1.4.2011   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 101/20

1.

Στις 30 Σεπτεμβρίου 2010, η Επιτροπή ενέκρινε πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τον ENISA, τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (3).

2.

Ο ENISA ιδρύθηκε τον Μάρτιο του 2004 για αρχική περίοδο πέντε ετών βάσει του κανονισμού (ΕΚ) αριθ. 460/2004 (4). Το 2008, με τον κανονισμό (ΕΚ) αριθ. 1007/2008 (5) η εντολή παρατάθηκε έως τον Μάρτιο του 2012.

3.

Όπως προκύπτει από το άρθρο 1 παράγραφος 1 του κανονισμού (ΕΚ) αριθ. 460/2004, ο Οργανισμός συστάθηκε με σκοπό να εξασφαλισθεί υψηλό και ουσιαστικό επίπεδο ασφάλειας δικτύων και πληροφοριών εντός της Ένωσης, συμβάλλοντας έτσι στην ομαλή λειτουργία της εσωτερικής αγοράς.

4.

Σκοπός της πρότασης της Επιτροπής είναι ο εκσυγχρονισμός του Οργανισμού, η ενίσχυση των αρμοδιοτήτων του και η ανάθεση νέας εντολής για περίοδο πέντε ετών, η οποία θα εξασφαλίσει τη συνέχιση του Οργανισμού μετά τον Μάρτιο του 2012 (6).

5.

Νομική βάση του προτεινόμενου κανονισμού είναι το άρθρο 114 της ΣΛΕΕ (7), το οποίο αναθέτει την αρμοδιότητα στην Ένωση να εκδίδει μέτρα με στόχο την εγκαθίδρυση ή τη διασφάλιση της λειτουργίας της εσωτερικής αγοράς. Το άρθρο 114 ΣΛΕΕ διαδέχθηκε το άρθρο 95 της πρώην συνθήκης ΕΚ, στο οποίο βασίζονταν οι προηγούμενοι κανονισμοί σχετικά με τον ENISA (8).

6.

Η αιτιολογική έκθεση που συνοδεύει την πρόταση αναφέρεται στο γεγονός ότι η πρόληψη και η καταπολέμηση του εγκλήματος αποτελεί κοινή αρμοδιότητα μετά την έναρξη ισχύος της συνθήκης της Λισαβόνας. Δόθηκε έτσι η δυνατότητα στον ENISA να παίξει ρόλο πλατφόρμας για τις πτυχές που αφορούν την ασφάλεια δικτύων και πληροφοριών στην καταπολέμηση της εγκληματικότητας στον κυβερνοχώρο και να ανταλλάξει απόψεις και βέλτιστες πρακτικές με τις αρχές που είναι αρμόδιες για την άμυνα στον κυβερνοχώρο, την επιβολή του νόμου και την προστασία των δεδομένων.

7.

Μεταξύ διάφορων επιλογών, η Επιτροπή επέλεξε να προτείνει την επέκταση των καθηκόντων του ENISA και τη συμμετοχή των αρχών επιβολής του νόμου και προστασίας δεδομένων ως μελών με πλήρη δικαιώματα στη Μόνιμη Ομάδα Ενδιαφερομένων του Οργανισμού. Ο νέος κατάλογος καθηκόντων δεν περιλαμβάνει λειτουργικά καθήκοντα, αλλά επικαιροποιεί και αναδιατυπώνει τα υφιστάμενα καθήκοντα.

8.

Την 1η Οκτωβρίου 2010, η πρόταση διαβιβάσθηκε στον ΕΕΠΔ για διαβούλευση, σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001. Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι ζητήθηκε η γνώμη του στο θέμα αυτό και συνιστά να γίνει αναφορά στην εν λόγω διαβούλευση στις αιτιολογικές σκέψεις της πρότασης, όπως γίνεται συνήθως σε νομικά κείμενα στα οποία ζητήθηκε η γνώμη του ΕΕΠΔ σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 45/2001.

9.

Πριν από την έγκριση της πρότασης, ζητήθηκε άτυπα η γνώμη του ΕΕΠΔ, ο οποίος διατύπωσε διάφορες άτυπες παρατηρήσεις. Ωστόσο, καμία από τις παρατηρήσεις αυτές δεν λήφθηκε υπόψη στην τελική έκδοση της πρότασης.

10.

Ο ΕΕΠΔ υπογραμμίζει ότι η ασφάλεια της επεξεργασίας δεδομένων αποτελεί κρίσιμο στοιχείο της προστασίας των δεδομένων (9). Συναφώς, εκφράζει την ικανοποίησή του για τον σκοπό της πρότασης να ενισχύσει τις αρμοδιότητες του Οργανισμού, ώστε να μπορεί να εκτελεί πιο αποτελεσματικά τα τρέχοντα καθήκοντα και τις αρμοδιότητές του επεκτείνοντας ταυτόχρονα το πεδίο της δραστηριότητάς του. Επιπλέον, ο ΕΕΠΔ χαιρετίζει τη συμπερίληψη των αρχών προστασίας δεδομένων και επιβολής του νόμου ως ενδιαφερομένων με πλήρη δικαιώματα. Θεωρεί ότι η παράταση της εντολής του ENISA παροτρύνει την επαγγελματική και ορθολογική διαχείριση των μέτρων ασφάλειας για τα συστήματα πληροφοριών σε ευρωπαϊκό επίπεδο.

11.

Η συνολική αξιολόγηση της πρότασης είναι θετική. Ωστόσο, σε αρκετά σημεία ο προτεινόμενος κανονισμός δεν είναι σαφής ή εμφανίζει ελλείψεις, πράγμα που εγείρει ανησυχίες όσον αφορά την προστασία των δεδομένων. Τα προβλήματα αυτά εξηγούνται και εξετάζονται στην επόμενη ενότητα της παρούσας γνωμοδότησης.

12.

Τα διευρυμένα καθήκοντα του Οργανισμού, τα οποία αφορούν τη συμμετοχή των αρχών επιβολής του νομού και προστασίας δεδομένων, διατυπώνονται με πολύ γενικό τρόπο στο άρθρο 3 της πρότασης. Η αιτιολογική έκθεση είναι σαφέστερη ως προς το θέμα αυτό. Αναφέρεται στη διάδραση του ENISA με τις αρχές επιβολής του νόμου για την καταπολέμηση της εγκληματικότητας στον κυβερνοχώρο και στην εκτέλεση μη λειτουργικών καθηκόντων στο πλαίσιο αυτό. Ωστόσο, τα εν λόγω καθήκοντα δεν αναφέρονται ή αναφέρονται μόνον με πολύ γενικούς όρους στο άρθρο 3.

13.

Για την αποφυγή κάθε ανασφάλειας δικαίου, ο προτεινόμενος κανονισμός πρέπει να είναι σαφής και συγκεκριμένος όσον αφορά τα καθήκοντα του ENISA. Όπως προαναφέρθηκε, η ασφάλεια της προστασίας δεδομένων είναι καθοριστικό στοιχείο της προστασίας δεδομένων. Ο ENISA θα διαδραματίζει ολοένα και σημαντικότερο ρόλο στον συγκεκριμένο τομέα. Πολίτες, θεσμικά όργανα και φορείς πρέπει να γνωρίζουν επακριβώς το είδος των δραστηριοτήτων που θα αναλάβει ο ENISA. Η διάσταση αυτή αποκτά ακόμη μεγαλύτερη σημασία εάν τα διευρυμένα καθήκοντα του ENISA περιλαμβάνουν την επεξεργασία προσωπικών δεδομένων (βλ. σημεία 17-20 κατωτέρω).

14.

Το άρθρο 3 παράγραφος 1 στοιχείο ια) της πρότασης ορίζει ότι ο Οργανισμός εκτελεί κάθε άλλο καθήκον που ανατίθεται στον Οργανισμό από άλλη νομοθετική πράξη της Ένωσης. Ο ΕΕΠΔ εκφράζει τον προβληματισμό του για την αόριστη αυτή διάταξη, καθώς δημιουργεί δυνητικό κενό, το οποίο μπορεί να επηρεάσει τη συνοχή της νομικής πράξης και μπορεί να οδηγήσει σε «υφέρπουσα διεύρυνση των λειτουργιών» του Οργανισμού.

15.

Ένα από τα καθήκοντα που αναφέρονται στο άρθρο 3 παράγραφος 1 στοιχείο ια) της πρότασης περιέχεται στην οδηγία 2002/58/ΕΚ (10). Προβλέπεται ότι η Επιτροπή υποχρεούται να συμβουλεύεται τον Οργανισμό για τυχόν τεχνικά μέτρα εφαρμογής που ισχύουν για τις κοινοποιήσεις στο πλαίσιο παραβιάσεων δεδομένων. Ο ΕΕΠΔ συνιστά να περιγραφεί λεπτομερέστερα η συγκεκριμένη δραστηριότητα του Οργανισμού, περιορίζοντάς την ταυτόχρονα στον τομέα της ασφάλειας. Δεδομένου του δυνητικού αντίκτυπου του ENISA στην ανάπτυξη πολιτικής στον συγκεκριμένο τομέα, η εν λόγω δραστηριότητα πρέπει να αποκτήσει σαφέστερη και πιο προβεβλημένη θέση στον προτεινόμενο κανονισμό.

16.

Επιπλέον, ο ΕΕΠΔ συνιστά τη συμπερίληψη αναφοράς στην οδηγία 1999/5/ΕΚ (11) αιτιολογική σκέψη 21, λαμβάνοντας υπόψη το ιδιαίτερο καθήκον του ENISA, το οποίο αναφέρεται στο άρθρο 3 παράγραφος 1 στοιχείο γ) της παρούσας πρότασης, να συνδράμει τα κράτη μέλη και τα ευρωπαϊκά θεσμικά όργανα και φορείς στις προσπάθειές τους να συλλέξουν, να αναλύσουν και να διαδώσουν δεδομένα σχετικά με την ασφάλεια δικτύων και πληροφοριών. Αυτό θα ενισχύσει τις δράσεις προώθησης του ENISA όσον αφορά τις βέλτιστες πρακτικές και τεχνικές ασφάλειας δικτύων και πληροφοριών, καθώς θα καταδείξει καλύτερα τις ενδεχόμενες εποικοδομητικές αλληλεπιδράσεις μεταξύ του Οργανισμού και των φορέων τυποποίησης.

17.

Στην πρόταση δεν διευκρινίζεται κατά πόσον τα καθήκοντα που ανατίθενται στον Οργανισμό μπορούν να περιλαμβάνουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Επομένως, η πρόταση δεν περιέχει ειδική νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 5 του κανονισμού (ΕΚ) αριθ. 45/2001.

18.

Ωστόσο, μερικά από τα καθήκοντα που ανατίθενται στον Οργανισμό μπορεί να περιλαμβάνουν (τουλάχιστον σε κάποιον βαθμό) την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Για παράδειγμα, δεν αποκλείεται η ανάλυση περιστατικών ασφάλειας και παραβιάσεων δεδομένων ή η εκτέλεση μη λειτουργικών καθηκόντων στο πλαίσιο της καταπολέμησης της εγκληματικότητας στον κυβερνοχώρο να περιλαμβάνουν τη συλλογή και την ανάλυση δεδομένων προσωπικού χαρακτήρα.

19.

Στην αιτιολογική σκέψη 9 της πρότασης γίνεται παραπομπή στις διατάξεις της οδηγίας 2002/21/ΕΚ (12), η οποία ορίζει ότι, όπου αρμόζει, οι εθνικές κανονιστικές αρχές ενημερώνουν τον Οργανισμό σε περίπτωση παραβιάσεων της ασφάλειας. Ο ΕΕΠΔ συνιστά να καταστεί η πρόταση λεπτομερέστερη όσον αφορά τις κοινοποιήσεις που πρέπει να αποστέλλονται στον ENISA και όσον αφορά τον τρόπο απόκρισης του ENISA σε αυτές. Ομοίως, η πρόταση πρέπει να εξετάζει τις συνέπειες από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, οι οποίες ενδέχεται να προκύπτουν από την ανάλυση τέτοιων κοινοποιήσεων (εφόσον συντρέχει περίπτωση).

20.

Ο ΕΕΠΔ καλεί τον νομοθέτη να αποσαφηνίσει κατά πόσον οποιεσδήποτε από τις δραστηριότητες του ENISA που απαριθμούνται στο άρθρο 3 θα περιλαμβάνουν επεξεργασία δεδομένων προσωπικού χαρακτήρα, και εάν ναι ποιες.

21.

Παρότι ο ENISA διαδραματίζει σημαντικό ρόλο στη συζήτηση περί ασφάλειας δικτύων και πληροφοριών στην Ευρώπη, η πρόταση δεν κάνει ουσιαστικά καμία αναφορά στη θέσπιση μέτρων ασφάλειας για τον ίδιο τον Οργανισμό (σχετικών ή μη με την επεξεργασία δεδομένων προσωπικού χαρακτήρα).

22.

Ο ΕΕΠΔ φρονεί ότι ο Οργανισμός θα είναι σε ακόμη καλύτερη θέση για να προωθήσει ορθές πρακτικές σε σχέση με την ασφάλεια της επεξεργασίας δεδομένων, εάν τέτοια μέτρα ασφάλειας εφαρμόζονται με αυστηρότητα εσωτερικά από τον ίδιο τον Οργανισμό. Κάτι τέτοιο θα προωθήσει την αναγνώριση του Οργανισμού όχι μόνον ως κέντρου εμπειρογνωμοσύνης, αλλά και ως σημείου αναφοράς στην πρακτική εφαρμογή βέλτιστων διαθέσιμων τεχνικών (ΒΔΤ) στον τομέα της ασφάλειας. Επομένως, η συνεχής επιδίωξη αριστείας στην εφαρμογή πρακτικών ασφάλειας πρέπει να ενσωματωθεί στον κανονισμό που διέπει τις λειτουργικές διαδικασίες του Οργανισμού. Ως εκ τούτου, ο ΕΕΠΔ συνιστά την προσθήκη στην πρόταση μιας διάταξης στο πνεύμα αυτό απαιτώντας, για παράδειγμα, την εφαρμογή από τον Οργανισμό βέλτιστων διαθέσιμων τεχνικών, δηλαδή των πλέον αποτελεσματικών και προηγμένων διαδικασιών ασφάλειας και των μεθόδων λειτουργίας τους.

23.

Η προσέγγιση αυτή θα επιτρέψει στον Οργανισμό να παρέχει συμβουλές σχετικά με την πρακτική καταλληλότητα συγκεκριμένων τεχνικών για την παροχή των απαιτούμενων διασφαλίσεων ασφάλειας. Επιπλέον, η εφαρμογή των εν λόγω ΒΔΤ θα δώσει προτεραιότητα σε εκείνες που επιτρέπουν να διασφαλίζεται η ασφάλεια, ελαχιστοποιώντας ταυτόχρονα κατά το δυνατόν τις συνέπειες στην ιδιωτική ζωή. Πρέπει να επιλέγονται οι τεχνικές οι οποίες συνάδουν περισσότερο με την έννοια της «προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό».

24.

Ακόμη και εάν υιοθετηθεί μια λιγότερο φιλόδοξη προσέγγιση, ο ΕΕΠΔ συνιστά να περιέχει ο κανονισμός, κατ’ ελάχιστον, τις ακόλουθες απαιτήσεις: i) την ανάπτυξη μιας πολιτικής εσωτερικής ασφάλειας κατόπιν συνολικής αξιολόγησης των κινδύνων και λαμβάνοντας υπόψη διεθνή πρότυπα και βέλτιστες πρακτικές στα κράτη μέλη, ii) τον διορισμό υπαλλήλου ασφάλειας επιφορτισμένου με την εφαρμογή της πολιτικής, ο οποίος θα διαθέτει κατάλληλους πόρους και εξουσία, iii) την έγκριση της εν λόγω πολιτικής κατόπιν προσεκτικής εξέτασης του εναπομένοντος κινδύνου και των ελέγχων που προτείνονται από το Διοικητικό Συμβούλιο, και iv) την περιοδική επανεξέταση της πολιτικής με σαφή αναφορά στο επιλεγέν χρονικό πλαίσιο περιοδικότητας της επανεξέτασης και στους στόχους της επανεξέτασης.

25.

Όπως προαναφέρθηκε, ο ΕΕΠΔ εκφράζει την ικανοποίησή του για την παράταση της εντολής του Οργανισμού και πιστεύει ότι οι αρχές προστασίας δεδομένων μπορούν να επωφεληθούν τα μέγιστα από την ύπαρξη του Οργανισμού (και ο Οργανισμός από την εμπειρογνωμοσύνη των εν λόγω αρχών). Δεδομένης της φυσικής και εννοιολογικής σύγκλισης μεταξύ ασφάλειας και προστασίας των δεδομένων, ο Οργανισμός και οι αρχές προστασίας δεδομένων καλούνται, πράγματι, να συνεργασθούν στενά.

26.

Στις αιτιολογικές σκέψεις 24 και 25 περιέχεται αναφορά σε προτεινόμενη οδηγία της ΕΕ σχετικά με την εγκληματικότητα στον κυβερνοχώρο και αναφέρεται ότι ο Οργανισμός πρέπει να έρχεται σε επαφή με τα όργανα επιβολής του νόμου και με τις αρχές προστασίας δεδομένων σε σχέση με τις πτυχές ασφάλειας των πληροφοριών στην καταπολέμηση της εγκληματικότητας στον κυβερνοχώρο (13).

27.

Η πρόταση πρέπει να προβλέπει επίσης συγκεκριμένους διαύλους και μηχανισμούς συνεργασίας, οι οποίοι i) θα διασφαλίζουν τη συνοχή των δραστηριοτήτων του Οργανισμού με εκείνες των αρχών προστασίας δεδομένων, και ii) θα επιτρέπουν στενή συνεργασία μεταξύ του Οργανισμού και των αρχών προστασίας δεδομένων.

28.

Όσον αφορά τη συνοχή, στην αιτιολογική σκέψη 27 γίνεται ρητή αναφορά στο γεγονός ότι τα καθήκοντα του Οργανισμού δεν πρέπει να συγκρούονται με εκείνα των αρχών προστασίας δεδομένων των κρατών μελών. Ο ΕΕΠΔ χαιρετίζει τη συγκεκριμένη αναφορά, αλλά σημειώνει ότι δεν γίνεται καμία αναφορά στον ΕΕΠΔ και στην ομάδα εργασίας του άρθρου 29. Ο ΕΕΠΔ συνιστά στον νομοθέτη να περιλάβει επίσης στην πρόταση παρόμοια διάταξη μη παρέμβασης όσον αφορά τις δύο αυτές οντότητες. Με τον τρόπο αυτό θα δημιουργηθεί ένα σαφέστερο περιβάλλον εργασίας για όλα τα μέρη και θα καθορισθούν οι δίαυλοι και οι μηχανισμοί συνεργασίας που θα επιτρέψουν στον Οργανισμό να συνδράμει τις διάφορες αρχές προστασίας δεδομένων και την ομάδα εργασίας του άρθρου 29.

29.

Ως εκ τούτου, όσον αφορά τη στενή συνεργασία, ο ΕΕΠΔ χαιρετίζει τη συμπερίληψη αντιπροσωπείας των αρχών προστασίας δεδομένων στη Μόνιμη Ομάδα Ενδιαφερομένων, η οποία θα συμβουλεύει τον Οργανισμό κατά την εκτέλεση των δραστηριοτήτων του. Συνιστά να αναφέρεται ρητώς ότι η εν λόγω αντιπροσωπεία των εθνικών αρχών προστασίας δεδομένων πρέπει να διορίζεται από τον Οργανισμό βάσει πρότασης της ομάδας εργασίας του άρθρου 29. Επίσης, ο ΕΕΠΔ θα εκτιμούσε τη συμπερίληψη μιας διάταξης η οποία θα προβλέπει την παρουσία του ΕΕΠΔ στις συσκέψεις εκείνες στις οποίες πρόκειται να συζητηθούν ζητήματα τα οποία παρουσιάζουν ενδιαφέρον για τη συνεργασία με τον ΕΕΠΔ. Επιπλέον, ο ΕΕΠΔ συνιστά τη σύσταση από τον Οργανισμό (κατόπιν γνωμοδότησης της Μόνιμης Ομάδας Ενδιαφερομένων και με την έγκριση του Διοικητικού Συμβουλίου) ad hoc ομάδων εργασίας για τα διάφορα θέματα στα οποία υπάρχει αλληλοεπικάλυψη προστασίας δεδομένων και ασφάλειας, για τη θεσμοθέτηση αυτής της προσπάθειας στενής συνεργασίας.

30.

Τέλος, για την αποφυγή τυχόν παρανοήσεων, ο ΕΕΠΔ συνιστά τη χρήση του όρου «αρχές προστασίας δεδομένων» αντί του όρου «αρχές προστασίας της ιδιωτικής ζωής» και τον προσδιορισμό των εν λόγω αρχών διά παραπομπής στο άρθρο 28 της οδηγίας 95/46/ΕΚ και στον ΕΕΠΔ όπως προβλέπεται στο κεφάλαιο V του κανονισμού (ΕΚ) αριθ. 45/2001.

31.

Ο ΕΕΠΔ επισημαίνει μια αναντιστοιχία στον προτεινόμενο κανονισμό όσον αφορά το ποιος μπορεί να ζητήσει συνδρομή από τον ENISA. Από τις αιτιολογικές σκέψεις 7, 15, 16, 18 και 36 της πρότασης προκύπτει ότι ο ENISA μπορεί να συνδράμει οργανισμούς των κρατών μελών και την Ένωση στο σύνολό της. Ωστόσο, το άρθρο 2 παράγραφος 1 αναφέρεται μόνον στην Επιτροπή και στα κράτη μέλη, ενώ το άρθρο 14 περιορίζει τη δυνατότητα υποβολής αιτημάτων συνδρομής: i) στο Ευρωπαϊκό Κοινοβούλιο, ii) στο Συμβούλιο, iii) στην Επιτροπή και iv) σε οποιονδήποτε αρμόδιο φορέα που ορίζεται από κράτος μέλος, παραλείποντας ορισμένα από τα θεσμικά όργανα, τους φορείς, τους οργανισμούς και τα γραφεία της Ένωσης.

32.

Το άρθρο 3 της πρότασης είναι πιο συγκεκριμένο και προβλέπει διαφορετικούς τύπους συνδρομής ανάλογα με το είδος των δικαιούχων: i) συλλογή και ανάλυση δεδομένων ασφάλειας πληροφοριών (στην περίπτωση των κρατών μελών και των ευρωπαϊκών θεσμικών οργάνων και φορέων), ii) ανάλυση της κατάστασης όσον αφορά την ασφάλεια δικτύων και πληροφοριών στην Ευρώπη (στην περίπτωση κρατών μελών και των ευρωπαϊκών θεσμικών οργάνων), iii) προώθηση της χρήσης ορθών πρακτικών και προτύπων διαχείρισης κινδύνου και ασφάλειας (σε ολόκληρη την Ένωση και τα κράτη μέλη), iv) ανάπτυξη μέσων για τον εντοπισμό θεμάτων ασφάλειας δικτύων και πληροφοριών (στα ευρωπαϊκά θεσμικά όργανα και στους φορείς) και v) συνεργασία στον διάλογο και συνεργασία με τρίτες χώρες (στην περίπτωση της Ένωσης).

33.

Ο ΕΕΠΔ καλεί τον νομοθέτη να διορθώσει τη συγκεκριμένη αναντιστοιχία και να εναρμονίσει τις προαναφερθείσες διατάξεις. Συναφώς, ο ΕΕΠΔ συνιστά την τροποποίηση του άρθρου 14 κατά τρόπο ώστε να περιλαμβάνει πραγματικά όλα τα θεσμικά όργανα, τους φορείς, τα γραφεία και τους οργανισμούς της Ένωσης και να καταστεί σαφές το είδος συνδρομής που μπορούν να ζητήσουν οι διάφορες οντότητες της Ένωσης (στην περίπτωση που το ενδεχόμενο μιας τέτοιας διαφοροποίησης εξετάζεται από τον νομοθέτη). Στο ίδιο πνεύμα, συνιστάται να μπορούν ορισμένες δημόσιες και ιδιωτικές οντότητες να ζητούν συνδρομή από τον Οργανισμό, εάν η ζητούμενη στήριξη παρουσιάζει σαφές ενδιαφέρον από ευρωπαϊκή οπτική και εναρμονίζεται με τους στόχους του Οργανισμού.

34.

Στην αιτιολογική έκθεση προβλέπονται ενισχυμένες αρμοδιότητες για το Διοικητικό Συμβούλιο όσον αφορά τον εποπτικό του ρόλο. Ο ΕΕΠΔ χαιρετίζει την ενίσχυση του ρόλου του Διοικητικού Συμβουλίου και συνιστά να περιληφθούν στα καθήκοντά του διάφορες πτυχές που αφορούν την προστασία των δεδομένων. Επιπλέον, ο ΕΕΠΔ συνιστά να προσδιορίζεται ρητώς στον κανονισμό ποιος δικαιούται: i) να θεσπίζει μέτρα για την εφαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001 από τον Οργανισμό, συμπεριλαμβανομένων εκείνων που αφορούν τον διορισμό υπευθύνου για την προστασία των δεδομένων, ii) να εγκρίνει την πολιτική ασφάλειας και τις επακόλουθες περιοδικές αναθεωρήσεις, και iii) να καθορίζει το πρωτόκολλο συνεργασίας με τις αρχές προστασίας δεδομένων και επιβολής του νόμου.

35.

Παρότι αυτό απαιτείται ήδη από τον κανονισμό (ΕΚ) αριθ. 45/2001, ο ΕΕΠΔ εισηγείται να περιληφθεί στο άρθρο 27 ο διορισμός του υπευθύνου για την προστασία των δεδομένων, καθώς κάτι τέτοιο έχει ιδιαίτερη σημασία και πρέπει να συνοδεύεται από την άμεση θέσπιση των κανόνων εφαρμογής όσον αφορά το πεδίο των εξουσιών και των καθηκόντων που θα ανατεθούν στον υπεύθυνο για την προστασία των δεδομένων σύμφωνα με το άρθρο 24 παράγραφος 8 του κανονισμού (ΕΚ) αριθ. 45/2001. Ειδικότερα, το άρθρο 27 μπορεί να διατυπωθεί ως ακολούθως:

36.

Εάν απαιτείται ειδική νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως αναφέρεται στα σημεία 17-20 ανωτέρω, πρέπει επίσης να προβλέπονται διευκρινίσεις όσον αφορά τις αναγκαίες και κατάλληλες διασφαλίσεις, τους περιορισμούς και τις προϋποθέσεις υπό τις οποίες μπορεί να πραγματοποιηθεί η εν λόγω επεξεργασία.

37.

Η συνολική αξιολόγηση της πρότασης είναι θετική και ο ΕΕΠΔ χαιρετίζει την παράταση της εντολής του Οργανισμού και την επέκταση των καθηκόντων του με τη συμπερίληψη των αρχών προστασίας δεδομένων και επιβολής του νόμου ως ενδιαφερομένων με πλήρη δικαιώματα. Ο ΕΕΠΔ θεωρεί ότι η συνέχιση του Οργανισμού θα παροτρύνει την επαγγελματική και ορθολογική διαχείριση των μέτρων ασφάλειας για τα συστήματα πληροφοριών σε ευρωπαϊκό επίπεδο.

38.

Για την αποφυγή κάθε ανασφάλειας δικαίου, ο ΕΕΠΔ συνιστά την αποσαφήνιση της πρότασης όσον αφορά την επέκταση των καθηκόντων του Οργανισμού και ιδίως εκείνων που αφορούν τη συμμετοχή αρχών επιβολής του νόμου και προστασίας δεδομένων. Επίσης, ο ΕΕΠΔ εφιστά την προσοχή στο κενό που μπορεί να δημιουργηθεί από τη συμπερίληψη στην πρόταση μιας διάταξης η οποία επιτρέπει την προσθήκη νέων καθηκόντων στον Οργανισμό από οποιαδήποτε άλλη νομοθετική πράξη της Ένωσης χωρίς κανέναν πρόσθετο περιορισμό.

39.

Ο ΕΕΠΔ καλεί τον νομοθέτη να αποσαφηνίσει κατά πόσον οι δραστηριότητες του ENISA θα περιλαμβάνουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και, εάν ναι, ποιες θα είναι αυτές.

40.

Ο ΕΕΠΔ συνιστά τη συμπερίληψη διατάξεων σχετικά με τη θέσπιση μιας πολιτικής ασφάλειας για τον ίδιο τον Οργανισμό, με σκοπό την ενίσχυση του ρόλου του Οργανισμού όσον αφορά την επιδίωξη αριστείας σε πρακτικές ασφάλειας και την προώθηση της προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό συνδυάζοντας τη χρήση βέλτιστων διαθέσιμων τεχνικών σε θέματα ασφάλειας με τον σεβασμό των δικαιωμάτων προστασίας των δεδομένων προσωπικού χαρακτήρα.

41.

Οι δίαυλοι συνεργασίας με τις αρχές προστασίας δεδομένων, συμπεριλαμβανομένου του ΕΕΠΔ και της ομάδας εργασίας του άρθρου 29, πρέπει να καθορισθούν καλύτερα με στόχο τη διασφάλιση συνοχής και στενής συνεργασίας.

42.

Ο ΕΕΠΔ καλεί τον νομοθέτη να άρει μερικές αναντιστοιχίες όσον αφορά τους περιορισμούς που αναφέρονται στο άρθρο 14 σχετικά με τη δυνατότητα υποβολής αιτήματος συνδρομής στον Οργανισμό. Ειδικότερα, ο ΕΕΠΔ συνιστά την παραίτηση από όλους αυτούς τους περιορισμούς και την παροχή της δυνατότητας σε όλα τα θεσμικά όργανα, τους φορείς, τους οργανισμούς και τα γραφεία της Ένωσης να ζητούν τη συνδρομή του Οργανισμού.

43.

Τέλος, ο ΕΕΠΔ συνιστά τη συμπερίληψη στις διευρυμένες αρμοδιότητες του Διοικητικού Συμβουλίου μερικών συγκεκριμένων πτυχών, οι οποίες μπορούν να αυξήσουν τη βεβαιότητα ότι τηρούνται ορθές πρακτικές εντός του Οργανισμού όσον αφορά την ασφάλεια και την προστασία των δεδομένων. Μεταξύ άλλων, προτείνεται η συμπερίληψη του διορισμού υπευθύνου για την προστασία των δεδομένων και η έγκριση των μέτρων που στοχεύουν στην ορθή εφαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001.