Help Print this page 

Document 32000D0520

Title and reference
2000/520/ΕΚ: Απόφαση της Επιτροπής, της 26ης Ιουλίου 2000, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ [κοινοποιηθείσα υπό τον αριθμό Ε(2000) 2441] (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ.)
  • Date of entry into force unknown (pending notification) or not yet in force.
OJ L 215, 25.8.2000, p. 7–47 (ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV)
Special edition in Czech: Chapter 16 Volume 001 P. 119 - 160
Special edition in Estonian: Chapter 16 Volume 001 P. 119 - 160
Special edition in Latvian: Chapter 16 Volume 001 P. 119 - 160
Special edition in Lithuanian: Chapter 16 Volume 001 P. 119 - 160
Special edition in Hungarian Chapter 16 Volume 001 P. 119 - 160
Special edition in Maltese: Chapter 16 Volume 001 P. 119 - 160
Special edition in Polish: Chapter 16 Volume 001 P. 119 - 160
Special edition in Slovak: Chapter 16 Volume 001 P. 119 - 160
Special edition in Slovene: Chapter 16 Volume 001 P. 119 - 160
Special edition in Bulgarian: Chapter 16 Volume 001 P. 64 - 105
Special edition in Romanian: Chapter 16 Volume 001 P. 64 - 105
Special edition in Croatian: Chapter 16 Volume 003 P. 9 - 49

ELI: http://data.europa.eu/eli/dec/2000/520/oj
Multilingual display
Text

32000D0520

2000/520/ΕΚ: Απόφαση της Επιτροπής, της 26ης Ιουλίου 2000, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ [κοινοποιηθείσα υπό τον αριθμό Ε(2000) 2441] (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ.)

Επίσημη Εφημερίδα αριθ. L 215 της 25/08/2000 σ. 0007 - 0047


Απόφαση της Επιτροπής

της 26ης Ιουλίου 2000

βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ

[κοινοποιηθείσα υπό τον αριθμό Ε(2000) 2441]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

(2000/520/ΕΚ)

Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,

Έχοντας υπόψη:

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας,

την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων(1), και ιδίως το άρθρο 25 παράγραφος 6,

Εκτιμώντας τα ακόλουθα:

(1) Σύμφωνα με το άρθρο 25 παράγραφος 1 της οδηγίας 95/46/ΕΚ απαιτείται από τα κράτη μέλη να προβλέπουν ότι η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον εάν η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας και οι νόμοι του κράτους μέλους που εφαρμόζουν άλλες διατάξεις της οδηγίας τηρούνται πριν από τη διαβίβαση.

(2) Η Επιτροπή δύναται να αποφαίνεται ότι μια τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας. Στην περίπτωση αυτή επιτρέπεται να διαβιβάζονται τα δεδομένα προσωπικού χαρακτήρα από τα κράτη μέλη, χωρίς να είναι απαραίτητη η παροχή πρόσθετων εγγυήσεων.

(3) Σύμφωνα με την οδηγία 95/46/ΕΚ, το επίπεδο της προστασίας των δεδομένων πρέπει να σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή μια σειρά διαβιβάσεων δεδομένων τηρουμένων ορισμένων προϋποθέσεων. Η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει της οδηγία, έχει εκδώσει κατευθυντήριες γραμμές(2) σχετικά με τη διενέργεια των εν λόγω αξιολογήσεων(3).

(4) Δεδομένων των διαφορετικών προσεγγίσεων που ακολουθούνται όσον αφορά την προστασία των δεδομένων στις τρίτες χώρες, πρέπει η αξιολόγηση για την επάρκεια της προστασίας και η επιβολή της εφαρμογής κάθε απόφασης, που βασίζεται στο άρθρο 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ, να γίνονται με τρόπο που να μην επιφέρει αυθαίρετες ή αδικαιολόγητες διακρίσεις εις βάρος ή μεταξύ τρίτων χωρών στις οποίες επικρατούν παρόμοιες συνθήκες ούτε να αποτελεί συγκεκαλυμμένο εμπόδιο για τις εμπορικές συναλλαγές, λαμβανομένων υπόψη των σημερινών διεθνών δεσμεύσεων της Κοινότητας.

(5) Το ικανοποιητικό επίπεδο προστασίας για τη διαβίβαση δεδομένων από την Κοινότητα στις Ηνωμένες Πολιτείες, όπως αναγνωρίζεται από την παρούσα απόφαση, πρέπει να επιτυγχάνεται εφόσον οι οργανισμοί συμμορφώνονται με τις αρχές "ασφαλούς λιμένα" για την προστασία της ιδιωτικής ζωής (εφεξής "οι αρχές ασφαλούς λιμένα") και τις συχνά υποβαλλόμενες ερωτήσεις [εφεξής: "συχνές ερωτήσεις" (ΣΕ)], που παρέχουν καθοδήγηση για την εφαρμογή των αρχών ασφαλούς λιμένα, τις οποίες εξέδωσε η κυβέρνηση των Ηνωμένων Πολιτειών στις 21 Ιουλίου 2000. Εξάλλου, οι οργανισμοί πρέπει να δημοσιοποιούν τις πολιτικές που ακολουθούν στον τομέα της προστασίας της ιδιωτικής ζωής και να υπαχθούν είτε στη δικαιοδοσία της Federal Trade Commission ομοσπονδιακή επιτροπής εμπορίου, εφεξής: "FTC"), σύμφωνα με το τμήμα 5 του νόμου Federal Trade Commisison Act [νόμος περί της (ομοσπονδιακής επιτροπής εμπορίου (εφεξής "FTC Act")], που απαγορεύει τις αθέμιτες ή δόλιες ενέργειες ή πρακτικές που επηρεάζουν τις εμπορικές συναλλαγές, είτε στη δικαιοδοσία άλλου νόμιμου φορέα, ο οποίος θα εξασφαλίσει όντως τη συμμόρφωση με τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις.

(6) Οι τομείς ή και οι επεξεργασίες δεδομένων που δεν υπόκεινται στη δικαιοδοσία οποιουδήποτε από τους κρατικούς φορείς των Ηνωμένων Πολιτειών που αναφέρονται στο παράρτημα VII της παρούσας απόφασης δεν εμπίπτουν στο πεδίο εφαρμογής της απόφασης αυτής.

(7) Για να εξασφαλιστεί η κατάλληλη εφαρμογή της παρούσας απόφασης, πρέπει οι οργανισμοί που θα προσχωρήσουν στις αρχές ασφαλούς λιμένα και τις συχνές ερωτήσεις να μπορούν να αναγνωρίζονται από τα ενδιαφερόμενα μέρη, όπως τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, οι εξαγωγείς δεδομένων και οι αρχές προστασίας δεδομένων. Για το σκοπό αυτό, το Υπουργείο Εμπορίου των ΗΠΑ ή ο φορέας που ορίζεται απ' αυτό πρέπει να αναλάβει την τήρηση και τη θέση στη διάθεση του κοινού ενός καταλόγου με τους οργανισμούς που δηλώνουν ότι προσχωρούν στις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, και οι οποίοι εμπίπτουν στη δικαιοδοσία ενός τουλάχιστον από τους κρατικούς φορείς που αναφέρονται στο παράρτημα VII της παρούσας απόφασης.

(8) Προς το συμφέρον της διαφάνειας και προκειμένου να διασφαλιστεί η ικανότητα των αρμόδιων αρχών των κρατών μελών να εξασφαλίζουν την προστασία των ατόμων κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, είναι απαραίτητο να διευκρινιστούν στην απόφαση οι εξαιρετικές περιστάσεις κάτω από τις οποίες πρέπει να δικαιολογείται η αναστολή συγκεκριμένων διαβιβάσεων δεδομένων, παρά τη διαπίστωση περί ικανοποιητικού επιπέδου προστασίας.

(9) Ο "ασφαλής λιμένας" που δημιουργείται από τις αρχές και τις συχνές ερωτήσεις ίσως χρειαστεί να αναθεωρηθεί με βάση την εμπειρία που θα αποκτηθεί από τις εξελίξεις που θα σημειωθούν όσον αφορά την προστασία της ιδιωτικής ζωής σε συνθήκες υπό τις οποίες η τεχνολογία καθιστά συνεχώς ευκολότερη τη διαβίβαση και επεξεργασία δεδομένων προσωπικού χαρακτήρα και με βάση εκθέσεις σχετικά με την εφαρμογή από τις υπεύθυνες για την εφαρμογή αρχές.

(10) Η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει του άρθρου 29 της οδηγίας 95/46/ΕΚ έχει διατυπώσει γνωμοδοτήσεις σχετικά με το επίπεδο της προστασίας που παρέχουν οι αρχές ασφαλούς λιμένα στις Ηνωμένες Πολιτείες. Οι γνωμοδοτήσεις αυτές ελήφθησαν υπόψη κατά την εκπόνηση της παρούσας απόφασης(4).

(11) Τα μέτρα που προβλέπονται από την παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46/ΕΚ,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

1. Για τους σκοπούς του άρθρου 25 παράγραφος 2 της οδηγίας 95/46/ΕΚ, για όλες τις δραστηριότητες που εμπίπτουν στο πεδίο εφαρμογής της οδηγίας, οι "αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής" (εφεξής: "οι αρχές ασφαλούς λιμένα"), όπως παρατίθενται στο παράρτημα I της παρούσας απόφασης, που εφαρμόζονται σύμφωνα με την καθοδήγηση που παρέχεται από τις συχνά υποβαλλόμενες ερωτήσεις (εφεξής: "συχνές ερωτήσεις"), που εκδόθηκαν από το Υπουργείο Εμπορίου των ΗΠΑ στις 21 Ιουλίου 2000, όπως παρατίθενται στο παράρτημα II της παρούσας απόφασης, θεωρείται ότι παρέχουν ικανοποιητικό επίπεδο προστασίας για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την Κοινότητα σε οργανισμούς εγκατεστημένους στις Ηνωμένες Πολιτείες, λαμβανομένων υπόψη των ακόλουθων εγγράφων, που εκδόθηκαν από το Υπουργείο Εμπορίου των ΗΠΑ:

α) μιας ανασκόπησης της επιβαλλόμενης εφαρμογής των αρχών ασφαλούς λιμένα, όπως παρατίθεται στο παράρτημα III·

β) ενός υπομνήματος σχετικά με την πρόκληση βλάβης λόγω παραβίασης του απορρήτου της ιδιωτικής ζωής και σχετικά με τις ρητές εγκρίσεις που προβλέπονται στο αμερικανικό δίκαιο, όπως παρατίθενται στο παράρτημα IV·

γ) μιας επιστολής από την ομοσπονδιακή επιτροπή εμπορίου, όπως παρατίθεται στο παράρτημα V·

δ) μιας επιστολής από το Υπουργείο Μεταφορών των ΗΠΑ, όπως παρατίθεται στο παράρτημα VI.

2. Για κάθε διαβίβαση δεδομένων πληρούνται οι ακόλουθες προϋποθέσεις:

α) ο οργανισμός που παραλαμβάνει τα δεδομένα έχει δηλώσει σαφώς και δημοσίως τη δέσμευσή του να συμμορφωθεί με τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις και

β) ο οργανισμός υπόκειται στις νόμιμες εξουσίες ενός κρατικού φορέα των Ηνωμένων Πολιτειών όπως αναφέρεται στο παράρτημα VII της παρούσας απόφασης και ο οποίος έχει το δικαίωμα να διερευνά καταγγελίες και να λαμβάνει μέτρα κατά των αθέμιτων και δολίων πρακτικών, καθώς και για την αποζημίωση των θιγομένων ατόμων, ανεξάρτητα από τη χώρα κατοικίας ή την ιθαγένειά τους, σε περίπτωση μη συμμόρφωσης προς τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις.

3. Οι όροι που αναφέρονται στην παράγραφο 2 θεωρείται ότι πληρούνται για κάθε οργανισμό που δηλώνει την προσχώρησή του στις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, από την ημερομηνία κατά την οποία ο οργανισμός αυτός γνωστοποιεί στο Υπουργείο Εμπορίου των ΗΠΑ (ή στον φορέα που έχει οριστεί απ' αυτό) τη δημόσια δέσμευση που αναφέρεται στην παράγραφο 2 στοιχείο α), καθώς και τα στοιχεία του κρατικού φορέα που αναφέρεται στην παράγραφο 2 στοιχείο β).

Άρθρο 2

Η παρούσα απόφαση αφορά μόνο την επάρκεια της προστασίας που παρέχεται στις Ηνωμένες Πολιτείες σύμφωνα με τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, σε σχέση με την τήρηση των απαιτήσεων του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/ΕΚ και δεν επηρεάζει την εφαρμογή άλλων διατάξεων της εν λόγω οδηγίας που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, συμπεριλαμβανομένου του άρθρου 4 της οδηγίας 95/46/ΕΚ.

Άρθρο 3

1. Με την επιφύλαξη των εξουσιών τους να αναλαμβάνουν δράση προκειμένου να εξασφαλίζουν την τήρηση των εθνικών διατάξεων που εκδίδονται σύμφωνα με διατάξεις διαφορετικές από το άρθρο 25 της οδηγίας 95/46/ΕΚ, οι αρμόδιες αρχές των κρατών μελών δύνανται να ασκούν τις υφιστάμενες εξουσίες τους για να αναστέλλουν τη ροή δεδομένων προς οργανισμό που έχει δηλώσει ότι προσχωρεί στις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, προκειμένου να προστατεύουν τα φυσικά πρόσωπα από την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν, στις ακόλουθες περιπτώσεις:

α) όταν ο κρατικός φορέας των Ηνωμένων Πολιτειών που αναφέρεται στο παράρτημα VII της παρούσας απόφασης ή ένας ανεξάρτητος φορέας προσφυγής, κατά την έννοια του πρώτου εδαφίου της αρχής εφαρμογής, όπως παρατίθεται στο παραρτήματος I της παρούσας απόφασης, κρίνει ότι ο οργανισμός παραβιάζει τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, ή

β) όταν υπάρχει σοβαρή πιθανότητα παραβίασης των αρχών ασφαλούς λιμένα, όταν υπάρχουν στοιχεία από τα οποία προκύπτει βασίμως ότι ο σχετικός φορέας εφαρμογής δεν λαμβάνει ή δεν θα λάβει κατάλληλα και έγκαιρα μέτρα για τη διευθέτηση του προβλήματος, όταν η συνέχιση της διαβίβασης δεδομένων δημιουργεί άμεσο κίνδυνο πρόκλησης σοβαρής ζημίας στα άτομα τα οποία αφορούν τα δεδομένα, και όταν οι αρμόδιες αρχές του κράτους μέλους κατέβαλαν, υπό τις συγκεκριμένες περιστάσεις, κάθε δυνατή προσπάθεια για να ενημερώσουν σχετικά τον οργανισμό και να του δώσουν τη δυνατότητα να απαντήσει.

Η αναστολή της ροής δεδομένων λήγει αμέσως μόλις εξασφαλιστεί η συμμόρφωση με τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, και ενημερωθούν σχετικά οι αρμόδιες αρχές στην ΕΕ.

2. Όταν λαμβάνονται μέτρα βάσει της παραγράφου 1, τα κράτη μέλη ενημερώνουν αμελλητί την Επιτροπή.

3. Τα κράτη μέλη και η Επιτροπή ενημερώνονται αμοιβαία για τις περιπτώσεις στις οποίες η δράση των φορέων που είναι υπεύθυνοι για τη συμμόρφωση με τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις στις Ηνωμένες Πολιτείες, αποτυγχάνει να εξασφαλίσει την εν λόγω συμμόρφωση.

4. Αν από τα πληροφοριακά στοιχεία που συλλέγονται βάσει των παραγράφων 1 έως 3 προκύπτει ότι οποιοσδήποτε φορέας που είναι αρμόδιος για τη συμμόρφωση με τις αρχές ασφαλούς λιμένα, όπως αυτές εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, στις Ηνωμένες Πολιτείες δεν εκπληρώνει ικανοποιητικά την αποστολή του, η Επιτροπή ενημερώνει σχετικά το Υπουργείο Εμπορίου των ΗΠΑ και, εφόσον χρειάζεται, υποβάλλει σχέδιο μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31 της οδηγίας 95/46/ΕΚ, με σκοπό την ακύρωση ή την αναστολή της παρούσας απόφασης ή τον περιορισμό του πεδίου εφαρμογής της.

Άρθρο 4

1. Η παρούσα απόφαση δύναται να προσαρμόζεται ανά πάσα στιγμή υπό το φως των εμπειριών που αφορούν την εφαρμογή της ή/και αν το επίπεδο προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα και τις συχνές ερωτήσεις είναι υποδεέστερο από τις απαιτήσεις της νομοθεσίας των ΗΠΑ.

Εν πάση περιπτώσει, η Επιτροπή αξιολογεί την εφαρμογή της παρούσας απόφασης βάσει των διαθέσιμων πληροφοριών τρία έτη μετά την κοινοποίησή της στα κράτη μέλη και ανακοινώνει τα σχετικά πορίσματά της στην επιτροπή που συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46/ΕΚ, περιλαμβανομένης οποιασδήποτε ένδειξης η οποία θα μπορούσε να επηρεάσει την εκτίμηση σύμφωνα με την οποία οι ρυθμίσεις που αναφέρονται στο άρθρο 1 της παρούσας απόφασης παρέχουν ικανοποιητική προστασία, κατά την έννοια του άρθρου 25 της οδηγίας 95/46/ΕΚ, καθώς και κάθε ένδειξης από την οποία προκύπτει ότι η παρούσα απόφαση εφαρμόζεται κατά τρόπο που επιφέρει διακρίσεις.

2. Η Επιτροπή υποβάλλει, εφόσον χρειάζεται, σχέδιο μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31 της οδηγίας 95/46/ΕΚ.

Άρθρο 5

Τα κράτη μέλη λαμβάνουν όλα τα απαραίτητα μέτρα για να συμμορφωθούν με την παρούσα απόφαση το αργότερο ενενήντα ημέρες μετά την ημερομηνία κοινοποίησής της στα κράτη μέλη.

Άρθρο 6

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 26 Ιουλίου 2000.

Για την Επιτροπή

Frederik Bolkestein

Μέλος της Επιτροπής

(1) ΕΕ L 281 της 23.11.1995, σ. 31.

(2) Η διεύθυνση της ομάδας προστασίας στο Διαδίκτυο είναι: http://www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

(3) WP 12: διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες: εφαρμογή των άρθρων 25 και 26 της οδηγίας της ΕΕ περί προστασίας των δεδομένων· εκδόθηκε από την ομάδα εργασίας στις 24 Ιουλίου 1998.

(4) WP 15: Γνωμοδότηση 1/1999 σχετικά με το επίπεδο προστασίας των δεδομένων στις Ηνωμένες Πολιτείες και τις υπό εξέλιξη συζητήσεις μεταξύ της Επιτροπής και της κυβέρνησης των Ηνωμένων Πολιτείων.

WP 19: γνωμοδότηση 2/1999 σχετικά με την επάρκεια των "διεθνών αρχών ασφαλούς λιμένα" που εξέδωσε το Υπουργείο Εμπορίου των Ηνωμένων Πολιτείων στις 19 Απριλίου 1999.

WP 21: γνωμοδότηση 4/1999 σχετικά με τις "συχνές ερωτήσεις" που πρόκειται να εκδώσει το Υπουργείο Εμπορίου των Ηνωμένων Πολιτειών σε σχέση με τις προτεινόμενες "αρχές ασφαλούς λιμένα" όσον αφορά την επάρκεια των "διεθνών αρχών ασφαλούς λιμένα".

WP 23: έγγραφο εργασίας σχετικά με την κατάσταση προόδου των υπό εξέλιξη συζητήσεων μεταξύ της Επιτροπής και της κυβέρνησης των Ηνωμένων Πολιτειών όσον αφορά τις "διεθνείς αρχές ασφαλούς λιμένα".

WP 27: γνωμοδότηση 7/1999 σχετικά με το επίπεδο προστασίας των δεδομένων που παρέχεται από τις αρχές του "ασφαλούς λιμένα" οι οποίες δημοσιεύθηκαν μαζί με τις συχνές ερωτήσεις και άλλα συναφή έγγραφα στις 15 και 16 Νοεμβρίου 1999 από το Υπουργείο Εμπορίου των Ηνωμένων Πολιτειών.

WP 31: γνωμοδότηση 3/2000 για το διάλογο ΕΕ/ΗΠΑ σχετικά με τη ρύθμιση "ασφαλούς λιμένα".

WP 32: γνωμοδότηση 4/2000 σχετικά με το επίπεδο προστασίας που παρέχουν οι "αρχές ασφαλούς λιμένα".

ΠΑΡΑΡΤΗΜΑ I

ΟΙ ΑΡΧΕΣ ΑΣΦΑΛΛΟΥΣ ΛΙΜΕΝΑ ΠΕΡΙ ΙΔΙΩΤΙΚΗΣ ΖΩΗΣ

που εξέδωσε το Υπουργείο Εμπορίου των Ηνωμένων Πολιτειών στις 21 Ιουλίου 2000

Η νομοθετική πράξη της Ευρωπαϊκής Ένωσης που διέπει τα θέματα προστασίας της ιδιωτικής ζωής, δηλαδή η οδηγία για την προστασία των δεδομένων (εφεξής "η οδηγία"), άρχισε να ισχύει στις 25 Οκτωβρίου 1998. Σύμφωνα με την οδηγία αυτή, επιτρέπεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς χώρες μη μέλη της ΕΕ μόνον εφόσον οι εν λόγω τρίτες χώρες παρέχουν ένα "επαρκές" επίπεδο προστασίας της ιδιωτικής ζωής. Μολονότι οι Ηνωμένες Πολιτείες και η Ευρωπαϊκή Ένωση έχουν ως κοινό στόχο την ενίσχυση της προστασίας της ιδιωτικής ζωής για τους πολίτες τους, οι Ηνωμένες Πολιτείες υιοθετούν μια προσέγγιση ως προς την ιδιωτική ζωή η οποία διαφέρει από εκείνη της Ευρωπαϊκής Ένωσης. Οι Ηνωμένες Πολιτείες ακολουθούν μια τομεακή προσέγγιση βασιζόμενη σε ένα συνονθύλευμα νομοθετικών πράξεων, κανονιστικών διατάξεων και διατάξεων αυτορρύθμισης. Λόγω των διαφορών αυτών, πολλοί αμερικανικοί οργανισμοί εξέφρασαν αμφιβολίες ως προς τον αντίκτυπο του απαιτούμενου από την ΕΕ "επιπέδου επάρκειας" όσον αφορά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την Ευρωπαϊκή Ένωση προς τις Ηνωμένες Πολιτείες.

Προκειμένου να αμβλυνθούν οι αμφιβολίες αυτές και να παρασχεθεί ένα πιο προβλέψιμο πλαίσιο για τις διαβιβάσεις δεδομένων αυτού του είδους, το Υπουργείο Εμπορίου εκδίδει το παρόν έγγραφο και τις συχνές ερωτήσεις (εφεξής "οι αρχές") ως αρμόδιο όργανο για την ενίσχυση, την προώθηση και την ανάπτυξη του διεθνούς εμπορίου. Οι αρχές αναπτύχθηκαν σε συνεννόηση με τη βιομηχανία και το ευρύ κοινό για να διευκολυνθούν οι συναλλαγές και το εμπόριο μεταξύ των Ηνωμένων Πολιτειών και της Ευρωπαϊκής Ένωσης. Προορίζονται αποκλειστικά για χρήση από αμερικανικούς οργανισμούς που λαμβάνουν δεδομένα προσωπικού χαρακτήρα από την Ευρωπαϊκή Ένωση, προκειμένου οι οργανισμοί αυτοί να πληρούν τις προϋποθέσεις του "ασφαλούς λιμένα" και να επωφελούνται από το τεκμήριο "επάρκειας" που παρέχει η ένταξη σ' αυτόν. Καθώς οι αρχές δημιουργήθηκαν αποκλειστικά και μόνο για την εξυπηρέτηση αυτού του συγκεκριμένου σκοπού, ενδέχεται να μην ενδείκνυται η υιοθέτησή τους για άλλους σκοπούς. Οι αρχές δεν μπορούν να χρησιμοποιηθούν ως υποκατάστατο των εθνικών διατάξεων εφαρμογής της οδηγίας που ισχύουν για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη.

Η προσχώρηση των οργανισμών στον ασφαλή λιμένα είναι απόλυτα προαιρετική και μπορεί να πραγματοποιηθεί κατά διάφορους τρόπους. Οι οργανισμοί που αποφασίζουν να προσχωρήσουν στις αρχές πρέπει, αφενός, να συμμορφώνονται με αυτές προκειμένου να αποκτήσουν και να διατηρήσουν τα πλεονεκτήματα του ασφαλούς λιμένα και, αφετέρου, να δημοσιοποιούν την πρόθεσή τους. Παραδείγματος χάριν, όταν ένας οργανισμός γίνεται μέλος ενός αυτορυθμιστικού προγράμαμτος προστασίας της ιδιωτικής ζωής, το οποίο τηρεί τις αρχές αυτές, ο οργανισμός πληροί τις προϋποθέσεις του ασφαλούς λιμένα. Ένας οργανισμός μπορεί επίσης να ανταποκριθεί στις εν λόγω προϋποθέσεις αναπτύσσοντας τις δικούς του κανόνες περί ιδιωτικής ζωής, εφόσον συμμορφώνονται με τις αρχές. Όταν ένας οργανισμός τηρεί τις αρχές βασιζόμενος, εν όλω ή εν μέρει, σε διατάξεις αυτορρύθμισης, η παράλειψη συμμόρφωσης με τις εν λόγω διατάξεις πρέπει επίσης να υπόκειται σε προσφυγή βάσει του τμήματος 5 του νόμου περί της ομοσπονδιακής επιτροπής εμπορίου (Federal Trade Comission Act), που απαγορεύει τις αθέμιτες ή δόλιες ενέργειες, ή βάσει παρόμοιου νόμου ή κανονισμού που να απαγορεύει τέτοιες ενέργειες (βλέπε το παράρτημα για τον κατάλογο των νόμιμων φορέων των ΗΠΑ που αναγνωρίζονται από την Ευρωπαϊκή Ένωση). Επιπρόσθετα, οι οργανισμοί που υπόκεινται σε δέσμη νομοθετικών, κανονιστικών, διοικητικών ή άλλων νομικών διατάξεων (ή κανόνων), οι οποίες προστατεύουν αποτελεσματικά το απόρρητο των δεδομένων προσωπικού χαρακτήρα, μπορούν επίσης να επωφελούνται των πλεονεκτημάτων του ασφαλούς λιμένα. Εν πάση περιπτώσει, τα πλεονεκτήματα του ασφαλούς λιμένα αρχίζουν να ισχύουν από την ημερομηνία κατά την οποία ο ενδιαφερόμενος οργανισμός δηλώνει στο Υπουργείο Εμπορίου (ή στον οριζόμενο από αυτό φορέα) την προσχώρησή του στις αρχές σύμφωνα με τις συστάσεις που εκτίθενται στη συχνή ερώτηση σχετικά με την αυτοπιστοποίηση.

Η προσχώρηση στις εν λόγω αρχές δύναται να περιοριστεί α) στο μέτρο που είναι αναγκαίο για να πληρούνται απαιτήσεις εθνικής ασφάλειας, δημόσιου συμφέροντος και εφαρμογής του νόμου· β) από νομοθετικές, κυβερνητικές ή νομολογιακές διατάξεις οι οποίες δημιουργούν αντιφατικές υποχρεώσεις ή ρητή έγκριση, υπό τον όρο ότι, κατά την άσκηση οποιασδήποτε παρόμοιας έγκρισης, ο οργανισμός μπορεί να αποδείξει ότι η μη συμμόρφωσή του με τις αρχές περιορίζεται στο μέτρο που είναι αναγκαίο για να πληρούνται τα υπερισχύοντα νόμιμα συμφέροντα τα οποία εξυπηρετεί η εν λόγω έκριση· ή γ) από εξαιρέσεις ή παρεκκλίσεις τις οποίες προβλέπει η οδηγία ή ο νόμος του κράτους μέλους, εφόσον οι εν λόγω εξαιρέσεις ή παρεκκλίσεις εφαρμόζονται σε συγκρίσιμα πλαίσια. Σε συνέπεια με το στόχο της ενίσχυσης της προστασίας της ιδιωτικής ζωής, οι οργανισμοί οφείλουν να καταβάλλουν κάθε προσπάθεια ώστε να εφαρμόζουν τις αρχές αυτές κατά τρόπο πλήρη και διαφανή, ενώ θα πρέπει επίσης να υποδεικνύουν στις σχετικές με την προστασία της ιδιωτικής ζωής πολιτικές τους, τις περιπτώσεις όπου θα εφαρμόζονται σε τακτική βάση οι εξαιρέσεις από τις αρχές που επιτρέπονται από το στοιχείο β) παραπάνω. Για τον ίδιο λόγο, όταν θα επιτρέπεται η εναλλακτική δυνατότητα βάσει των αρχών ή/και του δικαίου των ΗΠΑ, αναμένεται από τους οργανισμούς να επιλέγουν την υψηλότερη προστασία όπου αυτό είναι δυνατόν.

Για πρακτικούς ή άλλους λόγους, ορισμένοι οργανισμοί ενδέχεται να επιθυμούν να εφαρμόζουν τις αρχές σε όλες τις ενέργειές τους επεξεργασίας δεδομένων· ωστόσο υποχρεούνται να τις εφαρμόζουν μόνο για τις διαβιβάσεις δεδομένων που πραγματοποιούν μετά την προσχώρησή τους στον "ασφαλή λιμένα". Για να πληρούν τις προϋποθέσεις του ασφαλούς λιμένα, οι οργανισμοί δεν υποχρεούνται να εφαρμόζουν τις αρχές αυτές στις πληροφορίες που αποθηκεύονται σε αρχεία η επεξεργασία των οποίων γίνεται χειρωνακτικώς. Όσοι οργανισμοί επιθυμούν να επωφελούνται του πλεονεκτήματος του ασφαλούς λιμένα για να τους διαβιβάζονται πληροφορίες από αρχεία, η επεξεργασία των οποίων γίνεται χειρωνακτικώς, από την ΕΕ, οφείλουν να εφαρμόζουν τις αρχές σε όλες τις παρόμοιες πληροφορίες που τους διαβιβάζοντα μετά την προσχώρησή τους στον "ασφαλή λιμένα". Ένας οργανισμός που επιθυμεί να επεκτείνει τα πλεονεκτήματα του ασφαλούς λιμένα σε σχετικές με ανθρώπινους πόρους πληροφορίες προσωπικού χαρακτήρα που διαβιβάζονται από την ΕΕ για χρήση στο πλαίσιο εργασιακής σχέσης, πρέπει να το αναφέρει σχετικά όταν θα δηλώνει στο Υπουργείο Εμπορίου (ή στον οριζόμενο από αυτό φορέα) την προσχώρησή του στις αρχές της αυτοπιστοποίησης, ενώ πρέπει να συμμορφώνεται με τις απαιτήσεις που ορίζονται στις συχνές ερωτήσεις σχετικά με την αυτοπιστοποίηση.

Οι οργανισμοί θα είναι επίσης σε θέση να παρέχουν τις εγγυήσεις που κρίνονται αναγκαίες από το άρθρο 26 της οδηγίας, εάν συμπεριλαμβάνουν τις αρχές σε γραπτές συμφωνίες για τις ουσιαστικές διατάξεις περί προστασίας της ιδιωτικής ζωής, που θα συνάπτονται με τα μέρη που διαβιβάζουν τα δεδομένα από την ΕΕ, αφού η Επιτροπή και τα κράτη μέλη εγκρίνουν τις άλλες διατάξεις για τα υποδείγματα συμβάσεων.

Το δίκαιο των ΗΠΑ θα ισχύει όσον αφορά τόσο τα θέματα ερμηνείας και συμμόρφωσης με τις αρχές του ασφαλούς λιμένα (περιλαμβανομένων και των συχνών ερωτήσεων), όσο και τις σχετικές πολιτικές των οργανισμών του ασφαλούς λιμένα που αφορούν την προστασία της ιδιωτικής ζωής, με εξαίρεση τις περιπτώσεις κατά τις οποίες οι οργανισμοί θα έχουν αναλάβει τη δέσμευση να συνεργάζονται με τις ευρωπαϊκές αρχές προστασίας των δεδομένων. Εκτός αν δηλώνεται διαφορετικά, θα ισχύουν στις ανάλογες περιπτώσεις όλες οι διατάξεις των αρχών του ασφαλούς λιμένα και των συχνών ερωτήσεων.Τα "δεδομένα προσωπικού χαρακτήρα" και οι "πληροφορίες προσωπικού χαρακτήρα" είναι στοιχεία τα οποία αφορούν ένα πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί και τα οποία εμπίπτουν στο πεδίο εφαρμογής της οδηγίας, λαμβάνονται από έναν αμερικανικό οργανισμό με προέλευση από την Ευρωπαϊκή Ένωση και καταγράφονται με οποιαδήποτε μορφή.

ΚΟΙΝΟΠΟΙΗΣΗ

Ένας οργανισμός οφείλει να ενημερώνει τα πρόσωπα σχετικά με τους σκοπούς για τους οποίους συλλέγει και χρησιμοποιεί πληροφορίες που τα αφορούν, τον τρόπο επικοινωνίας με τον οργανισμό για τυχόν αιτήσεις πληροφοριών ή παράπονα, τους τρίτους στους οποίους γνωστοποιεί τις πληροφορίες, καθώς και τις επιλογές και τα μέσα που προσφέρει ο οργανισμός στα πρόσωπα για τον περιορισμό της χρήσης και της γνωστοποίησης των πληροφοριών. Η κοινοποίηση αυτή πρέπει να παρέχεται σε σαφή και ευδιάκριτη γλώσσα κατά την πρώτη αίτηση παροχής πληροφοριών προσωπικού χαρακτήρα που απευθύνει στα πρόσωπα ο οργανισμός ή το συντομότερο δυνατό μετά ταύτα, αλλά οπωσδήποτε προτού προβεί ο οργανισμός είτε στη χρήση των πληροφοριών αυτών για σκοπό άλλο από εκείνο για τον οποίο συνελέγησαν αρχικά ή για τον οποίο υπέστησαν επεξεργασία από τον διαβιβάζοντα οργανισμό, είτε στη γνωστοποίηση των πληροφοριών σε τρίτο μέρος για πρώτη φορά(1).

ΕΠΙΛΟΓΗ

Ένας οργανισμός πρέπει να παρέχει στα πρόσωπα την ευκαιρία να επιλέγουν (δικαίωμα εξαίρεσης από τα δεδομένα) εάν οι πληροφορίες προσωπικού χαρακτήρα που τα αφορούν πρόκειται α) να γνωστοποιηθούν σε ένα τρίτο μέρος(2) ή β) να χρησιμοποιηθούν για ένα σκοπό ο οποίος δεν συνάδει με το σκοπό για τον οποίο συνελέγησαν αρχικά ή για τον οποίο εγκρίθηκαν στη συνέχεια από τα εν λόγω πρόσωπα. Πρέπει να παρέχονται στα πρόσωπα σαφείς, ευδιάκριτοι, άμεσα διαθέσιμοι και προσιτοί μηχανισμοί για την άσκηση της επιλογής.

Όσον αφορά τις ευαίσθητες πληροφορίες (δηλαδή πληροφορίες προσωπικού χαρακτήρα οι οποίες αναφέρουν λεπτομερώς ασθένειες ή την κατάσταση υγείας, τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις ή πληροφορίες σχετικά με τη σεξουαλική ζωή του προσώπου) πρέπει να παρέχεται καταφατική ή ρητή επιλογή (οικειοθελής συμμετοχή) όποτε οι πληροφορίες πρόκειται να γνωστοποιηθούν σε τρίτο μέρος ή να χρησιμοποιηθούν για σκοπό άλλο από εκείνο για τον οποίο συνελέγησαν αρχικά ή τον οποίο ενέκρινε το ενδιαφερόμενο πρόσωπο μεταγενέστερα ασκώντας την επιλογή της οικειοθελούς συμμετοχής. Εν πάση περιπτώσει, ένας οργανισμός οφείλει να μεταχειρίζεται ως ευαίσθητες οποιεσδήποτε πληροφορίες λαμβάνει από τρίτο μέρος, τις οποίες το εν λόγω τρίτο μέρος χαρακτηρίζει και μεταχειρίζεται ως ευαίσθητες.

ΠΕΡΑΙΤΕΡΩ ΔΙΑΒΙΒΑΣΗ

Για να γνωστοποιούν πληροφορίες σε τρίτο μέρος, οι οργανισμοί πρέπει να εφαρμόζουν τις αρχές της κοινοποίησης και της επιλογής. Όποτε ένας οργανισμός επιθυμεί να διαβιβάσει πληροφορίες σε ένα τρίτο μέρος το οποίο ενεργεί ως πράκτορας, όπως περιγράφεται στην τελική σημείωση, μπορεί να το πράξει αφού εξακριβώσει πρώτα ότι τα τρίτα μέρη τηρούν τις αρχές του ασφαλούς λιμένα ή υπόκεινται στην οδηγία ή σε κάποιο μηχανισμό που να εξασφαλίζει την επάρκεια της προστασίας ή συνάπτει γραπτή συμφωνία με τα τρίτα μέρη που να απαιτεί από τα τελευταία να παρέχουν τουλάχιστον το ίδιο επίπεδο προστασίας της ιδιωτικής ζωής με εκείνο που επιβάλλουν οι συναφείς αρχές του ασφαλούς λιμένα. Εφόσον ο οργανισμός τηρεί τις προϋποθέσεις αυτές, δεν φέρει ευθύνη (εκτός αν ο οργανισμός αποφασίσει διαφορετικά) σε περίπτωση που το τρίτο μέρος στο οποίο διαβιβάζει παρόμοιες πληροφορίες τις επεξεργάζεται κατά τρόπο που να αντιβαίνει στους προβλεπόμενους περιορισμούς ή στις συμφωνημένες διατάξεις, εκτός και αν ο οργανισμός γνώριζε ή όφειλε να γνωρίζει ότι το τρίτο μέρος θα επεξεργαζόταν τις πληροφορίες κατά τρόπο αντίθετο και δεν έλαβε εύλογα μέτρα προκειμένου να εμποδίσει ή να σταματήσει την επεξεργασία αυτή.

ΑΣΦΑΛΕΙΑ

Οι οργανισμοί που δημιουργούν, διατηρούν, χρησιμοποιούν ή διαδίδουν πληροφορίες προσωπικού χαρακτήρα οφείλουν να λαμβάνουν εύλογες προφυλάξεις για την προστασία των πληροφοριών αυτών από τυχόν απώλεια, κατάχρηση και μη εγκεκριμένη πρόσβαση, γνωστοποίηση, αλλαγή και καταστροφή.

ΑΚΕΡΑΙΟΤΗΤΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Σύμφωνα με τις αρχές, οι πληροφορίες προσωπικού χαρακτήρα πρέπει να παρουσιάζουν συνάφεια με τους σκοπούς για τους οποίους πρόκειται να χρησιμοποιηθούν. Ένας οργανισμός δεν μπορεί να επεξεργαστεί πληροφορίες προσωπικού χαρακτήρα κατά τρόπο που να αντιβαίνει στους σκοπούς για τους οποίους συνελέγησαν ή για τους οποίους εγκρίθηκαν από το πρόσωπο μεταγενέστερα. Στο μέτρο που είναι αναγκαίο για την εξυπηρέτηση των εν λόγω σκοπών, ένας οργανισμός πρέπει να λαμβάνει εύλογα μέτρα για να εξασφαλίσει ότι τα δεδομένα είναι χρησιμοποιήσιμα, ακριβή, πλήρη και ενημερωμένα.

ΠΡΟΣΒΑΣΗ

Τα πρόσωπα πρέπει να έχουν πρόσβαση στις πληροφορίες προσωπικού χαρακτήρα που τα αφορούν, τις οποίες κατέχει ένας οργανισμός, και να έχουν τη δυνατότητα να διορθώνουν, να τροποποιούν και να εξαλείφουν τις πληροφορίες αυτές όποτε είναι ανακριβείς, με εξαίρεση τις περιπτώσεις κατά τις οποίες η επιβάρυνση ή το κόστος που συνεπάγεται η παροχή πρόσβασης θα ήταν δυσανάλογα προς τους κινδύνους για την προστασία της ιδιωτικής ζωής του προσώπου εν προκειμένω ή σε περίπτωση που παραβιάζονται τα δικαιώματα άλλων τρίτων προσώπων.

ΕΦΑΡΜΟΓΗ

Για να υπάρξει αποτελεσματική προστασία της ιδιωτικής ζωής πρέπει να υφίστανται μηχανισμοί που να εξασφαλίζουν τη συμμόρφωση με τις αρχές, μέσα προσφυγής για τα πρόσωπα περί των οποίων πρόκειται και τα οποία θίγονται από τη μη συμμόρφωση με τις αρχές καθώς και συνέπειες για τον οργανισμό σε περίπτωση μη τήρησης των αρχών. Οι μηχανισμοί αυτοί πρέπει να περιλαμβάνουν τουλάχιστον α) άμεσα διαθέσιμους και προσιτούς ανεξάρτητους μηχανισμούς προσφυγής για τη διερεύνηση και τη διευθέτηση των καταγγελιών και των αμφισβητήσεων σύμφωνα με τις αρχές και για την αποζημίωση του κάθε προσώπου στις περιπτώσεις που προβλέπονται από το εφαρμοστέο δίκαιο ή τις πρωτοβουλίες του ιδιωτικού τομέα· β) διαδικασίες παρακολούθησης για την επαλήθευση τόσο της ακρίβειας των διαβεβαιώσεων και των ισχυρισμών των επιχειρήσεων όσον αφορά τις πρακτικές τους περί ιδιωτικής ζωής, όσο και της εφαρμογής των πρακτικών περί ιδιωτικής ζωής σύμφωνα με τη διατύπωσή τους, και γ) υποχρεώσεις επίλυσης των προβλημάτων που απορρέουν από την παράλειψη συμμόρφωσης με τις αρχές από οργανισμούς που ισχυρίζονται ότι τις τηρούν και τις συνέπειες για τους οργανισμούς στην περίπτωση αυτή. Οι κυρώσεις πρέπει να είναι αρκετά αυστηρές ώστε να εξασφαλίζεται η συμμόρφωση εκ μέρους των οργανισμών.

(1) Δεν είναι αναγκαίο να εφαρμόζεται η αρχή της κοινοποίησης ή της επιλογής όταν οι πληροφορίες γνωστοποιούνται σε τρίτο μέρος το οποίο ενεργεί ως πράκτορας αναλαμβάνοντας εργασία(-ες) εξ ονόματος του οργανισμού και εκτελώντας τις εντολές του. Απεναντίας, η αρχή της περαιτέρω διαβίβασης εφαρμόζεται στις γνωστοποιήσεις αυτού του είδους.

(2) Δεν είναι αναγκαίο να εφαρμόζεται η αρχή της κοινοποίησης ή της επιλογής όταν οι πληροφορίες γνωστοποιούνται σε τρίτο μέρος το οποίο ενεργεί ως πράκτορας αναλαμβάνοντας εργασία(-ες) εξ ονόματος του οργανισμού και εκτελώντας τις εντολές του. Απεναντίας, η αρχή της περαιτέρω διαβίβασης εφαρμόζεται στις γνωστοποιήσεις αυτού του είδους.

Προσάρτημα

Κατάλογος των θεσμικών φορέων των ΗΠΑ οι οποίοι αναγνωρίζονται από την Ευρωπαϊκή Ένωση

Η Ευρωπαϊκή Ένωση αναγνωρίζει τους ακόλουθους κυβερνητικούς φορείς των ΗΠΑ ως αρμόδιους για τη διερεύνηση καταγγελιών και για την επιβολή κυρώσεων κατά αθέμιτων ή παραπλανητικών πρακτικών καθώς επίσης και για την αποζημίωση ατόμων σε περίπτωση μη συμμόρφωσης με τις αρχές που εφαρμόζονται σύμφωνα με τις ΣΕ:

- την FTC βάσει των αρμοδιοτήτων που της παρέχονται από το τμήμα 5 (Section 5) του FTC Act,

- το Υπουργείο Μεταφορών, βάσει των αρμοδιοτήτων που του παρέχονται από τον τίτλο 49 του United States Code, Section 41712.

ΠΑΡΑΡΤΗΜΑ II

ΣΥΧΝΕΣ ΕΡΩΤΗΣΕΙΣ (ΣΕ)

ΣΕ αριθ. 1 - Ευαίσθητα δεδομένα

Ε: Πρέπει ένας οργανισμός να παρέχει πάντοτε ρητή επιλογή όσον αφορά τα ευαίσθητα δεδομένα;

Α: Όχι, δεν απαιτείται τέτοια επιλογή όταν η επεξεργασία: 1. είναι προς το ζωτικό συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου ατόμου· 2. είναι αναγκαία για την τεκμηρίωση νομικών αξιώσεων ή για την υπεράσπιση ατόμων· 3. απαιτείται για την παροχή ιατρικής περίθαλψης ή διάγνωσης· 4. πραγματοποιείται στα πλαίσια νόμιμων δραστηριοτήτων ιδρύματος, ένωσης ή οποιουδήποτε άλλου μη κερδοσκοπικού φορέα με πολιτικούς, φιλοσοφικούς, θρησκευτικούς ή συνδικαλιστικούς σκοπούς και υπό την προϋπόθεση ότι η επεξεργασία έχει σχέση αποκλειστικά με τα μέλη του φορέα ή με τα άτομα τα οποία έχουν τακτική επαφή μαζί του σχετικά με τους σκοπούς του και ότι τα δεδομένα δεν θα αποκαλύπτονται σε τρίτους χωρίς τη συγκατάθεση των προσώπων στα οποία αναφέρονται τα δεδομένα· 5. είναι αναγκαία για την εκτέλεση των υποχρεώσεων του οργανισμού στο τομέα του εργατικού δικαίου, ή 6. έχει σχέση με δεδομένα τα οποία κοινοποιούνται κατά τρόπο προφανή από τα ίδια τα άτομα.

ΣΕ αριθ. 2 - Δημοσιογραφικές εξαιρέσεις

Ε: Λαμβανομένης υπόψη της διαφύλαξης της ελευθερίας του τύπου από το σύνταγμα των ΗΠΑ και της εξαίρεσης που προβλέπει η οδηγία για το δημοσιογραφικό υλικό, εφαρμόζονται οι αρχές ασφαλούς λιμένα στις πληροφορίες προσωπικού χαρακτήρα που συλλέγονται, διατηρούνται ή διαδίδονται για δημοσιογραφικούς σκοπούς;

Α: Όποτε τα δικαιώματα της ελευθερίας του τύπου που περικλείει η πρώτη τροποποίηση του συντάγματος των Ηνωμένων Πολιτειών δεν συνάδουν με την προστασία της ιδιωτικής ζωής, η πρώτη τροποποίηση πρέπει να διέπει την εξισορρόπηση των συμφερόντων που άπτονται των δραστηριοτήτων αμερικανών προσώπων ή αμερικανικών οργανισμών. Δεν υπόκεινται στις προϋποθέσεις των αρχών του ασφαλούς λιμένα οι πληροφορίες προσωπικού χαρακτήρα που συλλέγονται για δημοσίευση, μετάδοση ή άλλες μορφές δημοσιοποίησης δημοσιογραφικού υλικού, ανεξαρτήτως του εάν χρησιμοποιούνται ή όχι, καθώς και οι πληροφορίες από προγενέστερα δημοσιευμένο υλικό το οποίο διαδόθηκε από δημοσιογραφικά αρχεία.

ΣΕ αριθ. 3 - Δευτερεύουσα ευθύνη

Ε: Υπόκεινται στις αρχές του ασφαλούς λιμένα οι πάροχοι υπηρεσιών Διαδικτύου (Internet), οι τηλεπικοινωνιακοί φορείς ή άλλοι οργανισμοί όταν αναλαμβάνουν απλώς, για λογαριασμό κάποιου τρίτου οργανισμού, τη διαβίβαση, τη δρομολόγηση, τη μεταγωγή ή την επαναποθήκευση πληροφοριών οι οποίες ενδέχεται να αντιβαίνουν στις εν λόγω αρχές;

Α: Όχι. Όπως συμβαίνει και με την ίδια την οδηγία, ο ασφαλής λιμένας δεν δημιουργεί δευτερεύουσα ευθύνη. Δεν ευθύνεται ένας οργανισμός όταν δρα απλώς ως μέσο για τη διαβίβαση δεδομένων από τρίτα μέρη χωρίς να προσδιορίζει τους σκοπούς και τους τρόπους επεξεργασίας αυτών των δεδομένων προσωπικού χαρακτήρα.

ΣΕ αριθ. 4 - Τράπεζες επενδύσεων και λογιστικοί έλεγχοι

Ε: Οι δραστηριότητες των ελεγκτών και των τραπεζιτών επενδύσεων ενδέχεται να συνεπάγονται την επεξεργασία δεδομένων προσωπικού χαρακτήρα χωρίς τη συγκατάθεση ή εν αγνοία του προσώπου. Υπό ποιες συνθήκες επιτρέπεται η πρακτική αυτή από τις αρχές της κοινοποίησης, της επιλογής και της πρόσβασης;

Α: Οι τραπεζίτες επενδύσεων ή οι ελεγκτές μπορούν να επεξεργαστούν πληροφορίες εν αγνοία του προσώπου μόνον κατά το μέτρο και για τη διάρκεια που απαιτούνται προκειμένου να ικανοποιηθούν κανονιστικές διατάξεις ή απαιτήσεις δημόσιου συμφέροντος, καθώς και σε άλλες περιπτώσεις στις οποίες ενδέχεται να θιγούν τα νόμιμα συμφέροντα του οργανισμού από την εφαρμογή των αρχών αυτών. Τα εν λόγω νόμιμα συμφέροντα περιλαμβάνουν την παρακολούθηση της συμμόρφωσης των εταιρειών με τις νομικές υποχρεώσεις τους και νόμιμες λογιστικές δραστηριότητες, καθώς και την ανάγκη για τήρηση της εμπιστευτικότητας στο πλαίσιο ενδεχόμενων εξαγορών, συγχωνεύσεων, κοινών επιχειρήσεων ή άλλων συναλλαγών παρόμοιας φύσης τις οποίες πραγματοποιούν τραπεζίτες επενδύσεων ή ελεγκτές.

ΣΕ αριθ. 5(1) - Ο ρόλος των αρχών προστασίας των δεδομένων

Ε: Με ποιον τρόπο οι εταιρείες, οι οποίες δεσμεύονται να συνεργάζονται με τις αρχές προστασίας των δεδομένων (ΑΠΔ) της Ευρωπαϊκής Ένωσης, αναλαμβάνουν τη δέσμευση αυτή και με ποιόν τρόπο θα υλοποιηθεί η εν λόγω δέσμευση;

Α: Στο πλαίσιο του ασφαλούς λιμένα, οι οργανισμοί των ΗΠΑ που λαμβάνουν δεδομένα προσωπικού χαρακτήρα από την ΕΕ πρέπει να αναλάβουν τη δέσμευση να χρησιμοποιήσουν αποτελεσματικούς μηχανισμούς προκειμένου να εξασφαλίσουν τη συμμόρφωση με τις αρχές του ασφαλούς λιμένα. Ειδικότερα, όπως ορίζεται στην αρχή της εφαρμογής, οι μηχανισμοί αυτοί πρέπει να προβλέπουν α) διαδικασίες προσφυγής για τα άτομα τα οποία αφορούν τα δεδομένα, β) διαδικασίες παρακολούθησης που να επιτρέπουν την επαλήθευση των βεβαιώσεων και των δηλώσεων των οργανισμών σχετικά με την προστασία του ιδιωτικού βίου και γ) διατάξεις σύμφωνα με τις οποίες οι οργανισμοί υποχρεούνται να επιλύουν τα προβλήματα που ανακύπτουν από τη μη συμμόρφωση με τις αρχές και να αποκαθιστούν τις σχετικές συνέπειες. Ένας οργανισμός μπορεί να ικανοποιεί τα στοιχεία α) και γ) της αρχής της εφαρμογής εάν προσχωρεί στις απαιτήσεις της παρούσας ΣΕ όσον αφορά τη συνεργασία με τις αρχές προστασίας των δεδομένων (ΑΠΔ).

Ένας οργανισμός μπορεί να αναλάβει την υποχρέωση συνεργασίας με τις ΑΠΔ δηλώνοντας στην κοινοποίηση του "ασφαλούς λιμένα" προς το Υπουργείο Εμπορίου (βλέπε ΣΕ 6 σχετικά με την αυτοπιστοποίηση) ότι ο οργανισμός:

1. επιλέγει να συμμορφωθεί με τις διατάξεις των στοιχείων α) και γ) της αρχής της εφαρμογής του ασφαλούς λιμένα, δεσμευόμενος να συνεργάζεται με τις ΑΠΔ·

2. θα συνεργάζεται με τις ΑΠΔ όσον αφορά την εξέταση και την επίλυση των καταγγελιών που υποβάλλονται στο πλαίσιο του ασφαλούς λιμένα και

3. θα συμμορφώνεται προς κάθε συμβουλή των ΑΠΔ όταν οι ΑΠΔ είναι της άποψης ότι ο οργανισμός πρέπει να λάβει συγκεκριμένα μέτρα προκειμένου να συμμορφωθεί με τις αρχές του ασφαλούς λιμένα, συμπεριλαμβανομένων μέτρων αποκατάστασης ή αποζημίωσης υπέρ των ατόμων που θίγονται από οποιαδήποτε μη συμμόρφωση με τις εν λόγω αρχές και να υποβάλει στις ΑΠΔ γραπτή επιβεβαίωση ότι τα μέτρα αυτά έχουν ληφθεί.

Η συνεργασία των ΑΠΔ θα παρασχεθεί με τη μορφή πληροφοριών και συμβουλών με τον ακόλουθο τρόπο:

- οι συμβουλές των ΑΠΔ θα δίδονται μέσω ενός ανεπίσημου φορέα των ΑΠΔ που θα συσταθεί σε ευρωπαϊκό επίπεδο, ο οποίος, μεταξύ άλλων, θα βοηθήσει στην εξασφάλιση μιας εναρμονισμένης και συνεκτικής προσέγγισης,

- ο εν λόγω φορέας θα παρέχει συμβουλές στους σχετικούς οργανισμούς των ΗΠΑ για ανεπίλυτες καταγγελίες ατόμων σχετικά με το χειρισμό πληροφοριών προσωπικού χαρακτήρα που διαβιβάστηκαν από την ΕΕ στο πλαίσιο του ασφαλούς λιμένα. Οι συμβουλές αυτές θα έχουν ως σκοπό την εξασφάλιση της ορθής εφαρμογής των αρχών του "ασφαλούς λιμένα" και θα αφορούν επίσης τους μηχανισμούς επίλυσης των διαφορών τους που οι ΑΠΔ θεωρούν κατάλληλους για το (τα) ενδιαφερόμενο(-α) άτομο(-α),

- ο εν λόγω φορέας θα παρέχει τέτοιες συμβουλές έπειτα από σχετική αίτηση των ενδιαφερόμενων οργανισμών ή/και έπειτα από καταγγελίες που θα λαμβάνει απευθείας από άτομα εναντίον οργανισμών οι οποίοι ανέλαβαν την υποχρέωση να συνεργαστούν με τις ΑΠΔ για σκοπούς τήρησης των αρχών του "ασφαλούς λιμένα", ενώ παράλληλα θα ενθαρύνει και, εφόσον χρειαστεί, θα βοηθά τα άτομα αυτά σε προωτοβάθμιο επίπεδο να χρησιμοποιούν τις εσωτερικές ρυθμίσεις χειρισμού καταγγελιών που μπορεί να διαθέτει ο οργανισμός,

- οι συμβουλές θα παρέχονται μόνον εφόσον και οι δύο πλευρές μιας διαφοράς είχαν την ευκαιρία να υποβάλουν τις παρατηρήσεις τους και να προσκομίσουν τα αποδεικτικά στοιχεία που επιθυμούν. Ο φορέας των ΑΠΔ θα επιδιώκει να παρέχει συμβουλές στο μικρότερο χρονικό διάστημα που θα επιτρέπει η απαίτηση για δίκαιη μεταχείριση. Κατά κανόνα, ο εν λόγω φορέας θα έχει ως στόχο την παροχή συμβουλών εντός 60 ημερών από τη λήψη μιας καταγγελίας ή και νωρίτερα, όταν είναι δυνατόν,

- ο φορέας των ΑΠΔ θα κοινοποιεί τα αποτελέσματα της εξέτασης των καταγγελιών που θα του υποβάλλονται, εφόσον το κρίνει σκόπιμο,

- η παροχή συμβουλών μέσω του εν λόγω φορέα δεν θα δεσμεύει τον φορέα ή τις επιμέρους ΑΠΔ.

Όπως προαναφέρθηκε, οι οργανισμοί που θα επιλέξουν αυτή την εναλλακτική λύση για την επίλυση των διαφορών πρέπει να δεσμευτούν ότι θα συμμορφώνονται με τις συμβουλές των ΑΠΔ. Αν ένας οργανισμός δεν συμμορφωθεί εντός 25 ημερών από την παροχή της σχετικής συμβουλής και δεν έχει παράσχει ικανοποιητικές εξηγήσεις για την καθυστέρηση, ο εν λόγω φορέας θα γνωστοποιεί την πρόθεσή του να υποβάλει το θέμα είτε στην FTC είτε σε άλλη ομοσπονδιακή ή πολιτειακή αρχή των ΗΠΑ, η οποία θα διαθέτει νόμιμες αρμοδιότητες να αναλάβει δράση εφαρμογής σε περιπτώσεις απάτης ή υποβολής ψευδούς δήλωσης, ή να συμπεράνει ότι η συμφωνία συνεργασίας έχει παραβιαστεί σοβαρά και, ως εκ τούτου , πρέπει να θεωρηθεί άκυρη. Στην τελευταία περίπτωση, ο φορέας θα ενημερώνει σχετικά το Υπουργείο Εμπορίου (ή τον φορέα που αυτό θα ορίσει) έτσι ώστε να μπορέσει να τροποποιηθεί δεόντως ο κατάλογος των συμμετεχόντων στον "ασφαλή λιμένα". Οποιαδήποτε μη τήρηση των υποχρεώσεων συνεργασίας με τις ΑΠΔ καθώς και μη συμμόρφωση με τις αρχές του "ασφαλούς λιμένα" θα θεωρηθεί δόλια πρακτική σύμφωνα με το τμήμα 5 του νόμου για την FTC ή με άλλη παρόμοια νομοθετική πράξη.

Οι οργανισμοί που θα επιλέξουν αυτή την εναλλακτική λύση θα είναι υποχρεωμένοι να καταβάλλουν ετήσια εισφορά η οποία θα οριστεί για την κάλυψη των λειτουργικών δαπανών του φορέα και ενδέχεται, επιπλέον, να τους ζητηθεί να καλύψουν τυχόν μεταφραστικές δαπάνες που θα προκύψουν από την εξέταση, εκ μέρους του φορέα, των αιτήσεων ή των καταγγελιών κατά των εν λόγω οργανισμών. Η ετήσια αυτή εισφορά δεν θα υπερβαίνει τα 500 δολάρια ΗΠΑ, ενώ το ποσό αυτό θα είναι μικρότερο για τις μικρότερες εταιρείες.

Η εναλλακτική λύση της συνεργασίας με τις ΑΠΔ θα είναι στη διάθεση των οργανισμών που συμμετέχουν στον "ασφαλή λιμένα" για περίοδο τριών ετών. Οι ΑΠΔ θα επανεξετάσουν τη ρύθμιση αυτή πριν από το τέλος της εν λόγω περιόδου αν ο αριθμός των οργανισμών των ΗΠΑ που θα επιλέξουν αυτή τη λύση αποδειχθεί υπερβολικός.

ΣΕ αριθ. 6 - Αυτοπιστοποίηση

Ε: Με ποιον τρόπο πραγματοποιείται η αυτοπιστοποίηση εκ μέρους ενός οργανισμού που προσχωρεί στις αρχές ασφαλούς λιμένα;

Α: Τα οφέλη ασφαλούς λιμένα εξασφαλίζονται από την ημερομηνία κατά την οποία ένας οργανισμός αυτοπιστοποιεί στο Υπουργείο Εμπορίου ή τον οριζόμενο από αυτό φορέα την προσχώρησή του στις αρχές σύμφωνα με τις οδηγίες που αναφέρονται παρακάτω.

Προκειμένου να προβεί σε αυτοπιστοποίηση στο πλαίσιο του ασφαλούς λιμένα, ο οργανισμός είναι δυνατόν να απευθύνει στο Υπουργείο Εμπορίου (ή τον οριζόμενο από αυτό φορέα) επιστολή, υπογεγραμμένη από στέλεχος του οργανισμού και εξ ονόματος του οργανισμού που σκοπεύει να προσχωρήσει στις αρχές του ασφαλούς λιμένα, η οποία θα περιέχει τουλάχιστον τις ακόλουθες πληροφορίες:

1. επωνυμία του οργανισμού, ταχυδρομική διεύθυνση, ηλεκτρονική διεύθυνση, αριθμούς τηλεφώνου και φαξ·

2. περιγραφή των κύριων δραστηριοτήτων του οργανισμού, όσον αφορά τις πληροφορίες προσωπικού χαρακτήρα που λαμβάνονται από την ΕΕ·

3. περιγραφή της πολιτικής του οργανισμού περί ιδιωτικής ζωής, όσον αφορά αυτές τις πληροφορίες προσωπικού χαρακτήρα, η οποία θα αναφέρει: α) πού μπορεί το κοινό να συμβουλευτεί το εν λόγω κείμενο· β) την πραγματική ημερομηνία εφαρμογής του κειμένου· γ) το όνομα του γραφείου επαφής για το χειρισμό των καταγγελιών, τα αιτήματα πρόσβασης και οποιοδήποτε άλλο ζήτημα προκύπτει στο πλαίσιο του ασφαλούς λιμένα· δ) τον ειδικό επίσημο φορέα στην αρμοδιότητα του οποίου εμπίπτει η εξέταση τυχόν καταγγελιών κατά του οργανισμού όσον αφορά αθέμιτες ή δόλιες πρακτικές, ή παραβάσεις νόμων ή κανονισμών που διέπουν την ιδιωτική ζωή (και ο οποίος αναφέρεται στο παράρτημα που ενισυνάπτεται στις αρχές)· ε) την ονομασία κάθε προγράμματος περί προστασίας της ιδιωτικής ζωής στο οποίο συμμετέχει ο οργανισμός· στ) τη μέθοδο επαλήθευσης (π.χ. εσωτερική, από τρίτους)(2), και ζ) τον ανεξάρτητο μηχανισμό προσφυγής που διατίθεται για τη διερεύνηση των ανεπίλυτων καταγγελιών.

Στις περιπτώσεις κατά τις οποίες ο οργανισμός επιθυμεί τα οφέλη του από τον ασφαλή λιμένα να καλύπτουν πληροφορίες σχετικά με το ανθρώπινο δυναμικό που θα διαβιβάζονται από την ΕΕ για χρήση στο πλαίσιο εργασιακής σχέσης, μπορεί να πράττει ανάλογα στις περιπτώσεις όπου υπάρχει ένας επίσημος φορέας στην αρμοδιότητα του οποίου εμπίπτει η εξέταση τυχόν καταγγελιών κατά του οργανισμού όσον αφορά τις πληροφορίες σχετικά με το ανθρώπινο δυναμικό και ο οποίος θα αναφέρεται στο παράρτημα που επισυνάπτεται στις αρχές. Επιπρόσθετα, ο οργανισμός πρέπει να υποδείξει τα παραπάνω στη σχετική με την αυτοπιστοποίηση επιστολή του και να δηλώσει ότι αναλαμβάνει τη δέσμευση να συνεργάζεται με την αρχή ή τις αρχές της ΕΕ σύμφωνα με τις ΣΕ αριθ. 9 και αριθ. 5 ανάλογα με την περίπτωση, και ότι θα συμμορφώνεται με τις υποδείξεις που θα παρέχουν οι εν λόγω αρχές.

Το Υπουργείο (ή ο οριζόμενες από αυτό φορέας) θα διατηρεί κατάλογο όλων των οργανισμών που αρχειοθετούν παρόμοιες επιστολές, εξασφαλίζοντας ως εκ τούτου τη διαθεσιμότητα των οφελών στα πλαίσια του ασφαλούς λιμένα και θα ενημερώνει παρόμοιο κατάλογο με βάση ετήσιες επιστολές και κοινοποιήσεις που θα λαμβάνονται σύμφωνα με τη ΣΕ αριθ. 11. Οι εν λόγω επιστολές αυτοπιστοποίησης θα πρέπει να παρέχονται τουλάχιστον κάθε χρόνο. Ειδάλλως, ο οργανισμός θα διαγραφεί από τον κατάλογο και τα οφέλη ασφαλούς λιμένα δεν θα εξασφαλίζονται στο μέλλον. Τόσο ο κατάλογος όσο και οι επιστολές αυτοπιστοποίησης που υποβάλλουν οι οργανισμοί θα είναι διαθέσιμα στο κοινό. Όλοι οι οργανισμοί που έχουν προβεί σε αυτοπιστοποίηση στο πλαίσιο του ασφαλούς λιμένα υποχρεούνται επίσης να αναφέρουν στη σχετική δημόσια δήλωσή τους σχετικά με την πολιτική που ακολουθούν στον τομέα της ιδιωτικής ζωής, ότι προσχωρούν στις αρχές του ασφαλούς λιμένα.

Η δέσμευση προσχώρησης στις αρχές του ασφαλούς λιμένα δεν είναι περιορισμένη χρονικά σε σχέση με τα δεδομένα που λαμβάνονται κατά τη διάρκεια της περιόδου κατά την οποία ο οργανισμός θα απολαμβάνει τα οφέλη του ασφαλούς λιμένα. Η εν λόγω δέσμευση σημαίνει ότι ο οργανισμός θα συνεχίσει να εφαρμόζει τις αρχές σε παρόμοια δεδομένα για όσο χρονικό διάστημα τα αποθηκεύει, τα χρησιμοποιεί ή τα διαδίδει, ακόμη και αν στη συνέχεια αποχωρήσει από τον "ασφαλή λιμένα" για οποιαδήποτε αιτία.

Ένας οργανισμός ο οποίος θα παύσει να υπάρχει ως χωριστή νομική οντότητα λόγω συγχώνευσης ή εξαγοράς πρέπει εκ των προτέρων να ειδοποιεί σχετικά το Υπουργείο Εμπορίου (ή τον οριζόμενο από αυτό φορέα). Στην ειδοποίηση πρέπει επίσης να αναφέρεται εάν η οντότητα που αποκτά τον οργανισμό ή που προκύπτει από τη συγχώνευση: 1. θα συνεχίσει να δεσμεύεται από τις αρχές του ασφαλούς λιμένα βάσει του δικαίου που διέπει την εξαγορά ή τη συγχώνευση, ή 2. θα επιλέξει να αυτοπιστοποιήσει την προσχώρησή της στις αρχές του ασφαλούς λιμένα ή να παρουσιάσει άλλες εγγυήσεις, όπως είναι μια γραπτή συμφωνία με την οποία θα εξασφαλίζεται η προσχώρησή της στις αρχές του ασφαλούς λιμένα. Εάν δεν ισχύει ούτε η περίπτωση 1 ούτε η περίπτωση 2, όλα τα δεδομένα που θα αποκτώνται στο πλαίσιο του ασφαλούς λιμένα θα διαγράφονται αμέσως.

Ένας οργανισμός δεν χρειάζεται να υποβάλει όλες τις προσωπικές πληροφορίες στις αρχές του ασφαλούς λιμένα, αλλά θα πρέπει να εφαρμόσει τις αρχές του ασφαλούς λιμένα σε όλα τα προσωπικά δεδομένα που λαμβάνουν από την ΕΕ μετά από την προσχώρησή του στα πλαίσια του ασφαλή λιμένα.

Κάθε ψευδής δήλωση προς το ευρύ κοινό όσον αφορά την τήρηση των αρχών ασφαλούς λιμένα εκ μέρους του οργανισμού συνεπάγεται δίωξη από την FTC ή από άλλον αρμόδιο κυβερνητικό φορέα. Ψευδείς δηλώσεις προς το Υπουργείο Εμπορίου (ή τον οριζόμενο από αυτό φορέα) θα συνεπάγονται δίωξη σύμφωνα με την πράξη ψευδούς δήλωσης (18 U.S.C. § 1001).

ΣΕ αριθ. 7 - Επαλήθευση

Ε: Με ποιον τρόπο παρέχουν διαδικασίες παρακολούθησης οι οργανισμοί για να εξακριβωθεί ότι αληθεύουν οι δηλώσεις και οι ισχυρισμοί τους σχετικά με τις πρακτικές περί προστασίας της ιδιωτικής ζωής που ακολουθούν στο πλαίσιο του ασφαλούς λιμένα και ότι εφαρμόζονται οι εν λόγω πρακτικές σύμφωνα με τη διατύπωση τους και σύμφωνα με τις αρχές του ασφαλούς λιμένα;

Α: Προκειμένου να ανταποκριθεί στις απαιτήσεις επαλήθευση της αρχής της εφαρμογής, ένας οργανισμός μπορεί να εξακριβώσει την αλήθεια παρόμοιων δηλώσεων και ισχυρισμών προβαίνοντας είτε σε αυτοαξιολόγηση είτε στη διενέργεια εξωτερικών ελέγχων συμμόρφωσης.

Με βάση τη μέθοδο της αυτοαξιολόγησης, από την επαλήθευση αυτή πρέπει να προκύπτει ότι η πολιτική προστασίας της ιδιωτικής ζωής, όσον αφορά τις πληροφορίες προσωπικού χαρακτήρα που προέρχονται από την ΕΕ, την οποία έχει δημοσιοποιήσει ένας οργανισμός, είναι ακριβής, εμπεριστατωμένη, εμφανώς κοινοποιημένη, πλήρως εφαρμοσμένη και προσιτή. Από την επαλήθευση πρέπει επίσης να προκύπτει: ότι η πολιτική του οργανισμού για την προστασία της ιδιωτικής ζωής συμμορφώνεται με τις αρχές του ασφαλούς λιμένα· ότι τα πρόσωπα ενημερώνονται για τους εσωτερικούς μηχανισμούς εξέτασης των καταγγελιών τους και για τους ανεξάρτητους μηχανισμούς κατάθεσης καταγγελιών· ότι έχουν θεσπιστεί διαδικασίες τόσο για την κατάρτιση των υπαλλήλων που θα εφαρμόζουν την πολιτική του οργανισμού, όσο και για την επιβολή πειθαρχικής ποινής όταν δεν την ακολουθούν, και ότι έχουν θεσπιστεί εσωτερικές διαδικασίες για τακτική διενέργεια αντικειμενικών ελέγχων συμμόρφωσης με τα ανωτέρω. Μία φορά τουλάχιστον ανά έτος πρέπει να υπογράφεται από ανώτατο στέλεχος του οργανισμού ή από οποιονδήποτε άλλο εξουσιοδοτημένο εκπρόσωπό του δήλωση επαλήθευσης της αυτοαξιολόγησης η οποία θα διατίθεται στα πρόσωπα που θα την ζητήσουν ή θα διατίθεται στο πλαίσιο έρευνας ή καταγγελίας για μη συμμόρφωση.

Οι οργανισμοί πρέπει να διατηρούν αρχείο σχετικά με την εφαρμογή των πρακτικών περί προστασίας της ιδιωτικής ζωής που ακολουθούν στο πλαίσιο του ασφαλούς λιμένα, το οποίο θα διαθέτουν κατόπιν αίτησης στο πλαίσιο έρευνας ή καταγγελίας για μη συμμόρφωση προς τον υπεύθυνο για τη διερεύνηση των καταγγελιών ανεξάρτητο φορέα ή το αρμόδιο για τις αθέμιτες ή δόλιες πρακτικές όργανο.

Σε περίπτωση κατά την οποία ο οργανισμός έχει επιλέξει τον εξωτερικό έλεγχο συμμόρφωσης, ο έλεγχος αυτός πρέπει να αποδεικνύει ότι η πολιτική προστασίας της ιδιωτικής ζωής, όσον αφορά τις πληροφορίες προσωπικού χαρακτήρα που προέρχονται από την ΕΕ, συμμορφώνεται με τις αρχές του ασφαλούς λιμένα, ότι τηρείται η εν λόγω πολιτική και ότι τα πρόσωπα ενημερώνονται για τους μηχανισμούς μέσω των οποίων μπορούν να υποβάλουν καταγγελία. Οι μέθοδοι ελέγχου μπορούν να περιλαμβάνουν χωρίς περιορισμό και ανάλογα με την περίπτωση λογιστικό έλεγχο, τυχαίους ελέγχους, χρήση "παγίδων" ή χρήση τεχνολογικών εργαλείων. Μία φορά τουλάχιστον ανά έτος πρέπει να υπογράφεται δήλωση ότι ολοκληρώθηκε με επιτυχία εξωτερικός έλεγχος συμμόρφωσης· η δήλωση υπογράφεται είτε από τον ελεγκτή είτε από ανώτατο στέλεχος του οργανισμού ή από οποιονδήποτε άλλο εξουσιοδοτημένο εκπρόσωπό του και διατίθεται είτε στα πρόσωπα που θα την ζητήσουν είτε στο πλαίσιο έρευνας ή καταγγελίας για μη συμμόρφωση.

ΣΕ αριθ. 8 - Πρόσβαση

Αρχή της πρόσβασης

Οι ιδιώτες έχουν πρόσβαση στις προσωπικές πληροφορίες που τους αφορούν και τις οποίες κατέχει ένας οργανισμός, είναι δε σε θέση να τις διαρθρώνουν, να τις τροποποιούν ή να τις διαγράφουν εάν είναι ανακριβείς, εκτός εάν ο φόρτος εργασίας ή οι δαπάνες που συνεπάγεται η παροχή πρόσβασης είναι δυσανάλογα προς τους κινδύνους για την ιδιωτική ζωή του ατόμου για τη συγκεκριμένη περίπτωση ή εάν τούτο θα σήμαινε παραβίαση των νομίμων δικαιωμάτων ατόμων πλην του συγκεκριμένου ιδιώτη.

1. Ε: Το δικαίωμα πρόσβασης είναι απόλυτο;

1. Α: Όχι. Με βάση την αρχή του "ασφαλούς λιμένα", το δικαίωμα πρόσβασης είναι ουσιώδες για την προστασία της ιδιωτικής ζωής. Με βάση το δικαίωμα αυτό, οι ιδιώτες μπορούν να εξακριβώνουν την ακρίβεια των πληροφοριών που τηρούνται και οι οποίες τους αφορούν. Εντούτοις, η υποχρέωση ενός οργανισμού να παρέχει πρόσβαση στις προσωπικές πληροφορίες που κατέχει για έναν ιδιώτη υπόκειται στην αρχή της αναλογικότητας ή του εύλογου χαρακτήρα και πρέπει να μετριάζεται σε ορισμένες περιπτώσεις. Πράγματι, το επεξηγηματικό μνημόνιο των οδηγιών του ΟΟΣΑ (1980) για την προστασία της ιδιωτικής ζωής καθιστά σαφές ότι η υποχρέωση ενός οργανισμού να παρέχει πρόσβαση δεν είναι απόλυτη. Δεν απαιτείται η εξαιρετικά εμπεριστατωμένη έρευνα που χρειάζεται π.χ. μια κλήτευση μάρτυρα, ούτε απαιτείται πρόσβαση σε όλες τις διάφορες μορφές υπό τις οποίες ο οργανισμός ενδέχεται να διατηρεί τις πληροφορίες.

Η εμπειρία έχει δείξει ότι οι οργανισμοί, για να ανταποκριθούν σε αιτήματα πρόσβασης των ιδιωτών, θα πρέπει καταρχήν να καθοδηγούνται από το πρόβλημα που οδήγησε στη διατύπωση του αιτήματος. Για παράδειγμα, εάν το αίτημα πρόσβασης είναι ασαφές ή ευρύ, ένας οργανισμός μπορεί να ξεκινήσει διάλογο με τον ιδιώτη ώστε να κατανοήσει καλύτερα τους λόγους για τους οποίους υπέβαλε το αίτημα και να εντοπίσει τα κατάλληλα δεδομένα. Ο οργανισμός μπορεί να ερευνήσει ποια τμήματα του οργανισμού σχετίζονται με το αίτημα του ιδιώτη ή/και ποια είναι η φύση των πληροφοριών που ζητούνται (ή η χρήση τους). Εντούτοις, οι ιδιώτες δεν χρειάζεται να δικαιολογούν τα αιτήματα για πρόσβαση στα δεδομένα που τους αφορούν άμεσα.

Οι δαπάνες και ο φόρτος εργασίας είναι σημαντικοί παράγοντες και θα πρέπει να λαμβάνονται υπόψη, δεν επηρεάζουν όμως την απόφαση σχετικά με τον αν η παροχή πρόσβασης είναι εύλογη. Για παράδειγμα, εάν οι πληροφορίες χρησιμοποιούνται για αποφάσεις που θα επηρεάσουν σημαντικά τον ιδιώτη (π.χ. χορήγηση ή άρνηση χορήγησης σημαντικών ωφελημάτων, όπως ασφάλεια, υποθήκη ή θέση εργασίας), τότε, τηρώντας τα όσα αναφέρονται στις λοιπές συχνές ερωτήσεις, ο οργανισμός θα πρέπει να αποκαλύψει τις σχετικές πληροφορίες, ακόμη και αν είναι σχετικά δύσκολο ή δαπανηρό.

Εάν η πληροφορία που ζητείται δεν είναι ευαίσθητη ή δεν χρησιμοποιείται για αποφάσεις που θα επηρεάσουν σημαντικά τον ιδιώτη (π.χ. μη ευαίσθητα δεδομένα εμπορικής προώθησης που χρησιμοποιούνται για να προσδιορισθεί εάν θα αποσταλεί ή όχι στον ιδιώτη ένας κατάλογος), αλλά είναι εύκολα διαθέσιμη και η παροχή της δεν είναι δαπανηρή, ο οργανισμός θα πρέπει να παρέχει πρόσβαση στα στοιχεία που τηρεί για τον συγκεκριμένο ιδιώτη. Οι σχετικές πληροφορίες μπορούν να περιλαμβάνουν στοιχεία που έχουν ληφθεί από τον ίδιο τον ιδιώτη, στοιχεία που έχουν συγκεντρωθεί επ' ευκαιρία μιας συναλλαγής, ή στοιχεία που έχουν ληφθεί από τρίτους αλλά αφορούν τον ιδιώτη.

Η αρχή της πρόσβασης συνεπάγεται, από την ίδια τη φύση της, ότι οι οργανισμοί πρέπει πάντοτε να καταβάλουν καλόπιστες προσπάθειες παροχής πρόσβασης. Για παράδειγμα, στις περιπτώσεις κατά τις οποίες ορισμένες πληροφορίες πρέπει να προστατευθούν και μπορούν εύκολα να διαχωριστούν από τις λοιπές πληροφορίες που αποτελούν το αντικείμενο της αίτησης πρόσβασης, ο οργανισμός θα πρέπει να επεξεργαστεί τις προστατευμένες πληροφορίες και να παράσχει πρόσβαση στις λοιπές πληροφορίες. Εάν ένας οργανισμός ορίσει ότι σε κάποια συγκεκριμένη περίπτωση δεν πρέπει να δοθεί πρόσβαση, θα πρέπει να εξηγήσει το λόγο άρνησης στον ιδιώτη και να του ανακοινώσει τα στοιχεία της υπηρεσίας στην οποία θα μπορεί να απευθυνθεί για περαιτέρω πληροφορίες.

2. Ε: Ποιες είναι οι εμπιστευτικές εμπορικές πληροφορίες; Μπορούν οι οργανισμοί να απορρίψουν αίτημα πρόσβασης προκειμένου να τις διαφυλάξουν;

2. Α: Οι εμπιστευτικές εμπορικές πληροφορίες (όπως ο όρος αυτός χρησιμοποιείται στους Federal Rules of Civil Procedure για τη γνωστοποίηση στοιχείων) είναι οι πληροφορίες για τις οποίες ένας οργανισμός έχει προβεί σε ενέργειες ώστε να μην αποκαλυφθούν, διότι η αποκάλυψή τους θα βοηθούσε ενδεχομένως έναν ανταγωνιστή στην αγορά. Το συγκεκριμένο πρόγραμμα πληροφορικής που χρησιμοποιεί ένας οργανισμός, π.χ. ένα πρόγραμμα μοντελοποίησης ή οι λεπτομέρειες του προγράμματος αυτού, μπορεί να αποτελούν εμπιστευτικές εμπορικές πληροφορίες. Στις περιπτώσεις κατά τις οποίες οι εμπιστευτικές εμπορικές πληροφορίες μπορούν εύκολα να διαχωριστούν από τις λοιπές πληροφορίες που αποτελούν το αντικείμενο της αίτησης πρόσβασης, ο οργανισμός πρέπει να επεξεργαστεί τις εμπιστευτικές εμπορικές πληροφορίες και να παράσχει πρόσβαση στις μη εμπιστευτικές πληροφορίες. Οι οργανισμοί μπορούν να αρνηθούν ή να περιορίσουν την πρόσβαση στο βαθμό που κάτι τέτοιο θα αποκάλυπτε δικές τους εμπιστευτικές εμπορικές πληροφορίες όπως αυτές ορίζονται παραπάνω, π.χ. στοιχεία εμπορικής προώθησης ή ταξινομήσεις που έχει καταρτίσει ο οργανισμός ή εμπιστευτικές εμπορικές πληροφορίες άλλου οργανισμού, εφόσον οι πληροφορίες αυτές υπόκεινται σε συμβατική υποχρέωση για εχεμύθεια σε περιπτώσεις κατά τις οποίες θα πρέπει συνήθως να αναλαμβάνεται ή να επιβάλλεται η εν λόγω υποχρέωση για εχεμύθεια.

3. Ε: Μπορεί ένας οργανισμός, παρέχοντας πρόσβαση, να αποκαλύπτει σε ιδιώτες προσωπικές πληροφορίες που τους αφορούν και οι οποίες προκύπτουν από τις βάσεις δεδομένων του ή απαιτείται η πρόσβαση στην ίδια τη βάση δεδομένων;

3. Α: Ένας οργανισμός μπορεί να παράσχει πρόσβαση αποκαλύπτοντας στοιχεία στον ιδιώτη· δεν απαιτείται ο ιδιώτης να έχει πρόσβαση στη βάση δεδομένων του οργανισμού.

4. Ε: Ένας οργανισμός πρέπει να αναδιαρθρώσει τις βάσεις δεδομένων του ώστε να είναι σε θέση να παράσχει πρόσβαση;

4. Α: Πρόσβαση πρέπει να παρέχεται μόνο στο βαθμό που ο οργανισμός αποθηκεύει τις πληροφορίες. Η αρχή της πρόσβασης αυτή καθαυτή δεν δημιουργεί υποχρέωση δημιουργίας, τήρησης, αναδιοργάνωσης ή αναδιάρθρωσης αρχείων με προσωπικές πληροφορίες.

5. Ε: Οι εν λόγω απαντήσεις καθιστούν σαφές ότι το αίτημα πρόσβασης μπορεί υπό ορισμένες προϋποθέσεις να απορριφθεί. Υπό ποιες άλλες προϋποθέσεις μπορεί ένας οργανισμός να απορρίψει αίτημα ιδιώτη για πρόσβαση στις πληροφορίες που τον αφορούν προσωπικά;

5. Α: Οι προϋποθέσεις αυτές είναι περιορισμένες και οι λόγοι απόρριψης του αιτήματος πρόσβασης πρέπει να είναι συγκεκριμένοι. Ένας οργανισμός μπορεί να αρνηθεί την πρόσβαση σε πληροφορίες στο βαθμό που η πρόσβαση είναι πιθανόν να συγκρούεται με σημαντικά δημόσια συμφέροντα, όπως είναι η εθνική ασφάλεια, η άμυνα ή η δημόσια τάξη. Επιπλέον, μπορεί να απορριφθεί το αίτημα πρόσβασης εάν οι προσωπικές πληροφορίες τυγχάνουν επεξεργασίας αποκλειστικά για ερευνητικούς ή στατιστικούς σκοπούς. Άλλοι λόγοι απόρριψης του αιτήματος πρόσβασης ή περιορισμού της πρόσβασης είναι οι ακόλουθοι:

α) παρεμπόδιση της εκτέλεσης ή της εφαρμογής του νόμου, συμπεριλαμβανομένης της πρόληψης, διαλεύκανσης ή διεξαγωγής έρευνας για αδικήματα, καθώς και του δικαιώματος ορθής απονομής δικαιοσύνης·

β) συνάφεια με το αντικείμενο αγωγών, περιλαμβανομένης της πρόληψης και της διενέργειας έρευνας στο πλαίσιο αγωγών, ή του δικαιώματος για ορθή απονομή δικαιοσύνης·

γ) γνωστοποίηση πληροφοριών που περιέχουν αναφορά σε τρίτους όταν η αναφορά αυτή δεν μπορεί να παραλειφθεί·

δ) μη τήρηση προνομίου ή υποχρέωσης, είτε εκ του νόμου είτε επαγγελματικού·

ε) μη τήρηση της απαιτούμενης εχεμύθειας μελλοντικών ή τρεχουσών διαπραγματεύσεων, όπως διαπραγματεύσεις που αφορούν την αγορά εταιρειών εισηγμένων σε χρηματιστήριο·

στ) συνάφεια με έρευνες για την ασφάλεια του εργαζομένου ή με εκδικαζόμενες εργατικές διαφορές·

ζ) μη τήρηση εχεμύθειας που ενδέχεται να απαιτείται για περιορισμένες χρονικές περιόδους σε σχέση με σχεδιαζόμενη διαδοχή του υπαλλήλου και αναδιοργάνωση επιχειρήσεων, ή

η) μη τήρηση εχεμύθειας που ενδέχεται να απαιτείται σε σχέση με την παρακολούθηση, τον έλεγχο ή τις ρυθμιστικές λειτουργίες που συνδέονται με την υγιή οικονομική διαχείριση, ή

θ) λοιπές περιπτώσεις κατά τις οποίες είτε ο φόρτος ή το κόστος παροχής πρόσβασης θα ήταν δυσανάλογο είτε θα παραβιάζονταν τα νόμιμα δικαιώματα ή συμφέροντα τρίτων.

Ένας οργανισμός που ισχυρίζεται ότι χωρεί εξαίρεση, φέρει (όπως γίνεται συνήθως) το βάρος της απόδειξης σχετικά με την εφαρμογή της. Όπως προαναφέρθηκε, πρέπει να γνωστοποιούνται στον ιδιώτη οι λόγοι απόρριψης ή περιορισμού της πρόσβασης, καθώς και τα στοιχεία της υπηρεσίας στην οποία θα μπορεί να απευθυνθεί για περαιτέρω πληροφορίες.

6. Ε: Μπορεί ένας οργανισμός να χρεώσει ποσό για την κάλυψη της παροχής πρόσβασης;

6. Α: Ναι. Οι οδηγίες του ΟΟΣΑ αναγνωρίζουν ότι οι οργανισμοί μπορούν να χρεώσουν ένα μη υπερβολικό ποσό. Συνεπώς, οι οργανισμοί μπορούν να χρεώσουν ένα εύλογο ποσό για την πρόσβαση. Η χρέωση του ποσού μπορεί να αποδειχθεί χρήσιμη για την αποθάρρυνση επαναλαμβανόμενων και οχληρών αιτημάτων.

Οι οργανισμοί που είναι ειδικευμένοι στην πώληση δημοσιοποιημένων πληροφοριών μπορούν συνεπώς να χρεώσουν το αντίτιμο που συνήθως χρεώνουν όταν ανταποκρίνονται σε αιτήματα πρόσβασης. Οι ιδιώτες μπορούν επίσης να ζητήσουν πρόσβαση στις πληροφορίες που τους αφορούν από τον οργανισμό που συνέλεξε αρχικά τα δεδομένα.

Η πρόσβαση δεν πρέπει να απορρίπτεται λόγω κόστους αν ο ιδιώτης προτίθεται να καταβάλει το απαιτούμενο ποσό.

7. Ε: Απαιτείται από έναν οργανισμό να παρέχει πρόσβαση σε προσωπικές πληροφορίες που προκύπτουν από δημόσια αρχεία;

7. Α: Πρέπει να διευκρινιστεί καταρχήν ότι δημόσια αρχεία είναι τα αρχεία που τηρούνται από δημόσιες υπηρεσίες ή από φορείς σε κάθε επίπεδο και στα οποία το κοινό εν γένει έχει ελεύθερη πρόσβαση. Δεν είναι αναγκαίο να εφαρμοστεί η αρχή της πρόσβασης για τις πληροφορίες αυτές στο βαθμό που δεν συνδυάζονται με λοιπές προσωπικές πληροφορίες, εκτός εάν μικρές ποσότητες πληροφοριών από μη δημόσια αρχεία χρησιμοποιούνται για την ευρετηρίαση ή οργάνωση πληροφοριών δημοσίων αρχείων. Οπωσδήποτε, πρέπει να τηρούνται όλες οι προϋποθέσεις οι οποίες αφορούν τη διαβούλευση και οι οποίες θεσπίζονται από τη σχετική αρμόδια αρχή. Όταν οι πληροφορίες από δημόσια αρχεία συνδυάζονται με πληροφορίες από μη δημόσια αρχεία (πλην αυτών που αναφέρονται συγκεκριμένα παραπάνω), ο οργανισμός πρέπει να παρέχει πρόσβαση σε όλες τις πληροφορίες αυτές, εφόσον δεν αποτελούν αντικείμενο άλλων επιτρεπτών εξαιρέσεων.

8. Ε: Η αρχή της πρόσβασης πρέπει να εφαρμόζεται σε δημοσιοποιημένες προσωπικές πληροφορίες;

8 Α: Όπως και με τις πληροφορίες που προέρχονται από δημόσια αρχεία (βλέπε ερώτηση αριθ. 7), έτσι και εδώ δεν είναι απαραίτητο να δίδεται πρόσβαση σε πληροφορίες που έχουν ήδη δημοσιοποιηθεί στο ευρύ κοινό, εφόσον αυτές δεν έχουν συνδυστεί με μη δημοσιοποιημένες πληροφορίες.

9. Ε: Πώς μπορεί ένας οργανισμός να προστατευθεί από επαναλαμβανόμενα ή οχληρά αιτήματα πρόσβασης;

9 Α: Οι οργανισμοί δεν οφείλουν να ανταποκρίνονται σε παρόμοια αιτήματα πρόσβασης. Για τους λόγους αυτούς, οι οργανισμοί μπορούν να χρεώνουν εύλογο τέλος και να θέτουν εύλογα όρια για τον αριθμό των φορών, εντός συγκεκριμένης χρονικής περιόδου, που θα ανταποκρίνονται στα αιτήματα συγκεκριμένου ιδιώτη για πρόσβαση. Ένας οργανισμός, όταν θέτει παρόμοιους περιορισμούς, πρέπει να λαμβάνει υπόψη παράγοντες όπως η συχνότητα ενημέρωσης των πληροφοριών, ο σκοπός χρήσης των δεδομένων και η φύση των πληροφοριών.

10 Ε: Πώς μπορεί ένας οργανισμός να προστατευθεί από δόλια αιτήματα πρόσβασης;

10.Α: Οι οργανισμοί έχουν την υποχρέωση να παρέχουν πρόσβαση μόνον όταν τους δίδονται επαρκείς πληροφορίες που τους επιτρέπουν να επιβεβαιώσουν την ταυτότητα του ατόμου που υποβάλει το αίτημα.

11. Ε: Υπάρχει χρονικό όριο εντός του οποίου πρέπει να δίδεται απάντηση στο αίτημα πρόσβασης;

11. Α: Ναι· οι οργανισμοί πρέπει να απαντούν χωρίς υπερβολική καθυστέρηση και εντός εύλογης χρονικής περιόδου. Η απαίτηση αυτή μπορεί να ικανοποιηθεί με διάφορους τρόπους όπως ορίζει το επεξηγηματικό μνημόνιο των οδηγιών του ΟΟΣΑ (1980) για την προστασία της ιδιωτικής ζωής. Για παράδειγμα, ο ελεγκτής δεδομένων που παρέχει πληροφορίες σε ιδιώτες τους οποίους αφορούν τα δεδομένα σε τακτά χρονικά διαστήματα μπορεί να απαλλαγεί από την υποχρέωση να ανταποκρίνεται αμέσως σε ατομικά αιτήματα.

ΣΕ αριθ. 9 - Ανθρώπινο δυναμικό

1. Ε: Η διαβίβαση, από την ΕΕ προς τις Ηνωμένες Πολιτείες, προσωπικών πληροφοριών που συγκεντρώνονται στο πλαίσιο της σχέσης απασχόλησης καλύπτονται από τον ασφαλή λιμένα;

1. Α: Ναι, αν μια εταιρεία στην ΕΕ διαβιβάζει προσωπικές πληροφορίες για τους (πρώην ή σημερινούς) υπαλλήλους της, οι οποίες συγκεντρώνονται στο πλαίσιο της σχέσης απασχόλησης, σε μητρική ή θυγατρική εταιρεία, ή σε μη "συγγενή" φορέα παροχής υπηρεσιών στις Ηνωμένες Πολιτείες που συμμετέχει στον ασφαλή λιμένα· στην περίπτωση αυτή, η διαβίβαση απολαμβάνει των πλεονεκτημάτων του ασφαλούς λιμένα. Σε παρόμοιες περιπτώσεις, η συγκέντρωση των πληροφοριών και η επεξεργασία τους πριν από τη διαβίβαση θα διέπεται από τους εθνικούς νόμους της κοινοτικής χώρας στην οποία συγκεντρώθηκαν οι πληροφορίες και θα πρέπει να τηρούνται τυχόν προϋποθέσεις ή περιορισμοί σχετικά με τη διαβίβαση τους σύμφωνα με τους εν λόγω νόμους.

Οι αρχές του ασφαλούς λιμένα εφαρμόζονται μόνο σε περίπτωση διαβίβασης ή πρόσβασης που αφορά εξατομικευμένα αρχεία. Οι στατιστικές που βασίζονται σε συγκεντρωτικά δεδομένα απασχόλησης ή/και στη χρήση ανωνυμοποιημένων δεδομένων ή δεδομένων με ψευδώνυμα δεν θέτουν προβλήματα προστασίας της ιδιωτικής ζωής.

2. Ε: Πώς εφαρμόζονται οι αρχές της κοινοποίησης και της επιλογής σε τέτοιες πληροφορίες;

A 2: Ένας οργανισμός των ΗΠΑ που έλαβε στοιχεία για υπαλλήλους από την ΕΕ σύμφωνα με τον ασφαλή λιμένα μπορεί να τα γνωστοποιήσει σε τρίτους ή/και να τα χρησιμοποιήσει για διαφορετικούς σκοπούς μόνο σύμφωνα με τις αρχές της κοινοποίησης και της επιλογής. Για παράδειγμα, όταν ένας οργανισμός προτίθεται να χρησιμοποιήσει προσωπικές πληροφορίες που έχουν συγκεντρωθεί με βάση τη σχέση απασχόλησης για σκοπούς που δεν σχετίζονται με την απασχόληση, όπως ανακοινώσεις εμπορικής προώθησης, οι οργανισμοί των ΗΠΑ πρέπει να προσφέρουν στα ενδιαφερόμενα άτομα τη δυνατότητα επιλογής πριν από τη χρήση των πληροφοριών αυτών, εκτός αν τα άτομα αυτά έχουν ήδη εγκρίνει τη χρήση των πληροφοριών για τέτοιους σκοπούς. Ακόμη, οι εν λόγω δυνατότητες επιλογής δεν θα πρέπει να χρησιμοποιούνται για να περιοριστούν οι επαγγελματικές ευκαιρίες των εργαζομένων ή για τη λήψη μέτρων κατά των εργαζομένων αυτών.

Πρέπει να σημειωθεί ότι πρέπει να τηρούνται ορισμένες προϋποθέσεις που ισχύουν γενικά για τη διαβίβαση από μερικά κράτη μέλη και οι οποίες αποκλείουν κάθε άλλη χρήση των εν λόγω πληροφοριών, ακόμη και μετά τη διαβίβαση τους εκτός της ΕΕ.

Επιπλέον, οι εργοδότες πρέπει να καταβάλλουν εύλογες προσπάθειες ώστε να λάβουν υπόψη τους τις προτιμήσεις των υπαλλήλων όσον αφορά την ιδιωτική τους ζωή. Τούτο μπορεί π.χ. να περιλαμβάνει περιορισμό της πρόσβασης στα δεδομένα, ανωνυμοποίηση ορισμένων δεδομένων ή καταγραφή βάσει κωδικών ή ψευδωνύμων όταν τα πραγματικά ονόματα δεν είναι απαραίτητα για τη διαχείριση των εν λόγω πληροφοριών.

Ο οργανισμός δεν χρειάζεται να προβεί σε κοινοποίηση ή να προσφέρει δυνατότητα επιλογής, στο βαθμό που τούτο απαιτείται - και κατά τη χρονική περίοδο που κάτι τέτοιο είναι απαραίτητο - προκειμένου να μην ζημιωθεί το νόμιμο συμφέρον του οργανισμού να προβαίνει σε προαγωγές, διορισμούς ή να λαμβάνει παρόμοιες αποφάσεις στον τομέα της απασχόλησης.

3. Ε: Πώς εφαρμόζεται η αρχή της πρόσβασης;

3. Α: Η συχνή ερώτηση σχετικά με την πρόσβαση δίνει οδηγίες για τους λόγους που ενδέχεται να δικαιολογούν την απόρριψη του αιτήματος πρόσβασης ή τον περιορισμό της πρόσβασης στο πλαίσιο των δεδομένων που αφορούν το ανθρώπινο δυναμικό. Ασφαλώς, οι εργοδότες στην Ευρωπαϊκή Ένωση πρέπει να συμμορφώνονται με τους ισχύοντες κατά τόπους κανονισμούς και να διασφαλίζουν ότι οι εργαζόμενοι της Ευρωπαϊκής Ένωσης έχουν πρόσβαση σε παρόμοιες πληροφορίες σύμφωνα με τις κείμενες διατάξεις της εθνικής νομοθεσίας, ανεξάρτητα από τον τόπο επεξεργασίας και αποθήκευσης των δεδομένων. Η αρχή του ασφαλούς λιμένα απαιτεί από έναν οργανισμό που επεξεργάζεται παρόμοια δεδομένα στις Ηνωμένες Πολιτείες τη συνεργασία κατά την παροχή πρόσβασης είτε άμεσα είτε μέσω του εργοδότη από την ΕΕ.

4. Ε: Πώς θα εφαρμόζεται η προστασία των δεδομένων που αφορούν υπαλλήλους βάσει των αρχών του ασφαλούς λιμένα;

4. Α: Εφόσον οι πληροφορίες χρησιμοποιούνται μόνο στο πλαίσιο της σχέσης απασχόλησης, η πρωταρχική ευθύνη για τα δεδομένα έναντι του υπαλλήλου ανήκει στην εταιρεία που είναι εγκατεστημένη στην ΕΕ. Είναι αυτονόητο ότι, αν οι ευρωπαίοι υπάλληλοι υποβάλλουν καταγγελίες για παραβιάσεις των δικαιωμάτων τους στο θέμα της προστασίας των δεδομένων και δεν είναι ικανοποιημένοι με τα αποτελέσματα του εσωτερικού ελέγχου, της καταγγελίας και των προσφυγών (ή με οποιαδήποτε από τις ισχύουσες διαδικασίες επίλυσης εργατικών διαφορών βάσει σύμβασης με συνδικάτο), θα πρέπει να απευθύνονται στο κράτος ή στην εθνική αρχή προστασίας των δεδομένων ή στην αρμόδια για εργασιακά θέματα αρχή του τόπου όπου εργάζονται. Συμπεριλαμβάνονται, επίσης, οι περιπτώσεις όπου η εικαζόμενη κακή διαχείριση των προσωπικών τους πληροφοριών έγινε στις Ηνωμένες Πολιτείες, αποτελεί ευθύνη του αμερικανικού οργανισμού που έλαβε τις πληροφορίες από τον εργοδότη και όχι ευθύνη του εργοδότη και επομένως συνεπάγεται εικαζόμενη παράβαση των αρχών του ασφαλούς λιμένα και όχι των εθνικών νομοθετικών διατάξεων για την εφαρμογή της οδηγίας. Τούτο θα αποτελεί τον πλέον αποτελεσματικό τρόπο επίλυσης των ζητημάτων που αφορούν τα συχνά αλληλεπικαλυπτομένα δικαιώματα και υποχρεώσεις που προβλέπει το τοπικό εργατικό δίκαιο και οι εργατικές συμβάσεις καθώς και η νομοθεσία περί προστασίας των δεδομένων.

Ένας οργανισμός των ΗΠΑ, ο οποίος συμμετέχει στον ασφαλή λιμένα και χρησιμοποιεί δεδομένα ανθρώπινου δυναμικού από την ΕΕ που έχουν διαβιβαστεί από την Ευρωπαϊκή Ένωση στο πλαίσιο της εργασιακής σχέσης και ο οποίος επιθυμεί να καλύπτονται οι εν λόγω διαβιβάσεις από τον ασφαλή λιμένα πρέπει επομένως να αναλάβει τη δέσμευση, αφενός, να συνεργάζεται στις έρευνες που διενεργούνται από τις αρμόδιες αρχές της ΕΕ σε παρόμοιες περιπτώσεις και, αφετέρου, να συμμορφώνεται με τη συμβουλή των εν λόγω αρχών. Οι ΑΠΔ που έχουν συμφωνήσει να συνεργάζονται κατ' αυτόν τον τρόπο θα ενημερώνουν σχετικά την Επιτροπή και το Υπουργείο Εμπορίου. Εάν ένας οργανισμός από τις ΗΠΑ που συμμετέχει στον ασφαλή λιμένα επιθυμεί να διαβιβάσει δεδομένα για το ανθρώπινο δυναμικό από ένα κράτος μέλος χωρίς τη σύμφωνη γνώμη της αρμόδιας αρχής προστασίας δεδομένων του εν λόγω κράτους, θα ισχύουν οι διατάξεις της ΣΕ αριθ. 5.

ΣΕ αριθ. 10 - Συμβάσεις του άρθρου 17

Ε: Απαιτείται η σύναψη σύμβασης όταν διαβιβάζονται δεδομένα από την ΕΕ στις ΗΠΑ με αποκλειστικό σκοπό την επεξεργασία, ανεξάρτητα από τη συμμετοχή του εκτελούντος την επεξεργασία στον ασφαλή λιμένα;

Α: Ναι. Πάντα απαιτείται από τους υπεύθυνους επεξεργασία δεδομένων στην Ευρώπη να συνάπτουν σύμβαση όταν πραγματοποιείται διαβίβαση με αποκλειστικό σκοπό την επεξεργασία, ανεξάρτητα από το εάν η επεξεργασία διενεργείται εντός ή εκτός της ΕΕ. Ο σκοπός της σύμβασης είναι η προστασία των συμφερόντων του υπεύθυνου επεξεργασίας δεδομένων, δηλαδή του ατόμου ή φορέα που προσδιορίζει τους στόχους και τους τρόπους επεξεργασίας και διατηρεί πλήρη ευθύνη για τα δεδομένα απέναντι στο (στα) ενδιαφερόμενο(-α) πρόσωπο(-α). Επομένως, η σύμβαση ορίζει την προς διεξαγωγή επεξεργασία και τα απαραίτητα μέτρα για να εξασφαλιστεί η ασφάλεια των δεδομένων.

Ένας αμερικανικός οργανισμός μέλος του ασφαλούς λιμένα που λαμβάνει πληροφορίες προσωπικού χρακτήρα από την ΕΕ με αποκλειστικό σκοπό την επεξεργασία δεν οφείλει επομένως να εφαρμόσει τις αρχές στις εν λόγω πληροφορίες, επειδή ο υπεύθυνος της επεξεργασίας στην ΕΕ διατηρεί κάθε σχετική ευθύνη απέναντι στο πρόσωπο, σύμφωνα με τις σχετικές διατάξεις της ΕΕ (οι οποίες ενδέχεται να είναι αυστηρότερες από τις αντίστοιχες αρχές του ασφαλούς λιμένα).

Επειδή οι συμμετέχοντες στις αρχές του ασφαλούς λιμένα παρέχουν επαρκή προστασία, οι συμβάσεις με τους εν λόγω συμμετέχοντες με αποκλειστικό σκοπό την επεξεργασία δεν υπόκεινται στην υποχρέωση προηγούμενης άδειας (ή η άδεια αυτή θα παραχωρείται αυτομάτως από τα κράτη μέλη), ενώ απαιτείται για τη σύναψη συμβάσεων με παραλήπτες οι οποίοι δεν συμμετέχουν στον ασφαλή λιμένα ή αλλιώς δεν παρέχουν επαρκή προστασία.

ΣΕ αριθ. 11 - Επίλυση διαφορών και εφαρμογή

Ε: Πώς πρέπει να εφαρμόζονται οι απαιτήσεις που προκύπτουν από την αρχή της εφαρμογής σχετικά με την επίλυση διαφορών και πώς θα αντιμετωπίζεται η επίμονη μη συμμόρφωση ενός οργανισμού προς τις αρχές;

Α: Η αρχή της εφαρμογής ορίζει τις απαιτήσεις για τις διαδικασίες εφαρμογής του ασφαλούς λιμένα. Το πώς να πληρούνται οι απαιτήσεις του στοιχείου β) της αρχής εξετάζεται στη συχνή ερώτηση σχετικά με την επαλήθευση (ΣΕ αριθ. 7). Η παρούσα συχνή ερώτηση εξετάζει τα στοιχεία α) και γ), κάθε ένα από τα οποία απαιτεί ανεξάρτητες διαδικασίες προσφυγής. Οι διαδικασίες αυτές μπορούν να λάβουν διάφορες μορφές αλλά οφείλουν να ανταποκρίνονται στις απαιτήσεις της αρχής της εφαρμογής. Οι οργανισμοί μπορούν να πληρούν τις απαιτήσεις που ορίζει η αρχή αυτή με τους ακόλουθους τρόπους: 1. με τη συμμόρφωση με τα προγράμματα προστασίας του ιδιωτικού βίου τα οποία αναπτύσσει ο ιδιωτικός τομέας και τα οποία ενσωματώνουν τις αρχές του ασφαλούς λιμένα στους κανόνες τους και περιλαμβάνουν αποτελεσματικές διαδικασίες εφαρμογής του είδους που περιγράφεται στην αρχή της εφαρμογής· 2. με τη συμμόρφωση προς τις εποπτικές αρχές που προβλέπονται από νόμους ή από κανονιστικές πράξεις, οι οποίες χειρίζονται τις καταγγελίες ιδιωτών και την επίλυση διαφορών, ή 3. με την ανάληψη της υποχρέωσης συνεργασίας με τις αρχές προστασίας δεδομένων που είναι εγκατεστημένες στην Ευρωπαϊκή Κοινότητα ή τους εξουσιοδοτημένους αντιπροσώπους τους. Ο κατάλογος αυτός έχει ενδεικτικό και όχι περιοριστικό χαρακτήρα. Ο ιδιωτικός τομέας μπορεί να εισαγάγει άλλες διαδικασίες εφαρμογής, εφόσον αυτές πληρούν τις απαιτήσεις της αρχής της εφαρμογής και των ΣΕ. Πρέπει να σημειωθεί ότι οι απαιτήσεις της αρχής της εφαρμογής συμπληρώνουν την απαίτηση που περιλαμβάνεται στην παράγραφο 3 της εισαγωγής στις αρχές, σύμφωνα με την οποία οι αυτορυθμιστικές προσπάθειες πρέπει να είναι εφαρμόσιμες σύμφωνα με το άρθρο 5 του FTC Act ή σύμφωνα με παρόμοιο καθεστώς.

Φορείς προσφυγής

Οι καταναλωτές πρέπει να ενθαρρύνονται να υποβάλλουν τις ενδεχόμενες καταγγελίες τους στον οικείο οργανισμό πριν απευθυνθούν σε ανεξάρτητους φορείς προσφυγής. Η ανεξαρτησία του αρμόδιου για την προσφυγή φορέα είναι πραγματικό ζήτημα και μπορεί να αποδειχθεί με πολλούς τρόπους, π.χ. με σύνθεση και χρηματοδότηση που χαρακτηρίζονται από διαφάνεια ή με αποδεδειγμένο ιστορικό. Όπως απαιτεί η αρχή της εφαρμογής, το δικαίωμα προσφυγής που παρέχεται στους ιδιώτες πρέπει να μπορεί να ασκείται ευχερώς και με προσιτό κόστος. Τα όργανα επίλυσης των διαφορών πρέπει να εξετάζουν κάθε καταγγελία που λαμβάνουν από ιδιώτες, εκτός εάν είναι καταφανώς αβάσιμη ή καταχρηστική. Αυτό δεν αποκλείει τη θέσπιση κριτηρίων παραδεκτών από το φορέα προσφυγής, αλλά τα κριτήρια αυτά πρέπει να είναι διαφανή και δικαιολογημένα (π.χ. να εξαιρούν τις καταγγελίες που δεν εμπίπτουν στο πεδίο εφαρμογής του προγράμματος ή βρίσκονται υπό εξέταση σε άλλο φόρουμ) και δεν πρέπει να υπονομεύουν την υποχρέωση να εξετάζονται οι νόμιμες καταγγελίες. Επιπλέον, οι φορείς προσφυγής πρέπει να παρέχουν στους ιδιώτες πλήρη και άμεση πληροφόρηση σκετικά με το πώς λειτουργεί μια διαδικασία επίλυσης διαφορών όταν αυτοί υποβάλλουν καταγγελία. Οι πληροφορίες πρέπει να συμπεριλαμβάνουν στοιχεία σχετικά με τις πρακτικές του φορέα για την προστασία του ιδιωτικού βίου, σύμφωνα με τις αρχές του ασφαλούς λιμένα(3). Επίσης, οι φορείς προσφυγής πρέπει να συνεργάζονται για την ανάπτυξη μέσων, όπως τυποποιημένα έντυπα καταγγελιών, προκειμένου να διευκολύνουν τη διαδικασία επίλυσης των διαφορών.

Ένδικα βοηθήματα και κυρώσεις

Οποιοδήποτε ένδικο βοήθημα παρέχεται από το όργανο επίλυσης διαφορών θα πρέπει να αποσκοπεί στην αποκατάσταση ή τη διόρθωση των επιπτώσεων της μη συμμόρφωσης από τον οργανισμό, στο μέτρο του δυνατού, και στην εξασφάλιση του γεγονότος ότι η μελλοντική επεξεργασία από τον οργανισμό θα είναι σύμφωνη με τις αρχές και, ανάλογα με την περίπτωση, ότι θα παύσει η επεξεργασία των δεδομένων προσωπικού χαρακτήρα του ιδιώτη ο οποίος υπέβαλε την καταγγελία. Οι κυρώσεις πρέπει να είναι αρκετά αυστηρές ώστε να εξασφαλίζουν τη συμμόρφωση του οργανισμού προς τις εν λόγω αρχές. Μια δέσμη κυρώσεων διαφόρων βαθμών αυστηρότητας θα επιτρέψει στα όργανα επίλυσης των διαφορών να ανταποκριθούν καταλλήλως στους διάφορους βαθμούς μη συμμόρφωσης. Οι κυρώσεις θα πρέπει να περιλαμβάνουν τόσο τη δημοσίευση των παραβάσεων όσο και την απαίτηση διαγραφής των δεδομένων σε ορισμένες περιπτώσεις(4). Άλλες κυρώσεις θα πρέπει να περιλαμβάνουν: αναστολή και ανάκληση διοικητικής άδειας, αποζημίωση των θιγομένων για τις ζημίες που υπέστησαν λόγω της μη συμμόρφωσης και εντολές προς συμμόρφωση. Τα όργανα επίλυσης διαφορών του ιδιωτικού τομέα και τα αυτορυθμιστικά όργανα πρέπει να κοινοποιούν τις περιπτώσεις μη συμμόρφωσης των οργανισμών ασφαλούς λιμένα προς τις αποφάσεις τους στα δικαστήρια ή στην εκάστοτε αρμόδια, κατά περίπτωση, διοικητική αρχή καθώς και στο Υπουργείο Εμπορίου (ή στο φορέα που θα οριστεί απ' αυτό).

Δράση της FTC

Η FTC είναι αρμόδια να εξετάζει κατά προτεραιότητα καταγγελίες που υποβάλλουν αυτορυθμιστικοί οργανισμοί προστασίας του ιδιωτικού βίου, όπως η BBBOnline και η TRUSTe, καθώς και τα κράτη μέλη της ΕΕ που επικαλούνται τη μη συμμόρφωση με τις αρχές του ασφαλούς λιμένα προκειμένου να αποφανθεί εάν υπάρχει παράβαση του κεφαλαίου 5 του νόμου FTC που απαγορεύει τις αθέμιτες ή παραπλανητικές πράξεις ή πρακτικές στο εμπόριο. Αν η FTC συμπεράνει ότι έχει λόγο(-ους) να πιστεύει ότι έχει γίνει παράβαση του κεφαλαίου 5, μπορεί να επιλύσει το ζήτημα ζητώντας την έκδοση διοικητικής πράξης για παύση και παράλειψη η οποία να απαγορεύει τις επίμαχες πρακτικές ή υποβάλλοντας καταγγελία στο ομοσπονδιακό αρμόδιο δικαστήριο (district court) η οποία, εάν ευδοκιμήσει, μπορεί να καταλήξει στην έκδοση εντολής από ομοσπονδιακό δικαστήριο με το ίδιο αποτέλεσμα. Η FTC θα κοινοποιεί στο Υπουργείο Εμπορίου οποιαδήποτε τέτοια ενέργεια. Το Υπουργείο Εμπορίου ενθαρρύνει άλλες διοικητικές αρχές να του γνωστοποιούν την τελική έκβαση τέτοιων προσφυγών ή άλλες ρυθμίσεις που διέπουν την προσχώρηση στις αρχές του ασφαλούς λιμένα.

Επίμονη μη συμμόρφωση

Αν ένας οργανισμός επιμένει στη μη συμμόρφωση με τις αρχές, δεν δικαιούται πλέον να επωφελείται του ασφαλούς λιμένα. Επίμονη μη συμμόρφωση στοιχειοθετείται όταν ένας οργανισμός που έχει αυτοπιστοποιηθεί στο Υπουργείο Εμπορίου (ή στο φορέα που θα οριστεί απ' αυτό) αρνείται να συμμορφωθεί με την τελική απόφαση οποιουδήποτε αυτορυθμιστικού ή κρατικού οργάνου ή όταν ένα τέτοιο όργανο θεωρεί ότι ένας οργανισμός αρνείται συχνά να συμμορφωθεί με τις αρχές σε βαθμό που να μη θεωρείται πλέον αξιόπιστος όσον αφορά την πρόθεσή του να συμμορφωθεί. Σε τέτοιες περιπτώσεις, ο οργανισμός πρέπει εγκαίρως να κοινοποιεί στο Υπουργείο Εμπορίου (ή στο φορέα που θα οριστεί απ' αυτό) τα στοιχεία αυτά. Εάν δεν το πράξει, μπορεί να διωχθεί βάσει του νόμου περί υποβολής ψευδούς δήλωσης.

Το Υπουργείο Εμπορίου (ή ο φορέας που θα οριστεί απ' αυτό) θα περιλάβει στο δημόσιο μητρώο που τηρεί σχετικά με τους οργανισμούς που αυτοπιστοποιούν προσχώρηση στις αρχές του ασφαλούς λιμένα οποιαδήποτε κοινοποίηση σχετικά με επίμονη μη συμμόρφωση που λαμβάνει, είτε προέρχεται από τον ίδιο τον οργανισμό είτε από αυτορυθμιστικό ή κρατικό όργανο, αλλά μόνον αφού έχει προηγουμένως παράσχει στον καταγγελόμενο οργανισμό προθεσμία 30 ημερών και τη δυνατότητα να απαντήσει. Αντίστοιχα, από το δημόσιο μητρώο που τηρεί το Υπουργείο Εμπορίου (ή ο φορέας που θα οριστεί απ' αυτό) θα προκύπτει σαφώς για ποιους οργανισμούς ισχύουν και για ποιους δεν ισχύουν πλέον τα οφέλη του ασφαλούς λιμένα.

Ένας οργανισμός που υποβάλλει αίτηση συμμετοχής σε ένα αυτορυθμιστικό όργανο προκειμένου να υποβάλει και πάλι υποψηφιότητα για συμμετοχή στον ασφαλή λιμένα, πρέπει να προσκομίσει στο εν λόγω όργανο πλήρεις πληροφορίες σχετικά με την προηγούμενη συμμετοχή του στον ασφαλή λιμένα.

ΣΕ αριθ. 12 - Επιλογή - Χρονική στιγμή της εξαίρεσης από τα δεδομένα (Opt out)

Ε: Βάσει της αρχής της επιλογής δύναται το πρόσωπο να έχει επιλογή μόνο κατά την έναρξη της σχέσης ή ανά πάσα στιγμή;

Α: Εν γένει, ο σκόπος της αρχής της επιλογής είναι να διασφαλιστεί ότι οι πληροφορίες προσωπικού χαρακτήρα χρησιμοποιούνται και γνωστοποιούνται με τρόπους που συνάδουν με τις προσδοκίες και τις επιλογές του προσώπου. Κατά συνέπεια, το πρόσωπο πρέπει να δύναται να ασκήσει το δικαίωμα "εξαίρεσης" (ή επιλογής) όσον αφορά τη χρήση πληροφοριών προσωπικού χαρακτήρα για άμεση εμπορική προώθηση ανά πάσα στιγμή εντός εύλογων χρονικών ορίων που θέτει ο οργανισμός, όπως για παράδειγμα πρέπει να δίδεται χρόνος στον οργανισμό να υλοποιήσει την εξαίρεση από τα δεδομένα. Ένας οργανισμός μπορεί επίσης να ζητήσει επαρκείς πληροφορίες ώστε να επιβεβαιωθεί η ταυτότητα του προσώπου που ζητεί την εξαίρεση. Στις Ηνωμένες Πολιτείες, τα πρόσωπα μπορούν να ασκήσουν αυτό το δικαίωμα μέσω ενός κεντρικού προγράμματος "εξαίρεσης από τα δεδομένα", όπως είναι η υπηρεσία προτίμησης ταχυδρομείου (Mail Preference Service) της ένωσης άμεσης εμπορικής προώθησης (Direct Marketing Association). Οι οργανισμοί που συμμετέχουν στην εν λόγω υπηρεσία προτίμησης πρέπει να την καταστούν ευρύτατα γνωστή στους καταναλωτές εκείνους οι οποίοι δεν επιθυμούν να λαμβάνουν πληροφορίες εμπορικού χαρακτήρα. Εν πάση περιπτώσει, το πρόσωπο πρέπει να έχει στη διάθεσή του εύχρηστο και οικονομικά προσιτό μηχανισμό που θα του επιτρέπει να ασκήσει το δικαίωμα αυτό.

Ομοίως, ένας οργανισμός μπορεί να χρησιμοποιήσει πληροφορίες για ορισμένους σκοπούς άμεσης εμπορικής προώθησης όταν είναι πρακτικώς αδύνατο να δοθεί στο πρόσωπο δυνατότητα εξαίρεσης πριν από τη χρήση της πληροφορίας, υπό την προϋπόθεση ότι ο οργανισμός, αφενός θα παρέχει ταυτόχρονα στο πρόσωπο τη δυνατότητα (και ανά πάσα στιγμή, κατόπιν σχετικού αιτήματος) να μη δέχεται (χωρίς πρόσθετο κόστος για το πρόσωπο) να του διαβιβάζονται περαιτέρω κοινοποιήσεις άμεσης εμπορικής προώθησης και, αφετέρου, θα συμμορφώνεται με τις επιθυμίες του προσώπου.

ΣΕ αριθ. 13 - Πληροφορίες σχετικά με τα αεροπορικά ταξίδια

Ε: Πότε είναι δυνατόν να διαβιβάζονται σε φορείς εγκατεστημένους εκτός ΕΕ οι πληροφορίες για τις κρατήσεις αεροπορικών εισιτηρίων και άλλες πληροφορίες σχετικά με τα αεροπορικά ταξίδια, όπως εκείνες που αφορούν τους τακτικούς επιβάτες ή τις κρατήσεις ξενοδοχείων και τις ανάγκες ειδικής μεταχείρισης (π.χ. σε θέματα φαγητού για θρησκευτικούς λόγους ή παροχής φυσικής βοήθειας);

Α: Η διαβίβαση των ανωτέρω πληροφοριών επιτρέπεται σε αρκετές περιπτώσεις. Βάσει του άρθρου 26 της οδηγίας, μπορεί να πραγματοποιηθεί η διαβίβαση δεδομένων προσωπικού χαρακτήρα "προς τρίτη χώρα που δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας κατά την έννοια του άρθρου 25 (2)", υπό τον όρο ότι η διαβίβαση 1. είναι απαραίτητη για την παροχή των υπηρεσιών που ζητεί ο επιβάτης ή για την εκτέλεση συμφωνίας, όπως είναι η συμφωνία "τακτικού επιβάτη", ή 2. έχει τη ρητή συναίνεση του επιβάτη. Οι φορείς των ΗΠΑ που έχουν συνυπογράψει τις αρχές ασφαλούς λιμένα παρέχουν ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα και, ως εκ τούτου, μπορούν να δεχθούν διαβίβαση δεδομένων από την ΕΕ χωρίς να πληρούν τις συγκεκριμένες προϋποθέσεις ή εκείνες που ορίζονται στο άρθρο 26 της οδηγίας. Εφόσον στις αρχές ασφαλούς λιμένα περιλαμβάνονται ειδικοί κανόνες για τις ευαίσθητες πληροφορίες, οι πληροφορίες αυτές (οι οποίες θα χρειαστεί ενδεχομένως να συγκεντρωθούν, π.χ. σε συνάρτηση με τις ανάγκες των πελατών για παροχή φυσικής βοήθειας) είναι δυνατόν να διαβιβαστούν σε φορείς που έχουν συνυπογράψει τις αρχές ασφαλούς λιμένα. Εν πάση περιπτώσει, ο φορέας που θα διαβιβάσει τις πληροφορίες πρέπει να τηρεί τη νομοθεσία του κράτους μέλους όπου δραστηριοποιείται, γεγονός που ενδέχεται, μεταξύ άλλων, να επιβάλλει ειδικούς όρους για την επεξεργασία ευαίσθητων πληροφοριών.

ΣΕ αριθ. 14 - Φαρμακευτικά και ιατρικά προϊόντα

1. Ε: Εάν συλλέγονται δεδομένα προσωπικού χαρακτήρα στην ΕΕ και διαβιβάζονται στις ΗΠΑ για φαρμακευτική έρευνα ή/και άλλους σκοπούς, εφαρμόζονται οι νόμοι των κρατών μελών ή οι αρχές του ασφαλούς λιμένα;

1. Α: Η νομοθεσία των κρατών μελών εφαρμόζεται κατά τη συλλογή των δεδομένων προσωπικού χαρακτήρα και κατά την τυχόν επεξεργασία που πραγματοποιείται πριν από τη διαβίβαση στις ΗΠΑ. Οι αρχές του ασφαλούς λιμένα εφαρμόζονται για τα δεδομένα αφού διαβιβαστούν στις ΗΠΑ. Τα δεδομένα που χρησιμοποιούνται για φαρμακευτική έρευνα και για άλλους σκοπούς πρέπει, ανάλογα με την περίπτωση, να είναι ανώνυμα.

2. Ε: Τα δεδομένα προσωπικού χαρακτήρα που αναπτύσσονται σε ειδικές ιατρικές ή φαρμακευτικές ερευνητικές μελέτες συχνά διαδραματίζουν πολύτιμο ρόλο στη μελλοντική επιστημονική έρευνα. Όταν δεδομένα προσωπικού χαρακτήρα που συλλέγονται για μια ερευνητική μελέτη διαβιβάζονται σε ένα οργανισμό των ΗΠΑ που περιλαμβάνεται στον ασφαλή λιμένα, μπορεί ο οργανισμός να χρησιμοποιήσει τα δεδομένα αυτά για μια νέα επιστημονική ερευνητική δραστηριότητα;

2. Α: Ναι, εφόσον εξαρχής παρέχεται κατάλληλη ειδοποίηση και δυνατότητα επιλογής. Μια τέτοια ειδοποίηση θα πρέπει να παρέχει πληροφορίες σχετικά με τυχόν μελλοντικές ειδικές χρήσεις των δεδομένων, όπως τακτική παρακολούθηση, σχετικές μελέτες ή εμπορική προώθηση. Είναι κατανοητό ότι δεν μπορούν να περιληφθούν όλες οι μελλοντικές χρήσεις των δεδομένων, δεδομένου ότι θα μπορούσε να προκύψει νέα έρευνα από νέες πληροφορίες σχετικά με τα αρχικά δεδομένα, νέες ιατρικές ανακαλύψεις και εξελίξεις, καθώς και εξελίξεις σχετικά με τη δημόσια υγεία και το κανονιστικό πλαίσιο. Ως εκ τούτου, όπου κρίνεται σκόπιμο, το σημείωμα θα πρέπει να περιλαμβάνει μια επεξήγηση ότι τα δεδομένα προσωπικού χαρακτήρα μπορεί να χρησιμοποιηθούν σε μελλοντικές ιατρικές και φαρμακευτικές ερευνητικές δραστηριότητες οι οποίες δεν προβλέπονται. Αν η χρήση δεν είναι συνεπής με το (τους) γενικό(-ούς) σκοπό(-ούς) της έρευνας για την οποία συλλέγησαν αρχικά τα δεδομένα και στην οποία συγκατατέθηκε ο ασθενής να συμμετάσχει στη συνέπεια, πρέπει να δώσει εκ νέου τη συγκατάθεσή του.

3. Ε: Τι συμβαίνει με τα δεδομένα κάποιου συμμετέχοντος ο οποίος αποφασίζει εθελοντικά ή έπειτα από αίτηση του χρηματοδότη να αποσυρθεί από την κλινική δοκιμή;

3. Α: Οι συμμετέχοντες μπορούν να αποφασίσουν ή να τους ζητηθεί να αποσυρθούν από μια κλινική δοκιμή ανά πάσα στιγμή. Εντούτοις, οποιαδήποτε δεδομένα έχουν συλλεγεί πριν αποσυρθούν, ενδέχεται να αποτελέσουν αντικείμενο επεξεργασίας, μαζί με τα υπόλοιπα δεδομένα που συλλέγονται στο πλαίσιο της κλινικής δοκιμής, εάν αυτό είχε επισημανθεί σαφώς στην ειδοποίηση τη στιγμή που ο συμμετέχων συμφώνησε να συμμετάσχει.

4. Ε: Οι εταιρείες φαρμακευτικών και ιατρικών συσκευών και οργάνων μπορούν να παρέχουν δεδομένα προσωπικού χαρακτήρα από κλινικές δοκιμές που πραγματοποιούνται στην ΕΕ σε νομοθετικούς φορείς των Ηνωμένων Πολιτειών για νομοθετικούς και εποπτικούς σκοπούς. Επιτρέπονται παρόμοιες διαβιβάσεις δεδομένων και σε άλλους ενδιαφερομένους πλην των νομοθετικών φορέων, όπως σε επιχειρήσεις και σε άλλους ερευνητές;

4. Α: Ναι, σύμφωνα με τις αρχές της κοινοποίησης και της επιλογής.

5. Ε: Προκειμένου να εξασφαλιστεί η αντικειμενικότητα, σε πολλές κλινικές δοκιμές, οι συμμετέχοντες και, επίσης, συχνά οι ερευνητές δεν μπορούν να έχουν πρόσβαση σε πληροφορίες σχετικά με το ποια θεραπευτική αγωγή χορηγείται στον συμμετέχοντα. Κάτι τέτοιο θα έθετε σε κίνδυνο την εγκυρότητα της ερευνητικής μελέτης και των αποτελεσμάτων. Μπορούν να έχουν οι συμμετέχοντες σε τέτοιες κλινικές δοκιμές (οι οποίες ονομάζονται "τυφλές" μελέτες) πρόσβαση στα δεδομένα σχετικά με τη θεραπευτική αγωγή τους κατά τη διάρκεια της δοκιμής;

5. Α: Όχι, η πρόσβαση αυτή δεν πρέπει να επιτρέπεται σε έναν συμμετέχοντα εάν ο περιορισμός αυτός εξηγήθηκε όταν ο συμμετέχων προσχώρησε στη δοκιμή, και η αποκάλυψη τέτοιων πληροφοριών θα έθετε σε κίνδυνο την ακεραιότητα της ερευνητικής προσπάθειας. Η συμφωνία συμμετοχής στη δοκιμή υπό αυτούς τους όρους αποτελεί λογική προϋπόθεση για το δικαίωμα πρόσβασης. Μετά την ολοκλήρωση της έρευνας και την ανάλυση των αποτελεσμάτων, οι συμμετέχοντες πρέπει να έχουν πρόσβαση στα δεδομένα τους εφόσον το ζητήσουν. Πρέπει να το ζητήσουν κυρίως από τον ιατρό ή από άλλον ιατρικό φορέα ο οποίος τους χορήγησε τη θεραπευτική αγωγή στο πλαίσιο της κλινικής δοκιμής, ή, κατά δεύτερο λόγο, από τη χρηματοδότρια εταιρεία.

6. Ε: Οφείλει μια επιχείρηση φαρμακευτικών ή ιατρικών συσκευών και οργάνων να εφαρμόζει τις αρχές του ασφαλούς λιμένα όσον αφορά την κοινοποίηση, την επιλογή, την περαιτέρω διαβίβαση και την πρόσβαση στις δραστηριότητες παρακολούθησης της ασφάλειας και της αποτελεσματικότητας του προϊόντος, συμπεριλαμβανομένης της κατάρτισης εκθέσεων για ανεπιθύμητες ενέργειες και του εντοπισμού ασθενών/υποκειμένων που χρησιμοποιούν ορισμένα φάρμακα ή ιατρικές συσκευές (π.χ. βηματοδότη);

6. Α: Όχι, στο βαθμό κατά τον οποίο η προσήλωση στις αρχές αντίκειται προς τις κανονιστικές απαιτήσεις. Αυτό ισχύει τόσο σε σχέση με τις εκθέσεις, π.χ. από φορείς παροχής ιατρικής περίθαλψης προς επιχειρήσεις φαρμακευτικών και ιατρικών συσκευών και οργάνων, όσο και σε σχέση με τις εκθέσεις από επιχειρήσεις φαρμακευτικών και ιατρικών συσκευών και οργάνων προς κρατικούς φορείς όπως η υπηρεσία τροφίμων και φαρμάκων (FDA).

7. Ε: Τα δεδομένα της έρευνας λαμβάνουν μονοσήμαντους κωδικούς στην πηγή τους από τον κύριο ερευνητή έτσι ώστε να μην αποκαλύπτεται η ταυτότητα των ασθενών στους οποίους αντιστοιχούν τα δεδομένα προσωπικού χαρακτήρα. Ο τρόπος αποκωδικοποίησης των δεδομένων δεν γνωστοποιείται στις φαρμακευτικές εταιρείες που χρηματοδοτούν την έρευνα. Μόνο ο ερευνητής έχει τη δυνατότητα αποκωδικοποίησης έτσι ώστε να είναι σε θέση να αναγνωρίσει το υποκείμενο της έρευνας που συμμετέχει στην έρευνα υπό ορισμένες συνθήκες (π.χ. εάν απαιτείται περαιτέρω ιατρική παρακολούθηση). Η διαβίβαση δεδομένων κωδικοποιημένων κατ' αυτόν τον τρόπο από την ΕΕ προς τις ΗΠΑ συνιστά διαβίβαση δεδομένων προσωπικού χαρακτήρα που υπόκειται στις αρχές του ασφαλούς λιμένα;

7. Α: Όχι. Αυτό δεν αποτελεί διαβίβαση δεδομένων προσωπικού χαρακτήρα που να υπόκειται στις εν λόγω αρχές.

ΣΕ αριθ. 15 - Πληροφορίες δημοσίων αρχείων και δημοσιοποιημένες πληροφορίες

Ε: Είναι απαραίτητο να εφαρμοστεί η αρχή της ειδοποίησης, της επιλογής και της περαιτέρω διαβίβασης στις πληροφορίες των δημοσίων αρχείων ή στις δημοσιοποιημένες πληροφορίες;

Α: Δεν είναι απαραίτητο να εφαρμοστεί η αρχή της κοινοποίησης, της επιλογής ή της περαιτέρω διαβίβασης στις πληροφορίες δημοσίων αρχείων, εφόσον δεν συνδυάζονται με πληροφορίες από μη δημόσια αρχεία και πληρούνται όλες οι προϋποθέσεις που ορίζονται από την αρμόδια δικαστική αρχή.

Γενικώς, δεν είναι επίσης απαραίτητο να εφαρμοστεί η αρχή της κοινοποίησης, της επιλογής ή της περαιτέρω διαβίβασης στις δημοσιοποιημένες πληροφορίες, εάν ο ευρωπαϊκός φορέας διαβίβασης επισημαίνει ότι οι συγκεκριμένες πληροφορίες υπόκεινται σε περιορισμούς που απαιτούν τη εφαρμογή των εν λόγω αρχών κατά τη χρησιμοποίησή τους από το φορέα. Οι φορείς δεν φέρουν καμία ευθύνη όσον αφορά τη χρησιμοποίηση των εν λόγω πληροφοριών από εκείνους που τις απόκτησαν μέσω δημοσιευμένου υλικού.

Στις περιπτώσεις όπου διαπιστώνεται ότι ένας φορέας κατέστησε εκ προθέσεως δημόσια μια πληροφορία προσωπικού χαρακτήρα, κατά παράβαση των αρχών, προκειμένου ο ίδιος ή άλλοι φορείς να επωφεληθούν από τις εν λόγω εξαιρέσεις, δεν θα θεωρείται πλέον κατάλληλος να απολαύει τα οφέλη που προκύπτουν από τον ασφαλή λιμένα.

(1) Η συμπερίληψη της παρούσας ΣΕ στο πακέτο συχνών ερωτήσεων εξαρτάται από τη συμφωνία των ΑΠΔ. Οι εν λόγω αρχές εξέτασαν το παρόν κείμενο στο πλαίσιο της ομάδας εργασίας του άρθρου 29 και θεωρήθηκε κατά πλειοψηφία αποδεκτό, αλλά είναι διατεθειμένες να διατυπώσουν την οριστική τους άποψη μόνο στο πλαίσιο της συνολικής γνώμης που θα εκδώσει η ομάδα εργασίας για το τελικό πακέτο συχνών ερωτήσεων.

(2) Βλέπε ΣΕ αριθ. 7 σχετικά με την επαλήθευση.

(3) Τα όργανα επίλυσης διαφορών δεν υποχρεούνται να τηρούν την αρχή της εφαρμογής. Μπορούν επίσης να παρακκλίνουν από τις αρχές όταν αντιμετωπίζουν αντιφατικές υποχρεώσεις ή ρητή έγκριση κατά την εκτέλεση των ειδικών τους καθηκόντων.

(4) Τα όργανα επίλυσης διαφορών έχουν διακριτική ευχέρεια όσον αφορά τις συνθήκες υπό τις οποίες εφαρμόζουν τις κυρώσεις αυτές. Η ευαισθησία των σχετικών δεδομένων είναι ένας παράγοντας που πρέπει να λαμβάνεται υπόψη κατά τη λήψη αποφάσεων σχετικά με το αν θα πρέπει να απαιτηθεί διαγραφή των δεδομένων, όπως και το εάν και κατά πόσο ένας οργανισμός συνέλεξε, χρησιμοποίησε και δημοσιοποίησε πληροφορίες παραβαίνοντας καταφανώς τις αρχές.

ΠΑΡΑΡΤΗΜΑ III

Ασφαλής λιμένας: Ανασκόπηση της εφαρμογής

Ομοσπονδιακή και πολιτειακή εξουσία για θέματα αθέμιτων και δολίων πρακτικών και προστασία της ιδιωτικής ζωής

Το παρόν μνημόνιο παρουσιάζει την εξουσία της FTC υπό το τμήμα 5 του FTC Act (βλέπε U.S.C. §§ 41-58, όπως τροποποιήθηκε) για ανάληψη δράσης εναντίον αυτών που δεν προστατεύουν το απόρρητο των πληροφοριών προσωπικού χαρακτήρα σύμφωνα με τις σχετικές δηλώσεις ή/και δεσμεύσεις. Καλύπτει επίσης τις εξαιρέσεις που δεν υπόκεινται στην εξουσία αυτή και την ικανότητα άλλων ομοσπονδιακών και πολιτειακών υπηρεσιών για ανάληψη δράσης σε τομείς στους οποίους η FTC δεν έχει αρμοδιότητα(1).

Εξουσία της FTC όσον αφορά αθέμιτες ή δόλιες πρακτικές

Σύμφωνα με το τμήμα 5 του FTC Act, οι "αθέμιτες ή δόλιες πράξεις ή πρακτικές στο εμπόριο ή οι οποίες επηρεάζουν το εμπόριο" είναι παρόνομες [βλέπε 15 U.S.C. § 45(a)(1)]. Το τμήμα 5 παρέχει στην FTC πλήρη εξουσία για την πρόληψη τέτοιων πράξεων και πρακτικών [βλέπε 15 U.S.C. § 45(a)(2)]. Επομένως, η FTC μπορεί, κατά τη διενέργεια επίσημης ακρόασης, να εκδώσει διαταγή παύσης για να σταματήσει η επιβλαβής συμπεριφορά [15 U.S.C. § 45(b)]. Επίσης, εάν αυτό είναι προς το δημόσιο συμφέρον, η FTC μπορεί να επιδιώξει την έκδοση προσωρινής εντολής περιορισμού ή προσωρινής ή μόνιμης δικαστικής εντολής από πρωτοδικείο των ΗΠΑ [βλέπε 15 U.S.C. § 53(b)]. Σε περιπτώσεις κατά τις οποίες υπάρχουν αθέμιτες ή δόλιες πράξεις ή πρακτικές κατά συρροήν, ή είχαν ήδη εκδοθεί διαταγές παύσης για το ζήτημα αυτό, η FTC μπορεί να εκδώσει διοικητικό κανόνα που καλύπτει τις σχετικές πράξεις ή πρακτικές (βλέπε 15 U.S.C. § 57a).

Όποιος δε συμμορφώνεται με διαταγή της FTC υπόκειται σε αστική χρηματική ποινή ύψους μέχρι 11000 δολλαρίων ΗΠΑ, ενώ η κάθε ημέρα συνέχισης της παράβασης αποτελεί ξεχωριστή παράβαση [βλέπε 15 U.S.C. 45(1)](2). Επίσης, όποιος παραβιάζει εν γνώσει του έναν κανόνα της FTC υπόκειται σε χρηματική ποινή 11000 δολαρίων ΗΠΑ για κάθε παράβαση [βλέπε U.S.C. § 45(m)]. Οι ενέργειες οι σχετικές με την εφαρμογή μπορούν να πραγματοποιηθούν είτε από το Υπουργείο Δικαιοσύνης είτε, εάν αυτό δηλώσει αναρμοδιότητα, από την FTC [βλέπε U.S.C. § 56).

Εξουσία της FTC και προστασία της ιδιωτικής ζωής

Κατά την άσκηση της εξουσίας της υπό το τμήμα 5, η θέση της FTC είναι ότι η παραπλάνηση σχετικά με το σκοπό συλλογής πληροφοριών από καταναλωτές ή τον τρόπο με τον οποία θα χρησιμοποιηθούν οι πληροφορίες αυτές αποτελεί δόλια πρακτική(3). Για παράδειγμα, το 1998, η FTC άσκησε αγωγή κατά της GeoCities για την κοινοποίηση, σε τρίτους και για διαφημιστικούς σκοπούς, πληροφοριών που είχε συλλέξει στην ιστοσελίδα της, χωρίς προηγούμενη άδεια, παρά τις δηλώσεις της για το αντίθετο(4). Το προσωπικό της FTC έχει δηλώσει επίσης ότι η συλλογή πληροφοριών προσωπικού χαρακτήρα από παιδιά και η πώληση και κοινοποίηση των πληροφοριών αυτών χωρίς την συναίνεση των γονέων είναι πιθανόν να αποτελεί αθέμιτη πρακτική(5).

Σε μια επιστολή προς τον Γενικό Διευθυτή της Επιτροπής John Mogg, ο πρόεδρος της FTC Pitofsky υπογράμμισε τους περιορισμούς της εξουσίας της FTC όσον αφορά την προστασία της ιδιωτικής ζωής όταν δεν έχει γίνει παραπλανητική δήλωση (ή καμία δήλωση) σχετικά με τον τρόπο με τον οποίο θα χρησιμοποιηθούν οι πληροφορίες που συλλέγονται (βλέπε επιστολή του προέδρου της FTC Pitofsky προς τον John Mogg της 23ης Σεπτεμβρίου 1998). Εντούτοις, οι εταιρείες που θέλουν να επωφεληθούν από τον προτεινόμενο "ασφαλή λιμένα" θα πρέπει να βεβαιώσουν ότι θα προστατεύουν τις πληροφορίες που συλλέγουν βάσει προκαθορισμένων κατευθυντηρίων γραμμών. Κατά συνέπεια όταν μια εταιρεία βεβαιώνει ότι θα διαφυλάξει τον ιδιωτικό χαρακτήρα των πληροφοριών και στη συνέχεια δεν το κάνει, η ενέργεια αυτή θα είναι ψευδής δήλωση και "δόλια πρακτική" με την έννοια του τμήματος 5.

Δεδομένου ότι η δικαιοδοσία της FTC καλύπτει τις αθέμιτες ή δόλιες πράξεις ή πρακτικές "στο εμπόριο ή που επηρεάζουν το εμπόριο", η FTC δεν θα έχει δικαιοδοσία όσον αφορά τη συλλογή και τη χρήση πληροφοριών προσωπικού χαρακτήρα για μη προσωπικούς σκοπούς, π.χ. για συγκέντρωση χρημάτων για φιλανθρωπικούς σκοπούς (βλέπε επιστολή Pitofsky, σελίδα 3). Εντούτοις, η χρήση πληροφοριών προσωπικού χαρακτήρα σε οποιαδήποτε προσωπική συναλλαγή θα πληροί τις προϋποθέσεις της δικαιοδοσίας αυτής. Έτσι, για παράδειγμα, αν ένας εργοδότης πωλήσει πληροφορίες προσωπικού χαρακτήρα σχετικά με τους μισθωτούς του σε μια εταιρεία απευθείας πωλήσεων, η συναλλαγή θα εμπίπτει στο τμήμα 5.

Εξαιρέσεις του τμήματος 5

Το τμήμα 5 ορίζει ορισμένες εξαιρέσεις από την εξουσία της FTC σχετικά με τις αθέμιτες ή δόλιες πράξεις ή πρακτικές, όσον αφορά τα ακόλουθα:

- χρηματοπιστωτικά ιδρύματα, όπου περιλαμβάνονται οι τράπεζες, οι οργανισμοί αποταμιεύσεων και δανείων και οι πιστωτικοί συνεταιρισμοί,

- φορείς τηλεπικοινωνιών και διαπολιτειακές δημόσιες μεταφορικές εταιρείες,

- αερομεταφορείς, και

- εταιρείες συσκευασίας ζωικών προϊόντων και μάντρες φύλαξης ζώντων ζώων (για σφαγή, κ.λπ.).

[Βλέπε 15 U.S.C. § 45(a)(2)]. Παρακάτω εξετάζεται η κάθε εξαίρεση και η κανονιστική αρχή που την αντικαθιστά.

Χρηματοπιστωτικά ιδρύματα(6)

Η πρώτη εξαίρεση αφορά "τράπεζες και οργανισμούς αποταμιεύσεων και δανείων όπως περιγράφονται στο τμήμα 18(f)(3) [U.S.C. § 57a(f)(3)]" και "ομοσπονδιακούς πιστωτικούς συνεταιρισμούς όπως περιγράφονται στο τμήμα 18(f)(4) [U.S.C. § 57a(f)(4)]"(7). Αυτά τα χρηματοπιστωτικά ιδρύματα υπόκεινται σε κανονιστικές πράξεις που εκδίδονται από το Federal Reserve Board, το Office of Thrift Supervision(8), και το National Credit Union Administration Board, αντιστοίχως [βλέπε 15 U.S.C. § 57a(f)]. Αυτοί ο κανονιστικοί οργανισμοί έχουν λάβει οδηγίες να καταρτίζουν τις κανονιστικές ρυθμίσεις που είναι απαραίτητες για την πρόληψη των αθέμιτων και δολίων πρακτικών από αυτά τα χρηματοπιστωτικά ιδρύματα(9) και να ιδρύσουν ένα ξεχωριστό τμήμα για τον χειρισμό των καταγγελιών πελατών [βλέπε U.S.C. § 57a(f)(1)]. Τέλος, η εξουσία για την εφαρμογή πηγάζει από το τμήμα 8 του νόμου Federal Deposit Insurance Act (βλέπε 12 U.S.C. § 1818), για τις τράπεζες και τους οργανισμούς αποταμιεύσεων και δανείων και τα τμήματα 120 και 206 του νόμου Federal Credit Union Act, για τους ομοσπονδιακούς πιστωτικούς συνεταιρισμούς [βλέπε 15 U.S.C. §§ 57a(f)(2)-(4)].

Αν και ο κλάδος των ασφαλίσεων δεν περιλαμβάνεται ρητώς στον κατάλογο των εξαιρέσεων του τμήματος 5, ο νόμος McCarran-Ferguson Act (βλέπε 15 U.S.C. § 1011 και επόμενα) αφήνει γενικά την αρμοδιότητα για ρύθμιση των δραστηριοτήτων των ασφαλιστικών εταιρειών στις επιμέρους πολιτείες(10). Επιπλέον, δυνάμει του τμήματος 2(b) του νόμου McCarran-Ferguson Act, κανένας ομοσπονδιακός νόμος δεν ακυρώνει, εμποδίζει, ή καταργεί τις κανονιστικές ρυθμίσεις των πολιτειών "εκτός εάν ο νόμος αυτός αφορά ειδικά τις ασφαλιστικές δραστηριότητες" [βλέπε 15 U.S.C. § 1012(b)]. Εντούτοις, οι διατάξεις του νόμου FTC ισχύουν για τον κλάδο των ασφαλίσεων "εφόσον οι δραστηριότητες αυτές δεν υπόκεινται σε ρυθμίσεις της πολιτειακής νομοθεσίας" (βλέπε ως ανωτέρω). Θα πρέπει επίσης να σημειωθεί ότι ο νόμος McCarran-Ferguson αναφέρεται στις πολιτείες μόνον όσον αφορά τις "δραστηριότητες των ασφαλίσεων". Επομένως, η FTC διατηρεί την κατάλοιπη εξουσία σχετικά με τις αθέμιτες ή δόλιες πρακτικές εκ μέρους ασφαλιστικών εταιρειών έξω από το πλαίσιο των ασφαλιστικών δραστηριοτήτων. Αυτό μπορεί να περιλαμβάνει, για παράδειγμα, την πώληση, εκ μέρους ασφαλιστικών εταιρειών, πληροφοριών προσωπικού χαρακτήρα για τους ασφαλισμένους τους σε επιχειρήσεις απευθείας πωλήσεων προϊόντων που δεν είναι σχετικά με τις ασφαλίσεις(11).

Δημόσιες μεταφορικές εταιρείες

Η δεύτερη εξαίρεση του τμήματος 5 αφορά τις δημόσιες μεταφορικές εταιρείες που "υπόκεινται στους νόμους που ρυθμίζουν το εμπόριο" [βλέπε 15 U.S.C. § 45(a)(2)]. Στην περίπτωση αυτή, οι "νόμοι για τη ρύθμιση του εμπορίου" αναφέρονται στον υπότιτλο IV του τίτλου 49 του United States Code και στο νόμο περί επικοινωνιών (Communications Act) του 1934 (βλέπε 47 U.S.C. § 151 και επόμενα) (Communications Act) (βλέπε 15 U.S.C. § 44).

Ο 49 U.S.C. υπότιτλος IV (διαπολιτειακές μεταφορές) καλύπτει τις σιδηροδρομικές μεταφορές, τις οδικές μεταφορές, τις πλωτές μεταφορές, τους μεσίτες, τους φορτωτές και τις μεταφορές μέσω αγωγών (βλέπε 49 U.S.C. § 10101 και επόμενα). Αυτές οι διάφορες μεταφορικές εταιρείες υπόκεινται σε ρυθμισείς από το Surface Transportation Board, μια ανεξάρτητη υπηρεσία που ανήκει στο Υπουργείο Μεταφορών (βλέπε 49 U.S.C. §§ 10501, 13501, και 15301). Σε κάθε περίπτωση, απαγορεύεται στην εταιρεία μεταφορών να αποκαλύπτει πληροφορίες σχετικά με τη φύση, τον προορισμό και άλλες πτυχές του φορτίου της που ενδέχεται να βλάψουν τον αποστολέα (βλέπε 49 U.S.C. §§ 11904, 14908, και 16103). Θα πρέπει να σημειωθεί ότι οι διατάξεις αυτές αναφέρονται σε πληροφορίες σχετικά με το φορτίο που ανήκει στον αποστολέα και επομένως δεν φαίνεται να καλύπτουν πληροφορίες προσωπικού χαρακτήρα σχετικά με τον αποστολέα, οι οποίες δεν σχετίζονται με τον εν λόγω φορτίο.

Όσον αφορά τον νόμο Communications Act, καλύπτει τη ρύθμιση "διαπολιτειακού και εξωτερικού εμπορίου καλωδιακών και ραδιοφωνικών επικοινωνιών" από την ομοσπονδιακή επιτροπή επικοινωνιών (Federal Communications Commission - FCC) (βλέπε 47 U.S.C. §§ 151 και 152). Εκτός από τις δημόσιες εταιρείες τηλεπικοινωνιών, ο νόμος Communications Act ισχύει επίσης για εταιρείες όπως οι εταιρείες τηλεοπτικών και ραδιοφωνικών εκπομπών και οι εταιρείες παροχής καλωδιακών υπηρεσιών που δεν είναι δημόσιοι φορείς. Έτσι, οι τελευταίες εταιρείες δεν εμπίπτουν στην εξαίρεση του τμήματος 5 του νόμου FTC. Έτσι, η FTC έχει δικαιοδοσία να διευρευνά τις εταιρείες αυτές για αθέμιτες και δόλιες πρακτικές, ενώ η FCC έχει ταυτόχρονη δικαιοδοσία για εφαρμογή της ανεξάρτητης εξουσίας της στον τομέα αυτόν όπως περιγράφεται παρακάτω.

Υπό το νόμο Communications Act, "κάθε φορέας τηλεπικοινωνιών", όπου περιλαμβάνονται οι τοπικοί φορείς μεταγωγής, έχει καθήκον να προστατεύει τον ιδιωτικό χαρακτήρα των χαρακτηριστικών πληροφοριών των πελατών [47 U.S.C. § 222(a)](12). Εκτός από αυτή τη γενική εξουσία προστασίας της ιδιωτικής ζωής, ο νόμος Communications Act τροποποιήθηκε από το νόμο Cable Communications Policy Act του 1984 (Cable Act) (βλέπε 47 U.S.C. § 521 και επόμενα), έτσι ώστε να οριστεί συγκεκριμένα ότι οι φορείς καλωδιακών υπηρεσιών πρέπει να προστατεύουν τον ιδιωτικό χαρακτήρα των "πληροφοριών που επιτρέπουν την αναγνώριση προσώπων" σχετικά με τους συνδρομητές των καλωδιακών υπηρεσιών (βλέπε 47 U.S.C. § 551)(13). Ο νόμος Cable Act περιορίζει τη συλλογή πληροφοριών προσωπικού χαρακτήρα από φορείς καλωδιακών υπηρεσιών και επιβάλει στο φορέα καλωδιακών υπηρεσιών να πληροφορεί τον συνδρομητή σχετικά με τη φύση των πληροφοριών που συλλέγονται και τον τρόπο με τον οποίο θα χρησιμοποιηθούν οι πληροφορίες. Ο νόμος Cable Act παρέχει στους συνδρομητές το δικαίωμα πρόσβασης στις πληροφορίες που τους αφορούν και απαιτεί από τους φορείς καλωδιακών υπηρεσιών να καταστρέφουν τις πληροφορίες αυτές όταν δεν χρειάζονται πλέον.

Ο νόμος Communications Act παρέχει στην FCC την εξουσία να εφαρμόζει αυτές τις δύο διατάξεις προστασίας της ιδιωτικής ζωής, είτε με δική της πρωτοβουλία είτε μετά από εξωτερική καταγγελία(14), (βλέπε 47 U.S.C. §§ 205, 403)· βλέπε ως ανωτέρω· § 208. Αν η FCC διαπιστώσει ότι ένας φορέας τηλεπικοινωνιών (όπου περιλαμβάνονται οι φορείς καλωδιακών υπηρεσιών) έχει παραβεί τις διατάξεις περί προστασίας της ιδιωτικής ζωής του τμήματος 222 ή του τμήματος 551, υπάρχουν τρεις βασικές ενέργειες που μπορεί να αναλάβει. Πρώτον, μετά από ακροαματική διαδικασία και διαπίστωση της παράβασης, η FCC μπορεί να διατάξει το φορέα τηλεπικοινωνιών να καταβάλει χρηματική αποζημίωση (βλέπε 47 U.S.C. § 209)(15). Εναλλακτικά, η FCC μπορεί να διατάξει τον φορέα τηλεπικοινωνιών να παύσει την πρακτική ή την παράλεψη που προκαλεί βλάβη [βλέπε 47 U.S.C. § 205(a)]. Τέλος, η FCC μπορεί επίσης να διατάξει τον παραβάτη φορέα τηλεπικοινωνιών να "συμμορφώνεται και να τηρεί (οποιαδήποτε) κανονιστική ρύθμιση ή πρακτική" που θα ορίσει η FCC (βλέπε ως ανωτέρω).

Τα άτομα που πιστεύουν ότι ένας φορέας τηλεπικοινωνιών ή φορέας καλωδιακών υπηρεσιών έχει παραβεί τις σχετικές διατάξεις του νόμου Communications Act ή του νόμου Cable Act μπορεί να προσφύγει στην FCC ή να προσφύγει σε ομοσπονδιακό πρωτοδικείο (βλέπε 47 U.S.C. § 207). Αν ένας ιδιώτης δικαιωθεί από ομοσπονδιακό προωτοδικείο σε βάρος ενός φορέα τηλεπικοινωνιών για μη προστασία πληροφοριών που επιτρέπουν την αναγνώριση πελάτη υπό το ευρύτερο τμήμα 222 του νόμου Communications Act, μπορεί να του επιδικαστεί αποζημίωση για τη ζημία που υπέστη και επιστροφή των δικηγορικών εξόδων (βλέπε 47 U.S.C. § 206). Στο μηνυτή που έχει εγείρει αγωγή για παραβίαση της ιδιωτική ζωής υπό το τμήμα 551 του νόμου Cable Act που αφορά ειδικά τις καλωδιακές επικοινωνίες μπορεί να του επιδικαστεί, επιπλέον της αποζημίωσης για τη ζημία που υπέστη και της επιστροφής των δικηγορικών εξόδων σωφρονιστική αποζημίωση και κάλυψη, σε λογικά πλαίσια, των δικαστικών εξόδων [βλέπε 47 U.S.C. § 551(f)].

Η FCC θέσπισε αναλυτικούς κανόνες για την εφαρμογή του τμήματος 222 (βλέπε 47 CFR 47, 64.2001-2009). Οι κανόνες ορίζουν συγκεκριμένα μέτρα διαφύλαξης για την προστασία από την χωρίς άδεια πρόσβαση σε πληροφορίες δικτύου που επιτρέπουν την αναγνώριση πελατών. Σύμφωνα με τους κανονισμούς αυτούς, οι φορείς τηλεπικοινωνιών υποχρεούνται:

- να αναπτύξουν και να εφαρμόσουν συστήματα λογιστικού που "εμφανίζουν" την κατάσταση πληροφόρησης/έγκρισης ενός πελάτη, όταν το μητρώο υπηρεσιών του πελάτη εμφανίζεται για πρώτη φορά στην οθόνη,

- να διατηρούν ένα ηλεκτρονικό "μονοπάτι ελέγχου" για την παρακολούθηση της πρόσβασης στο λογαριασμό ενός πελάτη, όπου θα περιλαμβάνονται πληροφορίες για το πότε ανοίγεται ο λογαριασμός ενός πελάτη, από ποιον, και για ποιο σκοπό,

- να εκπαιδεύσουν το προσωπικό τους για την εγκεκριμένη χρήση των πληροφοριών δικτύου που επιτρέπουν την αναγνώριση των πελατών, με θέσπιση κατάλληλων πειθαρχικών διαδικασιών,

- να θεσπίσουν μια εποπτική διαδικασία ανασκόπησης για να εξασφαλιστεί η συμμόρφωση κατά την άσκηση δραστηριοτήτων πωλήσεων προς το εξωτερικό της επιχείρησης, και

- να βεβαιώνουν την FCC, σε ετήσια βάση, σχετικά με τον τρόπο συμμόρφωσης με τις ρυθμίσεις αυτές.

Αερομεταφορείς

Οι αερομεταφορείς των ΗΠΑ και της αλλοδαπής που υπόκεινται στον ομοσπονδιακό νόμο περί αεροπορίας (Federal Aviation Act) του 1958 εξαιρούνται επίσης από το τήμα 5 του νόμου FTC [βλέπε 15 U.S.C. § 45(a)(2)]. Εδώ περιλαμβάνεται οποιοσδήποτε παρέχει διαπολιτειακές ή εξωτερικές υπηρεσίες μεταφορών εμπορευμάτων ή επιβατών, ή που μεταφέρει ταχυδρομείο, με αεροσκάφη (βλέπε 49 U.S.C. § 40102). Οι αερομεταφορείς υπόκεινται στην εξουσία του Υπουργείου Μεταφορών. Από την απόψη αυτή, ο υπουργός Μεταφορών έχει την εξουσία να αναλαμβάνει δράση "για την πρόληψη αθέμιτων, δολίων, αρπακτικών, ή μη ανταγωνιστικών πρακτικών στις αερομεταφορές" [βλέπε 49 U.S.C. § 40101(a)(9)]. Ο υπουργός Μεταφορών μπορεί να διερευνά εάν ένας αερομεταφορέας των ΗΠΑ ή της αλλοδαπής, ή ένα πρακτορείο εισιτηρίων, έχει επιδοθεί σε αθέμιτη ή δόλια πρακτική εάν αυτό αφορά το δημόσιο συμφέρον (βλέπε 49 U.S.C. § 41712). Μετά από ακρόαση, ο υπουργός Μεταφορών μπορεί να εκδώσει διαταγή διακοπής της παράνομης πρακτικής (βλέπε ως ανωτέρω). Σύμφωνα με αυτά που γνωρίζουμε, ο υπουργός Μεταφορών δεν έχει ασκήσει την εξουσία αυτή για αντιμετώπιση του ζητήματος της προστασίας των πληροφοριών προσωπικού χαρακτήρα σχετικά με τους πελάτες των εταιρειών αερομεταφορών(16).

Υπάρχουν δύο διατάξεις που προστατεύουν τις πληροφορίες προσωπικού χαρακτήρα και οι οποίες ισχύουν για τους αερομεταφορείς σε συγκεκριμένα πλαίσια. Πρώτον, ο νόμος Federal Aviation Act προστατεύει την ιδιωτική ζωή των υποψηφίων χειριστών αεροσκαφών [βλέπε 49 U.S.C. § 44936(f)]. Ο νόμος αυτός επιτρέπει στους αερομεταφορείς να αποκτούν το μητρώο απασχόλησης ενός υποψηφίου χειριστή, αλλά παρέχει στην υποψήφιο χειριστή το δικαίωμα να ειδοποιείται ότι ζητήθηκαν τα σχετικά μητρώα, να δίνει τη συγκατάθεσή του για την αίτηση, να διορθώνει τις ανακρίβειες, και να εξασφαλίζει ότι τα μητρώα κοινοποιούνται μόνο στους αρμόδιους για τη λήψη απόφασης για την πρόσβαση. Δεύτερον, οι κανονισμοί του Υπουργείου Μεταφορών επιβάλλουν ότι οι πληροφορίες για τον κατάλογο επιβατών που συλλέγονται για χρήση από κρατικές υπηρεσίες σε περίπτωση αεροπορικού ατυχήματος "είναι εμπιστευτικές και κοινοποιούνται μόνο στο Department of State των ΗΠΑ, το National Transportation Board (μετά από αίτηση του NTSB), και το Υπουργείο Μεταφορών των ΗΠΑ" [βλέπε 14 CFR part 243, § 243.9(c)] (όπως προστέθηκε από το 63 FR 8258).

Εταιρείες συσκευασίας ζωικών προϊόντων και μάντρες ζώντων ζώων

Όσον αφορά τον νόμο Packers and Stockyards Act του 1921 (βλέπε 7 U.S.C. 181 και επόμενα), σύμφωνα με τον νόμο αυτό είναι παράνομο για "μια εταιρεία συσκευασίας όσον αφορά ζώντα ζώα, κρέατα, προϊόντα διατροφής με βάση το κρέας, ή ζωικά προϊόντα σε μη μεταποιημένη μορφή, ή για έναν πωλητή ζώντων πουλερικών όσον αφορά τα ζώντα πουλερικά, να επιδίδεται σε, ή να χρησιμοποιεί, αθέμιτες ή δόλιες πρακτικές ή μέσα που επιβάλλουν αδικαιολόγητες διακρίσεις" [βλέπε 7 U.S.C. § 192(a)· βλέπε επίσης 7 U.S.C., Band 8, § 213(a)] (που απαγορεύει "οποιαδήποτε αθέμιτη ή δόλια πρακτική ή μέσο ή οποιαδήποτε πρακτική ή μέσο που επιβάλει αδικαιολόγητες διακρίσεις" όσον αφορά τα ζώντα ζώα). Ο υπουργός Γεωργίας έχει την κύρια ευθύνη για την επιβολή των διατάξεων αυτών, ενώ η FTC διατηρεί τη δικαιοδοσία για τις συναλλαγές λιανικής πώλησης και αυτές που αφορούν τη βιομηχανία πουλερικών [βλέπε 7 U.S.C. § 227(b)(2)].

Δεν είναι σαφές εάν ο υπουργός θα ερμηνεύσει τη μη προστασία της ιδιωτικής ζωής εκ μέρους μιας εταιρείας συσκευασίας ή μιας μάντρας ζώντων ζώων σύμφωνα με τη δεδηλωμένη πολιτική ως "δόλια" πρακτική υπό τον νόμο Packers and Stockyards Act. Εντούτοις, η εξαίρεση από τη τμήμα 5 ισχύει για άτομα, συνεταιρισμούς ή εταιρείες μόνο "εφόσον υπάγονται στον νόμο Packers and Stockyards Act". Επομένως, εάν δεν τίθεται θέμα προστασίας της ιδιωτικής ζωής στο πλαίσιο του νόμου Packers and Stockyards Act, η εξαίρεση από το τμήμα 5 μπορεί να μην ισχύει και, επομένως, οι εταιρείες συσκευασίας και οι φορείς μαντρών ζώντων ζώων υπάγονται στην εξουσία της FTC όσον αφορά το ζήτημα αυτό.

Πολιτειακές εξουσίες για θέματα "αθέμιτων και δολίων πρακτικών"

Σύμφωνα με μια ανάλυση που συντάχθηκε από το προσωπικό της FTC, "και οι πενήντα πολιτείες καθώς και η περιοχή της Κολούμπια, το Γκουάμ, το Πουέρτο Ρίκο και οι Παρθένοι Νήσοι των ΗΠΑ έχουν θεσπίσει νόμους λίγο ως πολύ όμοιους με το νόμο Federal Trade Commission Act ('FTCA') για την πρόληψη αθέμιτων ή δολίων εμπορικών πρακτικών" [βλέπε πραγματολογικό δελτίο της FTC, που ανατυπώθηκε στο Comment, Consumer Protection: The Practical Effectiveness of State Deceptive Trade Practices Legislation, 59 Thul. L. Rev. 427 (1984)]. Σε όλες τις περιπτώσεις, μια υπηρεσία αρμόδια για την εφαρμογή έχει εξουσία "να διενεργεί έρευνες μέσω κλητεύσεων ή αστικών διερευνητικών αιτήσεων, να εξασφαλίζει βεβαιώσεις εθελοντικής συμμόρφωσης, να εκδίδει διαταγές παύσης ή να μεριμνά για την έκδοση δικαστικών εντολών για την πρόληψη της χρήσης αθέμιτων, παράλογων ή δολίων εμπορικών πρακτικών" (βλέπε ως ανοτέρω). Σε 46 δικαιοδοσίες, ο νόμος επιτρέπει τις αγωγές από ιδιώτες για αποζημίωση ίση με τη ζημία που έχουν υποστεί, για διπλή ή τριπλή αποζημίωση ή για σωφρονιστική αποζημίωση και σε ορισμένες περιπτώσεις, για επιστροφή των δικαστικών και δικηγορικών εξόδων (βλέπε ως ανωτέρω).

Ο νόμος περί δολίων και αθέμιτων εμπορικών πρακτικών της Φλόριντα, για παράδειγμα, εξουσιοδοτεί τον γενικό εισαγγελέα να διερευνά και να εγείρει αστικές αγωγές εναντίον "αθέμιτων μεθόδων ανταγωνισμού, αθέμιτων, πράλογων ή δολίων εμπορικών πρακτικών", όπου περιλαμβάνεται η ψευδής ή παραπλανητική διαφήμιση, οι παραπλανητικές συμβάσεις δικαιόχρησης ή επιχειρηματικών ευκαιριών, οι δόλιες πωλήσεις μέσω τηλεόρασης και τα σχήματα τύπου πυραμίδας [βλέπε επίσης NY General Business Law § 349 (που απαγορεύει τις αθέμιτες πράξεις και τις δόλιες πρακτικές στο πλαίσιο των επιχειρηματικών δραστηριοτήτων)].

Μια έρευνα που διενεργήθηκε φέτος από την εθνική ένωση γενικών εισαγγελέων (National Association of Attorneys General - NAAG) επιβεβαιώνει τα ευρήματα αυτά. Από τις 43 πολιτείες που απάντησαν, όλες έχουν καθεστώτα "μίνι-FTC" ή άλλα καθεστώτα που παρέχουν συγκρίσιμη προστασία. Επίσης σύμφωνα με την έρευνα της NAAG, 39 πολιτείες ανέφεραν ότι είναι διατεθειμένες να δεχθούν καταγγελίες από μη κατοίκους. Όσον αφορά ιδιαίτερα την προστασίας της ιδιωτικής ζωής των καταναλωτών, 37 από 41 πολιτείες που απάντησαν ανέφεραν ότι είναι διατεθειμένες να ανταποκριθούν σε καταγγελίες σύμφωνα με τις οποίες μια εταιρεία που εμπίπτει στη δικαιοδοσία τους δεν τηρεί πολιτική προστασίας της ιδιωτικής ζωής που είχε διακηρύξει η ίδια.

(1) Στο παρόν έγγραφο δεν εξετάζονται όλοι οι ομοσπονδιακοί νόμοι που καλύπτουν την προστασίας της ιδιωτικής ζωής σε συγκεκριμένα πλαίσια ή οι νόμοι των πολιτειών ή το εθνικό δίκαιο που ενδεχομένως ισχύουν. Οι νόμοι σε ομοσπονδιακό επίπεδο που ρυθμίζουν την εμπορική συλλογή και χρήση πληροφοριών προσωπικού χαρακτήρα περιλαμβάνουν το νόμο περί πολιτικής καλωδιακών επικοινωνιών (βλέπε Cable Communications Policy Act - 47 U.S.C. § 551), το νόμο περί προστασίας της ιδιωτικής ζωής των οδηγών (βλέπε Driver's Privacy Protection Act - 18 U.S.C. § 2721), τον νόμο περί προστασίας της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (βλέπε Electronic Communications Privacy Act - 18 U.S.C. § 2701 και επόμενα), το νόμο Eletronic Funds Transfer Act (βλέπε 15 U.S.C. §§ 1693, 1693m), το νόμο Fair Credit Reporting Act (βλέπε 15 U.S.C. § 1681 και επόμενα), το νόμο Right to Financial Privacy Act (βλέπε 12 U.S.C. § 3401 και επόμενα), το νόμο Telephone Consumer Protection Act (βλέπε 47 U.S.C. § 227), και το νόμο Video Privacy Protection Act (βλέπε 18 U.S.C. § 2710), μεταξύ άλλων. Πολλές πολιτείες έχουν ανάλογη νομοθεσία στους τομείς αυτούς. Βλέπε π.χ. το νόμο της Μασαχουσέτης Mass. Gen. Laws ch. 167B § 16 (που απαγορεύει στα χρηματοπιστωτικά ιδρύματα να κοινοποιούν οικονομικές πληροφορίες για τους πελάτες τους σε τρίτους αν δεν υπάρχει συναίνεση του πελάτη ή αν δεν γίνεται στο πλαίσιο δικαστικών διαδικασιών) και το νόμο της Νέας Υόρκης ΝΥ Pub. Health Law § 17 (που περιορίζει τη χρήση και την κοινοποίηση ιατρικών ή ψυχιατρικών μητρώων και παρέχει στους ασθενείς το δικαίωμα πρόσβασης στα μητρώα αυτά).

(2) Σε μια τέτοια δράση, το περιφερειακό δικαστήριο των Ηνωμένων Πολιτείων μπορεί επίσης να επιβάλει εύλογη αποζημίωση που αντιστοιχεί με την εφαρμογή της διατάγης της FTC [U.S.C. § 45(1)].

(3) Η "δόλια πρακτική" ορίζεται ως δήλωση, παράληψη ή πρακτική που ενδέχεται να παραπλανήσει λογικούς καταναλωτές με τρόπο που έχει υλικές συνέπειες.

(4) Βλέπε www.ftc.gov/opa/1998/9808/geocitie.htm.

(5) Βλέπε επιστολή του προσωπικού προς το Center for Media Education, www.ftc.gov/os/1997/9707/cenmed.htm. Επιπλέον, ο νόμος Children's Online Privacy Protection Act του 1998 παρέχει στην FTC ειδικές εξουσίες για τη ρύθμιση συλλογής πληροφοριών προσωπικού χαρακτήρα από παιδιά εκ μέρους φορέων ιστοσελίδων και φορέων παροχής υπηρεσιών σε απευθείας σύνδεση (βλέπε 15 U.S.C. §§ 6501-6506). Συγκεκριμένα, ο νόμος απαιτεί από τους φορείς υπηρεσιών σε απευθείας συνδεση να ειδοποιούν σχετικά τους γονείς και να εξασφαλίζουν τη συναίνεσή τους με επαληθεύσιμο τρόπο πριν από τη συλλογή, τη χρήση ή την κοινοποίηση πληροφοριών προσωπικού χαρακτήρα από παιδιά [ομοίως, § 6502(b)]. Ο νόμος παρέχει επίσης στους γονείς το δικαίωμα πρόσβασης στις πληροφορίες και ανάκλησης της άδειας για συνέχιση της χρήσης των πληροφοριών (βλέπε ως ανωτέρω).

(6) Στις 12 Νοεμβρίου 1999, ο Πρόεδρος Κλίντον υπέγραψε το νόμο Gramm-Leach-Bliley Act (Pub. L. 106-102, που κωδικοποιήθηκε στο 15 U.S.C. § 6801 και επόμενα). Ο νόμος περιορίζει την κοινοποίηση, εκ μέρους των χρηματοπιστωτικών ιδρυμάτων, πληροφοριών προσωπικού χαρακτήρα για τους πελάτες τους. Σύμφωνα με το νόμο, οι χρηματοπιστωτικοί οργανισμοί υποχρεούνται, μεταξύ άλλων, να πληροφορούν όλους τους πελάτες τους σχετικά με τις πολιτικές και τις πρακτικές τους για την προστασία της ιδιωτικής ζωής όσον αφορά την κοινή χρήση πληροφοριών προσωπικού χαρακτήρα με συνδεδεμένους και μη συνδεδεμένους οργανισμούς. Ο νόμος εξουσιοδοτεί την FTC, τις ομοσπονδιακές τραπεζικές αρχές και άλλες αρχές, να θεσπίζουν κανονιστικές πράξεις για την εφαρμογή της προστασίας της ιδιωτικής ζωής που απαιτείται από το νόμο. Οι διάφορες υπηρεσίες έχουν εκδώσει προτεινόμενους κανονισμούς για το σκοπό αυτό.

(7) Σύμφωνα με τους όρους τους, η εξαίρεση αυτή δεν αφορά τον τομέα των αξιογράφων. Επομένως, οι μεσίτες, οι πωλητές χρεογράφων και οι υπόλοιποι φορείς της βιομηχανίας αξιογράφων υπόκεινται ταυτόχρονα στη δικαιοδοσία της επιτροπής αξιογράφων και συναλλάγματος (Securities and Enchange Comission) και της FTC όσον αφορά τις αθέμιτες ή δόλιες πράξεις και πρακτικές.

(8) Η εξαίρεση του τμήματος 5 αφορούσε αρχικά το Federal Home Loan Bank Board που καταργήθηκε τον Αύγουστο του 1989 από τον νόμο Financial Institutions Reform, Recovery and Enforcement Act του 1989. Οι λειτουργίες του μεταβιβάστηκαν στο Office of Thrift Supervision και το Resolution Trust Corporation, το Federal Deposit Insurance Corporation, και το Housing Finance Board.

(9) Ενώ αφαιρεί τα χρηματοπιστωτικά ιδρύματα από τη δικαιοδοσία της FTC, το τμήμα 5 αναφέρει ότι όταν η FTC εκδίδει μια κανονιστική πράξη σχετικά με αθέμιτες ή δόλιες πράξεις και πρακτικές, οι κανονιστικοί φορείς (Boards) για χρηματοπιστωτικά θέματα θα πρέπει να θεσπίζουν παράλληλες κανονιστικές ρυθμίσεις εντός 60 ημερών [βλέπε 15 U.S.C. § 57a(f)(1)].

(10) "Οι δραστηριότητες των ασφαλίσεων, και όλων των ατόμων που ασχολούνται με αυτές, θα υπόκεινται στους νόμους των διαφόρων πολιτειών που αφορούν τη ρύθμιση ή τη φορολόγηση αυτών των δραστηριοτήτων" [βλέπε 15 U.S.C. § 1012(a)].

(11) Η FTC έχει ασκήσει τη δικαιοδοσία της σε ασφαλιστικές εταιρείες σε διάφορες περιπτώσεις. Σε μια υπόθεση, η FTC ανέλαβε δράση εναντίον μιας επιχείρησης για παραπλανητική διαφήμιση σε μια πολιτεία στην οποία δεν είχε άδεια άσκησης δραστηριότητας. Η δικαιοδοσία της FTC έγινε δεκτή επειδή δεν υπήρχε ουσιαστική πολιτειακή κανονιστική ρύθμιση διότι η επιχείρηση δεν ενέπιπτε ουσιαστικά στη δικαιοδοσία της πολιτείας [βλέπε FTC κατά Travelers Health Association, 362 US 293 (1960)].

Όσον αφορά τις πολιτείες, 17 από αυτές έχουν θεσπίσει τον πρότυπο νόμο περί προστασίας των πληροφοριών και της ιδιωτικής ζωής στον κλάδο των ασφαλίσεων "Insurance Information and Privacy Protection Act" που καταρτίστηκε από την National Association of Insurance Commissioners (NAIC). Ο νόμος αυτός περιλαμβάνει διατάξεις για την πληροφόρηση, τη χρήση και την κοινοποίηση, καθώς και την πρόσβαση. Επίσης, όλες σχεδόν οι πολιτείες έχουν θεσπίσει τον πρότυπο νόμο της NAIC περί αθέμιτων πρακτικών στον κλάδο των ασφαλίσεων "Unfair Insurance Practices Act", ο οποίες στοχεύει συγκεκριμένα στις αθέμιτες εμπορικές πρακτικές στον κλάδο των ασφαλίσεων.

(12) Ο όρος "χαρακτηριστικές πληροφορίες δικτύου των πελατών" σημαίνει πληροφορίες που αναφέρονται "στην ποσότητα, την τεχνική διαμόρφωση, το είδος, τον προορισμό και το βαθμό χρήσης μιας υπηρεσίας τηλεπικοινωνιών" από έναν πελάτη και τις πληροφορίες τιμολόγησης τηλεφωνικών επικοινωνιών [βλέπε 47 U.S.C. § 222(f)(1)]. Εντούτοις, ο όρος αυτός δεν περιλαμβάνει τις πληροφορίες καταλόγου των συνδρομητών (βλέπε ως ανωτέρω).

(13) Η νομοθεσία δεν ορίζει ρητά τις "πληροφορίες που επιτρέπουν την αναγνώριση προσώπων".

(14) Η εξουσία αυτή περιλαμβάνει το δικαίωμα ανόρθωσης για παραβιάσεις της ιδιωτικής ζωής υπό το τμήμα 222 του νόμου Communications Act ή, όσον αφορά τους συνδρομητές καλωδιακών υπηρεσιών, υπό το τμήμα 551 του νόμου Cable Act που αποτελεί τροποποίηση του αρχικού νόμου [βλέπε επίσης 47 U.S.C. § 551(f)(3)] (Η προσφυγή σε ομοσπονδιακό πρωτοδικείο δεν έχει αποκλειστικό χαρακτήρα και προσφέρεται "επιπλέον οποιασδήποτε άλλης νόμιμης επανόρθωσης την οποία δικαιούται ο συνδρομητής καλωδιακών υπηρεσιών").

(15) Εντούτοις, η απουσία άμεσης βλάβης για τον μηνυτή δεν αποτελεί βάσιμο λόγο για απόρριψη της μήνυσης [βλέπε U.S.C. § 208(a)].

(16) Είμαστε σε θέση να γνωρίζουμε ότι καταβάλλονται προσπάθειες στον κλάδο των αερομεταφορών για την αντιμετώπιση του ζητήματος της προστασίας της ιδιωτικής ζωής. Εκπρόσωποι του κλάδου έχουν συζητήσει τις προτεινόμενες αρχές ασφαλούς λιμένα και την πιθανή εφαρμογή τους στους αερομεταφορείς. Στη συζήτηση περιλαμβάνονταν μια πρόταση για θέσπιση μιας πολιτικής του κλάδου για την προστασία της ιδιωτικής ζωής, σύμφωνα με την οποία οι εταιρείες που συμμετέχουν θα δεχθούν ρητά να υπαχθούν στην εξουσία του Υπουργείου Μεταφορών.

ΠΑΡΑΡΤΗΜΑ IV

Απόρρητο ιδιωτικής ζωής και αποζημιώσεις, νόμιμες άδειες και συγχωνεύσεις και εξαγορές στο δίκαιο των ΗΠΑ

Το παρόν έγγραφο συντάχθηκε κατόπιν αιτήματος της Επιτροπής για τη διασάφηση της νομοθεσίας των ΗΠΑ όσον αφορά: α) αξιώσεις για την απακατάσταση ζημιών λόγω παραβίασης της ιδιωτικής ζωής, β) "ρητές άδειες" που προβλέπονται στο αμερικανικό δίκαιο για τη χρήση προσωπικών πληροφοριών κατά τρόπο που δεν συνάδει με τις αρχές του ασφαλούς λιμένα, και γ) τον αντίκτυπο των συγχωνεύσεων και εξαγορών στις υποχρεώσεις που έχουν αναληφθεί με βάση τις αρχές του ασφαλούς λιμένα.

Α. Ζημίες λόγω παραβίασης του απορρήτου της ιδιωτικής ζωής

Η μη τήρηση των αρχών του ασφαλούς λιμένα μπορεί να εγείρει προσωπικές αξιώσεις ανάλογα με τις εκάστοτε συνθήκες. Συγκεκριμένα, οι οργανώσεις του ασφαλούς λιμένα μπορούν να θεωρηθούν υπεύθυνες για ψευδή δήλωση σε περίπτωση μη επαρκούς τήρησης των δηλωμένων πολιτικών τους σε θέματα προστασίας του απορρήτου της ιδιωτικής ζωής. Στο κοινό δίκαιο ("common law") προβλέπονται αγωγές για ζημίες που προκαλούνται από την παραβίαση του απορρήτου της ιδιωτικής ζωής. Σε πολλές περιπτώσεις η ομοσπονδιακή και πολιτειακή νομοθεσία σε θέματα απορρήτου της ιδιωτικής ζωής προβλέπει την αποκατάσταση της ζημίας που έχουν υποστεί ιδιώτες λόγω παραβιάσεων.

Το δικαίωμα αποζημίωσης λόγω καταπάτησης του απορρήτου της ιδιωτικής ζωής κατοχυρώνεται από το αμερικανικό "common law."

Ορισμένες νομικές θεωρίες υποστηρίζουν ότι η χρησιμοποίηση προσωπικών πληροφοριών κατά τρόπο που δεν συνάδει με τις αρχές του ασφαλούς λιμένα μπορεί να εγείρει έννομη ευθύνη. Για παράδειγμα, τόσο το πρόσωπο που ελέγχει τη μεταφορά των δεδομένων όσο και οι θιγόμενοι ιδιώτες μπορούν να εγκαλέσουν για ψευδή δήλωση την οργάνωση ασφαλούς λιμένα που δεν τηρεί τις δεσμεύσεις της όσον αφορά τις αρχές του ασφαλούς λιμένα. Σύμφωνα με το Restatement of the Law, Second, Torts(1):

όποιος από πρόθεση κάνει ψευδή δήλωση ως προς γεγονότα, απόψεις, προθέσεις, ή νομοθετικές ρυθμίσεις με σκοπό την παρακίνηση τρίτου να ενεργήσει, ή την αποθάρρυνσή του από το να ενεργήσει, με βάση αυτή τη ψευδή δήλωση, φέρει την ευθύνη έναντι του προσώπου αυτού για τυχόν χρηματική ζημία που αυτός υφίσταται βασιζόμενος στη ψευδή δήλωση.

(Βλέπε Restatement § 525). Μια ψευδής δήλωση κρίνεται ως "δόλια" εφόσον γίνεται εν γνώσει του ψευδούς της χαρακτήρα ή με την πεποίθηση ότι είναι ψευδής (ομοίως, § 526). Κατά κανόνα, όποιος κάνει από πρόθεση ψευδή δήλωση υπέχει ευθύνη έναντι όλων εκείνων που μπορούν, με δική του υπαιτιότητα, να υποστούν χρηματική ζημία βασιζόμενοι στη δόλια ψευδή δήλωση (ομοίως, § 531). Επιπλέον, όποιος κάνει δόλια ψευδή δήλωση σε άλλους μπορεί να θεωρηθεί υπεύθυνος έναντι τρίτων εάν ο υπαίτιος της δόλιας ψευδούς δήλωσης πιστεύει ή ελπίζει ότι η ψευδής δήλωσή του μπορεί να επαναληφθεί σε τρίτους που θα βασιστούν σε αυτή (ομοίως, § 533).

Στο πλαίσιο του ασφαλούς λιμένα, η εν λόγω δήλωση αφορά τη δημόσια δήλωση του οργανισμού με την οποία ο τελευταίος αναλαμβάνει τη δέσμευση να τηρήσει τις αρχές του ασφαλούς λιμένα. Με βάση τη δέσμευση αυτή, κάθε ηθελημένη αθέτηση της τήρησης των αρχών αποτελεί λόγο κίνησης δικαστικής διαδικασίας για ψευδή δήλωση από εκείνους που έδωσαν πίστη σ' αυτή. Επειδή η δέσμευση για την τήρηση των αρχών αναλαμβάνεται έναντι παντός τρίτου, κάθε ιδιώτης που θα τύχει να αποτελέσει το υποκείμενο αυτών των πληροφοριών καθώς και ο υπεύθυνος για τον έλεγχο της διαβίβασης προσωπικών δεδομένων στον οργανισμό των ΗΠΑ μπορεί να κινήσει διαδικασία εις βάρος του αμερικανικού οργανισμού για ψευδή δήλωση(2). Επιπλέον, ο αμερικανικός οργανισμός υπέχει ευθύνη απέναντι τους για τη "συνεχιζόμενη ψευδή δήλωση" για όσο διάστημα δίνουν πίστη στην ψευδή αυτή δήλωση προς ζημία τους (βλέπε Restatement, § 535).

Όλοι όσοι δίνουν πίστη σε δόλια ψευδή δήλωση έχουν δικαίωμα αποζημίωσης. Σύμφωνα με το Restatement:

ο αποδέκτης μιας δόλιας ψευδούς δήλωσης έχει δικαίωμα αποζημίωσης με την άσκηση αγωγής για εξαπάτηση κατά του υπαίτιου της χρηματικής απώλειας την οποία υπέστη.

(βλέπε Restatement, § 549). Οι ζημίες αυτές περιλαμβάνουν την πραγματική χρηματική απώλεια καθώς και την απώλεια του κέρδους που συνεπάγεται η εμπορική συναλλαγή [ομοίως· βλέπε π.χ., Boling v. Tennessee State Bank, 890 S.W.2d 32 (1994) (η τράπεζα υπέχει ευθύνη έναντι των δανειοληπτών της ύψους 14825 δολαρίων ΗΠΑ για την αποκατάσταση της ζημίας που υπέστησαν από την κοινοποίηση προσωπικών πληροφοριών και προγραμμάτων επιχειρηματικών δραστηριοτήτων (business plans) των δανειοληπτών στον πρόεδρο της τράπεζας που είχε αντικρουόμενο συμφέρον].

Παρόλο που η δόλια ψευδής δήλωση προϋποθέτει είτε πραγματική γνώση είτε τουλάχιστον την πεποίθηση ότι η δήλωση είναι ψευδής, ευθύνη αποδίδεται και στην περίπτωση ψευδούς δήλωσης εξ αμελείας. Σύμφωνα με το Restatement, όποιος προβαίνει σε ψευδή δήλωση κατά την άσκηση των επιχειρηματικών δραστηριοτήτων του, του επαγγέλματός του ή της εργασίας του ή κάποιας μορφής χρηματικής συναλλαγής μπορεί να θεωρηθεί υπεύθυνος "εάν δεν επιδείξει τη δέουσα προσοχή και ικανότητα στη συλλογή ή κοινοποίηση των πληροφοριών" [βλέπε Restatement, § 552(1)]. Αντίθετα απ' ό, τι συμβαίνει με τη δόλια ψευδή δήλωση, οι ζημίες για την εξ αμελείας ψευδή δήλωση περιορίζονται στην πραγματική χρηματική ζημία [ομοίως, § 552Β(1)].

Σε μια πρόσφατη υπόθεση, για παράδειγμα, το ανώτατο δικαστήριο του Connecticut έκρινε ότι η παράλειψη εκ μέρους μιας εταιρείας ηλεκτρικής ενέργειας να ενημερώσει ότι είχε διαβιβάσει πληροφορίες σχετικά με τις πληρωμές των πελατών της στα εθνικά πιστωτικά ιδρύματα αποτελούσε λόγο αγωγής για ψευδή δήλωση (βλέπε Brouillard v. United Illuminating Co., 1999 Conn. Super. LEXIS 1754). Στην περίπτωση αυτή, ο ενάγων θεωρήθηκε αφερέγγυος επειδή ο εναγόμενος είχε χαρακτηρίσει τις πληρωμές που δεν είχαν παραληφθεί εντός τριάντα ημερών από την έκδοση του τιμολογίου ως "καθυστερημένες". Ο ενάγων υποστήριξε ότι δεν είχε λάβει γνώση αυτών των όρων όταν συνήψε συμφωνία για την παροχή ηλεκτρικής ενέργειας οικιακής χρήσης. Το δικαστήριο συγκεκριμένα έκρινε ότι "ο ισχυρισμός για ψευδή δήλωση εξ αμελείας μπορεί να βασίζεται στην παράλειψη του εναγόμενου να κοινοποιήσει τις απαραίτητες πληροφορίες όταν έπρεπε να το κάνει". Η υπόθεση αυτή δείχνει ότι η "σκοπιμότητα" ή η δόλια πρόθεση δεν αποτελεί απαραίτητο στοιχείο σε μια αγωγή για ψευδή δήλωση εξ αμελείας. Επομένως, ο οργανισμός των ΗΠΑ που εξ αμελείας παραλείπει να ενημερώσει με ποιον τρόπο προτίθεται να χρησιμοποιήσει τις λαμβανόμενες προσωπικές πληροφορίες με βάση τις αρχές του ασφαλούς λιμένα, υπέχει ευθύνη για ψευδή δήλωση.

Στην περίπτωση κατά την οποία η παραβίαση των αρχών του ασφαλούς λιμένα συνοδεύεται από κακή χρήση προσωπικών πληροφοριών, μπορεί επίσης αποτελέσει λόγο άσκησης αγωγής για παραβίαση του απορρήτου της ιδιωτικής ζωής που αναγνωρίζεται από το κοινό δίκαιο ("common law"). Το αμερικανικό δίκαιο εδώ και πολλά χρόνια αναγνωρίζει λόγους άσκησης αγωγής που συνδέονται με την παραβίαση του απορρήτου της ιδιωτικής ζωής. Σε μια υπόθεση του 1905(3), το ανώτατο δικαστήριο της Georgia αναγνώρισε ότι το δικαίωμα στην ιδιωτική ζωή θεμελιώνεται από τις αρχές του "natural and common law" όταν δικαίωσε έναν πολίτη επειδή η φωτογραφία του χρησιμοποιήθηκε από μια εταιρεία ασφαλειών ζωής, χωρίς τη συγκατάθεσή του ή εν αγνοία του, για μια εμπορική διαφήμιση. Το δικαστήριο, χρησιμοποιώντας χαρακτηρισμούς που τώρα πλέον είναι πολύ συνηθισμένοι στην αμερικανική νομολογία για θέματα ιδιωτικής ζωής, έκρινε τη χρησιμοποίηση της φωτογραφίας ως "κακοήθη", "ψευδή" που σκόπευσε στη "δημόσια γελοιοποίηση του ενάγοντα"(4). Η αιτιολόγηση της απόφασης Pavesich αποτέλεσε, με κάποιες ελάσσονος σημασίας παραλλαγές, το θεμέλιο λίθο του αμερικανικού δικαίου στο θέμα αυτό. Το πολιτειακά δικαστήρια έχουν με συνέπεια υποστηρίξει τους λόγους κίνησης δικαστικής διαδικασίας που συνδέεται με την παραβίαση του απορρήτου της ιδιωτικής ζωής, και τουλάχιστον 48 πολιτείες αναγνωρίζουν πλέον επίσημα ορισμένους από τους λόγους κίνησης δικαστικής διαδικασίας(5). Επιπλέον, τουλάχιστον δώδεκα πολιτείες έχουν θεσπίσει συνταγματικές διατάξεις για τη διαφύλαξη του δικαιώματος των πολιτών στο απόρρητο της ιδιωτικής τους ζωής(6), οι οποίες σε ορισμένες περιπτώσεις μπορούν να επεκταθούν ώστε να προστατεύουν τους πολίτες από σχετικές παραβιάσεις που προέρχονται από μη κυβερνητικούς φορείς [Hill κατά NCAA, 865 P.2d 633 (Ca. 1994)· βλέπε επίσης S. Ginder, Lost and Found in Cyberspace: Informational Privacy in the Age of the Internet, 34 S.D. L. Rev. 1153 (1997). ("Ορισμένα πολιτειακά συντάγματα περιλαμβάνουν αυστηρότερες διατάξεις για την προστασία του απορρήτου της ιδιωτικής ζωής από εκείνες που προβλέπονται στο αμερικανικό σύνταγμα. Οι πολιτείες της Alaska, Arizona, California, Florida, Hawaii, Illinois, Louisiana, Montana, South Carolina και Washington προσφέρουν μεγαλύτερη προστασία του απορρήτου της ιδιωτικής ζωής"].

Το Second Restatement of Torts παρέχει μια έγκυρη επισκόπηση της νομοθεσίας σε αυτόν τον τομέα. Το Restatement, αντικατοπτρίζοντας την κοινή δικαστική πρακτική, εξηγεί ότι το "δικαίωμα στο απόρρητο της ιδιωτικής ζωής" περιλαμβάνει τέσσερις ξεχωριστούς λόγους κίνησης δικαστικής διαδικασίας για αδικοπραξία στο πλαίσιο αυτό (βλέπε Restatement, § 652A). Πρώτον, μπορεί να κινηθεί δικαστική διαδικασία για "παραβίαση του απορρήτου της ιδιωτικής ζωής" έναντι κάθε εναγόμενου που από πρόθεση παρεισφρύει, σωματικά ή με άλλον τρόπο, στον ιδιωτικό χώρο ενός άλλου ή στις προσωπικές του υποθέσεις ή ενδιαφέροντα(7). Δεύτερον, μπορεί να ασκηθεί αγωγή για "παράνομη χρήση" (appropriation) σόταν κάποιος χρησιμοποιεί παράνομα το όνομα ή την εικόνα του προσώπου ενός άλλου για δικό του σκοπό ή όφελος(8) Τρίτον, η "δημοσίευση ιδιωτικών γεγονότων" είναι αγώγιμη όταν το δημοσιευόμενο περιστατικό έχει εξόχως προσβλητικό χαρακτήρα κατά την κρίση ενός λογικού ανθρώπου και δεν παρουσιάζει έννομο ενδιαφέρον για το κοινό(9). Τέλος, μπορεί να ασκηθεί αγωγή για "συκοφαντική δυσφήμιση" (false light publicity) όταν ο εναγόμενος εν γνώσει του ή εξ αμελείας φέρει στη δημοσιότητα εσφαλμένα στοιχεία για κάποιο άλλο πρόσωπο που είναι εξόχως προσβλητικά κατά την κρίση ενός λογικού ανθρώπου(10).

Στο πλαίσιο των αρχών του ασφαλούς λιμένα, η "παραβίαση του απορρήτου της ιδιωτικής ζωής" μπορεί να περιλαμβάνει την αυθαίρετη συλλογή προσωπικών πληροφοριών ενώ η άνευ αδείας χρήση προσωπικών πληροφοριών για εμπορικούς σκοπούς μπορεί να αποτελέσει λόγο αγωγής για παράνομη χρήση. Παρομοίως, η κοινοποίηση προσωπικών πληροφοριών που είναι ανακριβείς μπορεί να χαρακτηριστεί ως "συκοφαντική δυσφήμιση" εάν οι πληροφορίες πληρούν την προϋπόθεση του εξόχως προσβλητικού χαρακτήρα κατά την κρίση ενός λογικού ανθρώπου. Τέλος, η παραβίαση του απορρήτου της ιδιωτικής ζωής που απορρέει από τη δημοσιοποίηση ή των κοινοποίηση ευαίσθητων προσωπικών πληροφοριών μπορεί να αποτελέσει το λόγο αγωγής για "δημοσίευση προσωπικών γεγονότων" (βλέπε παραδείγματα χαρακτηριστικών υποθέσεων παρακάτω).

Όσον αφορά τις ζημίες, η παραβίαση του απορρήτου της ιδιωτικής ζωής δίνει στο θιγέντα το δικαίωμα αποζημίωσης:

α) για την παραβίαση του δικαιώματός του στο απόρρητο της ιδιωτικής ζωής που απορρέει από την πράξη αυτή·

β) για την ψυχική οδύνη που υπέστη ως αποτέλεσμα της παραβίασης αυτής, και

γ) για κάθε ειδική ζημία για την οποία η παραβίαση αποτελεί νόμιμο λόγο αγωγής (legal cause).

(Βλέπε Restatement, § 652H). Λόγω της γενικής δυνατότητας εφαρμογής του δικαίου περί αστικών αδικοπραξιών και της πολλαπλότητας των βάσεων αγωγής που καλύπτουν τις διάφορες πτυχές των συμφερόντων της ιδιωτικής ζωής, η χρηματική αποζημίωση αφορά όλους όσοι υφίστανται παραβίαση του απορρήτου της ιδιωτικής ζωής λόγω της μη τήρησης των αρχών του ασφαλούς λιμένα.

Πράγματι, τα πολιτειακά δικαστήρια κατακλύζονται από υποθέσεις που αφορούν την παραβίαση του απορρήτου της ιδιωτικής ζωής σ' αυτό το πλαίσιο. Η υπόθεση Ex Parte AmSouth Bancorporation et al., 717 So. 2d 357, για παράδειγμα, αφορούσε την υποβολή αγωγής κατά μιας ολόκληρης κατηγορίας προσώπων με τον ισχυρισμό ότι "εκμεταλλεύτηκαν τους καταθέτες της τράπεζας διακινώντας εμπιστευτικές πληροφορίες που αφορούσαν τους ίδιους και τους λογαριασμούς τους" προκειμένου να διευκολύνουν μια θυγατρική τράπεζα να πωλήσει αμοιβαία κεφάλαια και άλλα είδη επενδύσεων. Σε παρόμοιες περιπτώσεις οι θιγέντες αποζημιώνονται. Στην υπόθεση Vassiliades v. Garfinckel's, Brooks Bros., 492 A.2d 580 (D.C.App. 1985), ένα εφετείο ανέτρεψε την απόφαση ενός πρωτοβάθμιου δικαστηρίου και έκρινε ότι η χρήση φωτογραφιών του ενάγοντος "πριν" και "μετά" από πλαστική επέμεβαση στη διάρκεια επίδειξης που πραγματοποιήθηκε σε ένα πολυκατάστημα συνιστούσε παραβίαση του απορρήτου της προσωπικής ζωής λόγω δημοσιοποίησης ιδιωτικών γεγονότων. Στο Candebat v. Flanagan, 487 So.2d 207 (Miss. 1986), η εναγόμενη ασφαλιστική εταιρεία χρησιμοποίησε ένα ατύχημα στο οποίο η σύζυγος του ενάγοντος είχε τραυματιστεί σοβαρά, στο πλαίσιο μιας διαφημιστικής εκστρατείας. Ο ενάγων άσκησε αγωγή για παραβίαση του απορρήτου της ιδιωτικής ζωής. Το δικαστήριο έκρινε ότι η εναγομένη εταιρεία θα έπρεπε να καλύψει τις ζημίες για ψυχική οδύνη και παράνομη χρήση της εικόνας του προσώπου. Οι αγωγές για παράνομη χρήση μπορούν να γίνουν δεκτές ακόμη και εάν ο εναγόμενος δεν είναι επώνυμος [βλέπε Staruski v. Continental Telephone C., 154 Vt. 568 (1990) (ο εναγόμενος αποκόμισε εμπορικό κέρδος χρησιμοποιώντας το όνομα ενός υπαλλήλου και τη φωτογραφία του σε μια διαφήμιση σε εφημερίδα)]. Στην υπόθεση Pulla v. Amoco Oil Co., 882 F.Supp. 836 (S.D Iowa 1995), ένας εργοδότης παραβίασε την ιδιωτική σφαίρα ενός υπαλλήλου παρακινώντας έναν άλλο υπάλληλο να ερευνήσει τις εγγραφές στην πιστωτική του κάρτα προκειμένου να εξακριβώσει τις ημέρες που απουσίασε λόγω ασθενείας. Το δικαστήριο επέβαλε πρόστιμο δύο δολαρίων ΗΠΑ για πραγματικές δαπάνες και 500000 δολαρίων ΗΠΑ για αποζημίωση για ηθική βλάβη (punitive damages). Ένας άλλος εργοδότης κρίθηκε υπεύθυνος για τη δημοσίευση ενός άρθρου στην εφημερίδα της εταιρείας που αφορούσε έναν υπάλληλο που είχε απολυθεί με την αιτιολογία ότι είχε πλαστογραφήσει τα στοιχεία του προσωπικού του φακέλου [βλέπε Zinda v. Louisiana-Pacific Corp., 140 Wis.2d 277 (Wis. App. 1987)]. Η δημοσίευση αυτή αποτελούσε παραβίαση του απορρήτου της προσωπικής ζωής του ενάγοντος λόγω δημοσίευσης προσωπικών θεμάτων επειδή η εφημερίδα κυκλοφορούσε μεταξύ των συναδέλφων. Τέλος, ένα κολέγιο κρίθηκε υπαίτιο για παραβίαση του απορρήτου της προσωπικής ζωής επειδή πραγματοποίησε μικροβιολογικό έλεγχο στους φοιτητές για την ανίχνευση του ιού του AIDS λέγοντας τους ότι επρόκειτο για τεστ φυματίωσης [βλέπε Doe v. High-Tech Institute, Inc., 972 P.2d 1060 (Colo. App. 1998)]. (για άλλες σχετικές υποθέσεις βλέπε Restatement, § 652H, Appendix.)

Ασκείται συχνά κριτική στις Ηνωμένες Πολιτείες ότι είναι εξαιρετικά δικομανείς, όμως γι' αυτόν ακριβώς το λόγο οι πολίτες έχουν το δικαίωμα, και το ασκούν, να προσφεύγουν στο δικαστήριο εφόσον κρίνουν ότι έχουν εξαπατηθεί. Πολλές πτυχές του δικαστικού συστήματος των ΗΠΑ διευκολύνουν τους ενάγοντες να ασκήσουν αγωγή, είτε ατομικά είτε συλλογικά. Το δικηγορικό σώμα, που συγκριτικά είναι μεγαλύτερο απ' ό, τι στις περισσότερες άλλες χώρες, επιτρέπει την άμεση εκπροσώπηση των εναγόντων στο δικαστήριο. Ο συνήγορος που εκπροσωπεί ιδιώτες σε προσωπικές αγωγές αμείβεται ανάλογα με την έκβαση της δίκης και κατά τον τρόπο αυτό ακόμη και οι φτωχοί και άποροι μπορούν να προσφύγουν στο δικαστήριο. Εδώ υπάρχει ένα πολύ σημαντικό θέμα - στις Ηνωμένες Πολιτείες κάθε διάδικος επιβαρύνεται με τις δικές του δικαστικές δαπάνες. Αυτό έρχεται σε αντίθεση με όσα ισχύουν στην Ευρώπη όπου ο διάδικος που χάνει τη δίκη πρέπει να επιστρέψει στον άλλο διάδικο τις δικαστικές του δαπάνες. Χωρίς να κρίνεται η αξία της κάθε προσέγγισης, οι αμερικανικές διατάξεις διευκολύνουν την προσφυγή στα δικαστήρια των ιδιωτών που δεν θα ήταν σε θέση να επιβαρυνθούν με τα έξοδα και των δύο πλευρών στην πρίπτωση που έχαναν τη δίκη.

Οι ιδιώτες μπορούν να ασκήσουν αγωγή ακόμη και για πολύ μικρές απαιτήσεις. Τα περισσότερα ή εάν όχι όλα τα δικαστήρια των ΗΠΑ διαθέτουν δικαστήρια μικρών διαφορών που παρέχουν απλουστευμένες και λιγότερο δαπανηρές διαδικασίες για διακανονισμούς διαφορών κάτω των θεσμοθετημένων ορίων(11). Η δυνατότητα χρηματικής αποζημίωσης περιλαμβάνει επίσης τη χορήγηση οικονομικής αμοιβής για τους ιδιώτες που υπέστησαν μικρή άμεση ζημία για να υποβάλλουν μήνυση για επιλήψιμη παράβαση καθήκοντος. Τέλος, οι ιδιώτες που έχουν υποστεί την ίδια βλάβη μπορούν να συγκεντρώσουν τους πόρους και τις απαιτήσεις τους ώστε να υποβάλουν αγωγή ως κατηγορία προσώπων.

Ένα καλό παράδειγμα της δυνατότητας των ιδιωτών να ασκήσουν αγωγή προκειμένου να αποζημιωθούν για βλάβη που έχουν υποστεί είναι η εκκρεμούσα αγωγή κατά της Amazon.com για παραβίαση του απορρήτου της ιδιωτικής ζωής. Η Amazon.com, μεγάλος λιανοπωλητής σε απευθείας σύνδεση, είναι ο στόχος της συλλογικής αγωγής, στις οποία οι ενάγοντες ισχυρίζονται ότι δεν είχαν ενημερωθεί και δεν είχαν δώσει τη συγκατάθεσή τους για τη συλλογή προσωπικών πληροφοριών που τους αφορούσαν όταν χρησιμοποίησαν ένα πρόγραμμα λογιστικού ιδιοκτησίας της Amazon, το επονομαζόμενο "Alexa". Στην περίπτωση αυτή, οι ενάγοντες ισχυρίζονται ότι υπήρξε παραβίαση του νόμου Computer Fraud and Abuse Act για παράνομη πρόσβαση στις αποθηκευμένες επικοινωνίες τους και του νόμου Electronic Communications Privacy Act για παράνομη υποκλοπή των ηλεκτρονικών και τηλεφωνικών επικοινωνιών τους. Ισχυρίζονται, επίσης, ότι υπήρξε παραβίαση του απορρήτου της ιδιωτικής ζωής βάσει του εθνικού δικαίου. Τα παραπάνω προέρχονται από μια καταγγελία που υποβλήθηκε από έναν εμπειρογνώμονα σε θέματα ασφάλειας του Internet τον περασμένο Δεκέμβριο. Με την αγωή αξιώνεται αποζημίωση ύψους 1000 δολαρίων ΗΠΑ για κάθε έναν από όσους ανήκουν στη συγκεκριμένη κατηγορία προσώπων συν τα δικηγορικά έξοδα και κέρδη που αποκομίστηκαν ως αποτέλεσμα της παράβασης του νόμου. Δεδομένου ότι τα μέλη της κατηγορίας αυτής, μπορούν να ανέρχονται σε εκατομμύρια, η αποζημίωση μπορεί να φθάσει τα δισεκατομμύρια δολάρια ΗΠΑ. Η FTC ερευνά την υπόθεση.

Η ομοσπονδιακή και πολιτειακή νομοθεσία περί απορρήτου της ιδιωτικής ζωής σε πολλές περιπτώσεις προβλέπει ειδικές αγωγές για χρηματική αποζημίωση.

Εκτός από τη θεμελίωση αστικής ευθύνης με βάση το δίκαιο περί αδικοπραξίας, η μη συμμόρφωση προς τις αρχές του ασφαλούς λιμένα μπορεί επίσης να αποτελέσει παραβίαση ορισμένων άλλων ομοσπονδιακών και πολιτειακών νόμων περί ιδιωτικής ζωής. Πολλοί από τους νόμους αυτούς, που αφορούν τη διαχείριση από το κράτος και από τον ιδιωτικό τομέα προσωπικών πληροφοριών, επιτρέπουν στους ιδιώτες να ασκήσουν αγωγή αποζημίωσης σε περίπτωση παραβίασης. Για παράδειγμα:

Electronic Communications Privacy Act of 1986. Η εν λόγω νομοθετική πράξη απαγορεύει τη χωρίς άδεια υποκλοπή τηλεφωνικών συνομιλιών που εκπέμπονται από κινητά τηλέφωνα και των μηνυμάτων μεταξύ ηλεκτρονικών υπολογιστών. Ενδεχόμενες παραβιάσεις μπορούν να θεμελιώσουν αστική ευθύνη άνω των 100 δολαρίων ΗΠΑ για κάθε ημέρα παραβίασης. Η προστασία της πράξης αυτής καλύπτει και τη μη εξουσιοδοτημένη πρόσβαση σε αποθηκευμένες ηλεκτρονικές επικοινωνίες. Οι παραβάτες υποχρεούνται στην καταβολή αποζημίωσης για τη βλάβη που προκάλεσαν ή στην κατάσχεση των κερδών που αποκόμισαν από την παραβίαση.

Telecommunications Act of 1996. Σύμφωνα με το τμήμα 702, οι πληροφορίες που περιέχονται στο δίκτυο και αφορούν ειδικά τους πελάτες (customer proprietary network information - CPNI) δεν πρέπει να χρησιμοποιούνται για σκοπούς άλλους από εκείνους της παροχής τηλεπικοινωνιακών υπηρεσιών. Οι συνδρομητές της υπηρεσίας αυτής μπορούν είτε να υποβάλουν καταγγελία στην ομοσπονδιακή επιτροπή επικοινωνιών (Federal Communications Commission) ή να ασκήσουν αγωγή στο αρμόδιο ομοσπονδιακό δικαστήριο για να λάβουν αποζημίωση και να τους επιστραφούν οι δικαστικές δαπάνες.

Consumer Credit Reporting Reform Act of 1996. Η νομοθετική πράξη του 1996 τροποποίησε την Fair Credit Reporting Act του 1970 (FCRA) προκειμένου να βελτιωθούν οι ρυθμίσεις σχετικά με την κοινοποίηση και το δικαίωμα πρόσβασης στις εμπορικές πληροφορίες. Η Reform Act επιβάλλει, επίσης, νέους περιορισμούς σε όσους επαναπωλούν εμπορικές πληροφορίες που αφορούν τους χρήστες. Οι χρήστες μπορούν να λάβουν αποζημίωση και να τους επιστραφούν οι δικαστικές δαπάνες σε περίπτωση παραβίασης.

Οι νομοθετικές πράξεις των ομοσπονδιακών πολιτειών προστατεύουν, επίσης, την ιδιωτική ζωή σε ένα ευρύ φάσμα περιπτώσεων. Τομείς στους οποίους οι πολιτείες έχουν θεσπίσει διατάξεις είναι οι τραπεζικές συναλλαγές, οι συνδρομές καλωδιακής τηλεόρασης, οι εμπορικές πληροφορίες, πιστοληπτικά στοιχεία, στοιχεία απασχόλησης, διοικητικά στοιχεία, γενετικές πληροφορίες και ιατρικά στοιχεία, ασφαλιστικά στοιχεία, σχολικά στοιχεία, ηλεκτρονικές επικοινωνίες και ενοικιάσεις ταινιών κλειστού κυκλώματος(12).

Β. Ρητές νόμιμες άδειες

Οι αρχές ασφαλούς λιμένα περιλαμβάνουν μια εξαίρεση στην περίπτωση που ο γραπτός νόμος, οι κανονιστικές ρυθμίσεις ή η νομολογία δημιουργούν "αντιτιθέμενες υποχρεώσεις ή ρητές άδειες, υπό τον όρο ότι, κατά την άσκηση μιας παρόμοιας εξουσιοδότησης, ένας οργανισμός μπορεί να αποδείξει ότι η μη συμμόρφωσή του με τις αρχές αυτές περιορίζεται στο βαθμό που είναι απαραίτητος για την εξυπηρέτηση των κύριων έννομων συμφερόντων αυτού του οργανισμού". Σαφώς, στην περίπτωση που το αμερικανικό δίκαιο επιβάλλει μια αντικρουόμενη υποχρέωση, οι οργανισμοί των ΗΠΑ, είτε συμμορφώνονται με τις αρχές ασφαλούς λιμένα είτε όχι, πρέπει να εφαρμόσουν το δίκαιο. Όσον αφορά τις ρητές άδειες, παρόλο που οι αρχές του ασφαλούς λιμένα σκοπεύουν να γεφυρώσουν τις διαφορές μεταξύ των αμερικανικών και ευρωπαϊκών συστημάτων προστασίας του απορρήτου της ιδιωτικής ζωής, οφείλουμε να τηρήσουμε τα νομοθετικά προνόμια των εκλεγμένων νομοθετών μας. Η δυνατότητα περιορισμένης εξαίρεσης από την αυστηρή προσήλωση στις αρχές του ασφαλούς λιμένα στοχεύει να παγιώσει μια ισορροπία ώστε να συμβιβάζονται τα έννομα συμφέροντα και των δύο πλευρών.

Η εξαίρεση περιορίζεται σε περιπτώσεις όπου υπάρχει ρητή εξουσιοδότηση. Επομένως, εν είδει κατωφλίου, ο σχετικός γραπτός νόμος, η κανονιστική ρύθμιση ή η δικαστική απόφαση πρέπει να επιτρέπει ρητά τη συγκεκριμένη συμπεριφορά από τους οργανισμούς που έχουν προσχωρήσει στις αρχές ασφαλούς λιμένα(13). Με άλλα λόγια, η εξαίρεση δεν ισχύει στις περιπτώσεις όπου ο νόμος είναι σιωπηρός. Ακόμη όμως και τότε, η εξαίρεση "περιορίζεται στο βαθμό που είναι απαραίτητος για την κάλυψη των κύριων έννομων συμφερόντων του εν λόγω οργανισμού". Επιπλέον, η εξαίρεση ισχύει μόνο στην περίπτωση που η ρητή άδεια έρχεται σε αντίθεση με την τήρηση των αρχών του ασφαλούς λιμένα. Ενδεικτικά, στις περιπτώσεις στις οποίες ο νόμος επιτρέπει απλώς σε μια εταιρεία να παρέχει προσωπικές πληροφορίες σε κρατικές αρχές, η εξαίρεση δεν ισχύει. Αντιθέτως, στην περίπτωση που ο νόμος εξουσιοδοτεί συγκεκριμένα την εταιρεία να υποβάλει προσωπικές πληροφορίες στις κρατικές υπηρεσίες χωρίς τη συγκατάθεση του ενδιαφερόμενου, τότε η περίπτωση αυτή αποτελεί "ρητή άδεια" εφόσον κατά τον τρόπο αυτό δεν θα τηρούνται οι αρχές του ασφαλούς λιμένα. Διαφορετικά, οι ειδικές εξαιρέσεις από τις ρητές απαιτήσεις κοινοποίησης και συγκατάθεσης εμπίπτουν στο πλαίσιο της εξαίρεσης (εφόσον αποτελούν το ισοδύναμο μιας ρητής εξουσιοδότησης για την κοινοποίηση πληροφοριών χωρίς κοινοποίηση ή συγκατάθεση). Για παράδειγμα, ένας νόμος που εξουσιοδοτεί τους γιατρούς να κοινοποιούν τα ιατρικά αρχεία των ασθενών τους στους αρμόδιους φορείς υγείας χωρίς τη συγκατάθεσή τους μπορεί να αποτελέσει εξαίρεση από τις αρχές κοινοποίησης και επιλογής. Η εξουσιοδότηση αυτή δεν επιτρέπει όμως σε ένα γιατρό να κοινοποιεί τα ίδια ιατρικά αρχεία σε φορείς υγειονομικής περίθαλψης ή εργαστήρια φαρμακευτικής έρευνας επειδή επεκτείνεται πέραν του πεδίου των σκοπών που επιτρέπονται από το νόμο και κατά συνέπεια πέραν από το πεδίο εφαρμογής της εξαίρεσης(14). Η εν λόγω εξουσιοδότηση μπορεί να αποτελεί μια "αυτόνομη" εξουσιοδότηση για την ανάληψη συγκεκριμένων ενεργειών που αφορούν προσωπικές πληροφορίες, αλλά, όπως φαίνεται από τα ακόλουθα παραδείγματα, είναι πιθανότερο να αποτελεί εξαίρεση από ένα ευρύτερο νόμο που απαγορεύει τη συλλογή, χρήση ή διάδοση προσωπικών πληροφοριών.

Νόμος περί των τηλεπικοινωνιών (Telecommunications Act) του 1996

Σε πολλές περιπτώσεις, οι εξουσιοδοτημένες χρήσεις είτε συνάδουν με τις απαιτήσεις της οδηγίας και τις αρχές ασφαλούς λιμένα ή επιτρέπονται από κάποια από τις υπόλοιπες εξαιρέσεις. Για παράδειγμα, το τμήμα 702 της νομοθετικής πράξης Telecommunications Act (κωδικοποιήθηκε ως 47 U.S.C. § 222) επιβάλλει την υποχρέωση στους τηλεπικοινωνιακούς φορείς να διατηρούν το απόρρητο των προσωπικών πληροφοριών που συγκεντρώνουν κατά τη διάρκεια της παροχής των υπηρεσιών τους στους πελάτες τους. Η διάταξη αυτή επιτρέπει ειδικότερα στους τηλεπικοινωνιακούς φορείς να:

1. χρησιμοποιούν τις πληροφορίες που αφορούν τους πελάτες τους για να παρέχουν τηλεπικοινωνιακές υπηρεσίες, συμπεριλαμβανομένης της δημοσίευσης των αριθμών τηλεφώνου των συνδρομητών·

2. να διαβιβάζουν πληροφορίες που αφορούν τους πελάτες τους σε τρίτους, ύστερα από σχετικό αίτημα των πελατών τους, και

3. να υποβάλλουν πληροφορίες για τους πελάτες τους σε συγκεντρωτική μορφή.

[Βλέπε 47 U.S.C. § 222(c)(1)-(3)]. Η νομοθετική πράξη επιτρέπει επίσης στους τηλεπικοινωνιακούς φορείς να χρησιμοποιούν κατ' εξαίρεση πληροφορίες που αφορούν τους πελάτες τους:

1. για την έναρξη, την παρουσίαση, την τιμολόγηση και την είσπραξη στο πλαίσιο των παρεχόμενων υπηρεσιών·

2. για την προστασία από τη δόλια, καταχρηστική ή παράνομη συμπεριφορά, και

3. για την παροχή υπηρεσιών τηλε-εμπορικής προώθησης, βοήθειας ή διοικητικών υπηρεσιών κατά τη διάρκεια κλήσης που έχει πραγματοποιήσει ο πελάτης(15).

[ομοίως § 222(d)(1)-(3). Τέλος, οι τηλεπικοινωνιακοί φορείς πρέπει να υποβάλλουν στους εκδότες τηλεφωνικών καταλόγων πληροφορίες για τον κατάλογο των συνδρομητών τους οι οποίες μπορούν να περιλαμβάνουν μόνο το όνομα, τη διεύθυνση, τον αριθμό τηλεφώνου και τον εμπορικό τομέα εφόσον πρόκειται για πελάτες που δραστηριοποιούνται στον εμπορικό κλάδο [ομοίως, § 222(e)].

Η εξαίρεση για "ρητές άδειες" μπορεί να χρησιμοποιηθεί στην περίπτωση που οι φορείς εκμετάλλευσης τηλεπικοινωνιών χρησιμοποιούν πληροφορίες CPNI για να εμποδίσουν την δόλια ή τυχόν άλλη παράνομη συμπεριφορά. Ακόμη και στην περίπτωση αυτή, οι ενέργειες θα πρέπει να πληρούν τις προϋποθέσεις του "δημόσιου συμφέροντος" και να επιτρέπονται για το σκοπό αυτό από τις αρχές του ασφαλούς λιμένα.

Διατάξεις που προτάθηκαν από το Υπουργείο Υγείας (Department of Health and Human Services)

Το αμερικανικό Υπουργείο Υγείας έχει προτείνει διατάξεις για τις προδιαγραφές που διέπουν το απόρρητο των πληροφοριών υγείας που είναι προσωπικά αναγνωρίσιμες [βλέπε 64 Fed. Reg. 59,918 (Nov. 3, 1999) (θα κωδικοποιηθεί ως 45 C.F.R. pts. 160-164)]. Οι διατάξεις αυτές φιλοδοξούν να βελτιώσουν τις προδιαγραφές απορρήτου της νομοθετικής πράξης Health Insurance Portability and Accountability Act of 1996, Pub. L. 104-191. Οι προτεινόμενες διατάξεις κατά κανόνα θα απαγορεύουν στους καλυπτόμενους φορείς (δηλαδή προγράμματα υγείας, γραφεία συμψηφισμού σε θέματα υγειονομικής περίθαλψης και παρόχους υπηρεσιών υγείας που διαβιβάζουν πληροφορίες υγείας σε ηλεκτρονική μορφή) να χρησιμοποιούν ή να κοινοποιούν απόρρητες πληροφορίες υγείας χωρίς τη συγκατάθεση των ενδιαφερομένων (βλέπε πρόταση 45 C.F.R. § 164.506). Οι προτεινόμενοι κανόνες θα επιτρέπουν την κοινοποίηση απόρρητων πληροφοριών υγείας μόνο σε δύο περιπτώσεις: 1. για να μπορούν οι ενδιαφερόμενοι να εξακριβώνουν και να αντιγράφουν πληροφορίες υγείας που αφορούν τους ίδιους (βλέπε § 164.512) και 2. για την τήρηση των κανόνων (βλέπε § 164.522).

Οι προτεινόμενες διατάξεις επιτρέπουν, σε λίγες περιπτώσεις, τη χρήση ή κοινοποίηση απόρρητων πληροφοριών υγείας, χωρίς ειδική εξουσιοδότηση των προσώπων που τα αφορούν. Οι περιπτώσεις αυτές περιλαμβάνουν για παράδειγμα τη σφαιρική επισκόπηση του υγειονομικού συστήματος, την εκτέλεση του νόμου και επείγοντα περιστατικά (βλέπε § 164.510). Η χρήση και κοινοποίηση απόρρητων πληροφοριών υγείας θα πρέπει να περιορίζεται στον ελάχιστο απαιτούμενο όγκο πηλροφοριών (βλέπε § 164.506).

Η επιτρεπόμενη χρήση για την οποία προβλέπεται ρητή άδεια στις προτεινόμενες κανονιστικές ρυθμίσεις συνάδουν κατά κανόνα με τις αρχές ασφαλούς λιμένα ή διαφορετικά επιτρέπονται από κάποια άλλη εξαίρεση. Για παράδειγμα, η εφαρμογή του νόμου και ο δικαστικός διακανονισμός επιτρέπονται, επειδή πρόκειται για ιατρική έρευνα. Άλλες χρήσεις, όπως η γενική επισκόπηση του υγειονομικού συστήματος, η λειτουργία της δημόσιας υγείας και τα κρατικά συστήματα δεδομένων υγείας εξυπηρετούν το δημόσιο συμφέρον. Η κοινοποίηση πληροφοριών για την επεξεργασία πληρωμών και ασφαλίστρων υγειονομικής περίθαλψης είναι απαραίτητη για την παροχή υγειονομικής περίθαλψης. Οι χρήσεις σε περίπτωση έκτακτης ανάγκης, για την επιλογή της σωστής θεραπείας, όταν δεν είναι δυνατή η συγκατάθεση του ασθενούς ή για τον προσδιορισμό των στοιχείων ταυτότητας ή της αιτίας θανάτου, προστατεύουν τα ζωτικά συμφέροντα του προσώπου που αφορούν τα δεδομένα και άλλων. Οι χρήσεις για τη διαχείριση του εν ενεργεία στρατιωτικού προσωπικού και άλλων ειδικών κατηγοριών προσώπων βοηθούν την ορθή εκτέλεση των στρατιωτικών καθηκόντων ή άλλων παρόμοιων καταστάσεων επείγοντος χαρακτήρα· σε κάθε περίπτωση, οι χρήσεις αυτές έχουν περιορισμένη εφαρμογή στους καταναλωτές.

Απομένει μόνο η χρήση προσωπικών πληροφοριών που γίνεται από νοσοκομειακά ιδρύματα για την κατάρτιση μητρώων ασθενών. Παρόλο που η χρήση αυτή δεν φθάνει το επίπεδο του "ζωτικού" συμφέροντος, τα μητρώα είναι χρήσιμα για τους ασθενείς, τους φίλους και τους συγγενείς τους. Το πεδίο και αυτής της εξουσιοδοτημένης χρήσης είναι περιορισμένο. Επομένως, η εξαίρεση από τις αρχές που ισχύουν για τις χρήσεις με "ρητή άδεια" που προβλέπονται για το σκοπό αυτό από το νόμο παρουσίαζει ελάχιστο κίνδυνο για την ιδιωτική ζωή των ασθενών.

Νομοθετική πράξη (Fair Credit Reporting Act)

Η Επιτροπή έχει εκφράσει την ανησυχία της για την εξαίρεση με βάση τις "ρητές άδειες" επειδή θα μπορούσε να "οδηγήσει στην πράξη στον καθορισμό της καταλληλότητας" της νομοθετικής πράξης (FCRA). Δεν συμβαίνει όμως κάτι τέτοιο. Λόγω του μη καθορισμού της καταλληλότητας της FCRA, οι οργανισμοί των ΗΠΑ που θα έπρεπε διαφορετικά να βασιστούν σ' αυτόν τον καθορισμό, πρέπει τώρα να προσχωρήσουν στις αρχές του ασφαλούς λιμένα από όλες τις απόψεις. Αυτό σημαίνει ότι στην περίπτωση που οι απαιτήσεις της FCRA υπερβαίνουν το επίπεδο προστασίας που περιλαμβάνεται στις αρχές αυτές, οι οργανισμοί των ΗΠΑ πρέπει να τηρήσουν μόνο την FCRA. Αντιθέτως, στην περίπτωση που δεν αρκεί η FCRA, τότε οι οργανισμοί αυτοί θα πρέπει να συμμορφώσουν τις πρακτικές τους με αυτές τις αρχές. Η εξαίρεση δεν μπορεί να μεταβάλει αυτή τη βασική διαπίστωση. Σύμφωνα με τις διατάξεις της, η εξαίρεση ισχύει μόνο στην περίπτωση που ο σχετικός νόμος ρητά επιτρέπει μια συμφεριφορά που αντιβαίνει στις αρχές του ασφαλούς λιμένα. Η εξαίρεση δεν μπορεί να επεκταθεί στα σημεία που οι απαιτήσεις FCRA απλά και μόνο δεν καλύπτουν τις αρχές του ασφαλούς λιμένα(16).

Με άλλα λόγια, δεν θεωρούμε ότι εξαίρεση σημαίνει πως ο, τιδήποτε δεν είναι υποχρεωτικό καλύπτεται από "ρητή άδεια". Επιπλέον, η εξαίρεση ισχύει μόνο όταν η ρητή άδεια που προβλέπεται από τον αμερικανικό νόμο αντιβαίνει στις απαιτήσεις των αρχών ασφαλούς λιμένα. Ο σχετικός νόμος πρέπει να ανταποκρίνεται και στα δυο αυτά κριτήρια πριν επιτραπεί η προσχώρηση στις αρχές του ασφαλούς λιμένα.

Το τμήμα 604 της FCRA, για παράδειγμα, εξουσιοδοτεί ρητά τις υπηρεσίες εμπορικών πληροφοριών να κοινοποιούν πληροφορίες για τους καταναλωτές σε διάφορες περιπτώσεις (βλέπε FCRA § 604). Εάν κατά τον τρόπο αυτό, το τμήμα 604 εξουσιοδοτεί τις υπηρεσίες εμπορικών πληροφοριών να ενεργούν αντίθετα με τις αρχές του ασφαλούς λιμένα, τότε οι υπηρεσίες αυτές θα πρέπει να κάνουν χρήση της εξαίρεσης (εκτός φυσικά και εάν ισχύει κάποια άλλη εξαίρεση). Οι υπηρεσίες αυτές πρέπει να τηρούν τις δικαστικές εντολές και τις κλητεύσεις του "grand jury" και η χρήση εμπορικών πληροφοριών από τις εξουσιοδοτημένες υπηρεσίες, τους κοινωνικούς φορείς και τους φορείς παιδικής μέριμνας εξυπηρετεί ένα δημόσιο σκοπό [βλέπε § 604(a)(1), (3)(D), και (4)]. Κατά συνέπεια, η υπηρεσία εμπορικών πληροφοριών δεν υποχρεούται να προσφύγει στην εξαίρεση της "ρητής άδειας" για το σκοπό αυτό. Όταν ενεργεί σε συμφωνία με τις γραπτές οδηγίες του καταναλωτή, τότε τηρεί εξ ολοκλήρου τις αρχές του ασφαλούς λιμένα [ομοίως, § 604(a)(2)]. Κατά τον ίδιο τρόπο, οι πληροφορίες για τους καταναλωτές μπορούν να κοινοποιούνται για επαγγελματικούς σκοπούς μόνο με τη γραπτή συμφωνία του ίδιου του καταναλωτή [βλέπε §§ 604(a)(3)(B) και (b)(2)(A)(ii)] και οι πληροφορίες για τις εμπορικές ή ασφαλιστικές συναλλαγές που δεν έχουν γίνει με πρωτοβουλία του καταναλωτή μόνο εφόσον ο καταναλωτής δεν έχει ζητήσει να εξαιρεθεί από τις απαιτήσεις αυτές [βλέπε § 604(c)(1)(B)]. Επίσης η FCRA απαγορεύει στις υπηρεσίες εμπορικών πληροφοριών να υποβάλλουν ιατρικές πληροφορίες για επαγγελματικούς σκοπούς χωρίς τη συγκατάθεση του καταναλωτή [βλέπε § 604(g)]. Οι χρήσεις αυτές εμπίπτουν στις αρχές της ειδοποίησης και δυνατότητας επιλογής. Άλλοι σκοποί που επιτρέπονται από το τμήμα 604 περιλαμβάνουν συναλλαγές στις οποίες συμμετέχει ο καταναλωτής και επιτρέπονται από τις αρχές για το λόγο αυτό [βλέπε § 604 (a)(3)(A) και (F)].

Η τελευταία χρήση που "επιτρέπεται" από το τμήμα 604 αφορά τη δευτερογενή αγορά [βλέπε § 604(a)(3)(E)]. Δεν υπάρχει αντίφαση μεταξύ της χρήσης των πληροφοριών που αφορούν τους πελάτες και των αρχών του ασφαλούς λιμένα per se. Είναι αλήθεια ότι η FCRA δεν ζητεί από τις υπηρεσίες εμπορικών πληροφοριών, για παράδειγμα, να ειδοποιούν και να ζητούν τη συγκατάθεση των καταναλωτών όταν εκδίδουν πληροφορίες για το σκοπό τους. Ωστόσο, επαναλαμβάνουμε το ζήτημα ότι η απουσία απαίτησης δεν σημαίνει "ρητή άδεια" να ενεργεί κάποιος κατά τρόπο διαφορετικό από τον προβλεπόμενο. Κατά τον ίδιο τρόπο, το τμήμα 608 επιτρέπει στις υπηρεσίες εμπορικών πληροφοριών να παρέχουν ορισμένες προσωπικές πληροφορίες στις κρατικές υπηρεσίες. Η "εξουσιοδότηση" αυτή δεν δικαιολογεί την αθέτηση των δεσμεύσεων της υπηρεσίας εμπορικών πληροφοριών να τηρεί τις αρχές του ασφαλούς λιμένα. Αυτό έρχεται σε αντίθεση με τα άλλα παραδείγματα που αναφέραμε με βάση τα οποία οι εξαιρέσεις από τις απαιτήσεις ειδοποίησης και δυνατότητα επιλογής χρησιμεύουν για τη "ρητή άδεια" της χρήσης προσωπικών πληροφοριών χωρίς ειδοποίηση ή δυνατότητα επιλογής.

Συμπέρασμα

Από την, αν και περιορισμένη, εξέταση αυτών των νόμων προκύπτουν τα παρακάτω:

- Η "ρητή άδεια", κατά το νόμο, επιτρέπει τη χρήση ή κοινοποίηση προσωπικών πληροφοριών χωρίς την προηγούμενη συγκατάθεση του ενδιαφερομένου· επομένως, η εξαίρεση περιορίζεται στις αρχές της κοινοποίησης και επιλογής.

- Στις περισσότερες περιπτώσεις, οι εξαιρέσεις που επιτρέπονται από το νόμο είναι αυστηρά διατυπωμένες ώστε να ισχύουν για ειδικές περιπτώσεις και για ειδικούς σκοπούς. Σε κάθε περίπτωση, ο νόμος απαγορεύει τη μη εξουσιοδοτημένη χρήση προσωπικών πληροφοριών που δεν εμπίπτουν σε αυτό το πλαίσιο.

- Σχεδόν σε όλες τις περιπτώσεις, η εξουσιοδοτημένη χρήση ή κοινοποίηση, αντανακλώντας το νομοθετικό της χαρακτήρα, εξυπηρετεί ένα δημόσιο συμφέρον.

- Σχεδόν σε όλες τις περιπτώσεις, οι εξουσιοδοτημένες χρήσεις είτε συνάδουν πλήρως με τις αρχές του ασφαλούς λιμένα είτε εμπίπτουν σε κάποια από τις υπόλοιπες επιτρεπόμενες εξαιρέσεις.

Συμπερασματικά, η εξαίρεση για "ρητές άδειες" σε ένα νόμο θα είναι, κατά πάσα πιθανότητα, από τη φύση της μάλλον περιορισμένη ως προς το πεδίο εφαρμογής της.

Γ. Συγχωνεύσεις και εξαγορές

Η ομάδα εργασίας του άρθρου 29 εκφράζει τις επιφυλάξεις της για τις περιπτώσεις κατά τις οποίες ένας οργανισμός που έχει προσχωρήσει στις αρχές του ασφαλούς λιμένα εξαγοράζεται από ή συγχωνεύεται με μια εταιρεία που δεν έχει αναλάβει δεσμεύσεις στον τομέα αυτό. Η ομάδα εργασίας, ωστόσο, φαίνεται να θεωρεί δεδομένο ότι η νέα εταιρεία δεν είναι υποχρεωμένη να τηρεί τις αρχές του ασφαλούς λιμένα για τις προσωπικές πληροφορίες που έχει στην κατοχή της η εξαγορασθείσα εταιρεία, αλλά αυτό δεν είναι απαραίτητο να συμβεί με βάση τον αμερικανικό νόμο. Ο γενικός κανόνας που ισχύει στις Ηνωμένες Πολιτείες σε περιπτώσεις συγχωνεύσεων και εξαγορών είναι ότι η εταιρεία που εξαγοράζει το μεγαλύτερο μέρος των μετοχών μιας άλλης εταιρείας, κατά κανόνα αναλαμβάνει τις υποχρεώσεις και ευθύνες της εξαγορασθείσας εταιρείας [βλέπε 15 Flechter Cyclopedia of the Law of Private Corporations § 7117 (1990)· βλέπε επίσης Model Bus. Corp. Act § 11.06(3) (1979) ("η δημιουργούμενη εταιρεία φέρει εξ ολοκλήρου την ευθύνη των δεσμεύσεων των εταιρειών που συμμετέχουν στη συγχώνευση")]. Με άλλα λόγια, η εταιρεία που δημιουργείται μετά από μια συγχώνευση ή εξαγορά ενός οργανισμού ασφαλούς λιμένα με τη μέθοδο αυτή δεσμεύεται από τις υποχρεώσεις σε θέματα ασφαλούς λιμένα του τελευταίου.

Επιπλέον, ακόμη και εάν η συγχώνευση ή εξαγορά πραγματοποιήθηκε μέσω της αγοράς των στοιχείων ενεργητικού, οι υποχρεώσεις της εξαγορασθείας εταιρείας δεσμεύουν σε ορισμένες περιπτώσεις την ιδιοκτήτρια εταιρεία (βλέπε 15 Flechter, § 7122). Ακόμη και εάν δεν διατηρηθούν οι υποχρεώσεις ύστερα από μια συγχώνευση, ωστόσο, αξίζει να σημειωθεί ότι δεν θα είχαν διατηρηθεί ούτε ύστερα από μια συγχώνευση κατά την οποία τα δεδομένα θα μεταβιβάζονταν από την Ευρώπη βάσει σύμβασης - μοναδική βιώσιμη εναλλακτική λύση για τις αρχές του ασφαλούς λιμένα όσον αφορά μεταβιβάσεις δεδομένων στις Ηνωμένες Πολιτείες. Επιπλέον, τα έγγραφα ασφαλούς λιμένα όπως έχουν αναθεωρηθεί επιβάλλουν σε κάθε οργανισμό ασφαλούς λιμένα να κοινοποιεί στο Υπουργείο Εμπορίου κάθε τυχόν εξαγορά και επιτρέπουν τη συνέχιση της μεταβίβασης δεδομένων στο διάδοχο οργανισμό μόνο εφόσον ο διάδοχος οργανισμός προσχωρήσει στις αρχές του ασφαλούς λιμένα (βλέπε FAQ 6). Πράγματι, οι Ηνωμένες Πολιτείες έχουν αναθεωρήσει πλέον το πλαίσιο του ασφαλούς λιμένα και ζητούν από τους οργανισμούς των ΗΠΑ να διαγράφουν τις πληροφορίες που έχουν λάβει στο πλαίσιο του ασφαλούς λιμένα εφόσον δεν θα αναλάβουν τις δεσμεύσεις του ασφαλούς λιμένα ή δεν έχουν εφαρμόσει άλλες κατάλληλες προϋποθέσεις ασφαλείας.

(1) Second Restatement of the Law - Torts· American Law Institute (1997).

(2) Αυτό θα μπορούσε να ισχύει, για παράδειγμα, στην περίπτωση των ιδιωτών που βασιζόμενοι στις δεσμεύσεις τήρησης των αρχών του ασφαλούς λιμένα του οργανισμού των ΗΠΑ δίνουν τη συγκατάθεσή τους στον υπεύθυνο διαβίβασης δεδομένων να μεταβίβασει τις προσωπικές πληροφορίες τους στις Ηνωμένες Πολιτείες.

(3) Pavesich v. New England Life Ins. Co., 50 S.E. 68/Ga. (1905).

(4) Ένθ. ανωτέρω στο 69.

(5) Μια ηλεκτρονική έρευνα της βάσης δεδομένων Westlaw κατέγραψε 2703 υποθέσεις αγωγών σε πολιτειακά δικαστήρια για λόγους παραβίασης του απορρήτου της ιδιωτικής ζωής από το 1995. Σε προηγούμενο έγγραφο είχαμε διαβιβάσει στην Επιτροπή τα αποτελέσματα της έρευνας αυτής.

(6) Βλέπε, π.χ., Alaska Constitution, Art. 1 Sec. 22· Arizona, Art. 2, Sec. 8· California, Art. 1, Sec. 1· Florida, Art. 1, Sec. 23· Hawaii, Art. 1, Sec. 5· Illinois, Art. 1, Sec. 6· Louisiana, Art. 1, Sec. 5· Montana, Art. 2, Sec. 10· New York, Art. 1, Sec. 12· Pennsylvania, Art. 1, Sec. 1· South Carolina, Art. 1, Sec. 10, και Washington, Art. 1, Sec. 7.

(7) Ένθ. ανωτέρω, κεφάλαιο 28, τμήμα 652Β.

(8) Ένθ. ανωτέρω, κεφάλαιο 28, τμήμα 652C.

(9) Ένθ. ανωτέρω, κεφάλαιο 28, τμήμα 652D.

(10) Ένθ. ανωτέρω, κεφάλαιο 28, τμήμα 652Ε.

(11) Έχουμε ήδη υποβάλει στην Επιτροπή πληροφορίες σχετικά με τις αγωγές μικρών απαιτήσεων.

(12) Μια πρόσφατη ηλεκτρονική έρευνα της βάσης δεδομένων Westlaw κατέγραψε 994 υποθέσεις σε πολιτειακά δικαστήρια που αφορούσαν ζημίες από την παραβίαση του απορρήτου της ιδιωτικής ζωής.

(13) Ως σημείο διασάφησης, η αρμόδια δικαστική αρχή δεν θα πρέπει να κάνει ειδική αναφορά στις αρχές περί απορρήτου.

(14) Παρομοίως, ο γιατρός σ' αυτό το παράδειγμα δεν μπορεί να υπολογίζει στη νόμιμη άδεια προκειμένου να μη λάβει υπόψη του την επιλογή του ιδιώτη περί μη άμεσης εμπορίας που προβλέπεται από τη FAQ 12. Το πεδίο κάθε εξαίρεσης για "ρητές άδειες" περιορίζεται αναγκαστικά στο πεδίο άδειας που προβλέπει ο σχετικός νόμος.

(15) Το πεδίο αυτής της άδειας είναι πολύ περιορισμένο. Ο τηλεπικοινωνιακός φορέας μπορεί να χρησιμοποιήσει το δίκτυο CPNI μόνο στη διάρκεια μιας κλήσης που έκανε ο καταναλωτής. Επιπλέον, πληροφορηθήκαμε από τη FCC ότι ο τηλεπικοινωνιακός φορέας δεν θα πρέπει να χρησιμοποιεί το CPNI για την εμπορία υπηρεσιών πέραν του πεδίου αναζήτησης του καταναλωτή. Τέλος, εφόσον ο καταναλωτής πρέπει να εγκρίνει τη χρήση του CPNI για το σκοπό αυτό, η διάταξη αυτή δεν αποτελεί κατά καμία έννοια "εξαίρεση".

(16) Η συζήτησή μας αυτή δεν θα πρέπει να εκληφθεί ως παραδοχή ότι η FCRA δεν παρέχει "επαρκή" προστασία. Σε κάθε αξιολόγηση της FCRA πρέπει να συνεκτιμάται η προστασία που παρέχεται από το νόμο στο σύνολό του και να μην εστιάζεται στις εξαιρέσεις όπως συμβαίνει στην περίπτωση αυτή.

ΠΑΡΑΡΤΗΜΑ V

14 Ιουλίου 2000

John Mogg

Γενικό Διευθυντή, ΓΔ Εσωτερικής Αγοράς

Ευρωπαϊκή Επιτροπή Γραφείο C 107-6/72 Rue de la Loi/Wetstraat 200 Β - 1049 Βρυξέλλες

Αγαπητέ κ. Mogg,

Κατανοώ ότι ανέκυψαν διάφορα ζητήματα σε σχέση με την επιστολή που σας απηύθυνα με ημερομηνία 29ης Μαρτίου 2000. Προκειμένου να αποσαφηνίσω την αρμοδιότητά μας στους τομείς εκείνους στους οποίους ανέκυψαν τα ζητήματα, σας απευθύνω την παρούσα επιστολή, η οποία, για λόγους διευκόλυνσης της συνεννόησής μας στο μέλλον, προσθέτει νέα στοιχεία και ανακεφαλαιώνει μέρος του κειμένου της προηγούμενης αλληλογραφίας μας.

Κατά τις επισκέψεις σας στα γραφεία μας και στην αλληλογραφία σας έχετε θέσει διάφορα ερωτήματα σχετικά με τις αρμοδιότητες της FTC των Ηνωμένων Πολιτειών, όσον αφορά την προστασία της ιδιωτικής ζωής στο Internet. Σκέφτηκα ότι θα ήταν χρήσιμο να συνοψίσω τις προηγούμενες απαντήσεις μου και να παράσχω πρόσθετες πληροφορίες σχετικά με την αρμοδιότητα της εν λόγω επιτροπής να επιλαμβάνεται ζητημάτων προστασίας της ιδιωτικής ζωής των καταναλωτών τα οποία εγείρατε στην τελευταία σας επιστολή. Ρωτάτε συγκεκριμένα εάν 1. η FTC έχει αρμοδιότητα σε σχέση με τη διαβίβαση δεδομένων σχετικά με την απασχόληση σε περίπτωση που η διαβίβαση αυτή παραβιάζει τις αρχές "ασφαλούς λιμένα" των ΗΠΑ· 2. η FTC έχει αρμοδιότητα σε σχέση με τα μη κερδοσκοπικά συστήματα πιστοποίησης της συμμόρφωσης με τους κανόνες προστασίας της ιδιωτικής ζωής· 3. ο FTC Act εφαρμόζεται τόσο στις offline δραστηριότητες όσο και στις online δραστηριότητες, και 4. τι συμβαίνει όταν η αρμοδιότητα της FTC αλληλεπικαλύπτεται με την αρμοδιότητα άλλων αρχών εφαρμογής του νόμου.

Εφαρμογή του FTC Act στην προστασία της ιδιωτικής ζωής

Η αρμοδιότητα της ομοσπονδιακής επιτροπής εμπορίου στον τομέα αυτό ορίζεται στο τμήμα 5 του FTC Act, που απαγορεύει τις "αθέμιτες ή δόλιες ενέργειες ή πρακτικές" οι οποίες αφορούν ή επηρεάζουν τις εμπορικές συναλλαγές(1). Ως δόλια πρακτική νοείται η δήλωση, η παράλειψη ή η πρακτική εκείνη που μπορεί να παραπλανήσει σώφρονες καταναλωτές με απτό τρόπο. Μια πρακτική χαρακτηρίζεται αθέμιτη εάν βλάπτει ουσιαστικά ή μπορεί να βλάψει καταναλωτές και δεν μπορεί ευλόγως να αποφευχθεί ούτε να αντισταθμιστεί από οφέλη για τους καταναλωτές ή τον ανταγωνισμό(2).

Ορισμένες πρακτικές συλλογής πληροφορίων είναι πιθανόν να παραβιάζουν τον FTC Act. Για παράδειγμα, εάν ένας ιστοχώρος (web side) ισχυρίζεται ψευδώς ότι συμμορφώνεται με μια δεδηλωμένη πολιτική προστασίας της ιδιωτικής ζωής ή με ένα σύνολο κατευθυντήριων γραμμών αυτορρύθμισης, το τμήμα 5 του FTC Act παρέχει τη νομική βάση για τη δίωξη μιας τέτοιας ψευδούς δήλωσης ως δόλιας ενέργειας. Πράγματι, εφαρμόσαμε με επιτυχία το νόμο για να εδραιώσουμε αυτή την αρχή(3). Επιπλέον, η FTC αποφάσισε ότι μπορεί να προσβάλλει τις πρακτικές που θίγουν κατάφωρα την ιδιωτική ζωή ως αθέμιτες δυνάμει του τμήματος 5, εάν οι εν λόγω πρακτικές αφορούν παιδιά ή τη χρήση εξαιρετικά ευαίσθητων πληροφοριών, όπως είναι τα χρηματοπιστωτικά στοιχεία και τα ιατρικά ιστορικά(4). Η FTC έχει κινήσει και εξακολουθεί να κινεί διαδικασίες εφαρμογής του νόμου καταβάλλοντας ενεργητικές προσπάθειες παρακολούθησης και διερεύνησης και μέσω της εκδίκασης προσφυγών που γίνονται από αυτορρυθμιστικούς και άλλους οργανισμούς, συμπεριλαμβανομένων των κρατών μελών της Ευρωπαϊκής Ένωσης.

Συμβολή στην αυτορρύθμιση

Η FTC θα δίνει προτεραιότητα στις προσφυγές για μη συμμόρφωση με τις κατευθυντήριες γραμμές αυτορρύθμισης που έχουν υποβάλει οργανισμοί όπως ο BBBOnline και ο TRUSTe(5). Η προσέγγιση αυτή συνάδει με την μακροχρόνια σχέση μας με το National Advertising Review Board (NARB) του Better Business Bureau, που παραπέμπει στην FTC καταγγελίες στον τομέα της διαφήμισης. Το National Advertising Division (NAD) του NARB εκδικάζει καταγγελίες που αφορούν τη διαφήμιση σε εθνικό επίπεδο με μια διαδικασία διαιτησίας. Όταν ένα μέρος αρνείται να συμμορφωθεί με απόφαση του NAD, η υπόθεση παραπέμπεται στην FTC. Τα μέλη της FTC εξετάζουν την καταγγελλόμενη διαφήμιση κατά προτεραιότητα προκειμένου να αποφασίσουν εάν παραβιάζει τον FTC Act και συχνά επιτυγχάνουν να τερματίσουν την καταγγελλόμενη πρακτική ή να πείσουν το μέρος να συμμορφωθεί με τη διαδικασία του NARB.

Ομοίως, η FTC εξετάζει κατά προτεραιότητα προσφυγές μη συμμόρφωσης με τις αρχές ασφαλούς λιμένα που προέρχονται από κράτη μέλη της ΕΕ. Όπως και με τις προσφυγές εκ μέρους αμερικανικών αυτορρυθμιστικών οργανισμών, οι συνεργάτες μας εξετάζουν οποιεσδήποτε πληροφορίες σχετικά με το εάν η καταγγελλόμενη πρακτική παραβιάζει ή δεν παραβιάζει το τμήμα 5 του FTC Act. Η δέσμευση αυτή περιλαμβάνεται επίσης στις αρχές ασφαλούς λιμένα στο πλαίσιο των συχνών ερωτήσεων (ΣΕ αριθ. 11) σχετικά με την εφαρμογή των αποφάσεων.

GeoCities: η πρώτη υπόθεση μη συμμόρφωσης με τους κανόνες προτασίας της ιδιωτικής ζωής στο Internet που υποβλήθηκε στην FTC

Η πρώτη υπόθεση της FTC σχετικά με την παραβίαση της ιδιωτικής ζωής στο Internet, η υπόθεση GeoCities, βασίστηκε στην αρμοδιότητα της FTC βάσει του τμήματος 5(6). Στην περίπτωση αυτή η FTC ισχυρίστηκε ότι η εταιρεία GeoCities έδωσε ψευδή εικόνα τόσο σε ενηλίκους όσο και σε παιδά του τρόπου με τον οποίον επρόκειτο να χρησιμοποιηθούν τα δεδομένα προσωπικού χαρακτήρα. Σύμφωνα με την καταγγελία της FTC, η GeoCities δήλωσε ότι ορισμένα δεδομένα προσωπικού χαρακτήρα που συνέλεγε στον ιστοχώρο της προορίζονται για εσωτερική χρήση ή με σκοπό να παρασχεθούν στους καταναλωτές συγκεκριμένες διαφημιστικές προσφορές και προϊόντα ή υπηρεσίες που είχαν ζητήσει και ότι ορισμένες συμπληρωματικές "προαιρετικές" πληροφορίες δεν επρόκειτο να αποκαλυφθούν χωρίς την άδεια του καταναλωτή. Στην πραγματικότητα, τα δεδομένα αυτά αποκλύπτονταν σε τρίτους που τα χρησιμοποιούσαν για να απευθύνουν στους συνδρομητές προσκλήσεις εμπορικού χαρακτήρα πέρα από τα όρια που είχαν αποδεχθεί. Η καταγγελία κατηγορούσε επίσης τη GeoCities για εφαρμογή δόλιων πρακτικών σχετικά με τη συλλογή δεδομένων από παιδιά. Σύμφωνα με την καταγγελία της FTC, η GeoCities δήλωσε ότι διαχειριζόταν κάποιες παιδικές σελίδες στον ιστοχώρο της και ότι διατηρούσε η ίδια τα δεδομένα που συνέλεγε κατ' αυτόν τον τρόπο. Στην πραγματικότητα, τις σελίδες αυτές στον ιστοχώρο διαχειρίζονταν τρίτα μέρη τα οποία συνέλεγαν και διατηρούσαν τα δεδομένα.

Ο διακανονισμός που επιτεύχθηκε απαγορεύει στη GeoCities να παραποιεί το σκοπό για τον οποίο συλλέγει ή χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα που αφορούν τους καταναλωτές, συμπεριλαμβανομένων των παιδιών. Η απόφαση υποχρεώνει την επιχείρηση να περιλάβει σε ευδιάκριτο σημείο του ιστοχώρου της μια σαφή ανακοίνωση σχετικά με την προστασία της ιδιωτικής ζωής, στην οποία να δηλώνει στους καταναλωτές τι είδους δεδομένα συλλέγονται και για ποιο σκοπό, σε ποιους θα αποκαλυφθούν και με ποιον τρόπο μπορούν οι καταναλωτές να έχουν πρόσβαση στα εν λόγω δεδομένα και να τα απαλείψουν. Προκειμένου να εξασφαλίζεται ο γονικός έλεγχος, ο διακανονισμός απαιτεί επίσης από τη GeoCities να λαμβάνει τη συγκατάθεση των γονέων πριν από τη συλλογή δεδομένων προσωπικού χαρακτήρα από παιδιά ηλικίας δώδεκα ετών και κάτω. Σύμφωνα με την απόφαση, η GeoCities οφείλει να ειδοποιήσει τα μέλη της και να τους παράσχει τη δυνατότητα να απαλείψουν τα προσωπικά τους δεδομένα από τις βάσεις δεδομένων της GeoCities και οποιουδήποτε τρίτου μέρους. Ο διακανονισμός ορίζει ρητά ότι η GeoCities οφείλει να απαλείψει τα δεδομένα τους, εκτός εάν οι γονείς συγκατατεθούν ρητά για τη διατήρηση και χρήση των δεδομένων. Τέλος, υποχρεώνεται η GeoCities να επικοινωνήσει με τρίτα μέρη στα οποία έχει προηγουμένως αποκαλύψει τα εν λόγω δεδομένα και να ζητήσει να τα απαλείψουν(7).

ReverseAuction.com

Τον Ιανουάριο του 2000 η FTC έκρινε παραδεκτή την καταγγελία κατά της ReverseAuction.com με την οποία κατέληξε σε συμβιβασμό. Η ReverseAuction.com είναι ένας ιστοχώρος πλειστηριασμών σε απευθείας σύνδεση (online), που, σύμφωνα με τους ισχυρισμούς, λάμβανε δεδομένα προσωπικού χαρακτήρα για τους καταναλωτές από ανταγωνιστικό ιστοχώριο (eBay.com) και στη συνέχεια έστελνε παραπλανητικά ηλεκτρονικά μηνύματα στους καταναλωτές εκείνους που ενδιαφέρονταν για τις δραστηριότητες αυτές, χωρίς να τα έχουν ζητήσει(8). Ισχυριστήκαμε στην καταγγελία μας ότι η ReverseAuction παραβίαζε το τμήμα 5 του FTC Act λαμβάνοντας δεδομένα προσωπικού χαρακτήρα, τα οποία περιλάμβαναν τις ηλεκτρονικές διευθύνσεις των χρηστών του eBay και τους προσωπικούς κωδικούς αναγνώρισής τους (user ID), και στέλνοντας παραπλανητικά ηλεκτρονικά μηνύματα.

Όπως περιγράφεται στην καταγγελία, πριν λάβει τις πληροφορίες αυτές η ReverseAuction είχε εγγραφεί ως χρήστης του eBay και είχε συμφωνήσει να συμμορφωθεί με τις αρχές και με τη συμφωνία για την προστασία της ιδιωτικής ζωής των χρηστών του eBay. Η συμφωνία προστατεύει την ιδιωτική ζωή των καταναλωτών απαγορεύοντας στους χρήστες του eBay να συλλέγουν και να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα για μη εγκεκριμένη χρήση, όπως είναι η αποστολή μη ζητηθέντων εμπορικών ηλεκτρονικών μηνυμάτων. Έτσι, ισχυριστήκαμε καταρχήν στην καταγγελία μας ότι η ReverseAuction δήλωσε ψευδώς ότι θα συμμορφωνόταν με τη συμφωνία για την προστασία της ιδιωτικής ζωής των χρηστών του eBay, γεγονός που αποτελεί δόλια πρακτική σύμφωνα με το τμήμα 5. Ισχυριστήκαμε εξάλλου στην καταγγελία μας ότι η χρήση των πληροφοριών από τη ReverseAuction για την αποστολή μη ζητηθέντων εμπορικών ηλεκτρονικών μηνυμάτων, κατά παράβαση της συμφωνίας περί προστασίας της ιδιωτικής ζωής των χρηστών, αποτελούσε αθέμιτη εμπορική πρακτική βάσει του τμήματος 5.

Δεύτερον, ισχυριστήκαμε στην καταγγελία ότι τα ηλεκτρονικά μηνύματα προς τους καταναλωτές περιείχαν έναν παραπλανητικό τίτλο ο οποίος πληροφορούσε τον κάθε αποδέκτη ότι ο προσωπικος κωδικός αναγνώρισής του για τον eBay "εκπνέει προσεχώς". Τέλος, ισχυριστήκαμε ότι τα ηλεκτρονικά μηνύματα υποδήλωναν ψευδώς ότι ο eBay προμήθευε άμεσα ή έμμεσα τη ReverseAuction με δεδομένα προσωπικού χαρακτήρα για τους χρήστες του eBay ή ότι συμμετείχε κατ' άλλο τρόπο στη διάδοση μη ζητηθέντων ηλεκτρονικών μηνυμάτων.

Ο διακανονισμός που πέτυχε η FTC απαγορεύει στη ReverseAuction να επαναλάβει τις παραβάσεις αυτές στο μέλλον. Απαιτεί επίσης από τη ReverseAuction να ειδοποιήσει τους καταναλωτές οι οποίοι, μετά το ηλεκτρονικό μήνυμα που έλαβαν από τη ReverseAuction, έχουν εγγραφεί ή πρόκειται να εγγραφούν στη ReverseAuction. Η ειδοποίηση αυτή θα πρέπει να ενημερώνει τους καταναλωτές ότι οι κωδικοί αναγνώρισής τους για τον eBay δεν επρόκειτο να εκπνεύσουν στον eBay και ότι ο ιστοχώρος eBay δεν γνώριξε ούτε είχε επιτρέψει να διαδώσει η ReverseAuction μη ζητηθέντα ηλεκτρονικά μηνύματα. Η ειδοποίηση θα πρέπει επίσης να δίνει στους καταναλωτές αυτούς τη δυνατότητα να ακυρώσουν την εγγραφή τους στην ReverseAuction και να επιβάλουν τη διαγραφή των δεδομένων προσωπικού χαρακτήρα από τη βάση δεδομένων της ReverseAuction. Επιπλέον, η απόφαση υποχρεώνει τη ReverseAuction να απαλείψει και να μη χρησιμοποιήσει ούτε να αποκαλύψει τα δεδομένα προσωπικού χαρακτήρα για τους συνδρομητές του eBay που έλαβαν ηλεκτρονικό μήνυμα της ReverseAuction αλλά δεν έχουν εγγραφεί στη ReverseAuction. Τέλος, σύμφωνα με προηγούμενες αποφάσεις της FTC στον τομέα της προστασίας της ιδιωτικής ζωής, ο διακανονισμός απαιτεί από τη ReverseAuction να δηλώσει τις αρχές που εφαρμόζει στον τομέα της προστασίας της ιδιωτικής ζωής στο χώρο της στο Internet και περιέχει διεξοδικές διατάξεις τήρησης αρχείων που θα επιτρέψουν στην FTC να παρακολουθήσει τη συμμόρφωση με τις εν λόγω αρχές.

Η υπόθεση της ReverseAuction καταδεικνύει ότι η FTC είναι αποφασισμένη να λάβει μέτρα εφαρμογής του νόμου προκειμένου να στηρίξει τις προσπάθειες αυτορρύθμισης της βιομηχανίας για την προστασία της ιδιωτικής ζωής των καταναλωτών στο Internet. Πράγματι, με την υπόθεση αυτή κρίθηκαν με άμεσο τρόπο πρακτικές που υπονόμευαν τις αρχές και τη συμφωνία για την προστασία της ιδιωτικής ζωής των καταναλωτών και που μπορούσαν να υποσκάψουν την εμπιστοσύνη των καταναλωτών στα μέτρα προστασίας της ιδιωτικής ζωής που λαμβάνουν οι επιχειρήσεις παροχής υπηρεσιών στο Internet. Επειδή η υπόθεση αυτή είχε να κάνει με την υπεξαίρεση από μια επιχείρηση δεδομένων για τους καταναλωτές τα οποία προστατεύονται βάσει των αρχών που εφάρμοζε μια άλλη επιχείρηση σχετικά με την προστασία της ιδιωτικής ζωής, μπορεί να παρουσιάζει ιδιαίτερο ενδιαφέρον στο πλαίσιο των ανησυχιών που έχουν εκφραστεί σχετικά με την προστασία της ιδιωτικής ζωής κατά τη διαβίβαση δεδομένων μεταξύ επιχειρήσεων διαφορετικών χωρών.

Παρά τα μέτρα εφαρμογής του νόμου που έχει λάβει η FTC στις υποθέσεις GeoCities, Liberty Financial Cos. και ReverseAuction, η εξουσία της όσον αφορά την προστασία της ιδιωτικής ζωής σε ορισμένους τομείς παροχής υπηρεσιών σε απευθείας σύνδεση (online) είναι πιο περιορισμένη. Όπως σημειώνεται παραπάνω, η συλλογή και η χρήση δεδομένων προσωπικού χαρακτήρα χωρίς τη συγκατάθεση των ενδιαφερομένων εμπίπτει στον FTC Act μόνον όταν αποτελεί δόλια ή αθέμιτη εμπορική πρακτική. Έτσι, ο εν λόγω νόμος δεν μπορεί μάλλον να εφαρμοστεί στις πρακτικές ενός ιστοχώρου που συλλέγει δεδομένα προσωπικού χαρακτήρα από τους καταναλωτές, χωρίς ωστόσο να παραποιεί το σκοπό για τον οποίο συλλέγει τα δεδομένα και χωρίς να χρησιμοποιεί ή να δημοσιεύει τα δεδομένα αυτά κατά τρόπο που να μπορεί να βλάψει ουσιαστικά τους καταναλωτές. Επίσης, προς το παρόν, η FTC δεν έχει πάντοτε την εξουσία να επιβάλλει στους φορείς που συλλέγουν πληροφορίες από το Internet την εφαρμογή οποιωνδήποτε ή κάποιων συγκεκριμένων αρχών προστασίας της ιδιωτικής ζωής(9). Όπως δηλώνεται παραπάνω ωστόσο, το γεγονός ότι μια επιχείρηση δεν συμμορφώνεται με δεδηλωμένες αρχές προστασίας της ιδιωτικής ζωής μπορεί να θεωρηθεί δόλια πρακτική.

Επιπλέον, η αρμοδιότητα της FTC στον τομέα αυτό καλύπτει αθέμιτες ή δόλιες ενέργειες ή πρακτικές μόνον εφόσον "αφορούν ή επηρεάζουν τις εμπορικές συναλλαγές". Η συλλογή δεδομένων από εμπορικούς φορείς που προωθούν προϊόντα ή υπηρεσίες και η συλλογή και χρήση δεδομένων για εμπορικούς σκοπούς ανταποκρίνονται πιθανώς στην προϋπόθεση της "εμπορικής συναλλαγής". Από την άλλη πλευρά πολλά άτομα ή φορείς ενδέχεται να συλλέγουν δεδομένα από το Internet χωρίς κανέναν εμπορικό σκοπό και επομένως να μην εμπίπτουν στην αρμοδιότητα της ομοσπονδιακής επιτροπής εμπορίου. Ως παράδειγμα μπορούν να αναφερθούν τα "βήματα συζητήσεων" όταν τα διαχειρίζονται μη εμπορικοί φορείς, π.χ. φιλανθρωπικοί οργανισμοί.

Τέλος, όσον αφορά τη βασική αρμοδιότητα της FTC επί των εμπορικών πρακτικών, υπάρχουν μια σειρά θεσμοθετημένες πλήρεις ή μερικές εξαιρέσεις, που περιορίζουν την ικανότητα της FTC να απαντήσει ολοκληρωμένα και διεξοδικά στις ανησυχίες που εκφράζονται για την προστασία της ιδιωτικής ζωής στο Internet. Μεταξύ αυτών συγκαταλέγονται οι απαλλαγές μεγάλου αριθμού επιχειρήσεων που χρησιμοποιούν σε μεγάλο βαθμό πληροφορίες για τους καταναλωτές όπως είναι οι τράπεζες, οι ασφαλιστικές εταιρείες και οι αεροπορικές εταιρείες. Όπως γνωρίζετε, οι φορείς αυτοί εμπίπτουν στην αρμοδιότητα άλλων οργανισμών σε ομοσπονδιακό επίπεδο ή σε επίπεδο πολιτειών, όπως είναι οι ομοσπονδιακοί τραπεζικοί οργανισμοί ή το Υπουργείο Μεταφορών.

Για τις υποθέσεις που εμπίπτουν στην αρμοδιότητά της η FTC δέχεται και, εφόσον της το επιτρέπουν οι πόροι της, επιλαμβάνεται καταγγελιών που έχουν υποβάλει καταναλωτές ταχυδρομικώς και τηλεφωνικώς μέσω του κέντρου απαντήσεων στους καταναλωτές (CRC) και πιο πρόσφατα μέσω του ιστοχώρου της(10). Το CRC δέχεται καταγγελίες από όλους τους καταναλωτές συμπεριλαμβανομένων εκείνων που διαμένουν σε κράτη μέλη της Ευρωπαϊκής Ένωσης. Ο FTC Act επιτρέπει στην FTC να λαμβάνει προσωρινά μέτρα για την πρόληψη μελλοντικών παραβάσεων του FTC Act καθώς και να αποφασίζει σχετικά με την αποζημίωση των καταναλωτών που υπέστησαν βλάβη. Όταν υποβάλλεται καταγγελία, προσπαθούμε ωστόσο να ελέγξουσε εάν η επιχείρηση για την οποία πρόκειται έχει επιδοθεί κατ' επανάληψη σε καταχρηστικές πρακτικές, επειδή δεν επιλύουμε διαφορές μεμονωμένων καταναλωτών. Κατά το παρελθόν η FTC εξασφάλισε αποζημιώσεις για πολίτες τόσο των Ηνωμένων Πολιτειών όσο και άλλων χωρών(11). Η FTC θα εξακολουθήσει να ασκεί την αρμοδιότητά της, στις κατάλληλες περιπτώσεις, προκειμένου να αποζημιώνονται οι πολίτες άλλων χωρών οι οποίοι έχουν υποστεί βλάβη λόγω δόλιων πρακτικών που εμπίπτουν στην αρμοδιότητά της.

Δεδομένα απασχόλησης

Στην τελευταία σας επιστολή ζητήσατε πρόσθετες διευκρινίσεις σχετικά με την αρμοδιότητα της FTC στον τομέα των δεδομένων απασχόλησης. Πρώτον, θέσατε το ερώτημα εάν η FTC μπορεί να λάβει μέτρα, δυνάμει του τμήματος 5, εναντίον επιχείρησης που δηλώνει ότι συμμορφώνεται με τις αμερικανικές αρχές ασφαλούς λιμένα αλλά διαβιβάζει ή χρησιμοποιεί δεδομένα σχετικά με την απασχόληση κατά τρόπο που παραβιάζει τις εν λόγω αρχές. Θέλουμε να σας διαβεβαιώσουμε ότι εξετάσαμε προσεκτικά τις νομοθετικές διατάξεις που ορίζουν την εντολή της FTC, τα συναφή έγγραφα και τη συναφή νομολογία και συμπεράναμε ότι η FTC έχει την ίδια αρμοδιότητα για τα δεδομένα που αφορούν την απασχόληση όπως και για ομοιαδήποτε άλλα δεδομένα που εμπίπτουν στο τμήμα 5 του FTC Act(12). Με άλλα λόγια, μπορούμε να λάβουμε μέτρα σε περιπτώσεις δεδομένων που συνδέονται με την απασχόληση εάν μια υπόθεση προστασίας της ιδιωτικής ζωής ανταποκρίνεται στα κριτήρια που επιβάλλουν τη λήψη μέτρων εφαρμογής του νόμου (αθέμιτες ή δόλιες πρακτικές).

Θα θέλαμε επίσης να αποκρούσουμε κάθε άποψη που ισχυρίζεται ότι η ικανότητα της FTC να λαμβάνει μέτρα εφαρμογής του νόμου για την προστασία της ιδιωτικής ζωής περιορίζεται σε καταστάσεις στις οποίες μια επιχείρηση έχει εξαπατήσει μεμονωμένους καταναλωτές. Πράγματι, όπως καταδεικνύουν σαφώς τα μέτρα που έλαβε στην υπόθεση ReverseAuction(13), η FTC κινεί διαδικασία για τη λήψη μέτρων εφαρμογής του νόμου με σκοπό την προστασία της ιδιωτικής ζωής όταν, στο πλαίσιο της διαβίβασης δεδομένων μεταξύ επιχειρήσεων, μια επιχείρηση φέρεται να έχει ενεργήσει παράνομα έναντι άλλης επιχείρησης, με αποτέλεσμα πιθανώς να υφίστανται βλάβη τόσο οι καταναλωτές όσο και οι επιχειρήσεις. Πιστεύουμε ότι τέτοιες είναι περίπου οι καταστάσεις στις οποίες είναι πιθανότερο να ανακύψει ζήτημα σχετικά με τα δεδομένα απασχόλησης αφού τα δεδομένα απασχόλησης που αφορούν Ευρωπαίους διαβιβάζονται από ευρωπαϊκές επιχειρήσεις σε αμερικανικές επιχειρήσεις που έχουν δεσμευτεί να τηρήσουν τις αρχές ασφαλούς λιμένα.

Επιθυμούμε ωστόσο να επισημάνουμε κάποιες περιπτώσεις στις οποίες το περιθώριο δράσης της FTC είναι περιορισμένο. Πρόκειται, ιδίως, για περιπτώσεις στις οποίες η υπόθεση αντιμετωπίζεται ήδη στο παραδοσιακό πλαίσιο επίλυνσης εργατικών διαφορών, πιθανότητα στο πλαίσιο μιας εργατικής αγωγής ή μιας προσφυγής σε διαιτησία ή μιας καταγγελίας για αθέμιτη εργατική πρακτική στο National Labor Relations Board. Αυτό θα συνέβαινε για παράδειγμα εάν ένας εργοδότης είχε αναλάβει κάποια δέσμευση σχετικά με τη χρήση προσωπικών δεδομένων στο πλαίσιο συλλογικής σύμβασης εργασίας και ένας υπάλληλος ή ένα συνδικάτο ισχυριζόταν ότι ο εργοδότης παραβίαζε τη συμφωνία. Η FTC δεν θα παρενέβαινε μάλλον σε μια τέτοια διαδικασία(14).

Αρμοδιότητα σε σχέση με συστήματα πιστοποίησης της συμμόρφωσης με τους κανόνες προστασίας της ιδιωτικής ζωής

Δεύτερον, ρωτάτε εάν η FTC έχει αρμοδιότητα επί συστημάτων πιστοποίησης της συμμόρφωσης που διαχειρίζονται μηχανισμούς επίλυσης των διαφορών στις Ηνωμένες Πολιτείες, όταν τα εν λόγω συστήματα διαστρεβλώνουν το ρόλο τους κατά την εφαρμογή των αρχών ασφαλούς λιμένα και επιλαμβάνονται ατομικών καταγγελιών, τη στιγμή που από τεχνική άποψη τα συστήματα δεν είναι κερδοσκοπικού χαρακτήρα. Προκειμένου να καθορίσει εάν έχει αρμοδιότητα σε σχέση με έναν φορέα που δηλώνει ότι είναι μη κερδοσκοπικός, η FTC μελετά προσεκτικά εάν ο εν λόγω φορέας δεν επιζητεί το κέρδος για τον ίδιο αλλά το μεταβιβάζει στα μέλη του. Η FTC επικαλέστηκε με επιτυχία την αρμοδιότητά της επί των προαναφερόμενων φορέων και στις 24 Μαΐου 1999 το ανώτατο δικαστήριο των ΗΠΑ στην υπόθεση California Dental Association v. Federal Trade Commission αποφάσισε ονόφωνα ότι η FTC ήταν αρμόδια να κρίνει μια εθελοντική μη κερδοσκοπική ένωση των τοπικών οδοντιατρικών εταιρειών σε μια υπόθεση αντιμονοπωλιακής νομοθεσίας. Το δικαστήριο έκρινε τα εξής:

Ο FTC Act πρέπει να εφαρμόζεται όχι μόνο στους φορείς "που επιζητούν το κέρδος για ίδιο λογαριασμό" (βλέπε U.S.C. § 44) αλλά επίσης στους φορείς που αποσκοπούν στο κέρδος "για λογαριασμό των μελών τους". ... Δύσκολα θα μπορούσε να φανταστεί κανείς ότι το Κογκρέσο θέλησε να θεσπίσει μια τόσο στενή έννοια των οργανώσεων παροχής βοήθειας δίνοντας την ευκαιρία με έναν τέτοιο περιορισμό σε ορισμένες οργανώσεις να μην εμπίπτουν στην αρμοδιότητα της FTC τη στιγμή που οι σκοποί του FTC Act απαιτούν την παρέμβασή της.

Με δυο λόγια, προκειμένου να καθορίσει εάν έχει αρμοδότητα επί ενός συγκεκριμένου μη κερδοσκοπικού φορέα που διαχειρίζεται ένα σύστημα πιστοποίησης της συμμόρφωσης, η FTC οφείλει να εξετάσει συγκεκριμένα σε ποιο βαθμό ο εν λόγω φορέας επιτρέπει στα μέλη του να πραγματοποιούν κέρδη. Εάν ο εν λόγω φορέας διαχειρίζεται το σύστημα πιστοποίησης της συμμόρφωσης έτσι ώστε να αποκομίζει κέρδη για τα μέλη του, είναι πιθάνο η FTC να είναι αρμόδια. Εξάλλου, η FTC έχει πιθανώς αρμοδιότητα επί συστημάτων πιστοποίησης της συμμόρφωσης που δίνουν ψευδή εικόνα της νομικής τους κατάστασης ως μη κερδοσκοπικών φορέων.

Προστασία των δεδομένων προσωπικού χαρακτήρα στις υπηρεσίες offline

Τρίτον, σημειώνετε ότι η προηγούμενη αλληλογραφία μας αφορούσε κυρίως την προστασία της ιδιωτικής ζωής στον τομέα των υπηρεσίων online (Internet). Μπορεί ο τομέας αυτός να αποτέλεσε βασικό μέλημα της FTC επειδή είναι σημαντική συνιστώσα της ανάπτυξης του ηλεκτρονικού εμπορίου, ωστόσο ο FTC Act χρονολογείται από το 1914 και εφαρμόζεται επίσης στις υπηρεσίες offline. Συνεπώς, διώκουμε εταιρείες που ασκούν δραστηριότητες offline όταν εφαρμόζουν αθέμιτες ή δόλιες πρακτικές όσον αφορά την προστασία της ιδιωτικής ζωή των καταναλωτών(15). Πράγματι, σε μια υπόθεση που εισήγαγε η FTC πέρυσι, στην υπόθεση FTC v. TouchTone Information, Inc.)(16)· ένας "μεσίτης πληροφοριών" κατηγορήθηκε ότι λάμβανε και πωλούσε παρανόμως εμπιστευτικά δεδομένα για την οικονομική κατάσταση ορισμένων καταναλωτών. Η FTC ισχυρίστηκε ότι η Touch Tone λάμβανε πληροφορίες για τους καταναλωτές με διάφορα προσχήματα χρησιμοποιώντας τεχνικές έρευνας που αρχικά χρησιμοποιήθηκαν από τον κλάδο των ιδιωτικών ερευνητών οι οποίοι προσπαθούσαν να εκμαιεύσουν προσωπικές πληροφορίες για άλλους προβάλλοντας ψευδείς προφάσεις, κατά κανόνα τηλεφωνικώς. Στην υπόθεση αυτή, που εισήχθη στις 21 Απριλίου 1999 στο ομοσπονδιακό δικαστήριο του Κολοράντο, ζητείται η επιβολή ασφαλιστικών μέτρων και η επιστροφή όλων των παράνομα αποκομισθέντων κερδών.

Αλληλεπικάλυψη αρμοδιοτήτων

Τέλος, θέτετε το ερώτημα της αλληλεπίδρασης μεταξύ της αρμοδιότητας της FTC και της αρμοδιότητας άλλων αρχών εφαρμογής του νόμου, ιδίως σε περιπτώσεις στις οποίες υπάρχει δυνητικώς αλληλεπικάλυψη αρμοδιοτήτων. Έχουμε αναπτύξει στενές σχέσεις εργασίας με πολυάριθμες άλλες αρχές εφαρμογής του νόμου, συμπεριλαμβανομένων των ομοσπονδιακών οργανισμών τραπεζικής εποπτείας και των γενικών εισαγγελέων των πολιτειών. Συντονίζουμε τις έρευνές μας πολύ συχνά έτσι ώστε να αξιοποιούμε στο μέγιστο δυνατό βαθμό τους πόρους μας σε περιπτώσεις αλληλεπικάλυψης αρμοδιοτήτων. Επίσης, υποβάλλουν συχνά ζητήματα στους κατάλληλους ομοσπονδιακούς ή πολιτειακούς φορείς προς διερεύνηση.

Ελπίζω η ανασκόπηση αυτή να σας είναι χρήσιμη. Είμαι στη διάθεσή σας για περαιτέρω πληροφορίες που ενδεχομένως χρειάζεστε.

Με τιμή,

Robert Pitofsky

(1) Βλέπε 15 U.S.C. § 45. Ο νόμος Fair Credit Reporting Act εφαρμόζεται επίσης στη συλλογή δεδομένων από το Internet και στις πωλήσεις μέσω Internet που ανταποκρίνονται στους θεσμοθετημένους ορισμούς της "έκθεσης για τους καταναλωτές" και του "οργανισμού μελέτης καταναλωτικών θεμάτων".

(2) Βλέπε 5 U.S.C. § 45(n).

(3) Βλέπε GeoCities, Docket No. C-3849 (τελική απόφαση 12ης Φεβρουαρίου 1999) (διατίθεται στη διεύθυνση www.ftc.gov/os/1999/9902/9823015d%26o.htm)· Liberty Financial Cos., Docket No. C-3891 (τελική απόφαση 12ης Αυγούστου 1999) (διατίθεται στη διεύθυνση www.ftc.gov/opa/1999/9905/younginvestor.htm). Βλέπε επίσης Children's Online Privacy Protection Act Rule (COPPA), 16 C.F.R. Part 312 (διατίθεται στη διεύθυνση www.ftc.gov/opa/1999/9910/childfinal.htm). Ο νόμος COPPA, που τέθηκε σε ισχύ τον προηγούμενο μήνα, απαιτεί από τους φορείς εκμετάλλευσης ιστοχώρων που απευθύνονται σε παιδιά ηλικίας κάτω των 13 ετών ή οι οποίοι εσκεμμένα συλλέγουν προσωπικές πληροφορίες από παιδιά ηλικίας κάτω των 13 ετών να εφαρμόζουν τις προδιαγραφές θεμιτών πρακτικών συλλογής πληροφοριών που ορίζονται από το νόμο.

(4) Βλέπε FTC v. Touch Tone, Inc., Civil Action No 99-WM-783 (D.Co.) (κατατέθηκε στις 21 Απριλίου 1999) στη διεύθυνση www.ftc.gov/opa/1999/9904/touchtone.htm· Staff Opinion Letter, της 17ης Ιουλίου 1997, που εκδόθηκε σε απάντηση αναφοράς που κατέθερε το Center for Media Education, στη διεύθυνση www.ftc.gov/os/1997/9707/cenmed.htm.

(5) Πράγματι, η FTC προσέφυγε σε ένα ομοσπονδιακό δικαστήριο κατά του Toysmart.com, ενός συστήματος πιστοποίησης της συμμόρφωσης της TRUSTe, ζητώντας τη λήψη προσωρινών μέτρων με σχετική επανορθωτική δήλωση για να παρεμποδιστεί η πώληση εμπιστευτικών πληροφοριών προσωπικού χαρακτήρα που αφορούν τους πελάτες και συλλέγονται στον ιστοχώρο της εταιρείας κατά παραβίαση της πολιτικής περί προστασίας της ιδιωτικής ζωής της ίδιας της εταιρείας. Η FTC ενημερώθηκε σχετικά με την εν λόγω πιθανή παραβίαση του νόμου απευθείας από την TRUSTe. [FTC v. Toysmart.com, LLC, Civil Action No. 00-11341-RGS (D.Ma.) (υποβλήθηκε στις 11 Ιουλίου 2000) (διατίθεται στη διεύθυνση www.ftc.gov/opa/2000/07/toysmart.htm)].

(6) Βλέπε GeoCities, Docket No. C-3849 (τελική απόφαση της 12ης Φεβρουαρίου 1999) (διατίθεται στη διεύθυνση www.ftc.gov/os/1999/9902/9823015d%26o.htm).

(7) Η FTC διευθέτησε στη συνέχεια ένα άλλο ζήτημα που είχε να κάνει με τη συλλογή προσωπικών δεδομένων από παιδιά στο Internet. Η Liberty Financial Companies, Inc., διαχειριζόταν έναν ιστοχώρο με τίτλο Website Young Investor που απευθυνόταν σε παιδιά και εφήβους, και αφορούσε κυρίως ζητήματα σχετικά με τη διαχείριση χρημάτων και με τις επενδύσεις. Η FTC ισχυρίστηκε ότι ο ιστοχώρος παρουσίαζε ψευδώς ότι τα προσωπικά δεδομένα που συλλέγονται από παιδιά στο πλαίσιο μιας έρευνας θα διατηρούνται ανωνύμως και ότι θα αποστελλόταν δελτίο τύπου με ηλεκτρονικό ταχυδρομείο καθώς και βραβεία στους συμμετέχοντες στην έρευνα. Στην πραγματικότητα, τα προσωπικά δεδομένα σχετικά με τα παιδιά και με την οικονομική κατάσταση των οικογενειών τους διατηρούνταν με αναγνωρίσιμο τρόπο και δεν απεστάλη ούτε δελτίο τύπου ούτε βραβείο. Ο συμβιβασμός απαγορεύει αυτού του είδους τις ψευδείς δηλώσεις στο μέλλον και απαιτεί από τη Liberty Financial να περιλαμβάνει ανακοίνωση για την προστασία της ιδιωτικής ζωής στους παιδικούς ιστοχώρους της και να λαμβάνει την επαληθεύσιμη γονική συγκατάθεση πριν από τη συλλογή δεδομένων προσωπικού χαρακτήρα από παιδιά [Βλέπε Liberty Financial Cos., Docket No. C-3891 (τελική απόφαση της 12ης Αυγούστου 1999) (διατίθεται στη διεύθυνση www.ftc.gov/opa/1999/9905/younginvestor.htm)].

(8) Βλέπε ReverseAuction.com, Inc., Civil Action No. 000032 (D.D.C.) (κατατέθηκε στις 6 Ιανουαρίου 2000) (ανακοινωθέν τύπου και προτάσεις στη διεύθυνση www.ftc.gov/opa/2000/01/reverse4.htm).

(9) Για το λόγο αυτό, η FTC δήλωσε σε κατάθεση της στο Κογκρέσο ότι χρειάζεται ίσως να θεσπιστούν πρόσθετα νομοθετικά κείμενα προκειμένου να υποχρεωθούν όλοι οι αμερικανικοί εμπορικοί ιστοχώροι που απευθύνονται σε καταναλωτές να συμμορφωθούν με συγκεκριμένες πρακτικές αντικειμενικής πληροφόρησης των καταναλωτών [βλέπε "Consumer Privacy on the World Wide Web", κατάθεση στις 21 Ιουλίου 1998 στην υποεπιτροπή τηλεπικοινωνιών, εμπορίου και προστασίας των καταναλωτών της επιτροπής εμπορίου της βουλής των αντιπροσώπων των Ηνωμένων Πολιτειών (το έγγραφο υπάρχει στη διεύθυνση www.ftc.gov/os/9807/privac98.htm)]. Η FTC δεν έχει ακόμη ζητήσει τη θέσπιση αυτή της νομοθεσίας προκειμένου να δώσει την ευκαιρία στις επιχειρήσεις που καταβάλλουν προσπάθειες αυτορρύθμισης να καταδείξουν ότι οι ορθές πρακτικές στον τομέα της πληροφόρησης στους ιστοχώρους είναι ευρέως διαδεδομένες. Στην έκθεση της FTC προς το Κογκρέσο σχετικά με την προστασία της ιδιωτικής ζωής στο Internet τον Ιούνιο του 1998 τον Ιούνιο του 1998 [(βλέπε "Privacy Online: A Report to Congress" (η έκθεση διατίθεται στη διεύθυνση www.ftc.gov/reports/privacy3/toc.htm)] η FTC συνιστά τη θέσπιση νομοθεσίας που να επιβάλλει στους εμπορικούς ιστοχώρους να λαμβάνουν τη συγκατάθεση των γονέων πριν από τη συλλογή δεδομένων προσωπικού χαρακτήρα από παιδιά ηλικίας κάτω των 13 ετών (βλέπε υποσημείωση 3 παραπάνω). Πέρυσι η έκθεση της FTC με τίτλο "Self-Regulation and Privacy Online: A Federal Trade Commission Report to Congress", Ιούλιος 1999 (διατίθεται στη διεύθυνση www.ftc.gov/os/1999/9907/index.htm

13), διαπίστωσε επαρκή πρόοδο στον τομέα της αυτορρύθμισης και για το λόγο αυτό επέλεξε να μη συστήσει ακόμη τη θέσπιση νομοθεσίας.

Το Μάιο 2000, η FTC υπέβαλε μια τρίτη έκθεση προς το Κογκρέσο με τίτλο "Privacy Online: Fair Information Practices in the Electronic Marketplace" (η έκθεση διατίθεται στη διεύθυνση www.ftc.gov/os/2000/05/index.htm

22) στην οποία εξετάζεται η πρόσφατη έρευνα της FTC σχετικά με τους εμπορικούς ιστοχώρους και σχετικά με τη συμμόρφωσή τους με τα χρηστά ήθη που διέπουν την παροχή πληροφοριών. Στην έκθεση επίσης διατυπώνεται η σύσταση (της πλειοψηφίας της εν λόγω επιτροπής) να ψηφίσει το Κογκρέσο νομοθεσία με την οποία θα εξασφαλίζεται ένα βασικό επίπεδο προστασίας της ιδιωτικής ζωής όσον αφορά τους εμπορικούς ιστοχώρους οι οποίοι είναι προσανατολισμένοι προς τους πελάτες. Η FTC θα υποβάλει πάλι έκθεση στο Κογκρέσο τις επόμενες εβδομάδες σχετικά με την πρόοδο που έχει επιτευχθεί όσον αφορά την αυτορρύθμιση.

(10) Βλέπε http://www.ftc.gov/ftc/complaint.htm για το έντυπο της FTC για την υποβολή καταγγελίας σε απευθείας σύνδεση (online).

(11) Για παράδειγμα, σε μια πρόσφατη περίπτωση που αφορούσε τραπεζική πυραμίδα στο Internet η FTC εξασφάλισε αποζημιώσεις για 15622 καταναλωτές συνολικού ύψους 5,5 εκατομμυρίων δολαρίων. Οι καταναλωτές διέμεναν στις Ηνωμένες Πολιτείες και σε 70 ξένες χώρες (βλέπε www.ftc.gov/opa/9807/fortunar.htm· www.ftc.gov/opa/9807/ftcrefund01.htm).

(12) Εκτός εάν προβλέπεται ειδική εξαίρεση από τις νομοθετικές διατάξεις που ορίζουν την εντολή της FTC, η αρμοδιότητα που έχει η εν λόγω επιτροπή βάσει του FTC Act επί πρακτικών "που αφορούν ή επηρεάζουν τις εμπορικές συναλλαγές" έχει τα ίδια όρια με τις συνταγματικές εξουσίες του Κογκρέσου βάσει της ρήτρας εμπορίου, United States v. American Building Maintenance Industries, 422 U.S. 271, 277 n. 6 (1975). Η αρμοδιότητα της FTC περιλαμβάνει επομένως τις πρακτικές που εφαρμόζονται στον τομέα της απασχόλησης από επιχειρήσεις και από κλάδους του διεθνούς εμπορίου.

(13) Βλέπε "Online Auction Site Settles FTC Privacy Charges", ανακοινωθέν τύπου της FTC (6 Ιανουαρίου 2000), διατίθεται στη διεύθυνση http://www.ftc.gov/opa/2000/01/reverse4.htm.

(14) Ο προσδιορισμός μιας πρακτικής ως "αθέμιτης εργατικής πρακτικής" ή ως παραβίασης συλλογικής σύμβασης εργασίας είναι τεχνικού χαρακτήρα και συνήθως αυτό το κρίνουν τα ειδικά δικαστήρια επίλυσης εργατικών διαφορών που εκδικάζουν τις καταγγελίες, όπως οι διαιτητές και το NRLB.

(15) Όπως γνωρίζετε από προγενέστερες συζητήσεις μας ο μόνος Fair Credit Reporting Act εξουσιοδοτεί επίσης την FTC να προστατεύει την εμπιστευτικότητα των προσωπικών δεδομένων οικονομικού χαρακτήρα εντός των ορίων του νόμου και η FTC εξέδωσε πρόσφατα απόφαση σε σχέση με αυτό το ζήτημα [(βλέπε In the Matter of Trans Union, Docket No. 9255 (1η Μαρτίου 2000) (το ανακοινωθέν τύπου και η γνωμοδότηση διατίθενται στην διεύθυνση www.ftc.gov/os/2000/03/index.htm

1)].

(16) Βλέπε Civil Action 99-WM-783 (D.Colo.) (διατίθεται στη διεύθυνση http:/www.ftc.gov/opa/1999/9904/touchtone.htm) (δοκιμαστική συμφωνία όσο εκκρεμεί η απόφαση).

ΠΑΡΑΡΤΗΜΑ VI

John Mogg

Γενικό Διευθυντή, ΓΔ Εσωτερικής Αγοράς

Ευρωπαϊκή Επιτροπή Γραφείο C 107-6/72 Rue de la Loi/Wetstraat 200 Β - 1049 Βρυξέλλες

Κύριε Γενικέ Διευθυντά,

Σας απευθύνω την παρούσα επιστολή μετά από αίτηση του Υπουργείου Εμπορίου των ΗΠΑ για να σας εξηγήσω το ρόλο του Υπουργείου Μεταφορών στην προστασία του ιδιωτικού βίου των καταναλωτών όσον αφορά τις πληροφορίες που παρέχουν στις αεροπορικές εταιρείες.

Το Υπουργείο Μεταφορών ενθαρύνει την αυτορρύθμιση ως τον λιγότερο ενοχλητικό και πιο αποτελεσματικό τρόπο εξασφάλισης της προστασίας των πληροφοριών που παρέχουν οι καταναλωτές στις αεροπορικές εταιρείες και, κατά συνέπεια, υποστηρίζει τη θέσπιση ενός καθεστώτος ασφαλούς λιμένα που θα επιτρέπει στις αεροπορικές εταιρείες να ικανοποιούν τις απαιτήσεις της οδηγίας της Ευρωπαϊκής Ένωσης για την προστασία της ιδιωτικής ζωής όσον αφορά τις μετακινήσεις στο εξωτερικό της ΕΕ. Εντούτοις, το Υπουργείο αναγνωρίζει ότι, για να έχουν αποτέλεσμα οι προσπάθειες αυτορρύθμισης, έχει ουσιαστική σημασία να τηρούνται πραγματικά οι αρχές προστασίας της ιδιωτικής ζωής που ορίζονται από το καθεστώς ασφαλούς λιμένα, από τις αεροπορικές εταιρείες που δεσμεύονται να τις τηρούν. Από την άποψη αυτή, η αυτορρύθμιση θα πρέπει να υποστηρίζεται από την επιβολή του νόμου. Έτσι, χρησιμοποιώντας τη θεσμική εξουσία που έχει όσον αφορά την προστασία των καταναλωτών, το Υπουργείο θα εξασφαλίσει τη συμμόρφωση των αεροπορικών εταιρειών με τις δεσμεύσεις τους προς το κοινό όσον αφορά το σεβασμό του ιδιωτικού βίου, και θα κινεί τη διαδικασία τη σχετική με καταγγελίες για εικαζόμενη μη συμμόρφωση, τις οποίες δέχεται από οργανισμούς αυτορρύθμισης και άλλους φορείς, συμπεριλαμβανομένων των κρατών μελών της Ευρωπαϊκής Ένωσης.

Η εξουσία του Υπουργείου για την ανάληψη δράσης για επιβολή του νόμου στον τομέα αυτό πηγάζει από τον κώδικα 49 U.S.C. 41712 που απαγορεύει στους αερομεταφορείς να επιδίδονται σε "αθέμιτες ή παραπλανητικές πρακτικές ή να χρησιμοποιούν μια αθέμιτη μέθοδο ανταγωνισμού" στην πώληση αερομεταφορών, που έχουν ή ενδέχεται να έχουν ως αποτέλεσμα τη βλάβη των καταναλωτών. Το τμήμα 41712 είναι διαρθρωμένο σύμφωνα με το τμήμα 5 του FTC Act 15 U.S.C. 45. Εντούτοις, η FTC εξαιρεί τους αερομεταφορείς από τη ρύθμιση του τμήματος 5 υπό τον κώδικα 15 U.S.C. 45(a)(2).

Η υπηρεσία μου ασχολείται με τη διερεύνηση και τη δίωξη υποθέσεων υπό τον κώδικα 49 U.S.C. 41712 (βλέπε, για παράδειγμα, τις εντολές του Υπουργείου Μεταφορών 99-11-5, της 9ης Νοεμβρίου 1999· 99-8-23, της 26ης Αυγούστου 1999· 99-6-1, της 1ης Ιουνίου 1999· 98-6-24, της 22ας Ιουνίου 1998· 98-6-21, της 19ης Ιουνίου 1998· 98-5-31, της 22ας Μαΐου 1998, και 97-12-23, της 18ης Δεκεμβρίου 1997). Κινούμε τη διαδικασία για τις υποθέσεις αυτές με βάση τις δικές μας έρευνες καθώς και επίσημες και ανεπίσημες καταγγελίες που δεχόμαστε από άτομα, ταξιδιωτικά πρακτορεία, αεροπορικές εταιρείες και δημόσιες υπηρεσίες των ΗΠΑ και τις αλλοδαπής.

Θα ήθελα να τονίσω ότι ο μη σεβασμός, εκ μέρους ενός αερομεταφορέα,του ιδιωτικού χαρακτήρα των πληροφοριών που λαμβάνει από τους επιβάτες δεν αποτελεί αφ' εαυτού παράβαση του τμήματος 41712. Εντούτοις, όταν ένας αερομεταφορέας έχει δεσμευτεί επισήμως και δημοσίως να τηρεί τις αρχές ασφαλούς λιμένα όσον αφορά την προστασία του ιδιωτικού χαρακτήρα των πληροφοριών που λαμβάνει σχετικά με τους καταναλωτές, τότε το Υπουργείο θα έχει τη δυνατότητα να χρησιμοποιεί τις εξουσίες που έχει δυνάμει του τμήματος 41712 για να εξασφαλίσει τη συμμόρφωση με τις αρχές αυτές. Επομένως, όταν ένας επιβάτης παρέχει πληροφορίες σε έναν αερομεταφορέα που έχει δεσμευτεί να τηρεί τις αρχές του ασφαλούς λιμένα, η μη τήρηση των αρχών ενδέχεται να προκαλέσει βλάβη στον καταναλωτή και να αποτελεί παράβαση του τμήματος 41712. Η υπηρεσία μου θα αντιμετωπίζει ως ζήτημα υψηλής προτεραιότητας τη διερεύνηση οποιασδήποτε τέτοιας εικαζόμενης δραστηριότητας και τη δίωξη οποιασδήποτε υπόθεσης που θα συνδέεται με τέτοιες δραστηριότητες. Επίσης, θα πληροφορούμε το Υπουργείο Εμπορίου σχετικά με το αποτέλεσμα της κάθε σχετικής υπόθεσης.

Οι παραβάσεις του τμήματος 41712 μπορούν να έχουν ως αποτέλεσμα την έκδοση διαταγών παύσης της αντικανονικής δραστηριότητας και την επιβολή αστικών κυρώσεων για παραβάσεις αυτών των διαταγών. Αν και δεν έχουμε την εξουσία να επιδικάζουμε αποζημιώσεις ή να χορηγούμε χρηματική ικανοποίηση στους επιμέρους καταγγελλόντες, έχουμε την εξουσία να εγκρίνουμε διακανονισμούς που προκύπτουν από διερευνήσεις και υποθέσεις που παραπέμπτονται από το Υπουργείο και οι οποίες παρέχουν στοιχεία αξίας σε καταναλωτές είτε προς ελάφρυνση ή ως αντιστάθμισμα για χρηματικές ποινές που θα ήταν πληρωτέες υπό άλλες συνθήκες. Αυτό το έχουμε ήδη κάνει στο παρελθόν και μπορούμε και έχουμε την πρόθεση να το κάνουμε στο πλαίσιο των αρχών του ασφαλούς λιμένα όταν επιβάλλεται από τις περιστάσεις. Επίσης, οι επανειλημμένες παραβάσεις του τμήματος 41712 από οποιαδήποτε αεροπορική εταιρεία των ΗΠΑ θα δημιουργούσαν επίσης ερωτηματικά όσον αφορά την διάθεση της αεροπορικής εταιρείας για συμμόρφωση, πράγμα που θα μπορούσε, σε ακραίες περιπτώσεις, να έχει ως αποτέλεσμα τη διαπίστωση ακαταλληλότητας της εταιρείας για λειτουργία και, επομένως, την εκ μέρους της απώλεια της ικανότητας οικονομικών πράξεων (βλέπε εντολές του Υουργείου Μεταφορών 93-6-34, της 23ης Ιουνίου 1993, και 93-6-11, της 9ης Ιουνίου 1993). Αν και η διαδικασία αυτή δεν αφορούσε το τμήμα 41712, είχε ως αποτέλεσμα την ανάκληση της άδειας λειτουργίας ενός αερομεταφορέα λόγω πλήρους περιφρόνησης των διατάξεων του ομοσπονδιακού νόμου περί αεροπορίας, μιας διμερούς συμφωνίας και των κανόνων και κανονισμών του Υπουργείου.

Ελπίζω ότι οι πληροφορίες αυτές θα είναι χρήσιμες. Εάν έχετε ερωτήσεις ή χρειάζεστε άλλες πληροφορίες, παρακαλώ να επικοινωνήσετε μαζί μου.

Με τιμή,

Samuel Podberesky

Βοηθός Γενικός Σύμβουλος Aviation Enforcement and Proceeding

ΠΑΡΑΡΤΗΜΑ VII

Όσον αφορά το άρθρο 1 παράγραφος 2 στοιχείο β), οι κρατικοί φορείς των Ηνωμένων Πολιτειών που έχουν το δικαίωμα να διερευνούν καταγγελίες και να λαμβάνουν μέτρα κατά των αθέμιτων και δόλιων πρακτικών, καθώς και για την αποζημίωση των θιγομένων ατόμων, ανεξάρτητα από τη χώρα κατοικίας ή την ιθαγένειά τους, σε περίπτωση μη συμμόρφωσης προς τις αρχές ασφαλούς λιμένα που εφαρμόζονται σύμφωνα με τις συχνές ερωτήσεις, είναι:

1. η FTC, και

2. το Υπουργείο Μεταφορών.

Η FTC αναλαμβάνει δράση βάσει της δικαιοδοσίας που της αναγνωρίζεται σύμφωνα με το τμήμα 5 του FTC. Η δικαιοδοσία της FTC βάσει του τμήματος 5 αποκλείεται σε σχέση με τα ακόλουθα: τραπεζικά ιδρύματα, οργανισμούς αποταμιεύσεων και δανείων και πιστωτικούς συνεταιρισμούς, τηλεπικοινωνιακούς οργανισμούς, διαπολιτειακές μεταφορικές εταιρείες, εταιρείες αερομεταφορών, εταιρείες συσκευασίας και εταιρείες αποθήκευσης. Παρά το γεγονός ότι ο ασφαλιστικός τομέας δεν μνημονεύεται ρητά στον κατάλογο των εξαιρέσεων του τμήματος 5, ο νόμος McCarran-Ferguson Act(1) αφήνει γενικά τη ρύθμιση των ασφαλιστικών δραστηριοτήτων στις επιμέρους πολιτείες. Ωστόσο, οι διατάξεις του FTC ισχύουν και για τον ασφαλιστικό τομέα, εφόσον οι σχετικές δραστηριότητες δεν ρυθμίζονται από το δίκαιο της εκάστοτε πολιτείας. Ομοίως, η FTC Act έχει δικαιοδοσία για τις αθέμιτες ή δόλιες πρακτικές των ασφαλιστικών εταιρειών, όταν αυτές δεν αφορούν ασφαλιστικές δραστηριότητες.

Το Υπουργείο Μεταφορών των ΗΠΑ αναλαμβάνει δράση βάσει της δικαιοδοσίας που του αναγνωρίζεται σύμφωνα με τον τίτλο 49 του τμήματος 41712 του κώδικα των Ηνωμένων Πολιτειών. Το Υπουργείο Μεταφορών των ΗΠΑ διερευνά υποθέσεις που στηρίζονται σε δικές του έρευνες, καθώς και μετά από επίσημες και ανεπίσημες καταγγελίες που λαμβάνει από ιδιώτες, ταξιδιωτικούς πράκτορες, αερομεταφορείς και δημόσιους φορείς των ΗΠΑ ή άλλων κρατών.

(1) Άρθρο 15 του κώδικα των ΗΠΑ, § 1011 και επόμενα.

Top