| Σημαντική ανακοίνωση νομικού περιεχομένου | Important legal notice |
| | |
| | | | |
| 52007DC0228 | 52007DC0228 |
| | Communication from the Commission to the European Parliament and the Council on Promoting Data Protection by Privacy Enhancing Technologies (PETs) /* COM/2007/0228 final */ |
| | |
| | |
| | |
| | |
| | |
| | |
| [pic] | ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ | | [pic] | COMMISSION OF THE EUROPEAN COMMUNITIES | |
| Βρυξέλλες, 2.5.2007 | Brussels, 2.5.2007 |
| COM(2007) 228 τελικό | COM(2007) 228 final |
| ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΣΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΣΤΟ ΣΥΜΒΟΥΛΙΟ | COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL |
| Για την προώθηση της προστασίας των δεδομένων μέσω τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικότητας (ΤΒΙ) | on Promoting Data Protection by Privacy Enhancing Technologies (PETs) |
| ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΣΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΣΤΟ ΣΥΜΒΟΥΛΙΟ | COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL |
| Για την προώθηση της προστασίας των δεδομένων μέσω τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικότητας (ΤΒΙ) (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ) | on Promoting Data Protection by Privacy Enhancing Technologies (PETs) (Text with EEA relevance) |
| Εισαγωγη | 1. INTRODUCTION |
| Η εντατική και συνεχής ανάπτυξη των τεχνολογιών πληροφορίας και επικοινωνίας (ΤΠΕ) παρέχει διαρκώς νέες υπηρεσίες που βελτιώνουν τη ζωή των πολιτών. Σε μεγάλο βαθμό, η πρώτη ύλη για τη διάδραση στον κυβερνοχώρο είναι τα δεδομένα προσωπικού χαρακτήρα των ατόμων που κινούνται σε αυτό τον χώρο για να προβούν στην αγορά αγαθών και υπηρεσιών, να αποκτήσουν ή να διατηρήσουν επαφή με άλλους, ή να κοινοποιήσουν τις ιδέες τους μέσω του παγκόσμιου ιστού. Παράλληλα με τα οφέλη που δημιουργούνται από αυτές τις εξελίξεις, ανακύπτουν για το άτομο νέοι κίνδυνοι, όπως η υποκλοπή ταυτότητας, η καταχρηστική δημιουργία εικόνας, η συνεχής παρακολούθηση ή η απάτη. | The intensive and sustained development of information and communication technologies (ICT) is constantly offering new services which improve people's life. To a large extent, the raw material for interactions in cyberspace is the personal data of individuals moving around in it when they purchase goods and services, establish or maintain contact with others or communicate their ideas on the world wide web. Alongside the benefits brought about by these developments, new risks also arise for the individual, such as identity theft, discriminatory profiling, continuous surveillance or fraud. |
| Στο άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης αναγνωρίζεται το δικαίωμα της προστασίας των προσωπικών δεδομένων. Το θεμελιώδες αυτό δικαίωμα εκτίθεται εντός του ευρωπαϊκού νομοθετικού πλαισίου για την προστασία των δεδομένων προσωπικού χαρακτήρα που αποτελείται ειδικότερα από την Oδηγία για την Προστασία των Δεδομένων 95/46/ΕΚ[1] και την Οδηγία σχετικά με Προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών 2002/58/ΕΚ[2] καθώς και τον Κανονισμό (ΕΚ) 45/2001[3] για την Προστασία των δεδομένων που αφορά την επεξεργασία από κοινοτικά όργανα και οργανισμούς. Στην νομοθεσία αυτή θεσπίζονται ορισμένες ουσιαστικές διατάξεις που επιβάλλουν συγκεκριμένες υποχρεώσεις στους υπεύθυνους της επεξεργασίας δεδομένων και αναγνωρίζουν δικαιώματα των ενδιαφερομένων, προβλέπονται κυρώσεις και κατάλληλα μέτρα στην περίπτωση παραβάσεων, και καθιερώνονται μηχανισμοί εφαρμογής προκειμένου να καταστούν τα μέτρα αποτελεσματικά. | The Charter of Fundamental Rights of the European Union recognises in Article 8 the right to the protection of personal data. This fundamental right is set forth in a European legal framework on the protection of personal data consisting in particular of the Data Protection Directive 95/46/EC[1] and the ePrivacy Directive 2002/58/EC[2] as well as the Data Protection Regulation (EC) 45/2001[3] relating to processing by Community institution and bodies. This legislation lays down several substantive provisions imposing obligations on data controllers and recognizing rights of data subjects. It also prescribes sanctions and appropriate remedies in cases of breach and establishes enforcement mechanisms to make them effective. |
| Το σύστημα αυτό εντούτοις μπορεί να αποδειχτεί ανεπαρκές όταν δεδομένα προσωπικού χαρακτήρα διαδίδονται σε παγκόσμια κλίμακα μέσω των δικτύων ΤΠΕ και η επεξεργασία των δεδομένων εμπλέκεται με διάφορες δικαιοδοσίες, συχνά εκτός ΕΕ. Στις περιπτώσεις αυτές μπορεί να θεωρηθεί ότι εφαρμόζονται οι ισχύοντες κανόνες και ότι μπορούν να παράσχουν σαφή νομική λύση. Επί πλέον, μπορεί να προσδιοριστεί μια αρμόδια για την εφαρμογή των κανόνων αρχή. Εντούτοις, μπορεί να υπάρξουν σημαντικά πρακτικά εμπόδια ως αποτέλεσμα δυσχερειών που προκύπτουν από την χρησιμοποιούμενη τεχνολογία, η οποία συνεπάγεται την επεξεργασία δεδομένων από διάφορους παράγοντες σε διαφορετικούς τόπους, ενώ μπορούν να υπάρξουν και δυσκολίες εγγενείς με την εκτέλεση εθνικών διοικητικών και δικαστικών αποφάσεων σε άλλη δικαιοδοσία, ιδίως χωρών εκτός ΕΕ. | However, this system may prove insufficient when personal data is disseminated worldwide through ICT networks and the processing of data crosses several jurisdictions, often outside the EU. In such situations the current rules may be considered to apply and to provide a clear legal response. Furthermore, a competent authority to enforce the rules may also be identified. However, considerable practical obstacles may exist as a result of difficulties with the technology used involving data processing by different actors in different locations and there may be hurdles intrinsic to the enforcement of national administrative and court rulings in another jurisdiction, especially in non-EU countries. |
| Αν και υπό τη στενή έννοια, οι υπεύθυνοι της επεξεργασίας δεδομένων φέρουν τη νομική ευθύνη για τη συμμόρφωση προς τους κανόνες προστασίας δεδομένων, υπάρχουν και άλλοι που φέρουν κάποια ευθύνη για την προστασία των δεδομένων από κοινωνιακή ή δεοντολογική άποψη. Πρόκειται για αυτούς που σχεδιάζουν τις τεχνικές προδιαγραφές καθώς και εκείνους που αναπτύσσουν στην πράξη ή εκτελούν τις εφαρμογές ή χειρίζονται συστήματα. | Whilst strictly speaking data controllers bear the legal responsibility for complying with data protection rules, others also bear some responsibility for data protection from a societal and ethical point of view. These involve those who design technical specifications and those who actually build or implement applications or operating systems. |
| Το άρθρο 17 της Οδηγίας για την Προστασία των Δεδομένων ορίζει την υποχρέωση του υπεύθυνου της επεξεργασίας να λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα και να εξασφαλίζει επίπεδο ασφαλείας ανάλογο προς τη φύση των δεδομένων και τους κινδύνους της επεξεργασίας τους. Η χρησιμοποίηση τεχνολογίας για την προώθηση της τήρησης της νομοθεσίας, ειδικότερα όσον αφορά τους κανόνες προστασίας δεδομένων, προβλέπεται επίσης, μέχρι κάποιο βαθμό, στην Οδηγία σχετικά με Προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών[4]. | Article 17 of the Data Protection Directive lays down the data controller's obligation to implement appropriate technical and organisational measures and to ensure a level of security appropriate to the nature of the data and the risks of processing it. The use of technology to support the respect for legislation, in particular the data protection rules, is already envisaged to some extent in the ePrivacy Directive[4]. |
| Περαιτέρω μέτρα για την επίτευξη του στόχου του νομοθετικού πλαισίου, του οποίου σκοπός είναι η ελαχιστοποίηση της επεξεργασίας προσωπικών δεδομένων και η μη χρησιμοποίηση ανώνυμων ή ψευδώνυμων δεδομένων όπου αυτό είναι δυνατόν, μπορούν να ληφθούν μέσω των τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικότητας (ΤΒΙ) – κάτι που θα εξασφάλιζε ότι η παραβίαση των κανόνων προστασίας των δεδομένων και των δικαιωμάτων των προσώπων όχι μόνο είναι παράνομη και υπόκειται σε κυρώσεις αλλά επιπλέον τεχνικά δυσχερέστερη. | A further step to pursue the aim of the legal framework, whose objective is to minimise the processing of personal data and using anonymous or pseudonymous data where possible, could be supported by measures called Privacy Enhancing Technologies or PETs - that would facilitate ensuring that breaches of the data protection rules and violations of individual's rights are not only something forbidden and subject to sanctions, but technically more difficult. |
| Σκοπός της παρούσας ανακοίνωσης, που ακολουθεί την Πρώτη Έκθεση σχετικά με την εφαρμογή της Οδηγίας περί Προστασίας των Δεδομένων[5], είναι να εξετάσει τα πλεονεκτήματα των ΤΒΙ, να καθορίσει τους στόχους της Επιτροπής στον τομέα αυτό, να ενθαρρύνει τη χρήση αυτών των τεχνολογιών, και να προσδιορίσει σαφείς ενέργειες που πρέπει να πραγματοποιηθούν προς επίτευξη αυτού του στόχου, στηρίζοντας την ανάπτυξη των ΤΒΙ και τη χρησιμοποίησή τους από τους υπεύθυνους της επεξεργασίας δεδομένων και τους καταναλωτές. | The purpose of this Communication, which follows from the First Report on the implementation of the Data Protection Directive[5], is to consider the benefits of PETs, lay down the Commission's objectives in this field to promote these technologies, and set out clear actions to achieve this goal by supporting the development of PETs and their use by data controllers and consumers. |
| τι είναι οι ΤΒΙ; | 2. WHAT ARE PETS? |
| Στους επιστημονικούς κύκλους και τα πιλοτικά προγράμματα χρησιμοποιούνται διάφοροι ορισμοί για τις ΤΒΙ. Για παράδειγμα, σύμφωνα με το έργο PISA που χρηματοδοτείται από κοινοτικά κονδύλια, οι ΤΒΙ είναι ένα ολοκληρωμένο σύστημα μέτρων ΤΠΕ που προστατεύουν την ιδιωτικότητα εξαλείφοντας ή περιορίζοντας προσωπικά δεδομένα ή εμποδίζοντας την περιττή ή/και ανεπιθύμητη επεξεργασία προσωπικών δεδομένων, χωρίς ωστόσο να χάνεται η λειτουργικότητα του συστήματος πληροφοριών. Η χρήση των ΤΒΙ συμβάλλει στην ανάπτυξη συστημάτων και υπηρεσιών πληροφόρησης και επικοινωνίας κατά τρόπο που ελαχιστοποιεί τη συλλογή και τη χρησιμοποίηση προσωπικών δεδομένων και διευκολύνει τη συμμόρφωση προς τους κανόνες προστασίας των δεδομένων. Στην Πρώτη Έκθεση σχετικά με την εφαρμογή της Οδηγίας περί Προστασίας των Δεδομένων, η Επιτροπή θεωρεί ότι "…η χρήση των κατάλληλων τεχνολογικών μέτρων αποτελεί ουσιαστικό συμπλήρωμα στα νομικά μέσα και πρέπει να συνιστά αναπόσπαστο τμήμα κάθε προσπάθειας για την επίτευξη ικανοποιητικού επιπέδου προστασίας της ιδιωτικής ζωής …." Η χρήση των ΤΒΙ θα πρέπει να συμβάλει ώστε η παραβίαση ορισμένων κανόνων προστασίας δεδομένων να καταστεί δυσχερέστερη ή/και να είναι δυνατός ο εντοπισμός της. | There are a number of definitions of PETs used by the academic community and by pilot projects on this matter. For instance, according to the EC-funded PISA project, PET stands for a coherent system of ICT measures that protects privacy by eliminating or reducing personal data or by preventing unnecessary and/or undesired processing of personal data, all without losing the functionality of the information system. The use of PETs can help to design information and communication systems and services in a way that minimises the collection and use of personal data and facilitate compliance with data protection rules. The Commission in its First Report on the implementation of the Data Protection Directive considers that "…the use of appropriate technological measures is an essential complement to legal means and should be an integral part in any efforts to achieve a sufficient level of privacy protection…". The use of PETs should result in making breaches of certain data protection rules more difficult and/or helping to detect them. |
| Στο περιβάλλον των ΤΠΕ, ο βαθμός αποδοτικότητας των διαφόρων ΤΒΙ ως προς την προστασία των δεδομένων, συμπεριλαμβανόμενης της συμμόρφωσης προς τη νομοθεσία περί προστασίας των δεδομένων, ποικίλλει και μεταβάλλεται με τον καιρό. Οι ΤΒΙ μπορεί να είναι ανεξάρτητα εργαλεία που απαιτούν θετική δράση εκ μέρους των καταναλωτών (που πρέπει να τα αγοράσουν και να τα εγκαταστήσουν στον προσωπικό τους υπολογιστή) ή μπορεί να είναι ενσωματωμένες στο ίδιο το σύστημα πληροφόρησης. Εδώ μπορούν να αναφερθούν αρκετά παραδείγματα ΤΒΙ: | In the dynamic landscape of ICT, the effectiveness of different PETs to ensure the protection of privacy, including aspects of compliance with data protection law, is varied and changes over time. Their typology is also varied. They can be stand-alone tools requiring positive action by consumers (who must purchase and install them in their PCs) or be built into the very architecture of information systems. Several examples of PETs can be mentioned here: |
| - Αυτόματη ανωνυμοποίηση των δεδομένων, μετά την πάροδο κάποιου χρονικού διαστήματος, ενισχύει την αρχή ότι τα δεδομένα που τυγχάνουν επεξεργασίας θα πρέπει να διατηρούνται υπό μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που είναι αναγκαία για την επίτευξη των σκοπών για τους οποίους έχουν συλλεγεί. | - Automatic anonymisation of data, after a certain lapse of time, supports the principle that processed data should be kept in a form which permits identification of data subjects for no longer than necessary for the purposes for which the data were originally collected. |
| - Εργαλεία κρυπτογράφησης που παρεμποδίζουν την ηλεκτρονική πειρατεία κατά την μεταφορά της πληροφορίας μέσω του Διαδικτύου, στηρίζουν την υποχρέωση των υπευθύνων της επεξεργασίας δεδομένων να λαμβάνουν τα κατάλληλα μέτρα ώστε να προστατεύονται τα προσωπικά δεδομένα από αθέμιτη επεξεργασία. | - Encryption tools, preventing hacking when information is transmitted over the Internet, supports the data controller's obligation to take appropriate measures to protect personal data against unlawful processing. |
| - Μηχανισμοί αποκλεισμού "cookies" που παρεμποδίζουν "cookies" τοποθετημένα στον προσωπικό υπολογιστή του χρήστη να διενεργούν ορισμένες εντολές χωρίς να το γνωρίζει ο χρήστης, εντείνουν τη συμμόρφωση με την αρχή ότι η επεξεργασία δεδομένων πρέπει να γίνεται κατά τρόπο θεμιτό και νόμιμο και ότι τα υποκείμενα των δεδομένων πρέπει να είναι ενήμερα για την εξέλιξη της επεξεργασίας. | - Cookie-cutters, that block cookies placed on the user's PC to make it perform certain instructions without the user being aware of them, enhance compliance with the principle that data must be processed fairly and lawfully, and that the data subject must be informed about the processing going on. |
| - Η πλατφόρμα για προτιμήσεις ιδιωτικού απορρήτου (P3P), που επιτρέπει στους χρήστες του Διαδικτύου να αναλύουν τις πολιτικές περί ιδιωτικότητας των ιστοτόπων και να τις συγκρίνουν με τις προτιμήσεις του χρήστη ως προς τις πληροφορίες που επιθυμεί να γίνουν γνωστές, συμβάλλει ώστε το υποκείμενο των δεδομένων να δίνει τη συγκατάθεσή του για την επεξεργασία των δεδομένων έχοντας απόλυτη επίγνωση της απόφασής του. | - The Platform for Privacy Preferences (P3P), allowing internet users to analyze the privacy policies of websites and compare them with the user's preferences as to the information they wish to release, helps to ensure that data subjects' consent to processing of their data is an informed one. |
| Η Επιτροπή στηριζει τισ ΤΒΙ | 3. THE COMMISSION SUPPORTS PETS |
| Η Επιτροπή θεωρεί ότι οι ΤΒΙ πρέπει να αναπτυχθούν και η χρήση τους να γίνει ευρύτερη, ειδικότερα εκεί που η επεξεργασία δεδομένων γίνεται μέσω δικτύων ΤΠΕ. Η Επιτροπή θεωρεί ότι η ευρύτερη χρήση των ΤΒΙ θα βελτιώσει την προστασία της ιδιωτικότητας και θα συμβάλει παράλληλα στην τήρηση των κανόνων για την προστασία των δεδομένων. Η χρησιμοποίηση των ΤΒΙ θα είναι συμπληρωματική του υφιστάμενου νομικού πλαισίου και των μηχανισμών επιβολής. | The Commission considers that PETs should be developed and more widely used, in particular where personal data is processed through ICT networks. The Commission considers that wider use of PETs would improve the protection of privacy as well as help fulfil data protection rules. The use of PETs would be complementary to the existing legal framework and enforcement mechanisms. |
| Στην Ανακοίνωσή της για μια στρατηγική για ασφαλή Κοινωνία της Πληροφορίας (COM(2006) 251 της 31ης Μαΐου 2006), η Επιτροπή κάλεσε ειδικότερα τον ιδιωτικό τομέα "να ενθαρρύνει την ανάπτυξη και εγκατάσταση προϊόντων, διαδικασιών και υπηρεσιών βελτιωμένης ασφαλείας για την αποτροπή και καταπολέμηση της κλοπής ταυτότητας και άλλων επιθέσεων κατά της ιδιωτικής ζωής". Εξάλλου, στον Χάρτη Πορείας της Επιτροπής για ένα πανευρωπαϊκό πλαίσιο eIDM που θα επιτευχθεί μέχρι το 2010[6] μια από τις βασικές αρχές που διέπουν τη διαχείριση της ηλεκτρονικής ταυτότητας είναι ότι το σύστημα θα πρέπει να είναι ασφαλές, να παρέχει τις αναγκαίες διασφαλίσεις για την προστασία της ιδιωτικότητας του χρήστη, και να επιτρέπει την ευθυγραμμισμένη χρησιμοποίησή του με τα τοπικά συμφέροντα και ευαισθησίες. | In its Communication on a strategy for a secure Information Society, COM(2006) 251 of 31 May 2006, the Commission invited in particular the private sector to " stimulate the deployment of security-enhancing products, processes and services to prevent and fight ID theft and other privacy-intrusive attacks ". Furthermore, in the Commission's Roadmap for a pan-European eIDM Framework by 2010[6] one of the key principles governing electronic identity management is that "the system must be secure, implement the necessary safeguards to protect the user's privacy, and allow its usage to be aligned with local interest and sensitivities" . |
| Η παρέμβαση διαφόρων φορέων στην επεξεργασία δεδομένων και η ύπαρξη διαφόρων εθνικών δικαιοδοσιών θα μπορούσε να δυσχεράνει την εφαρμογή του νομικού πλαισίου. Αντίθετα, οι ΤΒΙ θα μπορούσαν να αποτρέψουν ορισμένες παραβιάσεις των κανόνων προστασίας των δεδομένων, που συνεπάγονται παραβιάσεις θεμελιωδών δικαιωμάτων, μεταξύ των οποίων και της ιδιωτικότητας – επειδή οι παραβιάσεις θα ήταν τεχνικά δυσκολότερο να διαπραχθούν. Η Επιτροπή γνωρίζει ότι η τεχνολογία, αν και διαδραματίζει βασικό ρόλο στην προστασία της ιδιωτικότητας, δεν επαρκεί από μόνη της να εξασφαλίσει την ιδιωτικότητα. Οι ΤΒΙ χρειάζεται να εφαρμοστούν σύμφωνα με ένα ρυθμιστικό πλαίσιο εφαρμοστέων κανόνων προστασίας των δεδομένων, οι οποίοι παρέχουν σε όλους διαπραγματεύσιμα επίπεδα προστασίας της ιδιωτικής ζωής. Η χρήση των ΤΒΙ δεν συνεπάγεται ότι οι υπεύθυνοι για την επεξεργασία δεδομένων μπορούν να απαλλαγούν από ορισμένες νομικές υποχρεώσεις που έχουν (π.χ. να παρέχουν στους ιδιώτες δικαίωμα πρόσβασης στα δεδομένα τους). | The intervention of different actors in data processing and the existence of different national jurisdictions involved could make enforcement of the legal framework difficult. On the other hand, PETs could ensure that certain breaches of data protection rules, resulting in invasions of fundamental rights including privacy, could be avoided because they would become technologically more difficult to carry out. The Commission is aware of the fact that technology – although having a crucial role in privacy protection – is not sufficient in itself to secure privacy. PETs need to be applied according to a regulatory framework of enforceable data protection rules providing a number of negotiable levels of privacy protection for all individuals. The use of PETs does not mean that operators can be discharged of certain of their legal obligations (e.g. granting individual users a right of access to their data). |
| Εκτός αυτού, οι ΤΒΙ θα μπορούσαν να εξυπηρετούν καλύτερα σημαντικά δημόσια συμφέροντα. Το νομικό πλαίσιο της προστασίας των δεδομένων προβλέπει την δυνατότητα παρέκκλισης από τις γενικές αρχές και περιορισμού των δικαιωμάτων των ατόμων όταν πρόκειται για σοβαρά δημόσια συμφέροντα, όπως η δημόσια ασφάλεια, η καταπολέμηση του εγκλήματος ή η δημόσια υγεία. Οι προϋποθέσεις για τους περιορισμούς αυτούς ορίζονται στο άρθρο 13 της Οδηγίας για την Προστασία των Δεδομένων και το άρθρο 15 της Οδηγίας σχετικά με Προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών. Είναι σε μεγάλο βαθμό παρόμοιες με εκείνες που καθορίζονται στο άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα, ειδικότερα ότι αυτή η παρέμβαση γίνεται σύμφωνα με τον νόμο και είναι αναλογική και αναγκαία σε μια δημοκρατική κοινωνία προκειμένου να εξασφαλίζεται ο έννομος δημόσιος σκοπός[7]. Η χρήση των ΤΒΙ δεν πρέπει να εμποδίζει τους φορείς επιβολής του νόμου ή άλλες αρμόδιες αρχές να παρεμβαίνουν κατά την έννομη άσκηση των καθηκόντων τους για λόγους σημαντικού δημοσίου συμφέροντος, π.χ. πάταξη της εγκληματικότητας στον κυβερνοχώρο, καταπολέμηση της τρομοκρατίας ή πρόληψη της διάδοσης μολυσματικών μεταδοτικών ασθενειών. Οι αρμόδιες αρχές πρέπει να μπορούν να έχουν πρόσβαση σε προσωπικά δεδομένα όταν αυτό είναι απαραίτητο για την επίτευξη αυτών των σκοπών και σύμφωνα με τις διαδικασίες, τους όρους και τις διασφαλίσεις που ορίζονται από τον νόμο. | Important public interests could also be better served. The data protection legal framework provides for restrictions to the general principles and interference in the rights of individuals for important public interests such as public security, the fight against crime or public health. The conditions for such restrictions are laid down in Article 13 of the Data Protection Directive and Article 15 of the ePrivacy Directive. They are substantially similar to those set by Article 8 of the European Convention on Human Rights (ECHR), namely that such interference is done in accordance with the law and is proportionate and necessary in a democratic society for a legitimate public purpose[7]. The use of PETs should not prevent law enforcement agencies or other competent authorities from intervening in the lawful exercise of their functions for an important public interest, e.g. fighting cybercrime, combating terrorism or preventing the spread of contagious diseases. The responsible authorities should be in a position to access personal data where necessary to achieve those purposes and in accordance with the procedures, conditions and safeguards laid down by the law. |
| Η καλύτερη τήρηση των κανόνων για την προστασία των δεδομένων θα είχε επίσης θετικό αντίκτυπο στην εμπιστοσύνη του καταναλωτή, ειδικότερα στον κυβερνοχώρο. Ορισμένες υποσχόμενες και προστιθέμενης αξίας υπηρεσίες που βασίζονται στη μεταφορά προσωπικών δεδομένων μέσω των δικτύων τεχνολογίας πληροφοριών, όπως η ηλεκτρονική μάθηση, η ηλεκτρονική διακυβέρνηση, η ηλεκτρονική υγεία, οι ηλεκτρονικές τραπεζικές συναλλαγές, το ηλεκτρονικό εμπόριο ή τα συστήματα "ευφυούς αυτοκινήτου", είναι βέβαιο ότι θα επωφελούνταν. Οι πολίτες θα ήσαν σίγουροι ότι τα δεδομένα που παρέχουν για να προσδιορίσουν την ταυτότητά τους, να εξυπηρετηθούν ή να προβούν σε πληρωμές χρησιμοποιούνται μόνο για θεμιτούς σκοπούς, και ότι η συμμετοχή τους στην ψηφιακή κοινωνία δεν γίνεται σε βάρος των δικαιωμάτων τους. | Better respect of data protection rules would also have a positive impact on consumer trust, in particular in cyberspace. A number of promising and value-added services that rely on transfers of personal data across IT-Networks, such as e-learning, e-government, e-health, e-banking, e-commerce or "intelligent car" systems would certainly benefit. People could be sure that the data they are providing to identify themselves, receive services or make payments will only be used for legitimate purposes and that their participation in the digital community is not done at the expense of sacrificing their rights. |
| Το επιτελεσθεν εργο και οι μελλοντικεσ ενεργειεσ | 4. WORK DONE AND THE WAY FORWARD |
| Για να επιτευχθεί ο σκοπός της βελτίωσης του επιπέδου προστασίας της ιδιωτικότητας και των δεδομένων στην Κοινότητα μέσω, μεταξύ άλλων, της προαγωγής της ανάπτυξης και της χρήσης των ΤΒΙ, η Επιτροπή προτίθεται να διεξαγάγει τις ακόλουθες ενέργειες, στις οποίες εμπλέκονται πλήθος φορέων, συμπεριλαμβανομένων των υπηρεσιών της, των εθνικών αρχών, της βιομηχανίας και των καταναλωτών. | To pursue the objective of enhancing the level of privacy and data protection in the Community by, among others, promoting the development and the use of PETs, the Commission intends to conduct the following activities, involving a vast array of actors, including its own services, national authorities, industry and consumers. |
| Στις συζητήσεις αυτές δίδεται ιδιαίτερη προσοχή στην ειδική κατάσταση των μικρών και μεσαίων επιχειρήσεων (ΜΜΕ) και τις δυνατότητες ή τα κίνητρα για τη χρησιμοποίηση των ΤΒΙ από αυτές. Η Επιτροπή θα πρέπει επίσης να εξετάσει, μεταξύ άλλων, θέματα εμπιστοσύνης και ευαισθητοποίησης που έχουν μεγάλη σημασία για τις ΜΜΕ. | In these discussions attention will be given to the specific situation of small and medium-sized enterprises (SMEs) and the possibilities or incentives for their use of PETs. The Commission should also, among other issues, consider trust and awareness - issues which are of particular importance to SMEs. |
| Πρώτος στόχος: στήριξη της ανάπτυξης των ΤΒΙ | 4.1. First objective: to support the development of PETs |
| Αν πρόκειται να γενικευτεί η χρήση των ΤΒΙ, αυτές θα πρέπει να σχεδιαστούν περαιτέρω, να αναπτυχθούν και να κατασκευαστούν. Αν και αυτές οι ενέργειες γίνονται ήδη μέχρις ενός σημείου από τον δημόσιο και τον ιδιωτικό τομέα, η Επιτροπή θεωρεί ότι αυτή η δράση θα πρέπει να ενταθεί. Με αυτό τον στόχο κατά νου, θα πρέπει να επισημανθούν οι ανάγκες για ΤΒΙ και να προσδιοριστούν τα τεχνικά χαρακτηριστικά τους, και θα πρέπει να διεξαχθούν ενέργειες ΕΤΑ επί των αναγκαίων εργαλείων. | If PETs are to be widely used, there needs to be further design, development and manufacturing of PETs. Whilst these activities are already done to a certain degree by the public and private sector the Commission considers that these activities should be stepped up. With this aim in mind, the need for PETs and their technological requirements should be identified and RTD activities should develop the tools. |
| Δράση 1.1.: Επισήμανση των αναγκών και προσδιορισμός των τεχνικών χαρακτηριστικών των ΤΒΙ | 4.1.1. Action 1.1.: Identifying the need and technological requirements of PETs |
| Οι ΤΒΙ εξαρτώνται σε πολύ μεγάλο βαθμό από την εξέλιξη των ΤΠΕ. Μόλις επισημανθούν οι κίνδυνοι που δημιουργούνται από τις τεχνολογικές εξελίξεις, πρέπει να επιλεγούν τα κατάλληλα χαρακτηριστικά για την τεχνική τους επίλυση. | PETs are heavily dependent on the evolution of ICT. Once the dangers posed by technological developments are detected, the appropriate requirements for a technological solution must be identified. |
| Η Επιτροπή θα ενθαρρύνει διάφορες ομάδες ενδιαφερομένων ώστε να συνέρχονται και να συζητούν για τις ΤΒΙ. Οι ομάδες αυτές περιλαμβάνουν ειδικότερα εκπροσώπους του τομέα των ΤΠΕ, φορείς ανάπτυξης των ΤΒΙ, αρχές προστασίας δεδομένων, φορείς επιβολής του νόμου, εταίρους στον τομέα της τεχνολογίας, περιλαμβανομένων και εμπειρογνωμόνων από σχετικούς τομείς, όπως η ηλεκτρονική υγεία ή ασφάλεια των πληροφοριών, ενώσεις καταναλωτών και οργανώσεις πολιτικών δικαιωμάτων. Όλοι οι ανωτέρω θα πρέπει να προβαίνουν σε τακτική ανάλυση των εξελίξεων στην τεχνολογία, να επισημαίνουν τους κινδύνους που απορρέουν από αυτήν όσον αφορά τα θεμελιώδη δικαιώματα και την προστασία των δεδομένων, και να προσδιορίζουν τις τεχνικές επιταγές λύσεων βασισμένων στις ΤΒΙ, μεταξύ άλλων προσαρμόζοντας τα τεχνολογικά μέτρα ανάλογα με τους διάφορους κινδύνους και τα διάφορα δεδομένα που απειλούνται, και λαμβάνοντας υπόψη την ανάγκη διασφάλισης δημοσίων συμφερόντων, όπως για παράδειγμα τη δημόσια ασφάλεια. | The Commission will encourage various stakeholder groups to come together and debate PETs. These groups will include in particular representatives from the ICT sector, PETs developers, data protection authorities, law enforcement bodies, technology partners including experts from relevant fields, such as eHealth or information security, consumers and civil rights associations. These stakeholders should regularly look into the evolution of technology, detect the dangers it poses to fundamental rights and data protection, and outline the technical requirements of a PETs response. .This may include fine-tuning the technological measures in accordance with the different risks and the different data at stake and taking into account the need to safeguard public interests, such as public security. |
| Δράση 1.2.: Ανάπτυξη των ΤΒΙ | 4.1.2. Action 1.2.: Developing PETs |
| Όταν επισημανθούν οι ανάγκες και τα τεχνικά χαρακτηριστικά των ΤΒΙ, πρέπει να αναληφθούν συγκεκριμένες ενέργειες για να παραχθεί το τελικό και έτοιμο προς χρήση προϊόν. | As the need for and technological requirements of PETs are identified, concrete action has to be taken to arrive at an end-product ready to use. |
| Η Επιτροπή έχει ήδη αντιμετωπίσει αυτή την ανάγκη για ΤΒΙ. Υπό την αιγίδα του 6ου προγράμματος-πλαισίου επιχορηγεί το έργο PRIME[8] που αφορά θέματα διαχείρισης ψηφιακής ταυτότητας και ιδιωτικότητας στην κοινωνία της πληροφορίας. Το έργο OPEN-TC[9] θα καταστήσει δυνατή την προστασία της ιδιωτικότητας βάσει ανοικτών συστημάτων πληροφορικής, και το έργο DISCREET[10] αναπτύσσει λογισμικό για να ενισχυθεί η ιδιωτικότητα σε προηγμένες δικτυακές υπηρεσίες. Στο μέλλον, στο πλαίσιο του 7ου προγράμματος-πλαισίου, η Επιτροπή προτίθεται να ενισχύσει άλλα έργα ΕΤΑ και ευρείας κλίμακας πιλοτικές επιδείξεις που θα αναπτύξουν και θα ενθαρρύνουν την χρήση ΤΒΙ. Στόχος είναι να δημιουργηθεί η βάση για υπηρεσίες προστασίας της ιδιωτικότητας, οι οποίες θα υπευθυνοποιούν τον χρήστη, επανορθώνοντας νομικές και τεχνικές διαφορές σε όλη την Ευρώπη μέσω εταιρικών σχέσεων του δημόσιου και ιδιωτικού τομέα. | The Commission has already addressed the need for PETs. Under the auspices of the 6th Framework Programme it sponsors the PRIME[8] project tackling issues of digital identity management and privacy in the information society. The OPEN-TC[9] project will allow privacy protection based on open trusted computing and the DISCREET[10] project develops middleware to enforce privacy in advanced network services. In the future, under the 7th Framework Programme, the Commission intends to support other RTD projects and large-scale pilot demonstrations to develop and stimulate the uptake of PETs. The aim is to provide the foundation for user-empowering privacy protection services reconciling legal and technical differences across Europe through public-private partnerships. |
| Η Επιτροπή καλεί επίσης τις εθνικές αρχές και τον ιδιωτικό τομέα να επενδύσουν στην ανάπτυξη των ΤΒΙ. Η επένδυση αυτή είναι πρωταρχικής σημασίας για να τεθεί η ευρωπαϊκή βιομηχανία επί κεφαλής σε ένα τομέα που αναμένεται να αναπτυχθεί καθώς οι τεχνολογίες αυτές θα επιβάλλονται όλο και περισσότερο από τα τεχνολογικά πρότυπα και καταναλωτές με μεγαλύτερη επίγνωση της ανάγκης προστασίας των δικαιωμάτων τους στον κυβερνοχώρο. | The Commission also calls on national authorities and on the private sector to invest in the development of PETs. Such investment is key to placing European industry ahead in a sector that will grow as these technologies become increasingly required by technological standards and by consumers more aware of the need to protect their rights in cyberspace. |
| Δεύτερος στόχος: ενθάρρυνση της χρήσης των υφιστάμενων ΤΒΙ από τους υπεύθυνους επεξεργασίας δεδομένων | 4.2. Second objective: to support the use of available PETs by data controllers |
| Οι ΤΒΙ θα μπορούν να αναπτύξουν το δυναμικό τους μόνο αν είναι ενσωματωμένες αποτελεσματικά και χρησιμοποιούνται από τον τεχνικό εξοπλισμό και τα εργαλεία λογισμικού που διεξάγουν την επεξεργασία προσωπικών δεδομένων. Ως εκ τούτου είναι ουσιαστικής σημασίας η συμμετοχή της βιομηχανίας που κατασκευάζει αυτόν τον εξοπλισμό καθώς και των υπεύθυνων επεξεργασίας δεδομένων που τον χρησιμοποιούν για την εκτέλεση των εργασιών επεξεργασίας. | PETs will only be truly beneficial if they are effectively incorporated into and used by technical equipment and software tools that carry out processing of personal data. The participation of the industry that manufactures such equipment and of data controllers who avail themselves of it to carry out data processing activities is therefore paramount. |
| Δράση 2.1.: Προώθηση της χρήσης των ΤΒΙ από τη βιομηχανία | 4.2.1. Action 2.1.: Promoting the use of PETs by industry |
| Η Επιτροπή θεωρεί ότι όλοι όσοι εμπλέκονται στην επεξεργασία προσωπικών δεδομένων θα επωφεληθούν από την ευρύτερη χρήση των ΤΒΙ. Η βιομηχανία ΤΠΕ, ως πρωταρχικός φορέας ανάπτυξης και προμηθευτής ΤΒΙ, έχει να διαδραματίσει ιδιαίτερα σημαντικό ρόλο όσον αφορά την προώθηση των ΤΒΙ. Η Επιτροπή καλεί όλους τους υπεύθυνους επεξεργασίας δεδομένων να ενσωματώσουν ευρέως και να εφαρμόζουν εντατικά τις ΤΒΙ στις διαδικασίες επεξεργασίας. Για τον σκοπό αυτό, η Επιτροπή θα προβεί στην οργάνωση σεμιναρίων με τους βασικούς παράγοντες της βιομηχανίας ΤΠΕ, και ειδικότερα τους φορείς ανάπτυξης ΤΒΙ, με στόχο την ανάλυση της ενδεχόμενης συμβολής τους στην ενθάρρυνση της χρησιμοποίησης των ΤΒΙ από τους υπεύθυνους επεξεργασίας δεδομένων. | The Commission believes that all those involved in processing of personal data would benefit from a wider use of PETs. The ICT industry, as the primary developer and provider of PETs, has a particularly important role to play with respect to the promotion of PETs. The Commission calls on all data controllers to more widely and intensely incorporate and apply PETs in their processes. For that purpose, the Commission will organise seminars with key actors of the ICT industry, and in particular PETs developers, with the aim of analyzing their possible contribution to promoting the use of PETs among data controllers. |
| Η Επιτροπή θα διεξαγάγει επίσης μελέτη σχετική με τα οικονομικά πλεονεκτήματα των ΤΒΙ και θα δημοσιεύσει τα αποτελέσματά της, ώστε να ενθαρρυνθούν οι επιχειρήσεις, και ιδιαίτερα οι ΜΜΕ, στη χρήση των τεχνολογιών αυτών. | The Commission will also conduct a study on the economic benefits of PETs and disseminate its results in order to encourage enterprises, in particular SMEs, to use them. |
| Δράση 2.2.: Εξασφάλιση της τήρησης των κατάλληλων προτύπων στην προστασία προσωπικών δεδομένων μέσω των ΤΒΙ | 4.2.2. Action 2.2.: Ensuring respect for appropriate standards in the protection of personal data through PETs |
| Αν η προώθηση σε μεγάλη κλίμακα προϋποθέτει την ενεργό συμμετοχή της βιομηχανίας των ΤΕΠ, ως παραγωγού ΤΒΙ, η τήρηση των κατάλληλων προτύπων προϋποθέτει τη θέσπιση μέτρων που βαίνουν πέραν της αυτορρύθμισης ή της καλής θέλησης των συμμετεχόντων φορέων. Η Επιτροπή θα προβεί σε αξιολόγηση της ανάγκης να εκπονηθούν πρότυπα για την σύννομη επεξεργασία προσωπικών δεδομένων με ΤΒΙ μέσω των κατάλληλων αξιολογήσεων των επιπτώσεων. Βάσει των αποτελεσμάτων αυτών των αξιολογήσεων μπορεί να ληφθούν υπόψη δύο είδη μέσων: | While wide-reaching promotional activity requires the active involvement of the ICT industry, as the PETs producer, respect for appropriate standards requires action beyond self-regulation or the goodwill of the actors involved. The Commission will assess the need to develop standards regarding the lawful processing of personal data with PETs through appropriate impact assessments. On the basis of the outcome of such assessments, two sorts of instruments might be considered: |
| - Δράση 2.2.a) Τυποποίηση | - Action 2.2.a) Standardisation |
| Η Επιτροπή θα εξετάσει την ανάγκη να ληφθεί υπόψη η τήρηση των κανόνων προστασίας των δεδομένων κατά τις δραστηριότητες τυποποίησης. Η Επιτροπή θα προσπαθήσει να λάβει υπόψη τον αντίκτυπο της πολυσχιδούς συζήτησης για τις ΤΒΙ κατά την εκπόνηση των αντίστοιχων ενεργειών της καθώς και τις εργασίες των ευρωπαϊκών φορέων τυποποίησης. Αυτό θα είναι σημαντικό ειδικότερα στις περιπτώσεις όπου η συζήτηση θα επισημάνει κατάλληλα πρότυπα προστασίας δεδομένων που απαιτούν την ενσωμάτωση και τη χρησιμοποίηση ορισμένων ΤΒΙ. | The Commission will consider the need for respect of data protection rules to be taken into account in standardisation activities. The Commission will endeavour to take account of the input of the multi-stakeholder debate on PETs in preparing the corresponding Commission actions and the work of the European standardisation bodies. This will be paramount, in particular, where the debate identifies appropriate data protection standards requiring the incorporation and use of certain PETs. |
| Η Επιτροπή ενδέχεται να καλέσει τους ευρωπαϊκούς οργανισμούς τυποποίησης (CEN, CENELEC, ETSI) να αξιολογήσουν τις ιδιαίτερες ανάγκες της Ευρώπης και στη συνέχεια να ανταποκριθούν σε αυτές σε διεθνές επίπεδο με την εφαρμογή των ισχυουσών σήμερα συμφωνιών μεταξύ ευρωπαϊκών και διεθνών οργανισμών τυποποίησης. Όπου χρειάζεται, οι ευρωπαϊκοί οργανισμοί τυποποίησης θα πρέπει να εκπονήσουν ένα ειδικό πρόγραμμα εργασίας για την τυποποίηση που θα καλύπτει τις ευρωπαϊκές ανάγκες και θα συμπληρώνει με τον τρόπο αυτό τη συνεχιζόμενη εργασία σε διεθνές επίπεδο. | The Commission may invite the European Standardisation Organisations (CEN, CENELEC, ETSI) to assess specific European needs, and to subsequently bring them to the international level by means of applying the current agreements between European and international standardisation organisations. Where appropriate, the ESOs should establish a specific standardisation work programme covering European needs and thus complementing the on-going work at international level. |
| - Δράση 2.2.β) Συντονισμός των εθνικών τεχνικών ρυθμίσεων για τα μέτρα ασφαλείας ως προς την επεξεργασία δεδομένων | - Action 2.2.b) Coordination of national technical rules on security measures for data processing |
| Οι εθνικές νομοθεσίες που θεσπίστηκαν βάσει της Οδηγίας για την Προστασία των Δεδομένων[11] παρέχουν στις εθνικές αρχές προστασίας δεδομένων τη δυνατότητα να επηρεάζουν τον επακριβέστερο καθορισμό των τεχνικών απαιτήσεων – για παράδειγμα να παρέχουν καθοδήγηση στους υπεύθυνους επεξεργασίας δεδομένων, να εξετάζουν τα συστήματα που εγκαθίστανται ή να εκδίδουν τεχνικές οδηγίες. Οι εθνικές αρχές προστασίας δεδομένων θα μπορούσαν επίσης να απαιτήσουν την ενσωμάτωση και χρησιμοποίηση ορισμένων ΤΒΙ στις περιπτώσεις που η σχετική επεξεργασία προσωπικών δεδομένων τις καθιστά αναγκαίες. Η Επιτροπή θεωρεί ότι πρόκειται εδώ για ένα τομέα όπου ο συντονισμός των εθνικών πρακτικών θα μπορούσε να συμβάλει θετικά στην προώθηση της χρήσης των ΤΒΙ. Ειδικότερα η Ομάδα Εργασίας που προβλέπεται από το άρθρο 29[12] θα μπορούσε να συμβάλει, υπό την ιδιότητά της να εξετάζει την ενιαία εφαρμογή των εθνικών μέτρων που θεσπίζονται δυνάμει της Οδηγίας. Έτσι, η Επιτροπή καλεί την Ομάδα Εργασίας του άρθρου 29 να συνεχίσει τις εργασίες της στον τομέα αυτό συμπεριλαμβάνοντας στο πρόγραμμά της μια διαρκή διαδικασία ανάλυσης των αναγκών ενσωμάτωσης των ΤΒΙ στις ενέργειες επεξεργασίας δεδομένων ως αποτελεσματικό μέσο εξασφάλισης της τήρησης των κανόνων προστασίας δεδομένων. Η εργασία αυτή αναμένεται ότι θα έχει ως συνέχεια την εκπόνηση κατευθυντήριων οδηγιών τις οποίες οι αρχές προστασίας δεδομένων θα εφαρμόζουν σε εθνικό επίπεδο με την συντονισμένη θέσπιση των κατάλληλων μέτρων. | National legislation adopted pursuant to the Data Protection Directive[11] gives national data protection authorities certain influence in determining precise technical requirements such as providing guidance for controllers, examining the systems put in place or issuing technical instructions. National data protection authorities could also require the incorporation and use of certain PETs where the processing of personal data involved makes them necessary. The Commission considers that this is an area where coordination of national practice could contribute positively to promoting the use of PETs. In particular the Article 29 Working Party[12] could contribute in its role of considering the uniform application of national measures adopted under the Directive. The Commission thus calls on the Article 29 Working Party to continue its work in the field by including in its programme a permanent activity of analysing the needs for incorporating PETs in data processing operations as an effective means of ensuring respect for data protection rules. This work should then produce guidelines for data protection authorities to implement at national level through coordinated adoption of the appropriate instruments. |
| Δράση 2.3.: Ενθάρρυνση της χρήσης ΤΒΙ από τις δημόσιες αρχές | 4.2.3. Action 2.3.: Promoting the use of PETs by public authorities |
| Ένας σταθερός αριθμός διαδικασιών επεξεργασίας στις οποίες εμπλέκονται προσωπικά δεδομένα διενεργείται από τις δημόσιες αρχές κατά την άσκηση των αρμοδιοτήτων τους, τόσο σε εθνικό όσο και σε κοινοτικό επίπεδο. Οι δημόσιοι φορείς είναι υποχρεωμένοι να σέβονται τα θεμελιώδη δικαιώματα, μεταξύ άλλων και το δικαίωμα της προστασίας των προσωπικών δεδομένων, και να διασφαλίζουν την τήρησή τους από άλλους – ως εκ τούτου οι δημόσιες αρχές οφείλουν να αποτελούν σαφές παράδειγμα. | A consistent number of processing operations involving personal data are conducted by public authorities in the exercise of their competences, both at national and at Community level. Public bodies are themselves bound to respect fundamental rights, including the right to protect personal data, and ensure respect by others, and should therefore set a clear example. |
| Όσον αφορά τις εθνικές αρχές, η Επιτροπή παρατηρεί την εξάπλωση των εφαρμογών της ηλεκτρονικής διακυβέρνησης ως μέσου βελτίωσης της αποτελεσματικότητας της δημόσιας διοίκησης. Όπως αναφέρεται στην Ανακοίνωση της Επιτροπής για τον ρόλο της ηλεκτρονικής διακυβέρνησης για το μέλλον της Ευρώπης [13], η χρησιμοποίηση των ΤΒΙ στην ηλεκτρονική διακυβέρνηση είναι αναγκαία προκειμένου να παρέχει εμπιστοσύνη και αξιοπιστία που θα εξασφαλίσει την επιτυχία της. Η Επιτροπή καλεί τις κυβερνήσεις να εγγυώνται ότι οι διασφαλίσεις προστασίας δεδομένων είναι ενσωματωμένες στις εφαρμογές της ηλεκτρονικής διακυβέρνησης, μεταξύ άλλων και με την ευρύτερη δυνατή χρήση των ΤΒΙ στην εκπόνηση και την εφαρμογή τους. | As regards national authorities, the Commission notes the proliferation of eGoverment applications as a tool for enhancing effectiveness of public service. As stated in the Commission’s Communication on the Role of eGoverment for Europe’s Future [13], the use of PETs in eGovernment is necessary to provide trust and confidence to ensure its success. The Commission calls upon governments to ensure that data protection safeguards are embedded in eGovernment applications, including through the widest possible use of PETs in their design and implementation. |
| Όσον αφορά τα κοινοτικά όργανα και τους οργανισμούς, η Επιτροπή, από την πλευρά της, θα μεριμνήσει ώστε να τηρούνται οι απαιτήσεις του Κανονισμού (ΕΚ) αριθ. 45/2001 ειδικότερα με την ευρύτερη χρήση των ΤΒΙ στην εφαρμογή των ΤΠΕ που περιλαμβάνουν επεξεργασία προσωπικών δεδομένων. Ταυτόχρονα, η Επιτροπή καλεί τα άλλα κοινοτικά όργανα να πράξουν αντίστοιχα. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα μπορούσε να συμβάλει με την παροχή συμβουλών στα κοινοτικά όργανα και τους οργανισμούς ώστε να εκπονηθούν εσωτερικοί κανόνες σχετικοί με την επεξεργασία προσωπικών δεδομένων. Κατά την επιλογή νέων εφαρμογών ΤΠΕ προς ίδια χρήση ή όταν προβαίνει σε ανάπτυξη των υφιστάμενων εφαρμογών, η Επιτροπή θα εξετάζει τη δυνατότητα εισαγωγής τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικότητας. Η σημασία των ΤΒΙ θα αντικατοπτρίζεται στη γενικότερη στρατηγική της Επιτροπής για τη διακυβέρνηση της πληροφορικής. Η Επιτροπή θα συνεχίσει επίσης την ευαισθητοποίηση του προσωπικού της. Εντούτοις, η εφαρμογή των ΤΒΙ στις εφαρμογές ΤΠΕ της Επιτροπής εξαρτάται από την ύπαρξη αντίστοιχων προϊόντων, και θα πρέπει να αξιολογείται κατά περίπτωση, σύμφωνα με την εξέλιξη της εφαρμογής. | As for Community institutions and bodies, the Commission itself will ensure that it complies with the requirements of Regulation (EC) 45/2001 in particular through a wider use of PETs in the implementation of ICT applications involving the processing of personal data. At the same time, the Commission calls on other EU institutions to do the same. The European Data Protection Supervisor could contribute with his advice to Community institutions and bodies on drawing up internal rules relating to the processing of personal data. When selecting new ICT applications for its own use, or when developing existing applications, the Commission will consider the possibility of introducing privacy enhancing technologies. The importance of PETs will be reflected in the Commissions' overall IT governance strategy. The Commission will also continue to raise awareness in its own staff. However, the implementation of PETs in the Commissions' ICT applications depends on the availability of the corresponding products and will have to be evaluated on a case by case basis, in line with the application's development cycle. |
| Τρίτος στόχος: ενθάρρυνση των καταναλωτών να χρησιμοποιήσουν τις ΤΒΙ | 4.3. Third objective: to encourage consumers to use PETs |
| Οι καταναλωτές παραμένουν εκείνοι που, ως άμεσα ενδιαφερόμενοι, θα πρέπει να φροντίζουν για την ορθή χρήση των προσωπικών τους δεδομένων, για την καλή εφαρμογή των κανόνων προστασίας δεδομένων και για την αποτελεσματικότητα των ΤΒΙ ως προς το συγκεκριμένο ζήτημα. | Consumers will remain the most concerned party in ensuring personal information is properly used, that data protection rules are properly enacted, and that PETs are an efficient means to guarantee them. |
| Ως εκ τούτου, οι καταναλωτές πρέπει να ενημερωθούν πλήρως ως προς τα πλεονεκτήματα που μπορεί να απορρεύσουν από τη χρήση των ΤΒΙ ώστε να μειωθούν οι κίνδυνοι που δημιουργούνται από ενέργειες στις οποίες περιλαμβάνεται επεξεργασία προσωπικών τους δεδομένων. Επίσης, οι καταναλωτές θα πρέπει να είναι σε θέση να επιλέγουν με πλήρη επίγνωση όταν πρόκειται να προβούν στην αγορά εξοπλισμού και λογισμικού των τεχνολογιών της πληροφορίας ή να κάνουν χρήση ηλεκτρονικών υπηρεσιών. Πρέπει να είναι εμφανής η ευαισθητοποίησή τους ως προς τους ενεχόμενους κινδύνους, ειδικότερα αν οι ΤΒΙ προσφέρουν κατάλληλη προστασία. Με τον τρόπο αυτό, θα παρασχεθεί στους χρήστες απλή και κατανοητή πληροφόρηση για τα πιθανά εργαλεία που προστατεύουν την ιδιωτικότητα. Η αυξημένη χρήση των ΤΒΙ καθώς και αυξημένη χρήση των ηλεκτρονικών υπηρεσιών με ενσωματωμένες ΤΒΙ θα έχουν στη συνέχεια θετικό οικονομικό αντίκτυπο για τις βιομηχανίες που τις χρησιμοποιούν και πιθανόν να έχουν σωρευτικό αποτέλεσμα ενθαρρύνοντας και άλλες επιχειρήσεις να δώσουν μεγαλύτερη προσοχή στους κανόνες σχετικά με την προστασία δεδομένων. Για να επιτευχθεί όμως αυτό θα πρέπει να ληφθεί σειρά μέτρων. | Consumers should therefore be made fully aware of the advantages that the use of PETs may bring to diminish the risks posed by operations involving processing of their personal data. They should also be placed in a position where they may exercise an informed choice when purchasing IT equipment and software, or using e-services. This should reflect their awareness of the risks involved, in particular whether PETs offer appropriate protection. Simple and understandable information about possible technological tools to protect privacy must thus be provided to the user. Increased use of PETs and increased use of e-services which incorporate PETs will in turn mean economic reward to the industries using them, and may result in a snowball effect, encouraging other companies to pay greater attention to respecting the data protection rules. In order to achieve this, a series of steps should be taken. |
| Δράση 3.1.: Μεγαλύτερη ευαισθητοποίηση των καταναλωτών | 4.3.1. Action 3.1.: Raising awareness of consumers |
| Θα πρέπει να υιοθετηθεί συνεκτική στρατηγική για την ευαισθητοποίηση των καταναλωτών σχετικά με τους κινδύνους που ελλοχεύουν κατά την επεξεργασία δεδομένων που τους αφορούν, καθώς και για τη λύση που μπορεί να παράσχουν οι ΤΒΙ συμπληρωματικά προς το υφιστάμενο σύστημα επανορθωτικών μέσων που παρέχει η νομοθεσία για την προστασία δεδομένων. Η Επιτροπή προτίθεται να ξεκινήσει σειρά ενεργειών σε ολόκληρη την ΕΕ με στόχο την ευαισθητοποίηση ως προς τις ΤΒΙ. | A consistent strategy should be adopted to raise consumer awareness of the risks involved in processing their data and of the solutions that PETs may provide as a complement to the existing systems of remedies contained in data protection legislation. The Commission intends to launch a series of EU-wide awareness-raising activities on PETs. |
| Η κύρια αρμοδιότητα για τη διεξαγωγή αυτής της δράσης εμπίπτει στις εθνικές αρχές προστασίας δεδομένων, οι οποίες ήδη έχουν μεγάλη σχετική πείρα στον τομέα αυτό. | The main responsibility for conducting this activity falls within the realm of national data protection authorities which already have relevant experience in this area. The Commission calls on them to increase their awareness-raising activities to include information on PETs through all possible means within their reach. The Commission also urges the Article 29 Working Party to coordinate national practice in a coherent work plan for awareness-raising on PETs and to serve as a meeting point for the sharing of good practice already in place at national level. In particular, consumer associations and other players such as the Consumer Centres Network (ECC-Net), in its role as an EU-wide network to advise citizens on their rights as consumers, could become partners in the quest to educate consumers. |
| Η Επιτροπή καλεί τις εν λόγω αρχές να εντείνουν τις δραστηριότητές τους σχετικά με την ευαισθητοποίηση ώστε να συμπεριληφθεί πληροφόρηση ως προς τις ΤΒΙ με κάθε δυνατό τρόπο. Η Επιτροπή καλεί επίσης την Ομάδα Εργασίας του άρθρου 29 να συντονίσει τις εθνικές πρακτικές σε ένα συνεκτικό πρόγραμμα εργασίας για την ευαισθητοποίηση ως προς τις ΤΒΙ και να χρησιμεύσει ως σημείο επαφής για τη διάδοση των βέλτιστων πρακτικών που εφαρμόζονται ήδη σε εθνικό επίπεδο. Ειδικότερα, ως εταίροι στην προσπάθεια εκπαίδευσης των καταναλωτών θα μπορούσαν να εμπλακούν οι ενώσεις καταναλωτών και άλλοι φορείς όπως το δίκτυο ECC-Net (Δίκτυο Κέντρων Καταναλωτών) υπό την ιδιότητά του ως πανευρωπαϊκού δικτύου για την παροχή συμβουλών στους πολίτες σχετικά με τα δικαιώματά τους ως καταναλωτών. | 4.3.2. Action 3.2.: Facilitating consumers' informed choice: Privacy Seals |
| Δράση 3.2.: Διευκόλυνση της συνειδητής επιλογής των καταναλωτών: σφραγίδες ιδιωτικότητας | The take-up and use of PETs could be encouraged if the presence of these technologies in a certain product and its basic features are easily recognizable. For that purpose, the Commission intends to investigate the feasibility of an EU-wide system of privacy seals, which would also include an economic and societal impact analysis. The purpose of such privacy seals would be to ensure consumers can easily identify a certain product as ensuring or enhancing data protection rules in the processing of data, in particular by incorporating appropriate PETs. |
| Η αποδοχή και η χρησιμοποίηση των ΤΒΙ θα μπορούσε να ενθαρρυνθεί αν είναι δυνατή η εύκολη αναγνώριση της παρουσίας αυτών των τεχνολογιών σε κάποιο προϊόν και τα βασικά χαρακτηριστικά του. Για τον σκοπό αυτό, η Επιτροπή προτίθεται να εξετάσει τη σκοπιμότητα ενός πανευρωπαϊκού συστήματος σφραγίδων ιδιωτικότητας, η οποία θα περιλαμβάνει και ανάλυση οικονομικού και κοινωνιακού αντικτύπου. Στόχος αυτών των σφραγίδων ιδιωτικότητας θα είναι να μπορούν οι καταναλωτές να επισημαίνουν με ευκολία ότι ένα προϊόν εξασφαλίζει ή βελτιώνει την τήρηση των κανόνων προστασίας δεδομένων κατά την επεξεργασία δεδομένων, ιδίως με την ενσωμάτωση σε αυτό των κατάλληλων ΤΒΙ. | In order for privacy seals to achieve their purpose, the Commission considers that the following principles should be respected: |
| Για να επιτύχουν τον σκοπό τους οι σφραγίδες ιδιωτικότητας, η Επιτροπή θεωρεί ότι πρέπει να τηρούνται οι ακόλουθες αρχές: | - The number of privacy seal systems should be kept to a minimum. In fact, a proliferation of seals may create more confusion to the consumer and undermine their trust in all seals. Therefore, an assessment should be made about whether and to what extent it would be appropriate to integrate a European privacy seal in a more general security certification scheme[14]. |
| - Ο αριθμός συστημάτων σφραγίδων ιδιωτικότητας θα πρέπει να διατηρηθεί στο ελάχιστο. Συγκεκριμένα, η διάδοση των σφραγίδων θα μπορούσε να δημιουργήσει σύγχυση στους καταναλωτές και να υπονομεύσει την εμπιστοσύνη τους σε κάθε σφραγίδα. Ως εκ τούτου, θα πρέπει να εκτιμηθεί κατά πόσον και σε ποιο βαθμό θα ήταν σκόπιμο να ενταχθεί η ευρωπαϊκή σφραγίδα ιδιωτικότητας σε ένα γενικότερο πρόγραμμα πιστοποίησης της ασφάλειας[14]. | - Privacy seals should only be awarded for a product's compliance with a set of standards corresponding to data protection rules. The standards should be as uniform as possible throughout the EU. |
| - Οι σφραγίδες ιδιωτικότητας θα πρέπει να χορηγούνται μόνο στην περίπτωση που το προϊόν είναι συμβατό με σειρά προτύπων που αντιστοιχούν σε κανόνες προστασίας δεδομένων. Τα πρότυπα πρέπει κατά το δυνατόν να είναι ενιαία σε ολόκληρη την ΕΕ. | - Public authorities, in particular national data protection authorities, should play an important role in the system through their involvement in the definition of relevant standards and procedures as well as in monitoring the functioning of the seal system. |
| - Οι δημόσιες αρχές, ιδίως οι εθνικές αρχές προστασίας δεδομένων, θα πρέπει να διαδραματίσουν σημαντικό ρόλο στο σύστημα με την εμπλοκή τους στον καθορισμό των προτύπων και των διαδικασιών, καθώς και στην παρακολούθηση της λειτουργίας του συστήματος των σφραγίδων. | With this in mind, and taking account of previous experience concerning seal programmes in other areas (e.g. environment, agriculture, security certification for products and services), the Commission will conduct a dialogue with all the stakeholders concerned, including national data protection authorities, industrial and consumer associations and standardisation bodies. |
| Λαμβάνοντας υπόψη τα ανωτέρω καθώς και την προηγούμενη πείρα σχετικά με τα προγράμματα σφραγίδων σε άλλους τομείς (π.χ. περιβάλλον, γεωργία, πιστοποίηση ασφάλειας για προϊόντα και υπηρεσίες), η Επιτροπή θα διεξαγάγει διάλογο με όλους τους ενδιαφερόμενους φορείς, στους οποίους συμπεριλαμβάνονται οι εθνικές αρχές προστασίας δεδομένων, οι βιομηχανικές ενώσεις και οι ενώσεις καταναλωτών, καθώς και οι οργανισμοί τυποποίησης.[pic][pic][pic][pic][pic][pic][pic][pic][pic] | [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, OJ L 281, 23.11.1995, p. 31. |
| [1] Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, EE L 281 της 23.11.1995 σ. 31. | [2] Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), OJ L 201, 31.07.2002, p. 37. |
| [2] Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες), ΕΕ L 201 της 31.7.2002, σ. 37 . | [3] Regulation (EC) 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data, OJ L 8, 12.1.2001, p. 1-22. |
| [3] Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών , ΕΕ L 8 της 12.1.2001, σ. 1-22. | [4] Recital 46 and Article 14(3) of Directive 2002/58/EC |
| [4] Αιτιολογική σκέψη 46 και άρθρο 14 παράγραφος 3 της Οδηγίας 2002/58/EΚ. | [5] COM (2003) 265(01), 15.5.2003, see http://eurlex.europa.eu/LexUriServ/site/en/com/2003/com2003_0265en01.pdf |
| [5] COM (2003) 265(01), 15.5.2003, βλ. http://eurlex.europa.eu/LexUriServ/site/en/com/2003/com2003_0265en01.pdf | [6] http://ec.europa.eu/information_society/activities/egovernment_research/doc/eidm_roadmap_paper.pdf |
| [6] http://ec.europa.eu/information_society/activities/egovernment_research/doc/eidm_roadmap_paper.pdf | [7] European Court of Justice, judgment of 20.5.2003, Joined cases C-465/00, C-138/01 and C-139/01 “Österreichischer Rundfunk and Others” (“Rechnungshof") ECR [2003] I-04989, paragraphs 71 and 72. |
| [7] Δικαστήριο Ευρωπαϊκών Κοινοτήτων, κοινές υποθέσεις C-465/00, C-138/01 και C/139/01 "Oesterreichischer Rudfunk κ.α ("Rechnungshof"), Νομολογία [2003] Ι-04989, παράγραφοι 71 και 72. | [8] https://www.prime-project.eu/ |
| [8] https://www.prime-project.eu/ | [9] http://www.opentc.net/ |
| [9] http://www.opentc.net/ | [10] http://www.ist-discreet.org/ |
| [10] http://www.ist-discreet.org/ | [11] e.g. Article 17 |
| [11] π.χ. άρθρο 17. | [12] Working Party on the Protection of Individuals with regard to the Processing of Personal Data set up by Article 29 of Directive 95/46/EC. |
| [12] Ομάδα εργασίας για την προστασία των προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, που συστάθηκε δυνάμει του άρθρου 29 της Οδηγίας 95/46/EΚ. | [13] COM (2003) 567 final, 26.9.2003. |
| [13] COM (2003) 567 τελικό, 26.9.2003. | [14] In its Communication of 31 May 2006 on a Strategy for a secure Information Society “Dialogue, partnership and empowerment”(COM (2006) 251 final), the Commission has already invited the private sector to “work towards affordable security certification schemes for products, processes and services that will address EU-specific needs (in particular with respect to privacy)”. |
| [14] Στην Ανακοίνωσή της 31 ης Μαΐου 2006 σχετικά με τη Στρατηγική για ασφαλή Κοινωνία της Πληροφορίας – «Διάλογος, πνεύμα συνεργασίας και ενίσχυση των ικανοτήτων» (COM (2006) 251 τελικό), η Επιτροπή κάλεσε ήδη τον ιδιωτικό τομέα "να εργαστούν για την εκπόνηση οικονομικά προσιτών προγραμμάτων πιστοποίησης της ασφάλειας για προϊόντα, διεργασίες και υπηρεσίες που θα αναφέρονται σε ιδιαίτερες κοινοτικές ανάγκες (ιδίως όσον αφορά την προστασία της ιδιωτικής ζωής)". | |
