Κακούργημα η χρήση λογισμικών και συσκευών παρακολούθησης από ιδιώτες. Πλημμέλημα η εμπορία και κατοχή.
Κατατέθηκε στη Βουλή προς ψήφιση το Σχέδιο Νόμου του Υπουργείου Δικαιοσύνης με τίτλο «Διαδικασία άρσης του απορρήτου των επικοινωνιών, κυβερνοασφάλεια και προστασία προσωπικών δεδομένων πολιτών».
Μεταξύ των διατάξεων που περιλαμβάνει είναι:
– Η μετατροπή σε κακούργημα από πλημμέλημα της χρήσης λογισμικών και συσκευών παρακολούθησης από ιδιώτες και η επιβολή ποινής κάθειρξης 10 ετών, ενώ αντίστοιχα η εμπορία και κατοχή τέτοιων λογισμικών θεωρείται πλημμέλημα.
-Ιδρύονται Ακαδημία Πληροφοριών και Αντικατασκοπείας με αποστολή την εκπαίδευση, επιμόρφωση και εξειδίκευση του προσωπικού και Μονάδα Εσωτερικού Ελέγχου για τον έλεγχο φαινομένων παράβασης καθήκοντος και διαφθοράς στην ΕΥΠ.
-Τίθενται ειδικές προϋποθέσεις για την επιλογή του Διοικητή, ο οποίος μπορεί να είναι μόνο διπλωμάτης ή απόστρατος ανώτατος αξιωματικός.
-Αυστηροποιείται το πλαίσιο άρσης του απορρήτου. Για πρώτη φορά ο όρος «εθνική ασφάλεια» εξειδικεύεται νομοθετικά ενώ προβλέπεται ότι την άρση μπορούν να ζητήσουν μόνο η ΕΥΠ και η αντιτρομοκρατική υπηρεσία, εφόσον ανταποκριθούν σε αυστηρές απαιτήσεις τεκμηρίωσης.
– Όταν η άρση του απορρήτου αφορά πολιτικά πρόσωπα, οπότε απαιτείται άμεση και εξαιρετικά πιθανή διακινδύνευση της εθνικής ασφαλείας, καθώς και άδεια του Προέδρου της Βουλής.
– Προβλέπεται η υποχρεωτική γνωστοποίηση της άρσης, μετά την πάροδο τριών ετών από την παύση της, υπό την προϋπόθεση ότι δεν διακυβεύεται ο σκοπός για τον οποίο διατάχθηκε η άρση, όπως αξιολογείται από ειδικό τριμελές όργανο με τη συμμετοχή δύο εισαγγελικών λειτουργών και του προέδρου της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών.
Παράλληλα, όπως αναφέρει σε ανακοίνωσή του το υπουργείο Δικαιοσύνης, Θεσπίζεται νέο αυστηρό πλαίσιο προστασίας της κυβερνοασφάλειας και ενισχύεται η προστασία των προσωπικών δεδομένων. Συστήνεται επιτροπή συντονισμού για θέματα κυβερνοασφάλειας για να καταπολεμήσει το πρόβλημα πολυδιάσπασης των σχετικών δομών ενώ στο Υπουργείο Ψηφιακής Διακυβέρνησης λειτουργεί Ενοποιημένο Κέντρο Αναφοράς Κυβερνοασφάλειας. Για πρώτη φορά επίσης καταρτίζεται Εθνικό Σχέδιο Αποτίμησης Επικινδυνότητας Συστημάτων Τεχνολογίας Πληροφορικής και Επικοινωνιών για την αναγνώριση, ανάλυση και αποτίμηση των κινδύνων και των επιπτώσεών τους για την ασφάλεια των συστημάτων τεχνολογίας πληροφορικής και επικοινωνιών σε εθνικό επίπεδο.
ΤΙ ΑΛΛΑΖΕΙ ΣΕ ΣΧΕΣΗ ΜΕ ΤΗΝ ΕΚΔΟΧΗ ΤΗΣ ΔΙΑΒΟΥΛΕΥΣΗΣ
Το νομοσχέδιο για την άρση του απορρήτου των επικοινωνιών, την κυβερνοασφάλεια και την προστασία των προσωπικών δεδομένων που κατατίθεται σήμερα στη Βουλή ενσωματώνει σειρά προτάσεων που διατυπώθηκαν τόσο κατά τη διαβούλευση όσο και κατά τη δημόσια συζήτηση, καθώς και περαιτέρω βελτιώσεις. Ειδικότερα:
1.Ο ορισμός των «λόγων εθνικής ασφάλειας» που μπορούν να δικαιολογήσουν άρση του απορρήτου περιορίζεται ουσιωδώς. Ως «λόγοι εθνικής ασφάλειας» ορίζονται πλέον οι λόγοι που συνάπτονται με την προστασία των βασικών λειτουργιών του κράτους και των θεμελιωδών συμφερόντων των Ελλήνων πολιτών, ενώ η σχετική ενδεικτική απαρίθμηση περιλαμβάνει αποκλειστικά λόγους σχετικούς με την εθνική άμυνα, την εξωτερική πολιτική, την ενεργειακή ασφάλεια και την κυβερνοασφάλεια.
2.Τίθενται αυξημένες απαιτήσεις τεκμηρίωσης του αιτήματος για άρση του απορρήτου για λόγους εθνικής ασφάλειας. Το αίτημα αυτό πρέπει να περιλαμβάνει τους λόγους που στοιχειοθετούν κίνδυνο για την εθνική ασφάλεια, την αναγκαιότητα της άρσης του απορρήτου για την αντιμετώπιση του κινδύνου, το αντικείμενο της άρσης, δηλαδή τα εξωτερικά στοιχεία της επικοινωνίας ή και το περιεχόμενο αυτής και την απολύτως αναγκαία χρονική διάρκεια. Τυχόν παράταση της άρσης του απορρήτου για λόγους εθνικής ασφάλειας πέραν των δέκα μηνών είναι δυνατή μόνο εφόσον επιβεβαιώνεται ότι εξακολουθούν να υφίστανται συγκεκριμένα στοιχεία που καθιστούν άμεση και εξαιρετικά πιθανή τη διακινδύνευση της εθνικής ασφάλειας.
3.Παρέχονται αυξημένα εχέγγυα ανεξαρτησίας του τριμελούς οργάνου που αποφασίζει τη γνωστοποίηση της άρσης του απορρήτου για λόγους εθνικής ασφάλειας. Σε αυτό συμμετέχουν πλέον δύο εισαγγελικοί λειτουργοί και ο Πρόεδρος της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών. Δεν προβλέπεται, αντιθέτως, πλέον, η συμμετοχή του Διοικητή της Ε.Υ.Π. και του Διευθυντή της Αντιτρομοκρατικής. Προβλέπεται επίσης η τήρηση απόρρητων συνοπτικών πρακτικών ενώ καταγράφεται και η γνώμη της μειοψηφίας.
4.Η διαδικασία καταστροφής του υλικού παρακολούθησης τυποποιείται περαιτέρω. Αποσαφηνίζεται ότι οι φάκελοι με το υλικό τεκμηρίωσης μπορούν να καταστρέφονται μετά από την πάροδο δέκα ετών ενώ το υλικό που αποτυπώθηκε στο σύστημα επισυνδέσεων διαγράφεται μετά από την πάροδο έξι μηνών. Σε κάθε περίπτωση καταστροφής ή διαγραφής συντάσσεται σχετική έκθεση.
5.Εξορθολογίζεται περαιτέρω ο κατάλογος των εγκλημάτων που δικαιολογούν άρση του απορρήτου. Η άρση του απορρήτου επιτρέπεται πλέον μόνο σε εγκλήματα ιδιαίτερης απαξίας, για τη διακρίβωση των οποίων ο περιορισμός του δικαιώματος στο απόρρητο της επικοινωνίας είναι αναγκαίος. Ο σχετικός κατάλογος συστηματοποιείται επίσης στο ίδιο νομοθέτημα, προς ενίσχυση της ασφάλειας δικαίου.
6.Συστήνεται Ενοποιημένο Κέντρο Αναφοράς Κυβερνοασφάλειας στη Γενική Διεύθυνση Κυβερνοασφάλειας της Γενικής Γραμματείας Τηλεπικοινωνιών και Ταχυδρομείων του Υπουργείου Ψηφιακής Διακυβέρνησης. Το Κέντρο έχει ως σκοπό την ανάπτυξη, υποστήριξη και ενδυνάμωση των ικανοτήτων σε εθνικό επίπεδο για την έγκαιρη ανίχνευση και αντιμετώπιση κυβερνοαπειλών σε όλη την επικράτεια, ιδίως μέσω της ενίσχυσης των δυνατοτήτων έγκαιρης προειδοποίησης, ανίχνευσης και αντιμετώπισης κυβερνοεπιθέσεων.
Δείτε εδώ τη σχετική ανακοίνωση του Υπουργείου Δικαιοσύνης
Ειδικότερα σύμφωνα με την συνοδευτική Έκθεση
Με το υπόψη σχέδιο νόμου, προβλέπονται τα ακόλουθα:
1.Επανακαθορίζεται το πλαίσιο για την άρση του απορρήτου των επικοινωνιών και, σε σχέση με τα ισχύοντα, επέρχονται οι ακόλουθες μεταβολές:
α. Επιτρέπεται η υποβολή αιτήματος άρσης του απορρήτου των επικοινωνιών για λόγους εθνικής ασφάλειας (υπό την οριζόμενη έννοια), μόνο από την Εθνική Υπηρεσία Πληροφοριών (Ε.Υ.Π.) ή την αρμόδια διεύθυνση της Ελληνικής Αστυνομίας (ΕΛ.ΑΣ.), σύμφωνα με την καθοριζόμενη κατά περίπτωση διαδικασία (εγκριτική διάταξη των αρμόδιων εισαγγελικών λειτουργών).
Ειδικά για τα πολιτικά πρόσωπα (υπό την οριζόμενη έννοια), το αίτημα υποβάλλεται μόνο από την Ε.Υ.Π., απαιτείται επιπρόσθετα δε και άδεια από τον Πρόεδρο της Βουλής ή τον Πρωθυπουργό, κατά τα ειδικότερα οριζόμενα.
Επιτρέπεται η γνωστοποίηση της επιβολής του περιοριστικού μέτρου στο θιγόμενο πρόσωπο, σύμφωνα με τις χρονικές και λοιπές προϋποθέσεις και την οριζόμενη διαδικασία.
β. Προσδιορίζονται εκ νέου τα εγκλήματα για τη διακρίβωση των οποίων επιτρέπεται η άρση απορρήτου των επικοινωνιών, με βούλευμα του αρμόδιου δικαστικού συμβουλίου.
γ. Ρυθμίζονται ζητήματα αναφορικά με:
-τη διαχείριση, τη διαγραφή και την καταστροφή, κατά περίπτωση, των φακέλων με το υλικό τεκμηρίωσης για την άρση του απορρήτου καθώς και του υλικού που αποτυπώνεται στο σύστημα επισυνδέσεων,
-τις αρμοδιότητες των εμπλεκομένων υπηρεσιών και την τήρηση των κατά περίπτωση προβλεπόμενων ηλεκτρονικών αρχείων,
-τη θητεία των αρμόδιων εισαγγελικών λειτουργών. (άρθρα 1 – 9)
3.α. Επέρχονται τροποποιήσεις στον Ποινικό Κώδικα και συγκεκριμένα:
-Προβλέπονται ποινές δεκαετούς κάθειρξης (αντί φυλάκισης) για το αδίκημα παραβίασης απορρήτου τηλεφωνικής επικοινωνίας και προφορικής συνομιλίας καθώς και για το αδίκημα της παραβίασης μη δημόσιων διαβιβάσεων δεδομένων ή ηλεκτρομαγνητικών εκπομπών (στην τελευταία περίπτωση καταργείται και η ισχύουσα χρηματική ποινή).
-Θεσπίζεται ποινή φυλάκισης για τα πρόσωπα που παράγουν, πωλούν και εν γένει διακινούν απαγορευμένα λογισμικά και συσκευές παρακολούθησης, όπως αυτά εξειδικεύονται με απόφαση του Διοικητή της Ε.Υ.Π. καθώς και συνθηματικά, κωδικούς πρόσβασης ή παρεμφερή δεδομένα που διευκολύνουν την πρόσβαση σε πληροφοριακά συστήματα, κατά τα ειδικότερα οριζόμενα.
β. Επιτρέπεται, σύμφωνα με τις προϋποθέσεις που καθορίζονται με π.δ., η σύναψη συμβάσεων εκ μέρους κρατικών δομών για την προμήθεια των προαναφερόμενων απαγορευμένων λογισμικών ή συσκευών παρακολούθησης, στο πλαίσιο εκπλήρωσης των σκοπών τους.
γ. Προβλέπεται η ενημέρωση του κοινού αναφορικά με απαγορευμένα λογισμικά και συσκευές, μέσω του ιστότοπου της Ε.Υ.Π.(άρθρα 10 – 14)
4.Ρυθμίζονται θέματα οργάνωσης και λειτουργίας της Ε.Υ.Π. και ειδικότερα: α. Συστήνονται:
-Μονάδα Εσωτερικού Ελέγχου, επιπέδου Υποδιεύθυνσης, η διάρθρωση και οι αρμοδιότητες της οποίας καθορίζονται στον Οργανισμό και τον εσωτερικό κανονισμό της Ε.Υ.Π.,
-Γραφείο Τύπου, με τις οριζόμενες αρμοδιότητες.
β. Προβλέπεται η καταχώριση στο ΚΗΜΔΗΣ των μνημονευόμενων στοιχείων των δημοσίων συμβάσεων, στις οποίες αναθέτουσα αρχή είναι το Κέντρο Τεχνολογικής Υποστήριξης, Ανάπτυξης και Καινοτομίας (ΚΕ.Τ.Υ.Α.Κ.).
γ. Επανακαθορίζονται οι αρμοδιότητες της Ε.Υ.Π. ως Τεχνικής Φύσεως Αρχής Ασφαλείας Πληροφοριών (INFOSEC).
δ. Επανακαθορίζεται, επίσης, η ιδιότητα του προσώπου που ορίζεται Διοικητής της Ε.Υ.Π., ο οποίος μπορεί να είναι μόνο υπάλληλος του διπλωματικού κλάδου ή απόστρατος αξιωματικός των ενόπλων δυνάμεων ή των σωμάτων ασφαλείας, κατά τα ειδικότερα προβλεπόμενα.
ε. Μειώνεται σε δύο (2), από τρεις (3), ο αριθμός των Υποδιοικητών που βοηθούν στο έργο του τον Διοικητή της Ε.Υ.Π.
στ. Συστήνεται Ακαδημία Πληροφοριών και Αντικατασκοπείας Ε.Υ.Π., η οποία λειτουργεί σε επίπεδο Διεύθυνσης και έχει ως αποστολή την εκπαίδευση, επιμόρφωση και εξειδίκευση του προσωπικού της Ε.Υ.Π., για την αποτελεσματικότερη εκτέλεση των καθηκόντων του.
Με απόφαση του αρμόδιου μέλους της Κυβέρνησης, εγκρίνεται ο Κανονισμός Λειτουργίας της Ακαδημίας, με τον οποίο ρυθμίζονται τα θέματα οργάνωσης και λειτουργίας της, η διάρκεια των εκπαιδεύσεων, η εκπόνηση προγραμμάτων διδασκαλίας κ.λπ.(άρθρα 15 – 19)
5.Εισάγονται ρυθμίσεις που αφορούν στην Κυβερνοασφάλεια και ειδικότερα: α. Συστήνεται Επιτροπή, ως όργανο συντονισμού των μνημονευόμενων
φορέων για θέματα Κυβερνοασφάλειας και καθορίζονται η αποστολή, οι αρμοδιότητες, η συγκρότηση και ο τρόπος λειτουργίας της.
Επιτρέπεται, για την υποβοήθηση στην άσκηση των αρμοδιοτήτων της Επιτροπής, η σύσταση ομάδων εργασίας, από εξειδικευμένο προσωπικό του δημόσιου τομέα και ιδιώτες εμπειρογνώμονες.
Η διοικητική υποστήριξη της Επιτροπής ανατίθεται στην Προεδρία της Κυβέρνησης.
Ορίζονται οι φορείς που υπέχουν υποχρέωση ενημέρωσης και παροχής συνδρομής στην Επιτροπή.
β. Η «Κοινωνία της Πληροφορίας Μονοπρόσωπη Α.Ε.» (Κ.τ.Π. Μ.Α.Ε.) ορίζεται αρμόδια για τη διαχείριση και υποστήριξη της υλοποίησης των ειδικών δράσεων σε θέματα κυβερνοασφάλειας που επιχορηγούνται σύμφωνα με το ενωσιακό δίκαιο, σε αντικατάσταση της υφιστάμενης Ειδικής Υπηρεσίας Ψηφιακού Μετασχηματισμού.
γ. Καθορίζεται το πλαίσιο συνεργασίας της Εθνικής Αρχής Κυβερνοασφάλειας (Ε.Α.Κ.) και της Ε.Υ.Π., στον τομέα παρακολούθησης απειλών και ευπαθειών συστημάτων πληροφορικής και επικοινωνιών.
δ. Προβλέπεται η κατάρτιση, από τους συναρμόδιους φορείς, Εθνικού Σχεδίου Αποτίμησης Επικινδυνότητας συστημάτων Τεχνολογίας Πληροφορικής και Επικοινωνιών.
ε. Για τη στελέχωση της Ε.Α.Κ., επιτρέπεται, πέραν των ήδη προβλεπομένων, και η απόσπαση δικηγόρων με έμμισθη εντολή από φορείς του δημόσιου τομέα (καταλαμβάνουν κενές ή προσωποπαγείς θέσεις, μισθοδοτούνται από τον φορέα προέλευσης και διατηρούν πρόσθετες αποδοχές, σύμφωνα με το άρθρο 50 του ν.4635/2019).
στ. Συστήνεται στο Υπουργείο Ψηφιακής Διακυβέρνησης Ενοποιημένο Κέντρο Αναφοράς Κυβερνοασφάλειας (Ενοποιημένο SOC) και καθορίζονται ο σκοπός και οι αρμοδιότητές του. Περαιτέρω:
-Ορίζεται το Ενοποιημένο SOC ως το κεντρικό σημείο του Εθνικού Δικτύου SOC, το οποίο αποτελείται από τα τομεακά SOC και υποστηρίζει τους οργανισμούς που μετέχουν σε αυτό στην αναγνώριση, διαχείριση, αντιμετώπιση και ανάκαμψη από κατανεμημένες κυβερνοεπιθέσεις, επεξεργάζεται δε πληροφορίες και δεδομένα τα οποία διαβιβάζονται σε αυτό από τους οργανισμούς και τις υποδομές που αποτελούν το Εθνικό Δίκτυο SOC, καθώς και από κάθε διαθέσιμη πηγή.
-Προσδιορίζονται οι φορείς που εντάσσονται υποχρεωτικά στο Εθνικό Δίκτυο SOC και η διαδικασία αποστολής δεδομένων στο Ενοποιημένο SOC.
-Δημιουργείται και λειτουργεί στο ανωτέρω Υπουργείο, Εργαστήριο Αναλύσεων, Δοκιμών και Μελετών, για την προαγωγή και αξιοποίηση της εφαρμοσμένης επιστημονικής έρευνας σε θέματα κυβερνοαπειλών και εν γένει θέματα ασφαλούς λειτουργίας των συστημάτων Τεχνολογίας Πληροφορικής και Επικοινωνιών (ΤΠΕ).
ζ. Προβλέπεται η δυνατότητα αναπροσαρμογής, με υπουργική απόφαση, των κυρώσεων (πρόστιμα του άρθρου 15 του ν.4577/2018) που επιβάλλονται στους φορείς εκμετάλλευσης βασικών υπηρεσιών (Φ.Ε.Β. Υ.).
η. Επεκτείνεται το πεδίο εφαρμογής του ν.4577/2018, για θέματα κυβερνοασφάλειας, και σε λοιπούς φορείς του δημόσιου ή του ιδιωτικού τομέα και λοιπές οντότητες, κατά τα ειδικότερα οριζόμενα.(άρθρα 20 – 33)
6.α. Επέρχονται τροποποιήσεις στον ν.4624/2019, (προστασία από την επεξεργασία δεδομένων προσωπικού χαρακτήρα), οι οποίες αναφέρονται μεταξύ άλλων:
-στη διεύρυνση της έννοιας των όρων «αρμόδια αρχή» και «υπεύθυνος επεξεργασίας»,
-στη δημοσιοποίηση προς την Αρχή Προστασίας Προσωπικών Δεδομένων, των στοιχείων του υπεύθυνου προστασίας δεδομένων σε δημόσιους φορείς,
-στη διασφάλιση της νομιμότητας επεξεργασίας δεδομένων προσωπικού χαρακτήρα,
-στην παροχή συγκατάθεσης του υποκειμένου των δεδομένων,
-στη δημοσιοποίηση προσωπικών δεδομένων από τις εισαγγελικές αρχές. β. Συστήνεται στο Υπουργείο Δικαιοσύνης, μη αμειβόμενη, Μόνιμη Επιστημονική Επιτροπή Προσωπικών Δεδομένων, με αποστολή την άσκηση καθηκόντων νομοπαρασκευαστικού έργου, μετά από παρακολούθηση των επιστημονικών και νομολογιακών εξελίξεων και του εθνικού και ενωσιακού νομικού πλαισίου προστασίας των δεδομένων προσωπικού χαρακτήρα και συμμετοχή σε αρμόδια διεθνή όργανα.
Καθορίζονται η σύνθεση και ο τρόπος λειτουργίας της Επιτροπής και προβλέπεται η καταβολή στα μέλη της των εξόδων μετακίνησης κατά τα ισχύοντα.(άρθρα 34 – 46)
7.α. Παρέχονται οι αναγκαίες εξουσιοδοτήσεις, για τη ρύθμιση επιμέρους ζητημάτων, αναφορικά με την εφαρμογή των προτεινόμενων διατάξεων.
Περαιτέρω, ορίζεται ότι με κ.υ.α. καθορίζεται, κατά παρέκκλιση της κείμενης νομοθεσίας, η αποζημίωση που καταβάλλεται στα μέλη (δημόσιοι λειτουργοί και υπάλληλοι και ιδιώτες εμπειρογνώμονες) των ομάδων εργασίας που συνιστώνται για την υποβοήθηση της Επιτροπής Συντονισμού για θέματα Κυβερνοασφάλειας.
β.Εισάγονται μεταβατικής ισχύος διατάξεις και παρατίθενται οι καταργούμενες διατάξεις της κείμενης νομοθεσίας.(άρθρα 47 – 51)