ιεύθυνση Γραµµατείας Αθήνα, 17.05.2011 Αριθ. Πρωτ.: Γ/ΕΞ/3409 Προς Αρχή ιασφάλισης Απορρήτου των Επικοινωνιών (Α ΑΕ) Ιερού Λόχου 3, Μαρούσι 151 24, Αθήνα Email: kanonismos@adae.gr. ΘΕΜΑ: Παρατηρήσεις της ΑΠ ΠΧ επί του σχεδίου κανονισµού για τη διασφάλιση του απορρήτου των επικοινωνιών Κυρίες/κύριοι Με το παρόν σας υποβάλουµε τις παρατηρήσεις της ΑΠ ΠΧ επί του σχεδίου κανονισµού της Α ΑΕ σχετικά µε τη διασφάλιση του απορρήτου των επικοινωνιών. Παραµένουµε στη διάθεσή σας για οποιαδήποτε συµπληρωµατική πληροφορία. Ο ιευθυντής ρ. Βασίλης Ζορκάδης Κοιν: 1. Υπουργείο ικαιοσύνης, ιαφάνειας και Ανθρωπίνων ικαιωµάτων Μεσογείων 96, 115 27, Αθήνα 2. Υπουργείο Υποδοµών, Μεταφορών και ικτύων Αναστάσεως 2 και Τσιγάντε, 101 91, Αθήνα 3. Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδροµείων Λ. Κηφισίας 60, 151 25, Αθήνα Κηφισίας 1-3, 11523, Αθήνα, Τηλ: 210 6475600, Fax: 210 6475628, contact@dpa.gr www.dpa.gr
Παρατηρήσεις επί του σχεδίου κανονισµού της Α ΑΕ για τη διασφάλιση του απορρήτου των επικοινωνιών Το σχέδιο κανονισµού αφορά στη δοµή και το περιεχόµενο πολιτικής ασφάλειας για τη διασφάλιση του απορρήτου των επικοινωνιών, την οποία οφείλουν να εκπονούν τα πρόσωπα που παρέχουν δίκτυα ή/και υπηρεσίες ηλεκτρονικών επικοινωνιών. Οι παρατηρήσεις της ΑΠ ΠΧ περιορίζονται σε ορισµένα κρίσιµα ζητήµατα. 1) Υποκειµενικό πεδίο εφαρµογής Το υποκειµενικό πεδίο εφαρµογής του σχεδίου κανονισµού εκτείνεται και στα πρόσωπα που παρέχουν εσωτερικά δίκτυα ή/και υπηρεσίες ηλεκτρονικών επικοινωνιών, ενώ προς τούτο δεν υφίσταται αντίστοιχη νοµοθετική εξουσιοδότηση της Α ΑΕ στην κείµενη νοµοθεσία (ν. 3115/2003, ν. 3471/2006, ν. 3674/2008 και ν. 3917/2011). Ως εκ τούτου τα εσωτερικά δίκτυα (και τα πρόσωπα που τα διαθέτουν) πρέπει να εξαιρεθούν από το πεδίο εφαρµογής του κανονισµού. Επίσης, για λόγους σαφήνειας της ρύθµισης και ενότητας του νοµοθετικού πλαισίου προτείνουµε ο όρος «πρόσωπα που ασχολούνται µε την παροχή δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών» να αντικατασταθεί από τον όρο «πάροχοι δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών» (εφεξής «πάροχοι»), ακολουθώντας τον αντίστοιχο ορισµό του ν. 3431/2006 περί ηλεκτρονικών επικοινωνιών, στον οποίο εξάλλου παραπέµπει το σχέδιο κανονισµού. Ειδικότερα: Το υποκειµενικό πεδίο εφαρµογής του σχεδίου κανονισµού, κατά το άρθρο 1 παρ. 2 αναφέρεται ρητά στα πρόσωπα που παρέχουν δίκτυα ή/και υπηρεσίες ηλεκτρονικών επικοινωνιών υπό καθεστώς Γενικής Άδειας της ΕΕΤΤ. Το άρθρο 1 παρ. 1 όµως του σχεδίου κανονισµού καταλαµβάνει γενικά όλα τα πρόσωπα που ασχολούνται µε την παροχή δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών, δηλαδή όλους ανεξαιρέτως τους φορείς του δηµόσιου και ιδιωτικού τοµέα, αφού αυτοί διαθέτουν δίκτυα ή και υπηρεσίες ηλεκτρονικών επικοινωνιών, όπως τα εκπαιδευτικά ιδρύµατα, οι χρηµατοπιστωτικοί φορείς, τα νοσοκοµεία, οι δηµόσιοι οργανισµοί (υπουργεία και δήµοι), ιδιωτικές επιχειρήσεις, κλπ. Εποµένως, όλοι οι φορείς του δηµόσιου και ιδιωτικού τοµέα υποχρεούνται να καταρτίσουν και να εφαρµόζουν την προβλεπόµενη στο σχέδιο κανονισµού πολιτική ασφάλειας, ενώ ταυτόχρονα καταλαµβάνονται και από την ελεγκτική αρµοδιότητα της Α ΑΕ, σύµφωνα µε το άρθρο 14 παρ. 1 του κανονισµού. Ωστόσο, σύµφωνα µε το άρθρο 6 παρ. 1 στοιχ. α) του ν. 3115/2003, η Α ΑΕ έχει αρµοδιότητα διενέργειας ελέγχων για τη διασφάλιση του απορρήτου των επικοινωνιών αποκλειστικά σε πρόσωπα που ασχολούνται µε ταχυδροµικές, τηλεπικοινωνιακές ή άλλες υπηρεσίες σχετικά µε την ανταπόκριση και την επικοινωνία. Τα παραπάνω πρόσωπα θα µπορούσαν να ταυτίζονται µε αυτά που παρέχουν δίκτυα ή/και υπηρεσίες ηλεκτρονικών επικοινωνιών υπό το καθεστώς της Γενικής Άδειας της ΕΕΤΤ, εφόσον στο σχετικό µητρώο της ΕΕΤΤ καταχωρούνται µόνο πάροχοι δικτύων και ηλεκτρονικών υπηρεσιών και όχι πάροχοι περιεχοµένου. Οι νόµοι 3471/2006, 3674/2008 και 3917/2011 εφαρµόζονται µόνον σε ένα υποσύνολο των παρόχων, δηλαδή σε όσους παρέχουν διαθέσιµα στο κοινό δίκτυα ή υπηρεσίες ηλεκτρονικών επικοινωνιών. 2
Όπως είναι προφανές από τους προαναφερθέντες νόµους, η Α ΑΕ δεν έχει την νοµοθετική εξουσιοδότηση για την εποπτεία των προσώπων που παρέχουν εσωτερικά δίκτυα, γεγονός που, άλλωστε, αναγνωρίζεται και από την ίδια στην Ετήσια Έκθεση Πεπραγµένων του έτους 2009 (κεφάλαιο 3, σελ. 57 ). 2) Αντικειµενικό πεδίο εφαρµογής ασφάλεια Το αντικειµενικό πεδίο εφαρµογής του σχεδίου κανονισµού καταλαµβάνει γενικά την ασφάλεια της επεξεργασίας προσωπικών δεδοµένων, υπερβαίνοντας τη νοµοθετική εξουσιοδότηση της Α ΑΕ, η οποία, σύµφωνα µε τους ν. 3115/2003, 3471/2006, 3674/2008 και 3917/2011, αφορά µόνον στην προστασία του απορρήτου των επικοινωνιών. Ως εκ τούτου, το πεδίο εφαρµογής του σχεδίου κανονισµού δεν επιτρέπεται να επεκταθεί σε τοµείς άλλους από όσους ορίζουν οι εξουσιοδοτικές διατάξεις και οφείλει να περιοριστεί στο απόρρητο των επικοινωνιών. Αυτό θα µπορούσε να επιτευχθεί µε ρητή αναφορά στους κινδύνους που πρέπει κατ ελάχιστο να αντιµετωπίσουν οι πάροχοι για τη διασφάλιση του απορρήτου και κατάλληλη αντιστοίχιση των συγκεκριµένων κινδύνων µε προτεινόµενα µέτρα. Ειδικότερα: Το απόρρητο των επικοινωνιών, όπως ορίζει το Σύνταγµα και οι προµνηµονευθέντες νόµοι καταλαµβάνει καταρχήν το απόρρητο του περιεχοµένου της επικοινωνίας. Τα εξωτερικά στοιχεία της επικοινωνίας, δηλαδή τα δεδοµένα κίνησης και θέσης µόνον, ρητά αναφέρεται ότι προστατεύονται σύµφωνα µε τις διατάξεις περί απορρήτου των επικοινωνιών στο άρθρο 4 παρ. 1 του ν. 3471/2006. Παράλληλα, τα εξωτερικά στοιχεία της επικοινωνίας αποτελούν και δεδοµένα προσωπικού χαρακτήρα και µάλιστα, η συνταγµατική κατοχύρωση του απορρήτου των επικοινωνιών και η προστασία του σύµφωνα µε το άρθρο 8 της Ευρωπαϊκής Σύµβασης των ικαιωµάτων του Ανθρώπου (ΕΣ Α) δεν επηρεάζει το χαρακτηρισµό τους και προστασία τους ως δεδοµένα προσωπικού χαρακτήρα. Αυτό ισχύει σε όλα τα κράτη της Ε.Ε. (βλ. σκ. 3 της Οδηγίας 2002/58/ΕΚ). Η διασφάλιση του απορρήτου της επικοινωνίας σχετίζεται αποκλειστικά µε την εµπιστευτικότητα του περιεχοµένου και των συγκεκριµένων εξωτερικών στοιχείων της επικοινωνίας που αναφέρονται παραπάνω. Αντίθετα, η έννοια της ασφάλειας των δεδοµένων είναι ευρύτερη καθώς καταλαµβάνει το σύνολο των τεχνικών και οργανωτικών µέτρων διασφάλισης τόσο της εµπιστευτικότητας, όσο και της ακεραιότητας και διαθεσιµότας του συνόλου των δεδοµένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Για παράδειγµα µια τυχαία αλλοίωση δεδοµένων κίνησης µπορεί να συνδέεται µόνο µε τη ακεραιότητα των δεδοµένων εφόσον δεν έχει λάβει χώρα διαρροή ή µη εξουσιοδοτηµένη πρόσβαση. Σε αυτή την περίπτωση πρόκειται για παραβίαση της ασφάλειας των δεδοµένων και της νοµοθεσίας για την προστασία των προσωπικών δεδοµένων και όχι του απορρήτου των επικοινωνιών. Παρά το γεγονός ότι η αρµοδιότητα της Α ΑΕ περιορίζεται από την κείµενη νοµοθεσία (ν. 3115/2003, 3471/2006, 3674/2008) στη διασφάλιση το απορρήτου των επικοινωνιών, το σχέδιο κανονισµού εκτείνεται στο σύνολο της ασφάλειας των συστηµάτων επεξεργασίας προσωπικών δεδοµένων που διατηρούν οι πάροχοι. Είναι καταρχήν αξιοσηµείωτο ότι το σχέδιο κανονισµού δεν περιέχει καµία ευδιάκριτη αναφορά στο απόρρητο του περιεχοµένου της επικοινωνίας (π.χ. ζητήµατα 3
υποκλοπών ή παράνοµων συνακροάσεων). Περαιτέρω, η έννοια «δεδοµένα επικοινωνίας», στην προστασία των οποίων κατατείνει το σχέδιο κανονισµού, δεν ορίζεται σαφώς και ήδη από τον ορισµό των «πληροφοριακών και επικοινωνιακών συστηµάτων ΠΕΣ» υπονοεί το ευρύτερο σύνολο δεδοµένων (πέραν των δεδοµένων κίνησης και θέσης) που υφίστανται επεξεργασία µέσω των συστηµάτων των παρόχων. Ο ορισµός των ΠΕΣ περιλαµβάνει όλα τα πιθανά συστήµατα επεξεργασίας δεδοµένων που διαθέτει ένας πάροχος και που εκτείνονται πέρα των συστηµάτων επεξεργασίας δεδοµένων κίνησης και θέσης (βλ. τα παραδείγµατα συστηµάτων ΠΕΣ που αναφέρονται στη παρ. 10.3.3). Τέλος, σε διάφορα σηµεία του σχεδίου κανονισµού η έννοια της «διασφάλισης του απορρήτου» χρησιµοποιείται µε τρόπο που καταλαµβάνει το υπερσύνολο της ασφάλειας των δεδοµένων, όπως π.χ. στα µέτρα διαχείρισης περιστατικών παραβίασης ασφάλειας (βλ. και υπό σηµείο 7 του παρόντος εγγράφου). Κατά τον τρόπο αυτό, η Α ΑΕ υπερβαίνει τις νόµιµες αρµοδιότητές της, επιχειρώντας να ρυθµίσει τον ευρύτερο τοµέα της ασφάλειας των προσωπικών δεδοµένων, επιβάλλοντας µάλιστα δεσµευτικά προς τους παρόχους µέτρα. 3) Αντικειµενικό πεδίο εφαρµογής ειδικός σκοπός του ν. 3917/2011 Το σχέδιο κανονισµού καταλαµβάνει όλους τους σκοπούς επεξεργασίας δεδοµένων κίνησης και θέσης µέσω των συστηµάτων των παρόχων ενώ, σύµφωνα µε το άρθρο 7 ν. 3917/2011, προβλέπεται η έκδοση κοινής πράξης των ΑΠ ΠΧ και Α ΑΕ για τη συγκεκριµενοποίηση των µέτρων ασφάλειας των παρόχων σε σχέση µε τον ειδικότερο σκοπό της διακρίβωσης ιδιαίτερα σοβαρών εγκληµάτων. Είναι συνεπώς απαραίτητο ο παραπάνω σκοπός να εξαιρεθεί ρητώς από το πεδίο εφαρµογής του σχεδίου κανονισµού, διότι διαφορετικά συντρέχει ζήτηµα υπέρβασης της νοµοθετικής εξουσιοδότησης, η οποία έχει ανατεθεί από κοινού στις δύο αρχές. 4) Έγκριση πολιτικών ασφάλειας από την Α ΑΕ Η υποβολή προς έγκριση στην Α ΑΕ των πολιτικών ασφαλείας των παρόχων υπερβαίνει τη νοµοθετική εξουσιοδότηση της Α ΑΕ, καθώς µια τέτοια υποχρέωση θα έπρεπε να προβλέπεται ρητά σε νόµο. Επί του παρόντος αντίστοιχη πρόβλεψη περιέχεται µόνον στο ν. 3674/2008 αποκλειστικά για τη διασφάλιση του απορρήτου των διαθέσιµων στο κοινό τηλεφωνικών υπηρεσιών. Αντίθετα, αντίστοιχη υποχρέωση δεν εισήχθη στο ν. 3917/2011 για τη διατήρηση των δεδοµένων (βλ. και υπό σηµείο 3 του παρόντος εγγράφου), καθώς θα µπορούσε να προσκρούει στο ενωσιακό δίκαιο, και όπως προκύπτει από την πρόσφατη τροποποίηση της Οδηγίας 2002/58/ΕΚ (βλ. άρθ. 3) δεν προβλέπεται έγκριση της πολιτικής ασφάλειας των παρόχων αλλά απλή υποβολή στις αρµόδιες αρχές και αρµοδιότητα αυτών να απευθύνουν συστάσεις στους παρόχους καθώς και να εκδίδουν κατευθυντήριες γραµµές καλής πρακτικής. Συνεπώς, η διαδικασία της έγκρισης της πολιτικής ασφάλειας από την Α ΑΕ πρέπει να απαλειφθεί (άρθρα 1 παρ. 1.2, 15 και 16 του σχεδίου κανονισµού), εκτός από την περίπτωση που προβλέπει ρητώς ο ν. 3674/2008. 4
5) Αρµοδιότητες της ΑΠ ΠΧ Εκτός από την έννοµη συνέπεια της ακυρότητας που επιφέρει η υπέρβαση της νοµοθετικής εξουσιοδότησης, παράλληλα θίγονται µε το σχέδιο κανονισµού οι αρµοδιότητες της ΑΠ ΠΧ, η οποία είναι αρµόδια να ελέγχει τα µέτρα οργανωτικής και τεχνικής ασφάλειας των υπευθύνων επεξεργασίας, συµπεριλαµβανοµένων των παρόχων που αναφέρονται στο σχέδιο κανονισµού, σύµφωνα µε τις διατάξεις των άρθρων 10 ν. 2472/1997, 12 ν. 3471/2006 σε συνδυασµό µε τις διατάξεις των άρθρων 21 ν. 2472/1997 και 13 ν. 3471/2006, καθώς και τη διάταξη του άρθρου 9 ν. 3917/2011. Ειδικότερα: Η ασφάλεια των δεδοµένων προσωπικού χαρακτήρα, συµπεριλαµβανοµένων αυτών που προστατεύονται από το απόρρητο των επικοινωνιών, αποτελεί διαδικαστική προϋπόθεση του ατοµικού δικαιώµατος στην προστασία των προσωπικών δεδοµένων όπως αναγνωρίζεται από την ευρωπαϊκή και την ελληνική νοµοθεσία, τη νοµοθεσία των κρατών µελών της Ε.Ε. καθώς και τη νοµολογία. Η διάταξη του άρθρου 10 παρ. 3 ν. 2472/1997 ορίζει ότι «Ο υπεύθυνος επεξεργασίας οφείλει να λαµβάνει τα κατάλληλα οργανωτικά και τεχνικά µέτρα για την ασφάλεια των δεδοµένων και την προστασία τους από τυχαία ή αθέµιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευµένη διάδοση ή πρόσβαση και κάθε άλλη µορφή αθέµιτης επεξεργασίας. Αυτά τα µέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδοµένων που είναι αντικείµενο της επεξεργασίας». Επιπροσθέτως, στην ίδια διάταξη ορίζεται ότι τα µέτρα ασφάλειας εξειδικεύονται µε οδηγίες ή κανονιστικές πράξεις της ΑΠ ΠΧ. Η διάταξη αυτή έχει εφαρµογή σε κάθε περίπτωση επεξεργασίας προσωπικών δεδοµένων και ιδίως όταν πρόκειται για αποκεντρωµένα ή κατανεµηµένα αρχεία προσωπικών δεδοµένων σε λειτουργική ή γεωγραφική βάση (βλ. άρθρο 2 στοιχ. γ της Οδηγίας 95/46/ΕΚ) ή σε επεξεργασία που λαµβάνει χώρα µέσω δικτύου (βλ. άρθρο 17 παρ. 1 της Οδηγίας 95/46/ΕΚ). Οι ν. 3471/2006 και 3917/2011 εξειδικεύουν τις απαιτήσεις ασφάλειας για τον τοµέα των ηλεκτρονικών επικοινωνιών για τους παρόχους δικτύων ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών διαθέσιµων στο κοινό, τηρουµένης της παραπάνω γενικής διάταξης του ν. 2472/1997 και της σχετικής αρµοδιότητας της ΑΠ ΠΧ. Σύµφωνα µε τα παραπάνω, το σχέδιο κανονισµού υπεισέρχεται στο πεδίο αρµοδιοτήτων της ΑΠ ΠΧ, καθώς, όπως προαναφέραµε, η ασφάλεια είναι έννοια ευρύτερη της εµπιστευτικότητας (απορρήτου), ενώ για την προστασία των προσωπικών δεδοµένων όλες οι πτυχές της ασφάλειας είναι σηµαντικές. Περαιτέρω, τυχόν έγκριση της πολιτικής ασφάλειας από την Α ΑΕ θα οδηγούσε σε σύγκρουση αρµοδιοτήτων µε την ΑΠ ΠΧ στο µέτρο που αυτή είναι αρµόδια για την εξειδίκευση των µέτρων ασφάλειας. 6) Ορισµοί και χρήση συγκεκριµένων όρων Το σχέδιο κανονισµού δηµιουργεί σε αρκετά σηµεία σύγχυση, που οφείλεται ιδίως στη χρησιµοποίηση ασαφών ή/και ανεπαρκώς ορισµένων όρων, καθώς και εσφαλµένες αναφορές σε νόµους. Στη συνέχεια αναφέρονται συγκεκριµένα παραδείγµατα. 5
Ήδη αναφέρθηκε η ασάφεια κατά τη χρήση του όρου «δεδοµένα επικοινωνίας» (βλ. σηµείο 2 παραπάνω), ο οποίος θα πρέπει να τροποποιηθεί ώστε να καταλαµβάνει αποκλειστικά τα δεδοµένα που προστατεύονται από το απόρρητο της επικοινωνίας (δεδοµένα κίνησης και θέσης). Άλλο παράδειγµα αποτελεί η χρήση του όρου «πολιτική ασφάλειας για τη διασφάλιση του απορρήτου των επικοινωνιών», η οποία γεννά ερωτηµατικά σχετικά µε την εξειδίκευσή της σε σχέση µε τη γενικότερη πολιτική ασφάλειας του παρόχου, για την οποία, όπως προαναφέρθηκε, δεν είναι αρµόδια η Α ΑΕ (σ.σ. αξίζει να σηµειωθεί ότι ο συγκεκριµένος όρος δεν απαντάται στη σχετική διεθνή βιβλιογραφία). Για τον λόγο αυτό προτείνουµε ο συγκεκριµένος όρος να αντικατασταθεί από τον όρο «πολιτική διασφάλισης του απορρήτου των επικοινωνιών». Περαιτέρω, ο καθορισµός πολλαπλών επιπέδων υπευθύνων («υπεύθυνος συστήµατος», «υπεύθυνος επίβλεψης», «υπεύθυνος διασφάλισης απορρήτου επικοινωνιών») δηµιουργεί σύγχυση σε σχέση µε τις αρµοδιότητες εκάστου, καθώς και ως προς τη σχέση των ανωτέρω ρόλων µε τον υπεύθυνο ασφάλειας του παρόχου. Ειδικότερα ως προς τον όρο «υπεύθυνος συστήµατος» επισηµαίνεται ότι δεν αποσαφηνίζεται αν πρόκειται για νοµικό ή/και φυσικό πρόσωπο, καθώς και η σχέση που τον συνδέει µε τον πάροχο. 7) ιαχείριση περιστατικών ασφαλείας α) Η διαχείριση περιστατικών ασφαλείας από τους παρόχους άπτεται των αρµοδιοτήτων της Α ΑΕ µόνο στο βαθµό που σχετίζεται µε τη διασφάλιση του απορρήτου των επικοινωνιών. Ως εκ τούτου, ο τίτλος και το περιεχόµενο του άρθρου 9 του σχεδίου κανονισµού πρέπει να προσαρµοστούν ώστε να αναφέρονται αποκλειστικά στη διαχείριση περιστατικών παραβίασης του απορρήτου των επικοινωνιών. β) Η γνωστοποίηση των περιστατικών παραβίασης απορρήτου από τους παρόχους στην Α ΑΕ (άρθρο 9 παρ. 9.2.6 του σχεδίου κανονισµού) υπερβαίνει τη νοµοθετική εξουσιοδότηση της Α ΑΕ, καθώς µια τέτοια υποχρέωση των παρόχων θα έπρεπε να προβλέπεται ρητά σε νόµο. Επί του παρόντος τέτοια πρόβλεψη υφίσταται µόνο στο ν. 3674/2008 αποκλειστικά για τους παρόχους δικτύου ή/και υπηρεσιών ηλεκτρονικών επικοινωνιών που παρέχουν διαθέσιµες στο κοινό τηλεφωνικές υπηρεσίες. 6