ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΓΙΑ ΤΗΝ ΔΙΑΣΦΑΛΙΣΗ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ ΤΗΣ ΕΤΑΙΡΙΑΣ «RISE UP ΥΠΗΡΕΣΙΕΣ ΤΗΛΕΗΧΟΠΛΗΡΟΦΟΡΗΣΗΣ Α.Ε.» (Μ.

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΓΙΑ ΤΗΝ ΔΙΑΣΦΑΛΙΣΗ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ ΤΗΣ ΕΤΑΙΡΙΑΣ «RISE UP ΥΠΗΡΕΣΙΕΣ ΤΗΛΕΗΧΟΠΛΗΡΟΦΟΡΗΣΗΣ Α.Ε.» (Μ.Α.Ε 70265/001/Β/10/0373) ΠΡΟΟΙΜΙΟ Ο σεβασμός της ιδιωτικότητας και η προστασία των προσωπικών δεδομένων των χρηστών των υπηρεσιών μας κατέχουν ιδιαίτερη σημασία κατά το σχεδιασμό της επιχειρηματικής μας πολιτικής και την εφαρμογή της εμπορικής μας δραστηριότητας. Για την προστασία των δεδομένων προσωπικού χαρακτήρα και του απορρήτου της επικοινωνίας των χρηστών των υπηρεσιών της εταιρίας μας εφαρμόζονται τόσο οι όροι που αναφέρονται παρακάτω, όσο και οι σχετικές διατάξεις του Ελληνικού Δικαίου, του Ευρωπαϊκού Δικαίου και των κανονισμών της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε). Σύμφωνα με το άρθρο 1.2 της υπ αριθμ. 165/2011 απόφασης της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών «Κανονισμός για τη Διασφάλιση του Απορρήτου των Ηλεκτρονικών Επικοινωνιών» (Φ.Ε.Κ. Β 2715/17-11-2011), τα πρόσωπα που παρέχουν δίκτυα ή/ και υπηρεσίες ηλεκτρονικών επικοινωνιών υπό καθεστώς Γενικής Άδειας, όπως αυτό καθορίζεται από την ισχύουσα νομοθεσία, υποχρεούνται να υποβάλουν στην Α.Δ.Α.Ε. προς έγκριση την προβλεπόμενη στο άρθρο 1.1. της ανωτέρω απόφασης Πολιτική Ασφαλείας για την διασφάλιση του απορρήτου των επικοινωνιών, καθώς και αναθεώρηση αυτής, όποτε αυτή λάβει χώρα. Η «RISE UP ΥΠΗΡΕΣΙΕΣ ΤΗΛΕΗΧΟΠΛΗΡΟΦΟΡΗΣΗΣ Α.Ε.», ως πάροχος περιεχομένου (στο εξής «πάροχος»), δραστηριοποιείται στην παροχή υπηρεσιών SMS / MMS και υπηρεσιών τηλεηχοπληροφόρησης. Τα στοιχεία τα οποία προστατεύονται είναι τα ακόλουθα: α) ο καλών αριθμός, β) ο χρόνος και η διάρκεια επικοινωνίας, γ) το περιεχόμενο της επικοινωνίας, δ) στοιχεία που αφορούν στη χρέωση της επικοινωνίας, στ) εντοπισμό του καλούντος χρήστη. Πρέπει δε να τονισθεί ότι δεν καταγράφεται και δεν αποθηκεύεται από τα ΠΕΣ του παρόχου το περιεχόμενο της επικοινωνίας των χρηστών. 1

Η «RISE UP ΥΠΗΡΕΣΙΕΣ ΤΗΛΕΗΧΟΠΛΗΡΟΦΟΡΗΣΗΣ Α.Ε.» διατηρεί το δικαίωμα τροποποίησης των όρων προστασίας του απορρήτου των επικοινωνιών, οποιαδήποτε χρονική στιγμή, κατόπιν ενημέρωσης των χρηστών των υπηρεσιών της και μέσα στο υπάρχον νομικό πλαίσιο. Οποιαδήποτε αλλαγή ή τροποποίηση, θα δημοσιεύεται ανακοίνωση σε περίοπτη θέση στην ιστοσελίδα μας (www.riseup.gr). Για τον λόγο αυτό οι χρήστες οφείλουν κάθε φορά να ελέγχουν για ενδεχόμενες αλλαγές και εφόσον εξακολουθούν τη χρήση συνεπάγεται ότι αποδέχονται ανεπιφύλακτα τους τροποποιημένους όρους. Σε αντίθετη περίπτωση οφείλουν να μην κάνουν χρήση των υπηρεσιών που παρέχει η εταιρία μας. Τέλος σε κάθε περίπτωση η οποιαδήποτε αλλαγή ή τροποποίηση της παρούσας Πολιτικής Ασφαλείας υποβάλλεται προς έγκριση στην Α.Δ.Α.Ε. Για τους σκοπούς της παρούσας πολιτικής ασφαλείας ισχύουν οι κατωτέρω ορισμοί για χρησιμοποιούμενους όρους, σύμφωνα με το άρθρο 2 της υπ αριθμ. 165/2011 απόφασης της Α.Δ.Α.Ε. Ειδικότερα οι κατωτέρω όροι έχουν την εξής έννοια: α) «Δεδομένα Επικοινωνίας»: το περιεχόμενο και τα συναφή δεδομένα κίνησης και θέσης για κάθε επικοινωνία. β) «Περιστατικό Ασφάλειας»: κάθε συμβάν που δύναται να σχετίζεται με τη διασφάλιση του απορρήτου των επικοινωνιών ή κάθε ιδιαίτερος κίνδυνος παραβίασης του απορρήτου των επικοινωνιών, καθώς και κάθε περίπτωση μη εφαρμογής ή ιδιαίτερου κινδύνου μη εφαρμογής της Πολιτικής Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών. γ) «Πληροφοριακά και Επικοινωνιακά Συστήματα (ΠΕΣ)»: συστήματα ή τερματικά του υπόχρεου προσώπου με τα οποία πραγματοποιούνται εργασίες σε δεδομένα επικοινωνίας, όπως η συλλογή, η καταχώρηση, η οργάνωση, η διατήρηση ή αποθήκευση, η τροποποίηση, η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλης μορφής διάθεση, η συσχέτιση ή ο συνδυασμός, η διασύνδεση, η δέσμευση (κλείδωμα), η διαγραφή, η καταστροφή δεδομένων επικοινωνίας. Αναφέρονται κατ ελάχιστον τα μέσα μετάδοσης και διασύνδεσης, οι μεταγωγείς, οι δρομολογητές, τα συστήματα διαχείρισης και εποπτείας αυτών, οι εξυπηρετητές ηλεκτρονικού ταχυδρομείου, τα αναχώματα ασφάλειας, τα συστήματα ανίχνευσης/ αποτροπής εισβολών, τα συστήματα ανίχνευσης κακόβουλου λογισμικού, τα συστήματα καταγραφής, τα 2

συστήματα χρέωσης συνδρομητών, τα συστήματα πωλήσεων και εξυπηρέτησης πελατών, τα συστήματα πρόληψης τηλεπικοινωνιακής απάτης, οι βάσεις δεδομένων που περιέχουν δεδομένα επικοινωνίας και οι εφαρμογές πρόσβασης σε δεδομένα επικοινωνίας. δ) «Υπόχρεα Πρόσωπα»: τα πρόσωπα που ασχολούνται με την παροχή δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών. Κατά τα λοιπά ισχύουν οι ορισμοί που περιλαμβάνονται στο άρθρο 2 του Ν. 3471/2006 («προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα ηλεκτρονικών επικοινωνιών και τροποποίηση του Ν. 2472/1999», ΦΕΚ Α 133/28.06.2006), όπως ισχύει. Για την αποτελεσματική εφαρμογή της παρούσας Πολιτικής Ασφαλείας, ορίζεται ως Υπεύθυνος Διασφάλισης του Απορρήτου των Επικοινωνιών ο κ. Δημήτρης (Dimitris) Ναζλίδης (Nazlidis) του Avtandil, κάτοικος Καλλιθέας Αττικής, οδός Δαβάκη αριθμ. 60, κάτοχος του υπ αριθμ. 09AP51050 διαβατηρίου εκδοθέντος από την πρεσβεία της Γεωργίας, ο οποίος είναι κατάλληλα καταρτισμένο στέλεχος και είναι επιφορτισμένος με την ευθύνη ελέγχου της υλοποίησης των μέτρων και των απαιτήσεων που ορίζονται στην παρούσα Πολιτική Ασφάλειας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών. Σε κάθε δε περίπτωση τα στοιχεία επικοινωνίας του εκάστοτε Υπεύθυνου Διασφάλισης του Απορρήτου των Επικοινωνιών κοινοποιούνται στην Α.Δ.Α.Ε. από τον πάροχο. Η παρούσα Πολιτική Ασφάλειας για την Διασφάλιση του Απορρήτου των Επικοινωνιών έχει ως στόχο την προστασία των δεδομένων επικοινωνίας και των ΠΕΣ από πιθανούς κινδύνους, ούτως ώστε να διασφαλίζεται το απόρρητο των επικοινωνιών και αφορά τους χρήστες, συνδρομητές, εργαζομένους και συνεργάτες του Παρόχου. Η προκείμενη Πολιτική Ασφαλείας έχει αρθρωτή δομή και διέπεται από τους παρακάτω περιγραφόμενους όρους, διαδικασίες και επιμέρους πολιτικές που αναφέρονται αναλυτικά στα άρθρα 3 έως 13 της υπ αριθμ. 165/2011 απόφασης της Α.Δ.Α.Ε και οι οποίες ορίζουν τις απαιτήσεις ασφαλείας που πρέπει να ικανοποιούνται για κάθε επιμέρους κατηγορία ειδικών θεμάτων. Η παρούσα Πολιτική Ασφαλείας περιλαμβάνει κατ ελάχιστον τις επιμέρους πολιτικές που αναφέρονται στα άρθρα 3 έως και 13 του της υπ αριθμ. 165/2011 απόφασης της Α.Δ.Α.Ε. 3

Κάθε αδυναμία συμμόρφωσης με τις απαιτήσεις που ορίζονται στον Κανονισμό για την Διασφάλιση του Απορρήτου των Ηλεκτρονικών Επικοινωνιών (απόφαση 165/2011), συμπεριλαμβανομένων των επιμέρους πολιτικών και των διαδικασιών που την υλοποιούν, η οποία, ενδεικτικά, μπορεί να οφείλεται σε μη εφαρμοσιμότητα ή σε τεχνική αδυναμία κάλυψης συγκεκριμένων απαιτήσεων, καταγράφεται και τεκμηριώνεται επαρκώς. Ο πάροχος προβλέπει και εφαρμόζει εσωτερική διαδικασία καταγραφής και τεκμηρίωσης των αδυναμιών συμμόρφωσης με τις απαιτήσεις του Κανονισμού για την Διασφάλιση του Απορρήτου των Ηλεκτρονικών Επικοινωνιών. Για την υλοποίηση των επιμέρους πολιτικών της παρούσας Πολιτικής Ασφαλείας, ορίζονται, τεκμηριώνονται, εφαρμόζονται και αναθεωρούνται συγκεκριμένες διαδικασίες ασφαλείας και οργανωτικές δομές. Οι διαδικασίες ασφαλείας της παρούσας Πολιτικής Ασφαλείας ορίζουν συγκεκριμένες ενέργειες των εργαζομένων, συνεργατών, χρηστών και συνδρομητών του Παρόχου, την αλληλουχία των ενεργειών, τους υπευθύνους για την εκτέλεσή τους και τον τρόπο και τα μέσα τεκμηρίωσής τους. Η παρούσα Πολιτική Ασφαλείας για την Διασφάλιση του Απορρήτου των Επικοινωνιών με τις επιμέρους πολιτικές που την απαρτίζουν, ορίζει τις διοικητικές οντότητες ή τα φυσικά πρόσωπα με συγκεκριμένες αρμοδιότητες σχετικά με την εφαρμογή της Πολιτικής. Τα υπόχρεα πρόσωπα ορίζουν τους αρμοδίους να καθορίζουν και να πραγματοποιούν τις ενέργειες σχεδίασης, ανάπτυξης, προμήθειας, εγκατάστασης, λειτουργίας, διαχείρισης, υποστήριξης, αναβάθμισης, επικαιροποίησης, διαγραφής, απόσυρσης και πρόσβασης σε κάθε ΠΕΣ. Η παρούσα Πολιτική Ασφαλείας ορίζει συγκεκριμένα στάδια, τα οποία χρησιμοποιούνται και εφαρμόζονται για την διαχείριση της Πολιτικής. Ο Πάροχος διατηρεί αρχεία με σκοπό για το σκοπό του ελέγχου της Πολιτικής. Με την επιφύλαξη των διατάξεων των Ν. 3471/2006, Ν. 3783/2009 και Ν. 3917/2011, όπως ισχύουν, ο Πάροχος διατηρεί τα εν λόγω αρχεία για χρονικό διάστημα δύο (2) ετών, λαμβάνοντας τα κατάλληλα μέτρα για την διασφάλιση της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητάς τους. Σε περίπτωση που βρίσκεται σε εξέλιξη έλεγχος της Α.Δ.Α.Ε., ο Πάροχος διατηρεί τα εν λόγω αρχεία, ακόμη και μετά το πέρας των δύο ετών 4

και προβαίνει στην διαγραφή τους μόνο κατόπιν σχετικής απόφασης της Α.Δ.Α.Ε. Αναφορικά με το αρχείο καταγραφής των προσβάσεων των χρηστών των ΠΕΣ σε αυτά, καθώς και το αρχείο όπου καταγράφονται οι ενέργειες στο λειτουργικό σύστημα και στις εφαρμογές των ΠΕΣ και τα συμβάντα συστήματος των ΠΕΣ, ο Πάροχος εξασφαλίζει ότι οι καταγραφές που προβλέπονται στην παρούσα Πολιτική είναι πλήρεις και συνεχείς. Ο πάροχος διατηρεί Ειδικό Σχέδιο Αρχείων Καταγραφής, το οποίο κατ ελάχιστον περιλαμβάνει την αρχιτεκτονική και τις επιμέρους μεθόδους δημιουργίας, συλλογής, αποθήκευσης και διαχείρισης των αρχείων καταγραφής, πλήρη περιγραφή του περιεχομένου αυτών, καθώς και τα μέτρα για την διασφάλιση τη ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητας αυτών. Ο πάροχος ενεργοποιεί την Πολιτική Διαχείρισης Περιστατικών Ασφαλείας, σύμφωνα με το άρθρο 9 του Κανονισμού της Α.Δ.Α.Ε., σε περίπτωση διακοπής των καταγραφών που προβλέπονται στα ως άνω άρθρα και σε περίπτωση περιστατικού παραβίασης της ακεραιότητας, εμπιστευτικότητας και διαθεσιμότητας αυτών. Ειδικότερα, οι όροι και επιμέρους πολιτικές από τους οποίους διέπεται η παρούσα Πολιτική Ασφαλείας είναι οι ακόλουθοι: Άρθρο 1 Πολιτική Αποδεκτής Χρήσης σε σχέση µε τους εργαζόμενους και τους Συνεργάτες του Παρόχου: 1. Οι εργαζόμενοι και συνεργάτες του παρόχου οφείλουν να συμμορφώνονται με την Πολιτική Ασφαλείας για την Διασφάλιση του Απορρήτου των Επικοινωνιών, συμπεριλαμβανομένων των σχετικών διαδικασιών, μέτρων ασφαλείας και οδηγιών. Η ανωτέρω υποχρέωση των εργαζομένων και συνεργατών του παρόχου περιλαμβάνεται ως συμβατικός όρος στις συμβάσεις που καταρτίζονται μεταξύ του παρόχου και των εργαζομένων του και του παρόχου και των συνεργατών του. 2. Για το σκοπό αυτό, στις συμβάσεις που καταρτίζονται μεταξύ του παρόχου και των εργαζομένων και συνεργατών του, περιλαμβάνεται ρητά (συμβατικός) όρος βάσει του οποίου οι εργαζόμενοι και συνεργάτες του παρόχου δηλώνουν ότι λαμβάνουν γνώση και αποδέχονται την Πολιτική Ασφαλείας για την 5

Διασφάλιση του Απορρήτου των Επικοινωνιών ως προς την ανατεθειμένη εργασία τους, ώστε κατ αυτόν τον τρόπο να διασφαλίζεται ότι οι εργαζόμενοι και συνεργάτες του παρόχου λαμβάνουν γνώση και αποδέχονται την Πολιτική Ασφαλείας του παρόχου προ της απόκτησης πρόσβασης σε ΠΕΣ και σε δεδομένα επικοινωνίας. 3. Ο πάροχος ενημερώνει με διάφορα πρόσφορα μέσα (π.χ. ενδεικτικά μέσω ενημερωτικών e-mails, ειδικών επιμορφωτικών σεμιναρίων κ.α.) και εκπαιδεύει τους εργαζομένους και τους συνεργάτες του σχετικά με την εφαρμογή της παρούσας Πολιτικής Ασφαλείας και τις τροποποιήσεις αυτής. 4. Οι εργαζόμενοι και οι συνεργάτες (βλ. σχετικά άρθρο 12 της παρούσας Πολιτικής Ασφαλείας) του παρόχου απαγορεύεται να αποκαλύπτουν πληροφορίες σχετικές µε το περιεχόμενο ή τα στοιχεία της επικοινωνίας των χρηστών του δικτύου, καθώς και τα κάθε είδους δεδοµένα επικοινωνίας που υποπίπτουν στην αντίληψή τους, ως αποτέλεσµα της φύσης της εργασίας τους. Οφείλουν να συμμορφώνονται με τις διατάξεις της νομοθεσίας περί προστασίας του απορρήτου και ειδικότερα: απαγορεύεται να αποκαλύπτουν πληροφορίες ή στοιχεία που συνδέονται με τα περιεχόμενα ή τα στοιχεία της επικοινωνίας που πραγματοποιείται μέσω των υπηρεσιών του παρόχου ή τα δεδομένα επικοινωνίας που υποπίπτουν στην αντίληψη ή περιέρχονται στην κατοχή τους, ως αποτέλεσμα της φύσης της εργασίας τους. Τέτοια στοιχεία και δεδομένα ενδεικτικά και όχι περιοριστικά είναι: τα στοιχεία επικοινωνίας των χρηστών (διεύθυνση κατοικίας κ.λ.π.), τα στοιχεία πρόσβασης των χρηστών (όνοµα, κωδικός πρόσβασης, κ.λ.π.) και τα στοιχεία που αφορούν στη χρέωση του χρήστη κ.λ.π. 5. Σε κάθε περίπτωση οι εργαζόμενοι και οι συνεργάτες του παρόχου οφείλουν να τηρούν απαρέγκλιτα τα οριζόμενα στην παρούσα Πολιτική Ασφαλείας και τις διαδικασίες και μέτρα ασφαλείας που αυτή ορίζει. Επίσης οφείλουν να ενημερώνουν άμεσα το Υπεύθυνο Διασφάλισης του Απορρήτου των Επικοινωνιών για οποιοδήποτε κενό ασφαλείας ή σχετικό περιστατικό που θέτει σε κίνδυνο το απόρρητο των επικοινωνιών των συνδρομητών ή χρηστών των παρεχόμενων δικτύων ή υπηρεσιών και το οποίο υπέπεσε στην αντίληψή τους. 6. Σε περίπτωση που διαπιστωθεί η παράβαση καθ οιονδήποτε τρόπο της παρούσας Πολιτικής Ασφαλείας από εργαζόμενο ή συνεργάτη του 6

παρόχου, οι υπεύθυνοι για την παραβίαση αυτή θα αντιμετωπίζουν όλες τις προβλεπόμενες νόμιμες αστικές και ποινικές κυρώσεις, χωρίς να αποκλείεται η λύση της συνεργασίας μαζί τους. 7. Κάθε περίπτωση διαπίστωσης από τον Υπεύθυνο Διασφάλισης του Απορρήτου των Επικοινωνιών µη συµµόρφωσης των εργαζομένων ή συνεργατών του παρόχου στην παρούσα Πολιτική Ασφαλείας, ακολουθείται η κατωτέρω διαδικασία και επιβάλλονται οι κατωτέρω αναφερόμενες κυρώσεις: α) έγγραφη απολογία του εργαζομένου του παρόχου για την µη συµµόρφωσή του µε την παρούσα Πολιτική Ασφαλείας β) σχετική εισήγηση του Υπεύθυνου Διασφάλισης του Απορρήτου των Επικοινωνιών και γνωστοποίηση της παραπάνω έγγραφης απολογίας προς τον πάροχο γ) επιβολή κυρώσεων από τον πάροχο, οι οποίες µπορεί να είναι: i) απλή επίπληξη, ii) αποµάκρυνση από την θέση ευθύνης του, iii) επιβολή προστίµου το ύψος του οποίου καθορίζεται στην ίδια απόφαση του παρόχου 8. Το προσωπικό του παρόχου που διαχειρίζεται τις κλήσεις υποστήριξης των χρηστών απαγορεύεται να αποκαλύπτει πληροφορίες ή οποιαδήποτε στοιχεία που αφορούν: α) στο περιεχόμενο ή την αιτία της επικοινωνίας που πραγματοποιήθηκε και β) την φύση ή το είδος του προβλήματος για το οποίο ζήτησαν ενημέρωση ή υποστήριξη. 9. Εξαίρεση στον παραπάνω κανόνα αφορά η ενημέρωση προς διεκπεραίωση αιτημάτων ή επίλυση των προβλημάτων που ανέφεραν οι χρήστες, σε εξουσιοδοτημένους εργαζόμενους ή συνεργάτες του παρόχου. Η ενημέρωση αυτή µπορεί να γίνει µόνο παρουσία του εξουσιοδοτημένου προσωπικού ή συνεργατών του παρόχου και σε περίπτωση που το περιεχόμενο της ενημέρωσης απαιτεί καταγραφή προκειμένου να μελετηθεί, να επιλυθεί ή/και να αναθεωρηθεί µια πολιτική (π.χ. ασφάλειας, εµπορική κλπ) απαγορεύεται η καταγραφή κάθε είδους στοιχείων σχετικών µε τον χρήστη. 10. Το προσωπικό του παρόχου ενημερώνει τους χρήστες, τουλάχιστον κατά τη σύναψη της μεταξύ τους σύμβασης αλλά και σε τακτά χρονικά διαστήματα, με κάθε πρόσφορο τρόπο, σχετικά με τα μέτρα που ενδείκνυται να λαμβάνουν για την προστασία του απορρήτου των επικοινωνιών τους, ιδίως σχετικά με κανόνες ορθής χρήσης των παρεχόμενων δικτύων ή υπηρεσιών αλλά και 7

τους τρόπους χρήσης τεχνολογιών και πόρων σχετικών με την ασφάλεια των πληροφοριών που σχετίζονται με τη διασφάλιση του απορρήτου των επικοινωνιών. 11. Για την πιστή εφαρμογή των οριζόμενων από την παρούσα Πολιτική Ασφαλείας, αλλά και την κείμενη νομοθεσία για το απόρρητο των επικοινωνιών, ο πάροχος εκπαιδεύει και ενημερώνει το προσωπικό του και τους υπεργολάβους-εξωτερικούς συνεργάτες για το περιεχόμενο της Πολιτικής Ασφαλείας, ενώ τους ενημερώνει έγκαιρα για τυχόν τροποποιήσεις της και το περιεχόμενό τους. 12. Επιπρόσθετα, όσον αφορά στους συνεργάτες, ο πάροχος διατηρεί ενημερωμένο ειδικό ηλεκτρονικό αρχείο στο οποίο είναι καταγεγραμμένοι οι συνεργάτες του, φυσικά ή νομικά πρόσωπα, οι οποίοι προκειμένου να παράσχουν τις υπηρεσίες τους, αποκτούν ή δύνανται να αποκτήσουν πρόσβαση σε δεδομένα επικοινωνίας των συνδρομητών ή χρηστών των παρεχόμενων δικτύων ή υπηρεσιών. 13. Ειδικότερα, οι συμβάσεις που ο πάροχος συνάπτει με τους συνεργάτες της προηγούμενης παραγράφου περιλαμβάνουν ενδεικτικά και όχι περιοριστικά τους κάτωθι συμβατικούς όρους: i) Την υποχρέωση τήρησης της εμπιστευτικότητας των δεδομένων και των στοιχείων επικοινωνίας των συνδρομητών των παρεχόμενων δικτύων ή υπηρεσιών, μη αποκάλυψής τους σε τρίτους και τήρησης του απορρήτου της επικοινωνίας (όροι εμπιστευτικότητας, μη αποκάλυψης και τήρησης του απορρήτου), ii) Τις απαιτήσεις και τα μέτρα ασφαλείας που λαμβάνονται για τη διασφάλιση του απορρήτου των επικοινωνιών, με τα οποία διασφαλίζεται η εμπιστευτικότητα και ακεραιότητα των δεδομένων επικοινωνίας κατά την επεξεργασία αυτών από τους συνεργάτες του παρόχου, καθώς και η οριστική διαγραφή και καταστροφή αυτών μετά την λήξη της συνεργασίας. iii) Αποδοχή εκ μέρους των συνεργατών της υποχρέωσης για τήρηση των μέτρων ασφαλείας για την διασφάλιση του απορρήτου των επικοινωνιών. 14. Ο πάροχος (διά του Υπεύθυνου Διασφάλισης του Απορρήτου των Επικοινωνιών) ενεργοποιεί την Πολιτική Διαχείρισης Περιστατικών Ασφαλείας, η οποία προβλέπεται στο άρθρο 6 της παρούσας Πολιτικής Ασφαλείας (βλ. κατωτέρω), σύμφωνα με τους όρους του άρθρου 9 του Κανονισμού της 8

Α.Δ.Α.Ε. για κάθε παραβίαση των συμβατικών όρων που αναφέρονται από τους ανωτέρω υπό i), ii), iii) της παραγράφου 13 της παρούσας Πολιτικής Ασφαλείας (βλ. ανωτέρω). 15. Ο Πάροχος ενημερώνει τους συνδρομητές ή χρήστες των παρεχόμενων δικτύων ή υπηρεσιών τουλάχιστον κατά τη σύναψη της μεταξύ τους σύμβασης αλλά και σε τακτά χρονικά διαστήματα, με κάθε πρόσφορο τρόπο, σχετικά με τα μέτρα που ενδείκνυται να λαμβάνουν για την προστασία του απορρήτου των επικοινωνιών τους, ιδίως σχετικά με κανόνες ορθής χρήσης των παρεχόμενων δικτύων ή υπηρεσιών αλλά και τους τρόπους χρήσης τεχνολογιών και πόρων σχετικών με την ασφάλεια των πληροφοριών που σχετίζονται με τη διασφάλιση του απορρήτου των επικοινωνιών. 16. Το υπόχρεο πρόσωπο ορίζει στην παρούσα Πολιτική Ασφαλείας και θέτει σε εφαρμογή μέτρα και διαδικασίες σχετικά με τη χρήση, τη διακίνηση και την καταστροφή των αποθηκευτικών μέσων (διαχείριση αποθηκευτικών μέσων), ηλεκτρονικών ή εντύπων, που περιέχουν δεδομένα επικοινωνίας ή άλλες πληροφορίες που μπορεί να οδηγήσουν σε αποκάλυψη δεδομένων επικοινωνίας των συνδρομητών ή χρηστών των παρεχόμενων δικτύων ή υπηρεσιών, ώστε να αποτρέπεται η αποκάλυψή τους σε μη εξουσιοδοτημένα πρόσωπα. Συγκεκριμένα, τηρείται από τον πάροχο η ακόλουθη διαδικασία: 17. Τα δεδομένα επικοινωνίας καταστρέφονται με ευθύνη του Υπεύθυνου Διασφάλισης του Απορρήτου των Επικοινωνιών αμέσως μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας. 18. Ανάλογα με την περίοδο που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας, διακρίνονται οι παρακάτω περιπτώσεις καταστροφής των αποθηκευτικών μέσων που περιέχουν δεδομένα επικοινωνίας ή άλλες πληροφορίες που μπορεί να οδηγήσουν σε αποκάλυψη δεδομένων επικοινωνίας των συνδρομητών ή χρηστών των παρεχόμενων δικτύων ή υπηρεσιών: (i) Καθημερινή καταστροφή των αποθηκευτικών μέσων. Η περίπτωση αυτή αφορά δεδομένα επικοινωνίας που παράγονται ή/και χρησιμοποιούνται καθημερινά στο πλαίσιο των εργασιών των εργαζομένων/ συνεργατών του παρόχου και τα οποία, μετά από την διεκπεραίωση της συγκεκριμένης εργασίας την οποία αφορούν, είναι πλέον άχρηστα (π.χ. αντίγραφα, 9

πρόχειρες εκθέσεις, σημειώσεις των εργαζομένων, πληροφοριακό υλικό, κ.α. σε έντυπη ή/και ηλεκτρονική μορφή). (ii) Προγραμματισμένη καταστροφή μέρους ή του συνόλου των αποθηκευτικών μέσων. Η περίπτωση αφορά μαζική καταστροφή των αποθηκευτικών μέσων που πραγματοποιείται είτε επειδή παρήλθε η περίοδος που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας (σύμφωνα με τον εκάστοτε ισχύοντα χρόνο τήρησης των δεδομένων) για τα συγκεκριμένα δεδομένα επικοινωνίας, είτε για άλλους λόγους, όπως π.χ. παύση ή τροποποίηση εργασιών του υπαλλήλου ή συνεργάτη του παρόχου. 19. Τα αποθηκευτικά μέσα που περιέχουν δεδομένα επικοινωνίας ή άλλες πληροφορίες καταστρέφονται από τον Υπεύθυνο Διασφάλισης του Απορρήτου των Επικοινωνιών με ασφαλή τρόπο, ώστε να αποκλειστεί η περαιτέρω μη νόμιμη και αθέμιτη επεξεργασία τους, όπως είναι η κάθε μορφή διάθεσης ή αποκάλυψής τους σε τρίτους. Ως ασφαλής τρόπος καταστροφής των αποθηκευτικών μέσων θεωρείται κάθε σύνολο διαδικασιών και μέτρων που μετά από την ολοκλήρωση της εφαρμογής τους δεν είναι δυνατό να αναγνωρισθούν τα υποκείμενα των δεδομένων επικοινωνίας ή των πληροφοριών των συνδρομητών ή των χρηστών των παρεχόμενων δικτύων ή υπηρεσιών. Σε κάθε ασφαλή τρόπο καταστροφής αποθηκευτικών μέσων η καταστροφή είναι μη αναστρέψιμη, δηλαδή δεν είναι δυνατή η ανάκτηση των δεδομένων μετά την καταστροφή με τεχνικά ή άλλα μέσα. 20. Ο Υπεύθυνος Διασφάλισης του Απορρήτου των Επικοινωνιών εφαρμόζει συγκεκριμένη διαδικασία για την ασφαλή καταστροφή των δεδομένων επικοινωνίας μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας. Η διαδικασία αυτή καλύπτει δεδομένα επικοινωνίας όλων των τύπων (σε έντυπη, ηλεκτρονική ή άλλη μορφή), αφορά τόσο την καθημερινή, όσο και την προγραμματισμένη καταστροφή μέρους ή του συνόλου των δεδομένων του υπεύθυνου επεξεργασίας και είναι γραπτώς διατυπωμένη, υπογραφόμενη από τον Υπεύθυνο Διασφάλισης του Απορρήτου των Επικοινωνιών. 21. Ο Υπεύθυνος Διασφάλισης του Απορρήτου των Επικοινωνιών εφαρμόζει τους κατάλληλους μηχανισμούς ελέγχου της ορθής τήρησης της παραπάνω διαδικασίας. Ο έλεγχος αυτός ανατίθεται σε ειδικά εξουσιοδοτημένους για τον 10

σκοπό αυτό εργαζομένους ή/ και συνεργάτες του παρόχου. Η διαδικασία του ελέγχου θα είναι γραπτώς διατυπωμένη και θα υπογράφεται από τον Υπεύθυνο Διασφάλισης του Απορρήτου των Επικοινωνιών. 22. Οι διαδικασίες και τα μέτρα καταστροφής των αποθηκευτικών μέσων που εφαρμόζει ο πάροχος είναι ενδεικτικά τα ακόλουθα: (i) Ασφαλής καταστροφή των αποθηκευτικών μέσων σε έντυπη μορφή: Η διαδικασία για την καθημερινή καταστροφή προσωπικών δεδομένων που τηρούνται σε έντυπη μορφή (δηλαδή με την μορφή εγγράφων) περιλαμβάνει τα παρακάτω βήματα: α) Εναπόθεση των προς καταστροφή εγγράφων από τους εργαζομένους του παρόχου σε ειδικούς υποδοχείς, που είναι τοποθετημένοι σε συγκεκριμένα σημεία εντός των εγκαταστάσεων του παρόχου. (β) Συλλογή των προς καταστροφή εγγράφων από τους υποδοχείς και εναπόθεση τους σε κεντρικό υποδοχέα σε ειδικό χώρο εντός των εγκαταστάσεων του παρόχου και από εξουσιοδοτημένο προς το σκοπό αυτό υπάλληλο του παρόχου. (γ) Τεμαχισμός των εγγράφων σε λωρίδες με χρήση ειδικών μηχανημάτων τεμαχισμού εγγράφων εντός των εγκαταστάσεων και από εξουσιοδοτημένους υπαλλήλους του παρόχου. Ο τεμαχισμός των εγγράφων ακολουθείται από πολτοποίηση και ανακύκλωση των εγγράφων. (ii) Προγραμματισμένη καταστροφή μέρους ή του συνόλου των αποθηκευτικών μέσων που τηρούνται σε έντυπη μορφή: Η διαδικασία για την καταστροφή μέρους ή του συνόλου των δεδομένων επικοινωνίας που τηρούνται σε έντυπη μορφή περιλαμβάνει τα παρακάτω βήματα: α) Διαχωρισμός των προς καταστροφή δεδομένων από τον αρμόδιο υπάλληλο του παρόχου. (β) Συλλογή και φύλαξη των προς καταστροφή δεδομένων σε ειδικά διαμορφωμένο ασφαλή χώρο εντός των εγκαταστάσεων του παρόχου. Στο χώρο αυτό θα έχουν πρόσβαση μόνο εξουσιοδοτημένοι προς το σκοπό αυτό υπάλληλοι του παρόχου. (γ) Μαζική καταστροφή των δεδομένων με τεμαχισμό τους σε λωρίδες και πολτοποίηση/ ανακύκλωσή τους. 11

δ) Σύνταξη πρωτοκόλλου καταστροφής, σύμφωνα με τα αναφερόμενα στην κατωτέρω παράγραφο 21. 23. Πρωτόκολλο καταστροφής των αποθηκευτικών μέσων που περιέχουν δεδομένα επικοινωνίας ή πληροφορίες χρηστών ή συνδρομητών των παρεχόμενων δικτύων ή υπηρεσιών: α) Το πρωτόκολλο καταστροφής το οποίο συντάσσεται σε κάθε περίπτωση καταστροφής των αποθηκευτικών μέσων περιλαμβάνει τα παρακάτω στοιχεία: Ημερομηνία καταστροφής. Περιγραφή του/ των αποθηκευτικών μέσων που καταστράφηκαν. Μέθοδο καταστροφής. Ονοματεπώνυμο αρμόδιου υπαλλήλου του παρόχου που είναι υπεύθυνος για την καταστροφή. Τον υπάλληλο που εκτελεί την καταστροφή. (iii) Ασφαλής καταστροφή δεδομένων που τηρούνται σε ηλεκτρονική ή άλλη μορφή: Για την ασφαλή καταστροφή δεδομένων σε ηλεκτρονική μορφή δεν επαρκεί η απλή διαγραφή τους (π.χ. με την εντολή «DELETE»), καθώς κατά τον τρόπο αυτό διαγράφεται μόνο η αναφορά στα δεδομένα, ενώ τα ίδια τα δεδομένα ενδέχεται να είναι ανακτήσιμα με χρήση ειδικών προγραμμάτων λογισμικού. Ο ενδεικνυόμενος τρόπος για την ασφαλή καταστροφή των δεδομένων που είναι αποθηκευμένα σε επανεγγράψιμα μέσα (π.χ. σκληροί δίσκοι, δισκέττες, επανεγγράψιμα DVD και CD) είναι η αλλοίωση των δεδομένων μέσω της αντικατάστασης τους με τυχαίους χαρακτήρες (overwrite). Η αλλοίωση γίνεται με τη χρήση ειδικών προγραμμάτων τα οποία χρησιμοποιεί ο πάροχος (file erasers, file shredders, file pulveritizers). Η καταστροφή των δεδομένων περιλαμβάνει και την καταστροφή όλων των αντιγράφων ασφαλείας (back up) που τηρεί ο πάροχος. Η προγραμματισμένη καταστροφή των δεδομένων πρέπει να συνοδεύεται από πρωτόκολλο καταστροφής, σύμφωνα με την ανωτέρω παράγραφο 21 του παρόντος άρθρου. 12

Άρθρο 2 Πολιτική Φυσικής Ασφάλειας: 1. Η Πολιτική Φυσικής Ασφάλειας καθορίζει τα απαιτούμενα μέτρα για την αποτροπή της μη εξουσιοδοτημένης φυσικής πρόσβασης στις εγκαταστάσεις του υπόχρεου προσώπου, στις οποίες είναι εγκατεστημένα ΠΕΣ, εξαιρουμένων εκείνων που χρησιμοποιούνται αποκλειστικά για την εξυπηρέτηση του κοινού, τον έλεγχο της πρόσβασης σε αυτές καθώς και την προστασία των ΠΕΣ. 2. Ειδικότερα λαμβάνονται όλα τα απαραίτητα και πρόσφορα μέτρα για την φυσική προστασία των εγκαταστάσεων του παρόχου, ώστε να αποτρέπεται κάθε μη εξουσιοδοτημένη πρόσβαση στις εγκαταστάσεις όπου είναι τοποθετημένα ΠΕΣ, οι οποίοι ορίζονται ως χώροι περιορισμένης πρόσβασης, και ελέγχεται η φυσική πρόσβαση σε αυτές, ώστε να επιτρέπεται μόνο σε εξουσιοδοτημένα πρόσωπα. Ως χώρος περιορισμένης πρόσβασης ορίζεται το «data room», στην έδρα της εταιρίας, όπου βρίσκονται οι εξυπηρετητές (servers). 3. Ο Πάροχος εφαρμόζει διαδικασία φυσικής πρόσβασης, στην οποία περιγράφονται αναλυτικά όλες οι ενέργειες που απαιτούνται για την πρόσβαση των εργαζομένων και των συνεργατών του σε εγκαταστάσεις και σε χώρους εντός των εγκαταστάσεών του, όπου είναι εγκαταστημένα ΠΕΣ. 4. Για την απόκτηση φυσικής πρόσβασης στους εργαζομένους ή τους συνεργάτες του παρόχου στους χώρους περιορισμένης πρόσβασης, απαιτείται η προηγούμενη έγγραφη έγκριση από τον Υπεύθυνο Διασφάλισης του Απορρήτου των Επικοινωνιών, η οποία και καθορίζει και τους όρους της πρόσβασης αυτής, όπως το εάν αυτή είναι συγκεκριμένης ή αόριστης διάρκειας ή εάν επιτρέπεται η πρόσβαση μόνο με την παρουσία και τρίτου ειδικά εξουσιοδοτημένου ατόμου. 5. Σχετικά τηρείται από τον πάροχο ειδικό αρχείο με το ιστορικό όλων των φυσικών προσβάσεων που έχουν εγκριθεί, σύμφωνα με τα οριζόμενα στο Ειδικό Σχέδιο Αρχείων Καταγραφής (Βλ. το άρθρο 1 του Παραρτήματος της παρούσας Πολιτικής Ασφάλειας), στο οποίο καταγράφονται όλα τα στοιχεία που αφορούν εκάστη έγκριση, όπως ενδεικτικά είναι: α) οι φυσικές προσβάσεις που έχουν εγκριθεί, β) τα στοιχεία (ονοματεπώνυμο, ιδιότητα κτλ.) των φυσικών προσώπων που έχουν λάβει την έγκριση αυτή, 13

γ) ποιο χώρο ή εγκατάσταση του παρόχου με δικαίωμα πρόσβασης αφορούν, δ) το χρονικό διάστημα ισχύος τους. 6. Για την απόκτηση δικαιώματος φυσικής πρόσβασης στους χώρους περιορισμένης πρόσβασης ακολουθείται η παρακάτω διαδικασία: α) τηρείται ειδική κατάσταση στην οποία καταγράφονται τα στοιχεία των εξουσιοδοτημένων ατόμων β) κατά την είσοδο στους χώρους αυτούς γίνεται ταυτοποίηση με βάση την ειδικά χορηγούμενη από την εταιρία κάρτα ελέγχου ή από άλλο επίσημο έγγραφο (π.χ. αστυνομική ταυτότητα) που αποδεικνύει την ταυτότητα του ατόμου. γ) το εξουσιοδοτημένο άτομο υπογράφει τη σχετική εγγραφή που καταχωρείται στο ειδικό αρχείο της αμέσως επόμενης παραγράφου κατά την είσοδο και κατά την έξοδο από το χώρο περιορισμένης πρόσβασης δ) σε περίπτωση πρόσβασης συνεργατών του παρόχου ή άλλων επισκεπτών στους χώρους της παρούσας παραγράφου, αυτοί πάντοτε συνοδεύονται από εξουσιοδοτημένο άτομο καθ όλη τη διάρκεια της παραμονής τους. 7. Η φυσική πρόσβαση των εξουσιοδοτημένων προσώπων στις εγκαταστάσεις καταγράφεται σε ειδικό αρχείο με εγγραφές σε ειδικό προς τούτο βιβλίο, το οποίο τηρείται σύμφωνα με τα οριζόμενα στο Ειδικό Σχέδιο Αρχείων Καταγραφής (Βλ. το άρθρο 1 του Παραρτήματος της παρούσας Πολιτικής Ασφάλειας), στο οποίο καταγράφονται: α) τα στοιχεία (ονοματεπώνυμο, ιδιότητα κτλ.) των φυσικών προσώπων που απέκτησαν πρόσβαση στους περιορισμένης πρόσβασης χώρους του παρόχου, β) ώρα εισόδου και εξόδου από τους χώρους περιορισμένης πρόσβασης, γ) οι συγκεκριμένοι χώροι περιορισμένης πρόσβασης στους οποίους εισήλθαν, δ) στην περίπτωση πρόσβασης συνεργάτη του υπόχρεου προσώπου ή άλλου επισκέπτη, στο αρχείο της παρούσας παραγράφου καταγράφεται επιπλέον ο λόγος πρόσβασης, καθώς και τα στοιχεία (ονοματεπώνυμο και ιδιότητα) του εργαζομένου που πρόκειται να συναντήσει. 8. Οι χώροι περιορισμένης πρόσβασης προστατεύονται με σύστημα κλειστού κυκλώματος τηλεόρασης και ελέγχεται η πρόσβαση σε αυτούς με την ασφάλιση των θυρών με ειδικές κλειδαριές ασφαλείας. Τα κλειδιά 14

φυλάσσονται από εξουσιοδοτημένο από τον υπεύθυνο ασφαλείας προσωπικό και παραδίδονται μόνο σε αυτόν. Η φυσική πρόσβαση στους χώρους της παρούσας παραγράφου καταγράφεται σύμφωνα με τις προηγούμενες παραγράφους του παρόντος άρθρου. Στην περίπτωση πρόσβασης συνεργατών του παρόχου ή άλλων επισκεπτών στους χώρους της παρούσας παραγράφου, αυτοί θα πρέπει να συνοδεύονται από εξουσιοδοτημένο εργαζόμενο του παρόχου σε όλο το διάστημα της παραμονής τους. Οι χώροι της παρούσας παραγράφου, καθώς και οι μηχανισμοί ασφαλείας και ελεγχόμενης πρόσβασης, καταγράφονται σε ειδικό αρχείο. 9. Ο πάροχος λαμβάνει όλα τα απαραίτητα μέτρα φυσικής προστασίας και ελεγχόμενης πρόσβασης για την προστασία των ΠΕΣ, τα οποία βρίσκονται υπό την εποπτεία του και τοποθετούνται εκτός των εγκαταστάσεών του. Οι μηχανισμοί ασφαλείας για τις περιπτώσεις αυτές περιγράφονται σε αρχείο. Για τους χώρους περιορισμένης πρόσβασης στους οποίους είναι εγκατεστημένα ΠΕΣ και τους μηχανισμούς ασφαλείας τηρείται ειδικό αρχείο, σύμφωνα με τα οριζόμενα στο Ειδικό Σχέδιο Αρχείων Καταγραφής (Βλ. το άρθρο 1 του Παραρτήματος της παρούσας Πολιτικής Ασφάλειας), στο οποίο καταγράφονται: α) οι χώροι περιορισμένης πρόσβασης, στους οποίους είναι εγκατεστημένα ΠΕΣ, β) οι μηχανισμοί ασφαλείας που υπάρχουν στους χώρους αυτούς, γ) το χρονικό διάστημα λειτουργίας των μηχανισμών αυτών, δ) τυχόν παρουσιασθέντα προβλήματα. 10. Ο πάροχος δεν διατηρεί ΠΕΣ εκτός των εγκαταστάσεών του. Τα ανωτέρω αναφερθέντα μέτρα για την αποτροπή μη εξουσιοδοτημένης φυσικής πρόσβασης στα ΠΕΣ εφαρμόζονται και στην περίπτωση τοποθέτησης ΠΕΣ εκτός της έδρας του παρόχου. Άρθρο 3 Πολιτική Λογικής Πρόσβασης: 1. Η Πολιτική Λογικής Πρόσβασης καθορίζει τη διαβάθμιση των επιπέδων πρόσβασης και θέτει τις απαιτήσεις για τον έλεγχο πρόσβασης στα ΠΕΣ και ισχύει για τους εργαζόμενους και συνεργάτες του παρόχου, οι οποίοι στο πλαίσιο της εργασίας τους αποκτούν πρόσβαση στα ΠΕΣ και στα σχετικά δεδομένα και τις πληροφορίες. 15

2. O πάροχος τηρεί με αυστηρότητα τους κανόνες λογικής πρόσβασης, ενώ παράλληλα χρησιμοποιεί κατάλληλους μηχανισμούς ελέγχου πρόσβασης και αυθεντικοποίησης των εργαζομένων και συνεργατών του παρόχου. Επίσης, εφαρμόζει τις πιο σύγχρονες μεθόδους και τεχνικές προστασίας των προσωπικών δεδομένων, που τηρούνται στα αρχεία της από: α) παράνομη πρόσβαση, β) παράνομη χρήση ή αποκάλυψη, γ) παράνομη τροποποίηση, δ) εκούσια ή ακούσια καταστροφή. Δε φέρει καμία ευθύνη εάν τα δεδομένα προσωπικού χαρακτήρα που τηρούνται στα αρχεία της αποτελέσουν αντικείμενο παράνομης πράξης επιφέρουσας ζημία ή βλάβη, περιουσιακή ή ηθική στα υποκείμενά τους λόγω ανωτέρας βίας ή για οποιοδήποτε άλλο λόγο που δεν οφείλεται σε βαρειά αμέλεια ή δόλο του ή των εργαζομένων του ή των συνεργατών του. Κατ ελάχιστον, ο έλεγχος πρόσβασης και αυθεντικοποίησης των εργαζομένων και συνεργατών του παρόχου επιτυγχάνεται με τη χρήση ενός λογαριασμού πρόσβασης που αποτελείται από ένα ζεύγος ονόματος χρήστη και κωδικού πρόσβασης, ή άλλου μηχανισμού που εξασφαλίζει αντίστοιχο επίπεδο ασφαλείας. Ο πάροχος διατηρεί ειδικό αρχείο που αναφέρει αναλυτικά τους μηχανισμούς ελέγχου και αυθεντικοποίησης για κάθε ΠΕΣ. 3. Ο εξοπλισμός του παρόχου, σε επίπεδο λογισμικού software και συστημάτων υλικού hardware, παρέχει την δυνατότητα στους χρήστες και διαχειριστές των ΠΕΣ να ρυθμίζουν την πρόσβαση σε δεδομένα κίνησης και λοιπές πληροφορίες μέσω κωδικών ασφαλείας και προσωπικών κλειδιών, διασφαλίζοντας έτσι στο μέγιστο τα προσωπικά δεδομένα και τα δεδομένα κίνησης/χρήσης των συστημάτων. Δίδονται προσωπικοί κωδικοί πρόσβασης και κλειδιά ανά ΠΕΣ σε κάθε ενεργό ρόλο της εταιρίας, όπως επίσης στους συνεργάτες για την τεχνική συντήρηση και διαχείριση των ΠΕΣ, εφόσον αυτό κρίνεται απαραίτητο. Σε κάθε εργαζόμενο και συνεργάτη του παρόχου εκχωρείται προσωπικός λογαριασμός πρόσβασης ανά ΠΕΣ, ούτως ώστε να είναι δυνατή η αντιστοίχιση συγκεκριμένου προσώπου με τις ενέργειες που τελούνται σε κάθε ΠΕΣ. Ο πάροχος διατηρεί αρχείο με την αντιστοίχιση των λογαριασμών πρόσβασης των εργαζομένων και συνεργατών στους οποίους αυτοί έχουν αποδοθεί, ούτως ώστε να είναι δυνατό να διαπιστωθεί με βεβαιότητα ο κάτοχος κάθε λογαριασμού πρόσβασης και για ποιο χρονικό διάστημα. 16

4. Δεν επιτρέπεται η δημιουργία κοινών ή/ και προκαθαρισμένων για περισσότερα φυσικά πρόσωπα λογαριασμών πρόσβασης. 5. Για τους μηχανισμούς ελέγχου και αυθεντικοποίησης για κάθε ΠΕΣ τηρείται ειδικό ηλεκτρονικό αρχείο, σύμφωνα με τα οριζόμενα στο Ειδικό Σχέδιο Αρχείων Καταγραφής (Βλ. το άρθρο 1 του Παραρτήματος της παρούσας Πολιτικής Ασφάλειας), στο οποίο καταγράφονται: α) οι μηχανισμοί ελέγχου και αυθεντικοποίησης β) ανάλυση της λειτουργίας τους γ) τα ΠΕΣ, στα οποία εφαρμόζονται δ) το χρονικό διάστημα λειτουργίας τους 6. Για τους λογαριασμούς πρόσβασης των εργαζομένων και συνεργατών σε κάθε ΠΕΣ τηρείται ειδικό ηλεκτρονικό αρχείο, σύμφωνα με τα οριζόμενα στο Ειδικό Σχέδιο Αρχείων Καταγραφής (Βλ. το άρθρο 1 του Παραρτήματος της παρούσας Πολιτικής Ασφάλειας), στο οποίο καταγράφονται: α) ο λογαριασμός πρόσβασης β) τα δικαιώματα κάθε λογαριασμού πρόσβασης γ) το φυσικό πρόσωπο στο οποίο αντιστοιχεί αυτός δ) το/α ΠΕΣ στο/α οποίο/α παρέχεται πρόσβαση ε) η χρονική διάρκεια ισχύος του κάθε λογαριασμού πρόσβασης 6. Για την απόκτηση πρόσβασης εκ μέρους των χρηστών των ΠΕΣ τηρείται ειδικό ηλεκτρονικό αρχείο (log), σύμφωνα με τα οριζόμενα στο Ειδικό Σχέδιο Αρχείων Καταγραφής (Βλ. το άρθρο 1 του Παραρτήματος της παρούσας Πολιτικής Ασφάλειας), στο οποίο καταγράφονται: α) το username του χρήστη που απέκτησε την πρόσβαση β) το/α ΠΕΣ, στο/α οποία απέκτησε την πρόσβαση αυτή γ) την ημερομηνία και την ώρα εκκίνησης και τερματισμού της πρόσβασης 7. Για τους τρόπους πρόσβασης των εργαζομένων και συνεργατών του παρόχου σε δεδομένα επικοινωνίας των χρηστών των παρεχόμενων υπηρεσιών τηρείται ειδικό ηλεκτρονικό αρχείο, σύμφωνα με τα οριζόμενα στο Ειδικό Σχέδιο Αρχείων Καταγραφής (Βλ. το άρθρο 1 του Παραρτήματος της παρούσας Πολιτικής Ασφάλειας), στο οποίο καταγράφονται: α) κάθε πρόσβαση σε δεδομένα επικοινωνίας των χρηστών των παρεχόμενων υπηρεσιών β) τα δεδομένα επικοινωνίας στα οποία απέκτησε πρόσβαση 17

γ) τα πλήρη στοιχεία (ονοματεπώνυμο, ιδιότητα κτλ.) του εργαζόμενου ή συνεργάτη του παρόχου, ο οποίος απέκτησε πρόσβαση. δ) η ημερομηνία και ώρα απόκτησης πρόσβασης ε) η αιτία για την οποία αποκτήθηκε η πρόσβαση 8. Ο πάροχος διατηρεί ειδικό αρχείο στο οποίο καταγράφει τους τρόπους πρόσβασης των εργαζομένων και συνεργατών του σε δεδομένα επικοινωνίας των συνδρομητών ή χρηστών των παρεχόμενων δικτύων ή υπηρεσιών. Κάθε πρόσβαση σε δεδομένα επικοινωνίας των συνδρομητών ή χρηστών των παρεχόμενων υπηρεσιών πρέπει να καταγράφεται και να αιτιολογείται. Διαδικασία Προσθήκης Νέων Χρηστών ΠΕΣ 1. Κάθε διαδικασία ενεργοποίησης στοιχείων πρόσβασης και λογαριασμού πρόσβασης νέων χρηστών εργαζομένων ή και νέων συνεργατών, συνοδεύεται από έγγραφη αίτηση, που παραμένει σε ειδικό φάκελο, και αρχειοθετείται, έτσι ώστε να διασφαλίζεται η ομαλότητα και η ιστορικότητα των δεδομένων κίνησης χρηστών/συνεργατών. Η διαδικασία χορήγησης ορίζεται ως εξής: α) ο νέος χρήστης υποβάλει σχετική αίτηση, στην οποία αναφέρονται τα πλήρη στοιχεία του (ονοματεπώνυμο, ιδιότητα κτλ.) και τα ΠΕΣ στα οποία αφορούν τα στοιχεία πρόσβασης β) ο νέος χρήστης υπογράφει επιπλέον σύμβαση εμπιστευτικότητας µε τον πάροχο, µε την οποία δεσμεύεται για την τήρηση της παρούσας Πολιτικής Ασφαλείας και Διασφάλισης Απορρήτου. γ) δημιουργούνται από τον Υπεύθυνο Διασφάλισης του Απορρήτου των Επικοινωνιών τα σχετικά στοιχεία πρόσβασης και εισάγονται στο σύστημα, ώστε να γίνει η ενεργοποίησή τους, σε κάθε περίπτωση μετά την υπογραφή της σύμβασης εμπιστευτικότητας δ) ο Υπεύθυνος Διασφάλισης του Απορρήτου των Επικοινωνιών ή ο εξουσιοδοτημένος από αυτόν εργαζόμενος του παρόχου παραδίδει το όνομα χρήστη (username) και τον κωδικό πρόσβασης (password) σε σφραγισμένο φάκελο στο νέο χρήστη. 2. Ο πάροχος διατηρεί ειδικό ηλεκτρονικό αρχείο με το ιστορικό όλων των δικαιωμάτων ή επιπέδων πρόσβασης των λογαριασμών που έχουν εγκριθεί 18

και ενεργοποιηθεί στα ΠΕΣ στην περίπτωση προσθήκης νέων χρηστών ΠΕΣ και διαγραφής υπαρχόντων χρηστών ΠΕΣ. 3. Η προσθήκη νέων χρηστών ΠΕΣ, η διαγραφή χρηστών ΠΕΣ, όπως επίσης και κάθε περίπτωση απονομής και μεταβολής των δικαιωμάτων ή επιπέδων πρόσβασης, εγκρίνεται υποχρεωτικά προηγουμένως από τον Υπεύθυνο Διασφάλισης του Απορρήτου των Επικοινωνιών. Διαδικασία Μεταβολής Δικαιωμάτων Υπάρχοντων Χρηστών ΠΕΣ 1. Κάθε διαδικασία μεταβολής στοιχείων πρόσβασης και λογαριασμών πρόσβασης υπάρχοντων χρηστών εργαζομένων ή και συνεργατών, συνοδεύεται από έγγραφη αίτηση, που παραμένει σε ειδικό φάκελο, και αρχειοθετείται, έτσι ώστε να διασφαλίζεται η ομαλότητα και η ιστορικότητα των δεδομένων κίνησης εργαζομένων/συνεργατών. Η διαδικασία μεταβολής της κατάστασης πρόσβασης ορίζεται ως εξής: α) ο χρήστης υποβάλει σχετική αίτηση, στην οποία αναφέρονται τα πλήρη στοιχεία του (ονοματεπώνυμο, ιδιότητα κτλ.) και τα ΠΕΣ στα οποία αφορούν τα στοιχεία πρόσβασης που έχει και την μεταβολή των στοιχείων πρόσβασης που απαιτείται β) ο χρήστης υπογράφει επιπλέον σύμβαση εμπιστευτικότητας µε τον πάροχο, µε την οποία δεσμεύεται για την τήρηση της παρούσας Πολιτικής Ασφαλείας και Διασφάλισης Απορρήτου, εφόσον αυτό απαιτείται με βάση τα νέα δικαιώματα πρόσβασης που αποκτά γ) δημιουργούνται από τον Υπεύθυνο Διασφάλισης του Απορρήτου των Επικοινωνιών τα σχετικά στοιχεία πρόσβασης και εισάγονται στο σύστημα, ώστε να γίνει η ενεργοποίησή τους σε κάθε περίπτωση μετά την τυχόν νέα υπογραφή της σύμβασης εμπιστευτικότητας δ) ο Υπεύθυνος Διασφάλισης του Απορρήτου των Επικοινωνιών ή ο εξουσιοδοτημένος από αυτόν εργαζόμενος του παρόχου παραδίδει το όνομα χρήστη (username) και τον κωδικό πρόσβασης (password) σε σφραγισμένο φάκελο στο χρήστη, ενώ σε κάθε περίπτωση γίνεται αλλαγή των στοιχείων πρόσβασης σε κάθε μεταβολή κατάστασης πρόσβασης. 2. Για κάθε μεταβολή στην κατάσταση πρόσβασης των χρηστών ΠΕΣ τηρείται ειδικό ηλεκτρονικό αρχείο, σύμφωνα με τα οριζόμενα στο Ειδικό Σχέδιο Αρχείων Καταγραφής (Βλ. το άρθρο 1 του Παραρτήματος της παρούσας 19

Πολιτικής Ασφάλειας), στο οποίο καταγράφονται: α) κάθε μεταβολή της κατάστασης πρόσβασης των χρηστών ΠΕΣ β) τον/τους χρήστη/ες που αφορά η μεταβολή της κατάστασης πρόσβασης γ) σε τι συνίσταται η μεταβολή αυτή (μεταβολή των στοιχειών πρόσβασης, των δικαιωμάτων πρόσβασης, αλλαγή των ΠΕΣ στις οποίες αφορά η μεταβολή) δ) το/α ΠΕΣ που αφορά η μεταβολή κατάστασης πρόσβασης ε) η ημερομηνία και η ακριβής ώρα της μεταβολής της κατάστασης πρόσβασης. Διαδικασία Διαγραφής Υπαρχόντων Χρηστών ΠΕΣ 1. Κάθε διαδικασία διαγραφής στοιχείων πρόσβασης και των αντίστοιχων λογαριασμών πρόσβασης υπάρχοντων χρηστών εργαζομένων ή και συνεργατών, συνοδεύεται από έγγραφη αίτηση ή σχετική έγγραφη απόφαση του Υπεύθυνου Διασφάλισης του Απορρήτου των Επικοινωνιών για λόγους ασφαλείας, που παραμένει σε ειδικό φάκελο, και αρχειοθετείται, έτσι ώστε να διασφαλίζεται η ομαλότητα και η ιστορικότητα των δεδομένων κίνησης εργαζομένων/συνεργατών. Η διαδικασία διαγραφής στοιχείων πρόσβασης και των αντίστοιχων λογαριασμών πρόσβασης ορίζεται ως εξής: α) ο χρήστης υποβάλει σχετική αίτηση, στην οποία αναφέρονται τα πλήρη στοιχεία του (ονοματεπώνυμο, ιδιότητα κτλ.) και τα ΠΕΣ στα οποία αφορούν τα στοιχεία πρόσβασης ή εναλλακτικά εκδίδεται έγγραφη απόφαση του Υπεύθυνου Διασφάλισης του Απορρήτου των Επικοινωνιών για λόγους ασφαλείας, η οποία αναφέρει τα πλήρη στοιχεία του λογαριασμού πρόσβασης που διαγράφεται και το λόγο της διαγραφής β) διαγράφονται τα σχετικά στοιχεία πρόσβασης και ο σχετικός λογαριασμός πρόσβασης με μέριμνα του Υπεύθυνου Διασφάλισης του Απορρήτου των Επικοινωνιών και ανανεώνεται το σύστημα, ώστε να γίνει η απενεργοποίησή τους. Στο σημείο αυτό θα πρέπει να αναφερθεί, όπως έχει ήδη ειπωθεί, ότι για κάθε μία εκ των ενεργειών που αναφέρονται στις ανωτέρω διαδικασίες (δηλαδή προσθήκη, διαγραφή, απονομή και μεταβολή των δικαιωμάτων ή επιπέδων πρόσβασης) απαιτείται υποχρεωτικά προηγούμενη έγκριση από τον Υπεύθυνο Διασφάλισης του Απορρήτου των Επικοινωνιών. 20