Με το νόμο 3917/2011 ενσωματώθηκε στην έννομη τάξη της Ελλάδας η Οδηγία 2006/24/ΕΚ για τη διατήρηση δεδομένων που παράγονται ή υποβάλλονται σε επεξεργασία, σε συνάρτηση με την παροχή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ή δημόσιων δικτύων επικοινωνιών.
Στόχος: Η αποτελεσματικότερη καταπολέμηση της τρομοκρατίας και του οργανωμένου εγκλήματος
Ο σκοπός του εν λόγω νόμου διαφαίνεται ήδη από την αιτιολογική του έκθεση που αναφέρει ότι «οι νέες και διαρκώς εξελισσόμενες τεχνολογικές δυνατότητες στα δημόσια δίκτυα ηλεκτρονικών επικοινωνιών καθιστούν αναγκαία τη συνεχή αναπροσαρμογή του οικείου νομοθετικού πλαισίου, με γνώμονα αφενός την πληρέστερη και αποτελεσματικότερη προστασία του ιδιωτικού βίου του ατόμου και των προσωπικών δεδομένων καθώς και του δικαιώματος στο απόρρητο της επικοινωνίας – και αφετέρου το δικαίωμα του ατόμου σε μια ασφαλή κοινωνία, ενόψει των πληροφοριών που μπορούν να αποκτηθούν από τη χρήση των ανωτέρω δημοσίων δικτύων για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων».
Έτσι ο νόμος αυτός, συνεπής προς το πνεύμα της ίδιας της Οδηγίας, θεωρεί ότι τα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία στο πλαίσιο παροχής ηλεκτρονικών επικοινωνιών (όπως τα δεδομένα θέσης και κίνησης των υποκειμένων) μπορούν να αποτελέσουν χρήσιμα στοιχεία για τις αρμόδιες Αρχές, που θα συμβάλλουν αποτελεσματικά στη μάχη κατά της τρομοκρατίας και της οργανωμένης εγκληματικότητας.
Ποια δεδομένα αφορά
Ο νόμος αυτός αφορά όλους τους Παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ή δημόσιου δικτύου επικοινωνιών. Οι συγκεκριμένοι Πάροχοι οφείλουν να διατηρούν για συγκεκριμένο χρονικό διάστημα τα δεδομένα του άρθρου 5 του προαναφερθέντος νόμου, που παράγονται ή υποβάλλονται σε επεξεργασία από αυτούς, προκειμένου τα δεδομένα αυτά να καθίστανται διαθέσιμα στις αρμόδιες αρχές για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων (τα εγκλήματα αυτά ορίζονται περιοριστικά στο άρθρο 4 του ν. 2225/1994). Η υποχρέωση αυτή εφαρμόζεται σε δεδομένα κίνησης και θέσης φυσικών αλλά και νομικών προσώπων και σε συναφή δεδομένα που απαιτούνται για την αναγνώριση του συνδρομητή ή του εγγεγραμμένου χρήστη. Η ίδια υποχρέωση ισχύει και για τις ανεπιτυχείς κλήσεις όταν τα δεδομένα αυτά παράγονται ή υποβάλλονται σε επεξεργασία ή αποθηκεύονται ή καταγράφονται από τους Παρόχους. Πρέπει να σημειωθεί πάντως, ότι οι υποχρέωση αυτή δεν εφαρμόζεται στο περιεχόμενο των ηλεκτρονικών επικοινωνιών.
Ο Πάροχος υποχρεούται να διατηρεί τα δεδομένα κατά τρόπο που να του επιτρέπει να τα επεξεργάζεται ηλεκτρονικά και να τα διαβιβάζει το αργότερο μέσα σε πέντε εργάσιμες ημέρες από το σχετικό αίτημα της Αρμόδιας Αρχής.
Τρόπος και χρόνος φύλαξης
Ως προς τον τρόπο και το χρόνο διατήρησης των δεδομένων, το άρθρο 6 ορίζει ότι αυτά πρέπει να φυλάσσονται με φυσικά μέσα, τα οποία βρίσκονται μέσα στα όρια της Ελληνικής Επικράτειας επί 12 μήνες από την ημερομηνία της επικοινωνίας. Επιπλέον επιβάλλεται η καταστροφή των δεδομένων με αυτοματοποιημένη διαδικασία, αμέσως μετά το τέλος του χρονικού διαστήματος τήρησης. Όσα δεδομένα έχουν ήδη γνωστοποιηθεί στις Αρχές νομίμως, καταστρέφονται από τον Πάροχο μέσα σε δέκα ημέρες από την κοινοποίηση σε αυτόν σχετικής διάταξης από το Αρμόδιο Όργανο. Κάθε Αρμόδια Αρχή είναι υποχρεωμένη να εκδώσει μια τέτοια διάταξη όταν παύσουν οι λόγοι για τους οποίους διατάχθηκε η πρόσβαση στα δεδομένα.
Οι βασικές αρχές ασφαλείας κατά τη διάρκεια φύλαξης των δεδομένων
Το άρθρο 7 του συγκεκριμένου νόμου παρουσιάζει ιδιαίτερο ενδιαφέρον καθώς αναφέρεται στις υποχρεώσεις των Παρόχων για την προστασία και την ασφάλεια των δεδομένων καθ΄ όλη τη διάρκεια της διατήρησής τους. Έτσι, χωρίς να θίγονται οι διατάξεις για την προστασία των προσωπικών δεδομένων και του απορρήτου της επικοινωνίας, πρέπει να ακολουθούνται οι ακόλουθες αρχές ασφαλείας:
α) Τα διατηρούμενα δεδομένα πρέπει να είναι της ίδιας ποιότητας και να έχουν την ίδια προστασία και ασφάλεια με τα δεδομένα που περιέχει το δίκτυο.
β) Θα πρέπει να λαμβάνονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας των δεδομένων κατά τυχαίας ή παράνομης καταστροφής τους ή τυχαίας απώλειας, αλλοίωσης, μη εξουσιοδοτημένης ή παράνομης αποθήκευσης, επεξεργασίας, πρόσβασης ή αποκάλυψης.
γ) Θα πρέπει να λαμβάνονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλισθεί ότι στα δεδομένα έχει πρόσβαση μόνον ειδικά εξουσιοδοτημένο προσωπικό.
Επιπλέον θεσπίζεται η υποχρέωση των Παρόχων να καταρτίζουν και να εφαρμόζουν ειδικό σχέδιο Πολιτικής Ασφαλείας ως προς τα μέσα, τις μεθόδους και τα μέτρα που διασφαλίζουν την τήρηση των ανωτέρω αρχών. Η εφαρμογή του σχεδίου αυτού ανατίθεται από τον Πάροχο σε εξουσιοδοτημένο στέλεχος, το οποίο ορίζεται ως υπεύθυνος ασφάλειας δεδομένων, ενώ επιπλέον εξουσιοδοτούνται οι Α.Δ.Α.Ε. και η Α.Π.Δ.Π.Χ. με κοινή πράξη τους να καθορίσουν κάθε θέμα σχετικό με τη διαδικασία και τον τρόπο εφαρμογής των ζητημάτων της ασφάλειας.
Ο συγκεκριμένος νόμος προβλέπει και μια σειρά από ποινικές και διοικητικές κυρώσεις, καθώς και αστική ευθύνη του Παρόχου σε περίπτωση μη εφαρμογής των διατάξεών του (τα οποία λ.χ. κυμαίνονται για τις διοικητικές κυρώσεις από 20.000-5.000.000 ευρώ, ανάκληση άδειας κ.λπ., στις ποινικές κυρώσεις ανά περίπτωση προβλέπεται μέχρι και κάθειρξη έως 10 ετών, σε περίπτωση δε αστικής ευθύνης επιβάλλονται πρόστιμα τουλάχιστον 10.000 ευρώ και άνω).
Εν κατακλείδι, θα μπορούσε να πει κανείς ότι ο Νόμος αυτός αποτελεί ένα πολύτιμο εργαλείο των κρατών – μελών για την αντιμετώπιση της τρομοκρατίας και της εγκληματικότητας. Προκειμένου να το επιτύχει αυτό, ο νομοθέτης επιλέγει να επιφορτίσει τους Παρόχους με την υποχρέωση της διατήρησης των δεδομένων για συγκεκριμένο χρονικό διάστημα, ώστε να διευκολύνει το έργο των διωκτικών Αρχών. Στην ουσία δεν θέτει νέες διαδικαστικές προϋποθέσεις για την άρση του απορρήτου, για την οποία εξακολουθούν να ισχύουν οι ίδιοι κανόνες. Οι Πάροχοι όμως έρχονται αντιμέτωποι με νέες πρακτικές προκλήσεις, όπως ο όγκος των δεδομένων που πρέπει να φυλάσσουν, η ασφάλειά τους, οι διαδικασίες και οι πολιτικές που θα πρέπει να τηρήσουν κ.ο.κ., τις οποίες θα πρέπει να αντιμετωπίσουν άμεσα προκειμένου να αντεπεξέλθουν στις αυξημένες απαιτήσεις του νέου νομικού πλαισίου. Σε κάθε περίπτωση πάντως και ο Νόμος αυτός έχει ως στόχο να επιτύχει μια στάθμιση συμφερόντων, διευκολύνοντας την καταπολέμηση της εγκληματικότητας και της τρομοκρατίας, χωρίς όμως να θίγονται οι βασικές αρχές προστασίας των προσωπικών δεδομένων και το απόρρητο των επικοινωνιών.
Μίνα Ζούλοβιτς, Δικηγόρος LL.M, minazoulovits@phrlaw.gr
Αναστασία Φύλλα, Δικηγόρος LL.M, afylla@phrlaw.gr