Μεγάλες αλλαγές στον τρόπο λειτουργίας της ΕΥΠ, τόσο στην οργάνωση, όσο και στο πλαίσιο λειτουργίας της και νέους κανόνες σε ό,τι αφορά την άρση του απορρήτου φέρνει το νομοσχέδιο που μπήκε χθες σε δημόσια διαβούλευση, υπό τον τίτλο «Διαδικασία άρσης του απορρήτου των επικοινωνιών, κυβερνοασφάλεια και προστασία προσωπικών
δεδομένων πολιτών».
Το απόρρητο, όπως προβλέπει το Σύνταγμα, αίρεται για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων με απόφαση δικαστικής αρχής. Ο σκοπός του νομοσχεδίου είναι ο εκσυγχρονισμός της διαδικασίας άρσης του απορρήτου των επικοινωνιών με διασφάλιση όλων των απαιτούμενων εγγυήσεων, η αναδιάρθρωση της ΕΥΠ για τη βελτιστοποίηση της δράσης της, η ποινική μεταχείριση της εμπορίας, κατοχής και χρήσης λογισμικών παρακολούθησης, η οργανική και λειτουργική αναβάθμιση του επιπέδου κυβερνοασφάλειας στη χώρα και η βέλτιστη ενσωμάτωση στο εθνικό δίκαιο της Οδηγίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Με το υφιστάμενο πλαίσιο αίτηση άρσης απορρήτου για λόγους εθνικής ασφάλειας μπορούσε να υποβάλλει κάθε δημόσια αρχή. Πλέον, με το προτεινόμενο από το νομοσχέδιο πλαίσιο τέτοια αίτηση μπορεί να ζητήσει μόνο η ΕΥΠ και η Αντιτρομοκρατική Υπηρεσία (Διεύθυνση Αντιμετώπισης Ειδικών Εγκλημάτων Βίας της Ελληνικής Αστυνομίας, «ΔΑΕΕΒ»). Προκειμένου να αρθεί το απόρρητο για λόγους εθνικής ασφάλειας, απαιτείται αίτηση της ΕΥΠ ή της Αντιτρομοκρατικής, να κριθεί το αίτημα από τον εσωτερικό εισαγγελέα της υπηρεσίας και να υπάρξει απόφαση αντιεισαγγελέα του Αρείου Πάγου- επανέρχεται, δηλαδή, η κρίση και από δεύτερο εισαγγελικό λειτουργό που είχε καταργηθεί το 2018.
Άρση απορρήτου για πολιτικά πρόσωπα
Έως σήμερα δεν υφίσταται ειδική διαδικασία για πολιτικά πρόσωπα και ακολουθείται η συνήθης διαδικασία. Μετά την επισύνδεση στο τηλέφωνο του προέδρου του ΠΑΣΟΚ Νίκου Ανδορυλάκη, αποδείχθηκε ότι θα πρέπει να υπάρχουν ειδικές ασφαλιστικές δικλείδες. Τίθεται με το νομοσχέδιο ένα τριπλό φίλτρο εγγυήσεων: α) τη διαδικασία επισπεύδει μόνο η ΕΥΠ, β) θα πρέπει να δώσει άδεια ο Πρόεδρος της Βουλής πριν την διπλή εισαγγελική κρίση και γ) το αίτημα για την άρση οφείλει να στηρίζεται σε συγκεκριμένα στοιχεία που καθιστούν άμεση και εξαιρετικά πιθανή τη διακινδύνευση της εθνικής ασφάλειας.
Μάλιστα, στο νομοσχέδιο προβλέπεται ότι «Πολιτικά πρόσωπα» λογίζονται ο/η Πρόεδρος της Δημοκρατίας, τα μέλη της κυβέρνησης και οι υφυπουργοί, οι βουλευτές του εθνικού και του ευρωπαϊκού κοινοβουλίου, οι αρχηγοί των πολιτικών κομμάτων που εκπροσωπούνται στο εθνικό και το ευρωπαϊκό κοινοβούλιο και τα ανώτατα μονοπρόσωπα όργανα των ΟΤΑ Α’ και Β΄ βαθμού.
Έως το 2021, ήταν δυνατόν να ενημερώνεται κατά τη διακριτική ευχέρεια του αποφασίζοντος οργάνου, μόνο εφόσον δεν υφίστατο διακύβευση του σκοπού για τον οποίο διατάχθηκε η άρση. Έκτοτε δεν ήταν δυνατή η ενημέρωση όταν επρόκειτο για λόγους εθνικής ασφάλειας (ήταν όμως δυνατή για άρσεις προς διακρίβωση εγκλημάτων). Το ζήτημα αυτό είναι εξαιρετικά σύνθετο διότι πρέπει να συναιρεί δικαιώματα αλλά και την αποτελεσματικότητα της υπηρεσίας όταν πρόκειται για υψηλού επιπέδου κινδύνους. Με το νομοσχέδιο προτείνεται η ενημέρωση του υποκειμένου υπό την προϋπόθεση ότι δεν διακυβεύεται ο σκοπός για τον οποίο διατάχθηκε η άρση και μετά την πάροδο 3 ετών από την παύση της. Η τριετία λογίζεται εύλογος χρόνος και ακολουθεί πρακτικές του εξωτερικού, ώστε να υφίσταται απόσταση από γεγονότα υψίστης εθνικής ασφαλείας (όπως εν προκειμένω τα γεγονότα του Έβρου κα η κατασκοπεία της Ρόδου το 2020). Την ενημέρωση αποφασίζει τριμελές όργανο που απαρτίζεται από τον αρμόδιο εισαγγελέα, τον διοικητή της ΕΥΠ ή τον διευθυντή της ΔΑΕΕΒ και τον πρόεδρο της ΑΔΑΕ.
Έως σήμερα, προβλέπεται η καταστροφή των αρχείων χωρίς όμως συγκεκριμένα χρονικά πλαίσια και συγκεκριμένες διαδικασίες. Πλέον η σχετική διαδικασία τυποποιείται. Για μεν το περιεχόμενο της παρακολούθησης, προβλέπεται καταρχήν αυτόματη διαγραφή μετά την πάροδο 6 μηνών από την παύση της άρσης. Για δε τον φάκελο με το υλικό τεκμηρίωσης για την άρση, προβλέπεται η καταστροφή του καταρχήν μετά την πάροδο 10 ετών από τη λήξη της άρσης. Προβλέπεται επιπλέον δυνατότητα πλήρους ψηφιοποίησης του αρχείου για εύκολη αναζήτηση και μείζονα ασφάλεια.
Το νομοσχέδιο που θα παραμείνει σε δημόσια διαβούλευση έως τις 22 Νοεμβρίου, προβλέπει και τις κατηγορίες των αδικημάτων για τις οποίες μπορεί να γίνει άρση απορρήτου. Έως σήμερα ο κατάλογος ήταν εξαιρετικά ευρύς και περιλάμβανε κακουργήματα και πλημμελήματα του ποινικού κώδικα και ειδικών ποινικών νόμων. Ο κατάλογος αυτός εξορθολογίζεται ώστε να περιλάβει καταρχήν όλα τα κακουργήματα και από τα πλημμελήματα μόνο όσα φέρουν ιδιαίτερη απαξία (πχ κατά ανηλίκων, εμπρησμοί, εγκληματική συμμορία) αφαιρώντας τους περισσότερους ειδικούς νόμους. Για παράδειγμα, δεν μπορεί να διαταχθεί η άρση για απλή κλοπή ή απάτη.
Η διαδικασία με την οποία διατάσσεται η άρση του απορρήτου δεν αλλάζει. Η άρση επιβάλλεται με βούλευμα του Συμβουλίου Εφετών ή Πλημμελειοδικών μετά από αίτηση του εισαγγελέα ή του ανακριτή. Μόνο σε εξαιρετικά επείγουσες περιπτώσεις, την άρση μπορεί να διατάξει ο εισαγγελέας και ο ανακριτής που στη συνέχεια υποχρεούνται να εισαγάγουν το ζήτημα με σχετική αίτηση στο Συμβούλιο μέσα σε προθεσμία 3 ημερών.
Σύμφωνα με τα προβλεπόμενα στο νομοσχέδιο, θα πρέπει να υπάρχει ειδικός εισαγγελέας στην ΕΥΠ και την Αντιτρομοκρατική, καθώς αυτό κρίνεται ότι ενισχύει την εξειδίκευση των προσώπων αλλά και τη στεγανοποίηση των πληροφοριών. Σε κάθε περίπτωση απαιτείται για την άρση απορρήτου λόγω εθνικής ασφάλειας και δεύτερος εισαγγελέας ώστε να μη λειτουργεί το σύστημα ιδρυματικά. Για τον ίδιο λόγο, οι θητείες των επιτόπιων εισαγγελέων είναι τριετείς μη ανανεούμενες (ενώ ως σήμερα η θητεία του εισαγγελέα της αντιτρομοκρατικής μπορεί να ανανεωθεί).
Η κατοχή, εμπορία, διάθεση και χρήση απαγορευμένων λογισμικών
Έως το 2019 η παράνομη υποκλοπή ήταν κακούργημα και τιμωρείτο με κάθειρξη έως 10 έτη, ενώ η κατοχή και εμπορία παράνομων λογισμικών ήταν πλημμέλημα και τιμωρείτο με φυλάκιση έως 2 έτη. Λίγες μέρες πριν τη διάλυση της Βουλής για τις εκλογές του 2019 και ενόσω ο ΣΥΡΙΖΑ γνώριζε την ύπαρξη στην Ελλάδα παράνομων λογισμικών, άλλαξε ακατανόητα ο Ποινικός Κώδικας με αποτέλεσμα η μεν υποκλοπή πλέον να τιμωρείται με φυλάκιση από 10 μέρες έως 5 έτη, η δε κατοχή και εμπορία αποποινικοποιήθηκε. Με τις προτεινόμενες διατάξεις επανέρχεται ως είχε το κακούργημα για τη χρήση παράνομων λογισμικών και συσκευών και το πλημμέλημα της εμπορίας και κατοχής με ποινή 1-5 έτη.
Απαγορευμένα λογισμικά ή συσκευές παρακολούθησης λογίζονται λογισμικά ή συσκευές με δυνατότητα υποκλοπής, καταγραφής και κάθε είδους άντλησης περιεχομένου ή και δεδομένων επικοινωνίας (κίνησης και θέσης), τα οποία καθορίζονται με απόφαση του Διοικητή της ΕΥΠ που θα δημοσιευτεί μέσα σε 3 ημέρες από την ισχύ του νόμου. Ο κατάλογος απαγορευμένων λογισμικών ή συσκευών παρακολούθησης επικαιροποιείται με απόφαση του Διοικητή της ΕΥΠ το αργότερο κάθε 6 μήνες. Επιπλέον, με ανακοίνωση του Διοικητή της ΕΥΠ, που αναρτάται στον ιστοχώρο της Υπηρεσίας ενημερώνεται το κοινό για τα απαγορευμένα λογισμικά, τον τρόπο δράσης τους και τα μέτρα προστασίας που δύναται να λάβει έναντι αυτών.
Το δημόσιο θα μπορεί να προμηθεύεται κατασκοπευτικά λογισμικά υπό προϋποθέσεις που θα καθορίζονται με προεδρικό διάταγμα των συναρμόδιων υπουργών, που θα έχει τύχει της προβλεπόμενης επεξεργασίας του Συμβουλίου της Επικρατείας.
Τι αλλάζει στη διοίκηση της ΕΥΠ
Έως σήμερα ο διοικητής και οι υποδιοικητές μπορεί να προέρχονται από τον δημόσιο ή τον ιδιωτικό τομέα. Με το προτεινόμενο νομοσχέδιο, Διοικητής ορίζεται πρόσωπο προερχόμενο από το διπλωματικό σώμα ή απόστρατος ανώτατος αξιωματικός. Υποδιοικητές μπορεί να είναι κάποιοι από τους ανωτέρω, καθώς και υπάλληλοι και λειτουργοί του δημοσίου και του ευρύτερου δημοσίου τομέα. Επιπλέον, ο αριθμός των υποδιοικητών περιορίζεται από 3 που είναι σήμερα σε 2.
Σε ό,τι αφορά την οργάνωση της ΕΥΠ, προστίθενται 3 νέα δομές. α) Η Ακαδημία Πληροφοριών και Αντικατασκοπείας με αποστολή την εκπαίδευση, επιμόρφωση και εξειδίκευση του προσωπικού της ΕΥΠ για την αποτελεσματικότερη εκτέλεση των καθηκόντων του. β) Η Μονάδα Εσωτερικού Ελέγχου, η οποία είναι αρμόδια μεταξύ άλλων για τον εσωτερικό έλεγχο της ΕΥΠ. γ) Το Γραφείο Τύπου και Επικοινωνίας, με αρμοδιότητα για την προβολή του έργου της υπηρεσίας και για την ενημέρωση της κοινωνίας για τις δράσεις της και για τυχόν κινδύνους για την εθνική ασφάλεια.
Στη λειτουργία της ΕΥΠ, η Αρχή Ασφαλείας Πληροφοριών (INFOSEC) της ΕΥΠ καθίσταται αρμόδια για τη σύνταξη πολιτικών ασφαλείας και οδηγιών διαχείρισης των διαβαθμισμένων πληροφοριών σε όλα τα δίκτυα και τους χώρους της Προεδρίας της Κυβέρνησης και των Υπουργείων σε συνεργασία μαζί τους, καθώς και για τη συνεχή ενημέρωσή τους σε θέματα ασφάλειας. Δεύτερον, καταργείται η δυνατότητα απόρρητων συμβάσεων στο Κέντρο Τεχνολογικής Υποστήριξης, Ανάπτυξης και Καινοτομίας (ΚΕ.Τ.Υ.Α.Κ.)
Το νομοσχέδιο, σύμφωνα με την κυβέρνηση ενισχύει το επίπεδο κυβερνοασφάλειας της χώρας και ως πιο σημαντικό πρόβλημα κρίνεται η πολυδιάσπαση των δομών κυβερνοασφάλειας στη χώρα. Για τον λόγο αυτό συστήνεται Επιτροπή Συντονισμού για θέματα Κυβερνοασφάλειας, που λειτουργεί ως συντονιστικό όργανο μεταξύ: α) της Γενικής Διεύθυνσης Κυβερνοασφάλειας της Γενικής Γραμματείας Τηλεπικοινωνιών και Ταχυδρομείων του Υπουργείου Ψηφιακής Διακυβέρνησης, που έχει ορισθεί ως Εθνική Αρχή της Κυβερνοασφάλειας, β) της Διεύθυνσης Κυβερνοάμυνας του ΓΕΕΘΑ, που έχει ορισθεί ως αρμόδια ομάδα απόκρισης για συμβάντα που αφορούν στην ασφάλεια υπολογιστών, γ) της Διεύθυνσης Κυβερνοχώρου της ΕΥΠ ως ομάδα αντιμετώπισης ηλεκτρονικών επιθέσεων (Εθνικό CERT) και δ) της Ελληνικής Αστυνομίας. Οι αρμοδιότητες της Επιτροπής είναι: α) να παρέχει κατευθύνσεις σε περίπτωση εξαιρετικού συμβάντος που ενέχει στρατηγικό κίνδυνο, β) να συντονίζει, παρακολουθεί και αξιολογεί την υλοποίηση της Εθνικής Στρατηγικής Κυβερνοασφάλειας, γ) να εγκρίνει το Εθνικό Σχέδιο Έκτακτης Ανάγκης, δ) να εισηγείται στο ΚΥ.Σ.Ε.Α. οποιοδήποτε θέμα άπτεται της Κυβερνοασφάλειας και ε) να αίρει τυχόν διαφωνίες ως προς τις αρμοδιότητες και τους ρόλους των φορέων Κυβερνοασφάλειας.
Σύμφωνα με το νομοσχέδιο, η Εθνική Αρχή της Κυβερνοασφάλειας σε συνεργασία με τη Διεύθυνση Κυβερνοχώρου της ΕΥΠ, τη Διεύθυνση Κυβερνοάμυνας του ΓΕΕΘΑ, την Ελληνική Αστυνομία και κάθε άλλο αρμόδιο φορέα, καταρτίζει Εθνικό Σχέδιο Αποτίμησης Επικινδυνότητας Συστημάτων Τεχνολογίας Πληροφορικής και Επικοινωνιών, το οποίο διαβαθμίζεται σύμφωνα με τον Εθνικό Κανονισμό Ασφαλείας. Το Σχέδιο περιλαμβάνει την αναγνώριση, ανάλυση και αποτίμηση των κινδύνων και των επιπτώσεων τους για την ασφάλεια των συστημάτων τεχνολογίας πληροφορικής και επικοινωνιών σε εθνικό επίπεδο. Για την κατάρτιση του Σχεδίου λαμβάνεται υπόψη κάθε κατηγορία πιθανής απειλής, και ιδίως απειλές που σχετίζονται με κακόβουλες ενέργειες, φυσικά φαινόμενα, τεχνικές αστοχίες, δυσλειτουργίες ή ανθρώπινα λάθη, με σκοπό την αξιολόγηση της έκτασης και της κρισιμότητας των επιπτώσεων των απειλών αυτών σε εθνικό επίπεδο. Επιπλέον, η Εθνική Αρχή της Κυβερνοασφάλειας και η Διεύθυνση Κυβερνοχώρου μεριμνούν για την παρακολούθηση γνωστών απειλών και ευπαθειών συστημάτων πληροφορικής και επικοινωνιών και την παροχή ενημέρωσης σχετικά με αυτές.