Σάββατο 12 Σεπτεμβρίου 2015

Συστάσεις του ΕΕΠΔ σχετικά με τις επιλογές της ΕΕ για τη μεταρρύθμιση της προστασίας δεδομένων


(Το πλήρες κείμενο διατίθεται στα αγγλικά, στα γαλλικά και στα γερμανικά μέσω του δικτυακού τόπου του ΕΕΠΔ στη διεύθυνση www.edps.europa.eu)
(2015/C 301/01)
Στις 24 Ιουνίου 2015, τα τρία βασικά θεσμικά όργανα της ΕΕ, το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και η Ευρωπαϊκή Επιτροπή, ξεκίνησαν διαπραγματεύσεις συναπόφασης σχετικά με τον προτεινόμενο γενικό κανονισμό για την προστασία
δεδομένων, διαδικασία γνωστή ως άτυπος «τριμερής διάλογος» (1). Τη βάση του εν λόγω τριμερούς διαλόγου αποτελούν η πρόταση της Επιτροπής του Ιανουαρίου 2012, το νομοθετικό ψήφισμα του Κοινοβουλίου της 12ης Μαρτίου 2014 και η γενική προσέγγιση του Συμβουλίου που εγκρίθηκε στις 15 Ιουνίου 2015 (2). Τα τρία θεσμικά όργανα έχουν δεσμευτεί να εξετάσουν τον γενικό κανονισμό για την προστασία δεδομένων στο πλαίσιο της ευρύτερης δέσμης μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων, η οποία περιλαμβάνει την προτεινόμενη οδηγία σχετικά με τις δραστηριότητες των αστυνομικών και δικαστικών αρχών. Η σχετική διαδικασία θα πρέπει να ολοκληρωθεί έως το τέλος του 2015, ούτως ώστε να καταστεί δυνατή η τυπική έκδοση και των δύο πράξεων στις αρχές του 2016, ακολουθούμενη από μεταβατική περίοδο δύο ετών (3).
Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ) είναι ανεξάρτητη αρχή της ΕΕ. Ο Επόπτης δεν λαμβάνει μέρος στον τριμερή διάλογο, είναι όμως επιφορτισμένος βάσει του άρθρου 41 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001 «Όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα […] να εξασφαλίζει ότι τα όργανα και οι οργανισμοί της Κοινότητας σέβονται τα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ιδίως την ιδιωτική τους ζωή», και «[…] για την παροχή συμβουλών προς τα όργανα και τους οργανισμούς της Κοινότητας και προς τα υποκείμενα των δεδομένων για κάθε θέμα που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα». Ο Επόπτης και ο Αναπληρωτής Επόπτης διορίστηκαν τον Δεκέμβριο του 2014 με ειδική εντολή για πιο εποικοδομητική και ενεργή δράση, και τον Μάρτιο του 2015 δημοσίευσαν πενταετή στρατηγική η οποία καθορίζει τους τρόπους με τους οποίους προτίθενται να εκπληρώσουν την εν λόγω εντολή και να λογοδοτούν για τις ενέργειες στις οποίες προβαίνουν στο πλαίσιο της (4).
Η παρούσα γνωμοδότηση αποτελεί το πρώτο σημείο αναφοράς στο πλαίσιο της στρατηγικής του ΕΕΠΔ. Με βάση τις συζητήσεις με τα θεσμικά όργανα της ΕΕ, τα κράτη μέλη, την κοινωνία των πολιτών, τον κλάδο και άλλους ενδιαφερόμενους, η γνωμοδότηση του ΕΕΠΔ αποσκοπεί να συνδράμει τους συμμετέχοντες στον τριμερή διάλογο με στόχο την έγκαιρη επίτευξη της κατάλληλης συναίνεσης. Στο πλαίσιο αυτό, η παρούσα γνωμοδότηση εξετάζει τον γενικό κανονισμό για την προστασία δεδομένων σε δύο μέρη:
το όραμα του ΕΕΠΔ για προσανατολισμένους στο μέλλον κανόνες προστασίας δεδομένων, με ενδεικτικά παραδείγματα των συστάσεών μας· και
ένα παράρτημα («Annex to Opinion 3/2015: Comparative table of GDPR texts with EDPS recommendation» [Παράρτημα της γνωμοδότησης 3/2015: Συγκριτικός πίνακας των κειμένων του γενικού κανονισμού για την προστασία δεδομένων με συστάσεις του ΕΕΠΔ]) που αποτελείται από έναν πίνακα τεσσάρων στηλών για τη σύγκριση, άρθρο προς άρθρο, του κειμένου του γενικού κανονισμού για την προστασία δεδομένων όπως εγκρίθηκε αντίστοιχα από την Επιτροπή, το Κοινοβούλιο και το Συμβούλιο, μαζί με τις συστάσεις του ΕΕΠΔ.
Η γνωμοδότηση δημοσιεύεται στον δικτυακό τόπο του ΕΕΠΔ και μέσω ειδικής εφαρμογής για κινητά τηλέφωνα. Πρόκειται δε να συμπληρωθεί το φθινόπωρο του 2015 με συστάσεις τόσο επί των αιτιολογικών σκέψεων του γενικού κανονισμού για την προστασία δεδομένων όσο και —μετά την έγκριση της γενικής θέσης του Συμβουλίου σχετικά με την οδηγία— επί της προστασίας δεδομένων που ισχύει για τις δραστηριότητες των αστυνομικών και δικαστικών αρχών.
Η αναλυτική γνωμοδότηση του ΕΕΠΔ επί της προτεινόμενης δέσμης μέτρων της Επιτροπής για τη μεταρρύθμιση της προστασίας των δεδομένων που εκδόθηκε τον Μάρτιο του 2012 παραμένει σε ισχύ. Τρία χρόνια μετά, ωστόσο, ήταν απαραίτητο να επικαιροποιήσουμε τις συμβουλές μας προκειμένου να συνδράμουμε πιο άμεσα στις θέσεις των συννομοθετών, καθώς και να παρέχουμε ειδικές συστάσεις (5). Όπως και η γνωμοδότηση του 2012, η παρούσα γνωμοδότηση συνάδει με τις γνώμες και τις δηλώσεις της ομάδας του άρθρου 29, συμπεριλαμβανομένου του παραρτήματος με τίτλο «Core topics in the view of trilogue» (Κεντρικά θέματα ενόψει του τριμερούς διαλόγου) που εγκρίθηκε στις 17 Ιουνίου, στις οποίες ο ΕΕΠΔ συνέβαλε ως πλήρες μέλος της ομάδας (6).
Μια σπάνια ευκαιρία: γιατί η εν λόγω μεταρρύθμιση είναι τόσο σημαντική
Η ΕΕ βρίσκεται στην τελική ευθεία μιας μαραθώνιας προσπάθειας για τη μεταρρύθμιση των κανόνων της σχετικά με τις προσωπικές πληροφορίες. Ο γενικός κανονισμός για την προστασία δεδομένων θα επηρεάσει δυνητικά, για πολλές δεκαετίες, όλα τα φυσικά πρόσωπα στην ΕΕ, όλους τους φορείς εντός της ΕΕ που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα και όλους τους φορείς εκτός ΕΕ που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα φυσικών προσώπων στην ΕΕ (7). Μπροστά σε μια μελλοντική κοινωνία που θα βασίζεται στα δεδομένα, το ζήτημα της προστασίας των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων καθίσταται πλέον περισσότερο επίκαιρο από ποτέ.
Η αποτελεσματική προστασία των δεδομένων διευρύνει τις δυνατότητες των φυσικών προσώπων και προάγει τις υπεύθυνες επιχειρήσεις και δημόσιες αρχές. Η νομοθεσία στον συγκεκριμένο τομέα είναι περίπλοκη και τεχνικού χαρακτήρα, απαιτεί δε ως εκ τούτου εμπειρογνωμοσύνη, ιδίως από πλευράς των ανεξάρτητων αρχών προστασίας δεδομένων οι οποίες κατανοούν τις δυσκολίες σε επίπεδο συμμόρφωσης. Ο γενικός κανονισμός για την προστασία δεδομένων αναμένεται να είναι ένας από τους πλέον μακροσκελείς στην ενωσιακή νομοθεσία. Η ΕΕ πρέπει συνεπώς να είναι επιλεκτική, να επικεντρωθεί στις διατάξεις που είναι πράγματι αναγκαίες και να αποφύγει τις λεπτομέρειες οι οποίες, ως ακούσια συνέπεια, ενδέχεται να θέσουν αδικαιολόγητα προσκόμματα στις μελλοντικές τεχνολογίες. Τα κείμενα όλων των οργάνων τάσσονται υπέρ της σαφήνειας και της ευκολίας κατανόησης όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα: ο γενικός κανονισμός για την προστασία δεδομένων πρέπει επομένως να κάνει πράξη όλα όσα διακηρύσσει, όντας όσο το δυνατόν περισσότερο συνοπτικός και κατανοητός.
Το Κοινοβούλιο και το Συμβούλιο, ως συννομοθέτες, είναι αρμόδια να καθορίσουν το τελικό νομικό κείμενο, υπό τον συντονισμό της Επιτροπής, ως οργάνου πρωτοβουλίας για τη θέσπιση νομοθεσίας και θεματοφύλακα των Συνθηκών. Ο ΕΕΠΔ δεν μετέχει στις διαπραγματεύσεις «τριμερούς διαλόγου», είναι όμως νομικά αρμόδιος να παρέχει συμβουλές και μάλιστα με ενεργό τρόπο, σύμφωνα με την εντολή του Επόπτη και του Αναπληρωτή Επόπτη κατά τον διορισμό τους και την πρόσφατη στρατηγική του ΕΕΠΔ. Η παρούσα γνωμοδότηση αξιοποιεί τη δεκαετή και πλέον εμπειρία μας στους τομείς της εποπτείας της συμμόρφωσης προς τους κανόνες προστασίας δεδομένων και της παροχής συμβουλών πολιτικής, με στόχο την καθοδήγηση των θεσμικών οργάνων για την επίτευξη μιας λύσης προς το συμφέρον των φυσικών προσώπων.
Η νομοθεσία είναι η τέχνη του εφικτού. Όλες οι διαθέσιμες εναλλακτικές προτάσεις, υπό τη μορφή των αντίστοιχων κειμένων που προκρίνουν η Επιτροπή, το Κοινοβούλιο και το Συμβούλιο, περιλαμβάνουν πολλές αξιόλογες διατάξεις, ωστόσο καθεμία εξ αυτών εξακολουθεί να προσφέρει περιθώρια βελτίωσης. Παρότι θεωρούμε ότι το τελικό αποτέλεσμα δεν θα είναι το ιδανικό, σκοπεύουμε να υποστηρίξουμε το έργο των οργάνων με στόχο την επίτευξη του καλύτερου δυνατού αποτελέσματος. Για τον λόγο αυτό, οι συστάσεις μας περιορίζονται εντός των ορίων των τριών κειμένων. Πάγιο μέλημά μας αποτελούν τρία ζητήματα:
η επίτευξη μιας καλύτερης συμφωνίας για τους πολίτες,
η θέσπιση κανόνων που θα εφαρμοστούν στην πράξη,
η θέσπιση κανόνων που θα διαρκέσουν για μια ολόκληρη γενιά.
Η παρούσα γνωμοδότηση συνιστά μια προσπάθεια προαγωγής της διαφάνειας και της λογοδοσίας, δύο αρχών που αποτελούν ίσως το σημαντικότερο στοιχείο καινοτομίας του γενικού κανονισμού για την προστασία δεδομένων. Σήμερα περισσότερο από ποτέ άλλοτε, η διαδικασία του τριμερούς διαλόγου υπόκειται σε αυστηρό έλεγχο. Οι συστάσεις μας είναι δημόσιες και καλούμε όλα τα θεσμικά όργανα της ΕΕ να αναλάβουν πρωτοβουλίες και να δώσουν το παράδειγμα, ούτως ώστε η τρέχουσα νομοθετική μεταρρύθμιση να είναι το αποτέλεσμα μιας διαφανούς διαδικασίας και όχι ενός μυστικού συμβιβασμού.
Η ΕΕ χρειάζεται μια νέα συμφωνία για την προστασία δεδομένων, ένα νέο κεφάλαιο. Τα βλέμματα όλων είναι στραμμένα στην προσπάθεια που συντελείται. Η ποιότητα της νέας νομοθεσίας και ο τρόπος αλληλεπίδρασής της με τα νομικά συστήματα και τις τάσεις παγκοσμίως έχουν καθοριστική σημασία. Με την παρούσα γνωμοδότηση, ο ΕΕΠΔ εκφράζει την πρόθεση και τη βούλησή του να συνδράμει στην προσπάθεια ούτως ώστε να διασφαλιστεί ότι η ΕΕ θα αξιοποιήσει στο έπακρο την ιστορική αυτή ευκαιρία.
1.   Μια καλύτερη συμφωνία για τους πολίτες
Πάγια επιδίωξη των κανόνων της ΕΕ ήταν η διευκόλυνση των ροών δεδομένων, τόσο εντός της ΕΕ όσο και μεταξύ της ΕΕ και των εμπορικών της εταίρων, θέτοντας ωστόσο ως πρωταρχικό μέλημα την προστασία των δεδομένων και των ελευθεριών των φυσικών προσώπων. Το διαδίκτυο παρέχει πλέον δυνατότητες διασύνδεσης, έκφρασης και δημιουργίας αξίας για τις επιχειρήσεις και τους καταναλωτές σε πρωτόγνωρη κλίμακα. Εντούτοις, το ζήτημα της προστασίας της ιδιωτικής ζωής αποκτά μεγαλύτερη σημασία για τους Ευρωπαίους από κάθε άλλη φορά. Σύμφωνα με την έρευνα του Ευρωβαρόμετρου για την προστασία των προσωπικών δεδομένων που διεξήχθη τον Ιούνιο του 2015 (8), περισσότεροι από έξι στους δέκα πολίτες δεν εμπιστεύονται τις διαδικτυακές εταιρείες, ενώ τα δύο τρίτα των ερωτηθέντων εκφράζουν ανησυχίες σχετικά με το γεγονός ότι δεν έχουν πλήρη έλεγχο των πληροφοριών που παρέχουν στο διαδίκτυο.
Το αναθεωρημένο πλαίσιο οφείλει να διατηρήσει και, εφόσον είναι δυνατό, να αυξήσει τα σχετικά πρότυπα για τα φυσικά πρόσωπα. Η δέσμη μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων προτάθηκε αρχικά ως μέσο «ενίσχυσης των επιγραμμικών δικαιωμάτων στην ιδιωτικότητα» διασφαλίζοντας ότι οι πολίτες θα είναι «καλύτερα ενημερωμένοι σχετικά με τα δικαιώματά τους και θα ασκούν μεγαλύτερο έλεγχο επί των πληροφοριών που τους αφορούν» (9). Εκπρόσωποι οργανώσεων της κοινωνίας των πολιτών απηύθυναν επιστολή στην Ευρωπαϊκή Επιτροπή τον Απρίλιο του 2015 καλώντας τα θεσμικά όργανα να παραμείνουν πιστά στις δεσμεύσεις τους (10).
Οι υφιστάμενες αρχές που καθορίζονται στον Χάρτη, ο οποίος συνιστά πρωτογενές δίκαιο της ΕΕ, πρέπει να εφαρμόζονται με συνεπή, δυναμικό και καινοτόμο τρόπο προκειμένου να εξασφαλίζεται η αποτελεσματικότητά τους για τον πολίτη στην πράξη. Η μεταρρύθμιση πρέπει να είναι συνολική —εξού και η δέσμευση για δέσμη μέτρων— καθώς όμως η επεξεργασία δεδομένων ενδέχεται να εμπίπτει σε ξεχωριστές νομικές πράξεις, πρέπει να υπάρξει σαφήνεια ως προς το ακριβές πεδίο εφαρμογής τους και τον τρόπο με τον οποίο θα μπορούν να εφαρμοστούν συνδυαστικά, ούτως ώστε να μην υπάρχουν κενά που υπονομεύουν τις εγγυήσεις (11).
Για τον ΕΕΠΔ, αφετηρία αποτελεί η αξιοπρέπεια του φυσικού προσώπου που υπερβαίνει τα ζητήματα της απλής νομικής συμμόρφωσης (12). Οι συστάσεις μας βασίζονται στην αξιολόγηση κάθε επιμέρους άρθρου του γενικού κανονισμού για την προστασία δεδομένων, μεμονωμένα και σωρευτικά, έχοντας ως γνώμονα κατά πόσον θα ενισχύσει τη θέση των φυσικών προσώπων σε σύγκριση με το υφιστάμενο πλαίσιο. Σημείο αναφοράς είναι οι αρχές που βρίσκονται στον πυρήνα της προστασίας δεδομένων, ήτοι το άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων (13).
1.1.   Ορισμοί: ας ξεκαθαρίσουμε τι θεωρούνται προσωπικές πληροφορίες
Τα φυσικά πρόσωπα πρέπει να είναι σε θέση να ασκούν πιο αποτελεσματικά τα δικαιώματά τους αναφορικά με οποιαδήποτε δεδομένα που επιτρέπουν την εξακρίβωση της ταυτότητάς τους ή τον εντοπισμό τους, ακόμη και εάν τα εν λόγω δεδομένα θεωρούνται «ψευδώνυμα» (14).
1.2.   Κάθε επεξεργασία δεδομένων πρέπει να είναι ταυτόχρονα σύννομη και αιτιολογημένη
Οι απαιτήσεις για τη διεξαγωγή κάθε επεξεργασίας δεδομένων αποκλειστικά για καθορισμένους σκοπούς και με νόμιμο τρόπο έχουν σωρευτικό και όχι εναλλακτικό χαρακτήρα. Στο πλαίσιο αυτό, συνιστούμε την αποφυγή οποιουδήποτε στοιχείου συγκερασμού και, κατά συνέπεια, υποβάθμισης αυτών των αρχών. Αντιθέτως, η ΕΕ θα πρέπει να διατηρήσει, να απλοποιήσει και να εφαρμόσει στην πράξη την πάγια άποψη ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει να χρησιμοποιούνται αποκλειστικά κατά τρόπους συμβατούς με τους αρχικούς σκοπούς για τους οποίους συλλέχθηκαν (15).
Η συγκατάθεση αποτελεί μία πιθανή νομική βάση για την επεξεργασία, θα πρέπει ωστόσο να αποφευχθεί η χρήση τετραγωνιδίων προς σημείωση με καταναγκαστικό χαρακτήρα, όταν δεν υπάρχει ουσιαστικό περιθώριο επιλογής για το φυσικό πρόσωπο και όταν δεν συντρέχει καμία ανάγκη επεξεργασίας δεδομένων. Συνιστούμε να δοθεί στα άτομα η δυνατότητα να παρέχουν ευρεία ή περιορισμένη συγκατάθεση, παραδείγματος χάριν στο πλαίσιο κλινικών ερευνών, η οποία γίνεται σεβαστή και μπορεί να αποσύρεται (16).
Ο ΕΕΠΔ υποστηρίζει αξιόπιστες, καινοτόμες λύσεις για τις διεθνείς διαβιβάσεις προσωπικών πληροφοριών που διευκολύνουν την ανταλλαγή δεδομένων και σέβονται τις αρχές προστασίας δεδομένων και εποπτείας. Συνιστούμε θερμά αφενός να μην παρέχεται δυνατότητα πραγματοποίησης διαβιβάσεων για τους σκοπούς των έννομων συμφερόντων του υπευθύνου επεξεργασίας λόγω της ανεπαρκούς προστασίας των φυσικών προσώπων και, αφετέρου, η ΕΕ να μην επιτρέπει στις αρχές τρίτων χωρών να αποκτούν άμεση πρόσβαση σε δεδομένα που βρίσκονται στην ΕΕ. Κάθε αίτημα για διαβίβαση που υποβάλλεται από αρχές τρίτης χώρας θα πρέπει να αναγνωρίζεται μόνο εφόσον σέβεται τους κανόνες που ορίζονται σε συμφωνίες περί αμοιβαίας νομικής συνδρομής, διεθνείς συμφωνίες ή άλλους νομικούς διαύλους διεθνούς συνεργασίας (17).
1.3.   Πιο ανεξάρτητη, πιο αξιόπιστη εποπτεία
Οι αρχές προστασίας δεδομένων της ΕΕ πρέπει να είναι έτοιμες να ασκήσουν τα καθήκοντά τους κατά τον χρόνο έναρξης ισχύος του γενικού κανονισμού για την προστασία δεδομένων και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να βρίσκεται σε πλήρη λειτουργία αμέσως μόλις ο κανονισμός τεθεί σε εφαρμογή (18).
Οι αρχές πρέπει να είναι σε θέση να εξετάζουν και να διερευνούν καταγγελίες και απαιτήσεις που υποβάλλονται από πρόσωπα στα οποία αναφέρονται τα δεδομένα ή από φορείς, οργανισμούς και οργανώσεις.
Η επιβολή των ατομικών δικαιωμάτων προϋποθέτει την ύπαρξη ενός αποτελεσματικού συστήματος ευθύνης και αποζημίωσης για ζημίες που προκαλούνται ως αποτέλεσμα παράνομης πράξης επεξεργασίας δεδομένων. Λόγω των σαφών εμποδίων στην εξασφάλιση επανόρθωσης στην πράξη, τα άτομα πρέπει να έχουν τη δυνατότητα να εκπροσωπούνται από φορείς, οργανισμούς και οργανώσεις σε νομικές διαδικασίες (19).
2.   Κανόνες που θα εφαρμοστούν στην πράξη
Οι εγγυήσεις δεν πρέπει να συγχέονται με τις διατυπώσεις. Οι υπερβολικές λεπτομέρειες ή οι απόπειρες μικροδιαχείρισης επιχειρηματικών διαδικασιών κινδυνεύουν να καταστούν παρωχημένες στο μέλλον. Στο σημείο αυτό θα μπορούσαμε να έχουμε ως υπόδειγμα το εγχειρίδιο ανταγωνισμού της ΕΕ, όπου ένας σχετικά περιορισμένος όγκος παράγωγου δικαίου εφαρμόζεται αυστηρά και προάγει ένα πνεύμα λογοδοσίας και ευαισθητοποίησης μεταξύ των επιχειρήσεων (20).
Καθένα από τα τρία κείμενα απαιτεί μεγαλύτερη σαφήνεια και απλότητα από πλευράς υπευθύνων για την επεξεργασία προσωπικών πληροφοριών (21). Στο ίδιο πνεύμα, οι τεχνικές υποχρεώσεις πρέπει επίσης να είναι συνεκτικές και εύληπτες προκειμένου να εφαρμόζονται ορθά από τους υπευθύνους επεξεργασίας (22).
Οι υφιστάμενες διαδικασίες δεν είναι ιερές και απαραβίαστες: οι συστάσεις μας αποσκοπούν στην εξεύρεση τρόπων μείωσης της γραφειοκρατίας και ελαχιστοποίησης των προδιαγραφών τεκμηρίωσης και των αλυσιτελών διατυπώσεων. Στο πλαίσιο αυτό, συνιστούμε τη θέσπιση νομοθεσίας μόνο εφόσον είναι πραγματικά απαραίτητο. Με αυτόν τον τρόπο παρέχονται περιθώρια ελιγμών στις εταιρείες, τις δημόσιες αρχές και τις αρχές προστασίας δεδομένων: περιθώρια που πρέπει να καλυφθούν από τη λογοδοσία και την παροχή καθοδήγησης από τις αρχές προστασίας δεδομένων. Συνολικά, βάσει των συστάσεών μας προκύπτει ένα κείμενο για τον γενικό κανονισμό για την προστασία δεδομένων σχεδόν 30 % μικρότερο σε σχέση με τη μέση έκταση των κειμένων των τριών θεσμικών οργάνων (23).
2.1.   Αποτελεσματικές εγγυήσεις, όχι διαδικασίες
Η τεκμηρίωση πρέπει να αποτελεί το μέσο και όχι τον σκοπό της συμμόρφωσης· η μεταρρύθμιση πρέπει να επικεντρωθεί στα αποτελέσματα. Συνιστούμε την υιοθέτηση μιας ευέλικτης προσέγγισης που περιορίζει τις υποχρεώσεις τεκμηρίωσης για τους υπευθύνους επεξεργασίας σε μια ενιαία πολιτική σχετικά με τους τρόπους συμμόρφωσης προς τον κανονισμό με γνώμονα τους σχετικούς κινδύνους, όπου η συμμόρφωση θα αποδεικνύεται με διαφανή τρόπο είτε αφορά διαβιβάσεις, συμβάσεις με τους εκτελούντες την επεξεργασία ή κοινοποιήσεις παραβιάσεων (24).
Επί τη βάσει σαφών κριτηρίων αξιολόγησης κινδύνων, καθώς και της εμπειρίας μας στην εποπτεία των θεσμικών οργάνων της ΕΕ, συνιστούμε η κοινοποίηση παραβίασης δεδομένων στην αρχή ελέγχου και οι εκτιμήσεις επιπτώσεων σχετικά με την προστασία των δεδομένων να απαιτούνται μόνο εφόσον διακυβεύονται τα δικαιώματα και οι ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα (25).
Οι πρωτοβουλίες του κλάδου, είτε μέσω δεσμευτικών εταιρικών κανόνων είτε μέσω σφραγίδων για την προστασία της ιδιωτικής ζωής, θα πρέπει να ενθαρρύνονται ενεργά (26).
2.2.   Καλύτερη ισορροπία μεταξύ του δημοσίου συμφέροντος και της προστασίας δεδομένων προσωπικού χαρακτήρα
Οι κανόνες προστασίας δεδομένων δεν πρέπει να παρεμποδίζουν τη διεξαγωγή ιστορικών, στατιστικών και επιστημονικών ερευνών που εξυπηρετούν πραγματικά το δημόσιο συμφέρον. Οι εκάστοτε αρμόδιοι οφείλουν να λαμβάνουν τα αναγκαία μέτρα προκειμένου να αποφεύγεται η χρήση προσωπικών πληροφοριών σε βάρος των συμφερόντων των φυσικών προσώπων, δίδοντας για παράδειγμα ιδιαίτερη προσοχή στους κανόνες που διέπουν ευαίσθητες πληροφορίες αναφορικά με την υγεία (27).
Οι ερευνητές και οι υπεύθυνοι αρχείων θα πρέπει να είναι σε θέση να αποθηκεύουν δεδομένα για όσο χρονικό διάστημα απαιτείται με την επιφύλαξη των εν λόγω εγγυήσεων (28).
2.3.   Ενίσχυση του ρόλου και της εμπιστοσύνης προς τις αρχές ελέγχου
Συνιστούμε να δοθεί στις αρχές ελέγχου η δυνατότητα να παρέχουν καθοδήγηση προς τους υπευθύνους επεξεργασίας δεδομένων και να θεσπίζουν τους δικούς τους εσωτερικούς κανονισμούς υπό το πνεύμα μιας απλοποιημένης, ευκολότερης εφαρμογής του γενικού κανονισμού για την προστασία δεδομένων από μία ενιαία αρχή ελέγχου («υπηρεσία μίας στάσης») που θα βρίσκεται κοντά στον πολίτη («εγγύτητα») (29).
Οι αρχές θα πρέπει να μπορούν να καθορίζουν αποτελεσματικές, αναλογικές και αποτρεπτικές διορθωτικές και διοικητικές κυρώσεις με βάση όλες τις σχετικές περιστάσεις (30).
3.   Κανόνες που θα διαρκέσουν για μια ολόκληρη γενιά
Ο βασικός πυλώνας του υφιστάμενου πλαισίου, η οδηγία 95/46/ΕΚ, αποτέλεσε πρότυπο για τη θέσπιση περαιτέρω νομοθεσίας για την προστασία δεδομένων στην ΕΕ και σε ολόκληρο τον κόσμο, παρέχοντας μάλιστα τη βάση για τη διατύπωση του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα στο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων. Η παρούσα μεταρρύθμιση καλείται να διαμορφώσει το περιβάλλον της επεξεργασίας δεδομένων για μια γενιά που δεν έχει μνήμες από την προ διαδικτύου εποχή. Η ΕΕ πρέπει, συνεπώς, να κατανοήσει πλήρως τις προεκτάσεις του συγκεκριμένου εγχειρήματος για τα φυσικά πρόσωπα, αλλά και της βιωσιμότητάς του ενόψει των τεχνολογικών εξελίξεων.
Τα τελευταία χρόνια παρατηρήθηκε εκθετική αύξηση της δημιουργίας, συλλογής, ανάλυσης και ανταλλαγής προσωπικών πληροφοριών, ως αποτέλεσμα τεχνολογικών καινοτομιών όπως το Διαδίκτυο των Πραγμάτων, το υπολογιστικό νέφος, τα μαζικά δεδομένα και τα ανοικτά δεδομένα, η αξιοποίηση των οποίων θεωρείται καθοριστική για την ανταγωνιστικότητα της ΕΕ (31). Κρίνοντας από τη μακροβιότητα της οδηγίας 95/46/ΕΚ, είναι λογικό να αναμένεται ένα παρόμοιο χρονικό πλαίσιο πριν από την επόμενη μεγάλη αναθεώρηση των κανόνων προστασίας δεδομένων, ενδεχομένως όχι νωρίτερα από τα τέλη της δεκαετίας του 2030. Πολύ πριν από την ημερομηνία αυτή, οι τεχνολογίες με βάση τα δεδομένα αναμένεται να έχουν συγκλίνει με την τεχνητή νοημοσύνη, την επεξεργασία φυσικών γλωσσών και τα βιομετρικά συστήματα, επιτρέποντας εφαρμογές με ικανότητα εκμάθησης των μηχανών για προηγμένη νοημοσύνη.
Οι τεχνολογίες αυτές θέτουν υπό αμφισβήτηση τις αρχές της προστασίας των δεδομένων. Ως εκ τούτου, μια προσανατολισμένη στο μέλλον μεταρρύθμιση πρέπει να εδράζεται στην αξιοπρέπεια του ατόμου και τη δεοντολογία. Πρέπει να αποκαταστήσει την ισορροπία μεταξύ της καινοτομίας στην προστασία δεδομένων προσωπικού χαρακτήρα και της αξιοποίησής της, καθιστώντας τις εγγυήσεις αποτελεσματικές στη σύγχρονη ψηφιακή κοινωνία.
3.1.   Υπεύθυνες επιχειρηματικές πρακτικές και καινοτόμος μηχανικός σχεδιασμός
Η μεταρρύθμιση θα πρέπει να αναστρέψει την πρόσφατη τάση προς τη μυστική παρακολούθηση και τη λήψη αποφάσεων βάσει προφίλ που αποκρύπτονται από τα φυσικά πρόσωπα. Το πρόβλημα δεν συνίσταται στη στοχευμένη διαφήμιση ή στην πρακτική της κατάρτισης προφίλ, αλλά στην έλλειψη χρήσιμων πληροφοριών σχετικά με την αλγοριθμική λογική βάσει της οποίας καταρτίζονται τα εν λόγω προφίλ και η οποία έχει συνέπειες στα πρόσωπα στα οποία αναφέρονται τα δεδομένα (32). Στο πλαίσιο αυτό, συνιστούμε πληρέστερη διαφάνεια από πλευράς υπευθύνων επεξεργασίας.
Υποστηρίζουμε σθεναρά τη θέσπιση των αρχών της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού ως μέσου δρομολόγησης λύσεων που υπαγορεύονται από την αγορά στο περιβάλλον της ψηφιακής οικονομίας. Συνιστούμε απλούστερη διατύπωση για την υποχρέωση ενσωμάτωσης των δικαιωμάτων και των συμφερόντων των φυσικών προσώπων στην ανάπτυξη προϊόντων και τις προεπιλεγμένες ρυθμίσεις (33).
3.2.   Περισσότερες δυνατότητες και εξουσίες για τα φυσικά πρόσωπα
Στο ψηφιακό περιβάλλον, η φορητότητα των δεδομένων αποτελεί το μέσο για την ανάκτηση του ελέγχου των χρηστών, ενός ελέγχου που τα φυσικά πρόσωπα αρχίζουν πλέον να συνειδητοποιούν ότι έχουν χάσει. Συνιστούμε να επιτρέπεται η άμεση μεταφορά δεδομένων από έναν υπεύθυνο επεξεργασίας σε άλλον, κατόπιν αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα, και να παρέχεται το δικαίωμα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα να λαμβάνει αντίγραφο των δεδομένων που μπορεί να μεταφέρει σε άλλον υπεύθυνο επεξεργασίας (34).
3.3.   Κανόνες που αντέχουν στον χρόνο
Συνιστούμε την αποφυγή διατυπώσεων και πρακτικών που ενδέχεται να καταστούν παρωχημένες ή να τεθούν υπό αμφισβήτηση (35).
4.   Ανολοκλήρωτο έργο
Η θέσπιση μιας προσανατολισμένης στο μέλλον δέσμης μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων στην ΕΕ αναμένεται να αποτελέσει ένα εντυπωσιακό μεν, ατελές δε επίτευγμα.
Όλα τα θεσμικά όργανα συμφωνούν ότι οι αρχές του γενικού κανονισμού για την προστασία δεδομένων πρέπει να εφαρμόζονται με συνεκτικό τρόπο στα θεσμικά όργανα της ΕΕ. Τασσόμαστε υπέρ της ασφάλειας δικαίου και της ομοιομορφίας του νομικού πλαισίου, αποδεχόμενοι παράλληλα τον μοναδικό χαρακτήρα του δημόσιου τομέα της ΕΕ και την ανάγκη αποφυγής οποιασδήποτε μορφής εξασθένησης του υφιστάμενου επιπέδου υποχρεώσεων (καθώς και την ανάγκη καθορισμού της νομικής και οργανωτικής βάσης για τον ΕΕΠΔ). Κατά συνέπεια, η Επιτροπή θα πρέπει να υποβάλλει πρόταση, η οποία θα συνάδει με τον γενικό κανονισμό για την προστασία δεδομένων, με στόχο την αναθεώρηση του κανονισμού (ΕΚ) αριθ. 45/2001 το ταχύτερο δυνατό μετά το πέρας των συνομιλιών σχετικά με τον γενικό κανονισμό για την προστασία δεδομένων, ούτως ώστε τα δύο κείμενα να τεθούν ταυτόχρονα σε εφαρμογή (36).
Κατά δεύτερον, είναι σαφές ότι η οδηγία 2002/58/ΕΚ («οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες») θα πρέπει να τροποποιηθεί. Το σημαντικότερο όμως είναι ότι η ΕΕ χρειάζεται ένα σαφές πλαίσιο για το απόρρητο των επικοινωνιών, που αποτελεί αναπόσπαστο στοιχείο του δικαιώματος στην ιδιωτική ζωή, το οποίο θα διέπει όλες τις υπηρεσίες που επιτρέπουν τις επικοινωνίες και όχι μόνο τους φορείς παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών. Τούτο πρέπει να εξασφαλιστεί μέσω ενός κανονισμού εναρμόνισης που χαρακτηρίζεται από ασφάλεια δικαίου και προβλέπει τουλάχιστον τα ίδια πρότυπα προστασίας με την οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες με ισότιμους όρους.
Ως εκ τούτου, η παρούσα γνωμοδότηση συνιστά να απαιτηθεί η ανάληψη δέσμευσης για ταχεία έγκριση προτάσεων σε αυτούς τους δύο τομείς.
5.   Μια καθοριστική στιγμή για τα ψηφιακά δικαιώματα στην Ευρώπη και ευρύτερα
Για πρώτη φορά μέσα σε μία γενιά, η ΕΕ έχει την ευκαιρία να εκσυγχρονίσει και να εναρμονίσει τους κανόνες που διέπουν τον τρόπο χειρισμού των προσωπικών πληροφοριών. Η ιδιωτική ζωή και η προστασία των δεδομένων δεν βρίσκονται σε ανταγωνισμό με την οικονομική ανάπτυξη και το διεθνές εμπόριο, ούτε με την παροχή υπηρεσιών και προϊόντων εξαιρετικής ποιότητας —τουναντίον αποτελούν μέρος της ποιότητας και της πρότασης αξίας. Όπως αναγνωρίζει το Ευρωπαϊκό Συμβούλιο, η εμπιστοσύνη αποτελεί αναγκαία προϋπόθεση για την ανάπτυξη καινοτόμων προϊόντων και υπηρεσιών που βασίζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Το 1995 η ΕΕ πρωτοστάτησε στον τομέα της προστασίας των δεδομένων. Σήμερα περισσότερες από 100 χώρες σε ολόκληρο τον κόσμο έχουν θεσπίσει νομοθεσία για την προστασία δεδομένων, ενώ λιγότερες από τις μισές εξ αυτών είναι ευρωπαϊκές (37). Εντούτοις, η ΕΕ εξακολουθεί να συγκεντρώνει την προσοχή και το ενδιαφέρον των χωρών που εξετάζουν το ενδεχόμενο θέσπισης ή αναθεώρησης των νομικών τους πλαισίων. Σε μια εποχή όπου η εμπιστοσύνη των πολιτών στις εταιρείες και το κράτος έχει κλονιστεί υπό το βάρος των αποκαλύψεων περί μαζικής παρακολούθησης και παραβιάσεων δεδομένων, το γεγονός αυτό συνεπάγεται σημαντική ευθύνη για τους νομοθέτες της ΕΕ, οι φετινές αποφάσεις των οποίων αναμένεται να έχουν αντίκτυπο πέραν των ορίων της Ευρώπης.
Κατά την άποψη του ΕΕΠΔ, τα κείμενα του γενικού κανονισμού για την προστασία δεδομένων βρίσκονται σε σωστή τροχιά, ωστόσο οι ανησυχίες παραμένουν και ορισμένες μάλιστα είναι πολύ σοβαρές. Στο πλαίσιο της διαδικασίας συναπόφασης, ελλοχεύει πάντα ο κίνδυνος ορισμένες διατάξεις να αποδυναμωθούν από τους καλοπροαίρετους διαπραγματευτές στην προσπάθεια επίτευξης πολιτικού συμβιβασμού. Ωστόσο, η μεταρρύθμιση της προστασίας δεδομένων διαφέρει, καθώς αφορά τα θεμελιώδη δικαιώματα και τον τρόπο διαφύλαξής τους για μια ολόκληρη γενιά.
Στη βάση αυτή, η παρούσα γνωμοδότηση επιδιώκει να συνδράμει το έργο των βασικών θεσμικών οργάνων της ΕΕ για την επίλυση προβλημάτων. Δεν επιζητούμε απλώς ισχυρότερα δικαιώματα για τα φυσικά πρόσωπα στα οποία αναφέρονται τα δεδομένα και μεγαλύτερη λογοδοσία για τους υπευθύνους επεξεργασίας· στόχος μας είναι η διευκόλυνση της καινοτομίας μέσω της θέσπισης ενός νομικού πλαισίου που είναι ουδέτερο απέναντι στην τεχνολογία αλλά θετικό απέναντι στα οφέλη που μπορεί να προσφέρει η τεχνολογία στην κοινωνία.
Με τις διαπραγματεύσεις να βρίσκονται στην τελική ευθεία, ευελπιστούμε ότι οι συστάσεις μας θα συμβάλουν ώστε η ΕΕ να φτάσει στο τέρμα έχοντας στα χέρια της μια μεταρρύθμιση που θα συνεχίσει να ανταποκρίνεται στον σκοπό της μέσα στα επόμενα χρόνια και τις επόμενες δεκαετίες: ένα νέο κεφάλαιο στην ιστορία της προστασίας δεδομένων, με οικουμενική διάσταση και την ΕΕ να ανοίγει το δρόμο με το παράδειγμά της.
Βρυξέλλες, 27 Ιουλίου 2015.
Giovanni BUTTARELLI
Ευρωπαίος Επόπτης Προστασίας Δεδομένων

(1)  Κοινές δηλώσεις, Ευρωπαϊκό Κοινοβούλιο, Συμβούλιο, Επιτροπή, Κοινή δήλωση σχετικά με την εφαρμογή στην πράξη της διαδικασίας συναπόφασης (άρθρο 251 της Συνθήκης ΕΚ) (2007/C 145/02), ΕΕ C 145 της 30.6.2007.
(2)  COM(2012)11 final· Νομοθετικό ψήφισμα του Ευρωπαϊκού Κοινοβουλίου της 12ης Μαρτίου 2014 σχετικά με την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία δεδομένων), P7_TA(2014)0212· Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία δεδομένων) - Ετοιμασία γενικής προσέγγισης, έγγραφο Συμβουλίου 9565/15, 11.6.2015.
(3)  Ο πλήρης τίτλος είναι Πρόταση οδηγία για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, COM(2012)10 final· Νομοθετικό ψήφισμα του Ευρωπαϊκού Κοινοβουλίου της 12ης Μαρτίου 2014 σχετικά με την πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου που αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, P7_TA(2014)0219. Σχετικά με το χρονοδιάγραμμα και το πεδίο του τριμερούς διαλόγου, βλ. Συμπεράσματα του Ευρωπαϊκού Συμβουλίου στις 25-26 Ιουνίου 2015, EUCO 22/15· ο «οδικός χάρτης» για τον τριμερή διάλογο καθορίστηκε στο πλαίσιο κοινής συνέντευξης Τύπου του Κοινοβουλίου, του Συμβουλίου και της Επιτροπής http://audiovisual.europarl.europa.eu/AssetDetail.aspx?id=690e8d8d-682d-4755-bfb6-a4c100eda4ed [τελευταία πρόσβαση: 20.7.2015] αλλά δεν έχει ακόμη δημοσιευτεί επισήμως. Ο γενικός κανονισμός για την προστασία δεδομένων θα αρχίσει να ισχύει 20 ημέρες μετά τη δημοσίευσή του στην Επίσημη Εφημερίδα και αναμένεται να τεθεί σε πλήρη εφαρμογή δύο έτη μετά την ημερομηνία έναρξης ισχύος (άρθρο 91).
(4)  Προκήρυξη κενής θέσης Ευρωπαίου Επόπτη Προστασίας Δεδομένων COM/2014/10354 (2014/C 163 A/02), ΕΕ C 163 A/6 της 28.5.2014. Η Στρατηγική του ΕΕΠΔ για την περίοδο 2015-2019 δεσμεύεται για την «αναζήτηση εφαρμόσιμων λύσεων με γνώμονα την αποφυγή της γραφειοκρατίας, τη διατήρηση της ευελιξίας σε επίπεδο τεχνολογικής καινοτομίας και διασυνοριακών ροών δεδομένων και τη διευκόλυνση της αποτελεσματικότερης άσκησης των δικαιωμάτων των φυσικών προσώπων επιγραμμικά και μη»· «Leading by example: The EDPS Strategy 2015-2019» (Δίνοντας το παράδειγμα: Η στρατηγική του ΕΕΠΔ 2015-2019), Μάρτιος 2015.
(5)  Γνωμοδότηση του ΕΕΠΔ επί της δέσμης μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων, 7.3.2015.
(6)  Βλ. παράρτημα στην επιστολή της ομάδας του άρθρου 29 προς τη Vĕra Jourová, Επίτροπο Δικαιοσύνης, Καταναλωτών και Ισότητας των Φύλων, 17.6.2015.
(7)  Το καθ' ύλην και το γεωγραφικό πεδίο εφαρμογής του γενικού κανονισμού για την προστασία δεδομένων είναι δύσκολο να συνοψιστεί. Τα όργανα φαίνεται να συμφωνούν, τουλάχιστον, ότι το πεδίο εφαρμογής καλύπτει τους εγκατεστημένους στην ΕΕ φορείς που είναι υπεύθυνοι για την επεξεργασία δεδομένων προσωπικού χαρακτήρα εντός ή εκτός ΕΕ και τους εγκατεστημένους εκτός ΕΕ φορείς που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα φυσικών προσώπων στην ΕΕ στο πλαίσιο της προσφοράς αγαθών ή υπηρεσιών ή της παρακολούθησης φυσικών προσώπων στην ΕΕ. (Βλ. άρθρο 2 σχετικά με το καθ' ύλην πεδίο εφαρμογής και άρθρο 3 σχετικά με το γεωγραφικό πεδίο εφαρμογής.)
(8)  Στα υπόλοιπα αποτελέσματα της έρευνας περιλαμβάνονται τα εξής: επτά στους δέκα εκφράζουν ανησυχίες σχετικά το γεγονός ότι οι πληροφορίες τους μπορεί να χρησιμοποιούνται για διαφορετικό σκοπό από αυτόν για τον οποίο συλλέχθηκαν, ένας στους επτά αναφέρει ότι πρέπει να ζητείται η ρητή συγκατάθεσή του σε κάθε περίπτωση πριν από τη συλλογή και την επεξεργασία των δεδομένων του, ενώ τα δύο τρίτα θεωρούν σημαντική τη δυνατότητα μεταφοράς προσωπικών πληροφοριών από έναν πάροχο υπηρεσιών σε άλλον· Ειδικό Ευρωβαρόμετρο 431 για την προστασία προσωπικών δεδομένων, Ιούνιος 2015. Συγκρίσιμα αποτελέσματα από έρευνα του Pew Research που διεξήχθη το 2014 καταδεικνύουν ότι το 91 % των Αμερικανών αισθάνονται ότι έχουν χάσει τον έλεγχο όσον αφορά τον τρόπο με τον οποίο οι εταιρείες συλλέγουν και χρησιμοποιούν τις προσωπικές τους πληροφορίες, το 80 % των χρηστών μέσων κοινωνικής δικτύωσης ανησυχούν για το ενδεχόμενο απόκτησης των δεδομένων τους από τρίτους, όπως διαφημιστικές εταιρείες ή επιχειρήσεις και το 64 % αναφέρει ότι το κράτος πρέπει να λάβει επιπλέον μέτρα για την ενίσχυση του ρυθμιστικού πλαισίου που διέπει τις διαφημιστικές εταιρείες· Pew Research Privacy Panel Survel, Ιανουάριος 2014.
(9)  Η Επιτροπή προτείνει τη σφαιρική μεταρρύθμιση των κανόνων περί προστασίας δεδομένων με σκοπό την αύξηση του ελέγχου που οι χρήστες ασκούν επί των δεδομένων τους και τη μείωση των εξόδων για τις επιχειρήσεις
(10)  Επιστολή ΜΚΟ προς τον Πρόεδρο Juncker, 21.4.2015 https://edri.org/files/DP_letter_Juncker_20150421.pdf και απάντηση του προϊσταμένου του ιδιαίτερου γραφείου του Αντιπροέδρου Timmermans, 17.7.2015 https://edri.org/files/eudatap/Re_EC_EDRi-GDPR.pdf [πρόσβαση στις 23.7.2015]. Τον Μάιο του 2015, ο ΕΕΠΔ είχε συναντήσεις με εκπροσώπους αρκετών εξ αυτών των ΜΚΟ προκειμένου να συζητήσουν τους προβληματισμούς τους· ΔΕΛΤΙΟ ΤΥΠΟΥ EDPS/2015/04, 1.6.2015, «EU Data Protection Reform: the EDPS meets international civil liberties groups» (Μεταρρύθμιση της προστασίας δεδομένων στην ΕΕ: ο ΕΕΠΔ συναντάται με διεθνείς ομάδες πολιτικών ελευθεριών)· η πλήρης ηχογράφηση των συζητήσεων είναι διαθέσιμη στον δικτυακό τόπο του ΕΕΠΔ (https://secure.edps.europa.eu/EDPSWEB/edps/EDPS/Pressnews/Videos/GDPR_civil_soc).
(11)  Άρθρο 2 παράγραφος 2 στοιχείο ε).
(12)  Άρθρο 1.
(13)  Το άρθρο 8 του Χάρτη έχει ως εξής [η υπογράμμιση δική μας]:
1.
Κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
2.
Η επεξεργασία αυτών των δεδομένων πρέπει να γίνεται νομίμως, για καθορισμένους σκοπούς και με βάση τη συγκατάθεση του ενδιαφερομένου ή για άλλους θεμιτούς λόγους που προβλέπονται από το νόμο. Κάθε πρόσωπο δικαιούται να έχει πρόσβαση στα συλλεγέντα δεδομένα που το αφορούν και να επιτυγχάνει τη διόρθωσή τους.
3.
Ο σεβασμός των κανόνων αυτών υπόκειται στον έλεγχο ανεξάρτητης αρχής.
(14)  Άρθρο 10. Εκτός εάν, και μέχρις ότου, υπάρξει σαφής και νομικά δεσμευτικός ορισμός για τα «ψευδώνυμα δεδομένα» σε αντιδιαστολή προς τα «δεδομένα προσωπικού χαρακτήρα», ο συγκεκριμένος τύπος δεδομένων πρέπει να παραμείνει εντός του πεδίου εφαρμογής των κανόνων προστασίας δεδομένων.
(15)  Άρθρο 6 παράγραφος 2 και άρθρο 6 παράγραφος 4. Δεδομένου ότι διαπιστώθηκε κάποια αβεβαιότητα ως προς την έννοια της «συμβατότητας», συνιστούμε, σε συνέχεια της γνώμης της ομάδας του άρθρου 29 για τον περιορισμό του σκοπού, τη θέσπιση γενικών κριτηρίων προκειμένου να αξιολογείται εάν η επεξεργασία είναι συμβατή (βλ. άρθρο 5 παράγραφος 2).
(16)  Ο αποτελεσματικός λειτουργικός διαχωρισμός αποτελεί ένα μέσο για τη διασφάλιση της νομιμότητας της επεξεργασίας ελλείψει συγκατάθεσης, ωστόσο το έννομο συμφέρον δεν πρέπει να αποτελεί αντικείμενο υπερβολικής ερμηνείας. Η παροχή του ανεπιφύλακτου δικαιώματος της εξαίρεσης (opt-out) μπορεί να αποτελέσει επίσης κατάλληλη εναλλακτική σε ορισμένες περιπτώσεις. Η αξιολόγηση του κατά πόσον η συγκατάθεση παρέχεται ελεύθερα εξαρτάται εν μέρει (α) από το εάν υπάρχει σημαντική ανισορροπία μεταξύ του προσώπου στο οποίο αναφέρονται τα δεδομένα και του υπευθύνου επεξεργασίας και (β) στις περιπτώσεις επεξεργασίας βάσει του άρθρου 6 παράγραφος 1 στοιχείο β), από το εάν η εκτέλεση σύμβασης ή η παροχή υπηρεσίας τελεί υπό την αίρεση της συγκατάθεσης σε επεξεργασία δεδομένων που δεν είναι απαραίτητη για τους εν λόγω σκοπούς. (Βλ. άρθρο 7 παράγραφος 4) Η διάταξη αυτή αντικατοπτρίζει τη διάταξη του δικαίου της ΕΕ για την προστασία των καταναλωτών, βάσει του άρθρου 3 παράγραφος 1 της οδηγίας 93/13/ΕΟΚ της 5 Απριλίου 1993 σχετικά με τις καταχρηστικές ρήτρες των συμβάσεων που συνάπτονται με καταναλωτές: «Ρήτρα σύμβασης που δεν απετέλεσε αντικείμενο ατομικής διαπραγμάτευσης, θεωρείται καταχρηστική όταν παρά την απαίτηση καλής πίστης, δημιουργεί εις βάρος του καταναλωτή σημαντική ανισορροπία ανάμεσα στα δικαιώματα και τις υποχρεώσεις των μερών, τα απορρέοντα από τη σύμβαση».
(17)  Οι εν λόγω κανόνες περιλαμβάνουν αποφάσεις περί επάρκειας για συγκεκριμένους τομείς και εδάφη, περιοδική επανεξέταση των αποφάσεων περί επάρκειας και δεσμευτικούς εταιρικούς κανόνες. Βλ. άρθρα 40-45.
(18)  Άρθρο 73.
(19)  Άρθρο 76. Σχετικά με τη δυσκολία εξασφάλισης επανόρθωσης για παραβιάσεις των κανόνων προστασίας δεδομένων, βλ. έκθεση του Οργανισμού Θεμελιωδών Δικαιωμάτων, Πρόσβαση στα μέσα έννομης προστασίας στον τομέα της προστασίας των δεδομένων στα κράτη μέλη της ΕΕ, 2013.
(20)  Οι κανόνες της ΕΕ δίδουν έμφαση στον παράγοντα της αυτοαξιολόγησης των εταιρειών όσον αφορά τη συμμόρφωση με την απαγόρευση αντιανταγωνιστικών συμφωνιών του άρθρου 101 της ΣΛΕΕ, ενώ οι εταιρείες που κατέχουν δεσπόζουσα θέση σε μια αγορά έχουν «ειδική ευθύνη» για την αποφυγή κάθε ενέργειας που ενδέχεται να επιφέρει στρέβλωση του αποτελεσματικού ανταγωνισμού (παράγραφος 9 των κατευθύνσεων της Επιτροπής 2009/C 45/02)· βλ. προκαταρκτική γνωμοδότηση του ΕΕΠΔ με θέμα «Ιδιωτική ζωή και ανταγωνιστικότητα στην εποχή των μαζικών δεδομένων», 14.3.2014.
(21)  Τα τρία κείμενα αναφέρονται ποικιλοτρόπως σε «κατανοητό τρόπο και σε κατανοητή μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση» (αιτιολογική σκέψη 57, ΕΚ· άρθρο 19, COM και Συμβούλιο), σε «σαφή και συγκεκριμένα» δικαιώματα (αιτιολογική σκέψη 99, ΕΚ· άρθρο 10α ΕΚ) και στην παροχή «σαφών και εύληπτων πληροφοριών» (άρθρο 10 ΕΚ, άρθρο 11 ΕΚ), καθώς και πληροφοριών που είναι «συνεκτικές, διαφανείς, σαφείς και εύκολα προσπελάσιμες» (αιτιολογικές σκέψεις 25, ΕΚ, COM και Συμβούλιο· άρθρο 11 ΕΚ).
(22)  Οι διατάξεις περί κατ' εξουσιοδότηση πράξεων αφαιρέθηκαν σε μεγάλο βαθμό από τις εκδόσεις του Κοινοβουλίου και του Συμβουλίου. Πιστεύουμε ότι η ΕΕ θα μπορούσε να προχωρήσει ακόμη περισσότερο και να αφήσει τα τεχνικά αυτά θέματα στην εμπειρογνωμοσύνη ανεξάρτητων αρχών.
(23)  Από τις συστάσεις μας προκύπτει ένα κείμενο περίπου 20 000 λέξεων· η μέση έκταση των κειμένων των τριών θεσμικών οργάνων ανέρχεται περίπου σε 28 000 λέξεις.
(24)  Άρθρο 22.
(25)  Άρθρα 31 και 33.
(26)  Άρθρο 39.
(27)  Άρθρο 83. Η έρευνα και η αρχειοθέτηση δεν παρέχουν από μόνες τους νομική βάση για επεξεργασία, γι' αυτό ακριβώς συνιστούμε τη διαγραφή του άρθρου 6 παράγραφος 2.
(28)  Άρθρο 83α.
(29)  Η ομάδα του άρθρου 29 σκιαγράφησε το όραμα για τη διακυβέρνηση, τον μηχανισμό συνεκτικότητας και την υπηρεσία μίας στάσης, το οποίο βασίζεται στην εμπιστοσύνη προς τις ανεξάρτητες ΑΠΔ και αναπτύσσεται σε τρία επίπεδα:
την επιμέρους ΑΠΔ η οποία διαθέτει την απαιτούμενη εξουσία και όλους τους πόρους για τον χειρισμό υποθέσεων που εμπίπτουν στην αρμοδιότητά της·
την αποτελεσματική συνεργασία μεταξύ των ΑΠΔ με σαφές προβάδισμα σε διασυνοριακές υποθέσεις·
το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, το οποίο πρέπει να αυτόνομο, να έχει νομική προσωπικότητα, να διαθέτει επαρκείς πόρους, απαρτιζόμενο από ισότιμες ΑΠΔ που εργάζονται σε πνεύμα αλληλεγγύης, με εξουσία λήψης δεσμευτικών αποφάσεων, και να επικουρείται από γραμματεία η οποία παρέχει στήριξη στο συμβούλιο μέσω του προέδρου.
(30)  Συνιστούμε επίσης την αποσαφήνιση της αρμοδιότητας των αρχών ελέγχου και τον καθορισμό επικεφαλής αρχής σε περιπτώσεις διακρατικών πράξεων επεξεργασίας, διατηρώντας παράλληλα την ικανότητα των αρχών ελέγχου να χειρίζονται αμιγώς τοπικές υποθέσεις. Συνιστούμε μια απλοποιημένη εκδοχή του μηχανισμού συνεκτικότητας με μεγαλύτερη σαφήνεια ως προς τον τρόπο προσδιορισμού των υποθέσεων στις οποίες οι αρχές ελέγχου θα πρέπει να ζητούν τη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και στις οποίες το Συμβούλιο θα πρέπει να εκδίδει δεσμευτική απόφαση για τη διασφάλιση της συνεκτικής εφαρμογής του κανονισμού.
(31)  Ανακοίνωση της Επιτροπής σχετικά με τη Στρατηγική για την ψηφιακή ενιαία αγορά της Ευρώπης, COM(2015) 192 final· Συμπεράσματα του Ευρωπαϊκού Συμβουλίου, Ιούνιος 2015, EUCO 22/15· Συμπεράσματα του Συμβουλίου για τον ψηφιακό μετασχηματισμό της ευρωπαϊκής βιομηχανίας, 8993/15.
(32)  Άρθρο 14 στοιχείο η).
(33)  Άρθρο 23.
(34)  Άρθρο 18. Συνιστούμε περαιτέρω το δικαίωμα στη φορητότητα των δεδομένων να έχει ευρύ πεδίο εφαρμογής ούτως ώστε να είναι αποτελεσματικό, και να μην εφαρμόζεται μόνο σε πράξεις επεξεργασίας που χρησιμοποιούν δεδομένα που παρέχει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.
(35)  Για παράδειγμα, συνιστούμε την αποφυγή όρων όπως «επιγραμμικός», «εγγράφως» και «κοινωνία της πληροφορίας».
(36)  Μία επιλογή, την οποία και προκρίνουμε, είναι να υπάρξει σχετική πρόβλεψη μέσω διάταξης στον ίδιο τον γενικό κανονισμό για την προστασία δεδομένων.
(37)  Greenleaf, Graham, Global Data Privacy Laws 2015: 109 Countries, with European Laws Now a Minority (30 Ιανουαρίου 2015)· (2015) 133 Privacy Laws & Business International Report, Φεβρουάριος 2015· UNSW Law Research Paper No. 2015-21.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Θα θέλαμε να σας ενημερώσουμε, αναφορικά με τα σχόλια που δημοσιεύονται ότι:
1) Δε θα δημοσιεύονται δυσφημιστικά και εξυβριστικά σχόλια
2) Δε θα δημοσιεύονται ΑΣΧΕΤΑ σχόλια σε ΑΣΧΕΤΕΣ αναρτήσεις
3) Δε θα δημοσιεύονται επαναλαμβανόμενα σχόλια στην ίδια ανάρτηση
4) Δε θα δημοσιεύονται σχόλια σε Greeklish


5) Σχόλια σε ενυπόγραφα άρθρα θα δημοσιεύονται μόνον εφόσον και αυτά είναι ενυπόγραφα.
6) Σχόλια σε ενυπόγραφο σχόλιο θα δημοσιεύονται μόνον εφόσον και αυτά είναι ενυπόγραφα.

7) ΤΑ ΣΧΟΛΙΑ ΔΗΜΟΣΙΕΥΟΝΤΑΙ ΜΟΝΟ ΣΤΙΣ ΑΝΑΡΤΗΣΕΙΣ ΠΟΥ ΥΠΑΡΧΕΙ ΣΧΕΤΙΚΗ ΕΠΙΣΗΜΑΝΣΗ "ΕΠΙΤΡΕΠΟΝΤΑΙ ΣΧΟΛΙΑ"


Η ΑΝΑΡΤΗΣΗ ΤΩΝ ΣΧΟΛΙΩΝ ΔΕ ΣΗΜΑΙΝΕΙ ΟΤΙ ΥΙΟΘΕΤΟΥΝΤΑΙ ΑΠΌ ΤΗ ΔΙΑΧΕΙΡΙΣΗ