13.10.2017   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 345/138

Εισηγήτρια:

Laure BATUT

1.1.

Η ΕΟΚΕ εκφράζει την έντονη αποδοκιμασία της για το γεγονός ότι η επικάλυψη νομικών κειμένων που αφορούν την προστασία των δεδομένων, ο όγκος τους και ο αλληλένδετος χαρακτήρας τους, καθώς και η συχνή μετάβαση από το ένα στο άλλο που απαιτείται για την κατανόησή τους, καθιστούν την αναγνωσιμότητα και την εφαρμογή τους μάλλον απίθανη πέραν ενός κύκλου μυημένων, και ότι η προστιθέμενη αξία τους δεν είναι προσπελάσιμη για τον πολίτη, μια έννοια που απουσιάζει από ολόκληρο το σχέδιο κανονισμού. Συνιστά να δημοσιευτεί στο διαδίκτυο ένα συνοπτικό φυλλάδιο που να περιγράφει τα κείμενα αυτά στο κοινό και να τα καθιστά προσιτά σε όλους.

1.2.

Η ΕΟΚΕ υπογραμμίζει ότι, από τις επιλογές που προτείνονται στην εκτίμηση των επιπτώσεων, η Επιτροπή επέλεξε εκείνη που θα ενισχύσει μετρίως την προστασία της προσωπικής ζωής. Για ποιον λόγο; Για να εξασφαλίσει μια ισορροπία με τα συμφέροντα της βιομηχανίας; Η Επιτροπή δεν διευκρινίζει ποια στοιχεία μιας «μεγαλύτερης» ενίσχυσης της ιδιωτικής ζωής θα έβλαπταν τα συμφέροντα της βιομηχανίας. Η τοποθέτηση αυτή τείνει να υποβαθμίσει τη νομοθετική πράξη ήδη από τη χάραξή της.

1.3.

Η ΕΟΚΕ συνιστά στην Επιτροπή:

2.1.

Τα ηλεκτρονικά δίκτυα επικοινωνίας έχουν εξελιχθεί σημαντικά από την έναρξη της ισχύος των οδηγιών 95/46/ΕΚ και 2002/58/ΕΚ (2) για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.

2.2.

Ο γενικός κανονισμός για την προστασία των δεδομένων (ΓΚΠΔ), ο οποίος υιοθετήθηκε το 2016 [κανονισμός (ΕΕ) 2016/679] αποτέλεσε τη βάση των δράσεων και έθεσε τις βασικές αρχές, μεταξύ άλλων σχετικά με τα δικαστικά και ποινικά δεδομένα. Βάσει του εν λόγω κανονισμού, τα προσωπικά δεδομένα μπορούν να συλλέγονταιμόνο υπό αυστηρές προϋποθέσεις, για νόμιμους σκοπούς και με τον δέοντα σεβασμό της εμπιστευτικότητας (άρθρο 5 του ΓΚΠΔ).

2.2.1.

Τον Οκτώβριο του 2016, η Επιτροπή υπέβαλε πρόταση οδηγίας για τη θέσπιση ευρωπαϊκού κώδικα ηλεκτρονικών επικοινωνιών (3) (300 σελίδων), ο οποίος δεν έχει μεν εγκριθεί ακόμη, στον οποίο όμως παραπέμπει η Επιτροπή για ορισμένους ορισμούς που δεν περιλαμβάνονται ούτε στον ΓΚΠΔ ούτε στο υπό εξέταση κείμενο.

2.2.2.

Δύο προτάσεις που υποβλήθηκαν τον Ιανουάριο του 2017 διασαφηνίζουν ορισμένες πτυχές με βάση τον ΓΚΠΔ: πρόκειται για την πρόταση κανονισμού για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης [COM(2017) 8 final, εισηγητής της σχετικής γνωμοδότησης της ΕΟΚΕ: Pegado Liz], και το υπό εξέταση κείμενο [COM(2017) 10 final] για τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα.

2.3.

Και τα τρία προαναφερθέντα κείμενα θα είναι εφαρμοστέα από την ίδια ημερομηνία, από τις 25 Μαΐου 2018, αποσκοπούν δε στην εναρμόνιση των δικαιωμάτων και των διαδικασιών ελέγχου.

2.4.

Θα πρέπει να σημειωθεί ότι, για τη διευκόλυνση της προσέγγισης αυτής, αποφασίστηκε η προσφυγή σε κανονισμό της ΕΕ για την προστασία της ιδιωτικής ζωής και όχι πλέον σε οδηγία.

3.1.

Η κοινωνία πολιτών θα ήθελε να γνωρίζει εάν, στον πλήρως ψηφιακό κόσμο που διαγράφεται, η Ένωση μπορεί να προσφέρει προστιθέμενη αξία διασφαλίζοντας χώρους όπου η ιδιωτική ζωή μπορεί να αναπτύσσεται χωρίς φόβο.

3.2.

Τα συνεχώς παραγόμενα δεδομένα καθιστούν όλους τους χρήστες ανιχνεύσιμους και αναγνωρίσιμους παντού. Η επεξεργασία των δεδομένων σε κέντρα που γεωγραφικά βρίσκονται κυρίως εκτός Ευρώπης εγείρει φόβους.

3.3.

Τα μαζικά δεδομένα έχουν καταστεί ένα είδος νομίσματος: επιτρέπουν, μέσω της έξυπνης επεξεργασίας τους, την «κατάρτιση προφίλ», την «εμπορευματοποίηση» φυσικών και νομικών προσώπων, την άντληση κέρδους συχνά εν αγνοία των χρηστών.

3.4.

Κυρίως, όμως, η ανάδειξη νέων πρωταγωνιστών στον κλάδο της επεξεργασίας των δεδομένων, εκτός των παρόχων υπηρεσιών διαδικτύου, θα πρέπει να οδηγήσει σε αναθεώρηση της νομοθεσίας.

4.1.

Με την υπό εξέταση πράξη, η Επιτροπή επιθυμεί να καθιερώσει μια ισορροπία μεταξύ καταναλωτών και βιομηχανίας:

4.2.

Η πρόταση αποσκοπεί στην ανάπτυξη του ΓΚΠΔ —ο οποίος έχει γενική ισχύ, όπως επίσης και το απόρρητο των προσωπικών δεδομένων και το δικαίωμα διαγραφής—, αφορά δε τη συγκεκριμένη πτυχή του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες· προτείνει τη θέσπιση απαιτητικότερων κανόνων για την προστασία της ιδιωτικής ζωής, καθώς και συντονισμένων ελέγχων και κυρώσεων.

4.3.

Δεν προβλέπει ειδικά μέτρα όσον αφορά τα «ρήγματα» στην προστασία των προσωπικών δεδομένων που οφείλονται στους ίδιους τους χρήστες, επιβεβαιώνει όμως από τα πρώτα ήδη άρθρα (άρθρο 5) την αρχή του απορρήτου των ηλεκτρονικών επικοινωνιών.

4.4.

Οι πάροχοι μπορούν να προβαίνουν στην επεξεργασία περιεχομένου ηλεκτρονικών επικοινωνιών:

4.5.

Είναι υποχρεωμένοι να διαγράφουν ή να καθιστούν ανώνυμο το περιεχόμενο μετά τη λήψη από τον παραλήπτη του.

4.6.

Σύμφωνα με το άρθρο 4 σημείο 11) του ΓΚΠΔ, η «συγκατάθεση» του υποκειμένου των δεδομένων αντιστοιχεί σε κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.

4.7.

Το υπό εξέταση σχέδιο διατηρεί την απαίτηση της ρητά εκφρασθείσας συγκατάθεσης, όπως αυτή ορίζεται από τον ΓΚΠΔ, με τους φορείς εκμετάλλευσης να φέρουν το βάρος της απόδειξης.

4.8.

Η «επεξεργασία» γίνεται με βάση την εν λόγω συγκατάθεση. Ο υπεύθυνος επεξεργασίας πρέπει να είναι «σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα» (άρθρο 7 παράγραφος 1 του ΓΚΠΔ).

4.9.

Το δίκαιο της ΕΕ ή το εθνικό δίκαιο μπορούν να επιφέρουν ορισμένους περιορισμούς (των υποχρεώσεων και των δικαιωμάτων) σχετικά με το απόρρητο, για τη διασφάλιση δημοσίου συμφέροντος ή για λόγους επιθεώρησης.

4.10.

Τα φυσικά πρόσωπα πρέπει να έχουν δώσει τη συγκατάθεσή τους για να συμπεριληφθούν σε ηλεκτρονικό κατάλογο διαθέσιμο στο κοινό, και να διαθέτουν τα απαραίτητα μέσα επαλήθευσης και διόρθωσης των δεδομένων που τα αφορούν (άρθρο 15).

4.11.

Προβλέπεται δικαίωμα αντίταξης, το οποίο επιτρέπει σε κάθε χρήστη να αποκλείει τη χρήση των δεδομένων του όταν τα εμπιστεύεται σε τρίτους (π.χ. σε έναν έμπορο), και στη συνέχεια κατά την αποστολή κάθε μηνύματος (άρθρο 16). Οι καινούριοι κανόνες θα δώσουν στους χρήστες μεγαλύτερο έλεγχο των παραμέτρων τους (cookies, αναγνωριστικά στοιχεία), οι δε «μη ζητηθείσες επικοινωνίες» (spam, μηνύματα, SMS, κλήσεις) θα μπορούν να αποκλείονται σε περίπτωση μη συγκατάθεσης του χρήστη.

4.12.

Όσον αφορά την αναγνώριση κλήσεων και τη φραγή ανεπιθύμητων κλήσεων (άρθρα 12 και 14), ο κανονισμός τονίζει ότι τα δικαιώματα αυτά αφορούν και τα νομικά πρόσωπα.

4.13.

Η διάρθρωση του συστήματος ελέγχου συνάδει με τον ΓΚΠΔ (κεφάλαια VI, για τις εποπτικές αρχές, και VII, για τη συνεργασία μεταξύ εποπτικών αρχών).

4.13.1.

Ο έλεγχος της συμμόρφωσης με τους κανόνες περί απορρήτου εναπόκειται στα κράτη μέλη και τις αρμόδιες για την προστασία των δεδομένων εθνικές αρχές. Οι υπόλοιπες εποπτικές αρχές μπορούν, στο πλαίσιο της αμοιβαίας συνδρομής, να συντάσσουν αντιρρήσεις, τις οποίες ενδεχομένως υποβάλλουν στις εθνικές εποπτικές αρχές. Συνεργάζονται μαζί τους, αλλά και με την Ευρωπαϊκή Επιτροπή, στο πλαίσιο ενός μηχανισμού συνεκτικότητας (άρθρο 63 του ΓΚΠΔ).

4.13.2.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, από την άλλη, διασφαλίζει τη συνεκτική εφαρμογή τού υπό εξέταση κανονισμού (άρθρα 68 και 70 του ΓΚΠΔ).

4.14.

Προβλέπονται διαδικασίες προσφυγής για τα φυσικά και νομικά πρόσωπα ως τελικούς χρήστες, ώστε να προωθούν τα συμφέροντά τους που έχουν θιγεί από παραβιάσεις και να μπορούν να λαμβάνουν αποζημίωση για τη ζημία που έχουν υποστεί.

4.15.

Τα ποσά που προβλέπονται για τα διοικητικά πρόστιμα έχουν αποτρεπτικό χαρακτήρα, δεδομένου ότι μπορεί να ανέλθουν, για όλους τους παραβαίνοντες, έως τα δέκα εκατομμύρια ευρώ και, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο (άρθρο 23). Τα κράτη μέλη ορίζουν τις κυρώσεις για περιπτώσεις όπου δεν προβλέπονται διοικητικά πρόστιμα και ενημερώνουν σχετικά την Επιτροπή.

4.16.

Το νέο κείμενο σχετικά με τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα θα είναι εφαρμοστέο από τις 25 Μαΐου 2018, από την ίδια δηλαδή ημερομηνία με τον ΓΚΠΔ του 2016, με τον κανονισμό για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Ένωσης και με την πρόταση οδηγίας για την αναδιατύπωση του Ευρωπαϊκού Κώδικα Ηλεκτρονικών Επικοινωνιών [COM(2016) 590 final], εφόσον εγκριθούν.

4.17.

Πεδίο εφαρμογής του ειδικού νόμου που εφαρμόζει τον ΓΚΠΔ:

—

Ratione personae (προσωπικό πεδίο εφαρμογής): οι πρωταγωνιστές

—

Ratione materiae (ουσιαστικό πεδίο εφαρμογής): τα δεδομένα

—

Ratione loci (κατά τόπον πεδίο εφαρμογής): ο τόπος

4.18.

Στόχοι της ΕΕ: η ψηφιακή ενιαία αγορά

5.1.

Η ΕΟΚΕ επικροτεί την ταυτόχρονη θέσπιση σε ολόκληρη την Ένωση ενός συνεκτικού συνόλου κανόνων με στόχο την προστασία των δικαιωμάτων των φυσικών και νομικών προσώπων σε σχέση με τη χρήση ψηφιακών δεδομένων μέσω ηλεκτρονικών επικοινωνιών.

5.1.1.

Χαιρετίζει το γεγονός ότι η Ένωση επωμίζεται τον ρόλο της ως υπερασπιστή των δικαιωμάτων των πολιτών και των καταναλωτών.

5.1.2.

Τονίζει ότι, ενώ σκοπός είναι η εναρμόνιση, η ερμηνεία πολλών εννοιών εναπόκειται στα κράτη μέλη, γεγονός το οποίο μετατρέπει τον κανονισμό σε ένα είδος οδηγίας, που αφήνει μεγάλα περιθώρια εμπορευματοποίησης των προσωπικών δεδομένων. Ειδικότερα, στον τομέα της υγείας αφήνεται ανοιχτός ο δρόμος για τη συλλογή τεράστιων ποσοτήτων προσωπικών δεδομένων.

5.1.3.

Το άρθρο 11 παράγραφος 1, το άρθρο 13 παράγραφος 2, το άρθρο 16 παράγραφοι 4 και 5 και το άρθρο 24 θα μπορούσαν να χαρακτηριστούν μάλλον ως διατάξεις προς «μεταφορά», κατάλληλες για οδηγία αλλά όχι για κανονισμό. Αφήνεται υπερβολικά μεγάλη διακριτική ευχέρεια στους παρόχους προκειμένου να βελτιωθεί η ποιότητα των υπηρεσιών (άρθρα 5 και 6). Ο κανονισμός αυτός θα έπρεπε να αποτελεί αναπόσπαστο μέρος της πρότασης οδηγίας για τον «Ευρωπαϊκό Κώδικα Ηλεκτρονικών Επικοινωνιών» [COM(2016) 590 final].

5.1.4.

Η ΕΟΚΕ εκφράζει την έντονη αποδοκιμασία της για το γεγονός ότι η επικάλυψη των κειμένων, ο όγκος τους και οι αλληλεπιδράσεις μεταξύ τους καθιστούν την αναγνωσιμότητά τους μάλλον απίθανη πέραν ενός κύκλου μυημένων. Πράγματι, για την κατανόησή τους απαιτείται διαρκής μετάβαση από το ένα κείμενο στο άλλο. Επιπλέον, η προστιθέμενη αξία τους δεν είναι προφανής για τον πολίτη. Η δυσκολία στην ανάγνωση και η πολυπλοκότητα της πρότασης αντιτίθενται στο πνεύμα του προγράμματος βελτίωσης της καταλληλότητας και της αποδοτικότητας του κανονιστικού πλαισίου (REFIT) και του στόχου της βελτίωσης του νομοθετικού έργου, την καθιστούν δυσερμήνευτη και προκαλούν ρήγματα στην προστασία.

5.1.5.

Για παράδειγμα, η πρόταση κανονισμού δεν περιλαμβάνει ορισμό της έννοιας του «παρόχου»· πρέπει κανείς να ανατρέξει στο σχέδιο Ευρωπαϊκού Κώδικα Ηλεκτρονικών Επικοινωνιών (4), το οποίο δεν έχει ακόμη τεθεί σε ισχύ και το οποίο θα αλλάξει τους κανόνες του κλάδου στο πλαίσιο της ψηφιακής ενιαίας αγοράς, συγκεκριμένα δε την «οδηγία-πλαίσιο» 2002/21/ΕΚ, την «οδηγία για την αδειοδότηση» 2002/20/ΕΚ, την «οδηγία καθολικής υπηρεσίας» 2002/22/ΕΚ, την «οδηγία για την πρόσβαση» 2002/19/ΕΚ, όπως αυτές έχουν τροποποιηθεί, τον κανονισμό (ΕΚ) αριθ. 1211/2009 για την ίδρυση του BEREC, την «απόφαση ραδιοφάσματος» 676/2002/ΕΚ, την απόφαση 2002/622/ΕΚ σχετικά με τη σύσταση ομάδας για την πολιτική ραδιοφάσματος, την απόφαση 243/2012/ΕΕ σχετικά με την καθιέρωση πολυετούς προγράμματος πολιτικής για το ραδιοφάσμα. Βασικό σημείο αναφοράς παραμένει βέβαια ο κανονισμός ΓΚΠΔ (βλέπε σημείο 2.2), τον οποίο η υπό εξέταση πρόταση έχει στόχο να συμπληρώσει, όντας ως εκ τούτου επικουρική ως προς αυτόν.

5.2.

Η ΕΟΚΕ επισημαίνει όλως ιδιαιτέρως το περιεχόμενο του άρθρου 8, που αφορά την προστασία των πληροφοριών που αποθηκεύονται στον τερματικό εξοπλισμό και τις ενδεχόμενες σχετικές εξαιρέσεις, άρθρο καίριας σημασίας, δεδομένου ότι παρέχει στην κοινωνία της πληροφορίας δυνατότητες πρόσβασης στα προσωπικά δεδομένα. Τονίζει επίσης το περιεχόμενο του άρθρου 12, σχετικά με τον περιορισμό της αναγνώρισης καλούσας και συνδεδεμένης γραμμής. Τα άρθρα αυτά είναι δυσνόητα για τους μη εξοικειωμένους.

5.2.1.

Η οδηγία του 1995 (άρθρο 2) όριζε τα «δεδομένα προσωπικού χαρακτήρα» ως «κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί (το πρόσωπο στο οποίο αναφέρονται τα δεδομένα)». Ο υπό εξέταση κανονισμός διευρύνει την προστασία των δεδομένων και στα μεταδεδομένα, εφαρμόζεται δε πλέον τόσο στα φυσικά όσο και στα νομικά πρόσωπα. Ας υπογραμμιστεί και πάλι ότι η πρόταση έχει διττό στόχο: αφενός μεν την προστασία των δεδομένων προσωπικού χαρακτήρα, αφετέρου δε τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων και των υπηρεσιών ηλεκτρονικών επικοινωνιών εντός της ΕΕ (άρθρο 1).

5.2.2.

Η ΕΟΚΕ τονίζει ότι η βούληση προστασίας των δεδομένων των νομικών προσώπων (άρθρο 1 παράγραφος 2) θα προσκρούσει σε άλλα κείμενα, από τα οποία είναι απούσα: δεν αναφέρεται σαφώς ότι θα πρέπει να ισχύει στην περίπτωσή τους (βλέπε ΓΚΠΔ, δεδομένα στα όργανα και τους οργανισμούς της Ένωσης).

5.3.

Η ΕΟΚΕ διερωτάται μήπως πραγματικός σκοπός της παρούσας πρότασης είναι να δοθεί μεγαλύτερη έμφαση στο άρθρο 1 παράγραφος 2 —δηλαδή να διασφαλίσει «την ελεύθερη κυκλοφορία των δεδομένων […] ηλεκτρονικών επικοινωνιών και των υπηρεσιών ηλεκτρονικών επικοινωνιών εντός της Ένωσης», την οποία ούτε περιορίζει ούτε απαγορεύει για λόγους που σχετίζονται με τον σεβασμό της ιδιωτικής ζωής και των επικοινωνιών φυσικών προσώπων—, και όχι να εξασφαλίσει πραγματικά αυτό που αναγγέλλεται στο άρθρο 1 παράγραφος 1, δηλαδή την προστασία «των δικαιωμάτων στον σεβασμό της ιδιωτικής ζωής και των επικοινωνιών, καθώς και […] την προστασία των φυσικών [και νομικών] προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα».

5.4.

Τα πάντα εξαρτώνται από την έκφραση της συγκατάθεσης του φυσικού ή νομικού προσώπου. Ως εκ τούτου, για την ΕΟΚΕ, οι χρήστες πρέπει να είναι ενημερωμένοι, καταρτισμένοι και να παραμένουν προσεκτικοί επειδή, από τη στιγμή που θα χορηγήσουν τη συγκατάθεσή τους, ο πάροχος μπορεί να επεξεργαστεί περαιτέρω το περιεχόμενο και τα μεταδεδομένα, για όσο το δυνατόν περισσότερες ενέργειες και κέρδη. Πόσοι γνωρίζουν, πριν από την αποδοχή τους, ότι τα «cookies» είναι ανιχνευτές; Η εκπαίδευση των χρηστών ώστε να κάνουν χρήση των δικαιωμάτων τους, όπως επίσης και η ανωνυμοποίηση ή η κρυπτογράφηση, θα έπρεπε να συνιστούν προτεραιότητα σε σχέση με τον κανονισμό αυτόν.

6.1.

Η επεξεργασία των προσωπικών δεδομένων πρέπει να γίνεται μόνο από φορείς οι οποίοι τηρούν οι ίδιοι αυστηρότατες προϋποθέσεις, και για σκοπούς γνωστούς και θεμιτούς (ΓΚΠΔ).

6.2.

Η ΕΟΚΕ εκφράζει εκ νέου τη λύπη της «για τον υπερβολικά μεγάλο αριθμό εξαιρέσεων και περιορισμών, που πλήττουν τις κατοχυρωμένες αρχές του δικαιώματος στην προστασία των προσωπικών δεδομένων» (5). Η ισορροπία μεταξύ ελευθερίας και ασφάλειας θα πρέπει να παραμείνει το σήμα κατατεθέν της Ευρωπαϊκής Ένωσης, και όχι η ισορροπία μεταξύ θεμελιωδών ανθρωπίνων δικαιωμάτων και βιομηχανίας. Η Ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα (Ομάδα του άρθρου 29), στη γνωμοδότηση που εξέδωσε για το σχέδιο κανονισμού (WP247/17, γνωμοδότηση 1/2017 της 4.4.2017, σημείο 17), επεσήμανε εντόνως ότι ο προτεινόμενος κανονισμός μειώνει το επίπεδο προστασίας που θέσπισε ο ΓΚΠΔ, ιδίως όσον αφορά τον εντοπισμό της θέσης του τερματικού και την απουσία περιορισμού του εύρους των δεδομένων που μπορούν να συλλέγονται, ενώ δεν καθιερώνει εξ ορισμού προστασία της ιδιωτικής ζωής (σημείο 19).

6.3.

Τα δεδομένα είναι κάτι σαν προέκταση του προσώπου, μια ταυτότητα φάντασμα, ένα «Shadow-ID». Τα δεδομένα ανήκουν στο πρόσωπο που τα δημιουργεί, μετά την επεξεργασία τους όμως ξεφεύγουν από την επιρροή του. Για τη διατήρηση και τη μεταφορά δεδομένων, κάθε κράτος παραμένει υπεύθυνο και δεν υπάρχει εναρμόνιση, λόγω των δυνατοτήτων περιορισμού των δικαιωμάτων που προβλέπει το σχέδιο κανονισμού. Η ΕΟΚΕ επισημαίνει τον κίνδυνο αποκλίσεων που συνδέεται με το γεγονός ότι ο περιορισμός των δικαιωμάτων επαφίεται στη διακριτική ευχέρεια των κρατών μελών.

6.4.

Ένα συγκεκριμένο ερώτημα τίθεται όλως ιδιαιτέρως για τα πρόσωπα που εργάζονται σε επιχειρήσεις: σε ποιον ανήκουν τα δεδομένα που παράγουν ενώ εργάζονται; Και πώς προστατεύονται;

6.5.

Η διάρθρωση του ελέγχου δεν είναι πολύ σαφής (6)· παρά την εποπτεία από τον ΕΕΠΔ, οι εγγυήσεις κατά της αυθαιρεσίας δεν φαίνονται επαρκείς, ο δε χρόνος που απαιτείται ώστε οι διαδικασίες να οδηγήσουν σε κυρώσεις δεν έχει εκτιμηθεί.

6.6.

Η ΕΟΚΕ ζητεί τη δημιουργία ευρωπαϊκής δικτυακής πύλης, στην οποία θα συγκεντρώνεται και θα ενημερώνεται όλη η ευρωπαϊκή και εθνική νομοθεσία, όλα τα δικαιώματα, τα ένδικα μέσα, η σχετική νομολογία και πρακτικά στοιχεία, ώστε να βοηθούνται οι πολίτες και οι καταναλωτές να προσανατολιστούν μέσα στον κυκεώνα των κειμένων και των πρακτικών, προκειμένου να μπορούν να ασκήσουν τα δικαιώματά τους. Η πύλη αυτή θα πρέπει να εμπνέεται τουλάχιστον από τις διατάξεις της οδηγίας (ΕΕ) 2016/2102, της 26ης Οκτωβρίου 2016, για την προσβασιμότητα των ιστότοπων και των εφαρμογών για φορητές συσκευές των οργανισμών του δημόσιου τομέα, και από τις αρχές που διακηρύσσονται στις αιτιολογικές σκέψεις 12, 15 και 21 της καλούμενης «Ευρωπαϊκή πράξη για την προσβασιμότητα» (European Accessibility Act) πρότασης οδηγίας [2015/0278 (COD)], θα πρέπει δε να προσφέρει περιεχόμενο προσβάσιμο και κατανοητό για όλους τους τελικούς χρήστες. Η ΕΟΚΕ είναι πρόθυμη να συμμετάσχει στα στάδια της χάραξης της εν λόγω πύλης.

6.7.

Στο άρθρο 22, απουσιάζει αναφορά σε «συλλογικές αγωγές», όπως έχει ήδη επισημάνει η ΕΟΚΕ στη γνωμοδότησή της για τον Ευρωπαϊκό Κώδικα Ηλεκτρονικών Επικοινωνιών.

6.8.

Ο περιορισμός του ουσιαστικού πεδίου εφαρμογής (άρθρο 2 παράγραφος 2), η επέκταση της δυνατότητας επεξεργασίας των δεδομένων χωρίς τη συγκατάθεση του προσώπου το οποίο αφορούν τα δεδομένα (άρθρο 6 παράγραφοι 1 και 2) και η απίθανη έννοια της λήψης συγκατάθεσης από ΟΛΟΥΣ τους ενδιαφερόμενους χρήστες [άρθρο 6 παράγραφος 3 στοιχείο β) και άρθρο 8 παράγραφοι 1, 2 και 3], οι περιορισμοί στα δικαιώματα που μπορούν να επιφέρουν τα κράτη μέλη εάν θεωρούν ότι αποτελούν «αναγκαία, κατάλληλα και αναλογικά» μέτρα, είναι στο σύνολο τους κανόνες το περιεχόμενο των οποίων επιδέχεται τόσες πολλές ερμηνείες ώστε να είναι ασυμβίβαστο με την πραγματική προστασία της ιδιωτικής ζωής. Επιπλέον, ιδιαίτερη προσοχή πρέπει να δίδεται στην προστασία των δεδομένων που αφορούν τους ανηλίκους.

6.9.

Η ΕΟΚΕ χαιρετίζει το δικαίωμα ελέγχου που αναφέρεται στο άρθρο 12, επισημαίνει όμως την ιδιαίτερα δυσνόητη διατύπωσή του, που φαίνεται να προκρίνει τη χρήση τηλεφωνικών κλήσεων «αγνώστου» καλούντα ή με «απόκρυψη», σαν να ήταν συνιστώμενη η ανωνυμία, ενώ ο κανόνας θα έπρεπε να είναι οι αναγνωρίσιμες κλήσεις.

6.10.

Οι μη ζητηθείσες επικοινωνίες (άρθρο 16) και η άμεση εμπορική προώθηση αποτελούν ήδη αντικείμενο της «οδηγίας για τις αθέμιτες εμπορικές πρακτικές» (7). Το εκ προεπιλογής καθεστώς θα έπρεπε να είναι opt-in (προαιρετική συμμετοχή) και όχι opt-out (αυτοεξαίρεση).

6.11.

Η αξιολόγηση από την Επιτροπή προβλέπεται ανά τριετία, το διάστημα αυτό, όμως, είναι υπερβολικά μεγάλο για τον ψηφιακό χώρο. Μετά από δύο αξιολογήσεις, ο ψηφιακός κόσμος θα έχει αλλάξει εντελώς. Ωστόσο, η εξουσιοδότηση (άρθρο 25), η οποία μπορεί να παραταθεί, θα έπρεπε να έχει καθορισμένη διάρκεια, ενδεχομένως ανανεώσιμη.

6.12.

Η νομοθεσία οφείλει να προστατεύει τα δικαιώματα των χρηστών (άρθρο 3 της Συνθήκης για την Ευρωπαϊκή Ένωση — ΣΕΕ), εξασφαλίζοντας παράλληλα τη νομική σταθερότητα που απαιτείται για την εμπορική δραστηριότητα. Η ΕΟΚΕ εκφράζει τη λύπη της για το γεγονός ότι η κυκλοφορία δεδομένων από μηχανή προς μηχανή (M2M) δεν περιλαμβάνεται στην πρόταση: χρειάζεται να ανατρέξει κανείς στον Ευρωπαϊκό Κώδικα Ηλεκτρονικών Επικοινωνιών (σχέδιο οδηγίας, άρθρα 2 και 4).

6.12.1.

Το διαδίκτυο των πραγμάτων (IoT) (8) θα οδηγήσει από τα «Big Data» (μαζικά δεδομένα) στα «Huge Data» (τεράστιου όγκου δεδομένα) και κατόπιν στο «All Data» (τα πάντα είναι δεδομένα). Πρόκειται για στοιχείο που ανοίγει δρόμους για τα μελλοντικά κύματα καινοτομίας. Τα δε μηχανήματα, μικρά και μεγάλα, επικοινωνούν μεταξύ τους και ανταλλάσσουν προσωπικά δεδομένα (το ρολόι σας καταγράφει τον καρδιακό παλμό σας και τον στέλνει στον υπολογιστή του γιατρού σας κ.λπ.). Πολλοί φορείς του ψηφιακού κόσμου έχουν ξεκινήσει τη δική τους πλατφόρμα, η οποία προορίζεται για συνδεδεμένα αντικείμενα: η Amazon, η Microsoft, η Intel ή, στη Γαλλία, η Orange και η La Poste.

6.12.2.

Το διαδίκτυο των πραγμάτων, στην καθημερινή του χρήση, μπορεί εύκολα να υποστεί κακόβουλες διεισδύσεις, ενώ αυξάνεται συνεχώς η ποσότητα των προσωπικών πληροφοριών που μπορούν να συλλέγονται από απόσταση (εντοπισμός γεωγραφικής θέσης, δεδομένα για την υγεία, ροές βιντεοσκοπήσεων και ηχογραφήσεων). Τα ρήγματα στην προστασία των δεδομένων προκαλούν το ενδιαφέρον, μεταξύ άλλων, των ασφαλιστικών εταιρειών, οι οποίες έχουν αρχίσει να προτείνουν στους πελάτες τους να αποκτήσουν συνδεδεμένα αντικείμενα και να υιοθετήσουν υπεύθυνη σχετική συμπεριφορά.

6.13.

Πολλοί από τους κολοσσούς του διαδικτύου προσπαθούν να εξελίξουν την αρχική τους εφαρμογή προς την κατεύθυνση της πλατφόρμας: είναι σκόπιμο συνεπώς να γίνεται διάκριση μεταξύ της εφαρμογής Facebook και της πλατφόρμας του Facebook, η οποία επιτρέπει σε προγραμματιστές να επινοούν εφαρμογές προσβάσιμες από τα προφίλ των χρηστών. Το Amazon, από την άλλη, ήταν μια διαδικτυακή εφαρμογή που ειδικεύονταν στις διαδικτυακές πωλήσεις. Σήμερα έχει γίνει πλατφόρμα η οποία επιτρέπει σε τρίτους —από ιδιώτες έως και μεγάλους ομίλους— να εμπορεύονται τα προϊόντα τους αξιοποιώντας τους πόρους της Amazon: τη φήμη, τις υλικοτεχνικές υπηρεσίες κ.λπ. Όλα αυτά γίνονται μέσω διαβίβασης δεδομένων προσωπικού χαρακτήρα.

6.14.

Χάρη στη συνεργατική οικονομία οι πλατφόρμες πληθαίνουν: «[μια πλατφόρμα] η οποία φέρνει σε επαφή —κυρίως με ηλεκτρονικά μέσα— ένα πλήθος ατόμων που διαθέτουν αγαθά ή υπηρεσίες με ένα πλήθος χρηστών» (9). Αν και επιδιώκεται να αναπτυχθούν οι πλατφόρμες, λόγω της δραστηριότητας και των θέσεων εργασίας που δημιουργούν, η ΕΟΚΕ διερωτάται πώς θα μπορέσουν να ελέγχονται οι μεταφορές δεδομένων που παράγουν, τόσο κατ’ εφαρμογή του ΓΚΠΔ όσο και του υπό εξέταση κανονισμού.