52007DC0228




[pic] | ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ |

Βρυξέλλες, 2.5.2007

COM(2007) 228 τελικό

ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΣΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΣΤΟ ΣΥΜΒΟΥΛΙΟ

Για την προώθηση της προστασίας των δεδομένων μέσω τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικότητας (ΤΒΙ)

ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΣΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΣΤΟ ΣΥΜΒΟΥΛΙΟ

Για την προώθηση της προστασίας των δεδομένων μέσω τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικότητας (ΤΒΙ) (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Εισαγωγη

Η εντατική και συνεχής ανάπτυξη των τεχνολογιών πληροφορίας και επικοινωνίας (ΤΠΕ) παρέχει διαρκώς νέες υπηρεσίες που βελτιώνουν τη ζωή των πολιτών. Σε μεγάλο βαθμό, η πρώτη ύλη για τη διάδραση στον κυβερνοχώρο είναι τα δεδομένα προσωπικού χαρακτήρα των ατόμων που κινούνται σε αυτό τον χώρο για να προβούν στην αγορά αγαθών και υπηρεσιών, να αποκτήσουν ή να διατηρήσουν επαφή με άλλους, ή να κοινοποιήσουν τις ιδέες τους μέσω του παγκόσμιου ιστού. Παράλληλα με τα οφέλη που δημιουργούνται από αυτές τις εξελίξεις, ανακύπτουν για το άτομο νέοι κίνδυνοι, όπως η υποκλοπή ταυτότητας, η καταχρηστική δημιουργία εικόνας, η συνεχής παρακολούθηση ή η απάτη.

Στο άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης αναγνωρίζεται το δικαίωμα της προστασίας των προσωπικών δεδομένων. Το θεμελιώδες αυτό δικαίωμα εκτίθεται εντός του ευρωπαϊκού νομοθετικού πλαισίου για την προστασία των δεδομένων προσωπικού χαρακτήρα που αποτελείται ειδικότερα από την Oδηγία για την Προστασία των Δεδομένων 95/46/ΕΚ[1] και την Οδηγία σχετικά με Προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών 2002/58/ΕΚ[2] καθώς και τον Κανονισμό (ΕΚ) 45/2001[3] για την Προστασία των δεδομένων που αφορά την επεξεργασία από κοινοτικά όργανα και οργανισμούς. Στην νομοθεσία αυτή θεσπίζονται ορισμένες ουσιαστικές διατάξεις που επιβάλλουν συγκεκριμένες υποχρεώσεις στους υπεύθυνους της επεξεργασίας δεδομένων και αναγνωρίζουν δικαιώματα των ενδιαφερομένων, προβλέπονται κυρώσεις και κατάλληλα μέτρα στην περίπτωση παραβάσεων, και καθιερώνονται μηχανισμοί εφαρμογής προκειμένου να καταστούν τα μέτρα αποτελεσματικά.

Το σύστημα αυτό εντούτοις μπορεί να αποδειχτεί ανεπαρκές όταν δεδομένα προσωπικού χαρακτήρα διαδίδονται σε παγκόσμια κλίμακα μέσω των δικτύων ΤΠΕ και η επεξεργασία των δεδομένων εμπλέκεται με διάφορες δικαιοδοσίες, συχνά εκτός ΕΕ. Στις περιπτώσεις αυτές μπορεί να θεωρηθεί ότι εφαρμόζονται οι ισχύοντες κανόνες και ότι μπορούν να παράσχουν σαφή νομική λύση. Επί πλέον, μπορεί να προσδιοριστεί μια αρμόδια για την εφαρμογή των κανόνων αρχή. Εντούτοις, μπορεί να υπάρξουν σημαντικά πρακτικά εμπόδια ως αποτέλεσμα δυσχερειών που προκύπτουν από την χρησιμοποιούμενη τεχνολογία, η οποία συνεπάγεται την επεξεργασία δεδομένων από διάφορους παράγοντες σε διαφορετικούς τόπους, ενώ μπορούν να υπάρξουν και δυσκολίες εγγενείς με την εκτέλεση εθνικών διοικητικών και δικαστικών αποφάσεων σε άλλη δικαιοδοσία, ιδίως χωρών εκτός ΕΕ.

Αν και υπό τη στενή έννοια, οι υπεύθυνοι της επεξεργασίας δεδομένων φέρουν τη νομική ευθύνη για τη συμμόρφωση προς τους κανόνες προστασίας δεδομένων, υπάρχουν και άλλοι που φέρουν κάποια ευθύνη για την προστασία των δεδομένων από κοινωνιακή ή δεοντολογική άποψη. Πρόκειται για αυτούς που σχεδιάζουν τις τεχνικές προδιαγραφές καθώς και εκείνους που αναπτύσσουν στην πράξη ή εκτελούν τις εφαρμογές ή χειρίζονται συστήματα.

Το άρθρο 17 της Οδηγίας για την Προστασία των Δεδομένων ορίζει την υποχρέωση του υπεύθυνου της επεξεργασίας να λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα και να εξασφαλίζει επίπεδο ασφαλείας ανάλογο προς τη φύση των δεδομένων και τους κινδύνους της επεξεργασίας τους. Η χρησιμοποίηση τεχνολογίας για την προώθηση της τήρησης της νομοθεσίας, ειδικότερα όσον αφορά τους κανόνες προστασίας δεδομένων, προβλέπεται επίσης, μέχρι κάποιο βαθμό, στην Οδηγία σχετικά με Προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών[4].

Περαιτέρω μέτρα για την επίτευξη του στόχου του νομοθετικού πλαισίου, του οποίου σκοπός είναι η ελαχιστοποίηση της επεξεργασίας προσωπικών δεδομένων και η μη χρησιμοποίηση ανώνυμων ή ψευδώνυμων δεδομένων όπου αυτό είναι δυνατόν, μπορούν να ληφθούν μέσω των τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικότητας (ΤΒΙ) – κάτι που θα εξασφάλιζε ότι η παραβίαση των κανόνων προστασίας των δεδομένων και των δικαιωμάτων των προσώπων όχι μόνο είναι παράνομη και υπόκειται σε κυρώσεις αλλά επιπλέον τεχνικά δυσχερέστερη.

Σκοπός της παρούσας ανακοίνωσης, που ακολουθεί την Πρώτη Έκθεση σχετικά με την εφαρμογή της Οδηγίας περί Προστασίας των Δεδομένων[5], είναι να εξετάσει τα πλεονεκτήματα των ΤΒΙ, να καθορίσει τους στόχους της Επιτροπής στον τομέα αυτό, να ενθαρρύνει τη χρήση αυτών των τεχνολογιών, και να προσδιορίσει σαφείς ενέργειες που πρέπει να πραγματοποιηθούν προς επίτευξη αυτού του στόχου, στηρίζοντας την ανάπτυξη των ΤΒΙ και τη χρησιμοποίησή τους από τους υπεύθυνους της επεξεργασίας δεδομένων και τους καταναλωτές.

τι είναι οι ΤΒΙ;

Στους επιστημονικούς κύκλους και τα πιλοτικά προγράμματα χρησιμοποιούνται διάφοροι ορισμοί για τις ΤΒΙ. Για παράδειγμα, σύμφωνα με το έργο PISA που χρηματοδοτείται από κοινοτικά κονδύλια, οι ΤΒΙ είναι ένα ολοκληρωμένο σύστημα μέτρων ΤΠΕ που προστατεύουν την ιδιωτικότητα εξαλείφοντας ή περιορίζοντας προσωπικά δεδομένα ή εμποδίζοντας την περιττή ή/και ανεπιθύμητη επεξεργασία προσωπικών δεδομένων, χωρίς ωστόσο να χάνεται η λειτουργικότητα του συστήματος πληροφοριών. Η χρήση των ΤΒΙ συμβάλλει στην ανάπτυξη συστημάτων και υπηρεσιών πληροφόρησης και επικοινωνίας κατά τρόπο που ελαχιστοποιεί τη συλλογή και τη χρησιμοποίηση προσωπικών δεδομένων και διευκολύνει τη συμμόρφωση προς τους κανόνες προστασίας των δεδομένων. Στην Πρώτη Έκθεση σχετικά με την εφαρμογή της Οδηγίας περί Προστασίας των Δεδομένων, η Επιτροπή θεωρεί ότι "…η χρήση των κατάλληλων τεχνολογικών μέτρων αποτελεί ουσιαστικό συμπλήρωμα στα νομικά μέσα και πρέπει να συνιστά αναπόσπαστο τμήμα κάθε προσπάθειας για την επίτευξη ικανοποιητικού επιπέδου προστασίας της ιδιωτικής ζωής …." Η χρήση των ΤΒΙ θα πρέπει να συμβάλει ώστε η παραβίαση ορισμένων κανόνων προστασίας δεδομένων να καταστεί δυσχερέστερη ή/και να είναι δυνατός ο εντοπισμός της.

Στο περιβάλλον των ΤΠΕ, ο βαθμός αποδοτικότητας των διαφόρων ΤΒΙ ως προς την προστασία των δεδομένων, συμπεριλαμβανόμενης της συμμόρφωσης προς τη νομοθεσία περί προστασίας των δεδομένων, ποικίλλει και μεταβάλλεται με τον καιρό. Οι ΤΒΙ μπορεί να είναι ανεξάρτητα εργαλεία που απαιτούν θετική δράση εκ μέρους των καταναλωτών (που πρέπει να τα αγοράσουν και να τα εγκαταστήσουν στον προσωπικό τους υπολογιστή) ή μπορεί να είναι ενσωματωμένες στο ίδιο το σύστημα πληροφόρησης. Εδώ μπορούν να αναφερθούν αρκετά παραδείγματα ΤΒΙ:

- Αυτόματη ανωνυμοποίηση των δεδομένων, μετά την πάροδο κάποιου χρονικού διαστήματος, ενισχύει την αρχή ότι τα δεδομένα που τυγχάνουν επεξεργασίας θα πρέπει να διατηρούνται υπό μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που είναι αναγκαία για την επίτευξη των σκοπών για τους οποίους έχουν συλλεγεί.

- Εργαλεία κρυπτογράφησης που παρεμποδίζουν την ηλεκτρονική πειρατεία κατά την μεταφορά της πληροφορίας μέσω του Διαδικτύου, στηρίζουν την υποχρέωση των υπευθύνων της επεξεργασίας δεδομένων να λαμβάνουν τα κατάλληλα μέτρα ώστε να προστατεύονται τα προσωπικά δεδομένα από αθέμιτη επεξεργασία.

- Μηχανισμοί αποκλεισμού "cookies" που παρεμποδίζουν "cookies" τοποθετημένα στον προσωπικό υπολογιστή του χρήστη να διενεργούν ορισμένες εντολές χωρίς να το γνωρίζει ο χρήστης, εντείνουν τη συμμόρφωση με την αρχή ότι η επεξεργασία δεδομένων πρέπει να γίνεται κατά τρόπο θεμιτό και νόμιμο και ότι τα υποκείμενα των δεδομένων πρέπει να είναι ενήμερα για την εξέλιξη της επεξεργασίας.

- Η πλατφόρμα για προτιμήσεις ιδιωτικού απορρήτου (P3P), που επιτρέπει στους χρήστες του Διαδικτύου να αναλύουν τις πολιτικές περί ιδιωτικότητας των ιστοτόπων και να τις συγκρίνουν με τις προτιμήσεις του χρήστη ως προς τις πληροφορίες που επιθυμεί να γίνουν γνωστές, συμβάλλει ώστε το υποκείμενο των δεδομένων να δίνει τη συγκατάθεσή του για την επεξεργασία των δεδομένων έχοντας απόλυτη επίγνωση της απόφασής του.

Η Επιτροπή στηριζει τισ ΤΒΙ

Η Επιτροπή θεωρεί ότι οι ΤΒΙ πρέπει να αναπτυχθούν και η χρήση τους να γίνει ευρύτερη, ειδικότερα εκεί που η επεξεργασία δεδομένων γίνεται μέσω δικτύων ΤΠΕ. Η Επιτροπή θεωρεί ότι η ευρύτερη χρήση των ΤΒΙ θα βελτιώσει την προστασία της ιδιωτικότητας και θα συμβάλει παράλληλα στην τήρηση των κανόνων για την προστασία των δεδομένων. Η χρησιμοποίηση των ΤΒΙ θα είναι συμπληρωματική του υφιστάμενου νομικού πλαισίου και των μηχανισμών επιβολής.

Στην Ανακοίνωσή της για μια στρατηγική για ασφαλή Κοινωνία της Πληροφορίας (COM(2006) 251 της 31ης Μαΐου 2006), η Επιτροπή κάλεσε ειδικότερα τον ιδιωτικό τομέα "να ενθαρρύνει την ανάπτυξη και εγκατάσταση προϊόντων, διαδικασιών και υπηρεσιών βελτιωμένης ασφαλείας για την αποτροπή και καταπολέμηση της κλοπής ταυτότητας και άλλων επιθέσεων κατά της ιδιωτικής ζωής". Εξάλλου, στον Χάρτη Πορείας της Επιτροπής για ένα πανευρωπαϊκό πλαίσιο eIDM που θα επιτευχθεί μέχρι το 2010[6] μια από τις βασικές αρχές που διέπουν τη διαχείριση της ηλεκτρονικής ταυτότητας είναι ότι το σύστημα θα πρέπει να είναι ασφαλές, να παρέχει τις αναγκαίες διασφαλίσεις για την προστασία της ιδιωτικότητας του χρήστη, και να επιτρέπει την ευθυγραμμισμένη χρησιμοποίησή του με τα τοπικά συμφέροντα και ευαισθησίες.

Η παρέμβαση διαφόρων φορέων στην επεξεργασία δεδομένων και η ύπαρξη διαφόρων εθνικών δικαιοδοσιών θα μπορούσε να δυσχεράνει την εφαρμογή του νομικού πλαισίου. Αντίθετα, οι ΤΒΙ θα μπορούσαν να αποτρέψουν ορισμένες παραβιάσεις των κανόνων προστασίας των δεδομένων, που συνεπάγονται παραβιάσεις θεμελιωδών δικαιωμάτων, μεταξύ των οποίων και της ιδιωτικότητας – επειδή οι παραβιάσεις θα ήταν τεχνικά δυσκολότερο να διαπραχθούν. Η Επιτροπή γνωρίζει ότι η τεχνολογία, αν και διαδραματίζει βασικό ρόλο στην προστασία της ιδιωτικότητας, δεν επαρκεί από μόνη της να εξασφαλίσει την ιδιωτικότητα. Οι ΤΒΙ χρειάζεται να εφαρμοστούν σύμφωνα με ένα ρυθμιστικό πλαίσιο εφαρμοστέων κανόνων προστασίας των δεδομένων, οι οποίοι παρέχουν σε όλους διαπραγματεύσιμα επίπεδα προστασίας της ιδιωτικής ζωής. Η χρήση των ΤΒΙ δεν συνεπάγεται ότι οι υπεύθυνοι για την επεξεργασία δεδομένων μπορούν να απαλλαγούν από ορισμένες νομικές υποχρεώσεις που έχουν (π.χ. να παρέχουν στους ιδιώτες δικαίωμα πρόσβασης στα δεδομένα τους).

Εκτός αυτού, οι ΤΒΙ θα μπορούσαν να εξυπηρετούν καλύτερα σημαντικά δημόσια συμφέροντα. Το νομικό πλαίσιο της προστασίας των δεδομένων προβλέπει την δυνατότητα παρέκκλισης από τις γενικές αρχές και περιορισμού των δικαιωμάτων των ατόμων όταν πρόκειται για σοβαρά δημόσια συμφέροντα, όπως η δημόσια ασφάλεια, η καταπολέμηση του εγκλήματος ή η δημόσια υγεία. Οι προϋποθέσεις για τους περιορισμούς αυτούς ορίζονται στο άρθρο 13 της Οδηγίας για την Προστασία των Δεδομένων και το άρθρο 15 της Οδηγίας σχετικά με Προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών. Είναι σε μεγάλο βαθμό παρόμοιες με εκείνες που καθορίζονται στο άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Ανθρώπινα Δικαιώματα, ειδικότερα ότι αυτή η παρέμβαση γίνεται σύμφωνα με τον νόμο και είναι αναλογική και αναγκαία σε μια δημοκρατική κοινωνία προκειμένου να εξασφαλίζεται ο έννομος δημόσιος σκοπός[7]. Η χρήση των ΤΒΙ δεν πρέπει να εμποδίζει τους φορείς επιβολής του νόμου ή άλλες αρμόδιες αρχές να παρεμβαίνουν κατά την έννομη άσκηση των καθηκόντων τους για λόγους σημαντικού δημοσίου συμφέροντος, π.χ. πάταξη της εγκληματικότητας στον κυβερνοχώρο, καταπολέμηση της τρομοκρατίας ή πρόληψη της διάδοσης μολυσματικών μεταδοτικών ασθενειών. Οι αρμόδιες αρχές πρέπει να μπορούν να έχουν πρόσβαση σε προσωπικά δεδομένα όταν αυτό είναι απαραίτητο για την επίτευξη αυτών των σκοπών και σύμφωνα με τις διαδικασίες, τους όρους και τις διασφαλίσεις που ορίζονται από τον νόμο.

Η καλύτερη τήρηση των κανόνων για την προστασία των δεδομένων θα είχε επίσης θετικό αντίκτυπο στην εμπιστοσύνη του καταναλωτή, ειδικότερα στον κυβερνοχώρο. Ορισμένες υποσχόμενες και προστιθέμενης αξίας υπηρεσίες που βασίζονται στη μεταφορά προσωπικών δεδομένων μέσω των δικτύων τεχνολογίας πληροφοριών, όπως η ηλεκτρονική μάθηση, η ηλεκτρονική διακυβέρνηση, η ηλεκτρονική υγεία, οι ηλεκτρονικές τραπεζικές συναλλαγές, το ηλεκτρονικό εμπόριο ή τα συστήματα "ευφυούς αυτοκινήτου", είναι βέβαιο ότι θα επωφελούνταν. Οι πολίτες θα ήσαν σίγουροι ότι τα δεδομένα που παρέχουν για να προσδιορίσουν την ταυτότητά τους, να εξυπηρετηθούν ή να προβούν σε πληρωμές χρησιμοποιούνται μόνο για θεμιτούς σκοπούς, και ότι η συμμετοχή τους στην ψηφιακή κοινωνία δεν γίνεται σε βάρος των δικαιωμάτων τους.

Το επιτελεσθεν εργο και οι μελλοντικεσ ενεργειεσ

Για να επιτευχθεί ο σκοπός της βελτίωσης του επιπέδου προστασίας της ιδιωτικότητας και των δεδομένων στην Κοινότητα μέσω, μεταξύ άλλων, της προαγωγής της ανάπτυξης και της χρήσης των ΤΒΙ, η Επιτροπή προτίθεται να διεξαγάγει τις ακόλουθες ενέργειες, στις οποίες εμπλέκονται πλήθος φορέων, συμπεριλαμβανομένων των υπηρεσιών της, των εθνικών αρχών, της βιομηχανίας και των καταναλωτών.

Στις συζητήσεις αυτές δίδεται ιδιαίτερη προσοχή στην ειδική κατάσταση των μικρών και μεσαίων επιχειρήσεων (ΜΜΕ) και τις δυνατότητες ή τα κίνητρα για τη χρησιμοποίηση των ΤΒΙ από αυτές. Η Επιτροπή θα πρέπει επίσης να εξετάσει, μεταξύ άλλων, θέματα εμπιστοσύνης και ευαισθητοποίησης που έχουν μεγάλη σημασία για τις ΜΜΕ.

Πρώτος στόχος: στήριξη της ανάπτυξης των ΤΒΙ

Αν πρόκειται να γενικευτεί η χρήση των ΤΒΙ, αυτές θα πρέπει να σχεδιαστούν περαιτέρω, να αναπτυχθούν και να κατασκευαστούν. Αν και αυτές οι ενέργειες γίνονται ήδη μέχρις ενός σημείου από τον δημόσιο και τον ιδιωτικό τομέα, η Επιτροπή θεωρεί ότι αυτή η δράση θα πρέπει να ενταθεί. Με αυτό τον στόχο κατά νου, θα πρέπει να επισημανθούν οι ανάγκες για ΤΒΙ και να προσδιοριστούν τα τεχνικά χαρακτηριστικά τους, και θα πρέπει να διεξαχθούν ενέργειες ΕΤΑ επί των αναγκαίων εργαλείων.

Δράση 1.1.: Επισήμανση των αναγκών και προσδιορισμός των τεχνικών χαρακτηριστικών των ΤΒΙ

Οι ΤΒΙ εξαρτώνται σε πολύ μεγάλο βαθμό από την εξέλιξη των ΤΠΕ. Μόλις επισημανθούν οι κίνδυνοι που δημιουργούνται από τις τεχνολογικές εξελίξεις, πρέπει να επιλεγούν τα κατάλληλα χαρακτηριστικά για την τεχνική τους επίλυση.

Η Επιτροπή θα ενθαρρύνει διάφορες ομάδες ενδιαφερομένων ώστε να συνέρχονται και να συζητούν για τις ΤΒΙ. Οι ομάδες αυτές περιλαμβάνουν ειδικότερα εκπροσώπους του τομέα των ΤΠΕ, φορείς ανάπτυξης των ΤΒΙ, αρχές προστασίας δεδομένων, φορείς επιβολής του νόμου, εταίρους στον τομέα της τεχνολογίας, περιλαμβανομένων και εμπειρογνωμόνων από σχετικούς τομείς, όπως η ηλεκτρονική υγεία ή ασφάλεια των πληροφοριών, ενώσεις καταναλωτών και οργανώσεις πολιτικών δικαιωμάτων. Όλοι οι ανωτέρω θα πρέπει να προβαίνουν σε τακτική ανάλυση των εξελίξεων στην τεχνολογία, να επισημαίνουν τους κινδύνους που απορρέουν από αυτήν όσον αφορά τα θεμελιώδη δικαιώματα και την προστασία των δεδομένων, και να προσδιορίζουν τις τεχνικές επιταγές λύσεων βασισμένων στις ΤΒΙ, μεταξύ άλλων προσαρμόζοντας τα τεχνολογικά μέτρα ανάλογα με τους διάφορους κινδύνους και τα διάφορα δεδομένα που απειλούνται, και λαμβάνοντας υπόψη την ανάγκη διασφάλισης δημοσίων συμφερόντων, όπως για παράδειγμα τη δημόσια ασφάλεια.

Δράση 1.2.: Ανάπτυξη των ΤΒΙ

Όταν επισημανθούν οι ανάγκες και τα τεχνικά χαρακτηριστικά των ΤΒΙ, πρέπει να αναληφθούν συγκεκριμένες ενέργειες για να παραχθεί το τελικό και έτοιμο προς χρήση προϊόν.

Η Επιτροπή έχει ήδη αντιμετωπίσει αυτή την ανάγκη για ΤΒΙ. Υπό την αιγίδα του 6ου προγράμματος-πλαισίου επιχορηγεί το έργο PRIME[8] που αφορά θέματα διαχείρισης ψηφιακής ταυτότητας και ιδιωτικότητας στην κοινωνία της πληροφορίας. Το έργο OPEN-TC[9] θα καταστήσει δυνατή την προστασία της ιδιωτικότητας βάσει ανοικτών συστημάτων πληροφορικής, και το έργο DISCREET[10] αναπτύσσει λογισμικό για να ενισχυθεί η ιδιωτικότητα σε προηγμένες δικτυακές υπηρεσίες. Στο μέλλον, στο πλαίσιο του 7ου προγράμματος-πλαισίου, η Επιτροπή προτίθεται να ενισχύσει άλλα έργα ΕΤΑ και ευρείας κλίμακας πιλοτικές επιδείξεις που θα αναπτύξουν και θα ενθαρρύνουν την χρήση ΤΒΙ. Στόχος είναι να δημιουργηθεί η βάση για υπηρεσίες προστασίας της ιδιωτικότητας, οι οποίες θα υπευθυνοποιούν τον χρήστη, επανορθώνοντας νομικές και τεχνικές διαφορές σε όλη την Ευρώπη μέσω εταιρικών σχέσεων του δημόσιου και ιδιωτικού τομέα.

Η Επιτροπή καλεί επίσης τις εθνικές αρχές και τον ιδιωτικό τομέα να επενδύσουν στην ανάπτυξη των ΤΒΙ. Η επένδυση αυτή είναι πρωταρχικής σημασίας για να τεθεί η ευρωπαϊκή βιομηχανία επί κεφαλής σε ένα τομέα που αναμένεται να αναπτυχθεί καθώς οι τεχνολογίες αυτές θα επιβάλλονται όλο και περισσότερο από τα τεχνολογικά πρότυπα και καταναλωτές με μεγαλύτερη επίγνωση της ανάγκης προστασίας των δικαιωμάτων τους στον κυβερνοχώρο.

Δεύτερος στόχος: ενθάρρυνση της χρήσης των υφιστάμενων ΤΒΙ από τους υπεύθυνους επεξεργασίας δεδομένων

Οι ΤΒΙ θα μπορούν να αναπτύξουν το δυναμικό τους μόνο αν είναι ενσωματωμένες αποτελεσματικά και χρησιμοποιούνται από τον τεχνικό εξοπλισμό και τα εργαλεία λογισμικού που διεξάγουν την επεξεργασία προσωπικών δεδομένων. Ως εκ τούτου είναι ουσιαστικής σημασίας η συμμετοχή της βιομηχανίας που κατασκευάζει αυτόν τον εξοπλισμό καθώς και των υπεύθυνων επεξεργασίας δεδομένων που τον χρησιμοποιούν για την εκτέλεση των εργασιών επεξεργασίας.

Δράση 2.1.: Προώθηση της χρήσης των ΤΒΙ από τη βιομηχανία

Η Επιτροπή θεωρεί ότι όλοι όσοι εμπλέκονται στην επεξεργασία προσωπικών δεδομένων θα επωφεληθούν από την ευρύτερη χρήση των ΤΒΙ. Η βιομηχανία ΤΠΕ, ως πρωταρχικός φορέας ανάπτυξης και προμηθευτής ΤΒΙ, έχει να διαδραματίσει ιδιαίτερα σημαντικό ρόλο όσον αφορά την προώθηση των ΤΒΙ. Η Επιτροπή καλεί όλους τους υπεύθυνους επεξεργασίας δεδομένων να ενσωματώσουν ευρέως και να εφαρμόζουν εντατικά τις ΤΒΙ στις διαδικασίες επεξεργασίας. Για τον σκοπό αυτό, η Επιτροπή θα προβεί στην οργάνωση σεμιναρίων με τους βασικούς παράγοντες της βιομηχανίας ΤΠΕ, και ειδικότερα τους φορείς ανάπτυξης ΤΒΙ, με στόχο την ανάλυση της ενδεχόμενης συμβολής τους στην ενθάρρυνση της χρησιμοποίησης των ΤΒΙ από τους υπεύθυνους επεξεργασίας δεδομένων.

Η Επιτροπή θα διεξαγάγει επίσης μελέτη σχετική με τα οικονομικά πλεονεκτήματα των ΤΒΙ και θα δημοσιεύσει τα αποτελέσματά της, ώστε να ενθαρρυνθούν οι επιχειρήσεις, και ιδιαίτερα οι ΜΜΕ, στη χρήση των τεχνολογιών αυτών.

Δράση 2.2.: Εξασφάλιση της τήρησης των κατάλληλων προτύπων στην προστασία προσωπικών δεδομένων μέσω των ΤΒΙ

Αν η προώθηση σε μεγάλη κλίμακα προϋποθέτει την ενεργό συμμετοχή της βιομηχανίας των ΤΕΠ, ως παραγωγού ΤΒΙ, η τήρηση των κατάλληλων προτύπων προϋποθέτει τη θέσπιση μέτρων που βαίνουν πέραν της αυτορρύθμισης ή της καλής θέλησης των συμμετεχόντων φορέων. Η Επιτροπή θα προβεί σε αξιολόγηση της ανάγκης να εκπονηθούν πρότυπα για την σύννομη επεξεργασία προσωπικών δεδομένων με ΤΒΙ μέσω των κατάλληλων αξιολογήσεων των επιπτώσεων. Βάσει των αποτελεσμάτων αυτών των αξιολογήσεων μπορεί να ληφθούν υπόψη δύο είδη μέσων:

- Δράση 2.2.a) Τυποποίηση

Η Επιτροπή θα εξετάσει την ανάγκη να ληφθεί υπόψη η τήρηση των κανόνων προστασίας των δεδομένων κατά τις δραστηριότητες τυποποίησης. Η Επιτροπή θα προσπαθήσει να λάβει υπόψη τον αντίκτυπο της πολυσχιδούς συζήτησης για τις ΤΒΙ κατά την εκπόνηση των αντίστοιχων ενεργειών της καθώς και τις εργασίες των ευρωπαϊκών φορέων τυποποίησης. Αυτό θα είναι σημαντικό ειδικότερα στις περιπτώσεις όπου η συζήτηση θα επισημάνει κατάλληλα πρότυπα προστασίας δεδομένων που απαιτούν την ενσωμάτωση και τη χρησιμοποίηση ορισμένων ΤΒΙ.

Η Επιτροπή ενδέχεται να καλέσει τους ευρωπαϊκούς οργανισμούς τυποποίησης (CEN, CENELEC, ETSI) να αξιολογήσουν τις ιδιαίτερες ανάγκες της Ευρώπης και στη συνέχεια να ανταποκριθούν σε αυτές σε διεθνές επίπεδο με την εφαρμογή των ισχυουσών σήμερα συμφωνιών μεταξύ ευρωπαϊκών και διεθνών οργανισμών τυποποίησης. Όπου χρειάζεται, οι ευρωπαϊκοί οργανισμοί τυποποίησης θα πρέπει να εκπονήσουν ένα ειδικό πρόγραμμα εργασίας για την τυποποίηση που θα καλύπτει τις ευρωπαϊκές ανάγκες και θα συμπληρώνει με τον τρόπο αυτό τη συνεχιζόμενη εργασία σε διεθνές επίπεδο.

- Δράση 2.2.β) Συντονισμός των εθνικών τεχνικών ρυθμίσεων για τα μέτρα ασφαλείας ως προς την επεξεργασία δεδομένων

Οι εθνικές νομοθεσίες που θεσπίστηκαν βάσει της Οδηγίας για την Προστασία των Δεδομένων[11] παρέχουν στις εθνικές αρχές προστασίας δεδομένων τη δυνατότητα να επηρεάζουν τον επακριβέστερο καθορισμό των τεχνικών απαιτήσεων – για παράδειγμα να παρέχουν καθοδήγηση στους υπεύθυνους επεξεργασίας δεδομένων, να εξετάζουν τα συστήματα που εγκαθίστανται ή να εκδίδουν τεχνικές οδηγίες. Οι εθνικές αρχές προστασίας δεδομένων θα μπορούσαν επίσης να απαιτήσουν την ενσωμάτωση και χρησιμοποίηση ορισμένων ΤΒΙ στις περιπτώσεις που η σχετική επεξεργασία προσωπικών δεδομένων τις καθιστά αναγκαίες. Η Επιτροπή θεωρεί ότι πρόκειται εδώ για ένα τομέα όπου ο συντονισμός των εθνικών πρακτικών θα μπορούσε να συμβάλει θετικά στην προώθηση της χρήσης των ΤΒΙ. Ειδικότερα η Ομάδα Εργασίας που προβλέπεται από το άρθρο 29[12] θα μπορούσε να συμβάλει, υπό την ιδιότητά της να εξετάζει την ενιαία εφαρμογή των εθνικών μέτρων που θεσπίζονται δυνάμει της Οδηγίας. Έτσι, η Επιτροπή καλεί την Ομάδα Εργασίας του άρθρου 29 να συνεχίσει τις εργασίες της στον τομέα αυτό συμπεριλαμβάνοντας στο πρόγραμμά της μια διαρκή διαδικασία ανάλυσης των αναγκών ενσωμάτωσης των ΤΒΙ στις ενέργειες επεξεργασίας δεδομένων ως αποτελεσματικό μέσο εξασφάλισης της τήρησης των κανόνων προστασίας δεδομένων. Η εργασία αυτή αναμένεται ότι θα έχει ως συνέχεια την εκπόνηση κατευθυντήριων οδηγιών τις οποίες οι αρχές προστασίας δεδομένων θα εφαρμόζουν σε εθνικό επίπεδο με την συντονισμένη θέσπιση των κατάλληλων μέτρων.

Δράση 2.3.: Ενθάρρυνση της χρήσης ΤΒΙ από τις δημόσιες αρχές

Ένας σταθερός αριθμός διαδικασιών επεξεργασίας στις οποίες εμπλέκονται προσωπικά δεδομένα διενεργείται από τις δημόσιες αρχές κατά την άσκηση των αρμοδιοτήτων τους, τόσο σε εθνικό όσο και σε κοινοτικό επίπεδο. Οι δημόσιοι φορείς είναι υποχρεωμένοι να σέβονται τα θεμελιώδη δικαιώματα, μεταξύ άλλων και το δικαίωμα της προστασίας των προσωπικών δεδομένων, και να διασφαλίζουν την τήρησή τους από άλλους – ως εκ τούτου οι δημόσιες αρχές οφείλουν να αποτελούν σαφές παράδειγμα.

Όσον αφορά τις εθνικές αρχές, η Επιτροπή παρατηρεί την εξάπλωση των εφαρμογών της ηλεκτρονικής διακυβέρνησης ως μέσου βελτίωσης της αποτελεσματικότητας της δημόσιας διοίκησης. Όπως αναφέρεται στην Ανακοίνωση της Επιτροπής για τον ρόλο της ηλεκτρονικής διακυβέρνησης για το μέλλον της Ευρώπης [13], η χρησιμοποίηση των ΤΒΙ στην ηλεκτρονική διακυβέρνηση είναι αναγκαία προκειμένου να παρέχει εμπιστοσύνη και αξιοπιστία που θα εξασφαλίσει την επιτυχία της. Η Επιτροπή καλεί τις κυβερνήσεις να εγγυώνται ότι οι διασφαλίσεις προστασίας δεδομένων είναι ενσωματωμένες στις εφαρμογές της ηλεκτρονικής διακυβέρνησης, μεταξύ άλλων και με την ευρύτερη δυνατή χρήση των ΤΒΙ στην εκπόνηση και την εφαρμογή τους.

Όσον αφορά τα κοινοτικά όργανα και τους οργανισμούς, η Επιτροπή, από την πλευρά της, θα μεριμνήσει ώστε να τηρούνται οι απαιτήσεις του Κανονισμού (ΕΚ) αριθ. 45/2001 ειδικότερα με την ευρύτερη χρήση των ΤΒΙ στην εφαρμογή των ΤΠΕ που περιλαμβάνουν επεξεργασία προσωπικών δεδομένων. Ταυτόχρονα, η Επιτροπή καλεί τα άλλα κοινοτικά όργανα να πράξουν αντίστοιχα. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων θα μπορούσε να συμβάλει με την παροχή συμβουλών στα κοινοτικά όργανα και τους οργανισμούς ώστε να εκπονηθούν εσωτερικοί κανόνες σχετικοί με την επεξεργασία προσωπικών δεδομένων. Κατά την επιλογή νέων εφαρμογών ΤΠΕ προς ίδια χρήση ή όταν προβαίνει σε ανάπτυξη των υφιστάμενων εφαρμογών, η Επιτροπή θα εξετάζει τη δυνατότητα εισαγωγής τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικότητας. Η σημασία των ΤΒΙ θα αντικατοπτρίζεται στη γενικότερη στρατηγική της Επιτροπής για τη διακυβέρνηση της πληροφορικής. Η Επιτροπή θα συνεχίσει επίσης την ευαισθητοποίηση του προσωπικού της. Εντούτοις, η εφαρμογή των ΤΒΙ στις εφαρμογές ΤΠΕ της Επιτροπής εξαρτάται από την ύπαρξη αντίστοιχων προϊόντων, και θα πρέπει να αξιολογείται κατά περίπτωση, σύμφωνα με την εξέλιξη της εφαρμογής.

Τρίτος στόχος: ενθάρρυνση των καταναλωτών να χρησιμοποιήσουν τις ΤΒΙ

Οι καταναλωτές παραμένουν εκείνοι που, ως άμεσα ενδιαφερόμενοι, θα πρέπει να φροντίζουν για την ορθή χρήση των προσωπικών τους δεδομένων, για την καλή εφαρμογή των κανόνων προστασίας δεδομένων και για την αποτελεσματικότητα των ΤΒΙ ως προς το συγκεκριμένο ζήτημα.

Ως εκ τούτου, οι καταναλωτές πρέπει να ενημερωθούν πλήρως ως προς τα πλεονεκτήματα που μπορεί να απορρεύσουν από τη χρήση των ΤΒΙ ώστε να μειωθούν οι κίνδυνοι που δημιουργούνται από ενέργειες στις οποίες περιλαμβάνεται επεξεργασία προσωπικών τους δεδομένων. Επίσης, οι καταναλωτές θα πρέπει να είναι σε θέση να επιλέγουν με πλήρη επίγνωση όταν πρόκειται να προβούν στην αγορά εξοπλισμού και λογισμικού των τεχνολογιών της πληροφορίας ή να κάνουν χρήση ηλεκτρονικών υπηρεσιών. Πρέπει να είναι εμφανής η ευαισθητοποίησή τους ως προς τους ενεχόμενους κινδύνους, ειδικότερα αν οι ΤΒΙ προσφέρουν κατάλληλη προστασία. Με τον τρόπο αυτό, θα παρασχεθεί στους χρήστες απλή και κατανοητή πληροφόρηση για τα πιθανά εργαλεία που προστατεύουν την ιδιωτικότητα. Η αυξημένη χρήση των ΤΒΙ καθώς και αυξημένη χρήση των ηλεκτρονικών υπηρεσιών με ενσωματωμένες ΤΒΙ θα έχουν στη συνέχεια θετικό οικονομικό αντίκτυπο για τις βιομηχανίες που τις χρησιμοποιούν και πιθανόν να έχουν σωρευτικό αποτέλεσμα ενθαρρύνοντας και άλλες επιχειρήσεις να δώσουν μεγαλύτερη προσοχή στους κανόνες σχετικά με την προστασία δεδομένων. Για να επιτευχθεί όμως αυτό θα πρέπει να ληφθεί σειρά μέτρων.

Δράση 3.1.: Μεγαλύτερη ευαισθητοποίηση των καταναλωτών

Θα πρέπει να υιοθετηθεί συνεκτική στρατηγική για την ευαισθητοποίηση των καταναλωτών σχετικά με τους κινδύνους που ελλοχεύουν κατά την επεξεργασία δεδομένων που τους αφορούν, καθώς και για τη λύση που μπορεί να παράσχουν οι ΤΒΙ συμπληρωματικά προς το υφιστάμενο σύστημα επανορθωτικών μέσων που παρέχει η νομοθεσία για την προστασία δεδομένων. Η Επιτροπή προτίθεται να ξεκινήσει σειρά ενεργειών σε ολόκληρη την ΕΕ με στόχο την ευαισθητοποίηση ως προς τις ΤΒΙ.

Η κύρια αρμοδιότητα για τη διεξαγωγή αυτής της δράσης εμπίπτει στις εθνικές αρχές προστασίας δεδομένων, οι οποίες ήδη έχουν μεγάλη σχετική πείρα στον τομέα αυτό.

Η Επιτροπή καλεί τις εν λόγω αρχές να εντείνουν τις δραστηριότητές τους σχετικά με την ευαισθητοποίηση ώστε να συμπεριληφθεί πληροφόρηση ως προς τις ΤΒΙ με κάθε δυνατό τρόπο. Η Επιτροπή καλεί επίσης την Ομάδα Εργασίας του άρθρου 29 να συντονίσει τις εθνικές πρακτικές σε ένα συνεκτικό πρόγραμμα εργασίας για την ευαισθητοποίηση ως προς τις ΤΒΙ και να χρησιμεύσει ως σημείο επαφής για τη διάδοση των βέλτιστων πρακτικών που εφαρμόζονται ήδη σε εθνικό επίπεδο. Ειδικότερα, ως εταίροι στην προσπάθεια εκπαίδευσης των καταναλωτών θα μπορούσαν να εμπλακούν οι ενώσεις καταναλωτών και άλλοι φορείς όπως το δίκτυο ECC-Net (Δίκτυο Κέντρων Καταναλωτών) υπό την ιδιότητά του ως πανευρωπαϊκού δικτύου για την παροχή συμβουλών στους πολίτες σχετικά με τα δικαιώματά τους ως καταναλωτών.

Δράση 3.2.: Διευκόλυνση της συνειδητής επιλογής των καταναλωτών: σφραγίδες ιδιωτικότητας

Η αποδοχή και η χρησιμοποίηση των ΤΒΙ θα μπορούσε να ενθαρρυνθεί αν είναι δυνατή η εύκολη αναγνώριση της παρουσίας αυτών των τεχνολογιών σε κάποιο προϊόν και τα βασικά χαρακτηριστικά του. Για τον σκοπό αυτό, η Επιτροπή προτίθεται να εξετάσει τη σκοπιμότητα ενός πανευρωπαϊκού συστήματος σφραγίδων ιδιωτικότητας, η οποία θα περιλαμβάνει και ανάλυση οικονομικού και κοινωνιακού αντικτύπου. Στόχος αυτών των σφραγίδων ιδιωτικότητας θα είναι να μπορούν οι καταναλωτές να επισημαίνουν με ευκολία ότι ένα προϊόν εξασφαλίζει ή βελτιώνει την τήρηση των κανόνων προστασίας δεδομένων κατά την επεξεργασία δεδομένων, ιδίως με την ενσωμάτωση σε αυτό των κατάλληλων ΤΒΙ.

Για να επιτύχουν τον σκοπό τους οι σφραγίδες ιδιωτικότητας, η Επιτροπή θεωρεί ότι πρέπει να τηρούνται οι ακόλουθες αρχές:

- Ο αριθμός συστημάτων σφραγίδων ιδιωτικότητας θα πρέπει να διατηρηθεί στο ελάχιστο. Συγκεκριμένα, η διάδοση των σφραγίδων θα μπορούσε να δημιουργήσει σύγχυση στους καταναλωτές και να υπονομεύσει την εμπιστοσύνη τους σε κάθε σφραγίδα. Ως εκ τούτου, θα πρέπει να εκτιμηθεί κατά πόσον και σε ποιο βαθμό θα ήταν σκόπιμο να ενταχθεί η ευρωπαϊκή σφραγίδα ιδιωτικότητας σε ένα γενικότερο πρόγραμμα πιστοποίησης της ασφάλειας[14].

- Οι σφραγίδες ιδιωτικότητας θα πρέπει να χορηγούνται μόνο στην περίπτωση που το προϊόν είναι συμβατό με σειρά προτύπων που αντιστοιχούν σε κανόνες προστασίας δεδομένων. Τα πρότυπα πρέπει κατά το δυνατόν να είναι ενιαία σε ολόκληρη την ΕΕ.

- Οι δημόσιες αρχές, ιδίως οι εθνικές αρχές προστασίας δεδομένων, θα πρέπει να διαδραματίσουν σημαντικό ρόλο στο σύστημα με την εμπλοκή τους στον καθορισμό των προτύπων και των διαδικασιών, καθώς και στην παρακολούθηση της λειτουργίας του συστήματος των σφραγίδων.

Λαμβάνοντας υπόψη τα ανωτέρω καθώς και την προηγούμενη πείρα σχετικά με τα προγράμματα σφραγίδων σε άλλους τομείς (π.χ. περιβάλλον, γεωργία, πιστοποίηση ασφάλειας για προϊόντα και υπηρεσίες), η Επιτροπή θα διεξαγάγει διάλογο με όλους τους ενδιαφερόμενους φορείς, στους οποίους συμπεριλαμβάνονται οι εθνικές αρχές προστασίας δεδομένων, οι βιομηχανικές ενώσεις και οι ενώσεις καταναλωτών, καθώς και οι οργανισμοί τυποποίησης.[pic][pic][pic][pic][pic][pic][pic][pic][pic]

[1] Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, EE L 281 της 23.11.1995 σ. 31.

[2] Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες), ΕΕ L 201 της 31.7.2002, σ. 37 .

[3] Κανονισμός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 18ης Δεκεμβρίου 2000, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών , ΕΕ L 8 της 12.1.2001, σ. 1-22.

[4] Αιτιολογική σκέψη 46 και άρθρο 14 παράγραφος 3 της Οδηγίας 2002/58/EΚ.

[5] COM (2003) 265(01), 15.5.2003, βλ. http://eurlex.europa.eu/LexUriServ/site/en/com/2003/com2003_0265en01.pdf

[6] http://ec.europa.eu/information_society/activities/egovernment_research/doc/eidm_roadmap_paper.pdf

[7] Δικαστήριο Ευρωπαϊκών Κοινοτήτων, κοινές υποθέσεις C-465/00, C-138/01 και C/139/01 "Oesterreichischer Rudfunk κ.α ("Rechnungshof"), Νομολογία [2003] Ι-04989, παράγραφοι 71 και 72.

[8] https://www.prime-project.eu/

[9] http://www.opentc.net/

[10] http://www.ist-discreet.org/

[11] π.χ. άρθρο 17.

[12] Ομάδα εργασίας για την προστασία των προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, που συστάθηκε δυνάμει του άρθρου 29 της Οδηγίας 95/46/EΚ.

[13] COM (2003) 567 τελικό, 26.9.2003.

[14] Στην Ανακοίνωσή της 31 ης Μαΐου 2006 σχετικά με τη Στρατηγική για ασφαλή Κοινωνία της Πληροφορίας – «Διάλογος, πνεύμα συνεργασίας και ενίσχυση των ικανοτήτων» (COM (2006) 251 τελικό), η Επιτροπή κάλεσε ήδη τον ιδιωτικό τομέα "να εργαστούν για την εκπόνηση οικονομικά προσιτών προγραμμάτων πιστοποίησης της ασφάλειας για προϊόντα, διεργασίες και υπηρεσίες που θα αναφέρονται σε ιδιαίτερες κοινοτικές ανάγκες (ιδίως όσον αφορά την προστασία της ιδιωτικής ζωής)".