ΑΠΟΦΑΣΗ 632Α/2005 - ΦΕΚ Β/88/26.1.2005
Κανονισμός για την Διασφάλιση του
Απορρήτου στις Διαδικτυακές Επικοινωνίες και τις
συναφείς Υπηρεσίες και Εφαρμογές.
Η ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ
ΕΠΙΚΟΙΝΩΝΙΩΝ (ΑΔΕΑ)
Έχοντας υπόψη :
α. Το Ν. 3115/27.2.2003, άρθρο 1,
παραγρ. 1.
β. Το Ν. 3115/27.2.2003, άρθρο 6,
παραγρ. 1.
γ. Ότι εκ της αποφάσεως δεν
προκύπτει δαπάνη για το δημόσιο.
δ. Τη σχετική εισήγηση της
Υπηρεσίας, αποφάσισε:
Κατά τη συνεδρίασή της την 10η
Νοεμβρίου 2004, την έγκριση του παρακάτω Κανονισμού για τη Διασφάλιση του
Απορρήτου στις Διαδικτυακές Επικοινωνίες και τις
συναφείς Υπηρεσίες και Εφαρμογές.
Αρθρο 1
Σκοπός - Πεδίο Εφαρμογής
ΚΕΦΑΛΑΙΟ Ι
ΣΚΟΠΟΣ - OΡΙΣΜΟΙ
1. Σκοπός του παρόντος Κανονισμού
είναι:
(α) Η διασφάλιση του απορρήτου των
διαδικτυακών επικοινωνιών.
(β) Η ασφάλεια των διαδικτυακών τηλεπικοινωνιακών φορέων και Δημοσίων
οργανισμών.
(γ) Η θέσπιση των υποχρεώσεων των
εν λόγω φορέων αναφορικά με την ασφάλεια και το απόρρητο των επικοινωνιών.
(δ) Ο έλεγχος στους εν λόγω φορείς
σχετικά με τις ανωτέρω αναφερόμενες υποχρεώσεις τους.
2. Στις διατάξεις του παρόντος
Κανονισμού εμπίπτουν όλοι οι Τηλεπικοινωνιακοί Φορείς Διαδικτύου
και οι Δημόσιοι Οργανισμοί και ιδιαίτερα:
(α) Πάροχοι
πρόσβασης στο Διαδίκτυο (σταθεροί και κινητοί
τηλεπικοινωνιακοί πάροχοι, Internet
Service Providers κλπ.)
(β) Πάροχοι
διαδικτυακών υπηρεσιών
(γ) Πάροχοι
διαδικτυακών υπηρεσιών προστιθέμενης αξίας.
Αρθρο 2
Ορισμοί
Για την εφαρμογή του παρόντος
Κανονισμού οι ακόλουθοι όροι έχουν την έννοια που τους αποδίδεται κατωτέρω:Δίκτυο
ηλεκτρονικών επικοινωνιών: τα συστήματα μετάδοσης και, κατά περίπτωση, ο
εξοπλισμός μεταγωγής ή δρομολόγησης και οι λοιποί πόροι που επιτρέπουν τη
μεταφορά σημάτων, με τη χρήση καλωδίου, ραδιοσημάτων,
οπτικού ή άλλου ηλεκτρομαγνητικού μέσου, συμπεριλαμβανομένων των δορυφορικών
δικτύων, των σταθερών (μεταγωγής δεδομένων μέσω κυκλωμάτων και πακετομεταγωγής, συμπεριλαμβανομένου του Διαδικτύου) και κινητών επίγειων δικτύων, των συστημάτων
ηλεκτρικών καλωδίων, εφόσον χρησιμοποιούνται για τη μετάδοση σημάτων, των
δικτύων που χρησιμοποιούνται για ραδιοτηλεοπτικές εκπομπές, καθώς και των
δικτύων καλωδιακής τηλεόρασης, ανεξάρτητα από το είδος των μεταφερόμενων
πληροφοριών.
Υπηρεσίες ηλεκτρονικών
επικοινωνιών: οι υπηρεσίες που παρέχονται συνήθως έναντι αμοιβής και των οποίων
η παροχή συνίσταται, εν όλω ή εν μέρει, στη μεταφορά
σημάτων σε δίκτυα ηλεκτρονικών επικοινωνιών, συμπεριλαμβανομένων των υπηρεσιών
τηλεπικοινωνιών και των υπηρεσιών μετάδοσης σε δίκτυα που χρησιμοποιούνται για
ραδιοτηλεοπτικές μεταδόσεις. Στις υπηρεσίες ηλεκτρονικών επικοινωνιών δεν
περιλαμβάνονται υπηρεσίες παροχής ή ελέγχου περιεχόμενου που μεταδίδεται μέσω
δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών και υπηρεσίες της κοινωνίας της
πληροφορίας, όπως αυτές ορίζονται στην παράγραφο 2 του άρθρου 2 του Π.Δ.
39/2001 (Α 28), και που δεν αφορούν, εν όλω ή εν
μέρει, τη μεταφορά σημάτων σε δίκτυα επικοινωνιών.
Διαδικτυακές επικοινωνίες: Υπηρεσίες
ηλεκτρονικών επικοινωνιών όπου το δίκτυο ηλεκτρονικών επικοινωνιών είναι δίκτυο
μετάδοσης δεδομένων και φωνής με πακετομεταγωγή το
οποίο είτε έχει τη μορφή ενδοδικτύου (Intranet) είτε είναι ολόκληρο το Διαδίκτυο
(Internet). Παροχή δικτύου διαδικτυακών
επικοινωνιών: η σύσταση, η λειτουργία, ο έλεγχος και η διάθεση τέτοιου δικτύου.
Πάροχος δικτύου διαδικτυακών
επικοινωνιών: Η επιχείρηση ή το νομικό πρόσωπο που παρέχει δίκτυο διαδικτυακών επικοινωνιών ή/και
το νομικό πρόσωπο που παρέχει στο προσωπικό του την απαραίτητη δικτυακή υποδομή
για χρήση διαδικτυακών επικοινωνιών στα πλαίσια της
εργασίας του. Για τις ανάγκες του παρόντος ο πάροχος
δικτύου διαδικτυακών επικοινωνιών θα αναφέρεται στη
συνέχεια του κειμένου ως «πάροχος».
Χρήστης: κάθε φυσικό πρόσωπο που
χρησιμοποιεί διαθέσιμη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών, για
προσωπικούς ή επαγγελματικούς σκοπούς, χωρίς να είναι απαραίτητα συνδρομητής
της εν λόγω υπηρεσίας.
Χρήστης Παρόχου:
κάθε φυσικό πρόσωπο που εργάζεται στην επιχείρηση ή στο νομικό πρόσωπο που
παρέχει στο προσωπικό του την απαραίτητη δικτυακή υποδομή για χρήση διαδικτυακών επικοινωνιών στα πλαίσια της εργασίας του.
Δεδομένα κίνησης: τα δεδομένα που
υποβάλλονται σε επεξεργασία για τους σκοπούς της διαβίβασης μιας επικοινωνίας
σε δίκτυο ηλεκτρονικών επικοινωνιών ή της χρέωσής της.
Δεδομένα θέσης: τα δεδομένα που
υποβάλλονται σε επεξεργασία σε δίκτυο ηλεκτρονικών επικοινωνιών και που
υποδεικνύουν τη γεωγραφική θέση του τερματικού εξοπλισμού του χρήστη μιας
διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών.
Συγκατάθεση του χρήστη ή του
συνδρομητή: η συγκατάθεση του προσώπου που αφορούν τα δεδομένα, κατά την έννοια
της οδηγίας 95/46/EΚ.Υπηρεσία προστιθέμενης αξίας: υπηρεσία μη τηλεπικοινωνιακή
η οποία μπορεί να παρέχεται ή να υποστηρίζεται από δίκτυο διαδικτυακών
επικοινωνιών.
Πολιτική ασφάλειας: Το σύνολο
τεχνικών, οργανωτικών και κανονιστικών μέτρων, τα οποία εφαρμόζονται από πάροχο διαδικτυακών επικοινωνιών
και αποβλέπουν στη διασφάλιση του απορρήτου και γενικά στην ασφαλή λειτουργία
των δικτύων διαδικτυακών επικοινωνιών.
Αρθρο 3
Περιεχόμενο Πολιτικής Ασφάλειας
ΚΕΦΑΛΑΙΟ ΙΙ
Πολιτική Ασφάλειας Παρόχου
1. Πρωταρχικό στοιχείο για τη
διασφάλιση του απορρήτου των επικοινωνιών στο Διαδίκτυο
αποτελεί η ύπαρξη στους παρόχους πολιτικής ασφάλειας,
η οποία αφορά στους χρήστες, στους χρήστες του παρόχου
και στα συστήματα που εμπλέκονται στην επικοινωνία από και προς το Διαδίκτυο.
2. Η πολιτική ασφάλειας παρόχου πρέπει να ανταποκρίνεται στις ειδικές απαιτήσεις
ασφάλειας του παρόχου και να καθορίζει την πολιτική
πρόσβασης σε συστήματα και πληροφορίες, την πολιτική αποδεκτής χρήσης, τις ενέργειες
που ακολουθούνται για τη διατήρηση της ασφάλειας, και τα μέτρα που εφαρμόζονται
σε περιπτώσεις παραβίασης της ασφάλειας ή σε έκτακτα γεγονότα.
3. Η πολιτική ασφάλειας
διασφαλίζει τα δεδομένα επικοινωνίας των χρηστών και των χρηστών του παρόχου, το απόρρητο των επικοινωνιών, την προστασία των
υπολογιστικών συστημάτων και των δικτυακών υποδομών και την προστασία των διαδικτυακών εφαρμογών και υπηρεσιών.
4. Ενδεικτικά, και όχι
περιοριστικά, παρατίθενται τα βασικά βήματα που καλείται να ακολουθήσει ο πάροχος προκειμένου να ικανοποιήσει τις απαιτήσεις της
πολιτικής ασφάλειας:
(α) εξακρίβωση των στοιχείων που
πρέπει να προστατευτούν,
(β) προσδιορισμός των κινδύνων και
απειλών για αυτά,
(γ) προσδιορισμός του ρίσκου (πόσο
πιθανό είναι να πραγματοποιηθούν οι απειλές),
(δ) υλοποίηση μέτρων προστασίας
των στοιχείων με κριτήριο το κόστος υλοποίησης και εφαρμογής,
(ε) συνεχής αναθεώρηση και
βελτίωση της πολιτικής ασφάλειας κάθε φορά που ανακαλυφθεί κάποιος κίνδυνος ή
κάποια αδυναμία.
5. Μια πολιτική ασφάλειας
θεωρείται επαρκής όταν διαθέτει τουλάχιστον τα ακόλουθα χαρακτηριστικά:
(α) Θα πρέπει να είναι πλήρης και
αποτελεσματική,
(β) Θα πρέπει να μπορεί να
υλοποιηθεί μέσω διαδικασιών διαχείρισης συστημάτων, δημοσιοποίησης οδηγιών
αποδεκτής χρήσης ή άλλων αντίστοιχων κατάλληλων μεθόδων. Οι διαδικασίες οι
οποίες σχετίζονται με την υλοποίηση της πολιτικής ασφάλειας περιλαμβάνουν
τουλάχιστον τη διαπίστωση ταυτότητας (όποτε είναι τεχνικά εφικτό), την
εξουσιοδότηση, τον έλεγχο πρόσβασης, την εγκυρότητα, την εμπιστευτικότητα, την
ακεραιότητα, τη διαθεσιμότητα, την τήρηση του απορρήτου, και τον έλεγχο
παραβίασης της ασφάλειας,
(γ) Θα πρέπει να μπορεί να
εφαρμοστεί μέσω εργαλείων ασφάλειας, ή όταν αυτό δεν είναι εφικτό να
καθορίζονται αυστηρές κυρώσεις με αποτρεπτικό χαρακτήρα,
(δ) Θα πρέπει να ορίζει ξεκάθαρα
τις περιοχές ευθύνης των χρηστών, των χρηστών του παρόχου
και της διοίκησης του παρόχου. Επιπλέον οι μηχανισμοί
μεταβολής της πολιτικής ασφάλειας πρέπει να είναι καλά ορισμένοι,
περιλαμβάνοντας τη διαδικασία, τους εμπλεκόμενους, καθώς και τους υπεύθυνους
προς υπογραφή,
(ε) Θα πρέπει να είναι ανεξάρτητη,
στο μέτρο του δυνατού από τεχνικής απόψεως, από το συγκεκριμένο
χρησιμοποιούμενο εξοπλισμό (υλικό, λογισμικό),
(στ) Θα πρέπει να είναι βασισμένη
σε μια ανοικτή αρχιτεκτονική έτσι ώστε να καθίσταται μακροπρόθεσμα βιώσιμη.
6. Η φύση των επενδύσεων που
γίνονται από τους παρόχους για τη διατήρηση της
ασφάλειας και της ακεραιότητας των δικτύων τους πρέπει να ακολουθεί την αρχή
της αναλογικότητας, η οποία λαμβάνει υπόψη της το μέγεθος του παρόχου σε όρους υποδομής αριθμού χρηστών και αριθμού
χρηστών παρόχου.
7. Εφόσον ο πάροχος
διαθέτει γενικότερη πολιτική ασφάλειας πληροφοριών και πληροφοριακών συστημάτων
(π.χ. η γενικότερη πολιτική ασφάλειας μπορεί να αφορά πρόσβαση σε φυσικούς
χώρους όπως κτίρια, δωμάτια, κτλ στα οποία αποθηκεύονται στοιχεία συνδρομητών)
τότε θα πρέπει να ενσωματώνει σε αυτήν τη γενικότερη πολιτική και την πολιτική
ασφάλειας που αποτελεί αντικείμενο του παρόντος Κανονισμού.
8. Η πολιτική ασφάλειας υπόκειται
σε έλεγχο από την ΑΔΑΕ, τόσο ως προς την πληρότητα
και αποτελεσματικότητά της, όσο και ως προς τον βαθμό εφαρμογής της.
Αρθρο 4
Περιεχόμενο Πολιτικής Πρόσβασης
1. Η Πολιτική Πρόσβασης (access policy) καθορίζει το
επίπεδο πρόσβασης χρηστών και χρηστών παρόχου, καθώς
και εργαλείων λογισμικού εποπτείας σε καθένα από τα συστήματα υλικού και
λογισμικού από τα οποία αποτελείται ο εξοπλισμός του παρόχου.
2. Η Πολιτική Πρόσβασης αποτελεί
αναπόσπαστο τμήμα της Πολιτικής Ασφάλειας.
3. Ο πάροχος
οφείλει να διαθέτει και να εφαρμόζει Πολιτική Πρόσβασης για τα συστήματα τα
οποία αναφέρονται σε εξωτερικές συνδέσεις, επικοινωνίες δεδομένων,
τηλεπικοινωνιακές συσκευές και προγράμματα λογισμικού.
4. Η Πολιτική Πρόσβασης περιγράφει
για κάθε σύστημα, με τρόπο λεπτομερή και σαφή, τουλάχιστον τις ακόλουθες
διαδικασίες:
(α) Διαδικασίες προσθήκης νέων
χρηστών και χρηστών παρόχου στο εν λόγω σύστημα.
(β) Διαδικασίες εξουσιοδότησης (authorization) σχετικά με την προσθήκη, διαγραφή και αλλαγή
των επιπέδων πρόσβασης των χρηστών και χρηστών παρόχου
σε αρχεία, διαδικασίες λογισμικού και πληροφορίες του εν λόγω συστήματος.
(γ) Διαδικασίες ταυτοποίησης (authentication) χρηστών και χρηστών παρόχου.
(δ) Διαδικασίες ελέγχου των
παραπάνω διαδικασιών και διαχείρισης του επιπέδου πρόσβασης που παραχωρείται
στους χρήστες και χρήστες παρόχου.
(ε) Διαδικασίες πρόσβασης χρηστών
και χρηστών παρόχου σε συστήματα που διατηρούν
δεδομένα επικοινωνίας χρηστών .
(στ) Σε περίπτωση που
χρησιμοποιείται κρυπτογράφηση, η Πολιτική Πρόσβασης θα πρέπει να περιέχει τις
διαδικασίες πρόσβασης χρηστών και χρηστών παρόχου σε
συστήματα κρυπτογράφησης / αποκρυπτογράφησης καθώς και σε διαδικασίες σχετικά
με την διαχείριση, διανομή, εισαγωγή και αρχειοθέτηση των κλειδιών
κρυπτογράφησης. Οι πληροφορίες αυτές θα αναφέρονται σε καταλλήλως διαβαθμισμένο παράρτημα των εγγράφων που περιέχουν την
Πολιτική Πρόσβασης.
5. Ειδικότερα, αναφορικά με τη
διασφάλιση του απορρήτου των επικοινωνιών:
(α) Ο πάροχος
οφείλει να ορίζει τουλάχιστον έναν Υπεύθυνο Πρόσβασης, ο οποίος καθορίζει το
είδος της πρόσβασης των χρηστών και των χρηστών παρόχου
στα συστήματα.
(β) Ο πάροχος
οφείλει να ορίζει τουλάχιστον έναν Υπεύθυνο Συστήματος, ο οποίος υλοποιεί τις
αποφάσεις του Υπευθύνου Πρόσβασης.
(γ) Ο πάροχος
οφείλει να ορίζει τουλάχιστον έναν Υπεύθυνο Αντιγράφων Ασφάλειας, ο οποίος
καθορίζει ποιος έχει πρόσβαση στα αντίγραφα ασφάλειας καθώς και κάθε πότε θα
λαμβάνονται αντίγραφα ασφάλειας και για ποια δεδομένα, πάντα σε συνεννόηση με
τον Υπεύθυνο Πρόσβασης.
Αρθρο 5
Περιεχόμενο Πολιτικής Αποδεκτής
Χρήσης
1. Η Πολιτική Αποδεκτής Χρήσης (Acceptable or Appropriate
Use Policy) περιγράφει τις
επιτρεπόμενες και μη επιτρεπόμενες χρήσεις και δραστηριότητες των χρηστών και
των χρηστών παρόχου των υπολογιστικών και
τηλεπικοινωνιακών συστημάτων ενός παρόχου.
2. Η Πολιτική Αποδεκτής Χρήσης
αποτελεί αναπόσπαστο τμήμα της Πολιτικής Ασφάλειας.
3. Σκοπός της είναι να διασφαλίσει
ότι οι χρήστες και οι χρήστες παρόχου δεν θα
εκμεταλλευτούν την πρόσβαση που τους παρέχεται σύμφωνα με την Πολιτική
Πρόσβασης (Access Policy)
σε υπολογιστές, εφαρμογές και παντός είδους τηλεπικοινωνιακά δίκτυα προκειμένου
να προβούν σε ενέργειες που παραβιάζουν οποιονδήποτε νόμο του κράτους.
4. Η Πολιτική Αποδεκτής Χρήσης
πρέπει να είναι προσαρμοσμένη στην κατηγορία χρηστών στην οποία απευθύνεται και
να είναι σύμφωνη με την Πολιτική Πρόσβασης για κάθε κατηγορία χρηστών. Ο πάροχος οφείλει να λαμβάνει υπόψιν
κατηγορίες χρηστών όπως χρήστες, χρήστες παρόχου,
εργαζόμενοι σε άλλη εταιρεία με την οποία ο πάροχος
συνεργάζεται κτλ.
5. Η Πολιτική Αποδεκτής Χρήσης
οφείλει να περιλαμβάνει, με όσο το δυνατόν πιο λεπτομερή και κατανοητό τρόπο
ώστε να αποφεύγονται οι παρερμηνείες, το ακόλουθο ελάχιστο περιεχόμενο:
(α) Δικαιώματα Χρήστη (ανά
κατηγορία χρήστη). Σε αυτήν την ενότητα περιλαμβάνονται μεταξύ άλλων
συγκεκριμένα παραδείγματα αποδεκτής χρήσης των συστημάτων στα οποία παρέχεται
πρόσβαση βάσει της Πολιτικής Πρόσβασης.
(β) Υποχρεώσεις Χρήστη (ανά
κατηγορία χρήστη). Σε αυτή την ενότητα περιλαμβάνονται μεταξύ άλλων
συγκεκριμένα παραδείγματα μη αποδεκτής χρήσης των συστημάτων στα οποία
παρέχεται πρόσβαση βάσει της Πολιτικής Πρόσβασης, καθώς και συνέπειες μη
συμμόρφωσης με αυτές τις υποχρεώσεις.
(γ) Δικαιώματα του παρόχου.
(δ) Υποχρεώσεις του παρόχου.
6. Επιπλέον στην ενότητα που
αναφέρεται στις υποχρεώσεις των χρηστών, η Πολιτική Αποδεκτής Χρήσης οφείλει να
περιλαμβάνει τις παρακάτω διατάξεις οι οποίες σχετίζονται με την ασφάλεια του
συστήματος:
(α) Οι χρήστες και οι χρήστες παρόχου οφείλουν να λαμβάνουν όλα τα ενδεικνυόμενα μέτρα
για την διασφάλιση του απορρήτου επικοινωνιών τους, όπως απόκρυψη των μυστικών
κωδικών τους (π.χ. passwords), κλείδωμα του
ηλεκτρονικού υπολογιστή όταν απομακρύνονται κτλ.
(β) Οι χρήστες και οι χρήστες παρόχου οφείλουν να ενημερώνουν αμέσως τους υπευθύνους του παρόχου αν υποπέσει στην αντίληψή τους οποιοδήποτε κενό
ασφάλειας συστήματος που θέτει σε κίνδυνο το απόρρητο επικοινωνιών των ίδιων ή
άλλων χρηστών και χρηστών παρόχου.
(γ) Οι χρήστες και οι χρήστες παρόχου οφείλουν να αποκτούν πρόσβαση αποκλειστικά και μόνο
σε δεδομένα επικοινωνίας τα οποία αναφέρονται στους ίδιους ή είναι δημοσίως
ανακοινώσιμα σύμφωνα με τους κανόνες χειρισμού δεδομένων επικοινωνίας ή για τα
οποία τους έχει δοθεί πρόσβαση σύμφωνα με την Πολιτική Πρόσβασης.
(δ) Οι χρήστες και οι χρήστες παρόχου απαγορεύεται να επιχειρούν να εκμεταλλευτούν πιθανά
κενά ασφάλειας των συστημάτων του παρόχου προκειμένου
να αποκτήσουν πρόσβαση σε πληροφορίες άλλων χρηστών και χρηστών παρόχου, να διαταράξουν την ομαλή λειτουργία των δικτύων,
να εκτελέσουν κακόβουλο λογισμικό και γενικά να υποβαθμίσουν το επίπεδο
ασφάλειας του συστήματος.
7. Ειδικά σε σχέση με το
τηλεπικοινωνιακό απόρρητο, ο πάροχος οφείλει να
συμμορφώνεται με τις διατάξεις του Κεφαλαίου ΙΙΙ του
παρόντος Κανονισμού.
8. Ο πάροχος
οφείλει να δίνει στο χρήστη (ή στο χρήστη παρόχου)
πρόσβαση στα συστήματά του μόνο εφόσον ο χρήστης (ή ο χρήστης παρόχου αντίστοιχα) έχει λάβει γνώση και ακολούθως έχει
αποδεχθεί την Πολιτική Αποδεκτής Χρήσης. Το γεγονός αυτό αποδεικνύεται είτε με
έγγραφη δήλωση του χρήστη (ή του χρήστη παρόχου
αντίστοιχα) η οποία φέρει την πρωτότυπη υπογραφή του ή εφόσον ο χρήστης (ή του
χρήστη παρόχου αντίστοιχα) έχει συμπληρώσει το
αντίστοιχο πεδίο σε σχετική φόρμα αποδοχής στην περίπτωση που η Πολιτική Αποδεκτής
Χρήσης παρουσιάζεται ηλεκτρονικά.
9. Ειδικά οι χρήστες παρόχου:
(α) Οφείλουν να συμμορφώνονται με
τις διατάξεις των κεφαλαίων ΙΙ και ΙΙΙ του παρόντος σχετικά με την ακρόαση, υποκλοπή,
παρακολούθηση, αποθήκευση, επεξεργασία, εξαγωγή, διαβίβαση, ανακοίνωση και
δημοσιοποίηση δεδομένων επικοινωνίας, έτσι ώστε να διασφαλίζεται το απόρρητο
επικοινωνιών των χρηστών.
(β) Οφείλουν να ακολουθούν τις
διαδικασίες δημιουργίας αντιγράφων ασφάλειας δεδομένων σύμφωνα με την Πολιτική
Πρόσβασης.
Αρθρο 6
Απόρρητο
ΚΕΦΑΛΑΙΟ ΙΙΙ
Απόρρητο - Προστασία Επεξεργασίας
Δεδομένων Επικοινωνίας
1. Το απόρρητο των επικοινωνιών οι
οποίες διενεργούνται μέσω δημόσιων δικτύων επικοινωνιών κατοχυρώνεται μέσω της
εθνικής και ευρωπαϊκής νομοθεσίας. Οι επικοινωνίες αυτές καλύπτουν τις πληροφορίες
και τα δεδομένα τα οποία διακινούνται πάνω από δημόσια δίκτυα επικοινωνιών και
εξυπηρετούνται από τις αντίστοιχες υπηρεσίες επικοινωνιών. Συγκεκριμένα,
απαγορεύεται η ακρόαση, υποκλοπή, αποθήκευση ή άλλο είδος παρακολούθησης ή
επιτήρησης των επικοινωνιών και των πληροφοριών και δεδομένων από πρόσωπα πλην
των χρηστών, χωρίς τη συγκατάθεση των ενδιαφερομένων χρηστών, εκτός αν υπάρχει
σχετική νόμιμη άδεια.
2. Η παράγραφος 1 δεν επηρεάζει
οποιαδήποτε επιτρεπόμενη από το νόμο καταγραφή συνδιαλέξεων και των συναφών
δεδομένων κίνησης ή/και θέσης όταν πραγματοποιούνται
κατά τη διάρκεια νόμιμης επαγγελματικής πρακτικής, όπως για παράδειγμα αποτελεί
η παροχή αποδεικτικών στοιχείων μιας εμπορικής συναλλαγής.
3. Η χρήση των δικτύων
επικοινωνιών για την αποθήκευση πληροφοριών ή την απόκτηση πρόσβασης σε
πληροφορίες αποθηκευμένες τόσο στον τερματικό εξοπλισμό χρήστη όσο και στον
εξοπλισμό που χρησιμοποιείται για την εξυπηρέτηση της επικοινωνίας επιτρέπεται
μόνον εάν παρέχονται στο χρήστη σαφείς πληροφορίες για το σκοπό της
επεξεργασίας, και πάντα με την συγκατάθεση αυτού. Αυτό βέβαια δεν ισχύει στην
περίπτωση που οι ενέργειες αυτές γίνονται για την εξυπηρέτηση της υπηρεσίας που
έχει ρητά ζητήσει ο χρήστης.
4. Τα συστήματα για την παροχή
ηλεκτρονικών επικοινωνιακών δικτύων και υπηρεσιών θα πρέπει να σχεδιάζονται
έτσι ώστε να περιορίζουν την ποσότητα των απαιτούμενων δεδομένων επικοινωνίας
στο ελάχιστο δυνατό. Όσες δραστηριότητες σχετικές με την παροχή υπηρεσίας
ηλεκτρονικών επικοινωνιών υπερβαίνουν τη μετάδοση μιας επικοινωνίας και τη
χρέωσή της θα πρέπει να βασίζονται σε ομαδοποιημένα δεδομένα κυκλοφορίας, που
να μην μπορούν να συσχετίζονται με χρήστες. Όταν αυτό δεν είναι δυνατό, θα
πρέπει να θεωρούνται ως υπηρεσίες προστιθέμενης αξίας, για τις οποίες απαιτείται
η συγκατάθεση του χρήστη.
5. Οι πάροχοι
θα πρέπει να ενημερώνουν τους χρήστες σχετικά με τα μέτρα προστασίας που
μπορούν να λαμβάνουν για τη διασφάλιση του απορρήτου των επικοινωνιών και των
δεδομένων επικοινωνίας τους, για παράδειγμα τη χρήση συγκεκριμένου τύπου
λογισμικού ή τεχνολογιών κρυπτογράφησης.
6. Για τη συλλογή των πληροφοριών
από τους χρήστες, θα πρέπει να ισχύει η αρχή της διαφάνειας. Ο πάροχος οφείλει να ενημερώνει τους χρήστες χρησιμοποιώντας
κάθε πρόσφορο μέσο αναφορικά με το σκοπό συλλογής των πληροφοριών καθώς και με
τους πιθανούς τρόπους επεξεργασίας ή χρήσης τους. Ως εκ τούτου, ο πάροχος οφείλει να προτιμά τους άμεσους τρόπους συλλογής
πληροφοριών όπως π.χ. η χρήση ηλεκτρονικών φορμών. Επιπλέον ο πάροχος οφείλει να ενημερώνει τους χρήστες και να
εξασφαλίζει τη συγκατάθεσή τους αναφορικά με τις περιπτώσεις που για διάφορους
λόγους (ενδεικτικά αναφέρονται λόγοι λειτουργικότητας των διαδικτυακών
εφαρμογών) πρέπει να λάβει χώρα έμμεση συλλογή πληροφορίας (π.χ. μέσω cookies).
7. Ο πάροχος
οφείλει να ενημερώνει τους χρήστες για τα δεδομένα επικοινωνίας τα οποία
πιθανόν αποθηκεύονται σε αντίγραφα ασφάλειας και τα οποία είναι ανακτήσιμα
ακόμα και μετά τη διαγραφή τους από το χρήστη. Ο πάροχος
οφείλει να κοινοποιεί στους χρήστες το μέγιστο χρονικό διάστημα για το οποίο τα
δεδομένα επικοινωνίας είναι αποθηκευμένα στα αντίγραφα ασφάλειας.
8. Από τις διατάξεις του παρόντος
άρθρου εξαιρείται η τεχνική αποθήκευση ή αντιγραφή της πληροφορίας, η οποία
είναι απολύτως αναγκαία για τη διαβίβαση επικοινωνίας και την εξυπηρέτηση των
υπηρεσιών επικοινωνιών. Ενδεικτικά, και όχι περιοριστικά, αναφέρονται εδώ
πληροφορίες σε σχέση με την ταυτότητα των χρηστών οι οποίες είναι απαραίτητες
για τη δρομολόγηση ή τη χρέωση της κλήσης, η αποθήκευση διευθύνσεων IP σε προσωρινή (cache) μνήμη
μέσα στο σύστημα ονοματοθεσίας τομέων (DNS), η
αποθήκευση της αντιστοίχισης διευθύνσεων ΙΡ σε υλικές
διευθύνσεις (MAC addresses)
και η χρήση των παρεχόμενων κατά τη σύνδεση (log-in) πληροφοριών για τον έλεγχο του δικαιώματος πρόσβασης σε
δίκτυα ή υπηρεσίες.
9. Από τις διατάξεις του παρόντος
άρθρου εξαιρείται η τεχνική αποθήκευση ή αντιγραφή ή επεξεργασία της
πληροφορίας για σκοπούς διερεύνησης αξιόποινων πράξεων και για σκοπούς
προστασίας της εθνικής ασφάλειας και της δημοσίας τάξεως όπως κάθε φορά
ορίζεται από την κείμενη νομοθεσία.
Αρθρο 7
Προστασία επεξεργασίας των
δεδομένων επικοινωνίας
1. Οι πάροχοι
οφείλουν να λαμβάνουν υπόψη και να εφαρμόζουν στο τμήμα της πολιτικής τους τις
διατάξεις της κείμενης νομοθεσίας για την προστασία της επεξεργασίας των
δεδομένων επικοινωνίας.
Αρθρο 8
Προστασία Επεξεργασίας Αρχείων
1. Σε περιπτώσεις παραβίασης των
διατάξεων προστασίας του απορρήτου των επικοινωνιών, οι οποίες περιλαμβάνουν
και επεξεργασία αρχείων αρμοδιότητας της Αρχής Προστασίας Δεδομένων Προσωπικού
Χαρακτήρα, η ΑΔΑΕ θα ενημερώνει την εν λόγω Αρχή
σχετικά, προκειμένου να επιλαμβάνεται στο πλαίσιο των δικών της αρμοδιοτήτων.
Αρθρο 9
Υποχρεώσεις Παρόχων
αναφορικά με την Πολιτική Ασφάλειας
ΚΕΦΑΛΑΙΟ IV
Υποχρεώσεις Παρόχων
- Έλεγχος και Εποπτεία
1. Όλοι οι πάροχοι
υποχρεούνται:
(α) Να διαθέτουν ανά πάσα στιγμή
καθορισμένη Πολιτική Ασφάλειας για τη διασφάλιση του απορρήτου διαδικτυακών επικοινωνιών.
(β) Να εφαρμόζουν την εν λόγω
πολιτική.
2. Η Πολιτική Ασφάλειας περιέχει
όλα όσα καθορίζονται στον παρόντα Κανονισμό, καθώς επίσης και στον «Κανονισμό
για τη Διασφάλιση του Απορρήτου Εφαρμογών και Χρήστη Διαδικτύου»
και στον «Κανονισμό για τη Διασφάλιση του Απορρήτου Διαδικτυακών
Υποδομών».
3. Ο πάροχος
οφείλει να προβλέπει στο οργανόγραμμά του διοικητική οντότητα η οποία θα είναι
επιφορτισμένη με την κατάρτιση και την εφαρμογή της Πολιτικής Ασφάλειας με
επικεφαλής κατάλληλα καταρτισμένο στέλεχος του παρόχου
που θα φέρει τον τίτλο του Υπευθύνου Ασφάλειας.
4. Οι πάροχοι
οφείλουν να προβαίνουν σε τακτικές επισκοπήσεις και αναθεωρήσεις της πολιτικής
ασφάλειας, είτε αυτόβουλα (μετά από έγκριση της ΑΔΑΕ
σε περίπτωση αναθεώρησης) είτε ύστερα από σχετική εντολή της ΑΔΑΕ όπως μπορεί να προκύψει από πιθανή διαδικασία ελέγχου
ή έκδοση σχετικής οδηγίας.
5. Σε περίπτωση παραβίασης (ή
ιδιαίτερου κινδύνου παραβίασης) της πολιτικής ασφάλειας, ιδιαίτερα στην
περίπτωση που δεν είναι δυνατό να αντιμετωπιστεί με τα υπάρχοντα μέσα του παρόχου, ο πάροχος οφείλει να
ενημερώνει άμεσα τους χρήστες και τους χρήστες παρόχου
σχετικά με τους υφιστάμενους κινδύνους ασφάλειας και τις συνέπειες αυτών
(συμπεριλαμβανομένου του πιθανού κόστους) και, εάν είναι εφικτό, να παρέχει
στοιχεία για την αποτροπή ή αντιμετώπισή τους. Σε κάθε τέτοια περίπτωση οφείλει
να ενημερώνει άμεσα την ΑΔΑΕ.
6. Οι πάροχοι
οφείλουν να ενημερώνουν τους χρήστες και τους χρήστες παρόχου
για την ύπαρξη και τον τρόπο χρήσης πόρων σχετικών με την ασφάλεια των
μεταδιδόμενων πληροφοριών (π.χ. Secure Shell Server, SSH)
7. Ο πάροχος
οφείλει να ορίζει συνέπειες προς τους χρήστες και τους χρήστες παρόχου σε περίπτωση μη συμμόρφωσής τους με τα προβλεπόμενα
από την Πολιτική Ασφάλειας (συμπεριλαμβανομένων των Πολιτικών Πρόσβασης και
Αποδεκτής χρήσης)
Αρθρο 10
Διαδικασία Έλεγχου από την ΑΔΑΕ
1. Η ΑΔΑΕ
σε τακτά χρονικά διαστήματα διενεργεί έλεγχο σε κάθε πάροχο
που εμπίπτει στις διατάξεις του παρόντος. Η συχνότητα των ελέγχων θα καθοριστεί
από την ΑΔΑΕ με μεταγενέστερη απόφασή της.
2. Η διαδικασία ελέγχου
διενεργείται από τις αρμόδιες υπηρεσίες της ΑΔΑΕ ή
από ειδικούς που τελούν υπό την άμεση επίβλεψη της ΑΔΑΕ
με βάση τα βήματα που περιγράφονται στο Παράρτημα Α του παρόντος Κανονισμού.
3. Κατά τη διάρκεια του ελέγχου, η
ομάδα ελέγχου της ΑΔΑΕ καταγράφει αναλυτικά τις
ενέργειες στις οποίες προβαίνει σε ειδικό έντυπο με τίτλο «Έκθεση Διενέργειας
Ελέγχου σε Πάροχο Διαδικτυακών
Επικοινωνιών αναφορικά με την Πολιτική Ασφάλειας και τη Διασφάλιση του
Απορρήτου». Τα ελάχιστα απαραίτητα στοιχεία του εν λόγω εντύπου παρατίθενται
στο Παράρτημα Β του παρόντος Κανονισμού.
4. Η ομάδα ελέγχου κοινοποιεί το
πόρισμα της στην Ολομέλεια της ΑΔΑΕ. Η Ολομέλεια της ΑΔΑΕ αξιολογεί τα ευρήματα του ελέγχου και είτε εγκρίνει
τις ενέργειες που προβλέπονται στην εκάστοτε πολιτική ασφάλειας του παρόχου που έχει εγκριθεί από την ΑΔΑΕ
είτε επιβάλλει κυρώσεις εφόσον δεν έχουν ληφθεί τα προσήκοντα μέτρα.
5. Ως προς τη διαδικασία και τις
κυρώσεις της παραγρ. 4 ισχύουν οι διατάξεις του Ν. 3115/2003 άρθρο 11 και 6
παρ. 4, καθώς και τα προβλεπόμενα στον εσωτερικό κανονισμό της ΑΔΑΕ (ΦΕΚ 1642/Β/7-11-2003).
Αρθρο 11
Ασκηση Εποπτείας
1. Κάθε πάροχος
στο τέλος του ημερολογιακού έτους υποβάλλει στην ΑΔΑΕ
ετήσια έκθεση με στοιχεία που αφορούν στην ασφάλεια των διαδικτυακών
επικοινωνιών και τη διασφάλιση του απορρήτου.
2. Το ελάχιστο περιεχόμενο της
ετήσιας έκθεσης ορίζεται ως εξής:
(α) Περιστατικά που απείλησαν την
ασφάλεια του παρόχου και τη διασφάλιση του απορρήτου
καθώς και τυχόν βλάβες που υπέστη ο πάροχος, οι
χρήστες του και οι χρήστες παρόχου εξαιτίας αυτών.
(β) Μέτρα που ελήφθησαν για την
αντιμετώπιση των ως άνω περιστατικών.
3. Η ΑΔΑΕ
με Απόφασή της δύναται να μεταβάλλει το ελάχιστο περιεχόμενο της ετήσιας
έκθεσης.
4. Η ΑΔΑΕ
δύναται να ζητήσει εκτάκτως από τους πάροχους
οποιεσδήποτε πληροφορίες θεωρεί αναγκαίες στα πλαίσια των αρμοδιοτήτων της για
την ασφάλεια των διαδικτυακών επικοινωνιών και τη
διασφάλιση του απορρήτου.
Αρθρο 12
Μεταβατικές Διατάξεις
ΚΕΦΑΛΑΙΟ V
ΜΕΤΑΒΑΤΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
1. Όλοι οι πάροχοι
υποχρεούνται:
(α) Να ενημερώσουν ως προς την
εφαρμοζόμενη πολιτική ασφάλειας την ΑΔΑΕ εντός έξι
(6) μηνών από τη δημοσίευση του παρόντος.
(β) Να εφαρμόζουν την εγκριθείσα
από την ΑΔΑΕ πολιτική ασφάλειας εντός ενός (1) έτους
από την έγκρισή της.
Αρθρο 13
Έναρξη Ισχύος
ΚΕΦΑΛΑΙΟ VΙ
ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
1. Ο παρών Κανονισμός τίθεται σε
ισχύ από την ημερομηνία δημοσίευσής του στην Εφημερίδα της Κυβερνήσεως.
ΠΑΡΑΡΤΗΜΑ Α
Αναλυτική περιγραφή διαδικασίας
ελέγχου παρόχου
Η διαδικασία ελέγχου παρόχου διενεργείται με βάση τα ακόλουθα βήματα:
(α) Η ΑΔΑΕ
με Απόφασή της ορίζει ομάδα ελέγχου που αποτελείται από τρία (3) τουλάχιστον
άτομα με σκοπό τον έλεγχο συγκεκριμένου παρόχου. Η
ελάχιστη στελέχωση της ομάδας ελέγχου περιλαμβάνει έναν (1) υπεύθυνο της
ομάδας, ένα (1) νομικό σύμβουλο και έναν (1) τεχνικό σύμβουλο.
(β) Σε χρόνο που αποφασίζει η ομάδα
ελέγχου, επικοινωνεί με τον πάροχο και ζητεί να έρθει
σε άμεση επικοινωνία με τον υπεύθυνο ασφάλειας όπως αυτός ορίζεται στο άρθρο 6
του παρόντος. Τυχόν καθυστέρηση ή κώλυμα που παρουσιάζεται κατά την προσπάθεια
επικοινωνίας με τον υπεύθυνο ασφάλειας καταγράφεται και φέρει τις ανάλογες
κυρώσεις.
(γ) Ο υπεύθυνος ασφάλειας
παραδίδει στην ομάδα ελέγχου πλήρες αντίγραφο της πολιτικής ασφάλειας
(συμπεριλαμβανομένης της πολιτικής πρόσβασης και της πολιτικής αποδεκτής
χρήσης) και των τυχών συνοδευτικών εγγράφων. Από τα παραδιδόμενα
έγγραφα θα πρέπει να προκύπτουν οι ημερομηνίες έκδοσης και έγκρισης των
συγκεκριμένων πολιτικών. Τυχόν καθυστέρηση επίδοσης σημειώνεται και φέρει τις
ανάλογες κυρώσεις.
(δ) Η ομάδα ελέγχου προβαίνει σε
αναλυτική εξέταση όλων των σχετικών εγγράφων και καταγράφονται οι τυχόν
ελλείψεις που παρουσιάζονται στην πολιτική ασφάλειας του παρόχου.
Κατά την διαδικασία αυτή δύναται να ζητηθεί η συνδρομή του παρόχου
έτσι ώστε να διασαφηνιστούν τυχόν ασάφειες και προβλήματα που παρουσιάζονται
στην πολιτική ασφάλειας.
(ε) Κατά τη διάρκεια του ελέγχου ο
πάροχος δεν έχει την δυνατότητα να αντικαταστήσει την
πολιτική ασφάλειας με νέα ούτε να προβεί σε τυχόν διορθώσεις αυτής.
(στ) Τυχόν ασάφειες στην Πολιτική
Ασφάλειας θεωρούνται ως σφάλματα, μιας και η πολιτική αυτή θα πρέπει να έχει
διατυπωθεί κατά τρόπο σαφή.
(ζ) Η ομάδα ελέγχου προβαίνει σε
αυτοψία των εγκαταστάσεων του παρόχου για να
διαπιστώσει σε ποιο βαθμό εφαρμόζονται οι διαδικασίες που προβλέπονται από τα προσκομιθέντα έγγραφα. Η αυτοψία δύναται να περιλαμβάνει
και επαφή με το προσωπικό του παρόχου. Η ομάδα
ελέγχου καταγράφει αναλυτικά τις ελλείψεις και τα σφάλματα που τυχόν
διαπιστωθούν.
(η) Ο πάροχος
οφείλει να υποβάλει στην ομάδα ελέγχου οποιοδήποτε στοιχείο θεωρηθεί απαραίτητο
από την ομάδα για την επιτυχή ολοκλήρωση του ελέγχου.
(θ) Τυχόν διαπίστωση έλλειψης
συνεργασίας από τον πάροχο ή/και
προσπάθειας παραπλάνησης της ομάδας ελέγχου καταγράφεται και φέρει τις ανάλογες
κυρώσεις.
ΠΑΡΑΡΤΗΜΑ Β
Ελάχιστο περιεχόμενο του εντύπου
με τίτλο«Έκθεση Διενέργειας Ελέγχου σε Πάροχο Διαδικτυακών Επικοινωνιών αναφορικά με την Πολιτική
Ασφάλειας και τη Διασφάλιση του Απορρήτου»
Το ως άνω έντυπο θα περιέχει
απαραιτήτως τουλάχιστον τα ακόλουθα στοιχεία:
(α) Τα στοιχεία της Απόφασης της ΑΔΑΕ με την οποία αποφασίστηκε ο έλεγχος.
(β) Τα ονοματεπώνυμα και τις
ιδιότητες των στελεχών της ΑΔΑΕ που απαρτίζουν την
ομάδα ελέγχου καθώς και την ημερομηνία σύστασής της.
(γ) Το όνομα του υπό έλεγχο παρόχου καθώς και το όνομα του υπευθύνου ασφάλειάς του.
(δ) Το χρόνο που απαιτήθηκε έως
ότου να αποδοθεί στην ομάδα ελέγχου η πλήρης Πολιτική Ασφάλειας του παρόχου.
(ε) Ημερολόγιο ενεργειών και
ερωτήσεων της ομάδας ελέγχου και καταγραφή της ανταπόκρισης του ελεγχόμενου παρόχου.
(στ) Το αποτέλεσμα της αυτοψίας
για την αποτίμηση της εφαρμογής της Πολιτικής Ασφάλειας με καταγραφή τυχόν
ελλείψεων και ασαφειών.
(ζ) Τις ημερομηνίες έναρξης και
περάτωσης του ελέγχου.
(η) Το τελικό πόρισμα του ελέγχου
και την εισήγηση προς την Ολομέλεια της ΑΔΑΕ.
Ο παρών Κανονισμός να δημοσιευθεί
στην Εφημερίδα της Κυβερνήσεως.