Πόσο ασφαλές είναι το απόρρητο των επικοινωνιών μέσω παρόχων κινητής και σταθερής τηλεφωνίας;

Το ερώτημα για το πόσο ασφαλές παραμένει το απόρρητο των επικοινωνιών όταν αυτές διεκπεραιώνονται μέσω παρόχων κινητής και σταθερής τηλεφωνίας έχει επανέλθει πολλές φορές στο προσκήνιο, καθώς αφορά εκατομμύρια χρήστες. Παρά το απολύτως εύλογο ενδιαφέρον που προκαλεί, η υπόθεση δεν δείχνει να αντιμετωπίζεται με τη βαρύτητα που επιβάλλει η φύση της.

Για σχεδόν οκτώ χρόνια, σύμφωνα με τα στοιχεία που έχουν αναδειχθεί, η COSMOTE δεν διέθετε το αναγκαίο λογισμικό καταγραφής πρόσβασης στα συστήματα όπου βρίσκονται οι κλήσεις των συνδρομητών της. Η κείμενη νομοθεσία προέβλεπε ότι ο πάροχος όφειλε να έχει εγκαταστήσει εγκαίρως μηχανισμό που θα αποτυπώνει ποιος εισέρχεται στα συστήματα, για ποιο λόγο και σε ποια δεδομένα προβαίνει σε έλεγχο ή παρακολούθηση. Η έλλειψη αυτού του κρίσιμου μηχανισμού είχε εντοπιστεί ήδη από το 2013 από την Ολομέλεια της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ). Όπως είχε διαπιστωθεί, η COSMOTE δεν τηρούσε «τα αρχεία καταγραφής πρόσβασης σε δεδομένα επικοινωνίας του συστήματος VMS», ενώ έλειπε και το αντίστοιχο σύστημα για λογαριασμούς καρτοκινητής, που καταγράφει σε αρχείο ποιοι αποκτούν πρόσβαση στα δεδομένα επικοινωνίας συνδρομητών καρτοκινητής τηλεφωνίας. Με απλά λόγια, όποιος διέθετε πρόσβαση μπορούσε να βλέπει ποιος επικοινωνεί με ποιον, χωρίς να αποτυπώνεται σχετικό ίχνος.

Παρότι η COSMOTE είχε αναλάβει δέσμευση ότι θα αντιμετωπίσει το πρόβλημα εντός του 2014, μέχρι και το 2022 δεν είχε προχωρήσει στην εφαρμογή της απαιτούμενης λύσης. Η εξέλιξη αυτή οδήγησε την ΑΔΑΕ στην επιβολή προστίμων συνολικού ύψους 340.000 ευρώ, μέσα από τρεις διαφορετικές αποφάσεις της το 2021 και το 2022.

Το ζήτημα των παραβάσεων της νομοθεσίας για το απόρρητο των επικοινωνιών πέρασε και στο πεδίο της Δικαιοσύνης, όχι με πρωτοβουλία της ΑΔΑΕ που είχε εντοπίσει τις παρατυπίες, αλλά ύστερα από ενέργειες του επιχειρηματία Γιώργου Φλωρά. Για δύο από τις τρεις υποθέσεις που είχε καταγράψει η ΑΔΑΕ σχηματίστηκαν δικογραφίες από την Εισαγγελία Πρωτοδικών, οι οποίες ωστόσο τέθηκαν στο αρχείο με το σκεπτικό ότι δεν προέκυψαν ποινικές ευθύνες στελεχών της COSMOTE. Η τρίτη υπόθεση οδήγησε σε άσκηση ποινικής δίωξης στον υπεύθυνο της COSMOTE, ο οποίος παραπέμφθηκε σε δίκη και τελικά αθωώθηκε τον Σεπτέμβριο του 2024. Στη διαδικασία δεν εμφανίστηκε εκπρόσωπος της ΑΔΑΕ, καθώς ούτε το Δικαστήριο ούτε η Εισαγγελία έκριναν σκόπιμη την παρουσία της, ενώ μάρτυρας εξετάστηκε μόνο ο κ. Φλωράς, παρά τις αντίθετες επισημάνσεις που είχαν διατυπωθεί από την Εισαγγελία του Αρείου Πάγου.

Τον Φεβρουάριο του 2022 η Ολομέλεια της ΑΔΑΕ συνεδρίασε για υπόθεση «ενδεχόμενης παράβασης της κείμενης νομοθεσίας περί απορρήτου των επικοινωνιών» από την πλευρά της COSMOTE. Είχε προηγηθεί καταγγελία ιδιώτη τον Ιανουάριο του 2019, η οποία οδήγησε στη συγκρότηση ομάδας ελέγχου από την ΑΔΑΕ και στην πραγματοποίηση επιτόπιου ελέγχου στις εγκαταστάσεις της εταιρείας. Από τον έλεγχο προέκυψε ότι η COSMOTE φερόταν να έχει παραβιάσει τον κανονισμό που διέπει τη διασφάλιση του απορρήτου των ηλεκτρονικών επικοινωνιών.

Σύμφωνα με την παράγραφο 6.2.6 του Κανονισμού, οι εταιρείες τηλεπικοινωνίας οφείλουν να «καταγράφουν σε αρχείο τους τρόπους πρόσβασης των εργαζομένων και συνεργατών τους σε δεδομένα επικοινωνίας των συνδρομητών ή χρηστών των παρεχόμενων δικτύων ή υπηρεσιών», ενώ κάθε πρόσβαση πρέπει να καταγράφεται και να αιτιολογείται. Παράλληλα, κατά την παρ. 8.3.3.2 του Κανονισμού της ΑΔΑΕ, οι εταιρείες «υποχρεούνται να καταγράφουν και να διατηρούν σε αρχείο τις ενέργειες στο λειτουργικό σύστημα και στις εφαρμογές των Πληροφοριακών και Επικοινωνιακών Συστημάτων (ΠΕΣ)». Ωστόσο, όπως διαπίστωσαν οι ελεγκτές και όπως παραδέχθηκε η εταιρεία, «τα αρχεία καταγραφής πρόσβασης σε δεδομένα επικοινωνίας του συστήματος VMS, καθώς και τα αρχεία καταγραφής ενεργειών των διαχειριστών στο εν λόγω σύστημα δεν διατηρούνται».

Ιδιαίτερη βαρύτητα δόθηκε στο γεγονός ότι η ίδια παράλειψη είχε εντοπιστεί από την ΑΔΑΕ ήδη σε προηγούμενο επιτόπιο έλεγχο, ενώ η COSMOTE, με έγγραφο που είχε αποστείλει στις 22 Ιουλίου του 2014 προς την ΑΔΑΕ, είχε δεσμευτεί ότι η «εξαίρεση αναφορικά με την καταγραφή των προσβάσεων στο σύστημα VMS και των προσβάσεων στα δεδομένα επικοινωνίας μέσω του συστήματος VMS» θα αρθεί εντός του τελευταίου τριμήνου του 2014. Η δέσμευση αυτή, σύμφωνα με τα στοιχεία της υπόθεσης, δεν υλοποιήθηκε.

Το 2021 η ΑΔΑΕ κάλεσε σε ακρόαση την COSMOTE και η εταιρεία υποστήριξε ότι «η νέα έκδοση της πλατφόρμας VMS, η οποία θα τίθετο σε λειτουργία τέλος Οκτώβρη του 2021, θα διαθέτει μηχανισμό καταγραφής ενεργειών των διαχειριστών του συστήματος όσο και καταγραφής της πρόσβασης στα δεδομένα επικοινωνίας του συστήματος». Στο πλαίσιο αυτό, η Ολομέλεια της ΑΔΑΕ αποφάσισε κατά πλειοψηφία την επιβολή προστίμου 40.000 ευρώ στην COSMOTE με την υπ’ αριθμόν 51/2022 απόφαση. Μειοψήφησαν ο τότε πρόεδρος της Αρχής, Χρήστος Ράμμος, και τα τακτικά μέλη κ.κ. Στέφανος Γκρίτζαλης και Αικατερίνη Παπανικολάου, οι οποίοι υποστήριξαν την επιβολή προστίμου 300.000 ευρώ. Στο σκεπτικό της μειοψηφίας περιλαμβανόταν, μεταξύ άλλων, ότι η παράβαση έθεσε σε διακινδύνευση το απόρρητο των επικοινωνιών και ότι η εταιρεία, επικαλούμενη την εγκατάσταση νέου συστήματος, αθέτησε για χρονικό διάστημα έξι και πλέον ετών την υποχρέωση καταγραφής προσβάσεων και ενεργειών, μάλιστα εν αγνοία της ΑΔΑΕ, αφού η εταιρεία είχε ενημερώσει την Αρχή για το αντίθετο.

Η συγκεκριμένη περίπτωση δεν ήταν η μόνη. Στις 23 Ιουνίου του 2021 η Ολομέλεια της ΑΔΑΕ εξέτασε καταγγελία ιδιώτη του 2019 για παραβίαση προσωπικών δεδομένων, καθώς η COSMOTE φερόταν να είχε αποστείλει «εκ παραδρομής αναλυτική κατάσταση κλήσεων σε λάθος παραλήπτη». Ο έλεγχος της ΑΔΑΕ στις εγκαταστάσεις της εταιρείας κατέγραψε ότι δεν υπήρχε το απαιτούμενο σύστημα για τους λογαριασμούς καρτοκινητής που καταγράφει ποιοι εισέρχονται στα δεδομένα επικοινωνίας συνδρομητών καρτοκινητής. Πρόκειται για το σύστημα Bill Print, το οποίο η ΑΔΑΕ χαρακτήριζε «κρίσιμο», καθώς «μέσω αυτού επιτυγχάνεται η πρόσβαση στα δεδομένα επικοινωνίας του συνόλου των χρηστών της καρτοκινητής τηλεφωνίας της εταιρείας».

Η ΑΔΑΕ είχε διαπιστώσει ήδη από τον Σεπτέμβριο του 2013 ότι η COSMOTE δεν διέθετε το συγκεκριμένο σύστημα και από το 2014 είχε επισημάνει την ανάγκη εφαρμογής καταγραφής προσβάσεων και ενεργειών χρηστών, ωστόσο μέχρι και το 2020 δεν είχε υπάρξει συμμόρφωση. Στην απόφαση 214/2021 σημειωνόταν ότι η μη εφαρμογή της υποχρέωσης επί έξι και πλέον έτη, ενώ η Αρχή θεωρούσε το αντίθετο λόγω αναφοράς της εταιρείας στο υπ’ αριθμ. πρωτ. ΑΔΑΕ ΑΠΡ 2390/22-07-2014 έγγραφό της, κρινόταν ιδιαίτερα επιβαρυντική ως προς την προστασία του απορρήτου και την αποτελεσματική τήρηση των μέτρων ασφαλείας. Με βάση τα ευρήματα αυτά, επιβλήθηκε πρόστιμο 150.000 ευρώ.

Ανάλογη ήταν και η υπ’ αριθμόν 215/2021 απόφαση, επίσης της 23ης Ιουνίου 2021, όπου το επίδικο στοιχείο αφορούσε ότι η COSMOTE δεν «διατηρούσε αρχεία καταγραφής των προσβάσεων στο σύστημα Bill Print και στα δεδομένα επικοινωνίας μέσω αυτού», παρά τις σχετικές επισημάνσεις της ΑΔΑΕ. Στην απόφαση υπογραμμιζόταν ότι, ενώ η εταιρεία γνώριζε πως η μη καταγραφή προσβάσεων και ενεργειών συνιστά παράβαση των άρθρων 6.2.5 και 6.2.6 του Κανονισμού της Αρχής, δεν προχώρησε σε διορθωτικές ενέργειες, συνεχίζοντας να επικαλείται, εσφαλμένα, ως δικαιολογημένη αδυναμία συμμόρφωσης τη μη διατήρηση των αρχείων. Και σε αυτή την περίπτωση επιβλήθηκε πρόστιμο 150.000 ευρώ.

Στη συνέχεια, οι υποθέσεις οδηγήθηκαν στη Δικαιοσύνη με μηνύσεις του κ. Φλωρά. Δύο από τις τρεις δικογραφίες, εκείνη που σχηματίστηκε με βάση την υπ’ αριθμόν 51/2022 απόφαση της ΑΔΑΕ και εκείνη που αφορούσε την 214/2021 απόφαση, τέθηκαν στο αρχείο, με το σκεπτικό ότι δεν προκύπτουν ποινικές ευθύνες, καθώς η COSMOTE «είχε θέσει πλέον σε λειτουργία συστήματα τα οποία ανταποκρίνονται στις απαιτήσεις της νομοθεσίας για τη διασφάλιση του απορρήτου των επικοινωνιών». Αντίθετα, για την υπ’ αριθμόν 215/2021 απόφαση, ο εισαγγελικός λειτουργός έκρινε ότι στοιχειοθετούνται ποινικά αδικήματα και άσκησε δίωξη σε βάρος του υπεύθυνου διασφάλισης του απορρήτου των επικοινωνιών της COSMOTE, Μέγα Κωσταντίνου, για το αδίκημα της παραβίασης του απορρήτου των επικοινωνιών, γεγονός που ανέδειξε και μια διαφοροποιημένη εισαγγελική προσέγγιση, δεδομένης της σχεδόν πανομοιότυπης δομής και περιεχομένου των αποφάσεων 214 και 215/2021.

Η υπόθεση του κ. Μέγα εκδικάστηκε τον Σεπτέμβριο του 2024. Μάρτυρας εξετάστηκε ο κ. Φλωράς, όμως δεν εξετάστηκε κανένα πρόσωπο από την πλευρά της ΑΔΑΕ, παρότι η Αρχή είχε εντοπίσει τις παραβάσεις και είχε επιβάλει τις διοικητικές κυρώσεις. Για το θέμα της κλήτευσης μαρτύρων είχε υπάρξει παρέμβαση της Εισαγγελίας του Αρείου Πάγου. Ο τότε αντεισαγγελέας του Αρείου Πάγου, Γιώργος Σκιαδαρέσης, απέστειλε στις 7 Αυγούστου του 2023 επιστολή προς τον τότε προϊστάμενο της Εισαγγελίας Πρωτοδικών, ζητώντας να κληθεί εκπρόσωπος της ΑΔΑΕ, καθώς και ο κ. Φλωράς, και χαρακτηρίζοντας «ασύνηθες» να κλητεύεται στο ακροατήριο μόνο ο κατηγορούμενος χωρίς «καίρια αποδεικτικά αντίβαρα» σε τόσο σοβαρές υποθέσεις. Παρά το ότι το ζήτημα τέθηκε υπ’ όψη του Δικαστηρίου, δεν υπήρξε κλήτευση εκπροσώπου της ΑΔΑΕ και τελικά ο κ. Μέγας αθωώθηκε, με την υπόθεση να ολοκληρώνεται εκεί. Στο πλαίσιο της ακροαματικής διαδικασίας, ο ίδιος είχε αναφέρει ότι είναι ο αρμόδιος υπάλληλος της COSMOTE για τις σχέσεις με την ΕΥΠ, πιστοποιημένος ως συνεργάτης του ΝΑΤΟ και κάτοχος και άλλων σημαντικών ρόλων που συνδέονται άμεσα με το αντικείμενο της προστασίας του απορρήτου των επικοινωνιών.

Η συζήτηση για το απόρρητο των επικοινωνιών, πάντως, εκτείνεται πέρα από μία μεμονωμένη υπόθεση, καθώς στο παρελθόν έχουν αναδειχθεί περιστατικά παρακολουθήσεων μέσω συστημάτων τηλεπικοινωνιακών παρόχων. Ενδεικτικά, τη δεκαετία του 2000 στην Ελλάδα αποκαλύφθηκαν παρακολουθήσεις μέσω της Vodafone, με αναφορές ότι την περίοδο 2004–2005 είχαν τεθεί υπό παρακολούθηση περίπου 100 τηλέφωνα μέσω ειδικού λογισμικού και με χρήση 14 καρτοκινητών «τηλεφώνων-σκιών» που κατέγραφαν συνομιλίες. Η υπόθεση διερευνήθηκε από τις ελληνικές αρχές, προκάλεσε αναταράξεις στην πολιτική σκηνή και τελικά μπήκε στο αρχείο το καλοκαίρι του 2008.

Αργότερα, το 2014, η εφημερίδα «Τα Νέα» παρουσίασε ρεπορτάζ για παρακολουθήσεις στην Ελλάδα ηλεκτρονικών μηνυμάτων και τηλεπικοινωνιών από γερμανικές μυστικές υπηρεσίες, δημοσιεύοντας ντοκουμέντο που είχε κατατεθεί σε δικαστική διαμάχη μεταξύ Γερμανού δικηγόρου και της γερμανικής Ομοσπονδιακής Υπηρεσίας Πληροφοριών (BND), με αναφορά ότι οι παρακολουθήσεις εντάσσονταν σε πλαίσιο καταπολέμησης της διεθνούς τρομοκρατίας. Το 2017, το ελληνικό γραφείο του VICE παρουσίασε το ντοκιμαντέρ «Οι Στόχοι των Γερμανικών Μυστικών Υπηρεσιών», όπου γινόταν λόγος για «παρακολουθήσεις επικοινωνιών» στην Ελλάδα από την BND σε διαφορετικές χρονικές περιόδους, με αναφορά και σε δημοσίευμα του Spiegel τον Απρίλιο του 2016, σύμφωνα με το οποίο η BND φερόταν μετά το 2002 να παρακολουθούσε γραφεία της Interpol σε πολλές ευρωπαϊκές χώρες, μεταξύ των οποίων και η Ελλάδα. Σε συνέντευξή του προς το VICE, ο δημοσιογράφος του Spiegel Μάρτιν Κνόμπε είχε υποστηρίξει ότι στη φερόμενη ως λίστα παρακολούθησης της BND υπήρχαν και ελληνικοί στόχοι.

Με τα παραπάνω δεδομένα, το ζήτημα της προστασίας του απορρήτου των επικοινωνιών αναδεικνύεται ως ιδιαίτερα σύνθετο και με διαρκείς προεκτάσεις, καθώς περιστατικά, αποφάσεις και δικαστικές εξελίξεις συνθέτουν ένα πεδίο στο οποίο οι τεχνικές υποδομές, οι θεσμικοί έλεγχοι και οι νομικές κρίσεις διασταυρώνονται σε μια υπόθεση που αφορά ευθέως το δικαίωμα εκατομμυρίων χρηστών στην εμπιστευτικότητα των επικοινωνιών τους.