6.6.2009   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 128/1

1.

Στις 28 Μαΐου 2008, η Προεδρία του Συμβουλίου της Ευρωπαϊκής Ένωσης ανήγγειλε στην ΕΜΑ, ενόψει της συνόδου κορυφής της ΕΕ της 12ης Ιουνίου 2008, ότι η Ομάδα επαφής υψηλού επιπέδου ΕΕ-ΗΠΑ (εφεξής «Ομάδα επαφής υψηλού επιπέδου») για την ανταλλαγή πληροφοριών και την προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα είχε οριστικοποιήσει την έκθεσή της. Η έκθεση δημοσιοποιήθηκε στις 26 Ιουνίου 2008 (1).

2.

Η έκθεση τείνει προς τον προσδιορισμό κοινών αρχών για την προστασία της ιδιωτικής ζωής και των δεδομένων ως πρώτο βήμα προς την ανταλλαγή πληροφοριών με τις Ηνωμένες Πολιτείες για την καταπολέμηση της τρομοκρατίας και του σοβαρού διασυνοριακού εγκλήματος.

3.

Στην ανακοίνωσή της, η Προεδρία του Συμβουλίου δηλώνει ότι θα δεχόταν με ευχαρίστηση ιδέες όσον αφορά την παρακολούθηση της έκθεσης και, ειδικότερα, αντιδράσεις επί των συστάσεων για την ακολουθητέα πορεία όπως προσδιορίζεται στην έκθεση. Ο ΕΕΠΔ απαντά στην πρόσκληση αυτή εκδίδοντας την παρούσα γνώμη, με βάση την κοινοποιηθείσα κατάσταση των πραγμάτων και με την επιφύλαξη ενδεχόμενης περαιτέρω θέσης που μπορεί να λάβει ανάλογα με την εξέλιξη του θέματος.

4.

Ο ΕΕΠΔ σημειώνει ότι οι εργασίες της Ομάδας επαφής υψηλού επιπέδου πραγματοποιήθηκαν σε ένα πλαίσιο που, ιδίως μετά την 11η Σεπτεμβρίου 2001, έχει παρακολουθήσει την ανάπτυξη της ανταλλαγής δεδομένων μεταξύ των ΗΠΑ και της ΕΕ μέσω διεθνών συμφωνιών ή άλλων μέσων. Μεταξύ αυτών συγκαταλέγονται οι συμφωνίες της Ευρωπόλ και της Eurojust με τις Ηνωμένες Πολιτείες, καθώς επίσης οι συμφωνίες για τα δεδομένα PNR και η υπόθεση SWIFT που οδήγησαν σε ανταλλαγή επιστολών μεταξύ αξιωματούχων της ΕΕ και των ΗΠΑ προκειμένου να καθιερωθούν ελάχιστες εγγυήσεις προστασίας των δεδομένων (2).

5.

Επιπλέον, η ΕΕ διαπραγματεύεται και καταλήγει σε συμφωνία για παρόμοιες πράξεις που προβλέπουν την ανταλλαγή προσωπικών δεδομένων με άλλες τρίτες χώρες. Ένα πρόσφατο παράδειγμα είναι η συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης και της Αυστραλίας για την επεξεργασία και τη διαβίβαση από τους αερομεταφορείς, δεδομένων από τις καταστάσεις επιβατών προέλευσης Ευρωπαϊκής Ένωσης (PNR) στην τελωνειακή υπηρεσία της Αυστραλίας (3).

6.

Από τα ανωτέρω προκύπτει ότι η αίτηση προσωπικών δεδομένων από τις αρχές επιβολής του νόμου τρίτων χωρών διευρύνεται διαρκώς και, επίσης, ότι επεκτείνεται από τις παραδοσιακές κρατικές βάσεις δεδομένων και σε άλλους τύπους αρχείων, ιδίως αρχεία δεδομένων που συλλέγονται από τον ιδιωτικό τομέα.

7.

Ο ΕΕΠΔ θεωρεί επίσης σημαντικό να υπενθυμίσει ότι το θέμα της διαβίβασης προσωπικών δεδομένων σε τρίτες χώρες στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις αποτελεί αντικείμενο της απόφασης-πλαισίου του Συμβουλίου σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις (4) η οποία είναι πολύ πιθανόν να εκδοθεί πριν από το τέλος του 2008.

8.

Η υπερατλαντική αυτή ανταλλαγή πληροφοριών αναμένεται σίγουρα να παρουσιάσει αύξηση και να αγγίξει και άλλους τομείς στους οποίους υποβάλλονται σε επεξεργασία προσωπικά δεδομένα. Ο διάλογος για την «διατλαντική επιβολή του νόμου» είναι, εν προκειμένω, ευπρόσδεκτος αλλά ταυτόχρονα και με πολύ ευαίσθητο χαρακτήρα. Ευπρόσδεκτος με την έννοια ότι είναι δυνατόν να προσφέρει ένα σαφέστερο πλαίσιο για τις ανταλλαγές δεδομένων οι οποίες πραγματοποιούνται τώρα ή θα πραγματοποιούνται στο μέλλον. Και με ευαίσθητο χαρακτήρα επειδή το συγκεκριμένο πλαίσιο είναι δυνατόν να νομιμοποιήσει μαζικές διαβιβάσεις δεδομένων σε έναν τομέα - την επιβολή του νόμου - όπου οι επιπτώσεις επί των ατόμων είναι ιδιαίτερα σοβαρές και όπου απαιτούνται επιπλέον ακριβείς και αξιόπιστες διασφαλίσεις και εγγυήσεις (5).

9.

Η παρούσα γνωμοδότηση θα εξετάσει στο επόμενο κεφάλαιο την τρέχουσα κατάσταση και την πιθανή ακολουθητέα πορεία. Κέντρο βάρους του Κεφαλαίου ΙΙΙ θα είναι το πεδίο εφαρμογής και η φύση μιας νομικής πράξης η οποία θα καθιστούσε δυνατή την ανταλλαγή πληροφοριών. Στο Κεφάλαιο IV της παρούσας γνωμοδότησης αναλύονται υπό μια γενική οπτική νομικά θέματα που συνδέονται με το περιεχόμενο πιθανής συμφωνίας. Αναφέρονται θέματα όπως οι όροι της αξιολόγησης του επιπέδου προστασίας που παρέχεται στις Ηνωμένες Πολιτείες, και συζητείται το ζήτημα της αξιοποίησης του κανονιστικού πλαισίου της ΕΕ ως σημείο αναφοράς για την αξιολόγηση του εν λόγω επιπέδου προστασίας. Στο συγκεκριμένο κεφάλαιο απαριθμούνται επίσης οι βασικές προϋποθέσεις που πρέπει να περιληφθούν στη συμφωνία. Τέλος, στο Κεφάλαιο V της παρούσας γνωμοδότησης παρέχεται ανάλυση των αρχών περί ιδιωτικής ζωής που σχετίζονται με την έκθεση.

10.

Ο ΕΕΠΔ αξιολογεί ως ακολούθως την υφιστάμενη κατάσταση. Μια κάποια πρόοδος έχει σημειωθεί για τον καθορισμό κοινών προτύπων στην ανταλλαγή πληροφοριών και την προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα.

11.

Ωστόσο, οι προπαρασκευαστικές εργασίες για οποιαδήποτε μορφή συμφωνίας μεταξύ της ΕΕ και των ΗΠΑ δεν έχουν ακόμα ολοκληρωθεί. Απαιτούνται επιπλέον εργασίες. Η έκθεση της ίδιας της Ομάδας επαφής υψηλού επιπέδου αναφέρει διάφορα εκκρεμή θέματα μεταξύ των οποίων σημαντικότερο είναι το θέμα της «έννομης προστασίας». Διαφωνίες παραμένουν σχετικά με το απαραίτητο πεδίο εφαρμογής της έννομης προστασίας (6). Πέντε ακόμα εκκρεμή θέματα προσδιορίζονται στο κεφάλαιο 3 της έκθεσης. Από την παρούσα γνωμοδότηση προκύπτει επίσης ότι πολλά άλλα ζητήματα δεν έχουν ακόμα επιλυθεί, παραδείγματος χάριν όσον αφορά το πεδίο εφαρμογής και τη φύση μιας νομικής πράξης για τη ανταλλαγή πληροφοριών.

12.

Δεδομένου ότι η επιλογή που προτιμά η έκθεση είναι η δεσμευτική συμφωνία — ο ΕΕΠΔ συμμερίζεται αυτή την προτίμηση — απαιτείται και μεγαλύτερη σύνεση. Περαιτέρω προσεκτικές και εις βάθος προετοιμασίες απαιτούνται προκειμένου να μπορέσει να επιτευχθεί συμφωνία.

13.

Τέλος, σύμφωνα με τον ΕΕΠΔ, η σύναψη συμφωνίας είναι καλύτερα να πραγματοποιηθεί στο πλαίσιο της Συνθήκης της Λισσαβώνας, αναλόγως φυσικά με την έναρξη ισχύος της. Πραγματικά, στο πλαίσιο της Συνθήκης της Λισσαβώνας δεν θα υπήρχε καμία ασάφεια δικαίου όσον αφορά τη διαχωριστική γραμμή μεταξύ των πυλώνων της ΕΕ. Επιπλέον, θα διασφαλιζόταν η πλήρης συμμετοχή του Ευρωπαϊκού Κοινοβουλίου καθώς και ο δικαστικός έλεγχος από το Δικαστήριο των Ευρωπαϊκών Κοινοτήτων.

14.

Υπό αυτές τις συνθήκες, η καλύτερη ακολουθητέα πορεία είναι η εκπόνηση οδικού χάρτη προς την κατεύθυνση ενδεχόμενης συμφωνίας σε μεταγενέστερο στάδιο. Ο χάρτης αυτός μπορεί να περιλαμβάνει τα ακόλουθα στοιχεία:

15.

Σύμφωνα με την άποψη του ΕΕΠΔ, έχει ζωτική σημασία να καθοριστούν σαφώς το πεδίο εφαρμογής και ο χαρακτήρας της ενδεχόμενης νομικής πράξης που συμπεριλαμβάνει τις αρχές προστασίας των δεδομένων, ως πρώτο βήμα της περαιτέρω ανάπτυξης της εν λόγω πράξης.

16.

Όσον αφορά το πεδίο εφαρμογής, σημαντικά ερωτήματα που χρήζουν απάντησης είναι:

17.

Ο ορισμός της φύσης πρέπει να διευκρινίζει τα ακόλουθα:

18.

Αν και δεν υπάρχει καμία σαφής ένδειξη στην έκθεση της Ομάδας επαφής υψηλού επιπέδου σχετικά με το ακριβές πεδίο εφαρμογής της μελλοντικής πράξης, μπορεί να συναχθεί από τις αρχές που αναφέρει ότι σκοπό έχει να καλύψει τόσο τις διαβιβάσεις μεταξύ ιδιωτικών και δημόσιων φορέων (7) όσο και μεταξύ δημόσιων αρχών.

19.

Ο ΕΕΠΔ αντιλαμβάνεται τη λογική της δυνατότητας εφαρμογής μιας μελλοντικής νομικής πράξης στις διαβιβάσεις μεταξύ ιδιωτικών και δημόσιων φορέων. Η ανάπτυξη αυτής της νομικής πράξης πραγματοποιείται στο πλαίσιο των αιτημάτων από πλευράς ΗΠΑ για πληροφορίες από ιδιώτες κατά τα τελευταία χρόνια. Ο ΕΕΠΔ σημειώνει πράγματι ότι οι ιδιωτικοί φορείς γίνονται συστηματική πηγή πληροφοριών από την άποψη της επιβολής του νόμου, είτε στο επίπεδο της ΕΕ είτε σε διεθνές επίπεδο (8). Η υπόθεση SWIFT αποτέλεσε σημαντικό προηγούμενο όπου ιδιωτική επιχείρηση κλήθηκε να διαβιβάζει δεδομένα συστηματικά και μαζικά στις αρχές επιβολής του νόμου τρίτου κράτους (9). Η συλλογή των δεδομένων PNR από τις αεροπορικές εταιρείες ακολουθεί την ίδια λογική. Στη γνωμοδότησή του σχετικά με σχέδιο απόφασης-πλαισίου για ευρωπαϊκό σύστημα PNR, ο ΕΕΠΔ έχει ήδη διερωτηθεί για τη νομιμότητα αυτής της τάσης (10).

20.

Υπάρχουν δύο επιπλέον λόγοι που γεννούν δισταγμούς για την εισαγωγή των διαβιβάσεων μεταξύ ιδιωτικών και δημόσιων φορέων στο πεδίο εφαρμογής μελλοντικής νομικής πράξης.

21.

Κατά πρώτον, η εισαγωγή τους θα μπορούσε να έχει ανεπιθύμητα αποτελέσματα στο έδαφος της ίδιας της ΕΕ. Ο ΕΕΠΔ εκφράζει σοβαρές ανησυχίες ότι εάν δεδομένα ιδιωτικών επιχειρήσεων (όπως χρηματοπιστωτικών οργανισμών) μπορούν κατ’ αρχήν να διαβιβαστούν σε τρίτες χώρες, αυτό θα μπορούσε να προκαλέσει ισχυρές πιέσεις προκειμένου να καταστεί ο ίδιος τύπος δεδομένων εξίσου διαθέσιμος στις αρχές επιβολής του νόμου εντός της ΕΕ. Το σύστημα PNR αποτελεί παράδειγμα μιας τέτοιας ανεπιθύμητης εξέλιξης, που άρχισε με τη μαζική συλλογή δεδομένων επιβατών από τις ΗΠΑ και ύστερα μεταφέρθηκε επίσης στο εσωτερικό πλαίσιο της ΕΕ (11), χωρίς να έχει καταδειχθεί σαφώς η ανάγκη και η αναλογικότητα του συστήματος.

22.

Κατά δεύτερον, στη γνωμοδότησή του για την πρόταση της Επιτροπής σχετικά με τα δεδομένα PNR της ΕΕ, ο ΕΕΠΔ έθεσε επίσης το θέμα του πλαισίου προστασίας των δεδομένων (πρώτος ή τρίτος πυλώνας) που πρέπει να εφαρμόζεται στους όρους της συνεργασίας μεταξύ των δημόσιων και των ιδιωτικών φορέων: πρέπει οι εφαρμοστέοι κανόνες να εξαρτώνται από την ιδιότητα του υπευθύνου επεξεργασίας δεδομένων (ιδιωτικού φορέα) ή από τον επιδιωκόμενο σκοπό (επιβολή του νόμου); Η διαχωριστική γραμμή μεταξύ του πρώτου και του τρίτου πυλώνα δεν είναι καθόλου σαφής σε περιπτώσεις όπου ανατίθεται σε ιδιωτικούς φορείς η υποχρέωση επεξεργασίας προσωπικών δεδομένων για τους σκοπούς της επιβολής του νόμου. Στο πλαίσιο αυτό, είναι σημαντικό ότι ο γενικός εισαγγελέας Bot, στην πρόσφατη γνωμοδότησή του για την υπόθεση σχετικά με τη διατήρηση των δεδομένων (12), προτείνει μια διαχωριστική γραμμή για τις συγκεκριμένες περιπτώσεις αλλά προσθέτει σε αυτή την πρόταση: «Η διαχωριστική αυτή γραμμή δεν απαλλάσσεται βεβαίως της κριτικής και ενδέχεται να φανεί τεχνητή από ορισμένες απόψεις.» Ο ΕΕΠΔ σημειώνει επίσης ότι η Απόφαση του Δικαστηρίου για τα δεδομένα PNR (13) δεν προσφέρει πλήρη απάντηση στο ζήτημα του εφαρμοστέου νομικού πλαισίου. Για παράδειγμα, το γεγονός ότι ορισμένες δραστηριότητες δεν καλύπτονται από την οδηγία 95/46/ΕΚ δεν συνεπάγεται αυτόματα ότι οι εν λόγω δραστηριότητες μπορούν να ρυθμιστούν στο πλαίσιο του τρίτου πυλώνα. Το αποτέλεσμα είναι να αφήνει ενδεχομένως νομικό κενό ως προς τον εφαρμοστέο νόμο και, εν πάση περιπτώσει, γεννά ασάφεια δικαίου όσον αφορά τις νομικές εγγυήσεις που είναι διαθέσιμες για τα υποκείμενα των δεδομένων.

23.

Από αυτή την άποψη, ο ΕΕΠΔ τονίζει ότι πρέπει να εξασφαλιστεί ότι μια μελλοντική νομική πράξη με γενικές αρχές προστασίας των δεδομένων δεν μπορεί να νομιμοποιεί αφ’ εαυτού την υπερατλαντική διαβίβαση προσωπικών δεδομένων μεταξύ ιδιωτικών και δημόσιων φορέων. Η διαβίβαση αυτή μπορεί να περιληφθεί σε μελλοντικό μέσο, μόνον υπό τον όρο ότι:

Επιπλέον, ο ΕΕΠΔ σημειώνει την ασάφεια όσον αφορά το εφαρμοστέο πλαίσιο προστασίας των δεδομένων και καλεί ως εκ τούτου να μην περιληφθεί, σε κάθε περίπτωση, η διαβίβαση προσωπικών δεδομένων μεταξύ ιδιωτικών και δημόσιων φορέων στην παρούσα μορφή του κοινοτικού δικαίου.

24.

Το ακριβές πεδίο εφαρμογής της ανταλλαγής πληροφοριών είναι ασαφές. Ως πρώτο βήμα περαιτέρω εργασιών προς τη δημιουργία μιας κοινής νομικής πράξης, πρέπει να διευκρινιστεί το προβλεπόμενο πεδίο εφαρμογής της νομικής πράξης. Ερωτήματα παραμένουν ιδίως σε περίπτωση που:

25.

Ο ορισμός του σκοπού δυνητικής συμφωνίας αφήνει επίσης περιθώρια για ασάφεια. Οι σκοποί επιβολής του νόμου καθορίζονται σαφώς στην εισαγωγή καθώς και στην πρώτη αρχή που προσαρτάται στην έκθεση, και αναλύονται περαιτέρω στο Κεφάλαιο IV της παρούσας γνωμοδότησης. Όπως ήδη σημειώνει ο ΕΕΠΔ, από αυτές τις δηλώσεις φαίνεται ότι η ανταλλαγή δεδομένων θα επικεντρώνεται σε θέματα τρίτου πυλώνα, μπορεί ωστόσο κανείς να αναρωτηθεί μήπως πρόκειται μόνο για ένα πρώτο βήμα προς ευρύτερη ανταλλαγή πληροφοριών. Φαίνεται σαφές ότι οι σκοποί «δημόσιας ασφαλείας» που καθορίζονται στην έκθεση περιλαμβάνουν την καταπολέμηση της τρομοκρατίας, του οργανωμένου εγκλήματος και άλλων εγκλημάτων. Μήπως, όμως, σημαίνει ότι θα επιτρέψει την ανταλλαγή δεδομένων και για άλλα θέματα δημόσιου συμφέροντος όπως, ενδεχομένως, τους κινδύνους για τη δημόσια υγεία;

26.

Ο ΕΕΠΔ συστήνει να περιοριστεί ο σκοπός σε επακριβώς προκαθορισμένη επεξεργασία των δεδομένων και να αιτιολογηθούν οι πολιτικές επιλογές που οδήγησαν στον συγκεκριμένο ορισμό του σκοπού.

27.

Το ευρύ πεδίο εφαρμογής αυτής της έκθεσης πρέπει να θεωρηθεί υπό την οπτική του παγκόσμιου διατλαντικού χώρου ασφαλείας που συζητείται στο πλαίσιο της αποκαλούμενης ομάδας «Μέλλον» (14) Η έκθεση της ομάδας αυτής, που δημοσιεύθηκε τον Ιούνιο του 2008, εστιάζει μέρος της προσοχή της στην εξωτερική διάσταση της πολιτικής εσωτερικών υποθέσεων. Υποστηρίζει ότι «μέχρι το 2014 η Ευρωπαϊκή Ένωση θα πρέπει να έχει αποφασίσει για την πολιτική σκοπιμότητα της υλοποίησης ευρωατλαντικού χώρου συνεργασίας με τις Ηνωμένες Πολιτείες στον τομέα της ελευθερίας, της ασφάλειας και της δικαιοσύνης». Η συνεργασία αυτή θα προχωρεί πέραν της ασφάλειας υπό τη στενή έννοια και θα περιλαμβάνει τουλάχιστον τα θέματα που εξετάζονται στον παρόντα τίτλο IV της Συνθήκης ΕΚ όπως η μετανάστευση, οι θεωρήσεις και το άσυλο και η συνεργασία στο αστικό δίκαιο. Πρέπει να εξεταστεί κατά πόσον μια συμφωνία σχετικά με βασικές αρχές προστασίας των δεδομένων, όπως οι αναφερόμενες στην έκθεση της Ομάδας επαφής υψηλού επιπέδου, μπορεί και πρέπει να αποτελέσει τη βάση για την ανταλλαγή πληροφοριών σε έναν τόσο ευρύ τομέα.

28.

Κανονικά, μέχρι το 2014 η δομή των πυλώνων δεν θα υπάρχει πλέον και θα υπάρχει μία νομική βάση για την προστασία των δεδομένων εντός της ίδιας της ΕΕ (σύμφωνα με τη Συνθήκη της Λισσαβώνας, άρθρο 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης). Εντούτοις, το γεγονός ότι υπάρχει εναρμόνιση σε επίπεδο ΕΕ όσον αφορά την κανονιστική ρύθμιση της προστασίας των δεδομένων δεν σημαίνει ότι οποιαδήποτε συμφωνία με τρίτη χώρα θα μπορούσε να επιτρέψει τη διαβίβαση οποιωνδήποτε προσωπικών δεδομένων, για οποιονδήποτε σκοπό. Ανάλογα με το πλαίσιο και τους όρους της επεξεργασίας, πρέπει να απαιτούνται κατάλληλα προσαρμοσμένες εγγυήσεις προστασίας των δεδομένων για συγκεκριμένους τομείς όπως η επιβολή του νόμου. Ο ΕΕΠΔ συστήνει να ληφθούν υπόψη οι συνέπειες αυτών των διαφορετικών οπτικών κατά την προετοιμασία μελλοντικής συμφωνίας.

29.

Βραχυπρόθεσμα, σε κάθε περίπτωση, έχει ουσιαστική σημασία να καθοριστεί στο πλαίσιο ποιου πυλώνα θα συζητηθεί η ρύθμιση. Είναι αναγκαίο ιδίως λόγω του εσωτερικού κανονιστικού πλαισίου για την προστασία των δεδομένων που θα επηρεαστεί από αυτή τη συμφωνία. Θα είναι το πλαίσιο του πρώτου πυλώνα - βασικά η οδηγία 95/46/ΕΚ με το ειδικό καθεστώς για τη διαβίβαση δεδομένων σε τρίτες χώρες - ή θα είναι το πλαίσιο του τρίτου πυλώνα με λιγότερο αυστηρό καθεστώς για τις διαβιβάσεις σε τρίτες χώρες; (15)

30.

Ενώ οι σκοποί επιβολής του νόμου υπερτερούν, όπως προαναφέρθηκε, η έκθεση της Ομάδας επαφής υψηλού επιπέδου αναφέρει, εντούτοις, τη συλλογή δεδομένων από ιδιωτικούς φορείς, και οι σκοποί μπορούν επίσης να τύχουν ευρείας ερμηνείας που δεν θα περιορίζεται στην ασφάλεια και μόνο, περιλαμβάνοντας π.χ. θέματα μετανάστευσης και ελέγχου του συνόρων, αλλά ενδεχομένως και δημόσιας υγείας. Έχοντας υπόψη αυτές τις ασάφειες, θεωρείται κατά πολύ προτιμότερο να αναμένεται η εναρμόνιση των πυλώνων βάσει του κοινοτικού δικαίου, όπως προβλέπεται στη Συνθήκη της Λισσαβώνας, προκειμένου να καθοριστεί σαφώς η νομική βάση των διαπραγματεύσεων και ο ακριβής ρόλος των ευρωπαϊκών θεσμικών οργάνων, κυρίως του Ευρωπαϊκού Κοινοβουλίου και της Επιτροπής.

31.

Πρέπει να καταστεί σαφές εάν τα συμπεράσματα των συζητήσεων θα καταλήξουν σε μνημόνιο συμφωνίας ή άλλο μη δεσμευτικό μέσο, ή σε δεσμευτική διεθνή συμφωνία.

32.

Ο ΕΕΠΔ υποστηρίζει την προτίμηση της έκθεσης για δεσμευτική συμφωνία. Η επίσημη δεσμευτική συμφωνία είναι, κατά την άποψη του ΕΕΠΔ, άκρως απαραίτητη προϋπόθεση για οποιαδήποτε διαβίβαση δεδομένων εκτός ΕΕ, ανεξάρτητα από τον σκοπό για τον οποίο διαβιβάζονται τα δεδομένα. Καμία διαβίβαση δεδομένων σε τρίτη χώρα δεν μπορεί να πραγματοποιηθεί χωρίς να περιλαμβάνονται οι κατάλληλοι όροι και οι κατάλληλες διασφαλίσεις σε ειδικό (και δεσμευτικό) νομικό πλαίσιο. Με άλλα λόγια, ένα μνημόνιο συμφωνίας ή άλλη μη δεσμευτική νομική πράξη μπορεί να είναι χρήσιμο για να παρέχει κατευθύνσεις σε σχέση με τις διαπραγματεύσεις για περαιτέρω δεσμευτικές συμφωνίες, αλλά δεν μπορεί ποτέ να αντικαταστήσει την ανάγκη δεσμευτικής συμφωνίας.

33.

Οι διατάξεις της νομικής πράξης πρέπει να είναι εξίσου δεσμευτικές τόσο για τις ΗΠΑ, όσο και για την ΕΕ και τα κράτη μέλη της.

34.

Πρέπει επιπλέον να εξασφαλιστεί ότι ο καθένας έχει το δικαίωμα να ασκεί τα δικαιώματά του και, ειδικότερα, να απολαύει έννομης προστασίας, βάσει των αρχών που έχουν συμφωνηθεί. Σύμφωνα με τον ΕΕΠΔ, αυτό είναι δυνατόν να επιτευχθεί καλύτερα εάν οι ουσιαστικές διατάξεις της νομικής πράξης διατυπωθούν κατά τρόπον ώστε να έχουν άμεσα αποτελέσματα για τους κατοίκους της Ευρωπαϊκής Ένωσης και να μπορεί να γίνει επίκλησή τους ενώπιον δικαστηρίου. Η άμεση ισχύς των διατάξεων της διεθνούς συμφωνίας, καθώς και οι όροι της μεταφοράς της στο εσωτερικό ευρωπαϊκό και εθνικό δίκαιο προκειμένου να εξασφαλιστεί η αποτελεσματικότητα των μέτρων, πρέπει συνεπώς να δηλώνονται σαφώς στο ίδιο το μέσο.

35.

Ένα επίσης θεμελιώδες ζήτημα είναι σε ποιο βαθμό είναι αυτοτελής η συμφωνία ή εάν πρέπει να συμπληρώνεται κατά περίπτωση με περαιτέρω συμφωνίες για συγκεκριμένες ανταλλαγές δεδομένων. Είναι πράγματι αμφίβολο αν μία και μόνη συμφωνία μπορεί να καλύψει επαρκώς, με μία και μόνη δέσμη μέτρων, τις πολλαπλές ιδιαιτερότητες της επεξεργασίας δεδομένων στον τρίτο πυλώνα. Ακόμα πιο αμφίβολο είναι να μπορεί να δίνει τη δυνατότητα, χωρίς επιπλέον συζητήσεις και διασφαλίσεις, συνολικής έγκρισης κάθε διαβίβασης προσωπικών δεδομένων όποιος κι αν είναι ο σκοπός αλλά και η φύση των δεδομένων αυτών. Πέραν τούτου, οι συμφωνίες με τρίτες χώρες δεν είναι απαραίτητα μόνιμες, καθώς μπορούν να αποτελέσουν αντικείμενο συγκεκριμένων απειλών, να αναθεωρηθούν ή και να υπόκεινται σε ρήτρες λήξης ισχύος. Από την άλλη πλευρά, οι κοινές ελάχιστες προδιαγραφές όπως αναγνωρίζονται σε δεσμευτική πράξη είναι δυνατόν να διευκολύνουν τις περαιτέρω συζητήσεις σχετικά με τη διαβίβαση των προσωπικών δεδομένων σε σχέση με συγκεκριμένη βάση δεδομένων ή τις λειτουργίες επεξεργασίας.

36.

Ο ΕΕΠΔ τείνει, επομένως, υπέρ της ανάπτυξης μιας ελάχιστης δέσμης κριτηρίων προστασίας των δεδομένων που θα συμπληρώνονται κατά περίπτωση με πρόσθετες ειδικές διατάξεις, όπως αναφέρεται στην έκθεση της Ομάδας επαφής υψηλού επιπέδου, και όχι υπέρ της επιλογής της μίας και μόνης συμφωνίας. Οι εν λόγω πρόσθετες ειδικές διατάξεις είναι προϋπόθεση για να επιτραπεί η διαβίβαση των δεδομένων σε συγκεκριμένη περίπτωση. Αυτό θα ενθαρρύνει και την εναρμονισμένη προσέγγιση της προστασίας των δεδομένων.

37.

Πρέπει επίσης να εξεταστεί πώς ενδεχόμενη γενική συμφωνία θα συνδυαζόταν με τις ήδη ισχύουσες συμφωνίες που έχουν συναφθεί μεταξύ ΕΕ και ΗΠΑ. Σημειωτέον ότι οι εν λόγω ισχύουσες συμφωνίες δεν έχουν τον ίδιο δεσμευτικό χαρακτήρα: αναφέρονται ειδικότερα η συμφωνία PNR (αυτή που παρουσιάζει την μεγαλύτερη ασφάλεια δικαίου), οι συμφωνίες Ευρωπόλ και Eurojust ή η ανταλλαγή επιστολών για τη SWIFT (16). Ένα νέο γενικό πλαίσιο θα συμπληρώνει αυτές τις ισχύουσες πράξεις ή θα παραμείνουν άθικτες και το νέο πλαίσιο θα ισχύει μόνο στις άλλες μελλοντικές ανταλλαγές προσωπικών δεδομένων; Κατά την άποψη του ΕΕΠΔ, η νομική συνέπεια απαιτεί μια εναρμονισμένη δέσμη κανόνων που εφαρμόζεται για τις ισχύουσες και τις μελλοντικές δεσμευτικές συμφωνίες για τις διαβιβάσεις δεδομένων και τις συμπληρώνει.

38.

Η εφαρμογή της γενικής συμφωνίας στις ισχύουσες πράξεις θα έχει ως πλεονέκτημα την ενίσχυση του δεσμευτικού χαρακτήρα τους. Αυτό θα είναι ιδιαιτέρως ευπρόσδεκτο όσον αφορά τις πράξεις που δεν είναι νομικά δεσμευτικές, όπως η ανταλλαγή επιστολών για τη SWIFT, καθώς θα επιβάλει τουλάχιστον τη συμμόρφωση προς μια δέσμη γενικών αρχών στο πεδίο της ιδιωτικής ζωής.

39.

Το παρόν κεφάλαιο θα εξετάσει πώς αξιολογείται το επίπεδο προστασίας ενός συγκεκριμένου πλαισίου ή πράξης, συμπεριλαμβανομένου του ζητήματος των σημείων αναφοράς που πρέπει να χρησιμοποιούνται και των αναγκαίων βασικών προϋποθέσεων.

40.

Σύμφωνα με τον ΕΕΠΔ, πρέπει να είναι σαφές ότι ένα από τα κύρια αποτελέσματα μιας μελλοντικής πράξης θα είναι ότι η διαβίβαση προσωπικών δεδομένων στις Ηνωμένες Πολιτείες μπορεί να πραγματοποιείται μόνο εφόσον οι αρχές των Ηνωμένων Πολιτειών εγγυώνται το κατάλληλο επίπεδο προστασίας (και τανάπαλιν).

41.

Ο ΕΕΠΔ θεωρεί ότι μόνο μια εξέταση πραγματικής καταλληλότητας θα εξασφαλίσει ικανοποιητικές εγγυήσεις όσον αφορά το επίπεδο προστασίας των προσωπικών δεδομένων. Θεωρεί δε ότι μια γενική συμφωνία-πλαίσιο με πεδίο εφαρμογής τόσο ευρύ όσο της συμφωνίας στην έκθεση της Ομάδας επαφής υψηλού επιπέδου δύσκολα θα περάσει, ως έχει, μια εξέταση πραγματικής καταλληλότητας. Η καταλληλότητα της γενικής συμφωνίας μπορεί να αναγνωριστεί μόνο εάν συνδυάζεται με καταλληλότητα ειδικών συμφωνιών που συνάπτονται κατά περίπτωση.

42.

Η εκτίμηση του επιπέδου προστασίας που παρέχουν τρίτες χώρες δεν είναι ασύνηθες έργο, ιδίως για την Ευρωπαϊκή Επιτροπή: η καταλληλότητα αποτελεί απαίτηση για τη διαβίβαση στο πλαίσιο του πρώτου πυλώνα. Έχει μετρηθεί σε διάφορες περιπτώσεις σύμφωνα με το άρθρο 25 της οδηγίας 95/46 βάσει ειδικών κριτηρίων και έχει επιβεβαιωθεί με αποφάσεις της Ευρωπαϊκής Επιτροπής (17). Στο πλαίσιο του τρίτου πυλώνα δεν προβλέπεται ρητά τέτοιο σύστημα: η μέτρηση της καταλληλότητας της προστασίας προβλέπεται μόνο στην ειδική περίπτωση των άρθρων 11 και 13 της απόφασης-πλαισίου (18) σχετικά με την προστασία των δεδομένων — που δεν έχει ακόμα εκδοθεί — και επαφίεται στα κράτη μέλη.

43.

Στην παρούσα περίπτωση, το πεδίο εφαρμογής του έργου άπτεται των σκοπών της επιβολής του νόμου και οι συζητήσεις διεξάγονται από την Επιτροπή υπό την εποπτεία του Συμβουλίου. Το πλαίσιο είναι διαφορετικό από την αξιολόγηση των αρχών της περιοχής ασφαλείας ή την καταλληλότητα του καναδικού δικαίου και συνδέεται περισσότερο με τις πρόσφατες διαπραγματεύσεις για τα δεδομένα PNR με τις ΗΠΑ και την Αυστραλία οι οποίες πραγματοποιήθηκαν στο νομικό πλαίσιο του τρίτου πυλώνα. Ωστόσο, οι αρχές της Ομάδας επαφής υψηλού επιπέδου αναφέρθηκαν επίσης στα συμφραζόμενα του προγράμματος απαλλαγής από την υποχρέωση θεώρησης, που αφορά τα σύνορα και τη μετανάστευση και ως εκ τούτου θέματα πρώτου πυλώνα.

44.

Ο ΕΕΠΔ συστήνει κάθε διαπίστωση καταλληλότητας στο πλαίσιο μελλοντικής πράξης να βασίζεται στην εμπειρία που έχει αντληθεί από αυτούς τους διαφορετικούς τομείς. Συστήνει την περαιτέρω επεξεργασία της έννοιας της «καταλληλότητας» στα πλαίσια μελλοντικής πράξης, βάσει παρόμοιων κριτηρίων, όπως έχουν χρησιμοποιηθεί σε προηγούμενους χαρακτηρισμούς καταλληλότητας.

45.

Ένα δεύτερο στοιχείο του επιπέδου προστασίας σχετίζεται με την αμοιβαία αναγνώριση των συστημάτων της ΕΕ και των ΗΠΑ. Στην έκθεση της Ομάδας επαφής υψηλού επιπέδου αναφέρεται εν προκειμένω ότι ο στόχος θα είναι να «επιτευχθεί η αναγνώριση της αποτελεσματικότητας των εκατέρωθεν συστημάτων προστασίας της ιδιωτικής ζωής και των δεδομένων για τους τομείς που καλύπτουν αυτές οι αρχές» (19), καθώς επίσης «ισοδύναμη και αμοιβαία εφαρμογή της νομοθεσίας για την προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα».

46.

Είναι προφανές για τον ΕΕΠΔ ότι η αμοιβαία αναγνώριση (ή αμοιβαιότητα) είναι δυνατή μόνο εάν είναι εγγυημένο ικανό επίπεδο προστασίας. Με άλλα λόγια, η μελλοντική πράξη πρέπει να εναρμονίζει ένα ελάχιστο επίπεδο προστασίας (μέσω διαπίστωσης καταλληλότητας που λαμβάνει υπόψη την ανάγκη ειδικών συμφωνιών κατά περίπτωση). Μόνο με αυτή την προϋπόθεση μπορεί να αναγνωριστεί η αμοιβαιότητα.

47.

Το πρώτο στοιχείο που πρέπει να λαμβάνεται υπόψη είναι η αμοιβαιότητα των ουσιαστικών διατάξεων για την προστασία των δεδομένων. Κατά την άποψη του ΕΕΠΔ, μια συμφωνία πρέπει να καλύπτει την έννοια της αμοιβαιότητας των ουσιαστικών διατάξεων για την προστασία των δεδομένων με τρόπο που να εξασφαλίζει αφενός ότι η επεξεργασία δεδομένων στην επικράτεια της ΕΕ (και των ΗΠΑ) τηρεί πλήρως την εγχώρια νομοθεσία σχετικά με την προστασία των δεδομένων, και αφετέρου ότι η επεξεργασία εκτός της χώρας προέλευσης των δεδομένων και η οποία εμπίπτει στο πεδίο εφαρμογής της συμφωνίας τηρεί τις αρχές της προστασίας των δεδομένων ως έχουν στη συμφωνία.

48.

Το δεύτερο στοιχείο είναι η αμοιβαιότητα των μηχανισμών έννομης προστασίας. Πρέπει να εξασφαλιστεί ότι οι ευρωπαίοι πολίτες έχουν επαρκή μέσα έννομης προστασίας όταν δεδομένα σχετικά με τους ίδιους υποβάλλονται σε επεξεργασία στις Ηνωμένες Πολιτείες (ανεξάρτητα από το δίκαιο που ισχύει για την εν λόγω επεξεργασία), αλλά και ομοίως ότι η Ευρωπαϊκή Ένωση και τα κράτη μέλη της παρέχουν ισοδύναμα δικαιώματα στους πολίτες των ΗΠΑ.

49.

Το τρίτο στοιχείο είναι η αμοιβαιότητα της πρόσβασης των αρχών επιβολής του νόμου στα δεδομένα προσωπικού χαρακτήρα. Εάν μία πράξη επιτρέπει στις αρχές των Ηνωμένων Πολιτειών πρόσβαση σε δεδομένα προερχόμενα από την Ευρωπαϊκή Ένωση, η αμοιβαιότητα θα συνεπάγεται ότι η ίδια πρόσβαση πρέπει να παρέχεται στις αρχές της ΕΕ σε σχέση με δεδομένα προερχόμενα από τις ΗΠΑ. Η αμοιβαιότητα δεν πρέπει να βλάπτει την αποτελεσματικότητα της προστασίας του υποκειμένου των δεδομένων. Αυτό αποτελεί προϋπόθεση προκειμένου να επιτραπεί η «υπερατλαντική» πρόσβαση από τις αρχές επιβολής του νόμου. Συγκεκριμένα σημαίνει ότι:

50.

Ο καθορισμός των όρων αξιολόγησης (καταλληλότητα, ισοδυναμία, αμοιβαία αναγνώριση) έχει ουσιαστική σημασία επειδή ορίζει το περιεχόμενο, από την άποψη της ακρίβειας, την ασφάλεια δικαίου και την αποτελεσματικότητα της προστασίας. Το περιεχόμενο μιας μελλοντικής πράξης πρέπει να είναι ακριβές και συγκεκριμένο.

51.

Πέραν τούτου, πρέπει να είναι σαφές ότι κάθε ειδική συμφωνία που συνάπτεται περαιτέρω πρέπει επίσης να περιλαμβάνει λεπτομερείς και πλήρεις διασφαλίσεις προστασίας των δεδομένων σε σχέση με το υποκείμενο της προβλεπόμενης ανταλλαγής δεδομένων. Μόνο ένα τέτοιο διπλό επίπεδο συγκεκριμένων αρχών προστασίας των δεδομένων θα εξασφαλίζει την απαραίτητη «στενή εγγύτητα» μεταξύ της γενικής συμφωνίας και ειδικών συμφωνιών, όπως ήδη παρατηρήθηκε στα σημεία 35 και 36 της παρούσας γνωμοδότησης.

52.

Ο βαθμός στον οποίο μια συμφωνία με τις ΗΠΑ μπορεί να αποτελέσει πρότυπο για άλλες τρίτες χώρες χρειάζεται ιδιαίτερη προσοχή. Ο ΕΕΠΔ σημειώνει ότι εκτός από τις ΗΠΑ, η προαναφερόμενη έκθεση της ομάδας «Μέλλον» υποδεικνύει και τη Ρωσία ως στρατηγικό εταίρο της ΕΕ. Όσο οι αρχές είναι ουδέτερες και συνάδουν με τις θεμελιώδεις διασφαλίσεις της ΕΕ, μπορούν να αποτελέσουν χρήσιμο προηγούμενο. Εντούτοις, οι ιδιαιτερότητες που σχετίζονται π.χ. με το νομικό πλαίσιο της χώρας αποδέκτη ή το σκοπό της διαβίβασης θα αποτρέπουν την απλή μεταφορά της συμφωνίας. Εξίσου αποφασιστικό στοιχείο είναι η κατάσταση της δημοκρατίας σε τρίτες χώρες: πρέπει να εξασφαλιστεί ότι οι συμφωνηθείσες αρχές θα τύχουν ουσιαστικής κατοχύρωσης και εφαρμογής στη χώρα αποδέκτη.

53.

Η έμμεσα ή άμεσα δηλούμενη καταλληλότητα πρέπει οπωσδήποτε να συνάδει με το διεθνές και το ευρωπαϊκό νομικό πλαίσιο και ιδιαίτερα με τις κοινώς συμφωνηθείσες διασφαλίσεις προστασίας των δεδομένων. Αυτές κατοχυρώνονται στις κατευθυντήριες γραμμές των Ηνωμένων Εθνών, στη Σύμβαση 108 του Συμβουλίου της Ευρώπης και το πρόσθετο πρωτόκολλό της, στις κατευθυντήριες γραμμές του ΟΟΣΑ και το σχέδιο απόφασης-πλαισίου σχετικά με την προστασία των δεδομένων, καθώς επίσης, όσον αφορά τις πτυχές του πρώτου πυλώνα, στην οδηγία 95/46/EK (20). Όλες αυτές οι πράξεις περιέχουν παρόμοιες αρχές που αναγνωρίζονται ευρύτερα ως βασικός πυρήνας της προστασίας των δεδομένων προσωπικού χαρακτήρα.

54.

Ακόμα σημαντικότερο είναι οι προαναφερόμενες αρχές να λαμβάνονται δεόντως υπόψη, λόγω του αντίκτυπου που θα έχει ενδεχόμενη συμφωνία όπως η προβλεπόμενη στην έκθεση της Ομάδας επαφής υψηλού επιπέδου. Μια πράξη που καλύπτει ολόκληρο τον τομέα της επιβολής του νόμου μιας τρίτης χώρας θα είναι πραγματικά γεγονός χωρίς προηγούμενο. Οι υφιστάμενες αποφάσεις καταλληλότητας στον πρώτο πυλώνα και οι συμφωνίες που έχουν συναφθεί με τρίτες χώρες στο πλαίσιο του τρίτου πυλώνα της ΕΕ (Ευρωπόλ, Eurojust) πάντα συνδέονταν με ειδική διαβίβαση δεδομένων, ενώ με την παρούσα ενδέχεται να καταστούν δυνατές διαβιβάσεις με πολύ ευρύτερο πεδίο, λόγω του ευρέως σκοπού που επιδιώκεται (δίωξη εγκλημάτων, εθνική και δημόσια ασφάλεια, επιβολή του νόμου σχετικά με τα σύνορα) και του άγνωστου αριθμού σχετιζόμενων βάσεων δεδομένων.

55.

Οι όροι συμμόρφωσης στα πλαίσια της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες καταρτίσθηκαν σε έγγραφο εργασίας της Ομάδας του άρθρου 29 (21). Κάθε συμφωνία για στοιχειώδεις αρχές σχετικά με την ιδιωτική ζωή πρέπει να ελέγχεται με δοκιμασία συμμόρφωσης που να εξασφαλίζει την αποτελεσματικότητα των διασφαλίσεων προστασίας των δεδομένων.

56.

Πέραν αυτών των τριών βασικών προϋποθέσεων, ιδιαίτερη προσοχή πρέπει να δοθεί στις ιδιαιτερότητες που συνδέονται με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της επιβολής του νόμου. Πρόκειται πράγματι για τομέα όπου τα θεμελιώδη δικαιώματα μπορούν να υποστούν περιορισμούς. Πρέπει επομένως να θεσπισθούν διασφαλίσεις ως αντιστάθμιση στον περιορισμό των ατομικών δικαιωμάτων, ιδίως όσον αφορά τις ακόλουθες πτυχές, λόγω του αντίκτυπου στο κάθε άτομο:

57.

Το παρόν κεφάλαιο αναλύει τις 12 αρχές που περιλαμβάνονται στο έγγραφο της Ομάδας επαφής υψηλού επιπέδου υπό την ακόλουθη οπτική:

58.

Η πρώτη αρχή που καταγράφεται στο παράρτημα της έκθεσης της Ομάδας επαφής υψηλού επιπέδου δηλώνει ότι τα προσωπικά στοιχεία υποβάλλονται σε επεξεργασία για νόμιμους σκοπούς επιβολής του νόμου. Όπως λέχθηκε ανωτέρω, αυτό αναφέρεται για την Ευρωπαϊκή Ένωση στην πρόληψη, τη διαπίστωση, τη διερεύνηση και δίωξη των παραβάσεων του ποινικού νόμου. Για τις ΗΠΑ, όμως, η ερμηνεία της επιβολής του νόμου δεν αφορά μόνο τις παραβάσεις του ποινικού νόμου και περιλαμβάνει τους «σκοπούς της επιβολής του νόμου σχετικά με τα σύνορα, της δημόσιας ασφάλειας και της εθνικής ασφαλείας». Οι συνέπειες αυτών των αναντιστοιχιών μεταξύ των δεδηλωμένων σκοπών της ΕΕ και των ΗΠΑ δεν είναι εμφανείς. Ενώ στην έκθεση αναφέρεται ότι, στην πράξη, οι σκοποί μπορεί να συμπίπτουν σε μεγάλο βαθμό, παραμένει αποφασιστικής σημασίας να γνωρίζουμε με ακρίβεια σε ποιο βαθμό δεν συμπίτουν. Στην τομέα της επιβολής του νόμου, λόγω των συνεπειών που έχουν τα θεσπιζόμενα μέτρα επί των προσώπων, η αρχή του περιορισμού του σκοπού πρέπει να τηρείται αυστηρά και οι σκοποί που δηλώνονται πρέπει να είναι σαφείς και οριοθετημένοι. Έχοντας υπόψη την αμοιβαιότητα που προβλέπεται στην έκθεση, η προσέγγιση των σκοπών αυτών φαίνεται επίσης ουσιαστικής σημασίας. Εν ολίγοις, απαιτείται διευκρίνιση του τι εννοείται με αυτή την αρχή.

59.

Ο ΕΕΠΔ χαιρετίζει τη διάταξη που απαιτεί ακριβή, συναφή, έγκαιρα και πλήρη προσωπικά πληροφοριακά στοιχεία, σύμφωνα με τις ανάγκες της νόμιμης επεξεργασίας. Η αρχή αυτή αποτελεί βασικό όρο για κάθε αποδοτική επεξεργασία των δεδομένων.

60.

Η παρούσα αρχή παρέχει σαφή δεσμό μεταξύ των πληροφοριών που συλλέγονται και της αναγκαιότητας να εκπληρώσουν οι συγκεκριμένες πληροφορίες έναν σκοπό επιβολής του νόμου που καθορίζεται δια νόμου. Αυτή η απαίτηση νομοθετικής βάσης συνιστά θετικό στοιχείο για την επιβεβαίωση της νομιμότητας της επεξεργασίας. Ο ΕΕΠΔ επισημαίνει εντούτοις ότι, μολονότι αυτό ενισχύει τη ασφάλεια δικαίου σχετικά με την επεξεργασία, η νομική βάση της επεξεργασίας στηρίζεται σε νόμο τρίτης χώρας. Νόμος τρίτης χώρας δεν είναι δυνατόν από μόνος του να αποτελέσει νομική βάση για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα (22). Από την έκθεση της Ομάδας επαφής υψηλού επιπέδου προκύπτει ότι εν γένει κρίνεται ότι αναγνωρίζεται η ισχύς του νόμου μιας τρίτης χώρας, δηλ. των Ηνωμένων Πολιτειών. Πρέπει να λαμβάνεται υπόψη ότι, εάν αυτό το σκεπτικό μπορεί να δικαιολογηθεί στην παρούσα περίπτωση επειδή οι Ηνωμένες Πολιτείες είναι δημοκρατικό κράτος, το ίδιο καθεστώς δεν θα ισχύει ούτε και θα μπορούσε να μεταφερθεί στις σχέσεις με άλλη τρίτη χώρα.

61.

Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα πρέπει να είναι συναφής, αναγκαία και σκόπιμη σύμφωνα με το παράρτημα της έκθεσης της Ομάδας επαφής υψηλού επιπέδου. Ο ΕΕΠΔ τονίζει ότι προκειμένου να είναι αναλογική, η επεξεργασία δεν πρέπει να είναι αδικαιολόγητα αδιάκριτη και ο τρόπος εφαρμογής της να είναι ισορροπημένος, λαμβάνοντας υπόψη τα δικαιώματα και τα συμφέροντα των υποκειμένων των δεδομένων.

62.

Για το λόγο αυτόν, η πρόσβαση στις πληροφορίες πρέπει να πραγματοποιείται κατά περίπτωση, αναλόγως των πρακτικών αναγκών στα πλαίσια συγκεκριμένης έρευνας. Η μόνιμη πρόσβαση αρχών επιβολής του νόμου τρίτης χώρας σε βάσεις δεδομένων που βρίσκονται εντός της ΕΕ θεωρείται δυσανάλογη και ανεπαρκώς δικαιολογημένη. Ο ΕΕΠΔ υπενθυμίζει ότι ακόμη και στο πλαίσιο των υφιστάμενων συμφωνιών για την ανταλλαγή δεδομένων, π.χ. στην περίπτωση της Συμφωνίας PNR, η ανταλλαγή των δεδομένων διενεργείται βάσει ειδικών συνθηκών και συνάπτεται για περιορισμένο χρονικό διάστημα (23).

63.

Κατά την ίδια λογική, η περίοδος διατήρησης των δεδομένων πρέπει να είναι ρυθμισμένη: τα δεδομένα πρέπει να διατηρούνται μόνο καθ' όσον είναι απαραίτητα κατά τον επιδιωκόμενο σκοπό. Εάν δεν έχουν πλέον συνάφεια με το προσδιορισθέντα σκοπό, πρέπει να διαγραφούν. Ο ΕΕΠΔ διαφωνεί έντονα με τη σύσταση χώρων αποθήκευσης δεδομένων όπου θα αποθηκεύονται πληροφοριακά στοιχεία για μη υπόπτους με σκοπό την πιθανή περαιτέρω ανάγκη χρησιμοποίησής τους.

64.

Μέτρα και διαδικασίες για την περιφρούρηση των δεδομένων από κατάχρηση, αλλοίωση και άλλους κινδύνους αναπτύσσονται στο πλαίσιο των αρχών, καθώς και διάταξη που περιορίζει την πρόσβαση μόνο στους εξουσιοδοτημένους. Ο ΕΕΠΔ θεωρεί ότι τα ανωτέρω είναι ικανοποιητικά.

65.

Επιπροσθέτως, η αρχή μπορεί να συμπληρωθεί με διάταξη που αναφέρει ότι πρέπει να τηρείται αρχείο των ατόμων που αποκτούν πρόσβαση στα δεδομένα. Αυτό θα ενισχύσει την αποτελεσματικότητα των διασφαλίσεων στον περιορισμό της πρόσβασης και στην αποτροπή της παράνομης χρήσης των δεδομένων.

66.

Πέραν τούτου, πρέπει να προβλεφθεί αμοιβαία ενημέρωση σε περίπτωση παραβίασης της ασφάλειας: οι αποδέκτες στις ΗΠΑ καθώς και στην ΕΕ θα είναι υπεύθυνοι για την ενημέρωση των ομολόγων τους σε περίπτωση που τα δεδομένα που έλαβαν έγιναν αντικείμενο παράνομης διάδοσης. Αυτό θα συμβάλει σε αύξηση της ευθύνης με σκοπό την ασφαλή επεξεργασία των δεδομένων.

67.

Κατά την άποψη του ΕΕΠΔ, η αρχή που απαγορεύει την επεξεργασία δεδομένων ευαίσθητου περιεχομένου αποδυναμώνεται αρκετά λόγω της εξαίρεσης που επιτρέπει κάθε επεξεργασία δομένων ευαίσθητου περιεχομένου για την οποία το εγχώριο δίκαιο παρέχει τα «κατάλληλα εχέγγυα». Ακριβώς λόγω του ευαίσθητου χαρακτήρα των δεδομένων, κάθε παρέκκλιση από την αρχή της απαγόρευσης πρέπει να τυγχάνει ικανοποιητικής και επακριβούς αιτιολόγησης, με απαρίθμηση των σκοπών και των συνθηκών στο πλαίσιο των οποίων μπορεί να υποβληθεί σε επεξεργασία ένας καθορισμένος τύπος δεδομένων ευαίσθητου περιεχομένου, καθώς και ένδειξη της ιδιότητας των ελεγκτών που έχουν το δικαίωμα να επεξεργάζονται τα δεδομένα αυτά. Μεταξύ των διασφαλίσεων που πρέπει να θεσπισθούν, ο ΕΕΠΔ θεωρεί ότι τα δεδομένα ευαίσθητου περιεχομένου δεν πρέπει να αποτελούν αφ’ εαυτά στοιχείο για το οποίο είναι δυνατόν να κινηθεί έρευνα. Μπορεί να καθίστανται διαθέσιμα σε ειδικές περιστάσεις αλλά μόνο ως πρόσθετα πληροφοριακά στοιχεία όσον αφορά υποκείμενο δεδομένων το οποίο ήδη τελεί υπό έρευνα. Οι διασφαλίσεις και οι όροι αυτοί πρέπει να απαριθμούνται περιοριστικά στο κείμενο της αρχής.

68.

Όπως αναπτύχθηκε στα σημεία 55-56 της παρούσας γνωμοδότησης, η λογοδοσία των δημόσιων φορέων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πρέπει να εξασφαλίζεται ουσιαστικά και εντός της συμφωνίας να παρέχονται διαβεβαιώσεις για τον τρόπο εξασφάλισης της λογοδοσίας. Αυτό καθίσταται ακόμα σημαντικότερο λόγω της έλλειψης διαφάνειας που συνδέεται παραδοσιακά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της επιβολής του νόμου. Εν προκειμένω, η απλή αναφορά - όπως συμβαίνει τώρα στο παράρτημα - ότι οι δημόσιοι φορείς είναι υπόλογοι χωρίς περαιτέρω εξηγήσεις σχετικά με τις λεπτομέρειες και τις συνέπειες αυτής της λογοδοσίας, δεν συνιστά ικανοποιητική διασφάλιση. Ο ΕΕΠΔ συστήνει να παρέχεται η εξήγηση αυτή στο κείμενο της πράξης.

69.

Ο ΕΕΠΔ υποστηρίζει πλήρως την προσθήκη διάταξης που προβλέπει ανεξάρτητη και ουσιαστική εποπτεία από μία ή περισσότερες δημόσιες εποπτικές αρχές. Θεωρεί ότι πρέπει να αποσαφηνίζεται πώς ερμηνεύεται η ανεξαρτησία, ειδικότερα από ποιον είναι ανεξάρτητες αυτές οι εποπτικές αρχές και σε ποιον αναφέρονται. Εν προκειμένω απαιτούνται κριτήρια τα οποία πρέπει να λαμβάνουν υπόψη τη θεσμική και τη λειτουργική ανεξαρτησία, σε σχέση με τους εκτελεστικούς και νομοθετικούς φορείς. Ο ΕΕΠΔ υπενθυμίζει ότι αυτό είναι απαραίτητο στοιχείο για να εξασφαλιστεί ουσιαστική συμμόρφωση με τις συμφωνηθείσες αρχές. Οι εξουσίες παρέμβασης και επιβολής αυτών των εποπτικών αρχών είναι επίσης ζωτικής σημασίας λόγω του ζητήματος της λογοδοσίας των δημόσιων φορέων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, όπως προαναφέρθηκε. Η ύπαρξη και οι αρμοδιότητές τους πρέπει να είναι εντελώς προφανείς για τα υποκείμενα των δεδομένων, προκειμένου να μπορέσουν να ασκήσουν τα δικαιώματά τους, ιδίως αν είναι αρμόδιες περισσότερες της μιας αρχές ανάλογα με το γενικό πλαίσιο της επεξεργασίας.

70.

Επιπλέον, ο ΕΕΠΔ συστήνει να προβλέπονται στη μελλοντική συμφωνία και μηχανισμοί συνεργασίας μεταξύ των εποπτικών αρχών.

71.

Ειδικές εγγυήσεις απαιτούνται όταν πρόκειται για την πρόσβαση και τη διόρθωση στο πλαίσιο της επιβολής του νόμου. Ο ΕΕΠΔ επικροτεί, εν προκειμένω, την αρχή αυτή σύμφωνα με την οποία πρέπει να παρέχεται στο κάθε άτομο πρόσβαση και μέσα ώστε να μπορεί να επιδιώκει τη «διόρθωση ή/και διαγραφή των προσωπικών πληροφοριακών στοιχείων τους». Εντούτοις, μερικές ασάφειες παραμένουν ως προς τον ορισμό των ατόμων (όλα τα υποκείμενα δεδομένων πρέπει να προστατεύονται και όχι μόνο οι πολίτες της ενδιαφερόμενης χώρας) και των όρων υπό τους οποίους τα άτομα μπορούν να είναι σε θέση να αντιταχθούν στην επεξεργασία των δεδομένων τους. Απαιτούνται διευκρινίσεις για τις «κατάλληλες περιπτώσεις» στις οποίες μπορεί ή δεν μπορεί να υποβληθεί ένσταση. Πρέπει να είναι σαφές για τα υποκείμενα των δεδομένων σε ποιες περιπτώσεις - ανάλογα π.χ. με τον τύπο της εποπτικής αρχής, τον τύπο της έρευνας ή άλλα κριτήρια - θα είναι σε θέση να ασκήσουν τα δικαιώματά τους.

72.

Εκτός αυτού, εάν δεν υπάρχει άμεση δυνατότητα να διατυπωθεί αντίθεση σε επεξεργασία για αιτιολογημένους λόγους, πρέπει να υπάρχει δυνατότητα έμμεσης επαλήθευσης μέσω της ανεξάρτητης αρχής που είναι αρμόδια για την εποπτεία της επεξεργασίας.

73.

Ο ΕΕΠΔ τονίζει για μια ακόμα φορά τη σημασία της ουσιαστικής διαφάνειας η οποία παρέχει στα άτομα τη δυνατότητα άσκησης των δικαιωμάτων τους και συμβάλει στη γενική ευθύνη των δημόσιων αρχών που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. Υποστηρίζει τις αρχές όπως έχουν διατυπωθεί και επιμένει ιδιαίτερα στην ανάγκη γενικής και ατομικής ειδοποίησης. Αυτό εμφαίνεται στη διατύπωση της αρχής στο σημείο 9 του παραρτήματος.

74.

Ωστόσο, στο Κεφάλαιο 2, Α. Β («Συμφωνηθείσες αρχές») της έκθεσης αναφέρεται ότι στις ΗΠΑ η διαφάνεια μπορεί να περιλαμβάνει «χωριστά ή σε συνδυασμό, δημοσίευση στο ομοσπονδιακό μητρώο (Federal Register), ατομική ειδοποίηση και γνωστοποίηση σε δικαστική διαδικασία». Πρέπει να είναι σαφές ότι η δημοσίευση σε Επίσημη Εφημερίδα δεν εγγυάται από μόνη της την κατάλληλη ενημέρωση του υποκειμένου των δεδομένων. Πέραν της ανάγκης ατομικής ειδοποίησης, ο ΕΕΠΔ υπενθυμίζει ότι η ενημέρωση πρέπει να παρέχεται σε μορφή και γλώσσα εύκολα κατανοητή από το υποκείμενο των δεδομένων.

75.

Προκειμένου να διασφαλίζεται η ουσιαστική άσκηση των δικαιωμάτων τους, τα άτομα πρέπει να είναι σε θέση να υποβάλουν καταγγελία ενώπιον ανεξάρτητης αρχής προστασίας των δεδομένων, καθώς επίσης να έχουν δυνατότητα προσφυγής ενώπιον ανεξάρτητου και αμερόληπτου δικαστηρίου. Και οι δύο δυνατότητες έννομης προστασίας πρέπει να είναι εξίσου διαθέσιμες.

76.

Η πρόσβαση σε ανεξάρτητη αρχή προστασίας των δεδομένων είναι απαραίτητη δεδομένου ότι επιτρέπει την παροχή ευέλικτης και λιγότερο δαπανηρής βοήθειας, σε ένα πλαίσιο - της επιβολής του νόμου - που μπορεί να παρουσιάζεται μάλλον αδιαφανές για το μεμονωμένο άτομο. Οι αρχές προστασίας των δεδομένων μπορούν επίσης να παρέχουν βοήθεια στην άσκηση των δικαιωμάτων πρόσβασης των υποκειμένων των δεδομένων, εφόσον οι εξαιρέσεις δεν του επιτρέπουν να έχει άμεση πρόσβαση στα οικεία δεδομένα προσωπικού χαρακτήρα.

77.

Η πρόσβαση στο δικαστικό σύστημα είναι μια πρόσθετη και άκρως απαραίτητη εγγύηση ότι τα υποκείμενα των δεδομένων μπορούν να προσφύγουν ενώπιον μιας αρχής που υπάγεται σε κλάδο του δημοκρατικού συστήματος διακριτού από τους δημόσιους φορείς που επεξεργάζονται τα δεδομένα τους. Αυτή η ουσιαστική προσφυγή ενώπιον δικαστηρίου έχει θεωρηθεί από το Ευρωπαϊκό Δικαστήριο (24) ότι «αποτελεί ουσιώδη προϋπόθεση για τη διασφάλιση στους ιδιώτες της αποτελεσματικής προστασίας του δικαιώματός τους. (…) [Αποτελεί] γενική αρχή του κοινοτικού δικαίου απορρέουσα από τις κοινές στα κράτη μέλη συνταγματικές παραδόσεις και έχει καθιερωθεί με τα άρθρα 6 και 13 της Ευρωπαϊκής Σύμβασης για την προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών.» Η δυνατότητα προσφυγής ενώπιον δικαστηρίου προβλέπεται επίσης ρητά στο άρθρο 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και στο άρθρο 22 της κοινοτικής οδηγίας 95/46, με την επιφύλαξη τυχόν διοικητικής προσφυγής.

78.

Ο ΕΕΠΔ επικροτεί τη διάταξη που προβλέπει κατάλληλες διασφαλίσεις για την περίπτωση αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων. Επισημαίνει ότι η κοινή κατανόηση του τι θεωρείται «σημαντική δυσμενής ενέργεια για τα σχετικά συμφέροντα του ιδιώτη» θα διευκρίνιζε τους όρους εφαρμογής της συγκεκριμένης αρχής.

79.

Οι όροι που έχουν τεθεί για ορισμένες περαιτέρω διαβιβάσεις είναι ασαφείς. Ειδικότερα, όταν η περαιτέρω διαβίβαση πρέπει να πραγματοποιείται σύμφωνα με διεθνείς διακανονισμούς και συμφωνίες μεταξύ των χωρών αποστολής και παραλαβής, τότε πρέπει να διευκρινιστεί εάν αυτό αναφέρεται σε συμφωνίες μεταξύ των δύο χωρών που κίνησαν την αρχική διαβίβαση ή των δύο χωρών που συμμετέχουν στην περαιτέρω διαβίβαση. Σύμφωνα με τον ΕΕΠΔ, οι συμφωνίες μεταξύ των δύο χωρών που κίνησαν την αρχική διαβίβαση είναι σε κάθε περίπτωση απαραίτητες.

80.

Ο ΕΕΠΔ επισημαίνει επίσης τον πολύ ευρύ ορισμό του «νόμιμου δημόσιου συμφέροντος» προκειμένου να επιτραπεί η περαιτέρω διαβίβαση. Το πεδίο εφαρμογής της δημόσιας ασφάλειας παραμένει ασαφές και η επέκταση των διαβιβάσεων σε περίπτωση παραβάσεων της δεοντολογίας ή νομικά κατοχυρωμένων επαγγελμάτων φαίνεται αδικαιολόγητη και υπερβολική στο πλαίσιο της επιβολής του νόμου.

81.

Ο ΕΕΠΔ χαιρετίζει τις κοινές εργασίες της ΕΕ και των αρχών των ΗΠΑ στον τομέα της επιβολής του νόμου όπου η προστασία των δεδομένων έχει ζωτική σημασία. Επιθυμεί, ωστόσο, να επιμείνει στο γεγονός ότι το πρόκειται για πολυσύνθετο ζήτημα, ιδίως όσον αφορά το ακριβές πεδίο εφαρμογής και τη φύση του και, ως εκ τούτου, χρήζει προσεκτικής και εις βάθος ανάλυσης. Ο αντίκτυπος μιας διατλαντικής πράξης σχετικά με την προστασία των δεδομένων πρέπει να εξεταστεί προσεκτικά σε σχέση με το ισχύον νομικό πλαίσιο και τις συνέπειες για τους πολίτες.

82.

Ο ΕΕΠΔ ζητεί μεγαλύτερη σαφήνεια και πιο συγκεκριμένες διατάξεις ιδίως όσον αφορά τις ακόλουθες πτυχές:

83.

Ο ΕΕΠΔ επιμένει ότι είναι σκόπιμο να αποφευχθεί η βιασύνη στην επεξεργασία των αρχών επειδή θα οδηγήσει σε μη ικανοποιητικές λύσεις, με αποτελέσματα αντίθετα από τα επιδιωκόμενα από την άποψη της προστασίας των δεδομένων. Η καλύτερη ακολουθητέα πορεία σε αυτό το σημείο είναι, ως εκ τούτου, η κατάρτιση οδικού χάρτη προς την κατεύθυνση ενδεχόμενης συμφωνίας σε μεταγενέστερο στάδιο.

84.

Ο ΕΕΠΔ καλεί επίσης για περισσότερη διαφάνεια στη διαδικασία εκπόνησης των αρχών προστασίας των δεδομένων. Μόνο με τη συμμετοχή όλων των ενδιαφερομένων, συμπεριλαμβανομένου του Ευρωπαϊκού Κοινοβουλίου, θα μπορέσει η πράξη να ωφεληθεί από τον δημοκρατικό διάλογο και να κερδίσει την απαραίτητη υποστήριξη και αναγνώριση.

—

Συμφωνία μεταξύ των Ηνωμένων Πολιτειών της Αμερικής και της Ευρωπαϊκής Αστυνομικής Υπηρεσίας της 6ης Δεκεμβρίου 2001, και Συμπληρωματική Συμφωνία μεταξύ της Ευρωπόλ και των ΗΠΑ για την ανταλλαγή προσωπικών δεδομένων και συναφών πληροφοριών, οι οποίες δημοσιεύθηκαν στον δικτυακό τόπο της Ευρωπόλ.

—

Συμφωνία μεταξύ των Ηνωμένων Πολιτειών της Αμερικής και της Eurojust για τη δικαστική συνεργασία, της 6ης Noεμβρίου 2006, η οποία δημοσιεύθηκε στον δικτυακό τόπο της Eurojust.

—

Συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής για την επεξεργασία και τη διαβίβαση δεδομένων από τις καταστάσεις με τα ονόματα των επιβατών (PNR) από τους αερομεταφορείς στο Υπουργείο Εσωτερικής Ασφαλείας των Ηνωμένων Πολιτειών της Αμερικής (DHS) (Συμφωνία 2007 PNR), η οποία υπογράφηκε στις Βρυξέλλες, στις 23 Ιουλίου 2007 και στην Ουάσινγκτον στις 26 Ιουλίου 2007, ΕΕ L 204, 4.8.2007, σ. 18.

—

Ανταλλαγή επιστολών μεταξύ των αρχών των Ηνωμένων Πολιτειών και της ΕΕ σχετικά με το «Σύστημα οικονομικού εντοπισμού τρομοκρατών», 28 Ιουνίου 2007.

—

Κατευθυντήριες γραμμές των Ηνωμένων Εθνών όσον αφορά τα μηχανογραφημένα αρχεία δεδομένων προσωπικού χαρακτήρα, τις οποίες ενέκρινε η Γενική Συνέλευση των Ηνωμένων Εθνών στις 14 Δεκεμβρίου 1990, διαθέσιμες στο www.unhchr.ch/html/menu3/b/71.htm

—

Σύμβαση του Συμβουλίου της Ευρώπης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα, της 28ης Ιανουαρίου 1981, διαθέσιμη στο www.conventions.coe.int/treaty/en/Treaties/html/108.htm

—

Κατευθυντήριες γραμμές του ΟΟΣΑ για την προστασία της Ιδιωτικής ζωής και τις Διασυνοριακές Ροές Προσωπικών Δεδομένων, που εκδόθηκαν στις 23 Σεπτεμβρίου 1980, διαθέσιμες στο www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html

—

Σχέδιο απόφασης-πλαισίου του Συμβουλίου σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, διαθέσιμο στο http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

—

Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, ΕΕ L 281, 23.11.1995, σ. 31.

6.6.2009   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 128/13

1.

Στις 30 Μαΐου 2008 εκδόθηκε η ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή με τίτλο «Προς μία ευρωπαϊκή στρατηγική σε θέματα ηλεκτρονικής δικαιοσύνης» (εφεξής «ανακοίνωση»). Ο ΕΕΠΔ υποβάλλει την παρούσα γνώμη σύμφωνα με το άρθρο 41 του κανονισμού (ΕΚ) αριθ. 45/2001.

2.

Σκοπός της ανακοίνωσης είναι να προτείνει στρατηγική σε θέματα ηλεκτρονικής δικαιοσύνης η οποία θα ενισχύσει την εμπιστοσύνη των πολιτών στον ευρωπαϊκό χώρο δικαιοσύνης. Πρωταρχικός στόχος της ηλεκτρονικής δικαιοσύνης θα πρέπει να είναι να συμβάλει στην αποτελεσματικότερη απονομή της δικαιοσύνης σε ολόκληρη την Ευρώπη, προς όφελος των πολιτών. Η δράση της ΕΕ θα πρέπει να παρέχει στους πολίτες τη δυνατότητα πρόσβασης σε πληροφορίες χωρίς να προσκρούουν σε γλωσσικά, πολιτιστικά και νομικά εμπόδια λόγω της ύπαρξης πολλαπλών συστημάτων. Στην Ανακοίνωση επισυνάπτονται σχέδιο προγράμματος δράσης και χρονοδιάγραμμα για τα διάφορα σχέδια.

3.

Η παρούσα γνώμη του ΕΕΠΔ σχολιάζει την ανακοίνωση στο βαθμό που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και την ελεύθερη κυκλοφορία των δεδομένων.

4.

Το Συμβούλιο ΔΕΥ (3) επισήμανε διάφορες προτεραιότητες για την ανάπτυξη της ηλεκτρονικής δικαιοσύνης τον Ιούνιο του 2007:

5.

Οι εργασίες για την ηλεκτρονική δικαιοσύνη έχουν έκτοτε σημειώσει σταθερή πρόοδο. Σύμφωνα με την Επιτροπή, οι εργασίες που διεξάγονται σε αυτό το πλαίσιο πρέπει να εξασφαλίζουν ότι αποδίδεται προτεραιότητα σε επιχειρησιακά σχέδια και σε αποκεντρωμένες δομές, με ταυτόχρονη πρόβλεψη συντονισμού σε ευρωπαϊκό επίπεδο, χρησιμοποιώντας τα υπάρχοντα νομικά μέσα και εργαλεία ΤΠ για μεγαλύτερη αποτελεσματικότητα. Το Ευρωπαϊκό Κοινοβούλιο έχει επίσης εκφράσει την υποστήριξή του για το σχέδιο ηλεκτρονικής δικαιοσύνης (4).

6.

Η χρήση σύγχρονων τεχνολογιών πληροφόρησης ενθαρρύνεται σταθερά από την Επιτροπή, τόσο στον αστικό όσο και στον ποινικό τομέα. Αυτό οδήγησε σε μέσα όπως η ευρωπαϊκή διαταγή πληρωμής. Η Επιτροπή διαχειρίζεται από το 2003 την «πύλη» του Ευρωπαϊκού Δικαστικού Δικτύου σε αστικές και εμπορικές υποθέσεις, στην οποία έχουν πρόσβαση οι πολίτες σε 22 γλώσσες. Η Επιτροπή έχει επίσης σχεδιάσει και θεσπίσει τον Ευρωπαϊκό Δικαστικό Άτλαντα. Τα μέσα αυτά προλειαίνουν το έδαφος για ένα μελλοντικό ευρωπαϊκό πλαίσιο για την ηλεκτρονική δικαιοσύνη. Στον ποινικό τομέα, η Επιτροπή έχει επεξεργασθεί εργαλείο το οποίο θα επιτρέπει την ανταλλαγή πληροφοριών ποινικού μητρώου των κρατών μελών (5). Έχουν αναπτυχθεί ασφαλή συστήματα επικοινωνίας με τις εθνικές αρχές όχι μόνο από την Επιτροπή αλλά και από την Eurojust.

7.

Η ηλεκτρονική δικαιοσύνη σκοπεύει να προσφέρει πολλές ευκαιρίες για να καταστεί ο ευρωπαϊκός δικαστικός χώρος πιο συγκεκριμένος για τους πολίτες κατά τα ερχόμενα έτη. Προκειμένου να θεσπισθεί συνολική στρατηγική για το σημαντικό αυτό θέμα η Επιτροπή εξέδωσε την παρούσα ανακοίνωση για την ηλεκτρονική δικαιοσύνη. Η ανακοίνωση ορίζει αντικειμενικά κριτήρια για τον προσδιορισμό προτεραιοτήτων, ιδίως για μελλοντικά σχέδια σε ευρωπαϊκό επίπεδο, προκειμένου να επιτευχθούν συγκεκριμένα αποτελέσματα εντός εύλογου χρονικού διαστήματος.

8.

Το έγγραφο εργασίας των υπηρεσιών της Επιτροπής, συνοδευτικό έγγραφο της Ανακοίνωσης με εκτενή περίληψη της αξιολόγησης αντικτύπου, παρέχει επίσης κάποιες βασικές πληροφορίες (6). Η αξιολόγηση αντικτύπου ετοιμάσθηκε λαμβάνοντας υπόψη τις αντιδράσεις των κρατών μελών, των δικαστικών αρχών, των νομικών επαγγελματιών, των πολιτών και των επιχειρήσεων. Δεν ζητήθηκε η γνώμη του ΕΕΠΔ. Η έκθεση για την αξιολόγηση αντικτύπου προάγει την αντιμετώπιση των προβλημάτων επιλογή πολιτικής η οποία συνδυάζει ευρωπαϊκή διάσταση και εθνική αρμοδιότητα. Στην ανακοίνωση προτιμήθηκε η επιλογή αυτή. Η στρατηγική θα εστιάσει στη χρήση τηλεεικονοδιάσκεψης, τη δημιουργία δικτυακής πύλης ηλεκτρονικής δικαιοσύνης, τη βελτίωση των μεταφραστικών μέσων με την ανάπτυξη αυτόματων επιγραμμικών μεταφραστικών εργαλείων, τη βελτίωση της επικοινωνίας μεταξύ των δικαστικών αρχών, τη μεγαλύτερη διασύνδεση μεταξύ των εθνικών μητρώων και επιγραμμικά εργαλεία για ευρωπαϊκές διαδικασίες (π.χ. ευρωπαϊκή διαταγή πληρωμής).

9.

Ο ΕΕΠΔ υποστηρίζει ότι πρέπει να δοθεί προτεραιότητα στις προαναφερόμενες δράσεις. Τάσσεται γενικά υπέρ της σφαιρικής προσέγγισης της ηλεκτρονικής δικαιοσύνης. Συμφωνεί ότι πρέπει να επιδιωχθούν ταυτόχρονα τρεις στόχοι: βελτιωμένη πρόσβαση στη δικαιοσύνη, συνεργασία μεταξύ των ευρωπαϊκών νομικών αρχών και αποτελεσματικότητα του ίδιου του δικαστικού συστήματος. Συνεπεία αυτής της προσέγγισης επηρεάζονται διάφορα όργανα και πρόσωπα:

10.

Η Ανακοίνωση είναι στενά συνδεδεμένη με την πρόταση απόφασης του Συμβουλίου σχετικά με τη δημιουργία του Ευρωπαϊκού Συστήματος Πληροφοριών Ποινικού Μητρώου (ECRIS). Στις 16 Σεπτεμβρίου 2008, ο ΕΕΠΔ εξέδωσε γνώμη για την πρόταση αυτή (7). Υποστήριξε την πρόταση, υπό την προϋπόθεση ότι θα ελαμβάνοντο υπόψη ορισμένες εκτιμήσεις. Παρατήρησε ιδίως ότι η σημερινή έλλειψη συνολικού νομικού πλαισίου για την προστασία των δεδομένων στον τομέα συνεργασίας μεταξύ αστυνομικών και δικαστικών αρχών θα πρέπει να αντισταθμισθεί με πρόσθετες εγγυήσεις προστασίας των δεδομένων. Τόνισε επομένως ότι απαιτείται αποτελεσματικός συντονισμός της εποπτείας της προστασίας δεδομένων του συστήματος, πράγμα που αφορά τις αρχές των κρατών μελών και την Επιτροπή ως πάροχο της κοινής υποδομής επικοινωνιών.

11.

Αξίζει να υπενθυμίσουμε μερικές συστάσεις της παρούσας γνώμης:

12.

Οι συστάσεις αυτές εξακολουθούν να είναι ενδεικτικές του πλαισίου στο οποίο θα γίνει η ανάλυση της τρέχουσας ανακοίνωσης.

13.

Η ηλεκτρονική δικαιοσύνη έχει πολύ εκτεταμένη εμβέλεια, συμπεριλαμβανομένης εν γένει της χρήσης των ΤΠΕ κατά την απονομή της δικαιοσύνης εντός της Ευρωπαϊκής Ένωσης. Αυτό καλύπτει διάφορα θέματα όπως σχέδια για την αποτελεσματικότερη ενημέρωση των διαδίκων. Μεταξύ αυτών περιλαμβάνονται η επιγραμμική ενημέρωση για τα δικαστικά συστήματα, την νομοθεσία και την νομολογία, ηλεκτρονικά συστήματα επικοινωνιών που συνδέουν διαδίκους και δικαστήρια και η θέσπιση πλήρως ηλεκτρονικών διαδικασιών. Καλύπτονται επίσης ευρωπαϊκά σχέδια όπως η χρήση ηλεκτρονικών εργαλείων για την καταγραφή των ακροάσεων και σχέδια που συνεπάγονται ανταλλαγή πληροφοριών ή διασύνδεση.

14.

Ακόμη κι αν είναι πολύ εκτεταμένη η εμβέλεια, ο ΕΕΠΔ πρόσεξε ότι θα υπάρχει πληροφόρηση για ποινικές διαδικασίες και για αστικά και εμπορικά δικαστικά συστήματα, όχι όμως για διοικητικά δικαστικά συστήματα. Και θα υπάρχει σύνδεση με Ποινικό και Αστικό Άτλαντα, αλλά όχι με Διοικητικό Άτλαντα, αν και θα ήταν ίσως προτιμότερο να έχουν οι πολίτες και οι επιχειρήσεις πρόσβαση σε διοικητικά δικαστικά συστήματα, ήτοι σε διαδικασίες διοικητικού δικαίου και υποβολής καταγγελιών. Θα πρέπει επίσης να προβλεφθεί σύνδεση με την Ένωση Συμβουλίων Επικρατείας. Οι προσθήκες αυτές θα ήταν καλύτερες για τους πολίτες που αναζητούν την έξοδο από τον Λαβύρινθο — όπως είναι συχνά το διοικητικό δίκαιο με τα όλα τα διοικητικά δικαστήρια — προκειμένου να αποκτήσουν καλύτερη ενημέρωση σχετικά με τα διοικητικά δικαστικά συστήματα.

15.

Ο ΕΕΠΔ εισηγείται επομένως να συμπεριληφθούν οι διοικητικές διαδικασίες στην ηλεκτρονική δικαιοσύνη. Ως μέρος αυτού του νέου στοιχείου, θα πρέπει να τεθούν σε εφαρμογή σχέδια ηλεκτρονικής δικαιοσύνης προκειμένου να αποκτήσουν μεγαλύτερη προβολή οι κανόνες προστασίας των δεδομένων καθώς και οι εθνικές αρχές προστασίας δεδομένων, ιδίως σε σχέση με τα είδη των δεδομένων που υφίστανται επεξεργασία στο πλαίσιο της ηλεκτρονικής δικαιοσύνης. Αυτό θα ήταν σύμφωνο με τη λεγόμενη «πρωτοβουλία του Λονδίνου», η οποία δρομολογήθηκε από τις αρχές προστασίας δεδομένων τον Νοέμβριο του 2006 και επιδιώκει την «Κοινοποίηση και μεγαλύτερη αποτελεσματικότητα της προστασίας δεδομένων».

16.

Λόγω της ενισχυμένης ανταλλαγής προσωπικών δεδομένων μεταξύ δικαστικών αρχών η οποία προβλέπεται στην ανακοίνωση, το εφαρμοστέο νομικό πλαίσιο προστασίας δεδομένων αποκτά ακόμη μεγαλύτερη σημασία. Σε αυτό το πλαίσιο, ο ΕΕΠΔ σημειώνει ότι, τρία έτη μετά την αρχική πρόταση της Επιτροπής, το Συμβούλιο της Ευρωπαϊκής Ένωσης εξέδωσε στις 27 Νοεμβρίου την απόφαση πλαίσιο για την προστασία δεδομένων προσωπικού χαρακτήρα στον τομέα της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις (8). Αυτή η νέα πράξη θα παράσχει γενικό νομικό πλαίσιο για την προστασία των δεδομένων σε υποθέσεις του «τρίτου πυλώνα», πέραν των διατάξεων περί προστασίας των δεδομένων του «πρώτου πυλώνα» που περιέχονται στην οδηγία 95/46/ΕΚ.

17.

Ο ΕΕΠΔ χαιρετίζει αυτή την νομική πράξη ως ένα πρώτο σημαντικό βήμα για την προστασία των δεδομένων στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας. Ωστόσο, το επίπεδο προστασίας των δεδομένων που επιτυγχάνεται στο τελικό κείμενο δεν είναι πλήρως ικανοποιητικό. Ειδικότερα, η απόφαση πλαίσιο καλύπτει μόνο τα αστυνομικά και δικαστικά δεδομένα που ανταλλάσσονται μεταξύ κρατών μελών, αρχών και συστημάτων της ΕΕ, και δεν περιλαμβάνει εθνικά δεδομένα. Επιπλέον, η εκδοθείσα απόφαση πλαίσιο δεν προβλέπει την υποχρέωση διάκρισης μεταξύ διαφορετικών κατηγοριών υποκειμένων δεδομένων όπως ύποπτοι, εγκληματίες, μάρτυρες και θύματα, προκειμένου να εξασφαλίσει ότι η επεξεργασία των δεδομένων τους υπόκειται σε καταλληλότερες διασφαλίσεις. Δεν προβλέπει πλήρη συνοχή με την οδηγία 95/46/ΕΚ, ιδίως όσον αφορά τον περιορισμό των σκοπών για τους οποίους επιτρέπεται η περαιτέρω επεξεργασία των προσωπικών δεδομένων. Ούτε προβλέπει ανεξάρτητη ομάδα οικείων εθνικών και κοινοτικών αρχών προστασίας των δεδομένων, η οποία θα μπορούσε να εξασφαλίσει τόσο καλύτερο συντονισμό μεταξύ των αρχών προστασίας δεδομένων όσο και ουσιαστική συμβολή στην ενιαία εφαρμογή της απόφασης πλαισίου.

18.

Αυτό θα σήμαινε ότι, σε ένα πλαίσιο στο οποίο καταβάλλονται πολλές προσπάθειες για την ανάπτυξη κοινών συστημάτων διασυνοριακής ανταλλαγής προσωπικών δεδομένων, εξακολουθούν να υπάρχουν αποκλίσεις όσον αφορά τους κανόνες οι οποίοι διέπουν τα δεδομένα αυτά και την άσκηση των δικαιωμάτων των πολιτών στις διάφορες χώρες της ΕΕ.

19.

Και πάλι ο ΕΕΠΔ υπενθυμίζει ότι η εξασφάλιση υψηλού επιπέδου προστασίας δεδομένων στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας, καθώς και η συνοχή με την οδηγία 95/46/ΕΚ, αποτελεί απαραίτητο συμπλήρωμα άλλων μέτρων που έχουν ληφθεί ή προβλέπονται για τη διευκόλυνση της διασυνοριακής ανταλλαγής προσωπικών δεδομένων στο πλαίσιο της επιβολής του νόμου. Αυτό απορρέει όχι μόνο από το δικαίωμα των πολιτών να γίνεται σεβαστό το θεμελιώδες δικαίωμα της προστασίας των προσωπικών δεδομένων, αλλά και από την ανάγκη των αρχών επιβολής του νόμου να εξασφαλίζουν την ποιότητα των δεδομένων που ανταλλάσσονται — όπως επιβεβαιώνεται από το παράρτημα της ανακοίνωσης όσον αφορά τη διασύνδεση των ποινικών μητρώων — την εμπιστοσύνη μεταξύ των αρχών των διαφόρων χωρών και τέλος την νομική εγκυρότητα των στοιχείων που συλλέγονται σε διασυνοριακό πλαίσιο.

20.

Επομένως, ο ΕΕΠΔ ενθαρρύνει τα θεσμικά όργανα της ΕΕ να λαμβάνουν ειδικά υπόψη τα στοιχεία αυτά, όχι μόνο κατά την εφαρμογή των προβλεπόμενων στην ανακοίνωση μέτρων αλλά και με σκοπό την όσο το δυνατόν συντομότερη έναρξη της μελέτης περαιτέρω βελτιώσεων του νομικού πλαισίου για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

21.

Ο ΕΕΠΔ αναγνωρίζει ότι οι ανταλλαγές προσωπικών δεδομένων αποτελούν ουσιώδη στοιχεία της δημιουργίας ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης. Για το λόγο αυτόν ο ΕΕΠΔ υποστηρίζει την πρόταση για μία στρατηγική ηλεκτρονικής δικαιοσύνης, ενώ επισημαίνει ταυτόχρονα τη σημασία της προστασίας δεδομένων στο πλαίσιο αυτό. Πράγματι, ο σεβασμός της προστασίας δεδομένων δεν αποτελεί μόνο νομική υποχρέωση, αλλά βασικό στοιχείο για την επιτυχία των εξεταζόμενων συστημάτων, π.χ. για την εξασφάλιση της ποιότητας των ανταλλαγών δεδομένων. Αυτό ισχύει επίσης για τα θεσμικά όργανα και τους φορείς όταν προβαίνουν σε επεξεργασία προσωπικών δεδομένων κατά την ανάπτυξη νέων πολιτικών. Απαιτείται η εφαρμογή και η πρακτική τήρηση κανόνων και αρχών και η ειδική συνεκτίμησή τους κατά τη φάση σχεδιασμού και οικοδόμησης των συστημάτων πληροφοριών. Η προστασία της ιδιωτικής ζωής και των δεδομένων αποτελούν στην ουσία «βασικούς παράγοντες επιτυχίας» για μία ευημερούσα και ισορροπημένη κοινωνία των πληροφοριών. Είναι επομένως λογικό να επενδύει κανείς στους παράγοντες αυτούς και μάλιστα το νωρίτερο δυνατόν.

22.

Σε αυτό το πλαίσιο, ο ΕΕΠΔ υπογραμμίζει ότι η ανακοίνωση δεν προβλέπει κεντρική ευρωπαϊκή βάση δεδομένων. Συμφωνεί με την επιλογή αποκεντρωμένων δομών. Ο ΕΕΠΔ υπενθυμίζει ότι εξέδωσε γνώμη για το ECRIS (9) και για την πρωτοβουλία Prüm (10). Στη γνώμη του για το ECRIS, ο ΕΕΠΔ εξέφρασε τη γνώμη ότι με μία αποκεντρωμένη δομή αποφεύγεται η πρόσθετη επικάλυψη προσωπικών δεδομένων σε μία κεντρική βάση δεδομένων. Στη γνώμη του για την πρωτοβουλία Prüm, συμβούλευσε να λαμβάνεται δεόντως υπόψη η κλίμακα του συστήματος κατά τη συζήτηση της διασύνδεσης μεταξύ των βάσεων δεδομένων. Ειδικότερα, θα πρέπει να θεσπισθούν ειδικοί μορφότυποι για την κοινοποίηση των δεδομένων, όπως επιγραμμικές αιτήσεις για πληροφορίες ποινικού μητρώου, λαμβανομένων επίσης υπόψη των γλωσσικών διαφορών, η δε ακρίβεια των ανταλλαγών δεδομένων θα πρέπει να παρακολουθείται σταθερά. Τα στοιχεία αυτά θα πρέπει να λαμβάνονται επίσης υπόψη στο πλαίσιο πρωτοβουλιών που απορρέουν από τη στρατηγική ηλεκτρονικής δικαιοσύνης.

23.

Η Ευρωπαϊκή Επιτροπή προτίθεται να συμβάλει στην ενίσχυση και την ανάπτυξη εργαλείων ηλεκτρονικής δικαιοσύνης σε ευρωπαϊκό επίπεδο, σε στενό συντονισμό με τα κράτη μέλη και με άλλους εταίρους. Παράλληλα με την υποστήριξη των προσπαθειών των κρατών μελών, προτίθεται να αναπτύξει η ίδια ορισμένα ηλεκτρονικά εργαλεία για να αυξηθεί η διαλειτουργικότητα των συστημάτων, να διευκολυνθεί η πρόσβαση του κοινού στη δικαιοσύνη και η επικοινωνία μεταξύ δικαστικών αρχών και να πραγματοποιηθούν σημαντικές οικονομίες κλίμακας σε ευρωπαϊκό επίπεδο. Όσον αφορά τη διαλειτουργικότητα του λογισμικού που χρησιμοποιείται από τα κράτη μέλη, δεν είναι υποχρεωτικό να χρησιμοποιούν όλα τα κράτη μέλη το αυτό λογισμικό — αν και αυτό θα ήταν η πιο πρακτική λύση — το λογισμικό όμως θα πρέπει να είναι πλήρως διαλειτουργικό.

24.

Ο ΕΕΠΔ εισηγείται να ληφθεί δεόντως υπόψη η βασική αρχή περιορισμού του σκοπού για τη διασύνδεση και διαλειτουργικότητα των συστημάτων οι οποίες πρέπει να αναπτυχθούν βάσει προδιαγραφών προστασίας των δεδομένων (προστασία της ιδιωτικής ζωής εκ κατασκευής «privacy by design»). Οιαδήποτε μορφή διάδρασης μεταξύ διαφορετικών συστημάτων θα πρέπει να τεκμηριώνεται διεξοδικά. Η διαλειτουργικότητα δεν πρέπει ποτέ να οδηγεί σε μία κατάσταση κατά την οποία μία αρχή, η οποία δεν νομιμοποιείται να έχει πρόσβαση σε ορισμένα δεδομένα ή να τα χρησιμοποιεί, μπορεί να αποκτά την πρόσβαση αυτή μέσω άλλου συστήματος πληροφοριών. Ο ΕΕΠΔ θέλει να τονίσει εκ νέου ότι η διαλειτουργικότητα δεν θα πρέπει αφ' εαυτής να αιτιολογεί τη παράκαμψη της αρχής περιορισμού του σκοπού (11).

25.

Επιπλέον, άλλο κρίσιμο θέμα είναι να εξασφαλισθεί ότι η ενισχυμένη διασυνοριακή ανταλλαγή προσωπικών δεδομένων θα συνοδεύεται από ενισχυμένη εποπτεία και συνεργασία από τις αρχές προστασίας των δεδομένων. Ο ΕΕΠΔ έχει ήδη επισημάνει, στη γνώμη του της 29ης Μαΐου 2006 για την απόφαση πλαίσιο σχετικά με την ανταλλαγή πληροφοριών που προέρχονται από το ποινικό μητρώο (12), ότι η προτεινόμενη απόφαση πλαίσιο δεν θα πρέπει να εξετάζει μόνο τη συνεργασία μεταξύ των κεντρικών αρχών αλλά και τη συνεργασία μεταξύ των διαφόρων αρμοδίων αρχών προστασίας δεδομένων. Η ανάγκη αυτή έχει καταστεί ακόμη πιο επιτακτική από τη στιγμή που οι διαπραγματεύσεις για την πρόσφατα εκδοθείσα απόφαση πλαίσιο σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα που εξετάζονται στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας (13) οδήγησε στη διαγραφή της διάταξης για τη σύσταση ομάδας εργασίας στην οποία συνέρχονται αρχές προστασίας δεδομένων της ΕΕ και για το συντονισμό των δραστηριοτήτων τους όσον αφορά την επεξεργασία των δεδομένων στο πλαίσιο αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις. Επομένως, με σκοπό την εξασφάλιση αποτελεσματικής εποπτείας καθώς και καλής ποιότητας της διασυνοριακής κυκλοφορίας δεδομένων που προέρχονται από τα ποινικά μητρώα, θα πρέπει να προβλεφθούν μηχανισμοί αποτελεσματικού συντονισμού μεταξύ των αρχών προστασίας δεδομένων (14). Οι μηχανισμοί αυτοί θα πρέπει επίσης να λαμβάνουν υπόψη την εποπτική αρμοδιότητα του ΕΕΠΔ όσον αφορά την υποδομή s-TESTA (15). Τα εργαλεία ηλεκτρονικής δικαιοσύνης θα μπορούσαν να υποστηρίξουν τους μηχανισμούς αυτούς που θα μπορούσαν να αναπτυχθούν σε στενή συνεργασία με τις αρχές προστασίας δεδομένων.

26.

Στην § 4.2.1, της ανακοίνωσης επισημαίνεται ότι θα είναι σημαντικό για την ανταλλαγή πληροφοριών ποινικού μητρώου να αναληφθεί δράση πέραν της δικαστικής συνεργασίας προκειμένου να συμπεριληφθούν και άλλοι στόχοι, π.χ. η πρόσβαση σε ορισμένες θέσεις. Ο ΕΕΠΔ τονίζει ότι οιαδήποτε επεξεργασία προσωπικών δεδομένων για σκοπούς άλλους από αυτούς για τους οποίους συνελέγησαν θα πρέπει να γίνεται τηρουμένων των ειδικών όρων που προβλέπονται στην εφαρμοστέα νομοθεσία περί προστασίας δεδομένων. Ειδικότερα, η επεξεργασία προσωπικών δεδομένων για περαιτέρω σκοπούς θα πρέπει να επιτρέπεται μόνο εφόσον απαιτείται για την επιδίωξη συμφερόντων που αναφέρονται στην κοινοτική νομοθεσία για την προστασία δεδομένων (16) και εφόσον προβλέπονται βάσει νομοθετικών μέτρων.

27.

Η Ανακοίνωση ορίζει, όσον αφορά τη διασύνδεση ποινικών μητρώων, ότι στο πλαίσιο των προετοιμασιών για την έναρξη ισχύος της απόφασης πλαισίου σχετικά με την ανταλλαγή πληροφοριών που προέρχονται από το ποινικό μητρώο, η Επιτροπή θα δρομολογήσει δύο μελέτες περί του εφικτού προκειμένου να οργανώσει το σχέδιο καθώς αναπτύσσεται και να διευρύνει την ανταλλαγή των πληροφοριών για να καλύπτονται οι υπήκοοι τρίτων χωρών που έχουν καταδικασθεί για αξιόποινες πράξεις. Το 2009, η Επιτροπή θα παράσχει στα κράτη μέλη λογισμικό το οποίο θα είναι σχεδιασμένο για να επιτρέπει την ανταλλαγή πληροφοριών από όλα τα ποινικά μητρώα εντός σύντομης προθεσμίας. Το εν λόγω σύστημα αναφοράς, συνδυασμένο με τη χρήση της s-TESTA για την ανταλλαγή πληροφοριών, θα συμβάλει σε οικονομίες κλίμακας διότι τα κράτη μέλη δεν θα πρέπει να αναλάβουν τα ίδια εργασίες ανάπτυξης. Έτσι θα είναι επίσης ευκολότερη η διαχείριση του σχεδίου.

28.

Από αυτή την προοπτική, ο ΕΕΠΔ χαιρετίζει τη χρήση της υποδομής s-TESTA, η οποία έχει αποδειχθεί αξιόπιστο σύστημα για την ανταλλαγή δεδομένων, και εισηγείται να ορισθούν αναλυτικά τα στατιστικά στοιχεία που αφορούν τα προβλεπόμενα συστήματα ανταλλαγής δεδομένων, λαμβανομένης δεόντως υπόψη της ανάγκης να εξασφαλισθεί η εποπτεία της προστασίας των δεδομένων. Φερ' ειπείν, τα στατιστικά δεδομένα θα μπορούσαν να συμπεριλαμβάνουν ρητά στοιχεία όπως ο αριθμός των αιτήσεων για πρόσβαση σε προσωπικά δεδομένα ή για τη διόρθωσή τους, η διάρκεια και ο βαθμός ολοκλήρωσης της διαδικασίας ενημέρωσης, η ιδιότητα των προσώπων που έχουν πρόσβαση στα δεδομένα αυτά καθώς και οι περιπτώσεις παραβιάσεων της ασφάλειας. Επιπλέον, τα στατιστικά δεδομένα και οι εκθέσεις που βασίζονται σε αυτά θα πρέπει να είναι πλήρως διαθέσιμες στις αρμόδιες αρχές προστασίας δεδομένων.

29.

Η χρήση της αυτόματης μετάφρασης αποτελεί χρήσιμο εργαλείο και ενδέχεται να ευνοήσει την αμοιβαία κατανόηση μεταξύ ενδιαφερομένων φορέων στα κράτη μέλη. Ωστόσο, η χρήση της αυτόματης μετάφρασης δεν θα πρέπει να οδηγήσει σε χειρότερη ποιότητα των ανταλλασσόμενων πληροφοριών, ιδίως όταν οι πληροφορίες αυτές χρησιμοποιούνται για τη λήψη αποφάσεων που έχουν νομικές συνέπειες για τους ενδιαφερομένους. Ο ΕΕΠΔ τονίζει τη σημασία του σαφούς καθορισμού και της οριοθέτησης της χρήσης της αυτόματης μετάφρασης. Η χρήση της αυτόματης μετάφρασης για τη διαβίβαση πληροφοριών που δεν έχουν μεταφρασθεί εκ των προτέρων με ακρίβεια, όπως πρόσθετα σχόλια ή διευκρινίσεις που προστίθενται σε μεμονωμένες περιπτώσεις, ενδέχεται να επηρεάσει την ποιότητα των διαβιβαζομένων πληροφοριών — και άρα των αποφάσεων που λαμβάνονται βάσει αυτών — και θα πρέπει κατ' αρχήν να αποκλείεται (17). Ο ΕΕΠΔ προτείνει να ληφθεί υπόψη η σύσταση αυτή στα μέτρα που απορρέουν από την Ανακοίνωση.

30.

Σκοπός της ανακοίνωσης είναι η δημιουργία βάσης δεδομένων νομικών μεταφραστών και διερμηνέων προκειμένου να υπάρξει βελτίωση της ποιότητας της νομικής μετάφρασης και διερμηνείας. Ο ΕΕΠΔ υποστηρίζει το στόχο αυτόν, υπενθυμίζει όμως ότι η εν λόγω βάση δεδομένων θα υπόκειται στην εφαρμογή της οικείας νομοθεσίας περί προστασίας δεδομένων. Ειδικότερα, αν η βάση περιέχει δεδομένα αξιολόγησης των επιδόσεων των μεταφραστών, μπορεί να υπόκειται σε προηγούμενο έλεγχο των αρμόδιων αρχών προστασίας δεδομένων.

31.

Στην § 5, της ανακοίνωσης επισημαίνεται ότι απαιτείται σαφής κατανομή των αρμοδιοτήτων μεταξύ της Επιτροπής, των κρατών μελών και άλλων φορέων εμπλεκομένων στη δικαστική συνεργασία. Η Επιτροπή θα αναλάβει γενικό ρόλο συντονισμού ενθαρρύνοντας την ανταλλαγή πρακτικών και θα σχεδιάσει, διαμορφώσει και συντονίσει τις πληροφορίες για τη δικτυακή πύλη ηλεκτρονικής δικαιοσύνης. Εκτός αυτού, η Επιτροπή θα συνεχίσει τις εργασίες διασύνδεσης των ποινικών μητρώων και θα εξακολουθήσει να αναλαμβάνει άμεση ευθύνη για το αστικό νομικό δίκτυο και να υποστηρίζει το ποινικό νομικό δίκτυο. Τα κράτη μέλη θα πρέπει να ενημερώσουν τις πληροφορίες για τα δικαστικά τους συστήματα οι οποίες εμφανίζονται στη σελίδα ηλεκτρονικής δικαιοσύνης. Άλλοι φορείς είναι τα νομικά δίκτυα αστικού και ποινικού δικαίου και η Eurojust. Θα αναπτύξουν τα απαιτούμενα εργαλεία για μία πιο αποτελεσματική δικαστική συνεργασία, ειδικότερα αυτοματοποιημένα εργαλεία μετάφρασης και το ασφαλές σύστημα ανταλλαγών, σε στενή επαφή με την Επιτροπή. Στην ανακοίνωση επισυνάπτονται σχέδιο προγράμματος δράσης και χρονοδιάγραμμα για τα διάφορα σχέδια.

32.

Στο πλαίσιο αυτό, ο ΕΕΠΔ τονίζει ότι στο σύστημα ECRIS αφενός δεν έχει θεσπισθεί κεντρική ευρωπαϊκή βάση δεδομένων και δεν προβλέπεται άμεση πρόσβαση σε βάσεις δεδομένων όπως αυτές που περιέχουν ποινικά μητρώα άλλων κρατών μελών, ενώ αφετέρου σε εθνικό επίπεδο τις αρμοδιότητες για την παροχή ορθών πληροφοριών συγκεντρώνουν οι κεντρικές αρχές των κρατών μελών. Στο πλαίσιο του μηχανισμού αυτού τα κράτη μέλη είναι υπεύθυνα για τη λειτουργία των εθνικών βάσεων δεδομένων και για την αποτελεσματική διεκπεραίωση των ανταλλαγών. Δεν είναι σαφές αν είναι υπεύθυνα για το λογισμικό διασύνδεσης ή όχι. Η Επιτροπή θα εφοδιάσει τα κράτη μέλη με λογισμικό σχεδιασμένο για να επιτρέπει την ανταλλαγή πληροφοριών από όλα τα ποινικά μητρώα εντός σύντομου χρονικού διαστήματος. Το εν λόγω σύστημα αναφοράς θα συνδυασθεί με τη χρήση της s-TESTA για την ανταλλαγή πληροφοριών.

33.

Ο ΕΕΠΔ κατανοεί ότι και στο πλαίσιο ανάλογων πρωτοβουλιών ηλεκτρονικής δικαιοσύνης θα μπορούσαν να εφαρμοσθούν παρόμοια συστήματα και η Επιτροπή θα είναι υπεύθυνη για την κοινή υποδομή, αν και αυτό δεν προσδιορίζεται στην ανακοίνωση. Ο ΕΕΠΔ προτείνει να διευκρινισθεί η αρμοδιότητα αυτή στα μέτρα που απορρέουν από την ανακοίνωση, για λόγους νομικής σαφήνειας.

34.

Στο Παράρτημα περιλαμβάνεται σειρά σχεδίων που θα αναπτυχθούν κατά την επόμενη πενταετία. Το πρώτο σχέδιο, ανάπτυξη σελίδων ηλεκτρονικής δικαιοσύνης, αφορά τη δικτυακή πύλη ηλεκτρονικής δικαιοσύνης. Η δράση απαιτεί μελέτη εφικτού και ανάπτυξη της πύλης, καθώς και υλοποίηση διαχειριστικών μεθόδων και επιγραμμική ενημέρωση σε όλες τις γλώσσες της ΕΕ. Το δεύτερο και τρίτο σχέδιο αφορούν τη διασύνδεση εθνικών ποινικών μητρώων. Το σχέδιο 3 προβλέπει τη δημιουργία ευρωπαϊκού μητρώου καταδικασθέντων υπηκόων τρίτων χωρών, εκτός από μελέτη εφικτού και την υποβολή νομοθετικής πρότασης. Ο ΕΕΠΔ σημειώνει ότι το τελευταίο σχέδιο δεν αναφέρεται πλέον στο πρόγραμμα εργασίας της Επιτροπής, και διερωτάται αν αυτό αντανακλά μεταβολή στα προβλεπόμενα σχέδια της Επιτροπής ή απλώς αναβολή αυτού του συγκεκριμένου σχεδίου.

35.

Στην ανακοίνωση απαριθμούνται επίσης τρία σχέδια στον τομέα των ηλεκτρονικών ανταλλαγών και τρία σχέδια στον τομέα της βοήθειας για μετάφραση. Θα τεθεί σε εφαρμογή πιλοτικό σχέδιο για τη σταδιακή συμπίληση συγκριτικού πολυγλωσσικού νομικού λεξικού. Άλλα συναφή σχέδια αφορούν τη δημιουργία δυναμικών εγγράφων για να συνοδεύουν ευρωπαϊκά νομοθετικά κείμενα καθώς και την ενίσχυση της χρήσης τηλεεικονοδιάσκεψης από τις δικαστικές αρχές. Τέλος, ως τμήμα των φόρουμ ηλεκτρονικής δικαιοσύνης, θα διοργανώνονται ετήσιες συνεδριάσεις για θέματα που αφορούν την ηλεκτρονική δικαιοσύνη και θα αναπτυχθεί η εκπαίδευση των νομικών επαγγελματιών σε θέματα δικαστικής συνεργασίας. Ο ΕΕΠΔ προτείνει να αντιμετωπίζονται με τη δέουσα προσοχή οι κανόνες και οι πρακτικές προστασίας δεδομένων κατά τις συνεδριάσεις αυτές και κατά την παροχή της προαναφερόμενης εκπαίδευσης.

36.

Το παράρτημα άρα προβλέπει ευρύ φάσμα ευρωπαϊκών εργαλείων, με σκοπό τη διευκόλυνση της ανταλλαγής πληροφοριών μεταξύ φορέων στα διάφορα κράτη μέλη. Μεταξύ των εργαλείων αυτών σημαντικό ρόλο θα παίξει η δικτυακή πύλη ηλεκτρονικής δικαιοσύνης, για την οποία κυρίως υπεύθυνη θα είναι η Επιτροπή.

37.

Κοινό χαρακτηριστικό πολλών από τα εργαλεία αυτά θα είναι ότι η ανταλλαγή και η διαχείριση των πληροφοριών, και των προσωπικών δεδομένων, θα γίνεται, τόσο σε εθνικό όσο και σε κοινοτικό επίπεδο, από διαφορετικούς φορείς οι οποίοι υπόκεινται σε υποχρεώσεις προστασίας δεδομένων και σε εποπτικές αρχές που ιδρύονται με βάση την οδηγία 95/46/ΕΚ ή τον κανονισμό (ΕΚ) αριθ. 45/2001. Εν προκειμένω, όπως έχει ήδη καταστεί σαφές από τον ΕΕΠΔ στη γνώμη του για το σύστημα πληροφόρησης της εσωτερικής αγοράς (IMI) (18), είναι βασικό να εξασφαλισθεί ότι οι ευθύνες όσον αφορά τη συμμόρφωση με τους κανόνες για την προστασία δεδομένων ασκούνται αποτελεσματικά κα άνευ προσκόμματος.

38.

Αυτό απαιτεί βασικά αφενός τον σαφή καθορισμό και την κατανομή των ευθυνών για την επεξεργασία προσωπικών δεδομένων στο πλαίσιο των συστημάτων αυτών αφετέρου ότι θεσπίζονται, οσάκις απαιτείται, οι κατάλληλοι συντονιστικοί μηχανισμοί.

39.

Η χρήση των νέων τεχνολογιών είναι ένας από τους ακρογωνιαίους λίθους της πρωτοβουλίας για την ηλεκτρονική δικαιοσύνη: η διασύνδεση των εθνικών μητρώων, η ανάπτυξη της ηλεκτρονικής υπογραφής, οι πλατφόρμες εικονικών ανταλλαγών και η ενισχυμένη χρήση τηλεεικονοδιάσκεψης θα αποτελέσουν ουσιώδη στοιχεία των πρωτοβουλιών για την ηλεκτρονική δικαιοσύνη κατά τα επόμενα έτη.

40.

Στο πλαίσιο αυτό, είναι βασικό να λαμβάνονται υπόψη τα θέματα προστασίας των δεδομένων το νωρίτερο δυνατόν και να ενσωματώνονται στη δομή των προβλεπόμενων εργαλείων. Ειδικότερα, τόσο η δομή του συστήματος όσο και η εφαρμογή κατάλληλων μέτρων ασφαλείας έχουν ιδιαίτερη σημασία. Η προσέγγιση αυτή της «προστασίας της ιδιωτικής ζωής εκ κατασκευής» θα επέτρεπε την αποτελεσματική διαχείριση των προσωπικών δεδομένων σύμφωνα με τις συναφείς πρωτοβουλίες για την ηλεκτρονική δικαιοσύνη, εξασφαλίζοντας ταυτόχρονα τη συμμόρφωση με τις αρχές προστασίας δεδομένων και την ασφάλεια των ανταλλαγών δεδομένων μεταξύ διαφόρων αρχών.

41.

Επιπλέον, ο ΕΕΠΔ επισημαίνει ότι τα τεχνολογικά εργαλεία θα πρέπει να χρησιμοποιούνται όχι μόνο για την ασφάλεια της ανταλλαγής πληροφοριών, αλλά και για την ενίσχυση των δικαιωμάτων των ενδιαφερομένων. Από την προοπτική αυτή, ο ΕΕΠΔ χαιρετίζει το γεγονός ότι η ανακοίνωση αναφέρεται στη δυνατότητα των πολιτών να ζητούν τα ποινικά τους μητρώα ηλεκτρονικά και στη γλώσσα της επιλογής τους (19). Όσον αφορά το θέμα αυτό, ο ΕΕΠΔ υπενθυμίζει ότι είχε εκφράσει ικανοποίηση, στη γνώμη του για την πρόταση της Επιτροπής σχετικά με την ανταλλαγή πληροφοριών προερχομένων από το ποινικό μητρώο, για τη δυνατότητα του ενδιαφερομένου να ζητά πληροφορίες από το δικό του ποινικό μητρώο από την κεντρική αρχή κράτους μέλους, εφόσον ο ενδιαφερόμενος διαμένει ή διέμενε στο κράτος μέλος από το οποίο ζητείται ή το οποίο ζητεί την πληροφορία, ή έχει την ιθαγένεια ενός εκ των κρατών αυτών. Η ιδέα της χρησιμοποίησης ως «μονοαπευθυντικής αρχής» της αρχής η οποία είναι εγγύτερη προς τον ενδιαφερόμενο προτάθηκε επίσης από τον ΕΕΠΔ στον τομέα του συντονισμού των συστημάτων κοινωνικής ασφάλισης. Επομένως, ο ΕΕΠΔ ενθαρρύνει την Επιτροπή να συνεχίσει να ακολουθεί την αυτή πορεία, υποστηρίζοντας τεχνολογικά εργαλεία — και συγκεκριμένα, επιγραμμική πρόσβαση — τα οποία επιτρέπουν στους πολίτες να έχουν μεγαλύτερο έλεγχο των προσωπικών τους δεδομένων ακόμη και όταν μετακινούνται μεταξύ διαφόρων κρατών μελών.

42.

Ο ΕΕΠΔ υποστηρίζει την παρούσα πρόταση για την καθιέρωση ηλεκτρονικής δικαιοσύνης και εισηγείται να ληφθούν υπόψη οι παρατηρήσεις που έγιναν στην παρούσα γνώμη, ήτοι:

6.6.2009   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 128/20

1.

Στις 2 Ιουλίου 2008, η Επιτροπή υιοθέτησε πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την εφαρμογή των δικαιωμάτων των ασθενών στη διασυνοριακή υγειονομική περίθαλψη (εφεξής: «η πρόταση»). (1) Η Επιτροπή υπέβαλε την πρόταση στον ΕΕΠΔ προς γνωμοδότηση σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001.

2.

Η πρόταση αποσκοπεί στον καθορισμό κοινοτικού πλαισίου για την παροχή διασυνοριακής υγειονομικής περίθαλψης εντός της ΕΕ για τις περιπτώσεις κατά τις οποίες η περίθαλψη που επιζητούν οι ασθενείς παρέχεται σε κράτος μέλος διαφορετικό από την πατρίδα τους. Η πρόταση διαρθρώνεται γύρω από τρεις κύριους άξονες:

3.

Ο στόχος του πλαισίου αυτού είναι διττός: σαφής καθορισμός των δικαιωμάτων για επιστροφή δαπανών για υγειονομική περίθαλψη που παρέχεται σε άλλα κράτη μέλη, και εξασφάλιση της τήρησης των αναγκαίων απαιτήσεων για ασφαλή και αποτελεσματική διασυνοριακή υγειονομική περίθαλψη υψηλής ποιότητας.

4.

Για την εφαρμογή ενός συστήματος διασυνοριακής υγειονομικής περίθαλψης απαιτείται ανταλλαγή των σχετικών δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία (εφεξής: «δεδομένα υγείας») των ασθενών μεταξύ των εγκεκριμένων φορέων και των επαγγελματιών του τομέα της υγείας των διαφόρων κρατών μελών. Τα δεδομένα αυτά θεωρούνται ευαίσθητα και εμπίπτουν στους αυστηρότερους κανόνες προστασίας δεδομένων που προβλέπονται στο άρθρο 8 της οδηγίας 95/46/ΕΚ για τις ειδικές κατηγορίες δεδομένων.

5.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι ζητείται η γνώμη του για το ζήτημα αυτό και ότι η αίτηση γνωμοδότησης αναφέρεται στο προοίμιο της πρότασης, σύμφωνα με το άρθρο 28 του κανονισμού (ΕΚ) αριθ. 45/2001.

6.

Είναι η πρώτη φορά που ζητείται επίσημα η γνώμη του ΕΕΠΔ για πρόταση οδηγίας στον τομέα της υγείας. Επομένως, στην παρούσα γνώμη, ορισμένα σχόλια έχουν ευρύτερη εμβέλεια και καλύπτουν γενικά ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα στον τομέα της υγείας τα οποία θα μπορούσαν να ισχύουν και για άλλες νομικές πράξεις (δεσμευτικές ή μη).

7.

Κατ′ αρχάς, ο ΕΕΠΔ επιθυμεί να δηλώσει ότι υποστηρίζει τις πρωτοβουλίες για τη βελτίωση των συνθηκών διασυνοριακής υγειονομικής περίθαλψης. Πράγματι, η πρόταση αυτή πρέπει να εξεταστεί στο πλαίσιο του γενικού κοινοτικού προγράμματος για τη βελτίωση της υγείας των πολιτών στην κοινωνία των πληροφοριών. Άλλες σχετικές πρωτοβουλίες είναι η αναμενόμενη οδηγία και ανακοίνωση της Επιτροπής για τη δωρεά και τη μεταμόσχευση ανθρώπινων οργάνων (2), η σύσταση περί της διαλειτουργικότητας των ηλεκτρονικών ιατρικών φακέλων (3), καθώς και η αναμενόμενη ανακοίνωση για την τηλεϊατρική (4). Ωστόσο, ο ΕΕΠΔ ανησυχεί για το γεγονός ότι όλες αυτές οι αλληλένδετες πρωτοβουλίες δεν συνδέονται στενά ή/και δεν είναι εναρμονισμένες ως προς το αντικείμενο της ιδιωτικότητας και της ασφάλειας των δεδομένων, γεγονός που εμποδίζει την υιοθέτηση ενιαίας προσέγγισης για την προστασία των δεδομένων στον τομέα της υγείας, ιδίως όσον αφορά τη χρήση νέων τεχνολογιών ΤΠΕ. Για παράδειγμα, στην υπό εξέταση πρόταση, μολονότι η τηλεϊατρική αναφέρεται ρητά στην αιτιολογική παράγραφο 10, δεν αναφέρεται καθόλου η διάσταση προστασίας δεδομένων της σχετικής ανακοίνωσης της Επιτροπής. Εξάλλου, μολονότι οι ηλεκτρονικοί ιατρικοί φάκελοι αποτελούν έναν τρόπο επικοινωνίας δεδομένων υγείας σε διασυνοριακό επίπεδο, η πρόταση δεν περιέχει αναφορά στην σχετική σύσταση της Επιτροπής. (5). Κατά αυτόν τον τρόπο, παρέχεται η εντύπωση ότι δεν έχει ακόμη αναπτυχθεί μια καθαρή συνολική θεώρηση των θεμάτων ιδιωτικότητας στον τομέα της υγείας και ότι, σε ορισμένες περιπτώσεις, η θεώρηση αυτή απουσιάζει τελείως.

8.

Αυτό είναι επίσης εμφανές στην εξεταζόμενη πρόταση, στην οποία ο ΕΕΠΔ με λύπη του διαπιστώνει ότι δεν αντιμετωπίζονται κατά συγκεκριμένο τρόπο οι επιπτώσεις ως προς την προστασία δεδομένων. Υπάρχουν βεβαίως αναφορές στην προστασία δεδομένων, αλλά οι αναφορές αυτές είναι γενικής φύσεως και δεν αντικατοπτρίζουν κατάλληλα τις συγκεκριμένες ανάγκες και απαιτήσεις όσον αφορά την ιδιωτικότητα στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης.

9.

Ο ΕΕΠΔ επιθυμεί να τονίσει ότι μια ομοιόμορφη και ουσιαστική προσέγγιση της προστασίας δεδομένων στις προτεινόμενες νομοθετικές πράξεις του τομέα της υγείας όχι μόνον θα διασφαλίσει το θεμελιώδες δικαίωμα των πολιτών για προστασία των δεδομένων τους, αλλά και θα συμβάλει στην περαιτέρω ανάπτυξη της διασυνοριακής υγειονομικής περίθαλψης στην ΕΕ.

10.

Ο κυριότερος στόχος της Ευρωπαϊκής Κοινότητας υπήρξε ανέκαθεν η εγκαθίδρυση μιας εσωτερικής αγοράς, δηλαδή ενός χώρου χωρίς εσωτερικά σύνορα εντός του οποίου εξασφαλίζεται η ελεύθερη κυκλοφορία εμπορευμάτων, προσώπων, υπηρεσιών και κεφαλαίων. Είναι, επομένως, φυσικό ότι η δυνατότητα των ατόμων να μετακινούνται και να διαμένουν ευκολότερα σε κράτη μέλη διαφορετικά από την πατρίδα τους οδήγησε σε ζητήματα σχετικά με την υγειονομική περίθαλψη. Για το λόγο αυτόν, κατά τη δεκαετία του 1990, το Ευρωπαϊκό Δικαστήριο αντιμετώπισε, στο πλαίσιο της εσωτερικής αγοράς, ζητήματα που αφορούν την ενδεχόμενη επιστροφή ιατρικών δαπανών που πραγματοποιούνται σε άλλο κράτος μέλος. Το Δικαστήριο αναγνώρισε ότι η ελευθερία παροχής υπηρεσιών, που προβλέπεται στο άρθρο 49 της συνθήκη ΕΚ, περιλαμβάνει την ελευθερία των ατόμων να μετακινούνται σε άλλο κράτος μέλος για υγειονομική περίθαλψη (6). Κατά συνέπεια, οι ασθενείς που επιθυμούν να λάβουν διασυνοριακή υγειονομική περίθαλψη δεν μπορούν πλέον να αντιμετωπίζονται διαφορετικά από τους υπηκόους της χώρας προέλευσής τους που λαμβάνουν την ίδια ιατρική περίθαλψη χωρίς να διαβαίνουν τα σύνορα.

11.

Αυτές οι αποφάσεις του Δικαστηρίου αποτελούν τον πυρήνα της εξεταζόμενης πρότασης. Αφού η νομολογία του Δικαστηρίου βασίζεται σε επί μέρους υποθέσεις, η εξεταζόμενη πρόταση αποσκοπεί στη βελτίωση της σαφήνειας ώστε να εξασφαλιστεί γενικότερη και ουσιαστικότερη εφαρμογή των ελευθεριών λήψης και παροχής υγειονομικών υπηρεσιών. Αλλά, όπως προαναφέρεται, η πρόταση εντάσσεται σε ένα πλέον φιλόδοξο πρόγραμμα για τη βελτίωση της υγείας των πολιτών στο πλαίσιο της κοινωνίας των πληροφοριών το οποίο, κατά την ΕΕ, προσφέρει σημαντικές δυνατότητες για τη βελτίωση της διασυνοριακής υγειονομικής περίθαλψης μέσω της χρήσης της τεχνολογίας των πληροφοριών.

12.

Για προφανείς λόγους, ο καθορισμός κανόνων για τη διασυνοριακή υγειονομική περίθαλψη είναι λεπτό ζήτημα που άπτεται ενός ευαίσθητου τομέα στον οποίον τα κράτη μέλη έχουν καθιερώσει διαφορετικά εθνικά συστήματα, π.χ. όσον αφορά την ασφάλιση και την επιστροφή των εξόδων ή την οργάνωση της υποδομής υγειονομικής περίθαλψης, συμπεριλαμβανομένων των σχετικών πληροφοριακών δικτύων και εφαρμογών. Μολονότι, στην εξεταζόμενη πρόταση, ο κοινοτικός νομοθέτης εστιάζει μόνον στη διασυνοριακή υγειονομική περίθαλψη, οι σχετικοί κανόνες θα επηρεάσουν τουλάχιστον τον τρόπο με τον οποίον οργανώνονται τα εθνικά συστήματα υγειονομικής περίθαλψης.

13.

Η βελτίωση των συνθηκών παροχής διασυνοριακής υγειονομικής περίθαλψης θα ωφελήσει τους πολίτες, παράλληλα όμως συνεπάγεται και ορισμένους κινδύνους γι' αυτούς. Πρέπει να επιλυθούν πολυάριθμα πρακτικά προβλήματα λόγω της διασυνοριακής συνεργασίας μεταξύ ατόμων από διαφορετικές χώρες με διαφορετικές γλώσσες. Αφού η ποιότητα της υγείας είναι το πρωταρχικό μέλημα κάθε πολίτη, θα πρέπει να αποφευχθούν οι κίνδυνοι παρανόησης και συνακόλουθης ανακρίβειας. Είναι προφανές ότι η βελτίωση της διασυνοριακής υγειονομικής περίθαλψης σε συνδυασμό με τις εξελίξεις της τεχνολογίας των πληροφοριών έχει σημαντικές επιπτώσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Λόγω της αποτελεσματικότερης και, άρα, αυξανόμενης ανταλλαγής δεδομένων υγείας, της αυξανόμενης απόστασης μεταξύ των ενδιαφερομένων και των αρμόδιων φορέων, και των διαφορών μεταξύ εθνικών νομοθετικών διατάξεων για την εφαρμογή των κανόνων προστασίας των δεδομένων, ανακύπτουν ζητήματα ασφάλειας των δεδομένων και ασφάλειας δικαίου.

14.

Πρέπει να τονιστεί ότι τα δεδομένα υγείας θεωρούνται ειδική κατηγορία δεδομένων που απαιτεί υψηλότερη προστασία. Όπως αποφάνθηκε πρόσφατα το Ευρωπαϊκό Δικαστήριο Ανθρώπινων Δικαιωμάτων, στη συνάρτηση του άρθρου 8 της Ευρωπαϊκής Σύμβασης Ανθρώπινων Δικαιωμάτων, «η προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως δε των ιατρικών δεδομένων, έχει θεμελιώδη σημασία για την άσκηση του δικαιώματος του ατόμου για προστασία της ιδιωτικής και της οικογενειακής του ζωής, την οποία εγγυάται το άρθρο 8 της Σύμβασης» (7). Πριν εξηγήσουμε τους αυστηρότερους κανόνες που ισχύουν για την επεξεργασία των δεδομένων υγείας σύμφωνα με την οδηγία 95/46/ΕΚ, πρέπει να αναφερθούμε εν συντομία στην έννοια των «δεδομένων υγείας».

15.

Η οδηγία 95/46/ΕΚ δεν περιέχει ρητό ορισμό των δεδομένων υγείας. Συνήθως, εφαρμόζεται διασταλτική ερμηνεία, και τα δεδομένα υγείας ορίζονται συχνά ως «δεδομένα προσωπικού χαρακτήρα που συνδέονται σαφώς και στενά με την περιγραφή της κατάστασης υγείας ενός ατόμου» (8). Από την άποψη αυτήν, τα δεδομένα υγείας περιλαμβάνουν, κανονικά, τα ιατρικά δεδομένα (π.χ. παραπεμπτικά και συνταγές ιατρών, εκθέσεις ιατρικών εξετάσεων, εργαστηριακές εξετάσεις, ακτινογραφίες κλπ.), καθώς και διοικητικά και χρηματοοικονομικά δεδομένα που σχετίζονται με την υγεία (π.χ. έγγραφα που αφορούν την εισαγωγή σε νοσοκομείο, τον αριθμό κοινωνικής ασφάλισης, τον προγραμματισμό ιατρικών ραντεβού, τα τιμολόγια παροχής υπηρεσιών υγειονομικής περίθαλψης κλπ.). Σημειωτέον ότι ο όρος «ιατρικά δεδομένα» (9) χρησιμοποιείται ενίοτε για τα δεδομένα που αφορούν την υγεία, παράλληλα με τον όρο «δεδομένα υγειονομικής περίθαλψης». (10) Στην παρούσα γνώμη, γίνεται χρήση του όρου «δεδομένα υγείας».

16.

Ένας χρήσιμος ορισμός των «δεδομένων υγείας» περιέχεται στο πρότυπο ISO 27799: «πληροφορίες οι οποίες αφορούν τη φυσική ή την ψυχική υγεία ενός ατόμου, ή την παροχή υγειονομικών υπηρεσιών στο άτομο, και οι οποίες μπορούν να περιλαμβάνουν: α) πληροφορίες σχετικά με την εγγραφή του ατόμου για την παροχή υγειονομικών υπηρεσιών, β) πληροφορίες για πληρωμές ή επιλεξιμότητα για παροχή υγειονομικής περίθαλψης στο άτομο, γ) αριθμό, σύμβολο ή άλλο στοιχείο που αποδίδεται στο άτομο προκειμένου να ταυτοποιείται μονοσήμαντα για λόγους υγείας, δ) πληροφορίες σχετικά με το άτομο οι οποίες συλλέγονται κατά την παροχή υγειονομικών υπηρεσιών σε αυτό, ε) πληροφορίες που προέρχονται από τις δοκιμές ή την εξέταση του σώματος ή ουσιών του σώματος, και στ) ταυτοποίηση ενός ατόμου (επαγγελματία του τομέα της υγείας) ως παρόχου υγειονομικής περίθαλψης στο άτομο».

17.

Ο ΕΕΠΔ υποστηρίζει σθεναρά την υιοθέτηση συγκεκριμένου ορισμού για τα «δεδομένα υγείας» σε συνάρτηση της εξεταζόμενης πρότασης, ο οποίος θα μπορούσε να χρησιμοποιηθεί και στο μέλλον σε άλλα σχετικά κοινοτικά νομικά κείμενα (βλ. Τμήμα ΙΙΙ κατωτέρω).

18.

Το άρθρο 8 της οδηγίας 95/46/ΕΚ θεσπίζει τους κανόνες επεξεργασίας ειδικών κατηγοριών δεδομένων. Οι κανόνες αυτοί είναι αυστηρότεροι από τους κανόνες επεξεργασίας άλλων δεδομένων οι οποίοι προβλέπονται στο άρθρο 7 της οδηγίας 95/46/ΕΚ. Το γεγονός αυτό καταδεικνύεται ήδη στην παράγραφο 1 του άρθρου 8 η οποία αναφέρει ρητά ότι τα κράτη μέλη απαγορεύουν την επεξεργασία, μεταξύ άλλων, δεδομένων που αφορούν την υγεία. Οι επόμενες παράγραφοι του άρθρου αυτού περιέχουν διάφορες παρεκκλίσεις από την απαγόρευση αυτήν, οι οποίες όμως είναι λιγότερο ευρείες από τους λόγους επεξεργασίας συνήθων δεδομένων οι οποίοι καθορίζονται στο άρθρο 7. Για παράδειγμα, η απαγόρευση δεν ισχύει εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει τη ρητή συγκατάθεσή του [άρθρο 8 παράγραφος 2 στοιχείο α)], εν αντιθέσει προς τη υπονοούμενη συγκατάθεση που απαιτείται σύμφωνα με το άρθρο 7 στοιχείο α) της οδηγίας 95/46/ΕΚ. Εξάλλου, το δίκαιο των κρατών μελών μπορεί να ορίζει ότι, σε ορισμένες περιπτώσεις, ακόμη και η συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα δεν αρκεί για την άρση της απαγόρευσης. Η παράγραφος 3 του άρθρου 8 καλύπτει αποκλειστικά την επεξεργασία δεδομένων που αφορούν την υγεία. Σύμφωνα με την παράγραφο αυτήν, η απαγόρευση της παραγράφου 1 δεν ισχύει εάν η επεξεργασία είναι αναγκαία για την ιατρική πρόληψη ή διάγνωση, την παροχή ιατροφαρμακευτικής αγωγής ή τη διαχείριση των ιατροφαρμακευτικών υπηρεσιών, η δε επεξεργασία των δεδομένων αυτών εκτελείται από κατ' επάγγελμα θεράποντα της υγείας υποκείμενο στο επαγγελματικό απόρρητο το οποίο προβλέπει το εθνικό δίκαιο ή από άλλο πρόσωπο το οποίο ομοίως υπέχει αντίστοιχη υποχρέωση.

19.

Το άρθρο 8 της οδηγίας 95/46/ΕΚ δίνει μεγάλη έμφαση στο γεγονός ότι τα κράτη μέλη θα πρέπει να παρέχουν τις δέουσες ή κατάλληλες εγγυήσεις. Για παράδειγμα, η παράγραφος 4 του άρθρου 8 παρέχει στα κράτη μέλη τη δυνατότητα να θεσπίζουν και άλλες παρεκκλίσεις από την απαγόρευση επεξεργασίας ευαίσθητων δεδομένων για σοβαρούς λόγος δημόσιου συμφέροντος, εφόσον παρέχονται οι δέουσες εγγυήσεις. Η διάταξη αυτή υπογραμμίζει, κατά γενικό τρόπο, την ευθύνη των κρατών μελών να δίνουν ιδιαίτερη προσοχή στην επεξεργασία ευαίσθητων δεδομένων, όπως τα δεδομένα που αφορούν την υγεία.

20.

Τα κράτη μέλη θα πρέπει να έχουν σαφή επίγνωση της προαναφερόμενης ευθύνης όταν τίθεται ζήτημα διασυνοριακής ανταλλαγής δεδομένων υγείας. Όπως προαναφέρεται, η διασυνοριακή ανταλλαγή δεδομένων υγείας αυξάνει τον κίνδυνο ανακριβούς ή παράνομης επεξεργασίας δεδομένων, πράγμα το οποίο θα είχε, προφανώς, τεράστιες αρνητικές επιπτώσεις για το άτομο στο οποίο αναφέρονται τα δεδομένα. Στη διαδικασία αυτήν συμμετέχουν τόσο το κράτος μέλος ασφάλισης (στο οποίο είναι ασφαλισμένος ο ασθενής) όσο και το κράτος μέλος αγωγής (στο οποίο όντως παρέχεται η υγειονομική περίθαλψη), τα οποία, κατά συνέπεια, φέρουν κοινή ευθύνη.

21.

Υπό αυτό το πρίσμα, η ασφάλεια των δεδομένων υγείας είναι σημαντικό θέμα. Στην προαναφερόμενη πρόσφατη υπόθεση, το Ευρωπαϊκό Δικαστήριο Ανθρώπινων Δικαιωμάτων απέδωσε ιδιαίτερη βαρύτητα στην εμπιστευτικότητα των δεδομένων υγείας:«Ο σεβασμός της εμπιστευτικότητας των δεδομένων υγείας αποτελεί ζωτική αρχή των νομικών συστημάτων όλων των Συμβαλλόμενων Μερών της Σύμβασης. Είναι σημαντικό όχι μόνον να γίνεται σεβαστή η έννοια της ιδιωτικότητας του ασθενούς αλλά και να διατηρείται η εμπιστοσύνη του στο ιατρικό επάγγελμα και στις υγειονομικές υπηρεσίες εν γένει» (11).

22.

Εξάλλου, οι κανόνες προστασίας των δεδομένων, οι οποίοι καθορίζονται στην οδηγία 95/46/ΕΚ, υποχρεώνουν το κράτος μέλος ασφάλισης να παρέχει στον ασθενή κατάλληλες, ορθές και επικαιροποιημένες πληροφορίες σχετικά με τη διαβίβαση των προσωπικών του δεδομένων σε άλλο κράτος μέλος και να εξασφαλίζει την ασφαλή διαβίβαση των δεδομένων σε αυτό το κράτος μέλος. Το κράτος μέλος αγωγής θα πρέπει επίσης να εξασφαλίζει την ασφαλή παραλαβή των δεδομένων αυτών και να παρέχει το δέον επίπεδο προστασίας κατά την επεξεργασία των δεδομένων, σύμφωνα με το εθνικό του δίκαιο περί προστασίας δεδομένων.

23.

Ο ΕΕΠΔ επιθυμεί να αποσαφηνιστεί η κοινή ευθύνη των κρατών μελών το πλαίσιο της πρότασης, λαμβανομένης υπόψη, μεταξύ άλλων, της ηλεκτρονικής διαβίβασης δεδομένων, ιδίως στη συνάρτηση νέων εφαρμογών ΤΠΕ, όπως αναφέρεται κατωτέρω.

24.

Η βελτίωση της διασυνοριακής ανταλλαγής δεδομένων υγείας εξασφαλίζεται κυρίως με τη χρήση της τεχνολογίας των πληροφοριών. Μολονότι η ανταλλαγή δεδομένων στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης μπορεί ακόμη να πραγματοποιείται με μη αυτοματοποιημένο τρόπο (π.χ. ο ασθενής μεταβαίνει σε άλλο κράτος μέλος παίρνοντας μαζί του τα δεδομένα υγείας του, όπως εργαστηριακές εξετάσεις, παραπεμπτικά ιατρών κλπ.), υπάρχει σαφής πρόθεση να αντικατασταθούν τα έγγραφα από ηλεκτρονικά μέσα. Η ηλεκτρονική διαβίβαση δεδομένων υγείας θα υποστηριχθεί από τα συστήματα πληροφοριών υγείας που έχουν εγκατασταθεί (ή πρόκειται να εγκαταστηθούν) στα κράτη μέλη (στα νοσοκομεία, κλινικές κλπ.), καθώς και από τη χρήση νέων τεχνολογιών, όπως οι εφαρμογές ηλεκτρονικών ιατρικών φακέλων (που θα λειτουργούν ενδεχομένως μέσω του διαδικτύου), καθώς και άλλων μέσων, όπως οι κάρτες υγείας ασθενών και ιατρών. Βεβαίως, είναι δυνατόν να χρησιμοποιούνται ταυτόχρονα έγγραφα και ηλεκτρονικά μέσα, ανάλογα με τα συστήματα υγειονομικής περίθαλψης των κρατών μελών.

25.

Οι εφαρμογές ηλεκτρονικής υγείας και τηλεϊατρικής, οι οποίες εμπίπτουν στο πεδίο εφαρμογής της προτεινόμενης οδηγίας, θα εξαρτώνται αποκλειστικά από την ανταλλαγή ηλεκτρονικών δεδομένων υγείας (π.χ. ζωτικά σήματα, εικόνες κλπ.), συνήθως σε συνδυασμό με άλλα υπάρχοντα ηλεκτρονικά συστήματα πληροφοριών υγείας που είναι εγκατεστημένα στα κράτη μέλη αγωγής και ασφάλισης. Στα συστήματα αυτά περιλαμβάνονται εφαρμογές τηλεδιάδρασης μεταξύ ασθενούς και ιατρού (π.χ. τηλεπαρακολούθηση και τηλεδιάγνωση) όσο και μεταξύ ιατρών (π.χ. τηλεπικοινωνία μεταξύ επαγγελματιών του τομέα της υγείας για έμπειρες συμβουλές σε συγκεκριμένα περιστατικά υγείας). Άλλες ειδικότερες εφαρμογές υγείας που υποστηρίζουν τη γενική παροχή διασυνοριακής υγειονομικής περίθαλψης θα μπορούσαν επίσης να βασίζονται αποκλειστικά στην ηλεκτρονική ανταλλαγή δεδομένων, όπως π.χ. η ηλεκτρονική συνταγογράφηση ή το ηλεκτρονικό παραπεμπτικό, που ήδη εφαρμόζεται σε εθνικό επίπεδο από μερικά κράτη μέλη (12).

26.

Λαμβανομένων υπόψη των ανωτέρω, καθώς και της ποικιλομορφίας των συστημάτων υγείας των κρατών μελών και της αυξανόμενης ανάπτυξης των εφαρμογών ηλεκτρονικής υγείας, ανακύπτουν ανησυχίες στους ακόλουθους δύο βασικούς τομείς όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα κατά τη διασυνοριακή υγειονομική περίθαλψη: α) τα διαφορετικά επίπεδα ασφαλείας που ενδέχεται να εφαρμόζουν τα κράτη μέλη για την προστασία των δεδομένων προσωπικού χαρακτήρα (από άποψη τεχνικών και οργανωτικών μέτρων), και β) η ενσωμάτωση τηςιδιωτικότητας στις εφαρμογές ηλεκτρονικής υγείας, ιδίως στις νέες εξελίξεις. Επιπλέον, θα πρέπει να δοθεί προσοχή και σε άλλες πτυχές, όπως η δευτερεύουσα χρήση δεδομένων υγείας, ιδίως για την εκπόνηση στατιστικών μελετών. Τα ζητήματα αυτά αναλύονται περαιτέρω παρακάτω.

27.

Παρά το γεγονός ότι οι οδηγίες 95/46/ΕΚ και 2002/58/ΕΚ εφαρμόζονται ομοιόμορφα στην Ευρώπη, η ερμηνεία και η εφαρμογή ορισμένων στοιχείων ενδέχεται να διαφέρει από τη μία χώρα στην άλλη, ιδίως σε τομείς όπου οι νομικές διατάξεις είναι γενικές και εξαρτώνται από τη διακριτική ευχέρεια του εκάστοτε κράτους μέλους. Σε αυτό το πλαίσιο, το κυριότερο πεδίο ανησυχίας είναι η ασφάλεια της επεξεργασίας, δηλαδή τα (τεχνικά και οργανωτικά) μέτρα που λαμβάνουν τα κράτη μέλη για να διασφαλίζουν την ασφάλεια των δεδομένων υγείας.

28.

Μολονότι η αυστηρή προστασία των δεδομένων υγείας είναι ευθύνη των κρατών μελών, δεν υπάρχει, προς το παρόν, γενικώς αποδεκτός ορισμός του «κατάλληλου» επιπέδου ασφαλείας για την υγειονομική περίθαλψη εντός της ΕΕ ο οποίος θα μπορούσε να εφαρμοστεί στην περίπτωση της διασυνοριακής υγειονομικής περίθαλψης. Για παράδειγμα, ένα νοσοκομείο ενός κράτους μέλους μπορεί να υποχρεούται, βάσει των εθνικών κανονιστικών διατάξεων για την προστασία των δεδομένων, να λαμβάνει συγκεκριμένα μέτρα ασφαλείας (π.χ. να καθορίζει πολιτική ασφαλείας και κώδικες δεοντολογίας, συγκεκριμένους κανόνες για τη σύναψη συμβολαίων και τη χρήση εξωτερικών εργολάβων, απαιτήσεις ελέγχου κλπ.), πράγμα που μπορεί να μη συμβαίνει σε άλλα κράτη μέλη. Η ασυνέπεια αυτή ενδέχεται να έχει επιπτώσεις στη διασυνοριακή ανταλλαγή δεδομένων, ιδίως όταν αυτή πραγματοποιείται με ηλεκτρονικά μέσα, αφού δεν είναι δυνατόν να διασφαλιστεί ότι η ασφάλεια των δεδομένων (από τεχνική και οργανωτική άποψη) είναι του αυτού επιπέδου στα διάφορα κράτη μέλη.

29.

Επομένως, απαιτείται περαιτέρω εναρμόνιση στον τομέα αυτόν, πρέπει δηλαδή να καθοριστεί ένα κοινό σύνολο απαιτήσεων ασφαλείας για την υγεία το οποίο θα πρέπει να υιοθετηθεί από κοινού από τους παρόχους υπηρεσιών υγειονομικής περίθαλψης των κρατών μελών. Η ανάγκη αυτή εντάσσεται οπωσδήποτε στη γενική ανάγκη για καθορισμό κοινών αρχών για τα συστήματα υγείας της Ευρωπαϊκής Ένωσης, όπως προβλέπεται στην πρόταση.

30.

Αυτό πρέπει να γίνει κατά γενικό τρόπο, χωρίς να επιβληθούν συγκεκριμένες τεχνικές λύσεις στα κράτη μέλη, αλλά με τον καθορισμό μιας αμοιβαία αναγνωρισμένης και αποδεκτής βάσης, π.χ. στους τομείς ανάπτυξης πολιτικής ασφάλειας, αναγνώρισης και αυθεντικοποίησης των ασθενών και των επαγγελματιών του τομέα της υγείας, κλπ. Τα υφιστάμενα ευρωπαϊκά και διεθνή πρότυπα (π.χ. ISO και CEN) για την υγεία και την ασφάλεια, καθώς και οι ευρέως αποδεκτές τεχνικές έννοιες με νομική βάση (π.χ. ηλεκτρονικές υπογραφές (13) θα μπορούσαν να χρησιμεύσουν ως οδηγός για το εγχείρημα αυτό.

31.

Ο ΕΕΠΔ υποστηρίζει την ιδέα της εναρμόνισης της ασφάλειας των δεδομένων στην υγεία σε επίπεδο ΕΕ και φρονεί ότι η Επιτροπή θα πρέπει να αναλάβει σχετικές πρωτοβουλίες, ήδη στο πλαίσιο της εξεταζόμενης πρότασης (βλ. Τμήμα ΙΙΙ κατωτέρω).

32.

Η ιδιωτικότητα και η ασφάλεια θα πρέπει να αποτελούν μέρος του σχεδιασμού και της εφαρμογής κάθε συστήματος υγειονομικής περίθαλψης, ιδίως δε των εφαρμογών ηλεκτρονικής υγείας που αναφέρονται στην εξεταζόμενη πρόταση («ιδιωτικότητα κατά τον σχεδιασμό»). Η αναμφισβήτητη αυτή απαίτηση έχει ήδη υποστηριχθεί και σε άλλα σχετικά έγγραφα πολιτικής, τόσο γενικής εμβέλειας (14) όσο και ειδικά για την υγεία (15).

33.

Στο πλαίσιο της διαλειτουργικότητας της ηλεκτρονικής υγείας που συζητείται στην πρόταση, η έννοια της «ιδιωτικότητας κατά τον σχεδιασμό» θα πρέπει να τονιστεί και πάλι ως βάση για όλες τις προτεινόμενες εξελίξεις. Η έννοια αυτή εφαρμόζεται σε πολλά διαφορετικά επίπεδα: το οργανωτικό, το σημασιολογικό, και το τεχνικό.

34.

Ο ΕΕΠΔ κρίνει ότι ο τομέας των ηλεκτρονικών συνταγών θα μπορούσε να χρησιμεύσει ως αφετηρία για την ενσωμάτωση απαιτήσεων ιδιωτικότητας και ασφάλειας ήδη κατά την αρχική φάση ανάπτυξης (βλ. Τμήμα ΙΙΙ κατωτέρω).

35.

Μια άλλη πτυχή που θα πρέπει να εξεταστεί στο πλαίσιο της διασυνοριακής ανταλλαγής δεδομένων υγείας είναι η δευτερεύουσα χρήση των δεδομένων υγείας, ιδίως δε η χρήση των δεδομένων για την εκπόνηση στατιστικών μελετών, όπως προβλέπεται ήδη στην εξεταζόμενη πρόταση.

36.

Όπως προαναφέρεται στο σημείο 18, η παράγραφος 4 του άρθρου 8 της οδηγίας 95/46/ΕΚ προβλέπει τη δυνατότητα δευτερεύουσας χρήσης των δεδομένων υγείας. Ωστόσο, αυτή η περαιτέρω επεξεργασία θα πρέπει να πραγματοποιείται μόνον για «σοβαρούς λόγος δημόσιου συμφέροντος» και πρέπει να υπόκειται σε «δέουσες εγγυήσεις» που καθορίζονται από το εθνικό δίκαιο ή με απόφαση της εποπτικής αρχής (16). Επίσης, σε περίπτωση επεξεργασίας των δεδομένων για στατιστικούς λόγους, όπως επίσης αναφέρεται στη γνώμη του ΕΕΠΔ για την πρόταση κανονισμού σχετικά με κοινοτικές στατιστικές στους τομείς της δημόσιας υγείας και της υγείας και ασφάλειας στην εργασία (17), ένας πρόσθετος κίνδυνος ανακύπτει από τη διαφορετική έννοια που ενδέχεται να έχουν οι όροι «εμπιστευτικότητα» και «προστασία δεδομένων», αφενός μεν, κατά την εφαρμογή της νομοθεσίας περί προστασίας δεδομένων, αφετέρου δε, κατά την εφαρμογή της νομοθεσίας περί στατιστικών.

37.

Ο ΕΕΠΔ επιθυμεί να υπογραμμίσει τα στοιχεία αυτά στο πλαίσιο της εξεταζόμενης πρότασης. Θα πρέπει να περιληφθούν σαφέστερες αναφορές των απαιτήσεων προστασίας δεδομένων όσον αφορά τη μετέπειτα χρήση των δεδομένων υγείας (βλ. Τμήμα ΙΙΙ κατωτέρω).

38.

Σε διάφορα σημεία της πρότασης υπάρχουν πολλές αναφορές στην προστασία των δεδομένων και την ιδιωτικότητα, και συγκεκριμένα:

39.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι, κατά την εκπόνηση της πρότασης, ελήφθη υπόψη η προστασία των δεδομένων και ότι επιχειρείται να καταδειχθεί η γενική ανάγκη ιδιωτικότητας στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης. Ωστόσο, οι διατάξεις της πρότασης, οι οποίες αφορούν την προστασία των δεδομένων, είναι είτε πολύ γενικές είτε παραπέμπουν στις ευθύνες των κρατών μελών κατά μάλλον επιλεκτικό και αποσπασματικό τρόπο:

Επιπλέον, όπως προαναφέρεται στην εισαγωγή της παρούσας γνώμης, δεν υπάρχει σύνδεση ή αναφορά στις πτυχές ιδιωτικότητας που καλύπτονται από άλλες κοινοτικές νομοθετικές πράξεις (δεσμευτικές ή μη) στον τομέα της υγειονομικής περίθαλψης, ιδίως όσον αφορά τη χρήση νέων εφαρμογών ΤΠΕ (όπως η τηλεϊατρική ή οι ηλεκτρονικοί ιατρικοί φάκελοι).

40.

Κατ′ αυτόν τον τρόπο, μολονότι η ιδιωτικότητα αναφέρεται γενικά ως απαίτηση για τη διασυνοριακή υγειονομική περίθαλψη, δεν υπάρχει μια συνολική καθαρή εικόνα των απαιτήσεων, ούτε υπό το πρίσμα των υποχρεώσεων των κρατών μελών, ούτε υπό το πρίσμα των ιδιαιτεροτήτων που εισάγει η διασυνοριακή φύση της παροχής υπηρεσιών υγειονομικής περίθαλψης (εν αντιθέσει προς την εθνική παροχή υπηρεσιών υγειονομικής περίθαλψης). Συγκεκριμένα:

41.

Επιπλέον, το άρθρο 18, το οποίο πραγματεύεται τη συλλογή δεδομένων για στατιστικούς σκοπούς και για σκοπούς ελέγχου, εμπνέει ορισμένες ανησυχίες. Η παράγραφος 1 αναφέρει τα «στατιστικά και άλλα συμπληρωματικά δεδομένα»· επίσης, αναφέρει τον «έλεγχο» (στα αγγλικά: «monitoring purposes»), στη συνέχεια δε, απαριθμεί τους τομείς που υπάγονται στον έλεγχο αυτό, ήτοι την παροχή διασυνοριακής υγειονομικής περίθαλψης, την παρεχόμενη αγωγή, τους παρόχους και τους ασθενείς, το κόστος, και την έκβαση. Σε αυτό το πλαίσιο, το οποίο είναι ήδη πολύ ασαφές, υπάρχει μεν γενική αναφορά στη νομοθεσία περί προστασίας δεδομένων, χωρίς όμως να καθορίζονται συγκεκριμένες απαιτήσεις για τη μετέπειτα χρήση δεδομένων που αφορούν την υγεία όπως προβλέπεται στο άρθρο 8 παράγραφος 4 της οδηγίας 95/46/ΕΚ. Επιπλέον, η παράγραφος 2 περιέχει μια άνευ όρων υποχρέωση για διαβίβαση μεγάλου όγκου δεδομένων στην Επιτροπή, τουλάχιστον ετησίως. Αφού δεν υπάρχει ρητή αναφορά σε αξιολόγηση της ανάγκης για τη διαβίβαση αυτήν, δημιουργείται η εντύπωση ότι ο κοινοτικός νομοθέτης έχει ήδη αποφασίσει ότι οι διαβιβάσεις αυτές προς την Επιτροπή είναι αναγκαίες.

42.

Για να καλυφθούν κατάλληλα τα προαναφερόμενα στοιχεία, ο ΕΕΠΔ διατυπώνει τις ακόλουθες συστάσεις, υπό μορφήν πέντε βασικών φάσεων τροποποιήσεων:

43.

Το άρθρο 4 περιέχει τους βασικούς ορισμούς που χρησιμοποιούνται στην πρόταση. Ο ΕΕΠΔ συνιστά να προστεθεί στο άρθρο αυτό ένας ορισμός των δεδομένων υγείας. Σε αυτό θα πρέπει να χρησιμοποιηθεί διασταλτική ερμηνεία του όρου «δεδομένα υγείας», όπως περιγράφεται στο Τμήμα ΙΙ της παρούσας γνώμης (σημεία 14 και 15).

44.

Ο ΕΕΠΔ συνιστά επίσης να προστεθεί στην πρόταση συγκεκριμένο άρθρο για την προστασία των δεδομένων, το οποίο να καθορίζει τη συνολική διάσταση ιδιωτικότητας κατά σαφή και κατανοητό τρόπο. Το άρθρο αυτό θα πρέπει: α) να περιγράφει τις ευθύνες των κρατών μελών ασφάλισης και αγωγής, συμπεριλαμβανομένης, μεταξύ άλλων, της ανάγκης για ασφάλεια της επεξεργασίας, και β) να εντοπίζει τους κύριους τομείς για περαιτέρω ανάπτυξη, δηλ. εναρμόνιση της ασφάλειας και ενσωμάτωση της έννοιας της ιδιωτικότητας στην ηλεκτρονική υγεία. Όσον αφορά τα ζητήματα αυτά, είναι δυνατόν να προστεθούν συγκεκριμένες διατάξεις (στο προτεινόμενο άρθρο), όπως εξηγείται στις φάσεις 3 και 4 κατωτέρω.

45.

Μετά την τροποποίηση που αναφέρεται στη φάση 2, ο ΕΕΠΔ συνιστά να θεσπίσει η Επιτροπή ένα μηχανισμό για τον καθορισμό ενός επιπέδου ασφαλείας, κοινής αποδοχής, για τα δεδομένα υγείας σε εθνικό επίπεδο, λαμβάνοντας υπόψη τα υφιστάμενα σχετικά τεχνικά πρότυπα. Αυτό θα πρέπει να αντικατοπτρίζεται στην πρόταση, και θα μπορούσε να επιτευχθεί με τη χρήση της διαδικασίας επιτροπολογίας που περιγράφεται ήδη στο άρθρο 19 για άλλα μέρη της πρότασης. Επιπλέον, γα την εκπόνηση των σχετικών κατευθυντήριων γραμμών, θα μπορούσαν να χρησιμοποιηθούν και άλλα μέσα, με τη σύμπραξη όλων των ενδιαφερομένων, όπως η Ομάδα του άρθρου 29 και ο ΕΕΠΔ.

46.

Το άρθρο 14, που αφορά την αναγνώριση συνταγών που εκδίδονται σε άλλο κράτος μέλος, προβλέπει την ανάπτυξη κοινοτικού προτύπου συνταγής το οποίο να υποστηρίζει τη διαλειτουργικότητα των ηλεκτρονικών συνταγών. Το μέτρο αυτό θα θεσπιστεί με τη διαδικασία επιτροπολογίας που προβλέπεται στο άρθρο 19 παράγραφος 2 της πρότασης.

47.

Ο ΕΕΠΔ συνιστά να ενσωματωθούν, στο προτεινόμενο πρότυπο ηλεκτρονικής συνταγής, οι έννοιες της ιδιωτικότητας και της ασφάλειας, ξεκινώντας από την βασική σημασιολογική διαμόρφωση του προτύπου. Αυτό θα πρέπει να αναφέρεται ρητά στο άρθρο 14 παράγραφος 2 στοιχείο α). Και πάλι, έχει ύψιστη σημασία η σύμπραξη όλων των ενδιαφερομένων. Εν προκειμένω, ο ΕΕΠΔ επιθυμεί να τηρείται ενήμερος και να συμπράττει στις περαιτέρω ενέργειες για το θέμα αυτό μέσω της προτεινόμενης διαδικασίας επιτροπολογίας.

48.

Για να αποφεύγονται οι παρανοήσεις, ο ΕΕΠΔ συνιστά να διευκρινιστεί το νόημα της έκφρασης «άλλα συμπληρωματικά δεδομένα» του άρθρου 18 παράγραφος 1. Επίσης, το άρθρο αυτό θα πρέπει να τροποποιηθεί ώστε να αναφέρει σαφέστερα τις απαιτήσεις για τη μετέπειτα χρήση των δεδομένων υγείας που αναφέρεται στο άρθρο 8 παράγραφος 4 της οδηγίας 95/46/ΕΚ. Εξάλλου, η υποχρέωση διαβίβασης όλων των δεδομένων στην Επιτροπή, η οποία προβλέπεται στην παράγραφο 2, θα πρέπει να εξαρτάται από αξιολόγηση της ανάγκης για τη διαβίβαση αυτήν για θεμιτούς σκοπούς που θα καθορίζονται δεόντως προκαταβολικά.

49.

Ο ΕΕΠΔ υποστηρίζει για τις πρωτοβουλίες που αναλήφθηκαν για τη βελτίωση των συνθηκών διασυνοριακής υγειονομικής περίθαλψης. Εκφράζει όμως ανησυχίες για το γεγονός ότι οι κοινοτικές πρωτοβουλίες για την υγεία δεν χαρακτηρίζονται πάντοτε από ικανοποιητικό συντονισμό όσον αφορά τη χρήση των ΤΠΕ, την ιδιωτικότητα και την ασφάλεια, πράγμα που παρεμποδίζει την υιοθέτηση καθολικής προσέγγισης προστασίας δεδομένων στον τομέα της υγείας.

50.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για την αναφορά στην ιδιωτικότητα που περιέχεται στην εξεταζόμενη πρόταση. Χρειάζονται, όμως, ορισμένες τροποποιήσεις, όπως επεξηγείται στο Τμήμα ΙΙ της παρούσας γνώμης, προκειμένου να καθοριστούν σαφείς απαιτήσεις για τα κράτη μέλη αγωγής και ασφάλισης, και για να αντιμετωπιστεί κατάλληλα η διάσταση προστασίας δεδομένων της διασυνοριακής υγειονομικής περίθαλψης:

6.6.2009   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 128/28

1.

Στις 13 Νοεμβρίου 2007 η Επιτροπή ενέκρινε πρόταση οδηγίας για την τροποποίηση, μεταξύ άλλων, της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, της γνωστής και με την αγγλική προσωνυμία «e-Privacy Directive» (1) (εφεξής «πρόταση» ή «πρόταση της Επιτροπής»). Στις 10 Απριλίου 2008 ο ΕΕΠΔ εξέδωσε γνωμοδότηση σχετικά με την πρόταση της Επιτροπής, όπου προέβαινε σε συστάσεις για τη βελτίωση της πρότασης, σε μια προσπάθεια να συμβάλει ώστε οι προτεινόμενες τροποποιήσεις να έχουν ως αποτέλεσμα την καλύτερη δυνατή προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων («πρώτη γνωμοδότηση του ΕΕΠΔ») (2).

2.

Ο ΕΕΠΔ σημείωσε με ικανοποίηση την πρόταση της Επιτροπής για την εισαγωγή συστήματος υποχρεωτικής κοινοποίησης σε περίπτωση παραβιάσεων της ασφάλειας, το οποίο απαιτεί από τις εταιρίες να ειδοποιούν τους ενδιαφερομένους στην περίπτωση που κινδυνεύσουν τα προσωπικά τους δεδομένα· επίσης εξήρε το γεγονός ότι η νέα διάταξη παρέχει σε νομικά πρόσωπα (π.χ. ενώσεις καταναλωτών και παρόχους υπηρεσιών διαδικτύου) τη δυνατότητα να στρέφονται δικαστικώς κατά των δημιουργών ανεπίκλητων ηλεκτρονικών μηνυμάτων (spam), ούτως ώστε να συμπληρωθούν περαιτέρω τα υφιστάμενα εργαλεία για την καταπολέμηση των ανεπίκλητων ηλεκτρονικών μηνυμάτων.

3.

Κατά τη διάρκεια των κοινοβουλευτικών συζητήσεων πριν από την πρώτη ανάγνωση του Ευρωπαϊκού Κοινοβουλίου, ο ΕΕΠΔ εξέδωσε περαιτέρω γνωματεύσεις δημοσιεύοντας παρατηρήσεις επί συγκεκριμένων θεμάτων τα οποία απασχολούσαν τις εκθέσεις των αρμόδιων επιτροπών του Ευρωπαϊκού Κοινοβουλίου για την αναθεώρηση των οδηγιών σχετικά με την καθολική υπηρεσία (3) και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών («παρατηρήσεις») (4). Τα ζητήματα που πραγματεύονται κατά πρώτο λόγο οι παρατηρήσεις σχετίζονται με την επεξεργασία δεδομένων κίνησης και την προστασία των δικαιωμάτων πνευματικής ιδιοκτησίας.

4.

Στις 24 Σεπτεμβρίου του 2008, το Ευρωπαϊκό Κοινοβούλιο («ΕΚ») εξέδωσε ψήφισμα νομοθετικού περιεχομένου σχετικά με την οδηγία για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών («πρώτη ανάγνωση») (5). Ο ΕΕΠΔ υιοθέτησε θετική στάση έναντι των διαφόρων τροπολογιών του ΕΚ που εγκρίθηκαν βάσει της γνωμοδότησης και των παρατηρήσεων του ΕΕΠΔ που προαναφέρονται. Μεταξύ των σημαντικών τροποποιήσεων ήταν η υπαγωγή των παρόχων υπηρεσιών κοινωνίας της πληροφορίας (ήτοι των εταιριών που δραστηριοποιούνται στο Διαδίκτυο) στο πεδίο της υποχρεωτικής κοινοποίησης των παραβιάσεων της ασφάλειας. Ο ΕΕΠΔ επιδοκίμασε επίσης την τροπολογία που παρέχει σε φυσικά και νομικά πρόσωπα τη δυνατότητα να προσφεύγουν στα δικαστήρια για την παραβίαση οποιασδήποτε διάταξης της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών (και όχι μόνο για την παραβίαση των διατάξεων περί ανεπίκλητων ηλεκτρονικών μηνυμάτων, όπως αρχικά εισηγείτο η πρόταση της Επιτροπής). Την πρώτη ανάγνωση του Κοινοβουλίου ακολούθησε η έκδοση από την Επιτροπή τροποποιημένης πρότασης της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών (εφεξής «τροποποιημένη πρόταση») (6).

5.

Στις 27 Νοεμβρίου του 2008, το Συμβούλιο κατέληξε σε πολιτική συμφωνία ως προς την αναθεώρηση των διατάξεων της δέσμης για τις τηλεπικοινωνίες, όπου συγκαταλέγεται και η οδηγία για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, η οποία θα διαμορφωθεί ως κοινή θέση («κοινή θέση») (7). Η κοινή θέση θα γνωστοποιηθεί στο Ευρωπαϊκό Κοινοβούλιο δυνάμει των διατάξεων του άρθρου 251 παράγραφος 2 της Συνθήκης για την ίδρυση της Ευρωπαϊκή Κοινότητας, πράγμα που ενδέχεται να ακολουθηθεί από κατάθεση τροπολογιών του ΕΚ.

6.

Το Συμβούλιο τροποποίησε θεμελιώδη στοιχεία του κειμένου της πρότασης και αρνήθηκε να δεχθεί πολλές από τις τροπολογίες που ενέκρινε το ΕΚ. Παρότι βεβαίως η κοινή θέση περιέχει και θετικά στοιχεία, ο ΕΕΠΔ έχει ενδοιασμούς για το περιεχόμενό της, ιδίως διότι η κοινή θέση δεν συμπεριλαμβάνει ορισμένες από τις θετικές τροπολογίες που έχουν προτείνει το ΕΚ, η τροποποιημένη πρόταση ή οι γνωμοδοτήσεις του ΕΕΠΔ και των ευρωπαϊκών αρχών προστασίας δεδομένων οι οποίες εκδόθηκαν μέσω της Ομάδας του Άρθρου 29 (8).

7.

Σε αρκετές περιπτώσεις αντιθέτως, οι διατάξεις της τροποποιημένης πρότασης και οι τροπολογίες του ΕΚ, οι οποίες παρέχουν εχέγγυα προς τους πολίτες, έχουν απαλειφεί ή ουσιωδώς αποδυναμωθεί. Τούτου ένεκα το επίπεδο προστασίας που παρέχει στα άτομα η κοινή θέση είναι κατά πολύ εξασθενημένο. Για αυτούς ακριβώς τους λόγους, ο ΕΕΠΔ εκδίδει τώρα δεύτερη γνωμοδότηση, ευελπιστώντας ότι καθώς η οδηγία για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών θα περνά από τη νομοθετική διαδικασία, θα εγκριθούν νέες τροπολογίες που θα αποκαθιστούν τις διασφαλίσεις προστασίας των δεδομένων.

8.

Η ανά χείρας δεύτερη γνωμοδότηση επικεντρώνεται σε ορισμένα ουσιώδη μελήματα, αποφεύγοντας να επαναλάβει όλες τις επισημάνσεις της πρώτης γνωμοδότησης του ΕΕΠΔ ή των παρατηρήσεών της, που όμως εξακολουθούν να ισχύουν. Πιο συγκεκριμένα η γνωμοδότηση πραγματεύεται τα εξής σημεία:

9.

Πραγματευόμενη τα ανωτέρω ζητήματα, η γνωμοδότηση αναλύει την κοινή θέση του Συμβουλίου και την παραβάλλει προς την πρώτη ανάγνωση του ΕΚ και την τροποποιημένη πρόταση της Επιτροπής. Η γνωμοδότηση περιλαμβάνει συστάσεις που αποσκοπούν στο να εξορθολογιστούν οι διατάξεις της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών και να εξασφαλιστεί ότι η οδηγία θα συνεχίσει να προστατεύει επαρκώς την ιδιωτική ζωή και τα προσωπικά δεδομένα των φυσικών προσώπων.

10.

Ο ΕΕΠΔ τάσσεται υπέρ της θέσπισης συστήματος για την κοινοποίηση παραβιάσεων της ασφάλειας, βάσει του οποίου οι αρχές και τα φυσικά πρόσωπα θα ειδοποιούνται σε περίπτωση που εκτεθούν σε κίνδυνο (9) τα προσωπικά δεδομένα που τους αφορούν. Οι κοινοποιήσεις σχετικά με παραβιάσεις της ασφάλειας μπορούν ενδεχομένως να βοηθήσουν τα φυσικά πρόσωπα να λάβουν μέτρα για τον μετριασμό της πιθανής ζημιάς που οφείλεται στην έκθεση των δεδομένων σε κίνδυνο. Επίσης, η υποχρέωση αποστολής κοινοποιήσεων που ενημερώνουν σχετικά με παραβιάσεις της ασφάλειας θα παρακινήσει τις εταιρίες να βελτιώσουν την ασφάλεια των δεδομένων και να αντιμετωπίζουν πιο υπεύθυνα τα δεδομένα προσωπικού χαρακτήρα που χειρίζονται.

11.

Η τροποποιημένη πρόταση της Επιτροπής, η πρώτη ανάγνωση του Ευρωπαϊκού Κοινοβουλίου και η κοινή θέση του Συμβουλίου αντιπροσωπεύουν τρεις διαφορετικές προσεγγίσεις της υπό εξέταση κοινοποίησης των παραβιάσεων της ασφάλειας. Κάθε μία από τις τρεις προσεγγίσεις έχει τις θετικές της πτυχές. Ωστόσο, ο ΕΕΠΔ φρονεί ότι υπάρχει περιθώριο βελτιώσεων για κάθε προσέγγιση και συμβουλεύει να συνεκτιμηθούν, στο πλαίσιο των τελικών διαδικασιών για τη θέσπιση συστήματος κοινοποίησης των παραβιάσεων ασφαλείας, οι συστάσεις που εκτίθενται κατωτέρω.

12.

Κατά την ανάλυση των τριών συστημάτων κοινοποίησης των παραβιάσεων ασφαλείας θα πρέπει να εξεταστούν πέντε βασικά σημεία: (i) ο ορισμός της παραβίασης της ασφάλειας· (ii) οι φορείς που υπέχουν υποχρέωση κοινοποίησης («υπόχρεοι φορείς»)· (iii) το κριτήριο που ενεργοποιεί την υποχρέωση κοινοποίησης ·(iv) ο καθορισμός του φορέα που είναι αρμόδιος να αποφασίζει αν μια παραβίαση της ασφάλειας πληροί το κριτήριο ή όχι, και (v) οι αποδέκτες της κοινοποίησης.

13.

Το Ευρωπαϊκό Κοινοβούλιο, η Επιτροπή και το Συμβούλιο έχουν υιοθετήσει ο καθένας διαφορετική προσέγγιση όσον αφορά την κοινοποίηση των παραβιάσεων της ασφάλειας. Η πρώτη ανάγνωση του ΕΚ τροποποίησε το αρχικό σύστημα κοινοποίησης των παραβιάσεων της ασφάλειας που ανέπτυσσε η πρόταση της Επιτροπής (10). Σύμφωνα με την προσέγγιση του ΕΚ, η υποχρέωση κοινοποίησης δεν ισχύει μόνο για τους παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικής επικοινωνίας αλλ’ επίσης και για τους παρόχους υπηρεσιών κοινωνίας της πληροφορίας («PPECS» και «ISSPs») αντιστοίχως. Επίσης, βάσει της προσέγγισης αυτής όλες οι παραβιάσεις δεδομένων προσωπικού χαρακτήρα θα πρέπει να κοινοποιούνται στην εθνική κανονιστική αρχή ή στις αρμόδιες αρχές (γενικώς «αρχές»). Οσάκις οι αρχές κρίνουν ότι η παραβίαση είναι σοβαρή, θα απαιτούν από τις PPECS και ISSPs να ενημερώνουν άνευ χρονοτριβής τον θιγόμενο. Σε περίπτωση επικείμενου και άμεσου κινδύνου από τις παραβιάσεις, οι PPECS και ISSPs θα ενημερώνουν τους ενδιαφερομένους προτού ενημερώσουν τις αρχές και δεν θα περιμένουν υπόδειξη της κανονιστικής αρχής. Από την υποχρέωση κοινοποίησης στους καταναλωτές εξαιρούνται οι φορείς που μπορούν να αποδείξουν στις αρχές ότι εφαρμόστηκαν «τα κατάλληλα τεχνολογικά μέτρα προστασίας» που καθιστούν ακατάληπτα τα δεδομένα για κάθε πρόσωπο που δεν επιτρέπεται να έχει πρόσβαση σε αυτά.

14.

Βάσει της προσέγγισης του Συμβουλίου, η κοινοποίηση πρέπει επίσης να παρέχεται και στους συνδρομητές και στις αρχές, μόνον όμως σε περιπτώσεις όπου ο υπόχρεος φορέας θεωρεί ότι η παραβίαση συνιστά σοβαρό κίνδυνο για την ιδιωτική ζωή του συνδρομητή (π.χ. κλοπή ή απάτη περί την ταυτότητα, βλάβη της σωματικής ακεραιότητας, σοβαρός εξευτελισμός ή προσβολή της υπόληψης).

15.

Η τροποποιημένη πρόταση της Επιτροπής διατηρεί την υποχρέωση κοινοποίησης όλων των παραβιάσεων προς τις αρχές που προτείνει το ΕΚ. Σε αντίθεση όμως με την προσέγγιση του ΕΚ, η τροποποιημένη πρόταση περιλαμβάνει ως εξαίρεση από την υποχρέωση κοινοποίησης προς τους ενδιαφερομένους την περίπτωση όπου η PPECS αποδεικνύει στην αρμόδια αρχή ότι (i) δεν είναι «ευλόγως πιθανό» να προκύψει ζημία (π.χ. οικονομικές απώλειες, κοινωνική βλάβη ή κλοπή ταυτότητας) από την παραβίαση ή (ii) ότι εφαρμόστηκαν «τα κατάλληλα τεχνολογικά μέτρα προστασίας» στα δεδομένα που παραβιάστηκαν. Επομένως η προσέγγιση της Επιτροπής περιλαμβάνει ανάλυση ζημίας σε συσχετισμό με τις κοινοποιήσεις προς τους ενδιαφερομένους.

16.

Προέχει να επισημανθεί ότι βάσει των προσεγγίσεων του ΕΚ (11) και της Επιτροπής, την τελική αρμοδιότητα να αποφασίσουν αν η παραβίαση είναι σοβαρή ή αν είναι ευλόγως πιθανό ότι θα προκαλέσει ζημία την έχουν οι αρχές. Στην προσέγγιση του Συμβουλίου αντιθέτως, η απόφαση επαφίεται στους ενδιαφερόμενους φορείς.

17.

Τόσο η προσέγγιση του Συμβουλίου όσο και της Επιτροπής εφαρμόζονται μόνο στον PPECS και όχι και στον ISSPs, όπως η προσέγγιση του ΕΚ.

18.

Ο ΕΕΠΔ χαίρει διότι οι τρεις νομοθετικές προτάσεις περιλαμβάνουν τον ίδιον ορισμό των κοινοποιητέων παραβιάσεων της ασφάλειας, και συγκεκριμένα «παραβίαση της ασφάλειας που έχει ως αποτέλεσμα την τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη δεδομένων ή την πρόσβαση σε δεδομένα που διαβιβάσθηκαν, αποθηκεύθηκαν ή άλλως υπέστησαν επεξεργασία[…]». (12)

19.

Όπως εκτίθεται κατωτέρω, ο ορισμός αυτός είναι ευπρόσδεκτος, δεδομένου ότι το εύρος του είναι αρκετό για να συμπεριλάβει τις περισσότερες από τις σχετικές καταστάσεις όπου δικαιολογείται η κοινοποίηση παραβιάσεων της ασφάλειας.

20.

Εν πρώτοις, ο ορισμός περιλαμβάνει περιπτώσεις όπου συνέβη αναρμόδια πρόσβαση τρίτου σε δεδομένα προσωπικού χαρακτήρα όπως η αθέμιτη παρείσφρηση σε διακομιστή που περιέχει προσωπικά δεδομένα και η ανάκτηση τέτοιων δεδομένων.

21.

Δεύτερον, ο ορισμός αυτός θα μπορεί επίσης να περιλαμβάνει καταστάσεις όπου δεδομένα προσωπικού χαρακτήρα έχουν χαθεί ή κοινολογηθεί, έστω και αν δεν έχει ακόμα αποδειχθεί ότι υπήρξε αναρμόδια πρόσβαση. Εκεί συγκαταλέγονται περιπτώσεις όπου τα δεδομένα προσωπικού χαρακτήρα πιθανό να χάθηκαν (π.χ. CD ROM, USB ή άλλες φορητές συσκευές), ή να κοινολογήθηκαν από τακτικούς χρήστες (φάκελοι με δεδομένα υπαλλήλων που τίθενται στη διάθεση του κοινού μέσω Διαδικτύου κατά λάθος και για λίγο). Επειδή πολλές φορές δεν θα μπορεί να αποδειχθεί ότι στα δεδομένα αυτά είχαν ή δεν είχαν πρόσβαση αναρμόδιοι τρίτοι σε συγκεκριμένη χρονική στιγμή, είναι προφανώς σκόπιμο να υπαχθούν στο πεδίο του ορισμού και αυτές οι περιπτώσεις. Ως εκ τούτου, ο ΕΕΔΠ συνιστά να διατηρηθεί ο ορισμός αυτός. Ο ΕΕΠΔ συνιστά επίσης να προστεθεί ο ορισμός της παραβίασης της ασφάλειας στο άρθρο 2 της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών, διότι έτσι θα υπάρξει μεγαλύτερη συνοχή με τον βασικό σκελετό της οδηγίας και θα προσδοθεί μεγαλύτερη σαφήνεια.

22.

Η υποχρέωση κοινοποίησης βάσει της προσέγγισης του ΕΚ εφαρμόζεται τόσο στους PPECS όσο και στους ISSPs. Βάσει εν τούτοις των συστημάτων του Συμβουλίου και της Επιτροπής, μόνον PPECS όπως εταιρείες τηλεπικοινωνιών και πάροχοι πρόσβασης στο Διαδίκτυο θα υποχρεούνται να κοινοποιούν στα φυσικά πρόσωπα όταν έχουν υποστεί παραβιάσεις της ασφάλειας που συνεπάγονται έκθεση προσωπικών δεδομένων σε κίνδυνο. Άλλοι τομείς δραστηριοτήτων όπως φερ’ ειπείν οι επιγραμμικές τράπεζες, οι επιγραμμικές επιχειρήσεις λιανικής πώλησης, οι επιγραμμικοί πάροχοι υπηρεσιών υγείας και άλλοι δεν δεσμεύονται από την υποχρέωση αυτή. Για τους λόγους που αναλύονται στα ανωτέρω, ο ΕΕΠΔ φρονεί ότι εξ απόψεως δημόσιας πολιτικής έχει ζωτική σημασία να εξασφαλιστεί ότι οι υπηρεσίες κοινωνίας της πληροφορίας που περιλαμβάνουν ηλεκτρονικό εμπόριο, επιγραμμικές τράπεζες, επιγραμμικούς παρόχους υπηρεσιών υγείας κ.λ.π. θα υπάγονται ωσαύτως στην υποχρέωση κοινοποίησης.

23.

Εν πρώτοις, ο ΕΕΠΔ παρατηρεί ότι αν και οι εταιρίες τηλεπικοινωνιών γίνονται μετά βεβαιότητας στόχος παραβιάσεων της ασφάλειας που δικαιολογεί υποχρέωση κοινοποίησης, το ίδιο ισχύει και για άλλους τύπους εταιριών/παρόχων. Οι επιγραμμικές επιχειρήσεις λιανικής πώλησης, οι επιγραμμικές τράπεζες, τα επιγραμμικά φαρμακεία έχουν τις ίδιες πιθανότητες να υποστούν παραβίαση της ασφάλειας με τις εταιρίες τηλεπικοινωνιών, αν όχι και περισσότερες. Οι παράγοντες «κίνδυνος» δεν συνηγορούν επομένως υπέρ του να περιορίζεται το πεδίο της υποχρεωτικής κοινοποίησης στους PPECS. Η ανάγκη ευρύτερης προσέγγισης καταδεικνύεται από την εμπειρία άλλων χωρών. Στις Ηνωμένες Πολιτείες για παράδειγμα, όλες σχεδόν οι πολιτείες (περισσότερες από 40 στην παρούσα συγκυρία) έχουν θεσπίσει νόμους για την κοινοποίηση των παραβιάσεων της ασφάλειας, το πεδίο εφαρμογής των οποίων είναι ευρύτερο και συμπεριλαμβάνει όχι μόνο τους PPECS αλλά και όποια οντότητα κατέχει τα σχετικά δεδομένα προσωπικού χαρακτήρα.

24.

Δεύτερον, αν η παραβίαση των διαφόρων τύπων δεδομένων προσωπικού χαρακτήρα που κατά κανόνα επεξεργάζονται οι PPECS μπορεί να έχει επιπτώσεις στην ιδιωτική ζωή ενός προσώπου, το ίδιο ισχύει με το παραπάνω για τους τύπους δεδομένων προσωπικού χαρακτήρα που επεξεργάζονται οι ISSPs. Οι τράπεζες και λοιποί χρηματοπιστωτικοί οργανισμοί σαφώς ενδέχεται να κατέχουν άκρως απόρρητα στοιχεία (π.χ. λεπτομερή στοιχεία τραπεζικών λογαριασμών), των οποίων η αποκάλυψη ενδέχεται να βοηθά στη χρησιμοποίησή τους για κλοπή ταυτότητας. Επίσης, η αποκάλυψη από επιγραμμικές υπηρεσίες υγείας ευαίσθητων προσωπικών δεδομένων όσον αφορά την υγεία μπορεί να αποβεί ιδιαζόντως επιζήμια για τα φυσικά πρόσωπα. Ως εκ τούτου τα είδη δεδομένων προσωπικού χαρακτήρα που είναι δυνατόν να εκτεθούν σε κίνδυνο απαιτούν ομοίως την ευρύτερη εφαρμογή της κοινοποίησης παραβιάσεων της ασφάλειας, η οποία αν μη τι άλλο θα πρέπει να συμπεριλαμβάνει και τους ISSPs.

25.

Κατά της διεύρυνσης του πεδίου εφαρμογής του άρθρου αυτού, του πλήθους, δηλαδή των φορέων που υπάγονται στην υποχρέωση αυτή, έχουν εγερθεί ορισμένα νομικά επιχειρήματα. Ειδικότερα, το γεγονός ότι το εν γένει πεδίο εφαρμογής της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών αφορά μόνο τους PPECS προβλήθηκε ως εμπόδιο για την εφαρμογή της υποχρέωσης κοινοποίησης στους ISSPs.

26.

Σε αυτή την συνάρτηση, ο ΕΕΠΔ θα ήθελε να υπενθυμίσει ότι: (i) Δεν υφίσταται κανενός είδους εμπόδιο στην συμπερίληψη και άλλων φορέων εκτός των PPECS στο πεδίο εφαρμογής ορισμένων διατάξεων της οδηγίας. Ο κοινοτικός νομοθέτης διαθέτει εν προκειμένω πλήρη διακριτική ευχέρεια. (ii) Στην ισχύουσα οδηγία για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών υπάρχουν και άλλα προηγούμενα εφαρμογής σε φορείς εκτός των PPECS.

27.

Παραδείγματος χάριν, το άρθρο 13 εφαρμόζεται όχι μόνο στους PPECS αλλά και σε κάθε εταιρία που στέλνει ανεπίκλητα μηνύματα, πράγμα που για να γίνει απαιτείται η εκ των προτέρων αποδοχή της επιλογής αυτής. Επί πλέον, το άρθρο 5 παρ. 3 της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών, το οποίο μεταξύ άλλων απαγορεύει την αποθήκευση δεδομένων όπως φερ’ ειπείν «cookies» στον τερματικό εξοπλισμό του χρήστη, δεσμεύει όχι μόνο τις PPECS αλλά και οποιονδήποτε αποπειράται να αποθηκεύσει δεδομένα ή να επιτύχει πρόσβαση σε δεδομένα που έχουν αποθηκευθεί στον τερματικό εξοπλισμό φυσικών προσώπων. Στο πλαίσιο επίσης της τρέχουσας νομοθετικής διαδικασίας η Επιτροπή πρότεινε μάλιστα να επεκταθεί η εφαρμογή του άρθρου 5 παρ. 3 στην περίπτωση όπου παρόμοιες τεχνολογίες (cookies/κατασκοπευτικό λογισμικό) διαβιβάζονται όχι μόνο μέσω συστημάτων ηλεκτρονικής επικοινωνίας αλλά και με οποιαδήποτε άλλη δυνατή μέθοδο (διανομή μέσω τηλεφόρτωσης από το Διαδίκτυο ή μέσω εξωτερικών υποθεμάτων αποθήκευσης δεδομένων όπως CD-ROM, USB, μνήμες flash drive κλπ). Όλα αυτά τα στοιχεία είναι ευπρόσδεκτα και θα πρέπει να διατηρηθούν, δημιουργούν όμως και τα ανάλογα προηγούμενα για τη διεξαγόμενη συζήτηση σχετικά με το πεδίο εφαρμογής.

28.

Πέραν αυτού, στο πλαίσιο της τρέχουσας νομοθετικής διαδικασίας η Επιτροπή και το ΕΚ, προφανώς δε και το Συμβούλιο, έχουν προτείνει ένα νέο άρθρο 6 παρ. 6α το οποίο συζητείται στα κατωτέρω και το οποίο εφαρμόζεται σε φορείς διάφορους των PPECS.

29.

Τέλος, δεδομένου του συνόλου θετικών στοιχείων που απορρέουν από την υποχρέωση κοινοποίησης των παραβιάσεων της ασφάλειας, οι πολίτες θα προσδοκούν πιθανότατα τα οφέλη αυτά οσάκις τα προσωπικά τους δεδομένα εκτίθενται σε κίνδυνο όχι μόνο από τους PPECS αλλά και από τους ISSPs. Εάν όμως για παράδειγμα δεν γίνεται κοινοποίηση προς τους πολίτες όταν οι επιγραμμικές τράπεζες χάνουν τα στοιχεία του τραπεζικού τους λογαριασμού, τότε οι προσδοκίες τους αυτές δεν θα εκπληρώνονται.

30.

Εν ολίγοις, ο ΕΕΠΔ είναι πεπεισμένος ότι τα πλήρη οφέλη από την κοινοποίηση των παραβιάσεων της ασφάλειας θα αξιοποιηθούν καλύτερα μόνον όταν το πεδίο των υποκείμενων στην υποχρέωση φορέων συμπεριλάβει τόσο τους PPECS όσο και τους ISSPs.

31.

Όσον αφορά το γενεσιουργό αίτιο της κοινοποίησης όπως αναλύεται στα κατωτέρω, ο ΕΕΠΔ είναι της γνώμης ότι ο κανόνας της τροποποιημένης πρότασης για την «εύλογη πιθανότητα» βλάβης είναι ο πιο κατάλληλος από τους τρεις που προτάθηκαν. Ωστόσο, προέχει να εξασφαλίζεται ότι ο όρος «βλάβη» έχει την απαραίτητη εμβέλεια ώστε να καλύπτει όλες τις ανάλογες πιθανότητες αρνητικών επιπτώσεων για την ιδιωτική ζωή ή τα λοιπά έννομα συμφέροντα των φυσικών προσώπων. Διαφορετικά θα ήταν προτιμότερο να συσταθεί νέος κανόνας βάσει του οποίου η κοινοποίηση θα είναι υποχρεωτική «εάν η παραβίαση αναμένεται ευλόγως να έχει αρνητικές επιπτώσεις στα φυσικά πρόσωπα».

32.

Όπως διαλαμβάνεται στα προηγούμενα, οι προϋποθέσεις βάσει των οποίων θα πρέπει να γίνεται κοινοποίηση στα φυσικά πρόσωπα (οι αποκαλούμενες «γενεσιουργό αίτιο» ή «κριτήριο») διαφέρουν ανάλογα με την προσέγγιση του ΕΚ, της Επιτροπής ή του Συμβουλίου. Είναι καταφανές ότι ο όγκος κοινοποιήσεων που θα λαμβάνουν τα φυσικά πρόσωπα θα εξαρτηθεί κατά μέγα μέρος από το γενεσιουργό αίτιο ή το κριτήριο κοινοποίησης που θα θεσπιστεί.

33.

Βάσει των συστημάτων του Συμβουλίου και της Επιτροπής, η κοινοποίηση πρέπει να παρέχεται όταν η παραβίαση συνιστά «σοβαρή βλάβη της ιδιωτικής ζωής του συνδρομητή» (Συμβούλιο) και όταν «από την παραβίαση είναι ευλόγως πιθανό να προκύψει ζημία για τον καταναλωτή» (Επιτροπή). Βάσει του συστήματος του ΕΚ, το γενεσιουργό αίτιο της κοινοποίησης προς φυσικά πρόσωπα είναι η «σοβαρότητα της παραβίασης» (δηλαδή απαιτείται κοινοποίηση προς φυσικά πρόσωπα όταν η παραβίαση θεωρείται «σοβαρή»). Κάτω από το όριο αυτό δεν απαιτείται κοινοποίηση (13).

34.

Ο ΕΕΠΔ κατανοεί το επιχείρημα που ενδέχεται να προβληθεί σύμφωνα με το οποίο τα φυσικά πρόσωπα στα οποία ανήκουν τα δεδομένα έχουν το δικαίωμα να γνωρίζουν τα συμβάντα σε οποιαδήποτε περίσταση παραβιάστηκαν τα προσωπικά τους δεδομένα. Εύλογο όμως είναι να εξεταστεί κατά πόσο υπό το πρίσμα άλλων συμφερόντων και μελημάτων η λύση αυτή είναι η ενδεδειγμένη.

35.

Προβλήθηκε ο ισχυρισμός ότι η υποχρέωση διαβίβασης κοινοποιήσεων οποτεδήποτε εκτίθενται σε κίνδυνο δεδομένα προσωπικού χαρακτήρα, με άλλα λόγια απεριορίστως, ενδέχεται να οδηγήσει σε υπερπληθώρα κοινοποιήσεων και συνακόλουθη αδιαφορία γι’ αυτές, με αποτέλεσμα τη μείωση της επαγρύπνησης. Όπως αναφέρεται κατωτέρω, το επιχείρημα αυτό αγγίζει τον ΕΕΠΔ, ο οποίος όμως επιθυμεί ταυτόχρονα να δηλώσει την ανησυχία του μήπως η υπερπληθώρα κοινοποιήσεων αποτελεί ένδειξη εκτεταμένης αποτυχίας των πρακτικών προστασίας των δεδομένων.

36.

Όπως προαναφέρθηκε, ο ΕΕΠΔ διαβλέπει τις δυνητικά αρνητικές συνέπειες της υπερπληθώρας κοινοποιήσεων και θα επιθυμούσε να συμβάλει ώστε το νομοθετικό πλαίσιο για την κοινοποίηση των παραβιάσεων της ασφάλειας το οποίο θα θεσπιστεί να μην παράγει αυτό το αποτέλεσμα. Αν τα φυσικά πρόσωπα ειδοποιούνται συχνά για παραβιάσεις ακόμα και όταν δεν υπάρχουν παρενέργειες, βλάβες ή ενόχληση, μπορεί να καταλήξουμε σε υπονόμευση ενός από τους βασικούς στόχους της κοινοποίησης, διότι τα φυσικά πρόσωπα ενδέχεται παραδόξως να αγνοήσουν τις κοινοποιήσεις σε εκείνες ακριβώς τις περιπτώσεις όπου θα πρέπει να λάβουν μέτρα για να προστατευθούν. Έτσι λοιπόν έχει ιδιαίτερη σημασία να βρεθεί η χρυσή τομή, διότι εάν τα φυσικά πρόσωπα δεν αντιδρούν στις κοινοποιήσεις που λαμβάνουν η αποτελεσματικότητα των συστημάτων κοινοποίησης θα μειωθεί κατά πολύ.

37.

Για να θεσπιστεί ένα σωστό κριτήριο που να μην οδηγεί σε υπερπληθώρα κοινοποιήσεων, θα πρέπει εκτός από το γενεσιουργό αίτιο της κοινοποίησης να εξεταστούν και άλλοι παράγοντες και δη ο ορισμός της παραβίασης της ασφάλειας και τα δεδομένα που εμπίπτουν στην υποχρέωση κοινοποίησης. Ο ΕΕΠΔ παρατηρεί εν προκειμένω ότι βάσει των τριών προσεγγίσεων που έχουν προταθεί, ο όγκος των κοινοποιήσεων ενδέχεται να είναι μεγάλος αν ληφθεί υπ’ όψη το εύρος του ορισμού για την παραβίαση της ασφάλειας που συζητείται ανωτέρω. Αυτή την ανησυχία όσον αφορά την υπερπληθώρα κοινοποιήσεων την καθιστά εντονότερη το γεγονός ότι ο ορισμός της παραβίασης της ασφάλειας καλύπτει κάθε είδος δεδομένων προσωπικού χαρακτήρα. Αν και κατά τον ΕΕΠΔ αυτή είναι η σωστή προσέγγιση (να μην περιορίζονται τα είδη δεδομένων προσωπικού χαρακτήρα που εμπίπτουν στην κοινοποίηση) - σε αντιδιαστολή προς άλλες προσεγγίσεις όπως η νομοθεσία των ΗΠΑ, όπου οι απαιτήσεις εστιάζονται στο νευραλγικό χαρακτήρα των δεδομένων- πρόκειται πάντως για παράγοντα που θα πρέπει να ληφθεί υπ’ όψη.

38.

Υπό το πρίσμα των ανωτέρω και λαμβανομένων υπ’ όψη των διαφόρων μεταβλητών θεωρουμένων ως σύνολο, ο ΕΕΠΔ κρίνει ότι είναι σκόπιμο να συμπεριληφθεί ένα όριο ή ένα κριτήριο εντεύθεν του οποίου η κοινοποίηση δεν θα είναι υποχρεωτική.

39.

Τα προτεινόμενα κριτήρια, το κατά πόσον δηλαδή η παραβίαση συνιστά «σοβαρό κίνδυνο για την ιδιωτική ζωή» ή είναι «ευλόγως πιθανό να προξενήσει βλάβη», περιλαμβάνουν προφανώς και τα δύο, για παράδειγμα, κοινωνική βλάβη ή προσβολή της υπόληψης καθώς και οικονομική ζημία. Τα κριτήρια αυτά θα είχαν π.χ. εφαρμογή σε περιπτώσεις έκθεσης σε κλοπή ταυτότητας μέσω αποκάλυψης αναγνωριστικών στοιχείων που δεν είναι για δημόσια χρήση, όπως αριθμοί διαβατηρίων, όπως επίσης αποκάλυψης στοιχείων για την ιδιωτική ζωή ενός φυσικού προσώπου. Ο ΕΕΠΔ τάσσεται υπέρ αυτής της προσέγγισης, πεπεισμένος ότι τα οφέλη από την κοινοποίηση των παραβιάσεων της ασφάλειας δεν θα αποκομίζονταν πλήρως εάν το σύστημα κοινοποίησης εκάλυπτε μόνο παραβιάσεις που οδηγούν σε οικονομική ζημία.

40.

Από τα δύο προτεινόμενα κριτήρια, ο ΕΕΠΔ προτιμά το κριτήριο της Επιτροπής «ευλόγως πιθανό να προξενήσει βλάβη», διότι παρέχει καταλληλότερο επίπεδο προστασίας των φυσικών προσώπων. Υπάρχει πολύ μεγαλύτερη πιθανότητα να κρίνονται οι παραβιάσεις ως κοινοποιήσιμες όταν είναι «ευλόγως πιθανό να προξενήσουν βλάβη» στην ιδιωτική ζωή των φυσικών προσώπων παρά όταν αποτελούν «σοβαρό κίνδυνο» τέτοιας βλάβης. Εξ άλλου, η κάλυψη εκείνων μόνο των παραβιάσεων που αποτελούν σοβαρό κίνδυνο για την ιδιωτική ζωή των φυσικών προσώπων θα περιόριζε σημαντικά τον αριθμό των παραβιάσεων που πρέπει να κοινοποιούνται. Η κάλυψη αποκλειστικά αυτών των παραβιάσεων θα παρείχε στους PPECS και ISSPs υπερβολικό βαθμό ευχέρειας για να κρίνουν αν απαιτείται κοινοποίηση, δεδομένου ότι θα τους ήταν πολύ ευκολότερο να αιτιολογήσουν το συμπέρασμα ότι δεν υπάρχει «σοβαρός κίνδυνος» βλάβης από το συμπέρασμα ότι δεν είναι «ευλόγως πιθανό να προξενηθεί βλάβη». Και ναι μεν η υπερπληθώρα κοινοποιήσεων πρέπει να αποφευχθεί, πρέπει όμως ταυτόχρονα να παρασχεθεί το ευεργέτημα της αμφιβολίας στην προστασία των συμφερόντων της ιδιωτικής ζωής των φυσικών προσώπων, τα δε φυσικά πρόσωπα να προστατεύονται αν μη τι άλλο όταν η παραβίαση είναι ευλόγως πιθανό να τους προξενήσει βλάβη. Επί πλέον, ο όρος «ευλόγως πιθανό» θα είναι αποτελεσματικότερος στην πράξη, τόσο για τους φορείς που υπάγονται σε υποχρέωση κοινοποίησης όσο και για τις αρμόδιες αρχές, επειδή απαιτεί αντικειμενική αξιολόγηση της υπόθεσης και του γενικού της πλαισίου.

41.

Πέραν αυτού, οι παραβιάσεις των δεδομένων προσωπικού χαρακτήρα μπορούν να προξενήσουν βλάβη που είναι δύσκολο να αποδοθεί ποσοτικά και που ενδέχεται να παρουσιάζει διαβαθμίσεις. Πράγματι, η αποκάλυψη δεδομένων του ιδίου τύπου μπορεί να προξενήσει σημαντική βλάβη σε ένα φυσικό πρόσωπο, μικρότερη όμως σε άλλο. Ένα κριτήριο βάσει του οποίου η βλάβη θα έπρεπε να είναι υλική, σημαντική ή σοβαρή δεν ενδείκνυνται για την περίπτωση. Η προσέγγιση του Συμβουλίου για παράδειγμα, η οποία απαιτεί να θίγει η παραβίαση σοβαρά την ιδιωτική ζωή ενός ατόμου θα παρείχε ανεπαρκή προστασία στα φυσικά πρόσωπα δεδομένου ότι ο κανόνας αυτός καθεαυτόν απαιτεί να είναι «σοβαρές» οι συνέπειες για την ιδιωτική ζωή, πράγμα που αφήνει χώρο για υποκειμενική εκτίμηση.

42.

Παρότι όμως ο προαναφερόμενος κανόνας του «ευλόγως πιθανό να προξενήσει βλάβη» είναι μάλλον ο κατάλληλος για την κοινοποίηση παραβιάσεων της ασφάλειας, ο ΕΕΠΔ εξακολουθεί να φοβάται ότι ίσως να μην καλύπτει όλες τις καταστάσεις στις οποίες δικαιολογείται η κοινοποίηση προς φυσικά πρόσωπα, τουτέστιν όλες τις καταστάσεις όπου υπάρχει εύλογη πιθανότητα αρνητικών συνεπειών για την ιδιωτική ζωή ή τα άλλα έννομα συμφέροντα φυσικών προσώπων. Για τον λόγο αυτόν θα μπορούσε να εξεταστεί ως ενδεχόμενο ένα κριτήριο που θα απαιτούσε κοινοποίηση «όταν είναι ευλόγως πιθανό ότι η παραβίαση θα έχει αρνητικές συνέπειες για τα φυσικά πρόσωπα».

43.

Αυτό το εναλλακτικός κριτήριο έχει το επί πλέον προσόν της συνοχής με τη νομοθεσία της ΕΕ για την προστασία των δεδομένων προσωπικού χαρακτήρα. Πράγματι, η οδηγία περί προστασίας των δεδομένων μνημονεύει συχνά τις αρνητικές συνέπειες για τα δικαιώματα και τις ελευθερίες των ατόμων στα οποία αναφέρονται τα δεδομένα. Παραδείγματος χάριν, το άρθρο 18 και η αιτιολογική παράγραφος 49 που πραγματεύονται την υποχρέωση κοινοποίησης των επεξεργασιών στις αρχές προστασίας προσωπικών δεδομένων επιτρέπουν στα κράτη μέλη να εξαιρούν από αυτή την υποχρέωση τις περιπτώσεις όπου η επεξεργασίες αυτές «δεν είναι ικανές να θίξουν τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα». Ανάλογη διατύπωση χρησιμοποιείται στο άρθρο 16 παρ. 6 της κοινής θέσης, προκειμένου να μπορούν τα νομικά πρόσωπα να ενάγουν τους δημιουργούς ανεπίκλητων ηλεκτρονικών μηνυμάτων (spammer).

44.

Εξ άλλου, με τα ανωτέρω υπ’ όψη θα μπορούσε κανείς να αναμείνει επίσης ότι οι υποκείμενοι στην υποχρέωση κοινοποίησης φορείς -και ιδίως οι αρχές οι αρμόδιες για την επιβολή της νομοθεσίας για την προστασία των δεδομένων- θα είναι πιο εξοικειωμένες με τον προαναφερόμενο κανόνα και συνεπώς να εκτιμούν ευκολότερα το αν μια δεδομένη παραβίαση πληροί το επιβεβλημένο κριτήριο.

45.

Βάσει της προσέγγισης του ΕΚ (πλην των περιπτώσεων επικείμενου κινδύνου) και της τροποποιημένης πρότασης της Επιτροπής, θα εναπόκειται στις αρχές των κρατών μελών να καθορίζουν αν μια παραβίαση της ασφάλειας πληροί το γενεσιουργό αίτιο για την κοινοποίηση προς τους ενδιαφερομένους ή όχι.

46.

Ο ΕΕΠΔ φρονεί ότι η εμπλοκή κάποιας αρχής είναι σημαντική για να καθοριστεί αν πληρούται το κριτήριο, δεδομένου ότι εγγυάται σε κάποιο βαθμό την ορθή εφαρμογή της νομοθεσίας. Ένα τέτοιο σύστημα θα εμποδίζει ενδεχομένως τις εταιρίες από το να εκτιμούν ατόπως τον κίνδυνο ως μη επιβλαβή/σοβαρό και έτσι να αποφεύγουν την κοινοποίηση τη στιγμή που μια τέτοια κοινοποίηση είναι στην πραγματικότητα απαραίτητη.

47.

Αφ’ ετέρου, ο ΕΕΠΔ φοβάται μήπως ένα καθεστώς που απαιτεί από τις αρχές να διενεργούν την εκτίμηση αποδειχθεί ανεπίδεκτο εφαρμογής ή δυσεφάρμοστο, ή μήπως καταλήξει αντιπαραγωγικό στην πράξη, αποδυναμώνοντας μάλιστα τις εγγυήσεις προς τα φυσικά πρόσωπα για την προστασία των δεδομένων.

48.

Πράγματι, με μια τέτοια προσέγγιση είναι πιθανό να πλημμυρίσουν οι αρχές από κοινοποιήσεις για παραβιάσεις ασφάλειας και να αντιμετωπίσουν μεγάλα προβλήματα στη διενέργεια των απαραίτητων εκτιμήσεων. Πρέπει να υπομνησθεί ότι για να εκτιμηθεί κατά πόσο μια δεδομένη παραβίαση πληροί το κριτήριο, θα πρέπει να παρέχεται στις αρχές επαρκής ενημέρωση εκ των έσω, συχνά περίπλοκου τεχνικού χαρακτήρα, την οποία οι αρχές θα πρέπει να επεξεργάζονται τάχιστα. Έχοντας υπ’ όψη πόσο δύσκολη είναι η εκτίμηση καθώς και ότι ορισμένες αρχές διαθέτουν περιορισμένους πόρους, ο ΕΕΠΔ φοβάται ότι η συμμόρφωση των αρχών με αυτή την υποχρέωση θα συναντά μεγάλες δυσκολίες και πιθανόν να αφαιρεί πόρους από άλλες σημαντικές προτεραιότητες. Εκτός αυτού ένα τέτοιο σύστημα ενδέχεται να πιέζει υπερβολικά τις αρχές· σε περίπτωση μάλιστα που οι αρχές κρίνουν ότι η παραβίαση δεν είναι σοβαρή και παρ’ όλ’ αυτά υποστούν βλάβη κάποια φυσικά πρόσωπα, υπάρχει το ενδεχόμενο να θεωρηθούν αυτές υπεύθυνες.

49.

Η δυσκολία αυτή υπογραμμίζεται εντονότερα αν κανείς λάβει υπόψη ότι ο χρόνος είναι βασικός παράγοντας για την ελαχιστοποίηση των κινδύνων που γεννούν οι παραβιάσεις αυτές. Ο πρόσθετος χρόνος που χρειάζονται οι αρχές για να προβούν στις εκτιμήσεις αυτές μεγεθύνει ενδεχομένως τη βλάβη που υφίστανται οι ενδιαφερόμενοι, παρεκτός αν οι αρχές έχουν τη δυνατότητα να προβαίνουν σε εκτιμήσεις μέσα σε ελάχιστη διορία. Ως εκ τούτου, η πρόσθετη διαδικασία που αποσκοπεί στο να προστατεύονται καλύτερα τα φυσικά πρόσωπα μπορεί παραδόξως να προσφέρει τελικά μικρότερη προστασία απ’ ό,τι τα συστήματα που βασίζονται σε απ’ ευθείας κοινοποίηση.

50.

Για τους λόγους που προαναφέρθηκαν, ο ΕΕΠΔ θεωρεί προτιμότερο να δημιουργηθεί ένα σύστημα σύμφωνα με το οποίο θα επαφίεται στους ενδιαφερόμενους φορείς να αποφασίσουν αν η παραβίαση πληροί το κριτήριο ή όχι, όπως προβλέπει η προσέγγιση του Συμβουλίου.

51.

Πάντως για να αποφευχθούν τα ενδεχόμενα κατάχρησης, επί παραδείγματι αρχών που αρνούνται να κοινοποιήσουν σε περιπτώσεις όπου η κοινοποίηση είναι σαφώς επιβεβλημένη, η συμπερίληψη των εγγυήσεων για την προστασία των δεδομένων που αναλύονται κατωτέρω είναι υψίστης σημασίας.

52.

Εν πρώτοις, η επιβολή στους υπόχρεους φορείς της υποχρέωσης να αποφασίζουν αν πρέπει να κοινοποιήσουν θα πρέπει φυσικά να συνοδεύεται από μια άλλη υποχρέωση, που θα απαιτεί να κοινοποιούνται υποχρεωτικά προς τις αρχές όλες οι παραβιάσεις που πληρούν το επιβεβλημένο κριτήριο. Στις περιπτώσεις αυτές οι ενδιαφερόμενοι φορείς θα πρέπει να ενημερώνουν τις αρχές σχετικά με την παραβίαση για τους λόγους για τους οποίους αποφάσισαν να την κοινοποιήσουν, καθώς και για το περιεχόμενο της τυχόν κοινοποίησης.

53.

Δεύτερον, θα πρέπει να δοθεί στις αρχές πραγματικός εποπτικός ρόλος. Κατά την άσκηση του καθήκοντος αυτού οι αρχές θα πρέπει να έχουν το δικαίωμα - πλην όχι την υποχρέωση- να διερευνούν τις περιστάσεις της παραβίασης και να απαιτούν τη λήψη των διορθωτικών μέτρων που ενδέχεται να αρμόζουν (14). Αυτά δεν θα πρέπει να περιλαμβάνουν απλώς την κοινοποίηση προς φυσικά πρόσωπα (εάν δεν έχει γίνει ακόμα) αλλ’ επίσης και τη δυνατότητα να επιβάλλεται υποχρέωση λήψης μέτρων προς αποφυγή νέων παραβιάσεων. Θα πρέπει εν προκειμένω να παρέχονται στις αρχές ουσιαστικές εξουσίες και πόροι, οι δε αρχές θα πρέπει να διαθέτουν το αναγκαίο περιθώριο ελιγμών ώστε να αποφασίζουν πότε θα αντιδρούν σε κοινοποιήσεις παραβιάσεων της ασφάλειας. Αυτό θα επιτρέπει δηλαδή στις αρχές να κάνουν επιλογή και να δρομολογούν επί παραδείγματι έρευνες για εκτεταμένες, πραγματικά επιβλαβείς παραβιάσεις της ασφάλειας, διαπιστώνοντας ή επιβάλλοντας τη συμμόρφωση προς τις επιταγές της νομοθεσίας.

54.

Για να επιτευχθούν τα ανωτέρω, επιπλέον των εξουσιών που αναγνωρίζονται δυνάμει της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (π.χ. άρθρο 15α παρ. 3) και στην οδηγία για την προστασία των δεδομένων, ο ΕΕΠΔ προτείνει να προστεθεί η ακόλουθη φράση: «Σε περίπτωση που δεν έχει ήδη γίνει κοινοποίηση προς τον συνδρομητή ή το ενδιαφερόμενο φυσικό πρόσωπο, η αρμόδια εθνική αρχή μπορεί, αφού εξετάσει τον χαρακτήρα της παραβίασης, να ζητήσει από τους PPECS ή ISSPs να προβούν στην κοινοποίηση αυτή.»

55.

Επίσης, ο ΕΕΠΔ συνιστά προς το ΕΚ και το Συμβούλιο να επιβεβαιώσουν την προτεινόμενη από το ΕΚ υποχρέωση (τροπολογία 122, άρθρο 4 παρ. 1 στοιχείο α) των φορέων να διενεργούν αξιολόγηση και εντοπισμό των κινδύνων για τα συστήματά τους και τα δεδομένα προσωπικού χαρακτήρα που σκοπεύουν να επεξεργαστούν. Με βάση αυτή την υποχρέωση, οι φορείς θα πρέπει να καταρτίσουν έναν ειδικά προσαρμοσμένο στις ανάγκες τους και ακριβή ορισμό των μέτρων ασφάλειας που θα χρησιμοποιούνται, ο οποίος θα πρέπει να βρίσκεται στη διάθεση των αρχών. Σε περίπτωση που συμβεί παραβίαση της ασφάλειας, η υποχρέωση αυτή θα βοηθά τις υπόχρεες αρχές - και εν τέλει τις αρχές στον εποπτικό τους ρόλο- να κρίνουν αν η έκθεση των δεδομένων αυτών σε κίνδυνο μπορεί να έχει αρνητικές συνέπειες ή να προξενήσει βλάβη σε φυσικά πρόσωπα.

56.

Τρίτον, η υποχρέωση των υπόχρεων φορέων να αποφασίζουν αν θα πρέπει να ενημερώσουν φυσικά πρόσωπα πρέπει να συνοδεύεται από υποχρέωση να τηρούν λεπτομερή και εκτεταμένο ιστορικό εσωτερικού ελέγχου όπου θα καταγράφονται όσες τυχόν παραβιάσεις έχουν διαπιστωθεί και οι σχετικές με αυτές κοινοποιήσεις καθώς και τα μέτρα που ελήφθησαν προς αποφυγή μελλοντικών παραβιάσεων. Αυτό το ιστορικό εσωτερικού ελέγχου πρέπει να βρίσκεται στη διάθεση των αρχών για επανεξέταση και ενδεχόμενη έρευνα. Αυτό θα βοηθήσει τις αρχές να διεκπεραιώνουν τα εποπτικά τους καθήκοντα και θα μπορούσε να επιτευχθεί με την υιοθέτηση της ακόλουθης διατύπωσης: «Οι PPECS και ISSPs πρέπει να φυλάσσουν και να συντηρούν εκτεταμένα αρχεία στα οποία απαριθμούνται λεπτομερώς όλες οι παραβιάσεις που διαπιστώνονται, τα συναφή τεχνικά στοιχεία που τις αφορούν και τα διορθωτικά μέτρα που λαμβάνονται. Τα αρχεία πρέπει να περιλαμβάνουν επίσης παραπομπή σε όλες τις κοινοποιήσεις που στέλνονται προς ενδιαφερόμενους συνδρομητές ή φυσικά πρόσωπα και προς τις αρμόδιες εθνικές αρχές, μαζί με την ημερομηνία και το περιεχόμενό τους. Τα αρχεία πρέπει να επιδεικνύονται στην αρμόδια εθνική αρχή όποτε το ζητήσει.»

57.

Βέβαια, για να εξασφαλιστεί η συνέπεια στην εφαρμογή του κανόνα αυτού καθώς και άλλων συναφών πτυχών του πλαισίου των παραβιάσεων της ασφάλειας όπως ο μορφότυπος και οι διαδικασίες κοινοποίησης, καλό θα ήταν να εκδώσει η Επιτροπή τεχνικά μέτρα εφαρμογής ύστερα από συνεννόηση με τον ΕΕΠΔ, την Ομάδα του Άρθρου 29 και άλλους ενδιαφερομένους φορείς.

58.

Όσον αφορά τους αποδέκτες των κοινοποιήσεων, ο ΕΕΠΔ προτιμά την ορολογία του ΕΚ και της Επιτροπής αντί του Συμβουλίου. Πράγματι, το ΕΚ αντικατέστησε τη λέξη «συνδρομητές» με τη λέξη «χρήστες», ενώ η Επιτροπή κάνει λόγο για «συνδρομητές» και «ενδιαφερόμενο άτομο». Η διατύπωση τόσο του ΕΚ όσο και της Επιτροπής συμπεριλαμβάνει προφανώς ως αποδέκτες των κοινοποιήσεων όχι μόνο τους σημερινούς συνδρομητές αλλά και πρώην συνδρομητές ή τρίτους, όπως χρήστες που συνεργάζονται με ορισμένους υπόχρεους φορείς δίχως να είναι συνδρομητές τους. Ο ΕΕΠΔ δηλώνει ικανοποιημένος με την προσέγγιση αυτή και ζητά από το ΕΚ και το Συμβούλιο να εμμείνουν σε αυτήν.

59.

Εν τούτοις ο ΕΕΠΔ διαπιστώνει ορισμένες ασυνέπειες όσον αφορά την ορολογία της πρώτης ανάγνωσης του ΕΚ, οι οποίες θα πρέπει να διορθωθούν. Επί παραδείγματι η λέξη «συνδρομητές» έχει αντικατασταθεί στις περισσότερες περιπτώσεις αλλά όχι σε όλες από τη λέξη «χρήστες», ενώ σε άλλες περιπτώσεις από τη λέξη «καταναλωτές»· θα πρέπει να γίνει η σχετική εναρμόνιση.

60.

Το άρθρο 3 παρ. 1 της ισχύουσας οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών ορίζει τους φορείς που αφορά κατά πρώτο λόγο η οδηγία, ήτοι εκείνους που επεξεργάζονται δεδομένα «στο πλαίσιο» της παροχής διαθέσιμων στο κοινό υπηρεσιών επικοινωνιών σε δημόσια δίκτυα (τις ανωτέρω αποκαλούμενες «PPECS») (15). Στα παραδείγματα PPECS συγκαταλέγονται η παροχή πρόσβασης στο Διαδίκτυο, η διαβίβαση πληροφοριών μέσω ηλεκτρονικών δικτύων, οι συνδέσεις κινητής και σταθερής τηλεφωνίας κλπ.

61.

Το ΕΚ ενέκρινε μια τροπολογία 121 που τροποποιεί το άρθρο 3 της αρχικής πρότασης της Επιτροπής, σύμφωνα με την οποία το πεδίο εφαρμογής της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών διευρύνθηκε ούτως ώστε να εφαρμόζεται και «στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια και ιδιωτικά δίκτυα επικοινωνιών και ιδιωτικών δικτύων προσβάσιμων στο κοινό στην Κοινότητα […]» (άρθρο 3 παρ. 1 της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών). Δυστυχώς το Συμβούλιο και η Επιτροπή έκριναν ότι δεν μπορούν να δεχθούν εύκολα αυτήν την τροποποίηση και ως εκ τούτου δεν ενσωμάτωσαν την προσέγγιση αυτή στην κοινή θέση και στην τροποποιημένη οδηγία.

62.

Για τους λόγους που εξηγούνται στα κατωτέρω και επιθυμώντας να συμβάλει προκειμένου να επιτευχθεί συναίνεση, ο ΕΕΠΔ συνιστά να διατηρηθεί η ουσία της τροπολογίας 121. Εκτός αυτού ο ΕΕΠΔ συνιστά να συμπεριληφθεί τροπολογία που να βοηθά στο να διευκρινίζονται περισσότερο οι τύποι υπηρεσιών που θα εμπίπτουν στο διευρυμένο πεδίο εφαρμογής.

63.

Τα ιδιωτικά δίκτυα συχνά χρησιμοποιούνται για την παροχή υπηρεσιών ηλεκτρονικής επικοινωνίας, όπως η πρόσβαση στο Διαδίκτυο, σε απροσδιόριστο αριθμό ατόμων, που μπορεί δυνητικά να είναι μεγάλος. Αυτό συμβαίνει επί παραδείγματι με την πρόσβαση στο Διαδίκτυο μέσω ‘διαδικτυακών καφενείων’ καθώς και σημείων πρόσβασης Wi-Fi που είναι διαθέσιμα σε ξενοδοχεία, εστιατόρια, αεροδρόμια, σιδηροδρόμους και λοιπές εγκαταστάσεις στις οποίες έχει πρόσβαση το κοινό και όπου οι υπηρεσίες αυτές προσφέρονται συχνά ως συμπλήρωμα άλλων υπηρεσιών (ροφήματα, καταλύματα κλπ).

64.

Σε όλα τα προαναφερόμενα παραδείγματα, μια υπηρεσία επικοινωνίας, φερ’ ειπείν η πρόσβαση στο Διαδίκτυο, διατίθεται στο κοινό όχι μέσω δημοσίου δικτύου, αλλά μάλλον μέσω δικτύου που μπορεί να θεωρηθεί ιδιωτικό, ήτοι δικτύου που διαχειρίζονται ιδιώτες. Παρότι άλλωστε στις ανωτέρω περιπτώσεις η υπηρεσία επικοινωνίας παρέχεται στο κοινό, επειδή το δίκτυο που χρησιμοποιείται είναι ιδιωτικού και όχι δημόσιου τύπου, η παροχή των υπηρεσιών αυτών μπορεί να υποστηριχθεί ότι δεν καλύπτεται από ολόκληρη την οδηγία για την ιδιωτική ζωή στις ηλεκτρονικές επικοινωνίας ή έστω από ορισμένα της άρθρα (16). Κατά συνέπεια, τα θεμελιώδη δικαιώματα των φυσικών προσώπων που κατοχυρώνει η οδηγία για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών δεν προστατεύονται στις περιπτώσεις αυτές, και έτσι δημιουργείται άνιση νομική κατάσταση των χρηστών που χρησιμοποιούν τις ίδιες υπηρεσίες πρόσβασης στο Διαδίκτυο μέσω δημόσιων τηλεπικοινωνιακών δικτύων έναντι εκείνων που έχουν πρόσβαση σε αυτές από ιδιωτικά δίκτυα. Και τούτο παρά το γεγονός ότι ο κίνδυνος για την ιδιωτική ζωή και τα προσωπικά δεδομένα των φυσικών προσώπων είναι σε όλες αυτές τις περιπτώσεις ακριβώς ίδιος όπως όταν χρησιμοποιούνται δημόσια δίκτυα για την παροχή των υπηρεσιών αυτών. Εν ολίγοις δεν φαίνεται να υπάρχει αποχρών λόγος που να δικαιολογεί, δυνάμει της οδηγίας για τις υπηρεσίες επικοινωνίας, διαφορετική μεταχείριση των υπηρεσιών που παρέχονται από ιδιωτικό δίκτυο σε σχέση με τις υπηρεσίες που παρέχονται μέσω δημοσίου δικτύου.

65.

Ως εκ τούτου ο ΕΕΠΔ θα ενέκρινε μια τροποποίηση όπως η τροπολογία 121 του ΕΚ σύμφωνα με την οποία η οδηγία για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών θα ισχύει επίσης και για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της παροχής προσβάσιμων από το κοινό υπηρεσιών ηλεκτρονικής επικοινωνίας μέσω ιδιωτικών επικοινωνιακών δικτύων.

66.

Ο ΕΕΠΔ αναγνωρίζει εν τούτοις ότι μια τέτοια διατύπωση ενδέχεται να έχει απρόβλεπτες και ενδεχομένως απρομελέτητες συνέπειες. Όντως, η απλή και μόνο μνεία ιδιωτικών δικτύων θα μπορούσε να εκληφθεί ως καλύπτουσα καταστάσεις που σαφώς δεν είναι στις προθέσεις της οδηγίας να καλύπτει. Θα μπορούσε φερ’ ειπείν να υποστηριχθεί ότι η κατά γράμμα ή αυστηρή ερμηνεία της διατύπωσης αυτής θα υπαγάγει στις διατάξεις της οδηγίας τους ιδιοκτήτες σπιτιών εξοπλισμένων με Wi-Fi (17) που παρέχουν την δυνατότητα σύνδεσης σε όποιον βρίσκεται εντός του βεληνεκούς τους (συνήθως μέσα στο σπίτι), ακόμα και αν αυτό δεν είναι στις προθέσεις της τροπολογίας 121. Για να αποφευχθούν τέτοια επακόλουθα, ο ΕΕΠΔ συνιστά να αναδιατυπωθεί η τροπολογία 121, συν τοις άλλοις και βάσει του πεδίου εφαρμογής της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, ως εξής: «στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα επικοινωνιών ή σε προσβάσιμα από το κοινό ιδιωτικά δίκτυα επικοινωνιών εντός της Κοινότητας…»

67.

Αυτό θα βοηθήσει να αποσαφηνιστεί ότι μόνο ιδιωτικά δίκτυα στα οποία έχει πρόσβαση το κοινό θα καλύπτονται από την οδηγία για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών. Η εφαρμογή της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών μόνο στα ιδιωτικά δίκτυα στα οποία έχει πρόσβαση το κοινό (και όχι σε όλα τα ιδιωτικά δίκτυα) θέτει ένα όριο προκειμένου η οδηγία να καλύπτει μόνο τις υπηρεσίες επικοινωνίας που παρέχονται σε ιδιωτικά δίκτυα που σκοπίμως καθίστανται προσβάσιμα από το κοινό. Αυτή η διατύπωση θα βοηθήσει να επισημανθεί εντονότερα ότι η διαθεσιμότητα του ιδιωτικού δικτύου σε μέλη του ευρέος κοινού είναι ο βασικός παράγων για να καθοριστεί αν αυτό θα εμπίπτει στις διατάξεις της οδηγίας (επιπροσθέτως της παροχής προσιτών στο κοινό υπηρεσιών επικοινωνίας). Με άλλα λόγια, ανεξάρτητα από το αν το δίκτυο είναι δημόσιο ή ιδιωτικό, εάν καθίσταται σκοπίμως προσιτό στο κοινό με σκοπό την παροχή δημόσιας υπηρεσίας επικοινωνιών, όπως είναι η πρόσβαση στο Διαδίκτυο, τότε αυτός ο τύπος υπηρεσίας/δικτύου θα εμπίπτει στις διατάξεις της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, ακόμα και αν η εν λόγω υπηρεσία απλώς συμπληρώνει μια άλλη (π.χ. κατάλυμα σε ξενοδοχείο).

68.

Ο ΕΕΠΔ επισημαίνει ότι η προσέγγιση υπέρ της οποίας τάσσεται ανωτέρω, βάσει της οποίας οι διατάξεις της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών ισχύουν για τα ιδιωτικά δίκτυα στα οποία έχει πρόσβαση το κοινό, συμβαδίζει με την προσέγγιση που έχουν υιοθετήσει αρκετά κράτη μέλη, των οποίων οι αρχές ήδη θεωρούν ότι οι υπηρεσίες του τύπου αυτού καθώς και οι υπηρεσίες που παρέχονται σε αμιγώς ιδιωτικά δίκτυα εμπίπτουν στο πεδίο εφαρμογής των εθνικών διατάξεων εφαρμογής της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (18).

69.

Χάριν μεγαλύτερης νομικής ασφάλειας όσον αφορά τους φορείς που υπάγονται στο νέο αυτό πεδίο εφαρμογής, θα ήταν ίσως χρήσιμο να συμπεριληφθεί στην οδηγία για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών μια τροπολογία με την ακόλουθη διατύπωση: «ως προσβάσιμο από το κοινό ιδιωτικό δίκτυο νοείται ένα δίκτυο το οποίο διαχειρίζονται ιδιώτες και στο οποίο τα μέλη του ευρέος κοινού έχουν συνήθως απεριόριστη πρόσβαση είτε επί πληρωμή είτε όχι, ή ακόμα σε συνάρτηση με άλλες υπηρεσίες ή προσφορές, με την προϋπόθεση της αποδοχής των όρων και προϋποθέσεων που ισχύουν.»

70.

Στην πράξη η ανωτέρω προσέγγιση θα σημαίνει ότι θα καλύπτονται τα ιδιωτικά δίκτυα σε ξενοδοχεία και άλλες επιχειρήσεις που παρέχουν στο ευρύ κοινό πρόσβαση στο Διαδίκτυο μέσω ιδιωτικών δικτύων. Δεν θα καλύπτεται αντιθέτως η παροχή επικοινωνιακών υπηρεσιών σε αμιγώς ιδιωτικά δίκτυα όπου η υπηρεσία περιορίζεται σε συγκεκριμένο αριθμό αναγνωρίσιμων ατόμων. Κατά συνέπεια, τα οιονεί ιδιωτικά δίκτυα π.χ. ή τα εξοπλισμένα με Wi-Fi σπίτια ιδιωτών δεν θα καλύπτονται από την οδηγία. Επίσης δεν θα καλύπτονται ούτε οι υπηρεσίες που παρέχονται μέσω αμιγώς εταιρικών δικτύων.

71.

Η εξαίρεση των καθαυτό ιδιωτικών δικτύων που προτείνεται στα προλεχθέντα θα πρέπει να θεωρηθεί προσωρινό μέτρο που χρήζει περαιτέρω συζήτησης. Πράγματι, δεδομένου αφ’ ενός ότι η εξαίρεση των αμιγώς ιδιωτικών δικτύων έχει επιπτώσεις όσον αφορά την ιδιωτική ζωή, αφ’ ετέρου δε ότι επηρεάζεται μεγάλος αριθμός ατόμων που έχουν συνήθως πρόσβαση στο Διαδίκτυο μέσω εταιρικών δικτύων, ίσως το ζήτημα αυτό να χρειαστεί μελλοντικά επανεξέταση. Για αυτόν τον λόγο και για να τονωθεί η συζήτηση του θέματος αυτού, ο ΕΕΠΔ συνιστά να συμπεριληφθεί στην οδηγία για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών μια αιτιολογική παράγραφος, που να προβλέπει ότι η Επιτροπή θα διενεργήσει δημόσια διαβούλευση με αντικείμενο την εφαρμογή της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών σε όλα τα ιδιωτικά δίκτυα, στην οποία θα συμμετέχουν ο ΕΕΠΔ, οι αρχές προστασίας προσωπικών δεδομένων και άλλοι ενδιαφερόμενοι φορείς. Η αιτιολογική παράγραφος θα ορίζει επίσης ότι συνεπεία της δημόσιας αυτής διαβούλευσης η Επιτροπή θα υποβάλει την ενδεδειγμένη πρόταση για επέκταση ή περιορισμό των τύπων των φορέων που θα υπάγονται στις διατάξεις της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών.

72.

Επιπροσθέτως των ανωτέρω, τα διάφορα άρθρα της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών θα πρέπει να τροποποιηθούν προκειμένου όλες οι λειτουργικές διατάξεις να αναφέρουν ρητά, εκτός από τα δημόσια δίκτυα, τα ιδιωτικά δίκτυα στα οποία έχει πρόσβαση το κοινό.

73.

Κατά τη διάρκεια της νομοθετικής διαδικασίας με αντικείμενο την αναθεώρηση της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, διάφορες εταιρείες που παρέχουν υπηρεσίες ασφάλειας βεβαίωσαν ότι πρέπει οπωσδήποτε να προστεθεί στην εν λόγω οδηγία μια διάταξη που να νομιμοποιεί τη συλλογή δεδομένων κίνησης προκειμένου να κατοχυρώνεται η ουσιαστική ασφάλεια της επιγραμμικής επικοινωνίας.

74.

Κατόπιν αυτού, το ΕΚ εισήγαγε την τροπολογία 181, με την οποία δημιουργείται νέο άρθρο 6 παρ. 6α το οποίο επιτρέπει ρητώς την επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας: «Με την επιφύλαξη των διατάξεων πλην του άρθρου 7 της οδηγίας 95/46/ΕΚ και του άρθρου 5 της παρούσας οδηγίας, τα δεδομένα κίνησης μπορούν να υφίστανται επεξεργασία για το έννομο συμφέρον του υπευθύνου της επεξεργασίας για το σκοπό της εφαρμογής τεχνικών μέτρων για να κατοχυρωθεί η ασφάλεια του δικτύου και των πληροφοριών, όπως ορίζεται από το άρθρο 4, στοιχείο γ) του κανονισμού (ΕΚ) αριθ. 460/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 10ης Μαρτίου 2004, για τη δημιουργία του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών, δημόσιας υπηρεσίας ηλεκτρονικών επικοινωνιών, δημόσιου ή ιδιωτικού δικτύου ηλεκτρονικών επικοινωνιών, υπηρεσίας στην κοινωνία της πληροφορίας ή σχετικού τερματικού εξοπλισμού και εξοπλισμού ηλεκτρονικών επικοινωνιών, εκτός εάν τα συμφέροντα αυτά υπερισχύουν συμφερόντων που άπτονται των θεμελιωδών δικαιωμάτων και των ελευθεριών του προσώπου στο οποίο αναφέρονται τα δεδομένα. Η επεξεργασία αυτή περιορίζεται στο απολύτως απαραίτητο για τους σκοπούς των μέτρων εγγύησης της ασφάλειας.»

75.

H τροποποιημένη πρόταση της Επιτροπής δέχεται κατ’ αρχήν αυτή την τροπολογία, πλην όμως αφαίρεσε μια βασική διάταξη της οποίας προορισμός ήταν να διασφαλίζεται η τήρηση των λοιπών διατάξεων της οδηγίας, απαλείφοντας τις λέξεις «Με την επιφύλαξη […] … της παρούσας οδηγίας». Το Συμβούλιο δέχθηκε μια αναδιατύπωση που νοθεύει ακόμα περισσότερο τις σημαντικές διασφαλίσεις και την εξισορρόπηση συμφερόντων που επετύγχανε η τροπολογία 181, εγκρίνοντας το ακόλουθο κείμενο: «Τα δεδομένα κίνησης μπορούν να υφίστανται επεξεργασία κατά το απολύτως αναγκαίο μέτρο για την κατοχύρωση του δικτύου και των πληροφοριών, όπως ορίζεται από το άρθρο 4, στοιχείο γ) του κανονισμού (ΕΚ) αριθ. 460/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 10ης Μαρτίου 2004, για τη δημιουργία του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών.»

76.

Όπως εξηγείται ανωτέρω, το άρθρο 6 παρ. 6α είναι περιττό και δίνει λαβή σε καταχρήσεις, ιδίως εάν εγκριθεί με μορφή που δεν περιλαμβάνει τις βασικές διασφαλίσεις, τις ρήτρες που καθιστούν σεβαστές τις λοιπές διατάξεις της οδηγίας και την εξισορρόπηση συμφερόντων. Κατά συνέπεια ο ΕΕΠΔ συνιστά να απορριφθεί αυτό το άρθρο, ή τουλάχιστον να ληφθεί μέριμνα ούτως ώστε το άρθρο να συμπεριλάβει τα είδη διασφαλίσεων που περιελάμβανε η τροπολογία 181 που είχε εγκρίνει το ΕΚ.

77.

Η έκταση στην οποία οι πάροχοι προσβάσιμων από το κοινό υπηρεσιών ηλεκτρονικής επικοινωνίας μπορούν να επεξεργάζονται νομίμως δεδομένα κίνησης ρυθμίζεται από το άρθρο 6 της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, η οποία επιτρέπει την επεξεργασία δεδομένων κίνησης για ολιγάριθμους σκοπούς όπως η τιμολόγηση, η διασύνδεση και η εμπορία. Η επεξεργασία αυτή μπορεί να λάβει χώρα μόνον υπό συγκεκριμένες προϋποθέσεις, όπως η συγκατάθεση των φυσικών προσώπων στην περίπτωση της εμπορίας. Εκτός αυτού, άλλοι υπεύθυνοι επεξεργασίας δεδομένων όπως οι πάροχοι υπηρεσιών κοινωνίας της πληροφορίας επιτρέπεται να επεξεργάζονται δεδομένα κίνησης δυνάμει του άρθρου 7 της οδηγίας για την προστασία των δεδομένων, η οποία ορίζει ότι οι υπεύθυνοι επεξεργασίας δεδομένων μπορούν να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εφόσον συμμορφώνονται προς μία τουλάχιστον από τις απαριθμούμενες νομικές βάσεις που ονομάζονται ωσαύτως νόμιμοι λόγοι.

78.

Παράδειγμα μιας τέτοιας νομικής βάσης είναι το άρθρο 7 στοιχείο (α) της οδηγίας για την προστασία των δεδομένων, το οποίο απαιτεί τη ρητή συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα. Για παράδειγμα, αν μια επιγραμμική επιχείρηση λιανικής πώλησης επιδιώκει να επεξεργαστεί δεδομένα κίνησης για να αποστείλει διαφημιστικό υλικό ή υλικό εμπορίας, πρέπει να λάβει τη ρητή συγκατάθεση του προσώπου. Άλλη νομική βάση που ορίζει το άρθρο 7 ενδέχεται να επιτρέπει σε ορισμένες περιπτώσεις την επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας, φερ’ ειπείν από εταιρείες που προσφέρουν υπηρεσίες ασφάλειας· αυτό βασίζεται στο άρθρο 7 στοιχείο (στ), το οποίο ορίζει ότι οι υπεύθυνοι επεξεργασίας δεδομένων επιτρέπεται να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εάν η επεξεργασία αυτή «είναι απαραίτητη για την επίτευξη του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα, υπό τον όρο ότι δεν προέχει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα…». Η οδηγία για την προστασία των δεδομένων δεν καθορίζει τις περιπτώσεις στις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα πληροί τις προδιαγραφές αυτές· αυτό το καθορίζουν αντιθέτως οι υπεύθυνοι επεξεργασίας δεδομένων για κάθε περίπτωση αυτοτελώς, συχνά με τη συμφωνία των εθνικών αρχών προστασίας των δεδομένων και άλλων αρχών.

79.

Θα πρέπει να ληφθεί υπ’ όψη η συνέργεια μεταξύ άρθρου 7 της οδηγίας για την προστασία των δεδομένων και του προτεινόμενου άρθρου 6 παρ. 6α της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών. Το προτεινόμενο άρθρο 6 παρ. 6α διευκρινίζει υπό ποιές περιστάσεις πληρούνται οι προδιαγραφές του άρθρου 7 στοιχείο (στ) που παρατίθενται ανωτέρω. Επιτρέποντας άλλωστε την επεξεργασία δεδομένων κίνησης προκειμένου να κατοχυρωθεί η ασφάλεια δικτύων και πληροφοριών, το άρθρο 6 παρ. 6α καθιστά δυνατή την επεξεργασία αυτή χάριν των νομίμων συμφερόντων που επιδιώκει ο υπεύθυνος της επεξεργασίας δεδομένων.

80.

Όπως αναλύεται κατωτέρω, ο ΕΕΠΔ φρονεί ότι το προτεινόμενο άρθρο 6 παρ. 6α δεν είναι ούτε απαραίτητο ούτε χρήσιμο. Από νομική άποψη είναι κατ’ αρχήν περιττό να ορίζεται αν μια δραστηριότητα επεξεργασίας δεδομένων συγκεκριμένου τύπου - εν προκειμένω η επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας- πληροί ή δεν πληροί τις προδιαγραφές του άρθρου 7 στοιχείο (στ) της οδηγίας για την προστασία των δεδομένων, οπόταν ενδέχεται να χρειάζεται η συγκατάθεση του προσώπου ως εκ του άρθρου 7 στοιχείο (α). Όπως παρατηρείται ανωτέρω, η αξιολόγηση αυτή γίνεται συνήθως από τους υπευθύνους επεξεργασίας δηλαδή τις εταιρίες, στο επίπεδο της εφαρμογής και σε συνεννόηση με τις αρχές προστασίας των δεδομένων, κι όπου απαιτείται από τα δικαστήρια. Ο ΕΕΠΔ πιστεύει εν γένει ότι σε συγκεκριμένες περιπτώσεις η νόμιμη επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας, η οποία διενεργείται δίχως να διακυβεύονται τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου που αφορούν τα δεδομένα, προφανώς πληροί τις προδιαγραφές του άρθρου 7 στοιχείο (στ) της οδηγίας για την προστασία των δεδομένων και ως εκ τούτου επιτρέπεται να γίνεται. Εκτός αυτού, δεν υπάρχει κανένα προηγούμενο στις οδηγίες για την προστασία των δεδομένων και για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών όπου η απομόνωση ή η ιδιαίτερη μεταχείριση ορισμένων μορφών επεξεργασίας των δεδομένων θα μπορούσε να πληροί τις προδιαγραφές του άρθρου 7 στοιχείο (στ), ούτε έχει αποδειχθεί η ανάγκη τέτοιων εξαιρέσεων. Όλως αντιθέτως φαίνεται, όπως παρατηρείται ανωτέρω, ότι σε πολλές περιπτώσεις αυτή η μορφή δραστηριότητας εντάσσεται ωραιότατα στο τρέχον κείμενο. Ως εκ τούτου περιττεύει κατ’ αρχήν κάθε νομοθετική διάταξη προς επικύρωση της αξιολόγησης αυτής.

81.

Όπως εξηγήθηκε προηγουμένως, είναι σημαντικό - αν και όχι απαραίτητο- να τονιστεί ότι η τροπολογία 181 που ενέκρινε το ΕΚ είχε παρ’ όλ’ αυτά διατυπωθεί μέχρις ενός ορισμένου σημείου λαμβάνοντας υπόψη τις αρχές περί προστασίας της ιδιωτικής ζωής και των δεδομένων, οι οποίες είναι εμπεδωμένες στη νομοθεσία για την προστασία των προσωπικών δεδομένων. Πέραν αυτού, η τροπολογία 181 του ΕΚ θα μπορούσε να ικανοποιήσει περαιτέρω το μέλημα της προστασίας των δεδομένων και της ιδιωτικής ζωής με την προσθήκη για παράδειγμα των λέξεων «σε συγκεκριμένες περιπτώσεις», ούτως ώστε να εξασφαλίζεται η επιλεκτική εφαρμογή του άρθρου αυτού, ή με την προσθήκη συγκεκριμένης διάρκειας φύλαξης των δεδομένων.

82.

Η τροπολογία 181 περιλαμβάνει κάποια θετικά στοιχεία. Επιβεβαιώνει ότι η επεξεργασία θα πρέπει να συμμορφώνεται με κάθε άλλη αρχή περί προστασίας των δεδομένων που ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα («Με την επιφύλαξη των διατάξεων... της οδηγίας 95/46/ΕΚ και […] της παρούσας οδηγίας»). Επίσης, παρότι η τροπολογία 181 επιτρέπει την επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας, επιτυγχάνει ισορροπία μεταξύ των συμφερόντων του φορέα που επεξεργάζεται τα δεδομένα κίνησης και των συμφερόντων των φυσικών προσώπων των οποίων τα δεδομένα υφίστανται επεξεργασία, έτσι ώστε η επεξεργασία δεδομένων να μπορεί να γίνεται μόνον όταν τα συμφέροντα που άπτονται των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων δεν παρακάμπτονται από τα συμφέροντα του φορέα που επεξεργάζεται τα δεδομένα («εκτός όταν τα συμφέροντα αυτά υπερισχύουν συμφερόντων που άπτονται των θεμελιωδών δικαιωμάτων και των ελευθεριών του προσώπου στο οποίο αναφέρονται τα δεδομένα.»). Η προϋπόθεση αυτή έχει ουσιώδη σημασία, διότι θα μπορούσε να επιτρέπει την επεξεργασία δεδομένων κίνησης για συγκεκριμένες περιπτώσεις· ωστόσο δεν θα επέτρεπε στους φορείς τη μαζική επεξεργασία δεδομένων κίνησης.

83.

Η αναδιατυπωμένη απόδοση της τροπολογίας από το Συμβούλιο περιλαμβάνει αξιόλογα στοιχεία, όπως τη διατήρηση της έκφρασης «απολύτως απαραίτητο», η οποία υπογραμμίζει το περιορισμένο πεδίο εφαρμογής αυτού του άρθρου. Όμως η διατύπωση του Συμβουλίου καταργεί τις προαναφερόμενες διασφαλίσεις για την προστασία των δεδομένων και την ιδιωτική ζωή. Αν και καταρχήν εφαρμόζονται οι γενικές διατάξεις περί προστασίας των δεδομένων ασχέτως του εάν γίνεται ρητή μνεία σε κάθε μεμονωμένη περίπτωση, το κείμενο του Συμβουλίου για το άρθρο 6 παρ. 6α θα μπορούσε ωστόσο να ερμηνευθεί ότι παρέχει πλήρη διακριτική ευχέρεια για την επεξεργασία δεδομένων κίνησης χωρίς συμμόρφωση με τις διασφαλίσεις περί προστασίας των δεδομένων και της ιδιωτικής ζωής, οι οποίες ισχύουν κάθε φορά που τα δεδομένα κίνησης υφίστανται επεξεργασία. Θα μπορούσε λοιπόν να υποστηριχθεί ότι τα δεδομένα κίνησης επιτρέπεται να συλλέγονται, να αποθηκεύονται και να χρησιμοποιούνται περαιτέρω δίχως αναγκαστική συμμόρφωση προς τις βασικές αρχές προστασίας των δεδομένων και τις συγκεκριμένες υποχρεώσεις που άλλως βαρύνουν τους υπεύθυνους, όπως η αρχή της ποιότητας ή η υποχρέωση της θεμιτής και νόμιμης επεξεργασίας και η υποχρέωση να διατηρούνται τα δεδομένα απόρρητα και ασφαλή. Επειδή προσέτι δεν μνημονεύονται οι ισχύουσες αρχές για την προστασία των δεδομένων οι οποίες επιτάσσουν χρονικούς περιορισμούς της αποθήκευσης των δεδομένων ή συγκεκριμένα χρονικά όρια στο πλαίσιο του εν προκειμένω άρθρου, η απόδοση του Συμβουλίου θα μπορούσε να θεωρηθεί ότι καθιστά δυνατή τη συλλογή και επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας για απεριόριστο χρονικό διάστημα.

84.

Επί πλέον, σε ορισμένα σημεία του κειμένου το Συμβούλιο αποδυναμώνει τις ρήτρες προστασίας της ιδιωτικής ζωής, παρέχοντας τη δυνατότητα να διευρυνθεί η διατύπωση. Η αναφορά π.χ. στο «έννομο συμφέρον του υπεύθυνου της επεξεργασίας» έχει απαλειφεί, γεννώντας έτσι αμφιβολίες όσον αφορά τον τύπο φορέων που θα μπορούν να επωφελούνται της εξαίρεσης αυτής. Το παράθυρο προ πάντων για να εκμεταλλευθούν τυχόν χρήστες ή φορείς την τροποποίηση αυτή πρέπει να παραμείνει κλειστό.

85.

Οι πρόσφατες εμπειρίες του ΕΚ και του Συμβουλίου καταδεικνύουν πόσο δύσκολο είναι να οριστούν δια νόμου η έκταση και οι προϋποθέσεις βάσει των οποίων μπορεί να διενεργείται με σύννομο τρόπο η επεξεργασία δεδομένων χάριν της ασφάλειας. Προφανώς κανένα άρθρο, υφιστάμενο ή μελλοντικό, δεν θα μπορέσει να εξαλείψει τους πασιφανείς κινδύνους μιας υπερβολικά ευρείας εφαρμογής της εξαίρεσης για λόγους που δεν άπτονται αμιγώς της ασφάλειας ή από φορείς που δεν θα έπρεπε να υπάγονται στην εξαίρεση. Αυτό δεν σημαίνει ότι δεν υπάρχουν περιπτώσεις όπου θα πρέπει να γίνεται αυτή η επεξεργασία. Όμως, το κατά πόσο και σε ποιο βαθμό πρέπει να γίνει μπορεί να εκτιμηθεί καλύτερα στο πλαίσιο της εφαρμογής. Οι φορείς που επιθυμούν να επιδίδονται στην επεξεργασία αυτή θα πρέπει να συζητήσουν τα του πεδίου εφαρμογής και των προϋποθέσεων με τις αρχές προστασίας προσωπικών δεδομένων και ει δυνατόν με την Ομάδα του Άρθρου 29. Μια άλλη λύση θα ήταν να περιλαμβάνει η οδηγία για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών ένα άρθρο που να επιτρέπει την επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας υπό την προϋπόθεση ρητής εξουσιοδότησης από τις αρχές προστασίας προσωπικών δεδομένων.

86.

Έχοντας κατά νου αφ’ ενός μεν τους κινδύνους που γεννά το άρθρο 6 παρ. 6α για τα θεμελιώδη δικαιώματα της προστασίας των δεδομένων και της ιδιωτικής ζωής των φυσικών προσώπων, αφ’ ετέρου δε το γεγονός ότι όπως εξηγείται στη γνωμοδότησή αυτή το άρθρο αυτό περιττεύει από νομική άποψη, ο ΕΕΠΔ καταλήγει στο συμπέρασμα ότι το καλύτερο θα είναι να απαλειφθεί εντελώς το προτεινόμενο άρθρο 6 παρ. 6α.

87.

Εάν τυχόν και παρά τη σύσταση του ΕΕΠΔ εγκριθεί κείμενο που ακολουθεί μια από τις τρέχουσες διατυπώσεις του άρθρου 6 παρ. 6α, θα πρέπει οπωσδήποτε να συμπεριλαμβάνει τις διασφαλίσεις προστασίας των δεδομένων που συζητούνται ανωτέρω. Θα πρέπει επίσης να ενσωματώνεται με τον σωστό τρόπο στη διάρθρωση του άρθρου 6, κατά προτίμηση ως νέα παράγραφος 2α.

88.

Το ΕΚ ενέκρινε την τροπολογία 133 που παρέχει στους παρόχους πρόσβασης στο Διαδίκτυο και σε άλλα νομικά πρόσωπα όπως οι ενώσεις καταναλωτών τη δυνατότητα να ασκούν ένδικα βοηθήματα κατά της παραβίασης οποιασδήποτε διάταξης της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών (19). Δυστυχώς ούτε η Επιτροπή ούτε το Συμβούλιο την δέχθηκε. Ο ΕΕΠΔ φρονεί ότι η τροπολογία αυτή είναι πολύ θετική και συνιστά να διατηρηθεί.

89.

Για να κατανοηθεί η σημασία αυτής της τροπολογίας, θα πρέπει να γίνει αντιληπτό ότι στον τομέα της προστασίας της ιδιωτικής ζωής και των δεδομένων η βλάβη που υφίσταται ένα πρόσωπο, θεωρούμενη αυτοτελώς, κατά κανόνα δεν αρκεί για να προσφύγει το πρόσωπο αυτό στα δικαστήρια. Συνήθως τα φυσικά πρόσωπα δεν προσφεύγουν στα δικαστήρια επειδή έλαβαν ανεπίκλητα μηνύματα ή επειδή το όνομά τους προστέθηκε κατά λάθος σε κάποιον κατάλογο. Η τροπολογία αυτή θα επιτρέπει σε ενώσεις καταναλωτών και συνδικαλιστικές οργανώσεις που εκπροσωπούν συλλογικά τα συμφέροντα των καταναλωτών να ασκούν ένδικα βοηθήματα εξ ονόματός τους ενώπιον των δικαστηρίων. Ένα ευρύτερο φάσμα μηχανισμών επιβολής του νόμου ενδέχεται επίσης να υποθάλψει μεγαλύτερο βαθμό συμμόρφωσης και να αποβεί ως εκ τούτου υπέρ της αποτελεσματικής εφαρμογής των διατάξεων της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών.

90.

Το νομικό πλαίσιο ορισμένων κρατών μελών διαθέτει προηγούμενα που ήδη προβλέπουν τη δυνατότητα συλλογικής προσφυγής στη δικαιοσύνη έτσι ώστε οι ομάδες καταναλωτών ή συμφερόντων να μπορούν να απαιτούν αποζημιώσεις από την πλευρά που προξένησε τη βλάβη.

91.

Επί πλέον, η νομοθεσία (20) ορισμένων κρατών μελών για τον ανταγωνισμό δίνει το δικαίωμα στους καταναλωτές και τις ομάδες συμφερόντων (επί πλέον του θιγομένου ανταγωνιστή) να ενάγουν την οντότητα που διέπραξε την παραβίαση. Η συλλογιστική της προσέγγισης αυτής είναι ότι οι εταιρίες που παραβαίνουν τη νομοθεσία περί ανταγωνισμού προφανώς επωφελούνται διότι οι καταναλωτές που υφίστανται περιθωριακή απλώς ζημία διστάζουν κατά κανόνα να ασκήσουν αγωγή. Η συλλογιστική αυτή μπορεί να εφαρμοστεί κατ’ αναλογίαν στον τομέα της προστασίας των δεδομένων και της ιδιωτικής ζωής.

92.

Μεγαλύτερη σημασία έχει, όπως προελέχθη, ότι η παροχή σε νομικά πρόσωπα όπως ενώσεις καταναλωτών και PPECS της δυνατότητας να ασκούν αγωγές ενισχύει τη θέση των καταναλωτών και προάγει την καθολική συμμόρφωση με τη νομοθεσία για την προστασία των δεδομένων. Όταν οι εταιρίες που διαπράττουν παραβάσεις θα αντιμετωπίζουν μεγαλύτερο κίνδυνο να τους ασκηθεί αγωγή, θα επιδιώκουν προφανώς να συμμορφωθούν περισσότερο με τη νομοθεσία για την προστασία των δεδομένων, πράγμα που μακροπρόθεσμα θα ανυψώσει το επίπεδο προστασίας της ιδιωτικής ζωής και των καταναλωτών. Για όλους αυτούς τους λόγους ο ΕΕΠΔ καλεί το ΕΚ και το Συμβούλιο να θεσπίσουν διάταξη με την οποία τα νομικά πρόσωπα θα μπορούν να ασκούν ένδικα μέσα κατά παραβιάσεων οποιασδήποτε διάταξης της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών.

93.

Η κοινή θέση του Συμβουλίου, η πρώτη ανάγνωση του ΕΚ και η τροποποιημένη πρόταση της Επιτροπής περιλαμβάνουν σε διάφορο βαθμό θετικά στοιχεία που θα μπορούσαν να χρησιμέψουν για να ενισχυθεί η προστασία της ιδιωτικής ζωής και των προσωπικών δεδομένων των φυσικών προσώπων.

94.

Παρ’ όλ’ αυτά ο ΕΕΠΔ πιστεύει ότι υπάρχουν περιθώρια βελτίωσης, ιδίως όσον αφορά την κοινή θέση του Συμβουλίου, η οποία ατυχώς δεν δέχθηκε ορισμένες τροπολογίες του ΕΚ που αποσκοπούν στην εξασφάλιση επαρκούς προστασίας της ιδιωτικής ζωής και των προσωπικών δεδομένων των φυσικών προσώπων. Ο ΕΕΠΔ προτρέπει το ΕΚ και το Συμβούλιο να επαναφέρουν τις διασφαλίσεις της ιδιωτικής ζωής που περιλαμβάνει η πρώτη ανάγνωση του ΕΚ.

95.

Εκτός αυτού ο ΕΕΠΔ φρονεί ότι καλό θα ήταν ορισμένες διατάξεις της οδηγίας να εξορθολογιστούν. Αυτό αληθεύει ιδίως στην περίπτωση των διατάξεων για τις παραβιάσεις της ασφάλειας, καθόσον ο ΕΕΠΔ πιστεύει ότι τα πλήρη οφέλη της κοινοποίησης των παραβιάσεων θα επιτευχθούν καλύτερα εάν το νομικό πλαίσιο καθοριστεί εξ αρχής. Τέλος, ο ΕΕΠΔ θεωρεί σκόπιμο να βελτιωθεί και να αποσαφηνιστεί η διατύπωση ορισμένων διατάξεων της οδηγίας.

96.

Υπό το πρίσμα των ανωτέρω, ο ΕΕΠΔ παροτρύνει το ΕΚ και το Συμβούλιο να εντείνουν τις προσπάθειες για βελτίωση και αποσαφήνιση ορισμένων διατάξεων της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών, ταυτόχρονα δε να επαναφέρουν σε ισχύ τις τροπολογίες που ενέκρινε σε πρώτη ανάγνωση το ΕΚ με σκοπό την παροχή του προσήκοντος επιπέδου προστασίας της ιδιωτικής ζωής και των δεδομένων. Χάριν αυτού του σκοπού, τα σημεία 97, 98, 99 και 100 κατωτέρω συνοψίζουν τα επίμαχα ζητήματα και διατυπώνουν κάποιες συστάσεις και προτάσεις διατύπωσης. Ο ΕΕΠΔ καλεί όλες τις πλευρές να τα λάβουν υπόψη κατά την πορεία της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών προς την έκδοση.

97.

Το Ευρωπαϊκό Κοινοβούλιο, η Επιτροπή και το Συμβούλιο ενέκριναν και οι τρεις διαφορετικές προσεγγίσεις όσον αφορά την κοινοποίηση των παραβιάσεων της ασφάλειας. Οι διαφορές μεταξύ των τριών μοντέλων εστιάζονται μεταξύ άλλων στους φορείς που έχουν υποχρέωση να κοινοποιούν, στο κριτήριο ή το γενεσιουργό αίτιο της κοινοποίησης, στα υποκείμενα των δεδομένων που έχουν δικαίωμα να λαμβάνουν κοινοποιήσεις, κλπ. Το ΕΚ και το Συμβούλιο πρέπει να καταβάλουν κάθε προσπάθεια προκειμένου να παρουσιάσουν ένα στέρεο νομοθετικό πλαίσιο για τις παραβιάσεις της ασφάλειας. Για να το επιτύχουν αυτό, το ΕΚ και το Συμβούλιο θα πρέπει:

98.

Οι υπηρεσίες επικοινωνιών τίθενται συχνά στη διάθεση του κοινού όχι μέσω δημόσιων δικτύων αλλά μέσω δικτύων που διαχειρίζονται ιδιώτες (π.χ. τα σημεία Wi Fi σε ξενοδοχεία, αερολιμένες) και τα οποία μπορεί να υποστηριχθεί ότι δεν εμπίπτουν στις διατάξεις της οδηγίας. Το ΕΚ ενέκρινε την τροπολογία 121 (άρθρο 3) με την οποία διευρύνεται το πεδίο εφαρμογής της οδηγίας ούτως ώστε να συμπεριλάβει τα δημόσια και τα ιδιωτικά δίκτυα επικοινωνιών, καθώς και τα ιδιωτικά δίκτυα στα οποία έχει πρόσβαση το κοινό. Στη συνάρτηση αυτή, το ΕΚ και το Συμβούλιο θα πρέπει:

99.

Η πρώτη ανάγνωση του ΕΚ ενέκρινε την τροπολογία 181 (άρθρο 6 παρ. 6α), με την οποία επιτρέπεται η επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας. Η κοινή θέση του Συμβουλίου υιοθέτησε νέα απόδοση που αποδυναμώνει ορισμένες από τις διασφαλίσεις της προστασίας της ιδιωτικής ζωής. Εν προκειμένω ο ΕΕΠΔ συνιστά στο ΕΚ και το Συμβούλιο:

100.

Το Κοινοβούλιο ενέκρινε την τροπολογία 133 (άρθρο 13 παρ. 6) η οποία παρέχει στα νομικά πρόσωπα τη δυνατότητα να ασκούν αγωγή κατά παραβιάσεων οποιασδήποτε διάταξης της οδηγίας. Δυστυχώς το Συμβούλιο δεν διατήρησε αυτή την τροπολογία. Το Συμβούλιο και το ΕΚ θα πρέπει:

101.

Σε όλα τα ζητήματα που προαναφέρθηκαν, το ΕΚ και το Συμβούλιο πρέπει να φέρουν εις πέρας το εγχείρημα της κατάρτισης προσφυών κανόνων και διατάξεων που να είναι εφαρμόσιμοι, λειτουργικοί και να σέβονται τα δικαιώματα της ιδιωτικής ζωής και της προστασίας των δεδομένων των φυσικών προσώπων. Ο ΕΕΠΔ πιστεύει ότι τα ενδιαφερόμενα μέρη θα καταβάλουν τη μεγαλύτερη δυνατή προσπάθεια για να επιτύχουν το εγχείρημα αυτό και ευελπιστεί ότι η παρούσα γνωμοδότηση θα συμβάλει σε αυτή την προσπάθεια.

6.6.2009   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 128/42

1.

Στις 13 Νοεμβρίου 2008, η Επιτροπή ενέκρινε Πρόταση οδηγίας του Συμβουλίου περί υποχρεώσεως διατηρήσεως ενός ελάχιστου επιπέδου αποθεμάτων αργού πετρελαίου ή/και προϊόντων πετρελαίου από τα κράτη μέλη (στο εξής: «η Πρόταση») (3).

2.

Στόχος της Πρότασης είναι να εξασφαλιστεί υψηλό επίπεδο ασφάλειας του πετρελαϊκού εφοδιασμού στην Κοινότητα μέσω μηχανισμών που χαρακτηρίζονται από αξιοπιστία και διαφάνεια και βασίζονται στην αλληλεγγύη μεταξύ των κρατών μελών, να διατηρηθεί ένα ελάχιστο επίπεδο αποθεμάτων πετρελαίου ή προϊόντων πετρελαίου και να δημιουργηθούν τα απαραίτητα διαδικαστικά μέσα για την αντιμετώπιση σοβαρής έλλειψης.

3.

Στις 14 Νοεμβρίου 2008, η Πρόταση απεστάλη από την Επιτροπή στον ΕΕΠΔ προς διαβούλευση, σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001. Ο ΕΕΠΔ χαιρετίζει το γεγονός ότι ζητήθηκε η γνώμη του επί του θέματος αυτού και σημειώνει ότι η σχετική διαβούλευση μνημονεύεται στο προοίμιο της πρότασης, σύμφωνα με το άρθρο 28 του κανονισμού (ΕΚ) αριθ. 45/2001.

4.

Πριν από την έγκριση της Πρότασης, η Επιτροπή ζήτησε ανεπισήμως από τον ΕΕΠΔ να γνωμοδοτήσει επί συγκεκριμένου άρθρου του σχεδίου Πρότασης (νυν άρθρο 19). Ο ΕΕΠΔ επικρότησε την άτυπη διαβούλευση επειδή του έδωσε την ευκαιρία να προβεί σε ορισμένες συστάσεις πριν την έγκριση της Πρότασης από την Επιτροπή.

5.

Το εξεταζόμενο θέμα αποτελεί κατάλληλο παράδειγμα απεικόνισης του γεγονότος ότι θα πρέπει να υπάρχει διαρκής ευαισθητοποίηση ως προς τους κανόνες περί προστασίας δεδομένων. Σε ό,τι αφορά την υποχρέωση των κρατών μελών να διατηρούν αποθέματα πετρελαίου εκτάκτου ανάγκης τα οποία βρίσκονται κατά κανόνα υπό την κυριότητα νομικών οντοτήτων, η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν είναι πάντοτε προφανής, αλλά ακόμη και αν δεν υπάρχει σχετική πρόβλεψη, είναι ωστόσο δυνατό να λαμβάνει χώρα. Σε κάθε περίπτωση, θα πρέπει να εξετάζεται το ενδεχόμενο επεξεργασίας δεδομένων προσωπικού χαρακτήρα και να λαμβάνονται οι δέουσες ενέργειες.

6.

Στην υπό εξέταση περίπτωση, η οδηγία προβλέπει δύο βασικές δραστηριότητες, οι οποίες θα μπορούσαν να περικλείουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η πρώτη αφορά τη συλλογή από τα κράτη μέλη πληροφοριών σχετικών με τα αποθέματα πετρελαίου και την επακόλουθη διαβίβαση των στοιχείων αυτών στην Επιτροπή. Η δεύτερη δραστηριότητα αναφέρεται στην εξουσία της Επιτροπής να διενεργεί ελέγχους στα κράτη μέλη. Η συλλογή πληροφοριών όσον αφορά τους ιδιοκτήτες αποθεμάτων πετρελαίου θα μπορούσε να περικλείει προσωπικά δεδομένα, όπως τα ονόματα και στοιχεία επικοινωνίας διευθυντών των εταιρειών. Η συλλογή των στοιχείων αυτών καθώς και η επακόλουθη διαβίβασή τους στην Επιτροπή θα συνιστούν επεξεργασία δεδομένων προσωπικού χαρακτήρα και θα καθορίζουν την εφαρμογή είτε της εθνικής νομοθεσίας για την εφαρμογή των διατάξεων της οδηγίας 95/46/ΕΚ είτε του κανονισμού (ΕΚ) αριθ. 45/2001, αναλόγως του εκτελούντος την επεξεργασία των δεδομένων. Εξάλλου, η ανάθεση στην Επιτροπή της διενέργειας ελέγχων των αποθεμάτων εκτάκτου ανάγκης στα κράτη μέλη, όπου περιλαμβάνεται το δικαίωμα συγκέντρωσης πληροφοριών εν γένει, θα μπορούσε να περιλαμβάνει τη συλλογή και, ως εκ τούτου, την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

7.

Κατά την άτυπη διαβούλευση, η οποία αφορούσε αποκλειστικά τη διάταξη για την εξουσία έρευνας της Επιτροπής, ο ΕΕΠΔ συνέστησε στην Επιτροπή να προσδιορίσει κατά πόσον η επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο ερευνών εκ μέρους της Επιτροπής, θα είναι περιστασιακή και μόνον ή θα γίνεται σε τακτική βάση και θα εξυπηρετεί το σκοπό της έρευνας. Εν συνεχεία της υποβολής των πορισμάτων της αξιολόγησης αυτής, προτάθηκαν δύο προσεγγίσεις.

8.

Σε περίπτωση που δεν προβλέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα και θα πρόκειται, ως εκ τούτου, για περιστασιακή και μόνον ενέργεια, ο ΕΕΠΔ συνέστησε πρώτον να αποκλειστεί ρητώς η επεξεργασία δεδομένων προσωπικού χαρακτήρα προς εξυπηρέτηση των σκοπών της έρευνας εκ μέρους της Επιτροπής και, δεύτερον, να αναφερθεί ότι τυχόν προσωπικά δεδομένα που περιέρχονται στη γνώση της Επιτροπής κατά τη διεξαγωγή της έρευνας δεν θα συλλέγονται ούτε θα λαμβάνονται υπόψη, ενώ όσα συλλέγονται τυχαία θα καταστρέφονται αμέσως. Επιπλέον, ο ΕΕΠΔ πρότεινε να περιληφθεί ως γενική ασφαλιστική ρήτρα, διάταξη σύμφωνα με την οποία η οδηγία δεν θα θίγει τους κανόνες περί προστασίας δεδομένων που προβλέπονται στην οδηγία 95/46/ΕΚ και τον κανονισμό (ΕΚ) αριθ. 45/2001.

9.

Εάν, σε αντίθετη περίπτωση, έχει προβλεφθεί η επεξεργασία δεδομένων σε τακτική βάση στο πλαίσιο της διεξαγωγής έρευνας από την Επιτροπή, ο ΕΕΠΔ συνιστά στην Επιτροπή να προστεθεί κείμενο με τα πορίσματα της αξιολόγησής της όσον αφορά την προστασία των δεδομένων. Η εν λόγω διάταξη θα πρέπει να περιλαμβάνει τα ακόλουθα στοιχεία: (I) τον πραγματικό σκοπό της επεξεργασίας δεδομένων, (II) την ανάγκη επεξεργασίας δεδομένων για την επίτευξη του σκοπού αυτού, και (III) την αναλογικότητα ως προς την επεξεργασία των δεδομένων.

10.

Παρόλο που η συμβουλή που ο ΕΕΠΔ έδωσε ατύπως αφορούσε την εξουσία έρευνας της Επιτροπής και μόνον, οι παρατηρήσεις του ισχύουν επίσης και για τη δεύτερη κύρια δραστηριότητα της προτεινόμενης οδηγίας, ήτοι τη συλλογή και διαβίβαση πληροφοριών στην Επιτροπή από τα κράτη μέλη.

11.

Στην τελική Πρόταση της οδηγίας διαπιστώνεται ότι η Επιτροπή κατέληξε ότι δεν θα προβλέπεται επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της οδηγίας. Ο ΕΕΠΔ χαιρετίζει το γεγονός ότι η πρώτη προσέγγιση που συνέστησε αντανακλάται πλήρως στην Πρόταση.

12.

Ως εκ τούτου, ο ΕΕΠΔ εκφράζει την υποστήριξή του για τον τρόπο με τον οποίο εξασφαλίζεται από την Επιτροπή η συμμόρφωση της προτεινόμενης οδηγίας με τους κανόνες προστασίας δεδομένων. Όσον αφορά το υπόλοιπο μέρος της παρούσας γνωμοδότησης, δίνονται κατωτέρω ορισμένες επιμέρους συστάσεις.

13.

Το άρθρο 15 της προτεινόμενης οδηγίας πραγματεύεται την υποχρέωση των κρατών μελών να διαβιβάζουν εβδομαδιαίως στην Επιτροπή στατιστικό δελτίο σχετικά με τα επίπεδα των εμπορικών αποθεμάτων που διατηρούνται στην εθνική επικράτειά τους. Τα στοιχεία αυτά περιλαμβάνουν συνήθως λίγα προσωπικά δεδομένα, τα οποία ωστόσο θα μπορούσαν να περιέχουν πληροφορίες σχετικά με τα φυσικά πρόσωπα που έχουν στην κυριότητά τους αποθέματα πετρελαίου ή που εργάζονται για λογαριασμό της νομικής οντότητας που έχει στην κυριότητά της αποθέματα πετρελαίου. Για να αποφευχθεί η διαβίβαση στην Επιτροπή τέτοιων στοιχείων εκ μέρους των κρατών μελών, το άρθρο 15 παράγραφος 1 προβλέπει ότι τα κράτη μέλη «φροντίζουν να μην αναφέρουν τα ονόματα των ιδιοκτητών των εν λόγω αποθεμάτων». Αν και είναι γνωστό ότι η διαγραφή ενός ονόματος δεν συνεπάγεται αδυναμία προσδιορισμού ενός φυσικού προσώπου, φαίνεται ότι στην παρούσα περίσταση (στατιστικά δελτία των επιπέδων των αποθεμάτων πετρελαίου), η συμπληρωματική αυτή φράση επαρκεί προκειμένου να διασφαλιστεί ότι δεν διαβιβάζονται προσωπικά δεδομένα στην Επιτροπή.

14.

Η εξουσία έρευνας της Επιτροπής προβλέπεται στο άρθρο 19 της προτεινόμενης οδηγίας. Σύμφωνα με το εν λόγω άρθρο προκύπτει σαφώς ότι η Επιτροπή ακολούθησε την πρώτη προσέγγιση, όπως εξηγείται στο σημείο 8 ανωτέρω. Σύμφωνα με το άρθρο αυτό, η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν αποτελεί μέρος των ελέγχων που διεξάγονται από την Επιτροπή. Έστω και αν περιέλθουν στην αντίληψη της Επιτροπής προσωπικά δεδομένα, δεν λαμβάνονται υπόψη και όσα συλλέγονται τυχαία καταστρέφονται αμέσως. Για να ευθυγραμμιστεί η διατύπωση με τα προβλεπόμενα στη νομοθεσία περί προστασίας δεδομένων και προς αποφυγή τυχόν παρανοήσεων, ο ΕΕΠΔ συνιστά να αντικατασταθεί στην πρώτη πρόταση της δεύτερης παραγράφου ο όρος «συλλογή» από τον όρο «επεξεργασία».

15.

Ο ΕΕΠΔ εκφράζει ικανοποίηση διότι στην πρόταση περιλαμβάνεται γενική ασφαλιστική ρήτρα για την κείμενη νομοθεσία περί προστασίας δεδομένων. Το άρθρο 20 προβλέπει ρητώς τις υποχρεώσεις των κρατών μελών, καθώς και της Επιτροπής και των υπόλοιπων κοινοτικών οργάνων, δυνάμει της οδηγίας 95/46/ΕΚ και του κανονισμού (ΕΚ) αριθ. 45/2001, αντίστοιχα. Εξάλλου, στη ρήτρα αυτή επισημαίνονται τα δικαιώματα των προσώπων που αφορούν τα δεδομένα αυτά, δυνάμει των κείμενων διατάξεων, όπως το δικαίωμα αντίταξης στην επεξεργασία δεδομένων, το δικαίωμα πρόσβασης των προσώπων στα δεδομένα που τα αφορούν και το δικαίωμα διόρθωσής τους σε περίπτωση ανακριβειών. Θα μπορούσε ενδεχομένως να γίνει κάποια παρατήρηση ως προς τη θέση της διάταξης αυτής στην πρόταση, η οποία λόγω της γενικής της εμβέλειας, δεν περιορίζεται μόνον στην εξουσία έρευνας της Επιτροπής. Ως εκ τούτου, ο ΕΕΠΔ συνιστά να μεταφερθεί το εν λόγω άρθρο στο πρώτο μέρος της οδηγίας, ενδεχομένως μετά το άρθρο 2.

16.

Επίσης, στην αιτιολογική παράγραφο 25 γίνεται μνεία της οδηγίας 95/46/ΕΚ και του κανονισμού (ΕΚ) αριθ. 45/2001. Ωστόσο, ο στόχος της αιτιολογικής παραγράφου δεν είναι σαφής εφόσον αναφέρεται μόνον η νομοθεσία περί προστασίας δεδομένων χωρίς κάποια επιπλέον επισήμανση. Η αιτιολογική παράγραφος θα πρέπει να αναφέρει ρητώς ότι οι διατάξεις της οδηγίας δεν θίγουν την προαναφερόμενη νομοθεσία. Επιπλέον, η τελευταία πρόταση της αιτιολογικής παραγράφου αφήνει να εννοηθεί ότι οι υπεύθυνοι επεξεργασίας είναι υποχρεωμένοι να καταστρέφουν αμέσως όσα δεδομένα έχουν συλλέξει τυχαία σύμφωνα με τη νομοθεσία περί προστασίας δεδομένων. Καίτοι τούτο μπορεί να αποτελεί συνέπεια που απορρέει από τις προβλεπόμενες διατάξεις, η συναφής νομοθεσία δεν αναφέρει τέτοια υποχρέωση. Αποτελεί γενική αρχή το γεγονός ότι τα προσωπικά δεδομένα διατηρούνται ή υποβάλλονται σε περαιτέρω επεξεργασία μόνον για όσο διάστημα είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους έχουν συλλεγεί. Εάν το πρώτο μέρος της αιτιολογικής παραγράφου αναδιατυπωθεί όπως προτείνεται ανωτέρω, η τελευταία πρόταση είναι πλέον περιττή. Συνεπώς, ο ΕΕΠΔ προτείνει να διαγραφεί η τελευταία πρόταση της αιτιολογικής παραγράφου 25.

17.

Ο ΕΕΠΔ επιθυμεί να εκφράσει την υποστήριξή του ως προς τον τρόπο με τον οποίο η Επιτροπή έχει εξασφαλίσει τη συμμόρφωση της προτεινόμενης οδηγίας με τους κανόνες περί προστασίας των δεδομένων.

18.

Όσον αφορά επιμέρους σημεία, ο ΕΕΠΔ συνιστά τα ακόλουθα:

6.6.2009   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 128/45

6.6.2009   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 128/46