6.6.2009   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 128/28

1.

Στις 13 Νοεμβρίου 2007 η Επιτροπή ενέκρινε πρόταση οδηγίας για την τροποποίηση, μεταξύ άλλων, της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, της γνωστής και με την αγγλική προσωνυμία «e-Privacy Directive» (1) (εφεξής «πρόταση» ή «πρόταση της Επιτροπής»). Στις 10 Απριλίου 2008 ο ΕΕΠΔ εξέδωσε γνωμοδότηση σχετικά με την πρόταση της Επιτροπής, όπου προέβαινε σε συστάσεις για τη βελτίωση της πρότασης, σε μια προσπάθεια να συμβάλει ώστε οι προτεινόμενες τροποποιήσεις να έχουν ως αποτέλεσμα την καλύτερη δυνατή προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων («πρώτη γνωμοδότηση του ΕΕΠΔ») (2).

2.

Ο ΕΕΠΔ σημείωσε με ικανοποίηση την πρόταση της Επιτροπής για την εισαγωγή συστήματος υποχρεωτικής κοινοποίησης σε περίπτωση παραβιάσεων της ασφάλειας, το οποίο απαιτεί από τις εταιρίες να ειδοποιούν τους ενδιαφερομένους στην περίπτωση που κινδυνεύσουν τα προσωπικά τους δεδομένα· επίσης εξήρε το γεγονός ότι η νέα διάταξη παρέχει σε νομικά πρόσωπα (π.χ. ενώσεις καταναλωτών και παρόχους υπηρεσιών διαδικτύου) τη δυνατότητα να στρέφονται δικαστικώς κατά των δημιουργών ανεπίκλητων ηλεκτρονικών μηνυμάτων (spam), ούτως ώστε να συμπληρωθούν περαιτέρω τα υφιστάμενα εργαλεία για την καταπολέμηση των ανεπίκλητων ηλεκτρονικών μηνυμάτων.

3.

Κατά τη διάρκεια των κοινοβουλευτικών συζητήσεων πριν από την πρώτη ανάγνωση του Ευρωπαϊκού Κοινοβουλίου, ο ΕΕΠΔ εξέδωσε περαιτέρω γνωματεύσεις δημοσιεύοντας παρατηρήσεις επί συγκεκριμένων θεμάτων τα οποία απασχολούσαν τις εκθέσεις των αρμόδιων επιτροπών του Ευρωπαϊκού Κοινοβουλίου για την αναθεώρηση των οδηγιών σχετικά με την καθολική υπηρεσία (3) και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών («παρατηρήσεις») (4). Τα ζητήματα που πραγματεύονται κατά πρώτο λόγο οι παρατηρήσεις σχετίζονται με την επεξεργασία δεδομένων κίνησης και την προστασία των δικαιωμάτων πνευματικής ιδιοκτησίας.

4.

Στις 24 Σεπτεμβρίου του 2008, το Ευρωπαϊκό Κοινοβούλιο («ΕΚ») εξέδωσε ψήφισμα νομοθετικού περιεχομένου σχετικά με την οδηγία για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών («πρώτη ανάγνωση») (5). Ο ΕΕΠΔ υιοθέτησε θετική στάση έναντι των διαφόρων τροπολογιών του ΕΚ που εγκρίθηκαν βάσει της γνωμοδότησης και των παρατηρήσεων του ΕΕΠΔ που προαναφέρονται. Μεταξύ των σημαντικών τροποποιήσεων ήταν η υπαγωγή των παρόχων υπηρεσιών κοινωνίας της πληροφορίας (ήτοι των εταιριών που δραστηριοποιούνται στο Διαδίκτυο) στο πεδίο της υποχρεωτικής κοινοποίησης των παραβιάσεων της ασφάλειας. Ο ΕΕΠΔ επιδοκίμασε επίσης την τροπολογία που παρέχει σε φυσικά και νομικά πρόσωπα τη δυνατότητα να προσφεύγουν στα δικαστήρια για την παραβίαση οποιασδήποτε διάταξης της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών (και όχι μόνο για την παραβίαση των διατάξεων περί ανεπίκλητων ηλεκτρονικών μηνυμάτων, όπως αρχικά εισηγείτο η πρόταση της Επιτροπής). Την πρώτη ανάγνωση του Κοινοβουλίου ακολούθησε η έκδοση από την Επιτροπή τροποποιημένης πρότασης της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών (εφεξής «τροποποιημένη πρόταση») (6).

5.

Στις 27 Νοεμβρίου του 2008, το Συμβούλιο κατέληξε σε πολιτική συμφωνία ως προς την αναθεώρηση των διατάξεων της δέσμης για τις τηλεπικοινωνίες, όπου συγκαταλέγεται και η οδηγία για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, η οποία θα διαμορφωθεί ως κοινή θέση («κοινή θέση») (7). Η κοινή θέση θα γνωστοποιηθεί στο Ευρωπαϊκό Κοινοβούλιο δυνάμει των διατάξεων του άρθρου 251 παράγραφος 2 της Συνθήκης για την ίδρυση της Ευρωπαϊκή Κοινότητας, πράγμα που ενδέχεται να ακολουθηθεί από κατάθεση τροπολογιών του ΕΚ.

6.

Το Συμβούλιο τροποποίησε θεμελιώδη στοιχεία του κειμένου της πρότασης και αρνήθηκε να δεχθεί πολλές από τις τροπολογίες που ενέκρινε το ΕΚ. Παρότι βεβαίως η κοινή θέση περιέχει και θετικά στοιχεία, ο ΕΕΠΔ έχει ενδοιασμούς για το περιεχόμενό της, ιδίως διότι η κοινή θέση δεν συμπεριλαμβάνει ορισμένες από τις θετικές τροπολογίες που έχουν προτείνει το ΕΚ, η τροποποιημένη πρόταση ή οι γνωμοδοτήσεις του ΕΕΠΔ και των ευρωπαϊκών αρχών προστασίας δεδομένων οι οποίες εκδόθηκαν μέσω της Ομάδας του Άρθρου 29 (8).

7.

Σε αρκετές περιπτώσεις αντιθέτως, οι διατάξεις της τροποποιημένης πρότασης και οι τροπολογίες του ΕΚ, οι οποίες παρέχουν εχέγγυα προς τους πολίτες, έχουν απαλειφεί ή ουσιωδώς αποδυναμωθεί. Τούτου ένεκα το επίπεδο προστασίας που παρέχει στα άτομα η κοινή θέση είναι κατά πολύ εξασθενημένο. Για αυτούς ακριβώς τους λόγους, ο ΕΕΠΔ εκδίδει τώρα δεύτερη γνωμοδότηση, ευελπιστώντας ότι καθώς η οδηγία για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών θα περνά από τη νομοθετική διαδικασία, θα εγκριθούν νέες τροπολογίες που θα αποκαθιστούν τις διασφαλίσεις προστασίας των δεδομένων.

8.

Η ανά χείρας δεύτερη γνωμοδότηση επικεντρώνεται σε ορισμένα ουσιώδη μελήματα, αποφεύγοντας να επαναλάβει όλες τις επισημάνσεις της πρώτης γνωμοδότησης του ΕΕΠΔ ή των παρατηρήσεών της, που όμως εξακολουθούν να ισχύουν. Πιο συγκεκριμένα η γνωμοδότηση πραγματεύεται τα εξής σημεία:

9.

Πραγματευόμενη τα ανωτέρω ζητήματα, η γνωμοδότηση αναλύει την κοινή θέση του Συμβουλίου και την παραβάλλει προς την πρώτη ανάγνωση του ΕΚ και την τροποποιημένη πρόταση της Επιτροπής. Η γνωμοδότηση περιλαμβάνει συστάσεις που αποσκοπούν στο να εξορθολογιστούν οι διατάξεις της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών και να εξασφαλιστεί ότι η οδηγία θα συνεχίσει να προστατεύει επαρκώς την ιδιωτική ζωή και τα προσωπικά δεδομένα των φυσικών προσώπων.

10.

Ο ΕΕΠΔ τάσσεται υπέρ της θέσπισης συστήματος για την κοινοποίηση παραβιάσεων της ασφάλειας, βάσει του οποίου οι αρχές και τα φυσικά πρόσωπα θα ειδοποιούνται σε περίπτωση που εκτεθούν σε κίνδυνο (9) τα προσωπικά δεδομένα που τους αφορούν. Οι κοινοποιήσεις σχετικά με παραβιάσεις της ασφάλειας μπορούν ενδεχομένως να βοηθήσουν τα φυσικά πρόσωπα να λάβουν μέτρα για τον μετριασμό της πιθανής ζημιάς που οφείλεται στην έκθεση των δεδομένων σε κίνδυνο. Επίσης, η υποχρέωση αποστολής κοινοποιήσεων που ενημερώνουν σχετικά με παραβιάσεις της ασφάλειας θα παρακινήσει τις εταιρίες να βελτιώσουν την ασφάλεια των δεδομένων και να αντιμετωπίζουν πιο υπεύθυνα τα δεδομένα προσωπικού χαρακτήρα που χειρίζονται.

11.

Η τροποποιημένη πρόταση της Επιτροπής, η πρώτη ανάγνωση του Ευρωπαϊκού Κοινοβουλίου και η κοινή θέση του Συμβουλίου αντιπροσωπεύουν τρεις διαφορετικές προσεγγίσεις της υπό εξέταση κοινοποίησης των παραβιάσεων της ασφάλειας. Κάθε μία από τις τρεις προσεγγίσεις έχει τις θετικές της πτυχές. Ωστόσο, ο ΕΕΠΔ φρονεί ότι υπάρχει περιθώριο βελτιώσεων για κάθε προσέγγιση και συμβουλεύει να συνεκτιμηθούν, στο πλαίσιο των τελικών διαδικασιών για τη θέσπιση συστήματος κοινοποίησης των παραβιάσεων ασφαλείας, οι συστάσεις που εκτίθενται κατωτέρω.

12.

Κατά την ανάλυση των τριών συστημάτων κοινοποίησης των παραβιάσεων ασφαλείας θα πρέπει να εξεταστούν πέντε βασικά σημεία: (i) ο ορισμός της παραβίασης της ασφάλειας· (ii) οι φορείς που υπέχουν υποχρέωση κοινοποίησης («υπόχρεοι φορείς»)· (iii) το κριτήριο που ενεργοποιεί την υποχρέωση κοινοποίησης ·(iv) ο καθορισμός του φορέα που είναι αρμόδιος να αποφασίζει αν μια παραβίαση της ασφάλειας πληροί το κριτήριο ή όχι, και (v) οι αποδέκτες της κοινοποίησης.

13.

Το Ευρωπαϊκό Κοινοβούλιο, η Επιτροπή και το Συμβούλιο έχουν υιοθετήσει ο καθένας διαφορετική προσέγγιση όσον αφορά την κοινοποίηση των παραβιάσεων της ασφάλειας. Η πρώτη ανάγνωση του ΕΚ τροποποίησε το αρχικό σύστημα κοινοποίησης των παραβιάσεων της ασφάλειας που ανέπτυσσε η πρόταση της Επιτροπής (10). Σύμφωνα με την προσέγγιση του ΕΚ, η υποχρέωση κοινοποίησης δεν ισχύει μόνο για τους παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικής επικοινωνίας αλλ’ επίσης και για τους παρόχους υπηρεσιών κοινωνίας της πληροφορίας («PPECS» και «ISSPs») αντιστοίχως. Επίσης, βάσει της προσέγγισης αυτής όλες οι παραβιάσεις δεδομένων προσωπικού χαρακτήρα θα πρέπει να κοινοποιούνται στην εθνική κανονιστική αρχή ή στις αρμόδιες αρχές (γενικώς «αρχές»). Οσάκις οι αρχές κρίνουν ότι η παραβίαση είναι σοβαρή, θα απαιτούν από τις PPECS και ISSPs να ενημερώνουν άνευ χρονοτριβής τον θιγόμενο. Σε περίπτωση επικείμενου και άμεσου κινδύνου από τις παραβιάσεις, οι PPECS και ISSPs θα ενημερώνουν τους ενδιαφερομένους προτού ενημερώσουν τις αρχές και δεν θα περιμένουν υπόδειξη της κανονιστικής αρχής. Από την υποχρέωση κοινοποίησης στους καταναλωτές εξαιρούνται οι φορείς που μπορούν να αποδείξουν στις αρχές ότι εφαρμόστηκαν «τα κατάλληλα τεχνολογικά μέτρα προστασίας» που καθιστούν ακατάληπτα τα δεδομένα για κάθε πρόσωπο που δεν επιτρέπεται να έχει πρόσβαση σε αυτά.

14.

Βάσει της προσέγγισης του Συμβουλίου, η κοινοποίηση πρέπει επίσης να παρέχεται και στους συνδρομητές και στις αρχές, μόνον όμως σε περιπτώσεις όπου ο υπόχρεος φορέας θεωρεί ότι η παραβίαση συνιστά σοβαρό κίνδυνο για την ιδιωτική ζωή του συνδρομητή (π.χ. κλοπή ή απάτη περί την ταυτότητα, βλάβη της σωματικής ακεραιότητας, σοβαρός εξευτελισμός ή προσβολή της υπόληψης).

15.

Η τροποποιημένη πρόταση της Επιτροπής διατηρεί την υποχρέωση κοινοποίησης όλων των παραβιάσεων προς τις αρχές που προτείνει το ΕΚ. Σε αντίθεση όμως με την προσέγγιση του ΕΚ, η τροποποιημένη πρόταση περιλαμβάνει ως εξαίρεση από την υποχρέωση κοινοποίησης προς τους ενδιαφερομένους την περίπτωση όπου η PPECS αποδεικνύει στην αρμόδια αρχή ότι (i) δεν είναι «ευλόγως πιθανό» να προκύψει ζημία (π.χ. οικονομικές απώλειες, κοινωνική βλάβη ή κλοπή ταυτότητας) από την παραβίαση ή (ii) ότι εφαρμόστηκαν «τα κατάλληλα τεχνολογικά μέτρα προστασίας» στα δεδομένα που παραβιάστηκαν. Επομένως η προσέγγιση της Επιτροπής περιλαμβάνει ανάλυση ζημίας σε συσχετισμό με τις κοινοποιήσεις προς τους ενδιαφερομένους.

16.

Προέχει να επισημανθεί ότι βάσει των προσεγγίσεων του ΕΚ (11) και της Επιτροπής, την τελική αρμοδιότητα να αποφασίσουν αν η παραβίαση είναι σοβαρή ή αν είναι ευλόγως πιθανό ότι θα προκαλέσει ζημία την έχουν οι αρχές. Στην προσέγγιση του Συμβουλίου αντιθέτως, η απόφαση επαφίεται στους ενδιαφερόμενους φορείς.

17.

Τόσο η προσέγγιση του Συμβουλίου όσο και της Επιτροπής εφαρμόζονται μόνο στον PPECS και όχι και στον ISSPs, όπως η προσέγγιση του ΕΚ.

18.

Ο ΕΕΠΔ χαίρει διότι οι τρεις νομοθετικές προτάσεις περιλαμβάνουν τον ίδιον ορισμό των κοινοποιητέων παραβιάσεων της ασφάλειας, και συγκεκριμένα «παραβίαση της ασφάλειας που έχει ως αποτέλεσμα την τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη δεδομένων ή την πρόσβαση σε δεδομένα που διαβιβάσθηκαν, αποθηκεύθηκαν ή άλλως υπέστησαν επεξεργασία[…]». (12)

19.

Όπως εκτίθεται κατωτέρω, ο ορισμός αυτός είναι ευπρόσδεκτος, δεδομένου ότι το εύρος του είναι αρκετό για να συμπεριλάβει τις περισσότερες από τις σχετικές καταστάσεις όπου δικαιολογείται η κοινοποίηση παραβιάσεων της ασφάλειας.

20.

Εν πρώτοις, ο ορισμός περιλαμβάνει περιπτώσεις όπου συνέβη αναρμόδια πρόσβαση τρίτου σε δεδομένα προσωπικού χαρακτήρα όπως η αθέμιτη παρείσφρηση σε διακομιστή που περιέχει προσωπικά δεδομένα και η ανάκτηση τέτοιων δεδομένων.

21.

Δεύτερον, ο ορισμός αυτός θα μπορεί επίσης να περιλαμβάνει καταστάσεις όπου δεδομένα προσωπικού χαρακτήρα έχουν χαθεί ή κοινολογηθεί, έστω και αν δεν έχει ακόμα αποδειχθεί ότι υπήρξε αναρμόδια πρόσβαση. Εκεί συγκαταλέγονται περιπτώσεις όπου τα δεδομένα προσωπικού χαρακτήρα πιθανό να χάθηκαν (π.χ. CD ROM, USB ή άλλες φορητές συσκευές), ή να κοινολογήθηκαν από τακτικούς χρήστες (φάκελοι με δεδομένα υπαλλήλων που τίθενται στη διάθεση του κοινού μέσω Διαδικτύου κατά λάθος και για λίγο). Επειδή πολλές φορές δεν θα μπορεί να αποδειχθεί ότι στα δεδομένα αυτά είχαν ή δεν είχαν πρόσβαση αναρμόδιοι τρίτοι σε συγκεκριμένη χρονική στιγμή, είναι προφανώς σκόπιμο να υπαχθούν στο πεδίο του ορισμού και αυτές οι περιπτώσεις. Ως εκ τούτου, ο ΕΕΔΠ συνιστά να διατηρηθεί ο ορισμός αυτός. Ο ΕΕΠΔ συνιστά επίσης να προστεθεί ο ορισμός της παραβίασης της ασφάλειας στο άρθρο 2 της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών, διότι έτσι θα υπάρξει μεγαλύτερη συνοχή με τον βασικό σκελετό της οδηγίας και θα προσδοθεί μεγαλύτερη σαφήνεια.

22.

Η υποχρέωση κοινοποίησης βάσει της προσέγγισης του ΕΚ εφαρμόζεται τόσο στους PPECS όσο και στους ISSPs. Βάσει εν τούτοις των συστημάτων του Συμβουλίου και της Επιτροπής, μόνον PPECS όπως εταιρείες τηλεπικοινωνιών και πάροχοι πρόσβασης στο Διαδίκτυο θα υποχρεούνται να κοινοποιούν στα φυσικά πρόσωπα όταν έχουν υποστεί παραβιάσεις της ασφάλειας που συνεπάγονται έκθεση προσωπικών δεδομένων σε κίνδυνο. Άλλοι τομείς δραστηριοτήτων όπως φερ’ ειπείν οι επιγραμμικές τράπεζες, οι επιγραμμικές επιχειρήσεις λιανικής πώλησης, οι επιγραμμικοί πάροχοι υπηρεσιών υγείας και άλλοι δεν δεσμεύονται από την υποχρέωση αυτή. Για τους λόγους που αναλύονται στα ανωτέρω, ο ΕΕΠΔ φρονεί ότι εξ απόψεως δημόσιας πολιτικής έχει ζωτική σημασία να εξασφαλιστεί ότι οι υπηρεσίες κοινωνίας της πληροφορίας που περιλαμβάνουν ηλεκτρονικό εμπόριο, επιγραμμικές τράπεζες, επιγραμμικούς παρόχους υπηρεσιών υγείας κ.λ.π. θα υπάγονται ωσαύτως στην υποχρέωση κοινοποίησης.

23.

Εν πρώτοις, ο ΕΕΠΔ παρατηρεί ότι αν και οι εταιρίες τηλεπικοινωνιών γίνονται μετά βεβαιότητας στόχος παραβιάσεων της ασφάλειας που δικαιολογεί υποχρέωση κοινοποίησης, το ίδιο ισχύει και για άλλους τύπους εταιριών/παρόχων. Οι επιγραμμικές επιχειρήσεις λιανικής πώλησης, οι επιγραμμικές τράπεζες, τα επιγραμμικά φαρμακεία έχουν τις ίδιες πιθανότητες να υποστούν παραβίαση της ασφάλειας με τις εταιρίες τηλεπικοινωνιών, αν όχι και περισσότερες. Οι παράγοντες «κίνδυνος» δεν συνηγορούν επομένως υπέρ του να περιορίζεται το πεδίο της υποχρεωτικής κοινοποίησης στους PPECS. Η ανάγκη ευρύτερης προσέγγισης καταδεικνύεται από την εμπειρία άλλων χωρών. Στις Ηνωμένες Πολιτείες για παράδειγμα, όλες σχεδόν οι πολιτείες (περισσότερες από 40 στην παρούσα συγκυρία) έχουν θεσπίσει νόμους για την κοινοποίηση των παραβιάσεων της ασφάλειας, το πεδίο εφαρμογής των οποίων είναι ευρύτερο και συμπεριλαμβάνει όχι μόνο τους PPECS αλλά και όποια οντότητα κατέχει τα σχετικά δεδομένα προσωπικού χαρακτήρα.

24.

Δεύτερον, αν η παραβίαση των διαφόρων τύπων δεδομένων προσωπικού χαρακτήρα που κατά κανόνα επεξεργάζονται οι PPECS μπορεί να έχει επιπτώσεις στην ιδιωτική ζωή ενός προσώπου, το ίδιο ισχύει με το παραπάνω για τους τύπους δεδομένων προσωπικού χαρακτήρα που επεξεργάζονται οι ISSPs. Οι τράπεζες και λοιποί χρηματοπιστωτικοί οργανισμοί σαφώς ενδέχεται να κατέχουν άκρως απόρρητα στοιχεία (π.χ. λεπτομερή στοιχεία τραπεζικών λογαριασμών), των οποίων η αποκάλυψη ενδέχεται να βοηθά στη χρησιμοποίησή τους για κλοπή ταυτότητας. Επίσης, η αποκάλυψη από επιγραμμικές υπηρεσίες υγείας ευαίσθητων προσωπικών δεδομένων όσον αφορά την υγεία μπορεί να αποβεί ιδιαζόντως επιζήμια για τα φυσικά πρόσωπα. Ως εκ τούτου τα είδη δεδομένων προσωπικού χαρακτήρα που είναι δυνατόν να εκτεθούν σε κίνδυνο απαιτούν ομοίως την ευρύτερη εφαρμογή της κοινοποίησης παραβιάσεων της ασφάλειας, η οποία αν μη τι άλλο θα πρέπει να συμπεριλαμβάνει και τους ISSPs.

25.

Κατά της διεύρυνσης του πεδίου εφαρμογής του άρθρου αυτού, του πλήθους, δηλαδή των φορέων που υπάγονται στην υποχρέωση αυτή, έχουν εγερθεί ορισμένα νομικά επιχειρήματα. Ειδικότερα, το γεγονός ότι το εν γένει πεδίο εφαρμογής της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών αφορά μόνο τους PPECS προβλήθηκε ως εμπόδιο για την εφαρμογή της υποχρέωσης κοινοποίησης στους ISSPs.

26.

Σε αυτή την συνάρτηση, ο ΕΕΠΔ θα ήθελε να υπενθυμίσει ότι: (i) Δεν υφίσταται κανενός είδους εμπόδιο στην συμπερίληψη και άλλων φορέων εκτός των PPECS στο πεδίο εφαρμογής ορισμένων διατάξεων της οδηγίας. Ο κοινοτικός νομοθέτης διαθέτει εν προκειμένω πλήρη διακριτική ευχέρεια. (ii) Στην ισχύουσα οδηγία για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών υπάρχουν και άλλα προηγούμενα εφαρμογής σε φορείς εκτός των PPECS.

27.

Παραδείγματος χάριν, το άρθρο 13 εφαρμόζεται όχι μόνο στους PPECS αλλά και σε κάθε εταιρία που στέλνει ανεπίκλητα μηνύματα, πράγμα που για να γίνει απαιτείται η εκ των προτέρων αποδοχή της επιλογής αυτής. Επί πλέον, το άρθρο 5 παρ. 3 της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών, το οποίο μεταξύ άλλων απαγορεύει την αποθήκευση δεδομένων όπως φερ’ ειπείν «cookies» στον τερματικό εξοπλισμό του χρήστη, δεσμεύει όχι μόνο τις PPECS αλλά και οποιονδήποτε αποπειράται να αποθηκεύσει δεδομένα ή να επιτύχει πρόσβαση σε δεδομένα που έχουν αποθηκευθεί στον τερματικό εξοπλισμό φυσικών προσώπων. Στο πλαίσιο επίσης της τρέχουσας νομοθετικής διαδικασίας η Επιτροπή πρότεινε μάλιστα να επεκταθεί η εφαρμογή του άρθρου 5 παρ. 3 στην περίπτωση όπου παρόμοιες τεχνολογίες (cookies/κατασκοπευτικό λογισμικό) διαβιβάζονται όχι μόνο μέσω συστημάτων ηλεκτρονικής επικοινωνίας αλλά και με οποιαδήποτε άλλη δυνατή μέθοδο (διανομή μέσω τηλεφόρτωσης από το Διαδίκτυο ή μέσω εξωτερικών υποθεμάτων αποθήκευσης δεδομένων όπως CD-ROM, USB, μνήμες flash drive κλπ). Όλα αυτά τα στοιχεία είναι ευπρόσδεκτα και θα πρέπει να διατηρηθούν, δημιουργούν όμως και τα ανάλογα προηγούμενα για τη διεξαγόμενη συζήτηση σχετικά με το πεδίο εφαρμογής.

28.

Πέραν αυτού, στο πλαίσιο της τρέχουσας νομοθετικής διαδικασίας η Επιτροπή και το ΕΚ, προφανώς δε και το Συμβούλιο, έχουν προτείνει ένα νέο άρθρο 6 παρ. 6α το οποίο συζητείται στα κατωτέρω και το οποίο εφαρμόζεται σε φορείς διάφορους των PPECS.

29.

Τέλος, δεδομένου του συνόλου θετικών στοιχείων που απορρέουν από την υποχρέωση κοινοποίησης των παραβιάσεων της ασφάλειας, οι πολίτες θα προσδοκούν πιθανότατα τα οφέλη αυτά οσάκις τα προσωπικά τους δεδομένα εκτίθενται σε κίνδυνο όχι μόνο από τους PPECS αλλά και από τους ISSPs. Εάν όμως για παράδειγμα δεν γίνεται κοινοποίηση προς τους πολίτες όταν οι επιγραμμικές τράπεζες χάνουν τα στοιχεία του τραπεζικού τους λογαριασμού, τότε οι προσδοκίες τους αυτές δεν θα εκπληρώνονται.

30.

Εν ολίγοις, ο ΕΕΠΔ είναι πεπεισμένος ότι τα πλήρη οφέλη από την κοινοποίηση των παραβιάσεων της ασφάλειας θα αξιοποιηθούν καλύτερα μόνον όταν το πεδίο των υποκείμενων στην υποχρέωση φορέων συμπεριλάβει τόσο τους PPECS όσο και τους ISSPs.

31.

Όσον αφορά το γενεσιουργό αίτιο της κοινοποίησης όπως αναλύεται στα κατωτέρω, ο ΕΕΠΔ είναι της γνώμης ότι ο κανόνας της τροποποιημένης πρότασης για την «εύλογη πιθανότητα» βλάβης είναι ο πιο κατάλληλος από τους τρεις που προτάθηκαν. Ωστόσο, προέχει να εξασφαλίζεται ότι ο όρος «βλάβη» έχει την απαραίτητη εμβέλεια ώστε να καλύπτει όλες τις ανάλογες πιθανότητες αρνητικών επιπτώσεων για την ιδιωτική ζωή ή τα λοιπά έννομα συμφέροντα των φυσικών προσώπων. Διαφορετικά θα ήταν προτιμότερο να συσταθεί νέος κανόνας βάσει του οποίου η κοινοποίηση θα είναι υποχρεωτική «εάν η παραβίαση αναμένεται ευλόγως να έχει αρνητικές επιπτώσεις στα φυσικά πρόσωπα».

32.

Όπως διαλαμβάνεται στα προηγούμενα, οι προϋποθέσεις βάσει των οποίων θα πρέπει να γίνεται κοινοποίηση στα φυσικά πρόσωπα (οι αποκαλούμενες «γενεσιουργό αίτιο» ή «κριτήριο») διαφέρουν ανάλογα με την προσέγγιση του ΕΚ, της Επιτροπής ή του Συμβουλίου. Είναι καταφανές ότι ο όγκος κοινοποιήσεων που θα λαμβάνουν τα φυσικά πρόσωπα θα εξαρτηθεί κατά μέγα μέρος από το γενεσιουργό αίτιο ή το κριτήριο κοινοποίησης που θα θεσπιστεί.

33.

Βάσει των συστημάτων του Συμβουλίου και της Επιτροπής, η κοινοποίηση πρέπει να παρέχεται όταν η παραβίαση συνιστά «σοβαρή βλάβη της ιδιωτικής ζωής του συνδρομητή» (Συμβούλιο) και όταν «από την παραβίαση είναι ευλόγως πιθανό να προκύψει ζημία για τον καταναλωτή» (Επιτροπή). Βάσει του συστήματος του ΕΚ, το γενεσιουργό αίτιο της κοινοποίησης προς φυσικά πρόσωπα είναι η «σοβαρότητα της παραβίασης» (δηλαδή απαιτείται κοινοποίηση προς φυσικά πρόσωπα όταν η παραβίαση θεωρείται «σοβαρή»). Κάτω από το όριο αυτό δεν απαιτείται κοινοποίηση (13).

34.

Ο ΕΕΠΔ κατανοεί το επιχείρημα που ενδέχεται να προβληθεί σύμφωνα με το οποίο τα φυσικά πρόσωπα στα οποία ανήκουν τα δεδομένα έχουν το δικαίωμα να γνωρίζουν τα συμβάντα σε οποιαδήποτε περίσταση παραβιάστηκαν τα προσωπικά τους δεδομένα. Εύλογο όμως είναι να εξεταστεί κατά πόσο υπό το πρίσμα άλλων συμφερόντων και μελημάτων η λύση αυτή είναι η ενδεδειγμένη.

35.

Προβλήθηκε ο ισχυρισμός ότι η υποχρέωση διαβίβασης κοινοποιήσεων οποτεδήποτε εκτίθενται σε κίνδυνο δεδομένα προσωπικού χαρακτήρα, με άλλα λόγια απεριορίστως, ενδέχεται να οδηγήσει σε υπερπληθώρα κοινοποιήσεων και συνακόλουθη αδιαφορία γι’ αυτές, με αποτέλεσμα τη μείωση της επαγρύπνησης. Όπως αναφέρεται κατωτέρω, το επιχείρημα αυτό αγγίζει τον ΕΕΠΔ, ο οποίος όμως επιθυμεί ταυτόχρονα να δηλώσει την ανησυχία του μήπως η υπερπληθώρα κοινοποιήσεων αποτελεί ένδειξη εκτεταμένης αποτυχίας των πρακτικών προστασίας των δεδομένων.

36.

Όπως προαναφέρθηκε, ο ΕΕΠΔ διαβλέπει τις δυνητικά αρνητικές συνέπειες της υπερπληθώρας κοινοποιήσεων και θα επιθυμούσε να συμβάλει ώστε το νομοθετικό πλαίσιο για την κοινοποίηση των παραβιάσεων της ασφάλειας το οποίο θα θεσπιστεί να μην παράγει αυτό το αποτέλεσμα. Αν τα φυσικά πρόσωπα ειδοποιούνται συχνά για παραβιάσεις ακόμα και όταν δεν υπάρχουν παρενέργειες, βλάβες ή ενόχληση, μπορεί να καταλήξουμε σε υπονόμευση ενός από τους βασικούς στόχους της κοινοποίησης, διότι τα φυσικά πρόσωπα ενδέχεται παραδόξως να αγνοήσουν τις κοινοποιήσεις σε εκείνες ακριβώς τις περιπτώσεις όπου θα πρέπει να λάβουν μέτρα για να προστατευθούν. Έτσι λοιπόν έχει ιδιαίτερη σημασία να βρεθεί η χρυσή τομή, διότι εάν τα φυσικά πρόσωπα δεν αντιδρούν στις κοινοποιήσεις που λαμβάνουν η αποτελεσματικότητα των συστημάτων κοινοποίησης θα μειωθεί κατά πολύ.

37.

Για να θεσπιστεί ένα σωστό κριτήριο που να μην οδηγεί σε υπερπληθώρα κοινοποιήσεων, θα πρέπει εκτός από το γενεσιουργό αίτιο της κοινοποίησης να εξεταστούν και άλλοι παράγοντες και δη ο ορισμός της παραβίασης της ασφάλειας και τα δεδομένα που εμπίπτουν στην υποχρέωση κοινοποίησης. Ο ΕΕΠΔ παρατηρεί εν προκειμένω ότι βάσει των τριών προσεγγίσεων που έχουν προταθεί, ο όγκος των κοινοποιήσεων ενδέχεται να είναι μεγάλος αν ληφθεί υπ’ όψη το εύρος του ορισμού για την παραβίαση της ασφάλειας που συζητείται ανωτέρω. Αυτή την ανησυχία όσον αφορά την υπερπληθώρα κοινοποιήσεων την καθιστά εντονότερη το γεγονός ότι ο ορισμός της παραβίασης της ασφάλειας καλύπτει κάθε είδος δεδομένων προσωπικού χαρακτήρα. Αν και κατά τον ΕΕΠΔ αυτή είναι η σωστή προσέγγιση (να μην περιορίζονται τα είδη δεδομένων προσωπικού χαρακτήρα που εμπίπτουν στην κοινοποίηση) - σε αντιδιαστολή προς άλλες προσεγγίσεις όπως η νομοθεσία των ΗΠΑ, όπου οι απαιτήσεις εστιάζονται στο νευραλγικό χαρακτήρα των δεδομένων- πρόκειται πάντως για παράγοντα που θα πρέπει να ληφθεί υπ’ όψη.

38.

Υπό το πρίσμα των ανωτέρω και λαμβανομένων υπ’ όψη των διαφόρων μεταβλητών θεωρουμένων ως σύνολο, ο ΕΕΠΔ κρίνει ότι είναι σκόπιμο να συμπεριληφθεί ένα όριο ή ένα κριτήριο εντεύθεν του οποίου η κοινοποίηση δεν θα είναι υποχρεωτική.

39.

Τα προτεινόμενα κριτήρια, το κατά πόσον δηλαδή η παραβίαση συνιστά «σοβαρό κίνδυνο για την ιδιωτική ζωή» ή είναι «ευλόγως πιθανό να προξενήσει βλάβη», περιλαμβάνουν προφανώς και τα δύο, για παράδειγμα, κοινωνική βλάβη ή προσβολή της υπόληψης καθώς και οικονομική ζημία. Τα κριτήρια αυτά θα είχαν π.χ. εφαρμογή σε περιπτώσεις έκθεσης σε κλοπή ταυτότητας μέσω αποκάλυψης αναγνωριστικών στοιχείων που δεν είναι για δημόσια χρήση, όπως αριθμοί διαβατηρίων, όπως επίσης αποκάλυψης στοιχείων για την ιδιωτική ζωή ενός φυσικού προσώπου. Ο ΕΕΠΔ τάσσεται υπέρ αυτής της προσέγγισης, πεπεισμένος ότι τα οφέλη από την κοινοποίηση των παραβιάσεων της ασφάλειας δεν θα αποκομίζονταν πλήρως εάν το σύστημα κοινοποίησης εκάλυπτε μόνο παραβιάσεις που οδηγούν σε οικονομική ζημία.

40.

Από τα δύο προτεινόμενα κριτήρια, ο ΕΕΠΔ προτιμά το κριτήριο της Επιτροπής «ευλόγως πιθανό να προξενήσει βλάβη», διότι παρέχει καταλληλότερο επίπεδο προστασίας των φυσικών προσώπων. Υπάρχει πολύ μεγαλύτερη πιθανότητα να κρίνονται οι παραβιάσεις ως κοινοποιήσιμες όταν είναι «ευλόγως πιθανό να προξενήσουν βλάβη» στην ιδιωτική ζωή των φυσικών προσώπων παρά όταν αποτελούν «σοβαρό κίνδυνο» τέτοιας βλάβης. Εξ άλλου, η κάλυψη εκείνων μόνο των παραβιάσεων που αποτελούν σοβαρό κίνδυνο για την ιδιωτική ζωή των φυσικών προσώπων θα περιόριζε σημαντικά τον αριθμό των παραβιάσεων που πρέπει να κοινοποιούνται. Η κάλυψη αποκλειστικά αυτών των παραβιάσεων θα παρείχε στους PPECS και ISSPs υπερβολικό βαθμό ευχέρειας για να κρίνουν αν απαιτείται κοινοποίηση, δεδομένου ότι θα τους ήταν πολύ ευκολότερο να αιτιολογήσουν το συμπέρασμα ότι δεν υπάρχει «σοβαρός κίνδυνος» βλάβης από το συμπέρασμα ότι δεν είναι «ευλόγως πιθανό να προξενηθεί βλάβη». Και ναι μεν η υπερπληθώρα κοινοποιήσεων πρέπει να αποφευχθεί, πρέπει όμως ταυτόχρονα να παρασχεθεί το ευεργέτημα της αμφιβολίας στην προστασία των συμφερόντων της ιδιωτικής ζωής των φυσικών προσώπων, τα δε φυσικά πρόσωπα να προστατεύονται αν μη τι άλλο όταν η παραβίαση είναι ευλόγως πιθανό να τους προξενήσει βλάβη. Επί πλέον, ο όρος «ευλόγως πιθανό» θα είναι αποτελεσματικότερος στην πράξη, τόσο για τους φορείς που υπάγονται σε υποχρέωση κοινοποίησης όσο και για τις αρμόδιες αρχές, επειδή απαιτεί αντικειμενική αξιολόγηση της υπόθεσης και του γενικού της πλαισίου.

41.

Πέραν αυτού, οι παραβιάσεις των δεδομένων προσωπικού χαρακτήρα μπορούν να προξενήσουν βλάβη που είναι δύσκολο να αποδοθεί ποσοτικά και που ενδέχεται να παρουσιάζει διαβαθμίσεις. Πράγματι, η αποκάλυψη δεδομένων του ιδίου τύπου μπορεί να προξενήσει σημαντική βλάβη σε ένα φυσικό πρόσωπο, μικρότερη όμως σε άλλο. Ένα κριτήριο βάσει του οποίου η βλάβη θα έπρεπε να είναι υλική, σημαντική ή σοβαρή δεν ενδείκνυνται για την περίπτωση. Η προσέγγιση του Συμβουλίου για παράδειγμα, η οποία απαιτεί να θίγει η παραβίαση σοβαρά την ιδιωτική ζωή ενός ατόμου θα παρείχε ανεπαρκή προστασία στα φυσικά πρόσωπα δεδομένου ότι ο κανόνας αυτός καθεαυτόν απαιτεί να είναι «σοβαρές» οι συνέπειες για την ιδιωτική ζωή, πράγμα που αφήνει χώρο για υποκειμενική εκτίμηση.

42.

Παρότι όμως ο προαναφερόμενος κανόνας του «ευλόγως πιθανό να προξενήσει βλάβη» είναι μάλλον ο κατάλληλος για την κοινοποίηση παραβιάσεων της ασφάλειας, ο ΕΕΠΔ εξακολουθεί να φοβάται ότι ίσως να μην καλύπτει όλες τις καταστάσεις στις οποίες δικαιολογείται η κοινοποίηση προς φυσικά πρόσωπα, τουτέστιν όλες τις καταστάσεις όπου υπάρχει εύλογη πιθανότητα αρνητικών συνεπειών για την ιδιωτική ζωή ή τα άλλα έννομα συμφέροντα φυσικών προσώπων. Για τον λόγο αυτόν θα μπορούσε να εξεταστεί ως ενδεχόμενο ένα κριτήριο που θα απαιτούσε κοινοποίηση «όταν είναι ευλόγως πιθανό ότι η παραβίαση θα έχει αρνητικές συνέπειες για τα φυσικά πρόσωπα».

43.

Αυτό το εναλλακτικός κριτήριο έχει το επί πλέον προσόν της συνοχής με τη νομοθεσία της ΕΕ για την προστασία των δεδομένων προσωπικού χαρακτήρα. Πράγματι, η οδηγία περί προστασίας των δεδομένων μνημονεύει συχνά τις αρνητικές συνέπειες για τα δικαιώματα και τις ελευθερίες των ατόμων στα οποία αναφέρονται τα δεδομένα. Παραδείγματος χάριν, το άρθρο 18 και η αιτιολογική παράγραφος 49 που πραγματεύονται την υποχρέωση κοινοποίησης των επεξεργασιών στις αρχές προστασίας προσωπικών δεδομένων επιτρέπουν στα κράτη μέλη να εξαιρούν από αυτή την υποχρέωση τις περιπτώσεις όπου η επεξεργασίες αυτές «δεν είναι ικανές να θίξουν τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα». Ανάλογη διατύπωση χρησιμοποιείται στο άρθρο 16 παρ. 6 της κοινής θέσης, προκειμένου να μπορούν τα νομικά πρόσωπα να ενάγουν τους δημιουργούς ανεπίκλητων ηλεκτρονικών μηνυμάτων (spammer).

44.

Εξ άλλου, με τα ανωτέρω υπ’ όψη θα μπορούσε κανείς να αναμείνει επίσης ότι οι υποκείμενοι στην υποχρέωση κοινοποίησης φορείς -και ιδίως οι αρχές οι αρμόδιες για την επιβολή της νομοθεσίας για την προστασία των δεδομένων- θα είναι πιο εξοικειωμένες με τον προαναφερόμενο κανόνα και συνεπώς να εκτιμούν ευκολότερα το αν μια δεδομένη παραβίαση πληροί το επιβεβλημένο κριτήριο.

45.

Βάσει της προσέγγισης του ΕΚ (πλην των περιπτώσεων επικείμενου κινδύνου) και της τροποποιημένης πρότασης της Επιτροπής, θα εναπόκειται στις αρχές των κρατών μελών να καθορίζουν αν μια παραβίαση της ασφάλειας πληροί το γενεσιουργό αίτιο για την κοινοποίηση προς τους ενδιαφερομένους ή όχι.

46.

Ο ΕΕΠΔ φρονεί ότι η εμπλοκή κάποιας αρχής είναι σημαντική για να καθοριστεί αν πληρούται το κριτήριο, δεδομένου ότι εγγυάται σε κάποιο βαθμό την ορθή εφαρμογή της νομοθεσίας. Ένα τέτοιο σύστημα θα εμποδίζει ενδεχομένως τις εταιρίες από το να εκτιμούν ατόπως τον κίνδυνο ως μη επιβλαβή/σοβαρό και έτσι να αποφεύγουν την κοινοποίηση τη στιγμή που μια τέτοια κοινοποίηση είναι στην πραγματικότητα απαραίτητη.

47.

Αφ’ ετέρου, ο ΕΕΠΔ φοβάται μήπως ένα καθεστώς που απαιτεί από τις αρχές να διενεργούν την εκτίμηση αποδειχθεί ανεπίδεκτο εφαρμογής ή δυσεφάρμοστο, ή μήπως καταλήξει αντιπαραγωγικό στην πράξη, αποδυναμώνοντας μάλιστα τις εγγυήσεις προς τα φυσικά πρόσωπα για την προστασία των δεδομένων.

48.

Πράγματι, με μια τέτοια προσέγγιση είναι πιθανό να πλημμυρίσουν οι αρχές από κοινοποιήσεις για παραβιάσεις ασφάλειας και να αντιμετωπίσουν μεγάλα προβλήματα στη διενέργεια των απαραίτητων εκτιμήσεων. Πρέπει να υπομνησθεί ότι για να εκτιμηθεί κατά πόσο μια δεδομένη παραβίαση πληροί το κριτήριο, θα πρέπει να παρέχεται στις αρχές επαρκής ενημέρωση εκ των έσω, συχνά περίπλοκου τεχνικού χαρακτήρα, την οποία οι αρχές θα πρέπει να επεξεργάζονται τάχιστα. Έχοντας υπ’ όψη πόσο δύσκολη είναι η εκτίμηση καθώς και ότι ορισμένες αρχές διαθέτουν περιορισμένους πόρους, ο ΕΕΠΔ φοβάται ότι η συμμόρφωση των αρχών με αυτή την υποχρέωση θα συναντά μεγάλες δυσκολίες και πιθανόν να αφαιρεί πόρους από άλλες σημαντικές προτεραιότητες. Εκτός αυτού ένα τέτοιο σύστημα ενδέχεται να πιέζει υπερβολικά τις αρχές· σε περίπτωση μάλιστα που οι αρχές κρίνουν ότι η παραβίαση δεν είναι σοβαρή και παρ’ όλ’ αυτά υποστούν βλάβη κάποια φυσικά πρόσωπα, υπάρχει το ενδεχόμενο να θεωρηθούν αυτές υπεύθυνες.

49.

Η δυσκολία αυτή υπογραμμίζεται εντονότερα αν κανείς λάβει υπόψη ότι ο χρόνος είναι βασικός παράγοντας για την ελαχιστοποίηση των κινδύνων που γεννούν οι παραβιάσεις αυτές. Ο πρόσθετος χρόνος που χρειάζονται οι αρχές για να προβούν στις εκτιμήσεις αυτές μεγεθύνει ενδεχομένως τη βλάβη που υφίστανται οι ενδιαφερόμενοι, παρεκτός αν οι αρχές έχουν τη δυνατότητα να προβαίνουν σε εκτιμήσεις μέσα σε ελάχιστη διορία. Ως εκ τούτου, η πρόσθετη διαδικασία που αποσκοπεί στο να προστατεύονται καλύτερα τα φυσικά πρόσωπα μπορεί παραδόξως να προσφέρει τελικά μικρότερη προστασία απ’ ό,τι τα συστήματα που βασίζονται σε απ’ ευθείας κοινοποίηση.

50.

Για τους λόγους που προαναφέρθηκαν, ο ΕΕΠΔ θεωρεί προτιμότερο να δημιουργηθεί ένα σύστημα σύμφωνα με το οποίο θα επαφίεται στους ενδιαφερόμενους φορείς να αποφασίσουν αν η παραβίαση πληροί το κριτήριο ή όχι, όπως προβλέπει η προσέγγιση του Συμβουλίου.

51.

Πάντως για να αποφευχθούν τα ενδεχόμενα κατάχρησης, επί παραδείγματι αρχών που αρνούνται να κοινοποιήσουν σε περιπτώσεις όπου η κοινοποίηση είναι σαφώς επιβεβλημένη, η συμπερίληψη των εγγυήσεων για την προστασία των δεδομένων που αναλύονται κατωτέρω είναι υψίστης σημασίας.

52.

Εν πρώτοις, η επιβολή στους υπόχρεους φορείς της υποχρέωσης να αποφασίζουν αν πρέπει να κοινοποιήσουν θα πρέπει φυσικά να συνοδεύεται από μια άλλη υποχρέωση, που θα απαιτεί να κοινοποιούνται υποχρεωτικά προς τις αρχές όλες οι παραβιάσεις που πληρούν το επιβεβλημένο κριτήριο. Στις περιπτώσεις αυτές οι ενδιαφερόμενοι φορείς θα πρέπει να ενημερώνουν τις αρχές σχετικά με την παραβίαση για τους λόγους για τους οποίους αποφάσισαν να την κοινοποιήσουν, καθώς και για το περιεχόμενο της τυχόν κοινοποίησης.

53.

Δεύτερον, θα πρέπει να δοθεί στις αρχές πραγματικός εποπτικός ρόλος. Κατά την άσκηση του καθήκοντος αυτού οι αρχές θα πρέπει να έχουν το δικαίωμα - πλην όχι την υποχρέωση- να διερευνούν τις περιστάσεις της παραβίασης και να απαιτούν τη λήψη των διορθωτικών μέτρων που ενδέχεται να αρμόζουν (14). Αυτά δεν θα πρέπει να περιλαμβάνουν απλώς την κοινοποίηση προς φυσικά πρόσωπα (εάν δεν έχει γίνει ακόμα) αλλ’ επίσης και τη δυνατότητα να επιβάλλεται υποχρέωση λήψης μέτρων προς αποφυγή νέων παραβιάσεων. Θα πρέπει εν προκειμένω να παρέχονται στις αρχές ουσιαστικές εξουσίες και πόροι, οι δε αρχές θα πρέπει να διαθέτουν το αναγκαίο περιθώριο ελιγμών ώστε να αποφασίζουν πότε θα αντιδρούν σε κοινοποιήσεις παραβιάσεων της ασφάλειας. Αυτό θα επιτρέπει δηλαδή στις αρχές να κάνουν επιλογή και να δρομολογούν επί παραδείγματι έρευνες για εκτεταμένες, πραγματικά επιβλαβείς παραβιάσεις της ασφάλειας, διαπιστώνοντας ή επιβάλλοντας τη συμμόρφωση προς τις επιταγές της νομοθεσίας.

54.

Για να επιτευχθούν τα ανωτέρω, επιπλέον των εξουσιών που αναγνωρίζονται δυνάμει της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (π.χ. άρθρο 15α παρ. 3) και στην οδηγία για την προστασία των δεδομένων, ο ΕΕΠΔ προτείνει να προστεθεί η ακόλουθη φράση: «Σε περίπτωση που δεν έχει ήδη γίνει κοινοποίηση προς τον συνδρομητή ή το ενδιαφερόμενο φυσικό πρόσωπο, η αρμόδια εθνική αρχή μπορεί, αφού εξετάσει τον χαρακτήρα της παραβίασης, να ζητήσει από τους PPECS ή ISSPs να προβούν στην κοινοποίηση αυτή.»

55.

Επίσης, ο ΕΕΠΔ συνιστά προς το ΕΚ και το Συμβούλιο να επιβεβαιώσουν την προτεινόμενη από το ΕΚ υποχρέωση (τροπολογία 122, άρθρο 4 παρ. 1 στοιχείο α) των φορέων να διενεργούν αξιολόγηση και εντοπισμό των κινδύνων για τα συστήματά τους και τα δεδομένα προσωπικού χαρακτήρα που σκοπεύουν να επεξεργαστούν. Με βάση αυτή την υποχρέωση, οι φορείς θα πρέπει να καταρτίσουν έναν ειδικά προσαρμοσμένο στις ανάγκες τους και ακριβή ορισμό των μέτρων ασφάλειας που θα χρησιμοποιούνται, ο οποίος θα πρέπει να βρίσκεται στη διάθεση των αρχών. Σε περίπτωση που συμβεί παραβίαση της ασφάλειας, η υποχρέωση αυτή θα βοηθά τις υπόχρεες αρχές - και εν τέλει τις αρχές στον εποπτικό τους ρόλο- να κρίνουν αν η έκθεση των δεδομένων αυτών σε κίνδυνο μπορεί να έχει αρνητικές συνέπειες ή να προξενήσει βλάβη σε φυσικά πρόσωπα.

56.

Τρίτον, η υποχρέωση των υπόχρεων φορέων να αποφασίζουν αν θα πρέπει να ενημερώσουν φυσικά πρόσωπα πρέπει να συνοδεύεται από υποχρέωση να τηρούν λεπτομερή και εκτεταμένο ιστορικό εσωτερικού ελέγχου όπου θα καταγράφονται όσες τυχόν παραβιάσεις έχουν διαπιστωθεί και οι σχετικές με αυτές κοινοποιήσεις καθώς και τα μέτρα που ελήφθησαν προς αποφυγή μελλοντικών παραβιάσεων. Αυτό το ιστορικό εσωτερικού ελέγχου πρέπει να βρίσκεται στη διάθεση των αρχών για επανεξέταση και ενδεχόμενη έρευνα. Αυτό θα βοηθήσει τις αρχές να διεκπεραιώνουν τα εποπτικά τους καθήκοντα και θα μπορούσε να επιτευχθεί με την υιοθέτηση της ακόλουθης διατύπωσης: «Οι PPECS και ISSPs πρέπει να φυλάσσουν και να συντηρούν εκτεταμένα αρχεία στα οποία απαριθμούνται λεπτομερώς όλες οι παραβιάσεις που διαπιστώνονται, τα συναφή τεχνικά στοιχεία που τις αφορούν και τα διορθωτικά μέτρα που λαμβάνονται. Τα αρχεία πρέπει να περιλαμβάνουν επίσης παραπομπή σε όλες τις κοινοποιήσεις που στέλνονται προς ενδιαφερόμενους συνδρομητές ή φυσικά πρόσωπα και προς τις αρμόδιες εθνικές αρχές, μαζί με την ημερομηνία και το περιεχόμενό τους. Τα αρχεία πρέπει να επιδεικνύονται στην αρμόδια εθνική αρχή όποτε το ζητήσει.»

57.

Βέβαια, για να εξασφαλιστεί η συνέπεια στην εφαρμογή του κανόνα αυτού καθώς και άλλων συναφών πτυχών του πλαισίου των παραβιάσεων της ασφάλειας όπως ο μορφότυπος και οι διαδικασίες κοινοποίησης, καλό θα ήταν να εκδώσει η Επιτροπή τεχνικά μέτρα εφαρμογής ύστερα από συνεννόηση με τον ΕΕΠΔ, την Ομάδα του Άρθρου 29 και άλλους ενδιαφερομένους φορείς.

58.

Όσον αφορά τους αποδέκτες των κοινοποιήσεων, ο ΕΕΠΔ προτιμά την ορολογία του ΕΚ και της Επιτροπής αντί του Συμβουλίου. Πράγματι, το ΕΚ αντικατέστησε τη λέξη «συνδρομητές» με τη λέξη «χρήστες», ενώ η Επιτροπή κάνει λόγο για «συνδρομητές» και «ενδιαφερόμενο άτομο». Η διατύπωση τόσο του ΕΚ όσο και της Επιτροπής συμπεριλαμβάνει προφανώς ως αποδέκτες των κοινοποιήσεων όχι μόνο τους σημερινούς συνδρομητές αλλά και πρώην συνδρομητές ή τρίτους, όπως χρήστες που συνεργάζονται με ορισμένους υπόχρεους φορείς δίχως να είναι συνδρομητές τους. Ο ΕΕΠΔ δηλώνει ικανοποιημένος με την προσέγγιση αυτή και ζητά από το ΕΚ και το Συμβούλιο να εμμείνουν σε αυτήν.

59.

Εν τούτοις ο ΕΕΠΔ διαπιστώνει ορισμένες ασυνέπειες όσον αφορά την ορολογία της πρώτης ανάγνωσης του ΕΚ, οι οποίες θα πρέπει να διορθωθούν. Επί παραδείγματι η λέξη «συνδρομητές» έχει αντικατασταθεί στις περισσότερες περιπτώσεις αλλά όχι σε όλες από τη λέξη «χρήστες», ενώ σε άλλες περιπτώσεις από τη λέξη «καταναλωτές»· θα πρέπει να γίνει η σχετική εναρμόνιση.

60.

Το άρθρο 3 παρ. 1 της ισχύουσας οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών ορίζει τους φορείς που αφορά κατά πρώτο λόγο η οδηγία, ήτοι εκείνους που επεξεργάζονται δεδομένα «στο πλαίσιο» της παροχής διαθέσιμων στο κοινό υπηρεσιών επικοινωνιών σε δημόσια δίκτυα (τις ανωτέρω αποκαλούμενες «PPECS») (15). Στα παραδείγματα PPECS συγκαταλέγονται η παροχή πρόσβασης στο Διαδίκτυο, η διαβίβαση πληροφοριών μέσω ηλεκτρονικών δικτύων, οι συνδέσεις κινητής και σταθερής τηλεφωνίας κλπ.

61.

Το ΕΚ ενέκρινε μια τροπολογία 121 που τροποποιεί το άρθρο 3 της αρχικής πρότασης της Επιτροπής, σύμφωνα με την οποία το πεδίο εφαρμογής της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών διευρύνθηκε ούτως ώστε να εφαρμόζεται και «στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια και ιδιωτικά δίκτυα επικοινωνιών και ιδιωτικών δικτύων προσβάσιμων στο κοινό στην Κοινότητα […]» (άρθρο 3 παρ. 1 της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών). Δυστυχώς το Συμβούλιο και η Επιτροπή έκριναν ότι δεν μπορούν να δεχθούν εύκολα αυτήν την τροποποίηση και ως εκ τούτου δεν ενσωμάτωσαν την προσέγγιση αυτή στην κοινή θέση και στην τροποποιημένη οδηγία.

62.

Για τους λόγους που εξηγούνται στα κατωτέρω και επιθυμώντας να συμβάλει προκειμένου να επιτευχθεί συναίνεση, ο ΕΕΠΔ συνιστά να διατηρηθεί η ουσία της τροπολογίας 121. Εκτός αυτού ο ΕΕΠΔ συνιστά να συμπεριληφθεί τροπολογία που να βοηθά στο να διευκρινίζονται περισσότερο οι τύποι υπηρεσιών που θα εμπίπτουν στο διευρυμένο πεδίο εφαρμογής.

63.

Τα ιδιωτικά δίκτυα συχνά χρησιμοποιούνται για την παροχή υπηρεσιών ηλεκτρονικής επικοινωνίας, όπως η πρόσβαση στο Διαδίκτυο, σε απροσδιόριστο αριθμό ατόμων, που μπορεί δυνητικά να είναι μεγάλος. Αυτό συμβαίνει επί παραδείγματι με την πρόσβαση στο Διαδίκτυο μέσω ‘διαδικτυακών καφενείων’ καθώς και σημείων πρόσβασης Wi-Fi που είναι διαθέσιμα σε ξενοδοχεία, εστιατόρια, αεροδρόμια, σιδηροδρόμους και λοιπές εγκαταστάσεις στις οποίες έχει πρόσβαση το κοινό και όπου οι υπηρεσίες αυτές προσφέρονται συχνά ως συμπλήρωμα άλλων υπηρεσιών (ροφήματα, καταλύματα κλπ).

64.

Σε όλα τα προαναφερόμενα παραδείγματα, μια υπηρεσία επικοινωνίας, φερ’ ειπείν η πρόσβαση στο Διαδίκτυο, διατίθεται στο κοινό όχι μέσω δημοσίου δικτύου, αλλά μάλλον μέσω δικτύου που μπορεί να θεωρηθεί ιδιωτικό, ήτοι δικτύου που διαχειρίζονται ιδιώτες. Παρότι άλλωστε στις ανωτέρω περιπτώσεις η υπηρεσία επικοινωνίας παρέχεται στο κοινό, επειδή το δίκτυο που χρησιμοποιείται είναι ιδιωτικού και όχι δημόσιου τύπου, η παροχή των υπηρεσιών αυτών μπορεί να υποστηριχθεί ότι δεν καλύπτεται από ολόκληρη την οδηγία για την ιδιωτική ζωή στις ηλεκτρονικές επικοινωνίας ή έστω από ορισμένα της άρθρα (16). Κατά συνέπεια, τα θεμελιώδη δικαιώματα των φυσικών προσώπων που κατοχυρώνει η οδηγία για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών δεν προστατεύονται στις περιπτώσεις αυτές, και έτσι δημιουργείται άνιση νομική κατάσταση των χρηστών που χρησιμοποιούν τις ίδιες υπηρεσίες πρόσβασης στο Διαδίκτυο μέσω δημόσιων τηλεπικοινωνιακών δικτύων έναντι εκείνων που έχουν πρόσβαση σε αυτές από ιδιωτικά δίκτυα. Και τούτο παρά το γεγονός ότι ο κίνδυνος για την ιδιωτική ζωή και τα προσωπικά δεδομένα των φυσικών προσώπων είναι σε όλες αυτές τις περιπτώσεις ακριβώς ίδιος όπως όταν χρησιμοποιούνται δημόσια δίκτυα για την παροχή των υπηρεσιών αυτών. Εν ολίγοις δεν φαίνεται να υπάρχει αποχρών λόγος που να δικαιολογεί, δυνάμει της οδηγίας για τις υπηρεσίες επικοινωνίας, διαφορετική μεταχείριση των υπηρεσιών που παρέχονται από ιδιωτικό δίκτυο σε σχέση με τις υπηρεσίες που παρέχονται μέσω δημοσίου δικτύου.

65.

Ως εκ τούτου ο ΕΕΠΔ θα ενέκρινε μια τροποποίηση όπως η τροπολογία 121 του ΕΚ σύμφωνα με την οποία η οδηγία για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών θα ισχύει επίσης και για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της παροχής προσβάσιμων από το κοινό υπηρεσιών ηλεκτρονικής επικοινωνίας μέσω ιδιωτικών επικοινωνιακών δικτύων.

66.

Ο ΕΕΠΔ αναγνωρίζει εν τούτοις ότι μια τέτοια διατύπωση ενδέχεται να έχει απρόβλεπτες και ενδεχομένως απρομελέτητες συνέπειες. Όντως, η απλή και μόνο μνεία ιδιωτικών δικτύων θα μπορούσε να εκληφθεί ως καλύπτουσα καταστάσεις που σαφώς δεν είναι στις προθέσεις της οδηγίας να καλύπτει. Θα μπορούσε φερ’ ειπείν να υποστηριχθεί ότι η κατά γράμμα ή αυστηρή ερμηνεία της διατύπωσης αυτής θα υπαγάγει στις διατάξεις της οδηγίας τους ιδιοκτήτες σπιτιών εξοπλισμένων με Wi-Fi (17) που παρέχουν την δυνατότητα σύνδεσης σε όποιον βρίσκεται εντός του βεληνεκούς τους (συνήθως μέσα στο σπίτι), ακόμα και αν αυτό δεν είναι στις προθέσεις της τροπολογίας 121. Για να αποφευχθούν τέτοια επακόλουθα, ο ΕΕΠΔ συνιστά να αναδιατυπωθεί η τροπολογία 121, συν τοις άλλοις και βάσει του πεδίου εφαρμογής της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, ως εξής: «στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα επικοινωνιών ή σε προσβάσιμα από το κοινό ιδιωτικά δίκτυα επικοινωνιών εντός της Κοινότητας…»

67.

Αυτό θα βοηθήσει να αποσαφηνιστεί ότι μόνο ιδιωτικά δίκτυα στα οποία έχει πρόσβαση το κοινό θα καλύπτονται από την οδηγία για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών. Η εφαρμογή της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών μόνο στα ιδιωτικά δίκτυα στα οποία έχει πρόσβαση το κοινό (και όχι σε όλα τα ιδιωτικά δίκτυα) θέτει ένα όριο προκειμένου η οδηγία να καλύπτει μόνο τις υπηρεσίες επικοινωνίας που παρέχονται σε ιδιωτικά δίκτυα που σκοπίμως καθίστανται προσβάσιμα από το κοινό. Αυτή η διατύπωση θα βοηθήσει να επισημανθεί εντονότερα ότι η διαθεσιμότητα του ιδιωτικού δικτύου σε μέλη του ευρέος κοινού είναι ο βασικός παράγων για να καθοριστεί αν αυτό θα εμπίπτει στις διατάξεις της οδηγίας (επιπροσθέτως της παροχής προσιτών στο κοινό υπηρεσιών επικοινωνίας). Με άλλα λόγια, ανεξάρτητα από το αν το δίκτυο είναι δημόσιο ή ιδιωτικό, εάν καθίσταται σκοπίμως προσιτό στο κοινό με σκοπό την παροχή δημόσιας υπηρεσίας επικοινωνιών, όπως είναι η πρόσβαση στο Διαδίκτυο, τότε αυτός ο τύπος υπηρεσίας/δικτύου θα εμπίπτει στις διατάξεις της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, ακόμα και αν η εν λόγω υπηρεσία απλώς συμπληρώνει μια άλλη (π.χ. κατάλυμα σε ξενοδοχείο).

68.

Ο ΕΕΠΔ επισημαίνει ότι η προσέγγιση υπέρ της οποίας τάσσεται ανωτέρω, βάσει της οποίας οι διατάξεις της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών ισχύουν για τα ιδιωτικά δίκτυα στα οποία έχει πρόσβαση το κοινό, συμβαδίζει με την προσέγγιση που έχουν υιοθετήσει αρκετά κράτη μέλη, των οποίων οι αρχές ήδη θεωρούν ότι οι υπηρεσίες του τύπου αυτού καθώς και οι υπηρεσίες που παρέχονται σε αμιγώς ιδιωτικά δίκτυα εμπίπτουν στο πεδίο εφαρμογής των εθνικών διατάξεων εφαρμογής της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (18).

69.

Χάριν μεγαλύτερης νομικής ασφάλειας όσον αφορά τους φορείς που υπάγονται στο νέο αυτό πεδίο εφαρμογής, θα ήταν ίσως χρήσιμο να συμπεριληφθεί στην οδηγία για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών μια τροπολογία με την ακόλουθη διατύπωση: «ως προσβάσιμο από το κοινό ιδιωτικό δίκτυο νοείται ένα δίκτυο το οποίο διαχειρίζονται ιδιώτες και στο οποίο τα μέλη του ευρέος κοινού έχουν συνήθως απεριόριστη πρόσβαση είτε επί πληρωμή είτε όχι, ή ακόμα σε συνάρτηση με άλλες υπηρεσίες ή προσφορές, με την προϋπόθεση της αποδοχής των όρων και προϋποθέσεων που ισχύουν.»

70.

Στην πράξη η ανωτέρω προσέγγιση θα σημαίνει ότι θα καλύπτονται τα ιδιωτικά δίκτυα σε ξενοδοχεία και άλλες επιχειρήσεις που παρέχουν στο ευρύ κοινό πρόσβαση στο Διαδίκτυο μέσω ιδιωτικών δικτύων. Δεν θα καλύπτεται αντιθέτως η παροχή επικοινωνιακών υπηρεσιών σε αμιγώς ιδιωτικά δίκτυα όπου η υπηρεσία περιορίζεται σε συγκεκριμένο αριθμό αναγνωρίσιμων ατόμων. Κατά συνέπεια, τα οιονεί ιδιωτικά δίκτυα π.χ. ή τα εξοπλισμένα με Wi-Fi σπίτια ιδιωτών δεν θα καλύπτονται από την οδηγία. Επίσης δεν θα καλύπτονται ούτε οι υπηρεσίες που παρέχονται μέσω αμιγώς εταιρικών δικτύων.

71.

Η εξαίρεση των καθαυτό ιδιωτικών δικτύων που προτείνεται στα προλεχθέντα θα πρέπει να θεωρηθεί προσωρινό μέτρο που χρήζει περαιτέρω συζήτησης. Πράγματι, δεδομένου αφ’ ενός ότι η εξαίρεση των αμιγώς ιδιωτικών δικτύων έχει επιπτώσεις όσον αφορά την ιδιωτική ζωή, αφ’ ετέρου δε ότι επηρεάζεται μεγάλος αριθμός ατόμων που έχουν συνήθως πρόσβαση στο Διαδίκτυο μέσω εταιρικών δικτύων, ίσως το ζήτημα αυτό να χρειαστεί μελλοντικά επανεξέταση. Για αυτόν τον λόγο και για να τονωθεί η συζήτηση του θέματος αυτού, ο ΕΕΠΔ συνιστά να συμπεριληφθεί στην οδηγία για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών μια αιτιολογική παράγραφος, που να προβλέπει ότι η Επιτροπή θα διενεργήσει δημόσια διαβούλευση με αντικείμενο την εφαρμογή της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών σε όλα τα ιδιωτικά δίκτυα, στην οποία θα συμμετέχουν ο ΕΕΠΔ, οι αρχές προστασίας προσωπικών δεδομένων και άλλοι ενδιαφερόμενοι φορείς. Η αιτιολογική παράγραφος θα ορίζει επίσης ότι συνεπεία της δημόσιας αυτής διαβούλευσης η Επιτροπή θα υποβάλει την ενδεδειγμένη πρόταση για επέκταση ή περιορισμό των τύπων των φορέων που θα υπάγονται στις διατάξεις της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών.

72.

Επιπροσθέτως των ανωτέρω, τα διάφορα άρθρα της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών θα πρέπει να τροποποιηθούν προκειμένου όλες οι λειτουργικές διατάξεις να αναφέρουν ρητά, εκτός από τα δημόσια δίκτυα, τα ιδιωτικά δίκτυα στα οποία έχει πρόσβαση το κοινό.

73.

Κατά τη διάρκεια της νομοθετικής διαδικασίας με αντικείμενο την αναθεώρηση της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, διάφορες εταιρείες που παρέχουν υπηρεσίες ασφάλειας βεβαίωσαν ότι πρέπει οπωσδήποτε να προστεθεί στην εν λόγω οδηγία μια διάταξη που να νομιμοποιεί τη συλλογή δεδομένων κίνησης προκειμένου να κατοχυρώνεται η ουσιαστική ασφάλεια της επιγραμμικής επικοινωνίας.

74.

Κατόπιν αυτού, το ΕΚ εισήγαγε την τροπολογία 181, με την οποία δημιουργείται νέο άρθρο 6 παρ. 6α το οποίο επιτρέπει ρητώς την επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας: «Με την επιφύλαξη των διατάξεων πλην του άρθρου 7 της οδηγίας 95/46/ΕΚ και του άρθρου 5 της παρούσας οδηγίας, τα δεδομένα κίνησης μπορούν να υφίστανται επεξεργασία για το έννομο συμφέρον του υπευθύνου της επεξεργασίας για το σκοπό της εφαρμογής τεχνικών μέτρων για να κατοχυρωθεί η ασφάλεια του δικτύου και των πληροφοριών, όπως ορίζεται από το άρθρο 4, στοιχείο γ) του κανονισμού (ΕΚ) αριθ. 460/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 10ης Μαρτίου 2004, για τη δημιουργία του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών, δημόσιας υπηρεσίας ηλεκτρονικών επικοινωνιών, δημόσιου ή ιδιωτικού δικτύου ηλεκτρονικών επικοινωνιών, υπηρεσίας στην κοινωνία της πληροφορίας ή σχετικού τερματικού εξοπλισμού και εξοπλισμού ηλεκτρονικών επικοινωνιών, εκτός εάν τα συμφέροντα αυτά υπερισχύουν συμφερόντων που άπτονται των θεμελιωδών δικαιωμάτων και των ελευθεριών του προσώπου στο οποίο αναφέρονται τα δεδομένα. Η επεξεργασία αυτή περιορίζεται στο απολύτως απαραίτητο για τους σκοπούς των μέτρων εγγύησης της ασφάλειας.»

75.

H τροποποιημένη πρόταση της Επιτροπής δέχεται κατ’ αρχήν αυτή την τροπολογία, πλην όμως αφαίρεσε μια βασική διάταξη της οποίας προορισμός ήταν να διασφαλίζεται η τήρηση των λοιπών διατάξεων της οδηγίας, απαλείφοντας τις λέξεις «Με την επιφύλαξη […] … της παρούσας οδηγίας». Το Συμβούλιο δέχθηκε μια αναδιατύπωση που νοθεύει ακόμα περισσότερο τις σημαντικές διασφαλίσεις και την εξισορρόπηση συμφερόντων που επετύγχανε η τροπολογία 181, εγκρίνοντας το ακόλουθο κείμενο: «Τα δεδομένα κίνησης μπορούν να υφίστανται επεξεργασία κατά το απολύτως αναγκαίο μέτρο για την κατοχύρωση του δικτύου και των πληροφοριών, όπως ορίζεται από το άρθρο 4, στοιχείο γ) του κανονισμού (ΕΚ) αριθ. 460/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 10ης Μαρτίου 2004, για τη δημιουργία του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών.»

76.

Όπως εξηγείται ανωτέρω, το άρθρο 6 παρ. 6α είναι περιττό και δίνει λαβή σε καταχρήσεις, ιδίως εάν εγκριθεί με μορφή που δεν περιλαμβάνει τις βασικές διασφαλίσεις, τις ρήτρες που καθιστούν σεβαστές τις λοιπές διατάξεις της οδηγίας και την εξισορρόπηση συμφερόντων. Κατά συνέπεια ο ΕΕΠΔ συνιστά να απορριφθεί αυτό το άρθρο, ή τουλάχιστον να ληφθεί μέριμνα ούτως ώστε το άρθρο να συμπεριλάβει τα είδη διασφαλίσεων που περιελάμβανε η τροπολογία 181 που είχε εγκρίνει το ΕΚ.

77.

Η έκταση στην οποία οι πάροχοι προσβάσιμων από το κοινό υπηρεσιών ηλεκτρονικής επικοινωνίας μπορούν να επεξεργάζονται νομίμως δεδομένα κίνησης ρυθμίζεται από το άρθρο 6 της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, η οποία επιτρέπει την επεξεργασία δεδομένων κίνησης για ολιγάριθμους σκοπούς όπως η τιμολόγηση, η διασύνδεση και η εμπορία. Η επεξεργασία αυτή μπορεί να λάβει χώρα μόνον υπό συγκεκριμένες προϋποθέσεις, όπως η συγκατάθεση των φυσικών προσώπων στην περίπτωση της εμπορίας. Εκτός αυτού, άλλοι υπεύθυνοι επεξεργασίας δεδομένων όπως οι πάροχοι υπηρεσιών κοινωνίας της πληροφορίας επιτρέπεται να επεξεργάζονται δεδομένα κίνησης δυνάμει του άρθρου 7 της οδηγίας για την προστασία των δεδομένων, η οποία ορίζει ότι οι υπεύθυνοι επεξεργασίας δεδομένων μπορούν να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εφόσον συμμορφώνονται προς μία τουλάχιστον από τις απαριθμούμενες νομικές βάσεις που ονομάζονται ωσαύτως νόμιμοι λόγοι.

78.

Παράδειγμα μιας τέτοιας νομικής βάσης είναι το άρθρο 7 στοιχείο (α) της οδηγίας για την προστασία των δεδομένων, το οποίο απαιτεί τη ρητή συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα. Για παράδειγμα, αν μια επιγραμμική επιχείρηση λιανικής πώλησης επιδιώκει να επεξεργαστεί δεδομένα κίνησης για να αποστείλει διαφημιστικό υλικό ή υλικό εμπορίας, πρέπει να λάβει τη ρητή συγκατάθεση του προσώπου. Άλλη νομική βάση που ορίζει το άρθρο 7 ενδέχεται να επιτρέπει σε ορισμένες περιπτώσεις την επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας, φερ’ ειπείν από εταιρείες που προσφέρουν υπηρεσίες ασφάλειας· αυτό βασίζεται στο άρθρο 7 στοιχείο (στ), το οποίο ορίζει ότι οι υπεύθυνοι επεξεργασίας δεδομένων επιτρέπεται να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα εάν η επεξεργασία αυτή «είναι απαραίτητη για την επίτευξη του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα, υπό τον όρο ότι δεν προέχει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα…». Η οδηγία για την προστασία των δεδομένων δεν καθορίζει τις περιπτώσεις στις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα πληροί τις προδιαγραφές αυτές· αυτό το καθορίζουν αντιθέτως οι υπεύθυνοι επεξεργασίας δεδομένων για κάθε περίπτωση αυτοτελώς, συχνά με τη συμφωνία των εθνικών αρχών προστασίας των δεδομένων και άλλων αρχών.

79.

Θα πρέπει να ληφθεί υπ’ όψη η συνέργεια μεταξύ άρθρου 7 της οδηγίας για την προστασία των δεδομένων και του προτεινόμενου άρθρου 6 παρ. 6α της οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών. Το προτεινόμενο άρθρο 6 παρ. 6α διευκρινίζει υπό ποιές περιστάσεις πληρούνται οι προδιαγραφές του άρθρου 7 στοιχείο (στ) που παρατίθενται ανωτέρω. Επιτρέποντας άλλωστε την επεξεργασία δεδομένων κίνησης προκειμένου να κατοχυρωθεί η ασφάλεια δικτύων και πληροφοριών, το άρθρο 6 παρ. 6α καθιστά δυνατή την επεξεργασία αυτή χάριν των νομίμων συμφερόντων που επιδιώκει ο υπεύθυνος της επεξεργασίας δεδομένων.

80.

Όπως αναλύεται κατωτέρω, ο ΕΕΠΔ φρονεί ότι το προτεινόμενο άρθρο 6 παρ. 6α δεν είναι ούτε απαραίτητο ούτε χρήσιμο. Από νομική άποψη είναι κατ’ αρχήν περιττό να ορίζεται αν μια δραστηριότητα επεξεργασίας δεδομένων συγκεκριμένου τύπου - εν προκειμένω η επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας- πληροί ή δεν πληροί τις προδιαγραφές του άρθρου 7 στοιχείο (στ) της οδηγίας για την προστασία των δεδομένων, οπόταν ενδέχεται να χρειάζεται η συγκατάθεση του προσώπου ως εκ του άρθρου 7 στοιχείο (α). Όπως παρατηρείται ανωτέρω, η αξιολόγηση αυτή γίνεται συνήθως από τους υπευθύνους επεξεργασίας δηλαδή τις εταιρίες, στο επίπεδο της εφαρμογής και σε συνεννόηση με τις αρχές προστασίας των δεδομένων, κι όπου απαιτείται από τα δικαστήρια. Ο ΕΕΠΔ πιστεύει εν γένει ότι σε συγκεκριμένες περιπτώσεις η νόμιμη επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας, η οποία διενεργείται δίχως να διακυβεύονται τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου που αφορούν τα δεδομένα, προφανώς πληροί τις προδιαγραφές του άρθρου 7 στοιχείο (στ) της οδηγίας για την προστασία των δεδομένων και ως εκ τούτου επιτρέπεται να γίνεται. Εκτός αυτού, δεν υπάρχει κανένα προηγούμενο στις οδηγίες για την προστασία των δεδομένων και για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών όπου η απομόνωση ή η ιδιαίτερη μεταχείριση ορισμένων μορφών επεξεργασίας των δεδομένων θα μπορούσε να πληροί τις προδιαγραφές του άρθρου 7 στοιχείο (στ), ούτε έχει αποδειχθεί η ανάγκη τέτοιων εξαιρέσεων. Όλως αντιθέτως φαίνεται, όπως παρατηρείται ανωτέρω, ότι σε πολλές περιπτώσεις αυτή η μορφή δραστηριότητας εντάσσεται ωραιότατα στο τρέχον κείμενο. Ως εκ τούτου περιττεύει κατ’ αρχήν κάθε νομοθετική διάταξη προς επικύρωση της αξιολόγησης αυτής.

81.

Όπως εξηγήθηκε προηγουμένως, είναι σημαντικό - αν και όχι απαραίτητο- να τονιστεί ότι η τροπολογία 181 που ενέκρινε το ΕΚ είχε παρ’ όλ’ αυτά διατυπωθεί μέχρις ενός ορισμένου σημείου λαμβάνοντας υπόψη τις αρχές περί προστασίας της ιδιωτικής ζωής και των δεδομένων, οι οποίες είναι εμπεδωμένες στη νομοθεσία για την προστασία των προσωπικών δεδομένων. Πέραν αυτού, η τροπολογία 181 του ΕΚ θα μπορούσε να ικανοποιήσει περαιτέρω το μέλημα της προστασίας των δεδομένων και της ιδιωτικής ζωής με την προσθήκη για παράδειγμα των λέξεων «σε συγκεκριμένες περιπτώσεις», ούτως ώστε να εξασφαλίζεται η επιλεκτική εφαρμογή του άρθρου αυτού, ή με την προσθήκη συγκεκριμένης διάρκειας φύλαξης των δεδομένων.

82.

Η τροπολογία 181 περιλαμβάνει κάποια θετικά στοιχεία. Επιβεβαιώνει ότι η επεξεργασία θα πρέπει να συμμορφώνεται με κάθε άλλη αρχή περί προστασίας των δεδομένων που ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα («Με την επιφύλαξη των διατάξεων... της οδηγίας 95/46/ΕΚ και […] της παρούσας οδηγίας»). Επίσης, παρότι η τροπολογία 181 επιτρέπει την επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας, επιτυγχάνει ισορροπία μεταξύ των συμφερόντων του φορέα που επεξεργάζεται τα δεδομένα κίνησης και των συμφερόντων των φυσικών προσώπων των οποίων τα δεδομένα υφίστανται επεξεργασία, έτσι ώστε η επεξεργασία δεδομένων να μπορεί να γίνεται μόνον όταν τα συμφέροντα που άπτονται των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων δεν παρακάμπτονται από τα συμφέροντα του φορέα που επεξεργάζεται τα δεδομένα («εκτός όταν τα συμφέροντα αυτά υπερισχύουν συμφερόντων που άπτονται των θεμελιωδών δικαιωμάτων και των ελευθεριών του προσώπου στο οποίο αναφέρονται τα δεδομένα.»). Η προϋπόθεση αυτή έχει ουσιώδη σημασία, διότι θα μπορούσε να επιτρέπει την επεξεργασία δεδομένων κίνησης για συγκεκριμένες περιπτώσεις· ωστόσο δεν θα επέτρεπε στους φορείς τη μαζική επεξεργασία δεδομένων κίνησης.

83.

Η αναδιατυπωμένη απόδοση της τροπολογίας από το Συμβούλιο περιλαμβάνει αξιόλογα στοιχεία, όπως τη διατήρηση της έκφρασης «απολύτως απαραίτητο», η οποία υπογραμμίζει το περιορισμένο πεδίο εφαρμογής αυτού του άρθρου. Όμως η διατύπωση του Συμβουλίου καταργεί τις προαναφερόμενες διασφαλίσεις για την προστασία των δεδομένων και την ιδιωτική ζωή. Αν και καταρχήν εφαρμόζονται οι γενικές διατάξεις περί προστασίας των δεδομένων ασχέτως του εάν γίνεται ρητή μνεία σε κάθε μεμονωμένη περίπτωση, το κείμενο του Συμβουλίου για το άρθρο 6 παρ. 6α θα μπορούσε ωστόσο να ερμηνευθεί ότι παρέχει πλήρη διακριτική ευχέρεια για την επεξεργασία δεδομένων κίνησης χωρίς συμμόρφωση με τις διασφαλίσεις περί προστασίας των δεδομένων και της ιδιωτικής ζωής, οι οποίες ισχύουν κάθε φορά που τα δεδομένα κίνησης υφίστανται επεξεργασία. Θα μπορούσε λοιπόν να υποστηριχθεί ότι τα δεδομένα κίνησης επιτρέπεται να συλλέγονται, να αποθηκεύονται και να χρησιμοποιούνται περαιτέρω δίχως αναγκαστική συμμόρφωση προς τις βασικές αρχές προστασίας των δεδομένων και τις συγκεκριμένες υποχρεώσεις που άλλως βαρύνουν τους υπεύθυνους, όπως η αρχή της ποιότητας ή η υποχρέωση της θεμιτής και νόμιμης επεξεργασίας και η υποχρέωση να διατηρούνται τα δεδομένα απόρρητα και ασφαλή. Επειδή προσέτι δεν μνημονεύονται οι ισχύουσες αρχές για την προστασία των δεδομένων οι οποίες επιτάσσουν χρονικούς περιορισμούς της αποθήκευσης των δεδομένων ή συγκεκριμένα χρονικά όρια στο πλαίσιο του εν προκειμένω άρθρου, η απόδοση του Συμβουλίου θα μπορούσε να θεωρηθεί ότι καθιστά δυνατή τη συλλογή και επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας για απεριόριστο χρονικό διάστημα.

84.

Επί πλέον, σε ορισμένα σημεία του κειμένου το Συμβούλιο αποδυναμώνει τις ρήτρες προστασίας της ιδιωτικής ζωής, παρέχοντας τη δυνατότητα να διευρυνθεί η διατύπωση. Η αναφορά π.χ. στο «έννομο συμφέρον του υπεύθυνου της επεξεργασίας» έχει απαλειφεί, γεννώντας έτσι αμφιβολίες όσον αφορά τον τύπο φορέων που θα μπορούν να επωφελούνται της εξαίρεσης αυτής. Το παράθυρο προ πάντων για να εκμεταλλευθούν τυχόν χρήστες ή φορείς την τροποποίηση αυτή πρέπει να παραμείνει κλειστό.

85.

Οι πρόσφατες εμπειρίες του ΕΚ και του Συμβουλίου καταδεικνύουν πόσο δύσκολο είναι να οριστούν δια νόμου η έκταση και οι προϋποθέσεις βάσει των οποίων μπορεί να διενεργείται με σύννομο τρόπο η επεξεργασία δεδομένων χάριν της ασφάλειας. Προφανώς κανένα άρθρο, υφιστάμενο ή μελλοντικό, δεν θα μπορέσει να εξαλείψει τους πασιφανείς κινδύνους μιας υπερβολικά ευρείας εφαρμογής της εξαίρεσης για λόγους που δεν άπτονται αμιγώς της ασφάλειας ή από φορείς που δεν θα έπρεπε να υπάγονται στην εξαίρεση. Αυτό δεν σημαίνει ότι δεν υπάρχουν περιπτώσεις όπου θα πρέπει να γίνεται αυτή η επεξεργασία. Όμως, το κατά πόσο και σε ποιο βαθμό πρέπει να γίνει μπορεί να εκτιμηθεί καλύτερα στο πλαίσιο της εφαρμογής. Οι φορείς που επιθυμούν να επιδίδονται στην επεξεργασία αυτή θα πρέπει να συζητήσουν τα του πεδίου εφαρμογής και των προϋποθέσεων με τις αρχές προστασίας προσωπικών δεδομένων και ει δυνατόν με την Ομάδα του Άρθρου 29. Μια άλλη λύση θα ήταν να περιλαμβάνει η οδηγία για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών ένα άρθρο που να επιτρέπει την επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας υπό την προϋπόθεση ρητής εξουσιοδότησης από τις αρχές προστασίας προσωπικών δεδομένων.

86.

Έχοντας κατά νου αφ’ ενός μεν τους κινδύνους που γεννά το άρθρο 6 παρ. 6α για τα θεμελιώδη δικαιώματα της προστασίας των δεδομένων και της ιδιωτικής ζωής των φυσικών προσώπων, αφ’ ετέρου δε το γεγονός ότι όπως εξηγείται στη γνωμοδότησή αυτή το άρθρο αυτό περιττεύει από νομική άποψη, ο ΕΕΠΔ καταλήγει στο συμπέρασμα ότι το καλύτερο θα είναι να απαλειφθεί εντελώς το προτεινόμενο άρθρο 6 παρ. 6α.

87.

Εάν τυχόν και παρά τη σύσταση του ΕΕΠΔ εγκριθεί κείμενο που ακολουθεί μια από τις τρέχουσες διατυπώσεις του άρθρου 6 παρ. 6α, θα πρέπει οπωσδήποτε να συμπεριλαμβάνει τις διασφαλίσεις προστασίας των δεδομένων που συζητούνται ανωτέρω. Θα πρέπει επίσης να ενσωματώνεται με τον σωστό τρόπο στη διάρθρωση του άρθρου 6, κατά προτίμηση ως νέα παράγραφος 2α.

88.

Το ΕΚ ενέκρινε την τροπολογία 133 που παρέχει στους παρόχους πρόσβασης στο Διαδίκτυο και σε άλλα νομικά πρόσωπα όπως οι ενώσεις καταναλωτών τη δυνατότητα να ασκούν ένδικα βοηθήματα κατά της παραβίασης οποιασδήποτε διάταξης της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών (19). Δυστυχώς ούτε η Επιτροπή ούτε το Συμβούλιο την δέχθηκε. Ο ΕΕΠΔ φρονεί ότι η τροπολογία αυτή είναι πολύ θετική και συνιστά να διατηρηθεί.

89.

Για να κατανοηθεί η σημασία αυτής της τροπολογίας, θα πρέπει να γίνει αντιληπτό ότι στον τομέα της προστασίας της ιδιωτικής ζωής και των δεδομένων η βλάβη που υφίσταται ένα πρόσωπο, θεωρούμενη αυτοτελώς, κατά κανόνα δεν αρκεί για να προσφύγει το πρόσωπο αυτό στα δικαστήρια. Συνήθως τα φυσικά πρόσωπα δεν προσφεύγουν στα δικαστήρια επειδή έλαβαν ανεπίκλητα μηνύματα ή επειδή το όνομά τους προστέθηκε κατά λάθος σε κάποιον κατάλογο. Η τροπολογία αυτή θα επιτρέπει σε ενώσεις καταναλωτών και συνδικαλιστικές οργανώσεις που εκπροσωπούν συλλογικά τα συμφέροντα των καταναλωτών να ασκούν ένδικα βοηθήματα εξ ονόματός τους ενώπιον των δικαστηρίων. Ένα ευρύτερο φάσμα μηχανισμών επιβολής του νόμου ενδέχεται επίσης να υποθάλψει μεγαλύτερο βαθμό συμμόρφωσης και να αποβεί ως εκ τούτου υπέρ της αποτελεσματικής εφαρμογής των διατάξεων της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών.

90.

Το νομικό πλαίσιο ορισμένων κρατών μελών διαθέτει προηγούμενα που ήδη προβλέπουν τη δυνατότητα συλλογικής προσφυγής στη δικαιοσύνη έτσι ώστε οι ομάδες καταναλωτών ή συμφερόντων να μπορούν να απαιτούν αποζημιώσεις από την πλευρά που προξένησε τη βλάβη.

91.

Επί πλέον, η νομοθεσία (20) ορισμένων κρατών μελών για τον ανταγωνισμό δίνει το δικαίωμα στους καταναλωτές και τις ομάδες συμφερόντων (επί πλέον του θιγομένου ανταγωνιστή) να ενάγουν την οντότητα που διέπραξε την παραβίαση. Η συλλογιστική της προσέγγισης αυτής είναι ότι οι εταιρίες που παραβαίνουν τη νομοθεσία περί ανταγωνισμού προφανώς επωφελούνται διότι οι καταναλωτές που υφίστανται περιθωριακή απλώς ζημία διστάζουν κατά κανόνα να ασκήσουν αγωγή. Η συλλογιστική αυτή μπορεί να εφαρμοστεί κατ’ αναλογίαν στον τομέα της προστασίας των δεδομένων και της ιδιωτικής ζωής.

92.

Μεγαλύτερη σημασία έχει, όπως προελέχθη, ότι η παροχή σε νομικά πρόσωπα όπως ενώσεις καταναλωτών και PPECS της δυνατότητας να ασκούν αγωγές ενισχύει τη θέση των καταναλωτών και προάγει την καθολική συμμόρφωση με τη νομοθεσία για την προστασία των δεδομένων. Όταν οι εταιρίες που διαπράττουν παραβάσεις θα αντιμετωπίζουν μεγαλύτερο κίνδυνο να τους ασκηθεί αγωγή, θα επιδιώκουν προφανώς να συμμορφωθούν περισσότερο με τη νομοθεσία για την προστασία των δεδομένων, πράγμα που μακροπρόθεσμα θα ανυψώσει το επίπεδο προστασίας της ιδιωτικής ζωής και των καταναλωτών. Για όλους αυτούς τους λόγους ο ΕΕΠΔ καλεί το ΕΚ και το Συμβούλιο να θεσπίσουν διάταξη με την οποία τα νομικά πρόσωπα θα μπορούν να ασκούν ένδικα μέσα κατά παραβιάσεων οποιασδήποτε διάταξης της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών.

93.

Η κοινή θέση του Συμβουλίου, η πρώτη ανάγνωση του ΕΚ και η τροποποιημένη πρόταση της Επιτροπής περιλαμβάνουν σε διάφορο βαθμό θετικά στοιχεία που θα μπορούσαν να χρησιμέψουν για να ενισχυθεί η προστασία της ιδιωτικής ζωής και των προσωπικών δεδομένων των φυσικών προσώπων.

94.

Παρ’ όλ’ αυτά ο ΕΕΠΔ πιστεύει ότι υπάρχουν περιθώρια βελτίωσης, ιδίως όσον αφορά την κοινή θέση του Συμβουλίου, η οποία ατυχώς δεν δέχθηκε ορισμένες τροπολογίες του ΕΚ που αποσκοπούν στην εξασφάλιση επαρκούς προστασίας της ιδιωτικής ζωής και των προσωπικών δεδομένων των φυσικών προσώπων. Ο ΕΕΠΔ προτρέπει το ΕΚ και το Συμβούλιο να επαναφέρουν τις διασφαλίσεις της ιδιωτικής ζωής που περιλαμβάνει η πρώτη ανάγνωση του ΕΚ.

95.

Εκτός αυτού ο ΕΕΠΔ φρονεί ότι καλό θα ήταν ορισμένες διατάξεις της οδηγίας να εξορθολογιστούν. Αυτό αληθεύει ιδίως στην περίπτωση των διατάξεων για τις παραβιάσεις της ασφάλειας, καθόσον ο ΕΕΠΔ πιστεύει ότι τα πλήρη οφέλη της κοινοποίησης των παραβιάσεων θα επιτευχθούν καλύτερα εάν το νομικό πλαίσιο καθοριστεί εξ αρχής. Τέλος, ο ΕΕΠΔ θεωρεί σκόπιμο να βελτιωθεί και να αποσαφηνιστεί η διατύπωση ορισμένων διατάξεων της οδηγίας.

96.

Υπό το πρίσμα των ανωτέρω, ο ΕΕΠΔ παροτρύνει το ΕΚ και το Συμβούλιο να εντείνουν τις προσπάθειες για βελτίωση και αποσαφήνιση ορισμένων διατάξεων της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών, ταυτόχρονα δε να επαναφέρουν σε ισχύ τις τροπολογίες που ενέκρινε σε πρώτη ανάγνωση το ΕΚ με σκοπό την παροχή του προσήκοντος επιπέδου προστασίας της ιδιωτικής ζωής και των δεδομένων. Χάριν αυτού του σκοπού, τα σημεία 97, 98, 99 και 100 κατωτέρω συνοψίζουν τα επίμαχα ζητήματα και διατυπώνουν κάποιες συστάσεις και προτάσεις διατύπωσης. Ο ΕΕΠΔ καλεί όλες τις πλευρές να τα λάβουν υπόψη κατά την πορεία της οδηγίας για την ιδιωτική ζωή στον τομέα των ηλεκτρονικών επικοινωνιών προς την έκδοση.

97.

Το Ευρωπαϊκό Κοινοβούλιο, η Επιτροπή και το Συμβούλιο ενέκριναν και οι τρεις διαφορετικές προσεγγίσεις όσον αφορά την κοινοποίηση των παραβιάσεων της ασφάλειας. Οι διαφορές μεταξύ των τριών μοντέλων εστιάζονται μεταξύ άλλων στους φορείς που έχουν υποχρέωση να κοινοποιούν, στο κριτήριο ή το γενεσιουργό αίτιο της κοινοποίησης, στα υποκείμενα των δεδομένων που έχουν δικαίωμα να λαμβάνουν κοινοποιήσεις, κλπ. Το ΕΚ και το Συμβούλιο πρέπει να καταβάλουν κάθε προσπάθεια προκειμένου να παρουσιάσουν ένα στέρεο νομοθετικό πλαίσιο για τις παραβιάσεις της ασφάλειας. Για να το επιτύχουν αυτό, το ΕΚ και το Συμβούλιο θα πρέπει:

98.

Οι υπηρεσίες επικοινωνιών τίθενται συχνά στη διάθεση του κοινού όχι μέσω δημόσιων δικτύων αλλά μέσω δικτύων που διαχειρίζονται ιδιώτες (π.χ. τα σημεία Wi Fi σε ξενοδοχεία, αερολιμένες) και τα οποία μπορεί να υποστηριχθεί ότι δεν εμπίπτουν στις διατάξεις της οδηγίας. Το ΕΚ ενέκρινε την τροπολογία 121 (άρθρο 3) με την οποία διευρύνεται το πεδίο εφαρμογής της οδηγίας ούτως ώστε να συμπεριλάβει τα δημόσια και τα ιδιωτικά δίκτυα επικοινωνιών, καθώς και τα ιδιωτικά δίκτυα στα οποία έχει πρόσβαση το κοινό. Στη συνάρτηση αυτή, το ΕΚ και το Συμβούλιο θα πρέπει:

99.

Η πρώτη ανάγνωση του ΕΚ ενέκρινε την τροπολογία 181 (άρθρο 6 παρ. 6α), με την οποία επιτρέπεται η επεξεργασία δεδομένων κίνησης χάριν της ασφάλειας. Η κοινή θέση του Συμβουλίου υιοθέτησε νέα απόδοση που αποδυναμώνει ορισμένες από τις διασφαλίσεις της προστασίας της ιδιωτικής ζωής. Εν προκειμένω ο ΕΕΠΔ συνιστά στο ΕΚ και το Συμβούλιο:

100.

Το Κοινοβούλιο ενέκρινε την τροπολογία 133 (άρθρο 13 παρ. 6) η οποία παρέχει στα νομικά πρόσωπα τη δυνατότητα να ασκούν αγωγή κατά παραβιάσεων οποιασδήποτε διάταξης της οδηγίας. Δυστυχώς το Συμβούλιο δεν διατήρησε αυτή την τροπολογία. Το Συμβούλιο και το ΕΚ θα πρέπει:

101.

Σε όλα τα ζητήματα που προαναφέρθηκαν, το ΕΚ και το Συμβούλιο πρέπει να φέρουν εις πέρας το εγχείρημα της κατάρτισης προσφυών κανόνων και διατάξεων που να είναι εφαρμόσιμοι, λειτουργικοί και να σέβονται τα δικαιώματα της ιδιωτικής ζωής και της προστασίας των δεδομένων των φυσικών προσώπων. Ο ΕΕΠΔ πιστεύει ότι τα ενδιαφερόμενα μέρη θα καταβάλουν τη μεγαλύτερη δυνατή προσπάθεια για να επιτύχουν το εγχείρημα αυτό και ευελπιστεί ότι η παρούσα γνωμοδότηση θα συμβάλει σε αυτή την προσπάθεια.