📄 Κείμενο νόμου
11. AΠΟΦΑΣΗ ΑΡΧΗΣ ΔΙΑΣΦΑΛΙΣΗΣ ΑΠΟΡΡΗΤΟΥ ΕΠΙΚΟΙΝΩΝΙΩΝ (ΑΔΑΕ) Αριθ. 969/Φ 12/ της 28 Φεβρ./8 Μαρτ. 2005 (ΦΕΚ Β΄ 298) Έγκριση του Κανονισμού για τη Διασφάλιση του Απορρήτου κατά τη χρήση Αυτόματων Ταμειολογιστικών Μηχανών. Έχοντας υπόψη: α.το Ν. 3115/2003 "Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών", ιδίως τα άρθρα 1 παρ. 1, και 6 παρ. 1 (ιβ) β.το γεγονός ότι από τις διατάξεις αυτής της Απόφασης δεν προκαλείται δαπάνη εις βάρος του Κρατικού Προϋπολογισμού, αποφάσισε: Κατά τη συνεδρίασή της την 23η Φεβρουαρίου 2005 ην έγκριση του παρακάτω Κανονισμού για τη Διασφάλιση του Απορρήτου των Συναλλαγών κατά τη χρήση Αυτόματων Ταμειολογιστικών Μηχανών. 22.ΔΑ.β.11 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) ΚΕΦΑΛΑΙΟ I ΓΕΝΙΚΕΣΔΙΑΤΑΞΕΙΣ Άρθρο 1 Σκοπός-Πεδίο Εφαρμογής 1.Σκοπός της παρούσας Απόφασης είναι ο καθορισμός ενός ελάχιστου επιπέδου προστασίας του απορρήτου των επικοινωνιών κατά τη χρήση αυτόματων ταμειολογιστικών μηχανών από το κοινό, με τη θέσπιση των υποχρεώσεων των οριζόμενων στην παράγραφο 2 του παρόντος άρθρου φορέων, και την καθιέρωση διαδικασίας ελέγχου των φορέων αυτών από την ΑΔΑΕ σχετικά με τις εν λόγω υποχρεώσεις τους, σύμφωνα με το άρθρο 6του Ν. 3115/2003. 2.Στις διατάξεις της παρούσας Απόφασης εμπίπτουν πιστωτικά ιδρύματα ή άλλοι εξουσιοδοτημένοι φορείς από αυτά, που παρέχουν στο κοινό υπηρεσίες διενέργειας συναλλαγών μέσω αυτόματων ταμειολογιστικών μηχανών με χρήση κωδικού πρόσβασης. 3.Δεν εμπίπτουν στο πεδίο εφαρμογής της παρούσας Απόφασης οι ενέργειες που πραγματοποιούνται για την επικοινωνία της αυτόματης ταμειολογιστικής μηχανής με τους διακομιστές και τις υποδομές δικτύωσης του Υπόχρεου Φορέα. Άρθρο 10 Μεταβατικές Διατάξεις 1.Όλοι οι Υπόχρεοι Φορείς οφείλουν να συντάξουν και να αποστείλουν στην ΑΔΑΕ έκθεση με το περιεχόμενο της Ετήσιας Έκθεσης εντός έξι (6) μηνών από τη δημοσίευση της παρούσας Απόφασης. (Μετά τη σελ. 386,788) Σελ. 386,789 Τεύχος Σελ. Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 22.ΔΑ.β.11 ΚΕΦΑΛΑΙΟ V ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ Άρθρο 11 Έναρξη Ισχύος 1.Η παρούσα Απόφαση τίθεται σε ισχύ από την ημερομηνία δημοσίευσής της στην Εφημερίδα της Κυβερνήσεως. ΠΑΡΑΡΤΗΜΑ Α Αναλυτική περιγραφή διαδικασίας ελέγχου Υπόχρεου Φορέα Η διαδικασία ελέγχου Υπόχρεου Φορέα διενεργείται με βάση τα ακόλουθα βήματα: α)Η ΑΔΑΕ με απόφασή της ορίζει ομάδα ελέγχου που αποτελείται από τρία (3) τουλάχιστον άτομα με σκοπό τον έλεγχο συγκεκριμένου Υπόχρεου Φορέα. Η ελάχιστη στελέχωση της ομάδας ελέγχου περιλαμβάνει έναν (1) υπεύθυνο της ομάδας, ένα (1) νομικό σύμβουλο και έναν (1) τεχνικό σύμβουλο. β)Σε χρόνο που αποφασίζει η ομάδα ελέγχου, επικοινωνεί με τον Υπόχρεο Φορέα και ζητεί να έρθει σε άμεση επικοινωνία με το υπεύθυνο στέλεχος όπως αυτό ορίζεται στην παράγραφο 2του άρθρου 7της παρούσας Απόφασης. Τυχόν καθυστέρηση ή κώλυμα που παρουσιάζεται κατά την προσπάθεια επικοινωνίας με το υπεύθυνο στέλεχος καταγράφεται. γ)Το υπεύθυνο στέλεχος παραδίδει στην ομάδα ελέγχου πλήρη εικόνα εφαρμογής του Προγραμματισμού Επιβολής Μέτρων Προστασίας καθώς και πιθανής προσαρμογής ή αναθεώρησης αυτού. δ)Η ομάδα ελέγχου προβαίνει σε αναλυτική εξέταση όλων των σχετικών εγγράφων και καταγράφονται οι ελλείψεις, ασάφειες, καθυστερήσεις, και προβλήματα που παρατηρούνται. Κατά την διαδικασία αυτή δύναται να ζητηθεί η συνδρομή του Υπόχρεου Φορέα έτσι ώστε να διασαφηνιστούν όποιες ασάφειες παρουσιάζονται στα έγγραφα. ε)Κατά τη διάρκεια του ελέγχου ο Υπόχρεος Φορέας δεν έχει τη δυνατότητα να αντικαταστήσει ή να αναθεωρήσει τον Προγραμματισμό του. η)Η ομάδα ελέγχου προβαίνει σε αυτοψία των εγκαταστάσεων του Υπόχρεου Φορέα για να διαπιστώσει σε ποιο βαθμό εφαρμόζονται οι διαδικασίες που προβλέπονται από τα προσκομισθέντα έγγραφα. Η αυτοψία δύναται να περιλαμβάνει και επαφή με το προσωπικό του Υπόχρεου Φορέα. Η ομάδα Σελ. 386,790 Τεύχος Σελ. ελέγχου καταγράφει αναλυτικά την εφαρμογή των διαδικασιών καθώς και τις ελλείψεις και τα σφάλματα που διαπιστωθούν. ζ)Ο Υπόχρεος Φορέας οφείλει να υποβάλει στην ομάδα ελέγχου οποιοδήποτε στοιχείο θεωρηθεί απαραίτητο από την ομάδα για την επιτυχή ολοκλήρωση του ελέγχου. θ)Τυχόν διαπίστωση έλλειψης συνεργασίας από τον Υπόχρεο Φορέα ή/και προσπάθειας παραπλάνησης της ομάδας ελέγχου καταγράφεται. ΠΑΡΑΡΤΗΜΑ Β Ελάχιστο περιεχόμενο του εντύπου με τίτλο "Έκθεση Διενέργειας Ελέγχου" Το ως άνω έντυπο περιέχει τουλάχιστον τα ακόλουθα στοιχεία: α)Τα στοιχεία της απόφασης της ΑΔΑΕ, με την οποία αποφασίστηκε ο έλεγχος. β)Τα ονοματεπώνυμα και τις ιδιότητες των στελεχών της ΑΔΑΕ τα οποία απαρτίζουν την ομάδα ελέγχου καθώς και την ημερομηνία σύστασής της. γ)Το όνομα του υπό έλεγχο Υπόχρεου Φορέα καθώς και το όνομα του υπευθύνου στελέχους αυτού. δ)Το χρόνο ο οποίος απαιτήθηκε έως ότου να αποδοθεί στην ομάδα ελέγχου ο πλήρης Προγραμματισμός Επιβολής Μέτρων Προστασίας του Υπόχρεου Φορέα καθώς και το χρονοδιάγραμμα τήρησής του. ε)Την ανάλυση του προγραμματισμού με καταγραφή των ελλείψεων και ασαφειών οι οποίες διαπιστώνονται. 22.ΔΑ.β.11 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) στ)Το αποτέλεσμα της αυτοψίας για την αποτίμηση της εφαρμογής του προγραμματισμού με καταγραφή των ελλείψεων και ασαφειών που διαπιστώνονται. ζ)Την εκτίμηση της ομάδας ελέγχου αναφορικά με τη διάθεση συνεργασίας του Υπόχρεου Φορέα. η)Τις ημερομηνίες έναρξης και περάτωσης του ελέγχου. θ)Το τελικό πόρισμα του ελέγχου και την εισήγηση προς την Ολομέλεια της ΑΔΑΕ. Άρθρο 2 Ορισμοί Για την εφαρμογή της παρούσας Απόφασης, οι ακόλουθοι όροι έχουν την έννοια που τους αποδίδεται κατωτέρω: Χρήστης:ο νόμιμος κάτοχος κάρτας η οποία προορίζεται για χρήση σε αυτόματες ταμειολογιστικές μηχανές Κωδικός πρόσβασης (PIN): είναι ο τετραψήφιος (κατά πλειοψηφία) αριθμός πρόσβασης στο λογαριασμό του χρήστη, ο οποίος ζητείται από την αυτόματη ταμειολογιστική μηχανή, ύστερα από την εισαγωγή της κάρτας στη μηχανή, προκειμένου να πραγματοποιηθεί μία συναλλαγή. Υπόχρεος Φορέας: κάθε πιστωτικό ίδρυμα ή άλλο φυσικό ή νομικό πρόσωπο, το οποίο, σύμφωνα με την ισχύουσα νομοθεσία, παρέχει στο κοινό υπηρεσίες διενέργειας συναλλαγών μέσω αυτόματων ταμειολογιστικών μηχανών. Άρθρο 3 Λοιποί Ορισμοί Άλλοι όροι οι οποίοι χρησιμοποιούνται στο παρόν έχουν την έννοια η οποία τους αποδίδεται στην κείμενη νομοθεσία. ΚΕΦΑΛΑΙΟ II ΥΠΟΧΡΕΩΣΕΙΣ ΦΟΡΕΩΝ ΠΟΥ ΠΑΡΕΧΟΥΝ ΣΤΟ ΚΟΙΝΟ ΥΠΗΡΕΣΙΕΣ ΔΙΕΝΕΡΓΕΙΑΣ ΣΥΝΑΛΛΑΓΩΝ ΜΕΣΩ ΑΥΤΟΜΑΤΩΝ ΤΑΜΕΙΟΛΟΓΙΣΤΙΚΩΝ ΜΗΧΑΝΩΝ Άρθρο 4 Ενημέρωση και Προστασία ΧρήΣτη 1.Οι Υπόχρεοι Φορείς μεριμνούν για τη συνεχή, σαφή και έγκυρη ενημέρωση των χρηστών αναφορικά με τους κινδύνους οι οποίοι δύνανται να απειλήσουν το απόρρητο της επικοινωνίας κατά τη χρήση αυτόματων ταμειολογιστικών μηχανών και για τα πλέον πρόσφορα μέτρα για την αποφυγή ή ελαχιστοποίησή τους. Ενδεικτικά και όχι περιοριστικά αναφέρεται η ενημέρωση με ανακοινώσεις αναρτημένες απευθείας πάνω στις αυτόματες ταμειολογιστικές μηχανές (ή στην οθόνη της μηχανής), με ενημερωτικά φυλλάδια, μέσω Διαδικτύου, μέσω του περιοδικού ή ημερήσιου τύπου, και μέσω άλλων μέσων. 2.Οι Υπόχρεοι Φορείς μεριμνούν για την άμεση προστασία των χρηστών κατά τη χρήση αυτόματων ταμειολογιστικών μηχανών, περιορίζοντας στο ελάχιστο τους κινδύνους παρατήρησης και καταγραφής από τρίτους του αριθμού και του κωδικού πρόσβασης της κάρτας. 3.Η πολιτική ενημέρωσης και προστασίας των χρηστών σύμφωνα με το παρόν άρθρο, καθορίζεται από τους Υπόχρεους Φορείς και υποβάλλεται στην ΑΔΑΕ σύμφωνα με τα οριζόμενα στο άρθρο 6 και το Κεφάλαιο III της παρούσας Απόφασης. Άρθρο 5 Προστασία, Αναβάθμιση και Κατηγοριοποίηση Αυτόματων Ταμειολογιστικών Μηχανών 1.Οι Υπόχρεοι Φορείς μεριμνούν για τη φυσική προστασία των αυτόματων ταμειολογιστικών μηχανών από κάθε είδους ενέργεια η οποία ενδέχεται να απειλήσει το απόρρητο της επικοινωνίας κατά τη χρήση αυτών. 2.Οι Υπόχρεοι Φορείς μεριμνούν ώστε το υλικό (hardware) των χρησιμοποιούμενων για την παροχή των υπηρεσιών τους αυτόματων ταμειολογιστικών μηχανών να συμβάλλει στη διασφάλιση του απόρρητου της επικοινωνίας κατά τη χρήση αυτών. Ενδεικτικά και όχι περιοριστικά αναφέρονται οι εξής τρόποι συμβολής του υλικού στη διασφάλιση του απόρρητου της επικοινωνίας κατά τη χρήση αυτόματων ταμειολογιστικών μηχανών: (Μετά τη σελ. 386,786) Σελ. 386,787 Τεύχος Σελ. Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) 22.ΔΑ.β.11 α)Το υλικό να εξασφαλίζει τη μη προσαρμοσιμότητα πάνω στη μηχανή ξένων συσκευών. Για την επίτευξη αυτού του στόχου μπορεί να επιλεγούν λύσεις που δεν απαιτούν την εισαγωγή της κάρτας στην αυτόματη ταμειολογιστική μηχανή β)Σε περίπτωση κατά την οποία το (α) δεν είναι δυνατόν, το υλικό να δυσκολεύει ή να αποτρέπει την ανάγνωση της μαγνητικής ή άλλης μορφής πληροφορίας. γ)Να υπάρχει δυνατότητα διαπίστωσης παραβίασης στο υλικό, για παράδειγμα με τη χρήση ειδικού αισθητήρα ο οποίος τοποθετείται μέσα στον αναγνώστη καρτών. δ)Το υλικό να απενεργοποιείται αμέσως όταν διαπιστώνεται παραβίαση, και να ενεργοποιείται συναγερμός. ε)Το υλικό να απενεργοποιείται κατά τις μη συνήθεις ώρες συναλλαγών. 3.Οι Υπόχρεοι Φορείς μεριμνούν ώστε το λογισμικό (software) των χρησιμοποιούμενων για την παροχή των υπηρεσιών τους αυτόματων ταμειολογιστικών μηχανών να αναβαθμίζεται και να συμβάλλει στη διασφάλιση του απόρρητου της επικοινωνίας κατά τη χρήση αυτών καθώς και τη διαπίστωση περιστατικών παραβίασης του απορρήτου. Ενδεικτικά και όχι περιοριστικά αναφέρονται οι εξής τρόποι συμβολής του λογισμικού στη διασφάλιση του απόρρητου της επικοινωνίας κατά τη χρήση αυτόματων ταμειολογιστικών μηχανών: α)το λογισμικό να αναλύει μη συνήθεις τρόπους χρησιμοποίησης της κάρτας, β)το λογισμικό να αναλύει μη συνήθεις τρόπους χρησιμοποίησης της αυτόματης ταμειολογιστικής μηχανής 4.Οι Υπόχρεοι Φορείς μεριμνούν ώστε να υπάρχει κατηγοριοποίηση των χρησιμοποιούμενων αυτόματων ταμειολογιστικών μηχανών με βάση την πιθανότητα παραβίασης του απορρήτου που γίνεται μέσω αυτόματων ταμειολογιστικών αυτών. Η κατηγοριοποίηση αυτή αποτελεί τη βάση για ένα σταδιακό και αποτελεσματικό Προγραμματισμό Επιβολής Μέτρων Προστασίας των μηχανών, σύμφωνα με τα οριζόμενα στο άρθρο 6 της παρούσας Απόφασης. Ενδεικτικά και όχι περιοριστικά αναφέρονται τα εξής κριτήρια για την εν λόγω κατηγοριοποίηση: α)η θέση στην οποία είναι εγκατεστημένη η αυτόματη ταμειολογιστική μηχανή, β)τα ιδιαίτερα χαρακτηριστικά της περιοχής στην οποία είναι εγκατεστημένη η αυτόματη ταμειολογιστική μηχανή, Σελ. 386,788 Τεύχος Σελ. γ)ο τύπος του χρησιμοποιούμενου υλικού, δ)ο τύπος του χρησιμοποιούμενου λογισμικού, ε)ο συνήθης όγκος των συναλλαγών, στ)η φύλαξη των αυτόματων ταμειολογιστικών μηχανών. Άρθρο 6 Προγραμματισμός Επιβολής Μέτρων Προστασίας 1.Οι Υπόχρεοι Φορείς λαμβάνουν τα αναφερόμενα στο παρόν Κεφάλαιο μέτρα στο πλαίσιο ενός Προγραμματισμού Επιβολής Μέτρων Προστασίας, τον οποίο καθορίζουν οι ίδιοι, και ο οποίος υπόκειται σε έλεγχο από την ΑΔΑΕ σύμφωνα με τα οριζόμενα στο Κεφάλαιο 111 της παρούσας Απόφασης. Κάθε τροποποίηση του Προγραμματισμού Επιβολής Μέτρων Προστασίας γνωστοποιείται άμεσα από τον Υπόχρεο Φορέα στην ΑΔΑΕ. Η ΑΔΑΕ αξιολογεί τα περιεχόμενα στον Προγραμματισμό μέτρα προστασίας και το χρονοδιάγραμμα υλοποίησής των, λαμβάνοντας υπόψη την κείμενη νομοθεσία και τις επεξηγήσεις που θα δίδονται από τον Υπόχρεο Φορέα αναφορικά με τα υιοθετούμενα μέτρα. Άρθρο 7 Γενικές Υποχρεώσεις 1.Οι Υπόχρεοι Φορείς υποχρεούνται: α)να παρακολουθούν αδιάκοπα και με συνέπεια την ακεραιότητα τόσο των αυτόματων ταμειολογιστικών μηχανών όσο και των συναλλαγών οι οποίες πραγματοποιούνται μέσω καρτών, β)να καταγράφουν τις περιπτώσεις παραβίασης του απορρήτου των συναλλαγών που σχετίζονται με τις μηχανές τους, γ)να ενημερώνουν την ΑΔΑΕ σχετικά με τα ως άνω αναφερόμενα γεγονότα, 22.ΔΑ.β.11 Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) δ)σε περίπτωση διαπίστωσης, είτε από τον Υπόχρεο Φορέα, είτε κατόπιν σχετικής υποδείξεως της ΑΔΑΕ, αυξημένης πιθανότητας πραγματοποίησης παραβίασης του απορρήτου της επικοινωνίας σε συγκεκριμένες αυτόματες ταμειολογιστικές μηχανές, ο Υπόχρεος Φορέας οφείλει να ενημερώνει άμεσα τους χρήστες με κάθε πρόσφορο μέσο σχετικά με τους υφιστάμενους κινδύνους και τις συνέπειες αυτών, υποδεικνύοντας μέτρα για την αποτροπή ή αντιμετώπισή τους. Σε κάθε τέτοια περίπτωση οφείλει να ενημερώνει άμεσα την ΑΔΑΕ αναφορικά με τον κίνδυνο που δια-πιστώθηκε και τα μέτρα που ελήφθησαν σχετικά. 2.Ο Υπόχρεος Φορέας οφείλει να ορίσει στέλεχος αυτού ως το πρόσωπο επικοινωνίας μεταξύ αυτού και της ΑΔΑΕ. ΚΕΦΑΛΑΙΟ III ΕΛΕΓΧΟΣ ΚΑΙ ΕΠΟΠΤΕΙΑ Άρθρο 8 Διαδικασία Ελέγχου από την ΑΔΑΕ 1.Η ΑΔΑΕ σε τακτά χρονικά διαστήματα διενεργεί έλεγχο σε κάθε φορέα που εμπίπτει στις διατάξεις του παρόντος. 2.Η διαδικασία ελέγχου διενεργείται από τις αρμόδιες, σύμφωνα με την ισχύουσα νομοθεσία, υπηρεσίες της ΑΔΑΕ, με βάση τα βήματα που περιγράφονται στο Παράρτημα Α της παρούσας Απόφασης. 3.Κατά τη διάρκεια του ελέγχου, η ομάδα ελέγχου της ΑΔΑΕ καταγράφει αναλυτικά τις ενέργειες στις οποίες προ-βαίνει, σε ειδικό έντυπο με τίτλο "Έκθεση διενέργειας ελέγχου", αναφορικά με τον Προγραμματισμό Επιβολής Μέτρων Προστασίας των αυτόματων ταμειολογιστικών μηχανών και του απόρρητου των επικοινωνιών κατά τη χρήση αυτών. Τα ελάχιστα απαραίτητα στοιχεία του εν λόγω εντύπου παρατίθενται στο Παράρτημα Β της παρούσας Απόφασης. 4.Η ομάδα ελέγχου κοινοποιείτο πόρισμά της στην Ολομέλεια της ΑΔΑΕ. Η Ολομέλεια της ΑΔΑΕ αξιολογεί τα ευ-ρήματα του ελέγχου, λαμβάνοντας υπόψη τον εκάστοτε υποβληθέντα στην ΑΔΑΕ Προγραμματισμό Επιβολής Μέτρων Προστασίας του Υπόχρεου Φορέα, και είτε τα εγκρίνει, είτε προχωρεί, σύμφωνα με τη νόμιμη διαδικασία, στην επιβολή συστάσεων ή κυρώσεων κατά περίπτωση, εφόσον δεν έχουν ληφθεί τα προσήκοντα μέτρα. 5.Οι κυρώσεις της προηγούμενης παραγράφου θα καθοριστούν με μεταγενέστερη απόφαση της ΑΔΑΕ. Άρθρο 9 Άσκηση Εποπτείας 1.Κάθε Υπόχρεος Φορέας, εντός του πρώτου τριμήνου εκάστου ημερολογιακού έτους, υποβάλλει στην ΑΔΑΕ Ετήσια Έκθεση, η οποία αφορά στο προηγούμενο έτος, με στοιχεία που σχετίζονται με τη διασφάλιση του απορρήτου των επικοινωνιών κατά τη χρήση των αυτόματων ταμειολογιστικών μηχανών 2.Το ελάχιστο περιεχόμενο της Ετήσιας Έκθεσης ορίζεται ως εξής: α)Περιστατικά που απείλησαν την ασφάλεια του απορρήτου των επικοινωνιών κατά τη χρήση αυτόματων ταμειολογιστικών μηχανών, καθώς και εκτίμηση της ζημίας που υπέστη ο Υπόχρεος Φορέας και οι χρήστες των μηχανών εξαιτίας αυτών των περιστατικών. β)Μέτρα που ελήφθησαν για την αντιμετώπιση των ως άνω περιστατικών. γ)Ο Προγραμματισμός Επιβολής Μέτρων Προστασίας, όπως ορίζεται στο άρθρο 6 της παρούσας Απόφασης. 3.Η ΑΔΑΕ με Απόφασή της δύναται να μεταβάλλει το ελάχιστο περιεχόμενο της ετήσιας έκθεσης. 4.Η ΑΔΑΕ δύναται να ζητήσει εκτάκτως από τους Υπόχρεους Φορείς οποιεσδήποτε πληροφορίες θεωρεί αναγκαίες στα πλαίσια των αρμοδιοτήτων της για την ασφάλεια του απορρήτου των επικοινωνιών κατά τη χρήση αυτόματων ταμειολογιστικών μηχανών. ΚΕΦΑΛΑΙΟ IV ΜΕΤΑΒΑΤΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Επεξήγηση AI βάσει του επίσημου κειμένου του νόμου. Ενδεικτική, δεν υποκαθιστά νομική συμβουλή.