για την ενίσχυση του θεσμικού πλαισίου διασφάλισης του απορρήτου της τηλεφωνικής επικοινωνίας, εξ’ αφορμής των «γνωστών γεγονότων των υποκλοπών». Σύμφωνα με αυτά, άγνωστοι εισήλθαν στα συστήματα λογισμικού παρόχου και ενεργοποίησαν τμήμα υποσυστήματος, μέσω του οποίου κατέστη δυνατή η ακρόαση των τηλεφωνικών επικοινωνιών αξιωματούχων της Κυβέρνησης, μελών της Αντιπολίτευσης, της Διοίκησης και πολιτών. Η ειδική νομοπαρασκευαστική επιτροπή, η οποία επεξεργάσθηκε το νέο νόμο, αποτελείτο από νομικούς και τεχνικούς, γνώστες των συναφών ζητημάτων. Επίσης, δεν πρέπει να διαφύγει της προσοχής μας ότι ελήφθη υπόψη μέρος των απόψεων της Επιτροπής Εμπειρογνωμόνων («Επιτροπή Σοφών»), η οποία συστάθηκε κατόπιν προσκλήσεως του Πρωθυπουργού.
Αντικείμενο του νέου νόμου αποτελεί η ασφάλεια της τηλεφωνικής επικοινωνίας, με την επιβολή πρόσθετων υποχρεώσεων στους Παρόχους. Η έρευνα της «υπόθεσης των υποκλοπών» ανέδειξε σειρά νομικών ζητημάτων, τα οποία έπρεπε να διευκρινισθούν και να υπάρξουν σαφείς ρυθμίσεις, προκειμένου να αποφευχθεί η επανάληψη όμοιων περιστατικών.
Ο νομοθέτης επέλεξε με το νέο νόμο να μη ρυθμίσει ακόμη τα ζητήματα ασφαλείας που άπτονται του διαδικτύου, λόγω της έντονης κινητικότητας από την πλευρά του κοινοτικού δικαίου και λόγω της ανάγκης κωδικοποίησης της σχετικής νομοθεσίας. Εξ’ άλλου, εκκρεμεί προς ενσωμάτωση στην εθνική έννομη τάξη η Οδηγία 2006/24/ΕΚ για τη διατήρηση των δεδομένων κίνησης και θέσης («Data Retention Directive»). Επιπλέον, επίκειται η εκ νέου τροποποίηση της Οδηγίας 2002/58/ΕΚ («E-Privacy Directive») αναφορικά με ζητήματα ηλεκτρονικών επικοινωνιών, ανάμεσα στα οποία και η επεξεργασία των δεδομένων κίνησης και του διαδικτύου και ειδικότερα η υπαγωγή ή μη των IP addresses στα ανωτέρω δεδομένα και τη συναφή προστασία αυτών .
Πεδίο εφαρμογής του νέου νόμου αποτελεί η παροχή ελεύθερα διαθέσιμων στο κοινό υπηρεσιών τηλεφωνίας μέσω των Παρόχων και ως εκ τούτου αποκλείεται η εφαρμογή του στα εσωτερικά δίκτυα (intranets) ή σε περιπτώσεις παροχής υπηρεσιών, που δεν είναι ελεύθερα διαθέσιμες στο κοινό.
Υποχρεώσεις των παρόχων
Υπό το προηγούμενο νομικό καθεστώς, οι Πάροχοι ήταν υπεύθυνοι για την ασφάλεια των επικοινωνιών των συνδρομητών ή χρηστών τους, χωρίς όμως να υφίσταται αναλυτική πρόβλεψη των υποχρεώσεών τους. Σύμφωνα με το άρθρο 12 παρ. 1 του Ν. 3471/06, προβλέπεται ότι «Ο φορέας παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών οφείλει να λαμβάνει τα ενδεδειγμένα τεχνικά και οργανωτικά μέτρα, προκειμένου να προστατεύεται η ασφάλεια των υπηρεσιών του, καθώς και η ασφάλεια του δημοσίου δικτύου ηλεκτρονικών επικοινωνιών.».
Υπό το νέο καθεστώς του Ν. 3674/08, πέραν των υφιστάμενων (γενικών) υποχρεώσεων, οι Πάροχοι, ευθύνονται πλέον ρητά και αποκλειστικά για την ασφάλεια των υπό την εποπτεία τους χώρων, εγκαταστάσεων, συνδέσεων και των συστημάτων υλικού και λογισμικού. Η νομοθετική πρόβλεψη εισαγωγής της ευθύνης αυτής, οδηγεί στην από μέρους των Παρόχων ανάληψη της υποχρέωσης λήψης των κατάλληλων τεχνικών και οργανωτικών μέτρων, αλλά και της επιλογής των κατάλληλων συστημάτων υλικού και λογισμικού, τα οποία διασφαλίζουν το απόρρητο της επικοινωνίας. Σημαντική καινοτομία του νέου νόμου αποτελεί η οριοθέτηση των «κατάλληλων τεχνικών και οργανωτικών μέτρων», μέσω της Κανονιστικής Πράξης που εκδίδει η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.) και στην οποία προβλέπεται η υποχρέωση των Παρόχων να καταρτίζουν και να εφαρμόζουν Ειδικό Σχέδιο Πολιτικής Ασφάλειας (Ε.Σ.Π.Α.), το οποίο εγκρίνεται από την Α.Δ.Α.Ε. Η εφαρμογή του Ε.Σ.Π.Α. ανατίθεται από τον Πάροχο σε εξουσιοδοτημένο στέλεχος, το οποίο ορίζεται ως Υπεύθυνος Διασφάλισης του Απορρήτου.
Δύο ζητήματα τίθενται από την προαναφερόμενη διάταξη: Πρώτον, η σχέση του Ε.Σ.Π.Α., με τις εν ισχύ και εφαρμοζόμενες ήδη από τους Παρόχους, Πολιτικές Διασφάλισης του Απορρήτου Κινητών, Σταθερών και Ασυρμάτων Τηλεπικοινωνιακών Υπηρεσιών . Δεύτερον, η δυνατότητα ή μη συγκέντρωσης σε ένα φυσικό πρόσωπο, περισσότερων καθηκόντων για τη διασφάλιση του απορρήτου ως εξουσιοδοτημένου προσώπου (Υπεύθυνος Διασφάλισης του Απορρήτου, σύμφωνα με το Ν. 3674/08, Υπεύθυνος Ασφαλείας με βάση τις υφιστάμενες Πολιτικές Ασφαλείας και Εξουσιοδοτημένο Πρόσωπο του άρθρου 8 παρ. 8 Π.Δ. 47/05), τη στιγμή μάλιστα κατά την οποία η Α.Δ.Α.Ε. δικαιούται να ζητήσει από τον Πάροχο, την αντικατάσταση του Υπεύθυνου Διασφάλισης του Απορρήτου.
Η παραβίαση των υποχρεώσεων για τη διασφάλιση του απορρήτου που προβλέπονται στο νέο νόμο, οδηγεί στην επιβολή διοικητικών κυρώσεων (σύσταση, πρόστιμο, αναστολή ή ανάκληση του δικαιώματος παροχής υπηρεσιών τηλεφωνίας) σε βάρος μόνο του Παρόχου, ακόμη και εάν για την παραβίαση ευθύνεται συνεργάτης του ή εργαζόμενος σε αυτόν ή ο Υπεύθυνος Διασφάλισης του Απορρήτου ή ο νόμιμος εκπρόσωπός του ή μέλος της διοίκησής του. Έτσι, οι Πάροχοι ευθύνονται κατ’ ουσίαν για τις επιλογές τους και δεν μπορούν να απεκδυθούν κάθε ευθύνης, μεταφέροντας αυτή στο προσωπικό, στον προμηθευτή του λογισμικού ή του υλικού, στην εταιρεία φύλαξης των εγκαταστάσεων κ.ο.κ.
Αρμοδιότητες της ΑΔΑΕ
Το ζήτημα της αρμόδιας Ανεξάρτητης Αρχής – η οποία ασκεί ελεγκτικές αρμοδιότητες διενεργώντας τακτικούς και έκτακτους ελέγχους στην υποδομή των συστημάτων υλικού και λογισμικού και γενικώς των μέσων που τελούν υπό την εποπτεία των Παρόχων για τη διασφάλιση του απορρήτου των επικοινωνιών – ανατέθηκε ρητά στην Α.Δ.Α.Ε. Έτσι, καθίσταται πλέον εναργές ότι η ασφάλεια των επικοινωνιών, ως προαπαιτούμενο του απορρήτου, αφορά μόνο τις πράξεις και τις παραλείψεις του Παρόχου, ο οποίος ελέγχεται από την Α.Δ.Α.Ε. και όχι από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.). Αυτονόητη βεβαίως, στο πλαίσιο του παρόντος, είναι η υποχρέωση του Παρόχου να διενεργεί αυτεπαγγέλτως και σε τακτικά χρονικά διαστήματα (εσωτερικούς) ελέγχους.
Διπολικό σύστημα ελέγχου
Με το νέο νόμο, εισάγεται κατ’ ουσίαν ένα διπολικό σύστημα για τη διασφάλιση του απορρήτου των επικοινωνιών, το οποίο περιλαμβάνει από τη μία τον Πάροχο και από την άλλη την Α.Δ.Α.Ε. Ο Πάροχος ευθύνεται αποκλειστικά για τη διασφάλιση του απορρήτου των επικοινωνιών, λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα (με βάση τις Κανονιστικές Πράξεις της Α.Δ.Α.Ε. ). Η Α.Δ.Α.Ε., από την πλευρά της, επιφορτίζεται πλέον ρητά με τον έλεγχο ασφαλείας των συστημάτων του Παρόχου και την κρίση περί της καταλληλότητας του Υπεύθυνου Διασφάλισης του Απορρήτου.
Η από μέρους της Α.Δ.Α.Ε. αρμοδιότητα έκδοσης Κανονιστικών Πράξεων για την ασφάλεια των επικοινωνιών, έγκρισης των Ε.Σ.Π.Α. των Παρόχων, διενέργειας ελέγχων και αίτησης αντικατάστασης του Υπεύθυνου Διασφάλισης του Απορρήτου, προσδίδουν σε αυτήν ένα νέο, αναβαθμισμένο, ουσιαστικό και ενεργητικό ρόλο για τη διασφάλιση του απορρήτου των επικοινωνιών, ανεξάρτητα από την από μέρους του Παρόχου καθορισμένη ευθύνη.
Έτσι, σε περίπτωση κατά την οποία, τόσο οι έλεγχοι του Παρόχου όσο και οι έλεγχοι της Α.Δ.Α.Ε. οδηγήσουν στο συμπέρασμα ότι έχουν ληφθεί από τον Πάροχο όλα τα αναγκαία μέτρα για τη διασφάλιση του απορρήτου και εν συνεχεία αποκαλυφθεί παράνομη πρόσβαση π.χ. στο λογισμικό του Παρόχου και συνακόλουθα παραβίαση του απορρήτου των επικοινωνιών, τότε, με δυσκολία θα μπορούσε να στοιχειοθετηθεί ευθύνη του Παρόχου, όταν η αρμόδια Ανεξάρτητη Αρχή κατά τους ελέγχους που διενήργησε, ουδέν το παράνομο ανακάλυψε, έκρινε ότι έχουν ληφθεί τα αναγκαία μέτρα και δεν προχώρησε στην αντικατάσταση του Υπεύθυνου Διασφάλισης του Απορρήτου.
Πληρότητα ρυθμίσεων
Ο νέος νόμος ρυθμίζει το ζήτημα της ασφάλειας των επικοινωνιών, σε όλες τις εκφάνσεις της (ακεραιότητα, διαθεσιμότητα, αυθεντικότητα, εμπιστευτικότητα). Και αυτό, για να μην μπορεί να αντιμετωπισθεί ξεχωριστά, απομονώνοντας την κάθε έκφανση αυτής, αλλά ενιαία, καθώς δεν υφίσταται απόρρητο, αν η επικοινωνία δεν είναι ασφαλής. Επομένως, οι παραπάνω τέσσερις εκφάνσεις της ασφάλειας αποτελούν προϋπόθεση μιας ελεύθερης και απόρρητης επικοινωνίας.
Απόλυτη σαφήνεια
Οι διατάξεις του νόμου, κατά βάση δεν εισάγουν νέο δίκαιο, αλλά καθορίζουν πλέον ρητά υποχρεώσεις, δικαιώματα, κυρώσεις και αρμοδιότητες, οι οποίες συνάγονταν ερμηνευτικά από το προϋφιστάμενο δίκαιο. Με βάση την παραδοχή αυτή, οι διατάξεις των Ν. 3115/03, Ν. 3471/06 και Ν. 3674/08 πρέπει να αντιμετωπισθούν ως ένα ενιαίο σύνολο κανόνων δικαίου, ώστε να αποφευχθούν αλληλοκαλύψεις και εφαρμογή δικαίου «δύο ταχυτήτων».
Καθορισμός ενεργού ρόλου στην ΕΛ.ΑΣ
Τέλος, προβλέπεται στο νέο νόμο η ίδρυση ειδικής υπηρεσίας της Ελληνικής Αστυνομίας για την πρόληψη και καταστολή των εγκλημάτων (ποινικό άδικο) παραβίασης του απορρήτου των ηλεκτρονικών επικοινωνιών. Στον αντίποδα, η Α.Δ.Α.Ε. διατηρεί την αρμοδιότητα ελέγχου και επιβολής κυρώσεων στους Παρόχους, για την από μέρους τους τέλεση παραβάσεων του απορρήτου των επικοινωνιών (διοικητικό άδικο).
Επίλογος
Το παρόν άρθρο αποσκοπεί στη σύντομη παρουσίαση του νέου νόμου για την ασφάλεια των επικοινωνιών, σε σχέση με τις υποχρεώσεις των Παρόχων και τις αρμοδιότητες της Α.Δ.Α.Ε. και όχι στην εμβάθυνση και τη νομική ανάλυση των επιμέρους διατάξεων. Το υφιστάμενο νομικό πλαίσιο στον τομέα της προστασίας του απορρήτου των ηλεκτρονικών επικοινωνιών (Ν. 2225/94, Ν. 3115/03, Ν. 3471/06, Ν. 3476/08 και Π.Δ. 47/05), σε συνδυασμό με την επερχόμενη ενσωμάτωση κειμένων του Κοινοτικού Δικαίου (Οδηγία 2006/24/ΕΚ για τη διατήρηση των δεδομένων και Σύμβαση του Συμβουλίου της Ευρώπης για το έγκλημα στον Κυβερνοχώρο) καθιστούν αναγκαία την κωδικοποίηση της νομοθεσίας και μέσω αυτής, την απάλειψη αντιφατικών διατάξεων και την ερμηνεία αυτών, κατά τρόπο που συμβάλλει στην ενότητα και την ασφάλεια του δικαίου.
Του Γρηγόρη Τσόλια?
Δικηγόρου – Μ.Δ. Ποινικών Επιστημών
