Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52009XX0606(01)

Γνωμοδότηση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με την Τελική Έκθεση της Ομάδας επαφής υψηλού επιπέδου ΕΕ-ΗΠΑ για την ανταλλαγή πληροφοριών και την προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα

OJ C 128, 6.6.2009, p. 1–12 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

6.6.2009   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 128/1


Γνωμοδότηση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με την Τελική Έκθεση της Ομάδας επαφής υψηλού επιπέδου ΕΕ-ΗΠΑ για την ανταλλαγή πληροφοριών και την προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα

2009/C 128/01

Ο ΕΥΡΩΠΑΙΟΣ ΕΠΟΠΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ,

Έχοντας υπόψη:

τη Συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας και ιδίως το άρθρο 286,

το Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και ειδικότερα το άρθρο 8,

την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών,

τον κανονισμό (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 18ης Δεκεμβρίου 2000 σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών και ιδίως το άρθρο 41,

ΕΝΕΚΡΙΝΕ ΤΗΝ ΑΚΟΛΟΥΘΗ ΓΝΩΜΟΔΟΤΗΣΗ:

I.   ΕΙΣΑΓΩΓΗ - ΠΛΑΙΣΙΟ ΤΗΣ ΓΝΩΜΟΔΟΤΗΣΗΣ

1.

Στις 28 Μαΐου 2008, η Προεδρία του Συμβουλίου της Ευρωπαϊκής Ένωσης ανήγγειλε στην ΕΜΑ, ενόψει της συνόδου κορυφής της ΕΕ της 12ης Ιουνίου 2008, ότι η Ομάδα επαφής υψηλού επιπέδου ΕΕ-ΗΠΑ (εφεξής «Ομάδα επαφής υψηλού επιπέδου») για την ανταλλαγή πληροφοριών και την προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα είχε οριστικοποιήσει την έκθεσή της. Η έκθεση δημοσιοποιήθηκε στις 26 Ιουνίου 2008 (1).

2.

Η έκθεση τείνει προς τον προσδιορισμό κοινών αρχών για την προστασία της ιδιωτικής ζωής και των δεδομένων ως πρώτο βήμα προς την ανταλλαγή πληροφοριών με τις Ηνωμένες Πολιτείες για την καταπολέμηση της τρομοκρατίας και του σοβαρού διασυνοριακού εγκλήματος.

3.

Στην ανακοίνωσή της, η Προεδρία του Συμβουλίου δηλώνει ότι θα δεχόταν με ευχαρίστηση ιδέες όσον αφορά την παρακολούθηση της έκθεσης και, ειδικότερα, αντιδράσεις επί των συστάσεων για την ακολουθητέα πορεία όπως προσδιορίζεται στην έκθεση. Ο ΕΕΠΔ απαντά στην πρόσκληση αυτή εκδίδοντας την παρούσα γνώμη, με βάση την κοινοποιηθείσα κατάσταση των πραγμάτων και με την επιφύλαξη ενδεχόμενης περαιτέρω θέσης που μπορεί να λάβει ανάλογα με την εξέλιξη του θέματος.

4.

Ο ΕΕΠΔ σημειώνει ότι οι εργασίες της Ομάδας επαφής υψηλού επιπέδου πραγματοποιήθηκαν σε ένα πλαίσιο που, ιδίως μετά την 11η Σεπτεμβρίου 2001, έχει παρακολουθήσει την ανάπτυξη της ανταλλαγής δεδομένων μεταξύ των ΗΠΑ και της ΕΕ μέσω διεθνών συμφωνιών ή άλλων μέσων. Μεταξύ αυτών συγκαταλέγονται οι συμφωνίες της Ευρωπόλ και της Eurojust με τις Ηνωμένες Πολιτείες, καθώς επίσης οι συμφωνίες για τα δεδομένα PNR και η υπόθεση SWIFT που οδήγησαν σε ανταλλαγή επιστολών μεταξύ αξιωματούχων της ΕΕ και των ΗΠΑ προκειμένου να καθιερωθούν ελάχιστες εγγυήσεις προστασίας των δεδομένων (2).

5.

Επιπλέον, η ΕΕ διαπραγματεύεται και καταλήγει σε συμφωνία για παρόμοιες πράξεις που προβλέπουν την ανταλλαγή προσωπικών δεδομένων με άλλες τρίτες χώρες. Ένα πρόσφατο παράδειγμα είναι η συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης και της Αυστραλίας για την επεξεργασία και τη διαβίβαση από τους αερομεταφορείς, δεδομένων από τις καταστάσεις επιβατών προέλευσης Ευρωπαϊκής Ένωσης (PNR) στην τελωνειακή υπηρεσία της Αυστραλίας (3).

6.

Από τα ανωτέρω προκύπτει ότι η αίτηση προσωπικών δεδομένων από τις αρχές επιβολής του νόμου τρίτων χωρών διευρύνεται διαρκώς και, επίσης, ότι επεκτείνεται από τις παραδοσιακές κρατικές βάσεις δεδομένων και σε άλλους τύπους αρχείων, ιδίως αρχεία δεδομένων που συλλέγονται από τον ιδιωτικό τομέα.

7.

Ο ΕΕΠΔ θεωρεί επίσης σημαντικό να υπενθυμίσει ότι το θέμα της διαβίβασης προσωπικών δεδομένων σε τρίτες χώρες στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις αποτελεί αντικείμενο της απόφασης-πλαισίου του Συμβουλίου σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις (4) η οποία είναι πολύ πιθανόν να εκδοθεί πριν από το τέλος του 2008.

8.

Η υπερατλαντική αυτή ανταλλαγή πληροφοριών αναμένεται σίγουρα να παρουσιάσει αύξηση και να αγγίξει και άλλους τομείς στους οποίους υποβάλλονται σε επεξεργασία προσωπικά δεδομένα. Ο διάλογος για την «διατλαντική επιβολή του νόμου» είναι, εν προκειμένω, ευπρόσδεκτος αλλά ταυτόχρονα και με πολύ ευαίσθητο χαρακτήρα. Ευπρόσδεκτος με την έννοια ότι είναι δυνατόν να προσφέρει ένα σαφέστερο πλαίσιο για τις ανταλλαγές δεδομένων οι οποίες πραγματοποιούνται τώρα ή θα πραγματοποιούνται στο μέλλον. Και με ευαίσθητο χαρακτήρα επειδή το συγκεκριμένο πλαίσιο είναι δυνατόν να νομιμοποιήσει μαζικές διαβιβάσεις δεδομένων σε έναν τομέα - την επιβολή του νόμου - όπου οι επιπτώσεις επί των ατόμων είναι ιδιαίτερα σοβαρές και όπου απαιτούνται επιπλέον ακριβείς και αξιόπιστες διασφαλίσεις και εγγυήσεις (5).

9.

Η παρούσα γνωμοδότηση θα εξετάσει στο επόμενο κεφάλαιο την τρέχουσα κατάσταση και την πιθανή ακολουθητέα πορεία. Κέντρο βάρους του Κεφαλαίου ΙΙΙ θα είναι το πεδίο εφαρμογής και η φύση μιας νομικής πράξης η οποία θα καθιστούσε δυνατή την ανταλλαγή πληροφοριών. Στο Κεφάλαιο IV της παρούσας γνωμοδότησης αναλύονται υπό μια γενική οπτική νομικά θέματα που συνδέονται με το περιεχόμενο πιθανής συμφωνίας. Αναφέρονται θέματα όπως οι όροι της αξιολόγησης του επιπέδου προστασίας που παρέχεται στις Ηνωμένες Πολιτείες, και συζητείται το ζήτημα της αξιοποίησης του κανονιστικού πλαισίου της ΕΕ ως σημείο αναφοράς για την αξιολόγηση του εν λόγω επιπέδου προστασίας. Στο συγκεκριμένο κεφάλαιο απαριθμούνται επίσης οι βασικές προϋποθέσεις που πρέπει να περιληφθούν στη συμφωνία. Τέλος, στο Κεφάλαιο V της παρούσας γνωμοδότησης παρέχεται ανάλυση των αρχών περί ιδιωτικής ζωής που σχετίζονται με την έκθεση.

II.   ΥΦΙΣΤΆΜΕΝΗ ΚΑΤΆΣΤΑΣΗ ΚΑΙ ΔΥΝΗΤΙΚΉ ΜΕΛΛΟΝΤΙΚΉ ΠΟΡΕΊΑ

10.

Ο ΕΕΠΔ αξιολογεί ως ακολούθως την υφιστάμενη κατάσταση. Μια κάποια πρόοδος έχει σημειωθεί για τον καθορισμό κοινών προτύπων στην ανταλλαγή πληροφοριών και την προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα.

11.

Ωστόσο, οι προπαρασκευαστικές εργασίες για οποιαδήποτε μορφή συμφωνίας μεταξύ της ΕΕ και των ΗΠΑ δεν έχουν ακόμα ολοκληρωθεί. Απαιτούνται επιπλέον εργασίες. Η έκθεση της ίδιας της Ομάδας επαφής υψηλού επιπέδου αναφέρει διάφορα εκκρεμή θέματα μεταξύ των οποίων σημαντικότερο είναι το θέμα της «έννομης προστασίας». Διαφωνίες παραμένουν σχετικά με το απαραίτητο πεδίο εφαρμογής της έννομης προστασίας (6). Πέντε ακόμα εκκρεμή θέματα προσδιορίζονται στο κεφάλαιο 3 της έκθεσης. Από την παρούσα γνωμοδότηση προκύπτει επίσης ότι πολλά άλλα ζητήματα δεν έχουν ακόμα επιλυθεί, παραδείγματος χάριν όσον αφορά το πεδίο εφαρμογής και τη φύση μιας νομικής πράξης για τη ανταλλαγή πληροφοριών.

12.

Δεδομένου ότι η επιλογή που προτιμά η έκθεση είναι η δεσμευτική συμφωνία — ο ΕΕΠΔ συμμερίζεται αυτή την προτίμηση — απαιτείται και μεγαλύτερη σύνεση. Περαιτέρω προσεκτικές και εις βάθος προετοιμασίες απαιτούνται προκειμένου να μπορέσει να επιτευχθεί συμφωνία.

13.

Τέλος, σύμφωνα με τον ΕΕΠΔ, η σύναψη συμφωνίας είναι καλύτερα να πραγματοποιηθεί στο πλαίσιο της Συνθήκης της Λισσαβώνας, αναλόγως φυσικά με την έναρξη ισχύος της. Πραγματικά, στο πλαίσιο της Συνθήκης της Λισσαβώνας δεν θα υπήρχε καμία ασάφεια δικαίου όσον αφορά τη διαχωριστική γραμμή μεταξύ των πυλώνων της ΕΕ. Επιπλέον, θα διασφαλιζόταν η πλήρης συμμετοχή του Ευρωπαϊκού Κοινοβουλίου καθώς και ο δικαστικός έλεγχος από το Δικαστήριο των Ευρωπαϊκών Κοινοτήτων.

14.

Υπό αυτές τις συνθήκες, η καλύτερη ακολουθητέα πορεία είναι η εκπόνηση οδικού χάρτη προς την κατεύθυνση ενδεχόμενης συμφωνίας σε μεταγενέστερο στάδιο. Ο χάρτης αυτός μπορεί να περιλαμβάνει τα ακόλουθα στοιχεία:

Κατευθυντήριες γραμμές για τη συνέχιση των εργασιών της Ομάδας επαφής υψηλού επιπέδου (ή οποιασδήποτε άλλης ομάδας) καθώς και χρονοδιάγραμμα.

Σε αρχικό στάδιο, συζήτηση και ενδεχομένως συμφωνία επί θεμελιωδών θεμάτων όπως το πεδίο εφαρμογής και ο χαρακτήρας της συμφωνίας.

Βάσει κοινής κατανόησης των προαναφερόμενων θεμελιωδών θεμάτων, περαιτέρω επεξεργασία των αρχών προστασίας των δεδομένων.

Συμμετοχή των ενδιαφερομένων στις διάφορες φάσεις της διαδικασίας.

Από ευρωπαϊκής πλευράς, εξέταση των θεσμικών περιορισμών.

III.   ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ ΚΑΙ ΦΥΣΗ ΜΙΑΣ ΝΟΜΙΚΗΣ ΠΡΑΞΗΣ ΓΙΑ ΤΗ ΑΝΤΑΛΛΑΓΗ ΠΛΗΡΟΦΟΡΙΩΝ

15.

Σύμφωνα με την άποψη του ΕΕΠΔ, έχει ζωτική σημασία να καθοριστούν σαφώς το πεδίο εφαρμογής και ο χαρακτήρας της ενδεχόμενης νομικής πράξης που συμπεριλαμβάνει τις αρχές προστασίας των δεδομένων, ως πρώτο βήμα της περαιτέρω ανάπτυξης της εν λόγω πράξης.

16.

Όσον αφορά το πεδίο εφαρμογής, σημαντικά ερωτήματα που χρήζουν απάντησης είναι:

ποιοι είναι οι ενδιαφερόμενοι παράγοντες, εντός και εκτός του τομέα επιβολής του νόμου.

τι εννοείται με τους «σκοπούς της επιβολής του νόμου» και ποια η σχέση τους με άλλους σκοπούς όπως η εθνική ασφάλεια, και ειδικότερα ο έλεγχος των συνόρων και η δημόσια υγεία.

με ποιον τρόπο συνταιριάζεται η νομική πράξη με την προοπτική ενός παγκόσμιου διατλαντικού χώρου ασφαλείας.

17.

Ο ορισμός της φύσης πρέπει να διευκρινίζει τα ακόλουθα:

εάν υπάρχει συνάφεια, στο πλαίσιο ποιου πυλώνα θα συζητηθεί η πράξη.

εάν η πράξη θα είναι δεσμευτική για την ΕΕ και τις ΗΠΑ.

εάν θα έχει άμεσα αποτελέσματα, υπό την έννοια ότι περιέχει ατομικά δικαιώματα και υποχρεώσεις που μπορούν να επιβληθούν από δικαστική αρχή.

εάν η ίδια η πράξη θα επιτρέπει την ανταλλαγή πληροφοριών ή θα θέσει ελάχιστα πρότυπα για την ανταλλαγή πληροφοριών τα οποία θα συμπληρωθούν με ειδικές συμφωνίες.

πώς η πράξη θα σχετίζεται με τις ισχύουσες πράξεις: θα τις τηρεί, θα τις αντικαθιστά ή θα τις συμπληρώνει;

III. 1.   Πεδίο εφαρμογής της πράξης

Εμπλεκόμενοι φορείς

18.

Αν και δεν υπάρχει καμία σαφής ένδειξη στην έκθεση της Ομάδας επαφής υψηλού επιπέδου σχετικά με το ακριβές πεδίο εφαρμογής της μελλοντικής πράξης, μπορεί να συναχθεί από τις αρχές που αναφέρει ότι σκοπό έχει να καλύψει τόσο τις διαβιβάσεις μεταξύ ιδιωτικών και δημόσιων φορέων (7) όσο και μεταξύ δημόσιων αρχών.

—   Μεταξύ ιδιωτικών και δημόσιων φορέων:

19.

Ο ΕΕΠΔ αντιλαμβάνεται τη λογική της δυνατότητας εφαρμογής μιας μελλοντικής νομικής πράξης στις διαβιβάσεις μεταξύ ιδιωτικών και δημόσιων φορέων. Η ανάπτυξη αυτής της νομικής πράξης πραγματοποιείται στο πλαίσιο των αιτημάτων από πλευράς ΗΠΑ για πληροφορίες από ιδιώτες κατά τα τελευταία χρόνια. Ο ΕΕΠΔ σημειώνει πράγματι ότι οι ιδιωτικοί φορείς γίνονται συστηματική πηγή πληροφοριών από την άποψη της επιβολής του νόμου, είτε στο επίπεδο της ΕΕ είτε σε διεθνές επίπεδο (8). Η υπόθεση SWIFT αποτέλεσε σημαντικό προηγούμενο όπου ιδιωτική επιχείρηση κλήθηκε να διαβιβάζει δεδομένα συστηματικά και μαζικά στις αρχές επιβολής του νόμου τρίτου κράτους (9). Η συλλογή των δεδομένων PNR από τις αεροπορικές εταιρείες ακολουθεί την ίδια λογική. Στη γνωμοδότησή του σχετικά με σχέδιο απόφασης-πλαισίου για ευρωπαϊκό σύστημα PNR, ο ΕΕΠΔ έχει ήδη διερωτηθεί για τη νομιμότητα αυτής της τάσης (10).

20.

Υπάρχουν δύο επιπλέον λόγοι που γεννούν δισταγμούς για την εισαγωγή των διαβιβάσεων μεταξύ ιδιωτικών και δημόσιων φορέων στο πεδίο εφαρμογής μελλοντικής νομικής πράξης.

21.

Κατά πρώτον, η εισαγωγή τους θα μπορούσε να έχει ανεπιθύμητα αποτελέσματα στο έδαφος της ίδιας της ΕΕ. Ο ΕΕΠΔ εκφράζει σοβαρές ανησυχίες ότι εάν δεδομένα ιδιωτικών επιχειρήσεων (όπως χρηματοπιστωτικών οργανισμών) μπορούν κατ’ αρχήν να διαβιβαστούν σε τρίτες χώρες, αυτό θα μπορούσε να προκαλέσει ισχυρές πιέσεις προκειμένου να καταστεί ο ίδιος τύπος δεδομένων εξίσου διαθέσιμος στις αρχές επιβολής του νόμου εντός της ΕΕ. Το σύστημα PNR αποτελεί παράδειγμα μιας τέτοιας ανεπιθύμητης εξέλιξης, που άρχισε με τη μαζική συλλογή δεδομένων επιβατών από τις ΗΠΑ και ύστερα μεταφέρθηκε επίσης στο εσωτερικό πλαίσιο της ΕΕ (11), χωρίς να έχει καταδειχθεί σαφώς η ανάγκη και η αναλογικότητα του συστήματος.

22.

Κατά δεύτερον, στη γνωμοδότησή του για την πρόταση της Επιτροπής σχετικά με τα δεδομένα PNR της ΕΕ, ο ΕΕΠΔ έθεσε επίσης το θέμα του πλαισίου προστασίας των δεδομένων (πρώτος ή τρίτος πυλώνας) που πρέπει να εφαρμόζεται στους όρους της συνεργασίας μεταξύ των δημόσιων και των ιδιωτικών φορέων: πρέπει οι εφαρμοστέοι κανόνες να εξαρτώνται από την ιδιότητα του υπευθύνου επεξεργασίας δεδομένων (ιδιωτικού φορέα) ή από τον επιδιωκόμενο σκοπό (επιβολή του νόμου); Η διαχωριστική γραμμή μεταξύ του πρώτου και του τρίτου πυλώνα δεν είναι καθόλου σαφής σε περιπτώσεις όπου ανατίθεται σε ιδιωτικούς φορείς η υποχρέωση επεξεργασίας προσωπικών δεδομένων για τους σκοπούς της επιβολής του νόμου. Στο πλαίσιο αυτό, είναι σημαντικό ότι ο γενικός εισαγγελέας Bot, στην πρόσφατη γνωμοδότησή του για την υπόθεση σχετικά με τη διατήρηση των δεδομένων (12), προτείνει μια διαχωριστική γραμμή για τις συγκεκριμένες περιπτώσεις αλλά προσθέτει σε αυτή την πρόταση: «Η διαχωριστική αυτή γραμμή δεν απαλλάσσεται βεβαίως της κριτικής και ενδέχεται να φανεί τεχνητή από ορισμένες απόψεις.» Ο ΕΕΠΔ σημειώνει επίσης ότι η Απόφαση του Δικαστηρίου για τα δεδομένα PNR (13) δεν προσφέρει πλήρη απάντηση στο ζήτημα του εφαρμοστέου νομικού πλαισίου. Για παράδειγμα, το γεγονός ότι ορισμένες δραστηριότητες δεν καλύπτονται από την οδηγία 95/46/ΕΚ δεν συνεπάγεται αυτόματα ότι οι εν λόγω δραστηριότητες μπορούν να ρυθμιστούν στο πλαίσιο του τρίτου πυλώνα. Το αποτέλεσμα είναι να αφήνει ενδεχομένως νομικό κενό ως προς τον εφαρμοστέο νόμο και, εν πάση περιπτώσει, γεννά ασάφεια δικαίου όσον αφορά τις νομικές εγγυήσεις που είναι διαθέσιμες για τα υποκείμενα των δεδομένων.

23.

Από αυτή την άποψη, ο ΕΕΠΔ τονίζει ότι πρέπει να εξασφαλιστεί ότι μια μελλοντική νομική πράξη με γενικές αρχές προστασίας των δεδομένων δεν μπορεί να νομιμοποιεί αφ’ εαυτού την υπερατλαντική διαβίβαση προσωπικών δεδομένων μεταξύ ιδιωτικών και δημόσιων φορέων. Η διαβίβαση αυτή μπορεί να περιληφθεί σε μελλοντικό μέσο, μόνον υπό τον όρο ότι:

η μελλοντική νομική πράξη ορίζει ότι η διαβίβαση επιτρέπεται μόνο εάν έχει αποδειχθεί απολύτως απαραίτητη για συγκεκριμένο σκοπό και αποφασίζεται κατά περίπτωση.

η διαβίβαση καθεαυτή περιβάλλεται από διασφαλίσεις υψηλής προστασίας των δεδομένων (όπως περιγράφονται στην παρούσα γνωμοδότηση).

Επιπλέον, ο ΕΕΠΔ σημειώνει την ασάφεια όσον αφορά το εφαρμοστέο πλαίσιο προστασίας των δεδομένων και καλεί ως εκ τούτου να μην περιληφθεί, σε κάθε περίπτωση, η διαβίβαση προσωπικών δεδομένων μεταξύ ιδιωτικών και δημόσιων φορέων στην παρούσα μορφή του κοινοτικού δικαίου.

—   Μεταξύ δημόσιων αρχών:

24.

Το ακριβές πεδίο εφαρμογής της ανταλλαγής πληροφοριών είναι ασαφές. Ως πρώτο βήμα περαιτέρω εργασιών προς τη δημιουργία μιας κοινής νομικής πράξης, πρέπει να διευκρινιστεί το προβλεπόμενο πεδίο εφαρμογής της νομικής πράξης. Ερωτήματα παραμένουν ιδίως σε περίπτωση που:

Όσον αφορά τις βάσεις δεδομένων που βρίσκονται στην ΕΕ, η νομική πράξη καλύπτει τις κεντρικές βάσεις δεδομένων τις οποίες διαχειρίζεται (εν μέρει) η ΕΕ, όπως οι βάσεις δεδομένων της Ευρωπόλ και της Eurojust, ή τις αποκεντρωμένες βάσεις δεδομένων τις οποίες διαχειρίζονται τα κράτη μέλη, ή όλες αυτές.

Το πεδίο εφαρμογής της νομικής πράξης επεκταθεί και στα διασυνδεδεμένα δίκτυα, δηλαδή εάν οι προβλεπόμενες εγγυήσεις καλύπτουν τα δεδομένα που ανταλλάσσονται μεταξύ των κρατών μελών ή των υπηρεσιών, στην ΕΕ καθώς και στις ΗΠΑ.

Η νομική πράξη καλύπτει μόνο την ανταλλαγή μεταξύ των βάσεων δεδομένων στον τομέα της επιβολής του νόμου (αστυνομία, δικαιοσύνη, ενδεχομένως τελωνεία) ή και άλλων βάσεων δεδομένων όπως οι τράπεζες φορολογικών δεδομένων.

Η νομική πράξη αφορά και τις βάσεις δεδομένων των υπηρεσιών εθνικής ασφάλειας, ή επιτρέπει την πρόσβαση των υπηρεσιών στις βάσεις δεδομένων στον τομέα της επιβολής του νόμου στην επικράτεια του έτερου μέρους (από την ΕΕ στις ΗΠΑ και αντίστροφα).

Η νομική πράξη καλύπτει την κατά περίπτωση διαβίβαση πληροφοριών ή τη μόνιμη πρόσβαση στις υπάρχουσες βάσεις δεδομένων. Αυτή η τελευταία υπόθεση εγείρει φυσικά θέματα αναλογικότητας, όπως συζητείται περαιτέρω στο Κεφάλαιο V, σημείο 3.

Σκοπός επιβολής του νόμου

25.

Ο ορισμός του σκοπού δυνητικής συμφωνίας αφήνει επίσης περιθώρια για ασάφεια. Οι σκοποί επιβολής του νόμου καθορίζονται σαφώς στην εισαγωγή καθώς και στην πρώτη αρχή που προσαρτάται στην έκθεση, και αναλύονται περαιτέρω στο Κεφάλαιο IV της παρούσας γνωμοδότησης. Όπως ήδη σημειώνει ο ΕΕΠΔ, από αυτές τις δηλώσεις φαίνεται ότι η ανταλλαγή δεδομένων θα επικεντρώνεται σε θέματα τρίτου πυλώνα, μπορεί ωστόσο κανείς να αναρωτηθεί μήπως πρόκειται μόνο για ένα πρώτο βήμα προς ευρύτερη ανταλλαγή πληροφοριών. Φαίνεται σαφές ότι οι σκοποί «δημόσιας ασφαλείας» που καθορίζονται στην έκθεση περιλαμβάνουν την καταπολέμηση της τρομοκρατίας, του οργανωμένου εγκλήματος και άλλων εγκλημάτων. Μήπως, όμως, σημαίνει ότι θα επιτρέψει την ανταλλαγή δεδομένων και για άλλα θέματα δημόσιου συμφέροντος όπως, ενδεχομένως, τους κινδύνους για τη δημόσια υγεία;

26.

Ο ΕΕΠΔ συστήνει να περιοριστεί ο σκοπός σε επακριβώς προκαθορισμένη επεξεργασία των δεδομένων και να αιτιολογηθούν οι πολιτικές επιλογές που οδήγησαν στον συγκεκριμένο ορισμό του σκοπού.

Παγκόσμιος διατλαντικός χώρος ασφαλείας

27.

Το ευρύ πεδίο εφαρμογής αυτής της έκθεσης πρέπει να θεωρηθεί υπό την οπτική του παγκόσμιου διατλαντικού χώρου ασφαλείας που συζητείται στο πλαίσιο της αποκαλούμενης ομάδας «Μέλλον» (14) Η έκθεση της ομάδας αυτής, που δημοσιεύθηκε τον Ιούνιο του 2008, εστιάζει μέρος της προσοχή της στην εξωτερική διάσταση της πολιτικής εσωτερικών υποθέσεων. Υποστηρίζει ότι «μέχρι το 2014 η Ευρωπαϊκή Ένωση θα πρέπει να έχει αποφασίσει για την πολιτική σκοπιμότητα της υλοποίησης ευρωατλαντικού χώρου συνεργασίας με τις Ηνωμένες Πολιτείες στον τομέα της ελευθερίας, της ασφάλειας και της δικαιοσύνης». Η συνεργασία αυτή θα προχωρεί πέραν της ασφάλειας υπό τη στενή έννοια και θα περιλαμβάνει τουλάχιστον τα θέματα που εξετάζονται στον παρόντα τίτλο IV της Συνθήκης ΕΚ όπως η μετανάστευση, οι θεωρήσεις και το άσυλο και η συνεργασία στο αστικό δίκαιο. Πρέπει να εξεταστεί κατά πόσον μια συμφωνία σχετικά με βασικές αρχές προστασίας των δεδομένων, όπως οι αναφερόμενες στην έκθεση της Ομάδας επαφής υψηλού επιπέδου, μπορεί και πρέπει να αποτελέσει τη βάση για την ανταλλαγή πληροφοριών σε έναν τόσο ευρύ τομέα.

28.

Κανονικά, μέχρι το 2014 η δομή των πυλώνων δεν θα υπάρχει πλέον και θα υπάρχει μία νομική βάση για την προστασία των δεδομένων εντός της ίδιας της ΕΕ (σύμφωνα με τη Συνθήκη της Λισσαβώνας, άρθρο 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης). Εντούτοις, το γεγονός ότι υπάρχει εναρμόνιση σε επίπεδο ΕΕ όσον αφορά την κανονιστική ρύθμιση της προστασίας των δεδομένων δεν σημαίνει ότι οποιαδήποτε συμφωνία με τρίτη χώρα θα μπορούσε να επιτρέψει τη διαβίβαση οποιωνδήποτε προσωπικών δεδομένων, για οποιονδήποτε σκοπό. Ανάλογα με το πλαίσιο και τους όρους της επεξεργασίας, πρέπει να απαιτούνται κατάλληλα προσαρμοσμένες εγγυήσεις προστασίας των δεδομένων για συγκεκριμένους τομείς όπως η επιβολή του νόμου. Ο ΕΕΠΔ συστήνει να ληφθούν υπόψη οι συνέπειες αυτών των διαφορετικών οπτικών κατά την προετοιμασία μελλοντικής συμφωνίας.

III.2.   Φύση της συμφωνίας

Το ευρωπαϊκό θεσμικό πλαίσιο

29.

Βραχυπρόθεσμα, σε κάθε περίπτωση, έχει ουσιαστική σημασία να καθοριστεί στο πλαίσιο ποιου πυλώνα θα συζητηθεί η ρύθμιση. Είναι αναγκαίο ιδίως λόγω του εσωτερικού κανονιστικού πλαισίου για την προστασία των δεδομένων που θα επηρεαστεί από αυτή τη συμφωνία. Θα είναι το πλαίσιο του πρώτου πυλώνα - βασικά η οδηγία 95/46/ΕΚ με το ειδικό καθεστώς για τη διαβίβαση δεδομένων σε τρίτες χώρες - ή θα είναι το πλαίσιο του τρίτου πυλώνα με λιγότερο αυστηρό καθεστώς για τις διαβιβάσεις σε τρίτες χώρες; (15)

30.

Ενώ οι σκοποί επιβολής του νόμου υπερτερούν, όπως προαναφέρθηκε, η έκθεση της Ομάδας επαφής υψηλού επιπέδου αναφέρει, εντούτοις, τη συλλογή δεδομένων από ιδιωτικούς φορείς, και οι σκοποί μπορούν επίσης να τύχουν ευρείας ερμηνείας που δεν θα περιορίζεται στην ασφάλεια και μόνο, περιλαμβάνοντας π.χ. θέματα μετανάστευσης και ελέγχου του συνόρων, αλλά ενδεχομένως και δημόσιας υγείας. Έχοντας υπόψη αυτές τις ασάφειες, θεωρείται κατά πολύ προτιμότερο να αναμένεται η εναρμόνιση των πυλώνων βάσει του κοινοτικού δικαίου, όπως προβλέπεται στη Συνθήκη της Λισσαβώνας, προκειμένου να καθοριστεί σαφώς η νομική βάση των διαπραγματεύσεων και ο ακριβής ρόλος των ευρωπαϊκών θεσμικών οργάνων, κυρίως του Ευρωπαϊκού Κοινοβουλίου και της Επιτροπής.

Δεσμευτικός χαρακτήρας της νομικής πράξης

31.

Πρέπει να καταστεί σαφές εάν τα συμπεράσματα των συζητήσεων θα καταλήξουν σε μνημόνιο συμφωνίας ή άλλο μη δεσμευτικό μέσο, ή σε δεσμευτική διεθνή συμφωνία.

32.

Ο ΕΕΠΔ υποστηρίζει την προτίμηση της έκθεσης για δεσμευτική συμφωνία. Η επίσημη δεσμευτική συμφωνία είναι, κατά την άποψη του ΕΕΠΔ, άκρως απαραίτητη προϋπόθεση για οποιαδήποτε διαβίβαση δεδομένων εκτός ΕΕ, ανεξάρτητα από τον σκοπό για τον οποίο διαβιβάζονται τα δεδομένα. Καμία διαβίβαση δεδομένων σε τρίτη χώρα δεν μπορεί να πραγματοποιηθεί χωρίς να περιλαμβάνονται οι κατάλληλοι όροι και οι κατάλληλες διασφαλίσεις σε ειδικό (και δεσμευτικό) νομικό πλαίσιο. Με άλλα λόγια, ένα μνημόνιο συμφωνίας ή άλλη μη δεσμευτική νομική πράξη μπορεί να είναι χρήσιμο για να παρέχει κατευθύνσεις σε σχέση με τις διαπραγματεύσεις για περαιτέρω δεσμευτικές συμφωνίες, αλλά δεν μπορεί ποτέ να αντικαταστήσει την ανάγκη δεσμευτικής συμφωνίας.

Άμεσα αποτελέσματα

33.

Οι διατάξεις της νομικής πράξης πρέπει να είναι εξίσου δεσμευτικές τόσο για τις ΗΠΑ, όσο και για την ΕΕ και τα κράτη μέλη της.

34.

Πρέπει επιπλέον να εξασφαλιστεί ότι ο καθένας έχει το δικαίωμα να ασκεί τα δικαιώματά του και, ειδικότερα, να απολαύει έννομης προστασίας, βάσει των αρχών που έχουν συμφωνηθεί. Σύμφωνα με τον ΕΕΠΔ, αυτό είναι δυνατόν να επιτευχθεί καλύτερα εάν οι ουσιαστικές διατάξεις της νομικής πράξης διατυπωθούν κατά τρόπον ώστε να έχουν άμεσα αποτελέσματα για τους κατοίκους της Ευρωπαϊκής Ένωσης και να μπορεί να γίνει επίκλησή τους ενώπιον δικαστηρίου. Η άμεση ισχύς των διατάξεων της διεθνούς συμφωνίας, καθώς και οι όροι της μεταφοράς της στο εσωτερικό ευρωπαϊκό και εθνικό δίκαιο προκειμένου να εξασφαλιστεί η αποτελεσματικότητα των μέτρων, πρέπει συνεπώς να δηλώνονται σαφώς στο ίδιο το μέσο.

Σχέση με άλλες νομικές πράξεις

35.

Ένα επίσης θεμελιώδες ζήτημα είναι σε ποιο βαθμό είναι αυτοτελής η συμφωνία ή εάν πρέπει να συμπληρώνεται κατά περίπτωση με περαιτέρω συμφωνίες για συγκεκριμένες ανταλλαγές δεδομένων. Είναι πράγματι αμφίβολο αν μία και μόνη συμφωνία μπορεί να καλύψει επαρκώς, με μία και μόνη δέσμη μέτρων, τις πολλαπλές ιδιαιτερότητες της επεξεργασίας δεδομένων στον τρίτο πυλώνα. Ακόμα πιο αμφίβολο είναι να μπορεί να δίνει τη δυνατότητα, χωρίς επιπλέον συζητήσεις και διασφαλίσεις, συνολικής έγκρισης κάθε διαβίβασης προσωπικών δεδομένων όποιος κι αν είναι ο σκοπός αλλά και η φύση των δεδομένων αυτών. Πέραν τούτου, οι συμφωνίες με τρίτες χώρες δεν είναι απαραίτητα μόνιμες, καθώς μπορούν να αποτελέσουν αντικείμενο συγκεκριμένων απειλών, να αναθεωρηθούν ή και να υπόκεινται σε ρήτρες λήξης ισχύος. Από την άλλη πλευρά, οι κοινές ελάχιστες προδιαγραφές όπως αναγνωρίζονται σε δεσμευτική πράξη είναι δυνατόν να διευκολύνουν τις περαιτέρω συζητήσεις σχετικά με τη διαβίβαση των προσωπικών δεδομένων σε σχέση με συγκεκριμένη βάση δεδομένων ή τις λειτουργίες επεξεργασίας.

36.

Ο ΕΕΠΔ τείνει, επομένως, υπέρ της ανάπτυξης μιας ελάχιστης δέσμης κριτηρίων προστασίας των δεδομένων που θα συμπληρώνονται κατά περίπτωση με πρόσθετες ειδικές διατάξεις, όπως αναφέρεται στην έκθεση της Ομάδας επαφής υψηλού επιπέδου, και όχι υπέρ της επιλογής της μίας και μόνης συμφωνίας. Οι εν λόγω πρόσθετες ειδικές διατάξεις είναι προϋπόθεση για να επιτραπεί η διαβίβαση των δεδομένων σε συγκεκριμένη περίπτωση. Αυτό θα ενθαρρύνει και την εναρμονισμένη προσέγγιση της προστασίας των δεδομένων.

Εφαρμογή στις ισχύουσες πράξεις

37.

Πρέπει επίσης να εξεταστεί πώς ενδεχόμενη γενική συμφωνία θα συνδυαζόταν με τις ήδη ισχύουσες συμφωνίες που έχουν συναφθεί μεταξύ ΕΕ και ΗΠΑ. Σημειωτέον ότι οι εν λόγω ισχύουσες συμφωνίες δεν έχουν τον ίδιο δεσμευτικό χαρακτήρα: αναφέρονται ειδικότερα η συμφωνία PNR (αυτή που παρουσιάζει την μεγαλύτερη ασφάλεια δικαίου), οι συμφωνίες Ευρωπόλ και Eurojust ή η ανταλλαγή επιστολών για τη SWIFT (16). Ένα νέο γενικό πλαίσιο θα συμπληρώνει αυτές τις ισχύουσες πράξεις ή θα παραμείνουν άθικτες και το νέο πλαίσιο θα ισχύει μόνο στις άλλες μελλοντικές ανταλλαγές προσωπικών δεδομένων; Κατά την άποψη του ΕΕΠΔ, η νομική συνέπεια απαιτεί μια εναρμονισμένη δέσμη κανόνων που εφαρμόζεται για τις ισχύουσες και τις μελλοντικές δεσμευτικές συμφωνίες για τις διαβιβάσεις δεδομένων και τις συμπληρώνει.

38.

Η εφαρμογή της γενικής συμφωνίας στις ισχύουσες πράξεις θα έχει ως πλεονέκτημα την ενίσχυση του δεσμευτικού χαρακτήρα τους. Αυτό θα είναι ιδιαιτέρως ευπρόσδεκτο όσον αφορά τις πράξεις που δεν είναι νομικά δεσμευτικές, όπως η ανταλλαγή επιστολών για τη SWIFT, καθώς θα επιβάλει τουλάχιστον τη συμμόρφωση προς μια δέσμη γενικών αρχών στο πεδίο της ιδιωτικής ζωής.

IV.   ΓΕΝΙΚΗ ΝΟΜΙΚΗ ΑΞΙΟΛΟΓΗΣΗ

39.

Το παρόν κεφάλαιο θα εξετάσει πώς αξιολογείται το επίπεδο προστασίας ενός συγκεκριμένου πλαισίου ή πράξης, συμπεριλαμβανομένου του ζητήματος των σημείων αναφοράς που πρέπει να χρησιμοποιούνται και των αναγκαίων βασικών προϋποθέσεων.

Κατάλληλο επίπεδο προστασίας

40.

Σύμφωνα με τον ΕΕΠΔ, πρέπει να είναι σαφές ότι ένα από τα κύρια αποτελέσματα μιας μελλοντικής πράξης θα είναι ότι η διαβίβαση προσωπικών δεδομένων στις Ηνωμένες Πολιτείες μπορεί να πραγματοποιείται μόνο εφόσον οι αρχές των Ηνωμένων Πολιτειών εγγυώνται το κατάλληλο επίπεδο προστασίας (και τανάπαλιν).

41.

Ο ΕΕΠΔ θεωρεί ότι μόνο μια εξέταση πραγματικής καταλληλότητας θα εξασφαλίσει ικανοποιητικές εγγυήσεις όσον αφορά το επίπεδο προστασίας των προσωπικών δεδομένων. Θεωρεί δε ότι μια γενική συμφωνία-πλαίσιο με πεδίο εφαρμογής τόσο ευρύ όσο της συμφωνίας στην έκθεση της Ομάδας επαφής υψηλού επιπέδου δύσκολα θα περάσει, ως έχει, μια εξέταση πραγματικής καταλληλότητας. Η καταλληλότητα της γενικής συμφωνίας μπορεί να αναγνωριστεί μόνο εάν συνδυάζεται με καταλληλότητα ειδικών συμφωνιών που συνάπτονται κατά περίπτωση.

42.

Η εκτίμηση του επιπέδου προστασίας που παρέχουν τρίτες χώρες δεν είναι ασύνηθες έργο, ιδίως για την Ευρωπαϊκή Επιτροπή: η καταλληλότητα αποτελεί απαίτηση για τη διαβίβαση στο πλαίσιο του πρώτου πυλώνα. Έχει μετρηθεί σε διάφορες περιπτώσεις σύμφωνα με το άρθρο 25 της οδηγίας 95/46 βάσει ειδικών κριτηρίων και έχει επιβεβαιωθεί με αποφάσεις της Ευρωπαϊκής Επιτροπής (17). Στο πλαίσιο του τρίτου πυλώνα δεν προβλέπεται ρητά τέτοιο σύστημα: η μέτρηση της καταλληλότητας της προστασίας προβλέπεται μόνο στην ειδική περίπτωση των άρθρων 11 και 13 της απόφασης-πλαισίου (18) σχετικά με την προστασία των δεδομένων — που δεν έχει ακόμα εκδοθεί — και επαφίεται στα κράτη μέλη.

43.

Στην παρούσα περίπτωση, το πεδίο εφαρμογής του έργου άπτεται των σκοπών της επιβολής του νόμου και οι συζητήσεις διεξάγονται από την Επιτροπή υπό την εποπτεία του Συμβουλίου. Το πλαίσιο είναι διαφορετικό από την αξιολόγηση των αρχών της περιοχής ασφαλείας ή την καταλληλότητα του καναδικού δικαίου και συνδέεται περισσότερο με τις πρόσφατες διαπραγματεύσεις για τα δεδομένα PNR με τις ΗΠΑ και την Αυστραλία οι οποίες πραγματοποιήθηκαν στο νομικό πλαίσιο του τρίτου πυλώνα. Ωστόσο, οι αρχές της Ομάδας επαφής υψηλού επιπέδου αναφέρθηκαν επίσης στα συμφραζόμενα του προγράμματος απαλλαγής από την υποχρέωση θεώρησης, που αφορά τα σύνορα και τη μετανάστευση και ως εκ τούτου θέματα πρώτου πυλώνα.

44.

Ο ΕΕΠΔ συστήνει κάθε διαπίστωση καταλληλότητας στο πλαίσιο μελλοντικής πράξης να βασίζεται στην εμπειρία που έχει αντληθεί από αυτούς τους διαφορετικούς τομείς. Συστήνει την περαιτέρω επεξεργασία της έννοιας της «καταλληλότητας» στα πλαίσια μελλοντικής πράξης, βάσει παρόμοιων κριτηρίων, όπως έχουν χρησιμοποιηθεί σε προηγούμενους χαρακτηρισμούς καταλληλότητας.

Αμοιβαία αναγνώριση — αμοιβαιότητα

45.

Ένα δεύτερο στοιχείο του επιπέδου προστασίας σχετίζεται με την αμοιβαία αναγνώριση των συστημάτων της ΕΕ και των ΗΠΑ. Στην έκθεση της Ομάδας επαφής υψηλού επιπέδου αναφέρεται εν προκειμένω ότι ο στόχος θα είναι να «επιτευχθεί η αναγνώριση της αποτελεσματικότητας των εκατέρωθεν συστημάτων προστασίας της ιδιωτικής ζωής και των δεδομένων για τους τομείς που καλύπτουν αυτές οι αρχές» (19), καθώς επίσης «ισοδύναμη και αμοιβαία εφαρμογή της νομοθεσίας για την προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα».

46.

Είναι προφανές για τον ΕΕΠΔ ότι η αμοιβαία αναγνώριση (ή αμοιβαιότητα) είναι δυνατή μόνο εάν είναι εγγυημένο ικανό επίπεδο προστασίας. Με άλλα λόγια, η μελλοντική πράξη πρέπει να εναρμονίζει ένα ελάχιστο επίπεδο προστασίας (μέσω διαπίστωσης καταλληλότητας που λαμβάνει υπόψη την ανάγκη ειδικών συμφωνιών κατά περίπτωση). Μόνο με αυτή την προϋπόθεση μπορεί να αναγνωριστεί η αμοιβαιότητα.

47.

Το πρώτο στοιχείο που πρέπει να λαμβάνεται υπόψη είναι η αμοιβαιότητα των ουσιαστικών διατάξεων για την προστασία των δεδομένων. Κατά την άποψη του ΕΕΠΔ, μια συμφωνία πρέπει να καλύπτει την έννοια της αμοιβαιότητας των ουσιαστικών διατάξεων για την προστασία των δεδομένων με τρόπο που να εξασφαλίζει αφενός ότι η επεξεργασία δεδομένων στην επικράτεια της ΕΕ (και των ΗΠΑ) τηρεί πλήρως την εγχώρια νομοθεσία σχετικά με την προστασία των δεδομένων, και αφετέρου ότι η επεξεργασία εκτός της χώρας προέλευσης των δεδομένων και η οποία εμπίπτει στο πεδίο εφαρμογής της συμφωνίας τηρεί τις αρχές της προστασίας των δεδομένων ως έχουν στη συμφωνία.

48.

Το δεύτερο στοιχείο είναι η αμοιβαιότητα των μηχανισμών έννομης προστασίας. Πρέπει να εξασφαλιστεί ότι οι ευρωπαίοι πολίτες έχουν επαρκή μέσα έννομης προστασίας όταν δεδομένα σχετικά με τους ίδιους υποβάλλονται σε επεξεργασία στις Ηνωμένες Πολιτείες (ανεξάρτητα από το δίκαιο που ισχύει για την εν λόγω επεξεργασία), αλλά και ομοίως ότι η Ευρωπαϊκή Ένωση και τα κράτη μέλη της παρέχουν ισοδύναμα δικαιώματα στους πολίτες των ΗΠΑ.

49.

Το τρίτο στοιχείο είναι η αμοιβαιότητα της πρόσβασης των αρχών επιβολής του νόμου στα δεδομένα προσωπικού χαρακτήρα. Εάν μία πράξη επιτρέπει στις αρχές των Ηνωμένων Πολιτειών πρόσβαση σε δεδομένα προερχόμενα από την Ευρωπαϊκή Ένωση, η αμοιβαιότητα θα συνεπάγεται ότι η ίδια πρόσβαση πρέπει να παρέχεται στις αρχές της ΕΕ σε σχέση με δεδομένα προερχόμενα από τις ΗΠΑ. Η αμοιβαιότητα δεν πρέπει να βλάπτει την αποτελεσματικότητα της προστασίας του υποκειμένου των δεδομένων. Αυτό αποτελεί προϋπόθεση προκειμένου να επιτραπεί η «υπερατλαντική» πρόσβαση από τις αρχές επιβολής του νόμου. Συγκεκριμένα σημαίνει ότι:

Η άμεση πρόσβαση από τις αρχές των Ηνωμένων Πολιτειών σε δεδομένα εντός της επικράτειας της ΕΕ (και αντίστροφα) δεν πρέπει να επιτρέπεται. Η πρόσβαση πρέπει μόνο να παρέχεται με έμμεσο τρόπο στο πλαίσιο συστήματος «προώθησης».

Η εν λόγω πρόσβαση πρέπει να πραγματοποιείται υπό τον έλεγχο των αρχών προστασίας των δεδομένων και των δικαστικών αρχών της χώρας όπου διενεργείται η επεξεργασία των δεδομένων.

Η πρόσβαση από τις αρχές των Ηνωμένων Πολιτειών σε βάσεις δεδομένων εντός της ΕΕ πρέπει να τηρούν τις ουσιαστικές διατάξεις για την προστασία των δεδομένων (βλ. παραπάνω) και να εξασφαλίζουν πλήρη έννομη προστασία στο υποκείμενο των δεδομένων.

Ακρίβεια της πράξης

50.

Ο καθορισμός των όρων αξιολόγησης (καταλληλότητα, ισοδυναμία, αμοιβαία αναγνώριση) έχει ουσιαστική σημασία επειδή ορίζει το περιεχόμενο, από την άποψη της ακρίβειας, την ασφάλεια δικαίου και την αποτελεσματικότητα της προστασίας. Το περιεχόμενο μιας μελλοντικής πράξης πρέπει να είναι ακριβές και συγκεκριμένο.

51.

Πέραν τούτου, πρέπει να είναι σαφές ότι κάθε ειδική συμφωνία που συνάπτεται περαιτέρω πρέπει επίσης να περιλαμβάνει λεπτομερείς και πλήρεις διασφαλίσεις προστασίας των δεδομένων σε σχέση με το υποκείμενο της προβλεπόμενης ανταλλαγής δεδομένων. Μόνο ένα τέτοιο διπλό επίπεδο συγκεκριμένων αρχών προστασίας των δεδομένων θα εξασφαλίζει την απαραίτητη «στενή εγγύτητα» μεταξύ της γενικής συμφωνίας και ειδικών συμφωνιών, όπως ήδη παρατηρήθηκε στα σημεία 35 και 36 της παρούσας γνωμοδότησης.

Ανάπτυξη προτύπου για άλλες τρίτες χώρες

52.

Ο βαθμός στον οποίο μια συμφωνία με τις ΗΠΑ μπορεί να αποτελέσει πρότυπο για άλλες τρίτες χώρες χρειάζεται ιδιαίτερη προσοχή. Ο ΕΕΠΔ σημειώνει ότι εκτός από τις ΗΠΑ, η προαναφερόμενη έκθεση της ομάδας «Μέλλον» υποδεικνύει και τη Ρωσία ως στρατηγικό εταίρο της ΕΕ. Όσο οι αρχές είναι ουδέτερες και συνάδουν με τις θεμελιώδεις διασφαλίσεις της ΕΕ, μπορούν να αποτελέσουν χρήσιμο προηγούμενο. Εντούτοις, οι ιδιαιτερότητες που σχετίζονται π.χ. με το νομικό πλαίσιο της χώρας αποδέκτη ή το σκοπό της διαβίβασης θα αποτρέπουν την απλή μεταφορά της συμφωνίας. Εξίσου αποφασιστικό στοιχείο είναι η κατάσταση της δημοκρατίας σε τρίτες χώρες: πρέπει να εξασφαλιστεί ότι οι συμφωνηθείσες αρχές θα τύχουν ουσιαστικής κατοχύρωσης και εφαρμογής στη χώρα αποδέκτη.

Με ποια σημεία αναφοράς αξιολογείται το επίπεδο προστασίας;

53.

Η έμμεσα ή άμεσα δηλούμενη καταλληλότητα πρέπει οπωσδήποτε να συνάδει με το διεθνές και το ευρωπαϊκό νομικό πλαίσιο και ιδιαίτερα με τις κοινώς συμφωνηθείσες διασφαλίσεις προστασίας των δεδομένων. Αυτές κατοχυρώνονται στις κατευθυντήριες γραμμές των Ηνωμένων Εθνών, στη Σύμβαση 108 του Συμβουλίου της Ευρώπης και το πρόσθετο πρωτόκολλό της, στις κατευθυντήριες γραμμές του ΟΟΣΑ και το σχέδιο απόφασης-πλαισίου σχετικά με την προστασία των δεδομένων, καθώς επίσης, όσον αφορά τις πτυχές του πρώτου πυλώνα, στην οδηγία 95/46/EK (20). Όλες αυτές οι πράξεις περιέχουν παρόμοιες αρχές που αναγνωρίζονται ευρύτερα ως βασικός πυρήνας της προστασίας των δεδομένων προσωπικού χαρακτήρα.

54.

Ακόμα σημαντικότερο είναι οι προαναφερόμενες αρχές να λαμβάνονται δεόντως υπόψη, λόγω του αντίκτυπου που θα έχει ενδεχόμενη συμφωνία όπως η προβλεπόμενη στην έκθεση της Ομάδας επαφής υψηλού επιπέδου. Μια πράξη που καλύπτει ολόκληρο τον τομέα της επιβολής του νόμου μιας τρίτης χώρας θα είναι πραγματικά γεγονός χωρίς προηγούμενο. Οι υφιστάμενες αποφάσεις καταλληλότητας στον πρώτο πυλώνα και οι συμφωνίες που έχουν συναφθεί με τρίτες χώρες στο πλαίσιο του τρίτου πυλώνα της ΕΕ (Ευρωπόλ, Eurojust) πάντα συνδέονταν με ειδική διαβίβαση δεδομένων, ενώ με την παρούσα ενδέχεται να καταστούν δυνατές διαβιβάσεις με πολύ ευρύτερο πεδίο, λόγω του ευρέως σκοπού που επιδιώκεται (δίωξη εγκλημάτων, εθνική και δημόσια ασφάλεια, επιβολή του νόμου σχετικά με τα σύνορα) και του άγνωστου αριθμού σχετιζόμενων βάσεων δεδομένων.

Βασικές προϋποθέσεις

55.

Οι όροι συμμόρφωσης στα πλαίσια της διαβίβασης δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες καταρτίσθηκαν σε έγγραφο εργασίας της Ομάδας του άρθρου 29 (21). Κάθε συμφωνία για στοιχειώδεις αρχές σχετικά με την ιδιωτική ζωή πρέπει να ελέγχεται με δοκιμασία συμμόρφωσης που να εξασφαλίζει την αποτελεσματικότητα των διασφαλίσεων προστασίας των δεδομένων.

Σχετικά με την ουσία: οι αρχές σχετικά με την προστασία των δεδομένων πρέπει να παρέχουν υψηλό επίπεδο προστασίας και να ανταποκρίνονται στα πρότυπα που συνάδουν με τις αρχές της ΕΕ. Οι 12 αρχές που περιλαμβάνονται στην έκθεση της Ομάδας επαφής υψηλού επιπέδου αναλύονται περαιτέρω υπό αυτή την άποψη στο Κεφάλαιο V της παρούσας γνωμοδότησης.

Σχετικά με την ιδιαιτερότητα: ανάλογα με τη φύση της συμφωνίας, και ιδίως αν αποτελεί επίσημη διεθνή συμφωνία, οι κανόνες και οι διαδικασίες πρέπει να είναι αρκετά λεπτομερείς με στόχο την ουσιαστική εφαρμογή της.

Σχετικά με την εποπτεία: προκειμένου να εξασφαλιστεί συμμόρφωση με τους συμφωνηθέντες κανόνες, πρέπει να θεσπιστούν ειδικοί μηχανισμοί ελέγχου, τόσο εσωτερικοί έλεγχοι όσο και εξωτερικές επανεξετάσεις. Οι μηχανισμοί αυτοί πρέπει να είναι εξίσου διαθέσιμοι σε αμφότερα τα μέρη της συμφωνίας. Η εποπτεία περιλαμβάνει μηχανισμούς εξασφάλισης της συμμόρφωσης σε μεγαλύτερη εμβέλεια όπως οι κοινοί μηχανισμοί επανεξέτασης, καθώς και της συμμόρφωσης σε μικρότερη εμβέλεια, όπως η ατομική έννομη προστασία.

56.

Πέραν αυτών των τριών βασικών προϋποθέσεων, ιδιαίτερη προσοχή πρέπει να δοθεί στις ιδιαιτερότητες που συνδέονται με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της επιβολής του νόμου. Πρόκειται πράγματι για τομέα όπου τα θεμελιώδη δικαιώματα μπορούν να υποστούν περιορισμούς. Πρέπει επομένως να θεσπισθούν διασφαλίσεις ως αντιστάθμιση στον περιορισμό των ατομικών δικαιωμάτων, ιδίως όσον αφορά τις ακόλουθες πτυχές, λόγω του αντίκτυπου στο κάθε άτομο:

Διαφάνεια: οι παροχή πληροφοριών και η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα να περιορίζεται στο πλαίσιο της επιβολής του νόμου, παραδείγματος χάριν για τις ανάγκες εμπιστευτικών ερευνών. Ενώ εντός της ΕΕ θεσπίζονται παραδοσιακά πρόσθετοι μηχανισμοί ως αντιστάθμιση σε αυτόν τον περιορισμό των θεμελιωδών δικαιωμάτων (περιλαμβάνοντας συχνά ανεξάρτητες αρχές προστασίας των δεδομένων), πρέπει να εξασφαλιστεί ότι παρόμοιοι μηχανισμοί αντιστάθμισης θα είναι διαθέσιμοι μόλις οι πληροφορίες διαβιβαστούν σε τρίτη χώρα.

Έννομη προστασία: για τους προαναφερόμενους λόγους, ο καθένας πρέπει να διαθέτει εναλλακτικές δυνατότητες υπεράσπισης των δικαιωμάτων του, ειδικότερα μέσω ανεξάρτητης εποπτικής αρχής και ενώπιον δικαστηρίου.

Διατήρηση δεδομένων: η αιτιολόγηση του διαστήματος διατήρησης των δεδομένων ενδέχεται να μην είναι διαφανής. Πρέπει να ληφθούν μέτρα ώστε αυτό να μην εμποδίζει τα υποκείμενα των δεδομένων ή τις εποπτικές αρχές στην ουσιαστική άσκηση των δικαιωμάτων τους.

Λογοδοσία των αρχών επιβολής του νόμου: ελλείψει ουσιαστικής διαφάνειας, οι ελεγκτικοί μηχανισμοί είτε ατομικών είτε θεσμικών φορέων δεν μπορούν με κανένα τρόπο να είναι ολοκληρωτικοί. Θα έχει ζωτική σημασία η καθιέρωση τέτοιου είδους ελέγχων, λόγω της ευαίσθητου χαρακτήρα των δεδομένων και των εξαναγκαστικών μέτρων που μπορούν να ληφθούν εναντίον ατόμων κατόπιν της επεξεργασίας των δεδομένων. Η λογοδοσία αποτελεί θέμα κρίσιμης σπουδαιότητας για τους εθνικούς μηχανισμούς ελέγχου της χώρας αποδέκτη, αλλά και για τις δυνατότητες επανεξέτασης από τη χώρα ή την περιοχή προέλευσης των δεδομένων. Οι εν λόγω μηχανισμοί επανεξέτασης προβλέπονται σε ειδικές συμφωνίες όπως η Συμφωνία PNR και ο ΕΕΠΔ συστήνει ιδιαιτέρως να περιληφθούν επίσης στη γενική πράξη.

V.   ΑΝΑΛΥΣΗ ΤΩΝ ΑΡΧΩΝ

Εισαγωγή

57.

Το παρόν κεφάλαιο αναλύει τις 12 αρχές που περιλαμβάνονται στο έγγραφο της Ομάδας επαφής υψηλού επιπέδου υπό την ακόλουθη οπτική:

Οι εν λόγω αρχές καταδεικνύουν ότι οι ΗΠΑ και η ΕΕ συμμερίζονται μερικές απόψεις στο επίπεδο των αρχών, καθώς σημειώνονται ομοιότητες με τις αρχές της Σύμβασης 108.

Ωστόσο, μια συμφωνία για το επίπεδο των αρχών δεν είναι αρκετή. Μια νομική πράξη πρέπει να είναι αρκετά ισχυρή ώστε να εξασφαλίζει τη συμμόρφωση.

Ο ΕΕΠΔ εκφράζει τη λύπη του για το γεγονός ότι οι αρχές αυτές δεν συνοδεύονται από αιτιολογική έκθεση.

Πρέπει να είναι σαφές, πριν από την εισαγωγή στην περιγραφή των αρχών, ότι αμφότερα τα μέρη κατανοούν κατά τον ίδιο τρόπο τη διατύπωση που χρησιμοποιείται, παραδείγματος χάριν όσον αφορά την έννοια των προσωπικών στοιχείων ή των ατόμων που προστατεύονται. Οι ορισμοί εν προκειμένω θα είναι ευπρόσδεκτοι.

1.   Προδιαγραφή του σκοπού

58.

Η πρώτη αρχή που καταγράφεται στο παράρτημα της έκθεσης της Ομάδας επαφής υψηλού επιπέδου δηλώνει ότι τα προσωπικά στοιχεία υποβάλλονται σε επεξεργασία για νόμιμους σκοπούς επιβολής του νόμου. Όπως λέχθηκε ανωτέρω, αυτό αναφέρεται για την Ευρωπαϊκή Ένωση στην πρόληψη, τη διαπίστωση, τη διερεύνηση και δίωξη των παραβάσεων του ποινικού νόμου. Για τις ΗΠΑ, όμως, η ερμηνεία της επιβολής του νόμου δεν αφορά μόνο τις παραβάσεις του ποινικού νόμου και περιλαμβάνει τους «σκοπούς της επιβολής του νόμου σχετικά με τα σύνορα, της δημόσιας ασφάλειας και της εθνικής ασφαλείας». Οι συνέπειες αυτών των αναντιστοιχιών μεταξύ των δεδηλωμένων σκοπών της ΕΕ και των ΗΠΑ δεν είναι εμφανείς. Ενώ στην έκθεση αναφέρεται ότι, στην πράξη, οι σκοποί μπορεί να συμπίπτουν σε μεγάλο βαθμό, παραμένει αποφασιστικής σημασίας να γνωρίζουμε με ακρίβεια σε ποιο βαθμό δεν συμπίτουν. Στην τομέα της επιβολής του νόμου, λόγω των συνεπειών που έχουν τα θεσπιζόμενα μέτρα επί των προσώπων, η αρχή του περιορισμού του σκοπού πρέπει να τηρείται αυστηρά και οι σκοποί που δηλώνονται πρέπει να είναι σαφείς και οριοθετημένοι. Έχοντας υπόψη την αμοιβαιότητα που προβλέπεται στην έκθεση, η προσέγγιση των σκοπών αυτών φαίνεται επίσης ουσιαστικής σημασίας. Εν ολίγοις, απαιτείται διευκρίνιση του τι εννοείται με αυτή την αρχή.

2.   Ακεραιότητα/ποιότητα των δεδομένων

59.

Ο ΕΕΠΔ χαιρετίζει τη διάταξη που απαιτεί ακριβή, συναφή, έγκαιρα και πλήρη προσωπικά πληροφοριακά στοιχεία, σύμφωνα με τις ανάγκες της νόμιμης επεξεργασίας. Η αρχή αυτή αποτελεί βασικό όρο για κάθε αποδοτική επεξεργασία των δεδομένων.

3.   Αναγκαιότητα/αναλογικότητα

60.

Η παρούσα αρχή παρέχει σαφή δεσμό μεταξύ των πληροφοριών που συλλέγονται και της αναγκαιότητας να εκπληρώσουν οι συγκεκριμένες πληροφορίες έναν σκοπό επιβολής του νόμου που καθορίζεται δια νόμου. Αυτή η απαίτηση νομοθετικής βάσης συνιστά θετικό στοιχείο για την επιβεβαίωση της νομιμότητας της επεξεργασίας. Ο ΕΕΠΔ επισημαίνει εντούτοις ότι, μολονότι αυτό ενισχύει τη ασφάλεια δικαίου σχετικά με την επεξεργασία, η νομική βάση της επεξεργασίας στηρίζεται σε νόμο τρίτης χώρας. Νόμος τρίτης χώρας δεν είναι δυνατόν από μόνος του να αποτελέσει νομική βάση για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα (22). Από την έκθεση της Ομάδας επαφής υψηλού επιπέδου προκύπτει ότι εν γένει κρίνεται ότι αναγνωρίζεται η ισχύς του νόμου μιας τρίτης χώρας, δηλ. των Ηνωμένων Πολιτειών. Πρέπει να λαμβάνεται υπόψη ότι, εάν αυτό το σκεπτικό μπορεί να δικαιολογηθεί στην παρούσα περίπτωση επειδή οι Ηνωμένες Πολιτείες είναι δημοκρατικό κράτος, το ίδιο καθεστώς δεν θα ισχύει ούτε και θα μπορούσε να μεταφερθεί στις σχέσεις με άλλη τρίτη χώρα.

61.

Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα πρέπει να είναι συναφής, αναγκαία και σκόπιμη σύμφωνα με το παράρτημα της έκθεσης της Ομάδας επαφής υψηλού επιπέδου. Ο ΕΕΠΔ τονίζει ότι προκειμένου να είναι αναλογική, η επεξεργασία δεν πρέπει να είναι αδικαιολόγητα αδιάκριτη και ο τρόπος εφαρμογής της να είναι ισορροπημένος, λαμβάνοντας υπόψη τα δικαιώματα και τα συμφέροντα των υποκειμένων των δεδομένων.

62.

Για το λόγο αυτόν, η πρόσβαση στις πληροφορίες πρέπει να πραγματοποιείται κατά περίπτωση, αναλόγως των πρακτικών αναγκών στα πλαίσια συγκεκριμένης έρευνας. Η μόνιμη πρόσβαση αρχών επιβολής του νόμου τρίτης χώρας σε βάσεις δεδομένων που βρίσκονται εντός της ΕΕ θεωρείται δυσανάλογη και ανεπαρκώς δικαιολογημένη. Ο ΕΕΠΔ υπενθυμίζει ότι ακόμη και στο πλαίσιο των υφιστάμενων συμφωνιών για την ανταλλαγή δεδομένων, π.χ. στην περίπτωση της Συμφωνίας PNR, η ανταλλαγή των δεδομένων διενεργείται βάσει ειδικών συνθηκών και συνάπτεται για περιορισμένο χρονικό διάστημα (23).

63.

Κατά την ίδια λογική, η περίοδος διατήρησης των δεδομένων πρέπει να είναι ρυθμισμένη: τα δεδομένα πρέπει να διατηρούνται μόνο καθ' όσον είναι απαραίτητα κατά τον επιδιωκόμενο σκοπό. Εάν δεν έχουν πλέον συνάφεια με το προσδιορισθέντα σκοπό, πρέπει να διαγραφούν. Ο ΕΕΠΔ διαφωνεί έντονα με τη σύσταση χώρων αποθήκευσης δεδομένων όπου θα αποθηκεύονται πληροφοριακά στοιχεία για μη υπόπτους με σκοπό την πιθανή περαιτέρω ανάγκη χρησιμοποίησής τους.

4.   Ασφάλεια των πληροφοριών

64.

Μέτρα και διαδικασίες για την περιφρούρηση των δεδομένων από κατάχρηση, αλλοίωση και άλλους κινδύνους αναπτύσσονται στο πλαίσιο των αρχών, καθώς και διάταξη που περιορίζει την πρόσβαση μόνο στους εξουσιοδοτημένους. Ο ΕΕΠΔ θεωρεί ότι τα ανωτέρω είναι ικανοποιητικά.

65.

Επιπροσθέτως, η αρχή μπορεί να συμπληρωθεί με διάταξη που αναφέρει ότι πρέπει να τηρείται αρχείο των ατόμων που αποκτούν πρόσβαση στα δεδομένα. Αυτό θα ενισχύσει την αποτελεσματικότητα των διασφαλίσεων στον περιορισμό της πρόσβασης και στην αποτροπή της παράνομης χρήσης των δεδομένων.

66.

Πέραν τούτου, πρέπει να προβλεφθεί αμοιβαία ενημέρωση σε περίπτωση παραβίασης της ασφάλειας: οι αποδέκτες στις ΗΠΑ καθώς και στην ΕΕ θα είναι υπεύθυνοι για την ενημέρωση των ομολόγων τους σε περίπτωση που τα δεδομένα που έλαβαν έγιναν αντικείμενο παράνομης διάδοσης. Αυτό θα συμβάλει σε αύξηση της ευθύνης με σκοπό την ασφαλή επεξεργασία των δεδομένων.

5.   Ειδικές κατηγορίες προσωπικών πληροφοριακών στοιχείων

67.

Κατά την άποψη του ΕΕΠΔ, η αρχή που απαγορεύει την επεξεργασία δεδομένων ευαίσθητου περιεχομένου αποδυναμώνεται αρκετά λόγω της εξαίρεσης που επιτρέπει κάθε επεξεργασία δομένων ευαίσθητου περιεχομένου για την οποία το εγχώριο δίκαιο παρέχει τα «κατάλληλα εχέγγυα». Ακριβώς λόγω του ευαίσθητου χαρακτήρα των δεδομένων, κάθε παρέκκλιση από την αρχή της απαγόρευσης πρέπει να τυγχάνει ικανοποιητικής και επακριβούς αιτιολόγησης, με απαρίθμηση των σκοπών και των συνθηκών στο πλαίσιο των οποίων μπορεί να υποβληθεί σε επεξεργασία ένας καθορισμένος τύπος δεδομένων ευαίσθητου περιεχομένου, καθώς και ένδειξη της ιδιότητας των ελεγκτών που έχουν το δικαίωμα να επεξεργάζονται τα δεδομένα αυτά. Μεταξύ των διασφαλίσεων που πρέπει να θεσπισθούν, ο ΕΕΠΔ θεωρεί ότι τα δεδομένα ευαίσθητου περιεχομένου δεν πρέπει να αποτελούν αφ’ εαυτά στοιχείο για το οποίο είναι δυνατόν να κινηθεί έρευνα. Μπορεί να καθίστανται διαθέσιμα σε ειδικές περιστάσεις αλλά μόνο ως πρόσθετα πληροφοριακά στοιχεία όσον αφορά υποκείμενο δεδομένων το οποίο ήδη τελεί υπό έρευνα. Οι διασφαλίσεις και οι όροι αυτοί πρέπει να απαριθμούνται περιοριστικά στο κείμενο της αρχής.

6.   Λογοδοσία

68.

Όπως αναπτύχθηκε στα σημεία 55-56 της παρούσας γνωμοδότησης, η λογοδοσία των δημόσιων φορέων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα πρέπει να εξασφαλίζεται ουσιαστικά και εντός της συμφωνίας να παρέχονται διαβεβαιώσεις για τον τρόπο εξασφάλισης της λογοδοσίας. Αυτό καθίσταται ακόμα σημαντικότερο λόγω της έλλειψης διαφάνειας που συνδέεται παραδοσιακά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της επιβολής του νόμου. Εν προκειμένω, η απλή αναφορά - όπως συμβαίνει τώρα στο παράρτημα - ότι οι δημόσιοι φορείς είναι υπόλογοι χωρίς περαιτέρω εξηγήσεις σχετικά με τις λεπτομέρειες και τις συνέπειες αυτής της λογοδοσίας, δεν συνιστά ικανοποιητική διασφάλιση. Ο ΕΕΠΔ συστήνει να παρέχεται η εξήγηση αυτή στο κείμενο της πράξης.

7.   Ανεξάρτητη και ουσιαστική εποπτεία

69.

Ο ΕΕΠΔ υποστηρίζει πλήρως την προσθήκη διάταξης που προβλέπει ανεξάρτητη και ουσιαστική εποπτεία από μία ή περισσότερες δημόσιες εποπτικές αρχές. Θεωρεί ότι πρέπει να αποσαφηνίζεται πώς ερμηνεύεται η ανεξαρτησία, ειδικότερα από ποιον είναι ανεξάρτητες αυτές οι εποπτικές αρχές και σε ποιον αναφέρονται. Εν προκειμένω απαιτούνται κριτήρια τα οποία πρέπει να λαμβάνουν υπόψη τη θεσμική και τη λειτουργική ανεξαρτησία, σε σχέση με τους εκτελεστικούς και νομοθετικούς φορείς. Ο ΕΕΠΔ υπενθυμίζει ότι αυτό είναι απαραίτητο στοιχείο για να εξασφαλιστεί ουσιαστική συμμόρφωση με τις συμφωνηθείσες αρχές. Οι εξουσίες παρέμβασης και επιβολής αυτών των εποπτικών αρχών είναι επίσης ζωτικής σημασίας λόγω του ζητήματος της λογοδοσίας των δημόσιων φορέων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, όπως προαναφέρθηκε. Η ύπαρξη και οι αρμοδιότητές τους πρέπει να είναι εντελώς προφανείς για τα υποκείμενα των δεδομένων, προκειμένου να μπορέσουν να ασκήσουν τα δικαιώματά τους, ιδίως αν είναι αρμόδιες περισσότερες της μιας αρχές ανάλογα με το γενικό πλαίσιο της επεξεργασίας.

70.

Επιπλέον, ο ΕΕΠΔ συστήνει να προβλέπονται στη μελλοντική συμφωνία και μηχανισμοί συνεργασίας μεταξύ των εποπτικών αρχών.

8.   Ατομική πρόσβαση και διόρθωση

71.

Ειδικές εγγυήσεις απαιτούνται όταν πρόκειται για την πρόσβαση και τη διόρθωση στο πλαίσιο της επιβολής του νόμου. Ο ΕΕΠΔ επικροτεί, εν προκειμένω, την αρχή αυτή σύμφωνα με την οποία πρέπει να παρέχεται στο κάθε άτομο πρόσβαση και μέσα ώστε να μπορεί να επιδιώκει τη «διόρθωση ή/και διαγραφή των προσωπικών πληροφοριακών στοιχείων τους». Εντούτοις, μερικές ασάφειες παραμένουν ως προς τον ορισμό των ατόμων (όλα τα υποκείμενα δεδομένων πρέπει να προστατεύονται και όχι μόνο οι πολίτες της ενδιαφερόμενης χώρας) και των όρων υπό τους οποίους τα άτομα μπορούν να είναι σε θέση να αντιταχθούν στην επεξεργασία των δεδομένων τους. Απαιτούνται διευκρινίσεις για τις «κατάλληλες περιπτώσεις» στις οποίες μπορεί ή δεν μπορεί να υποβληθεί ένσταση. Πρέπει να είναι σαφές για τα υποκείμενα των δεδομένων σε ποιες περιπτώσεις - ανάλογα π.χ. με τον τύπο της εποπτικής αρχής, τον τύπο της έρευνας ή άλλα κριτήρια - θα είναι σε θέση να ασκήσουν τα δικαιώματά τους.

72.

Εκτός αυτού, εάν δεν υπάρχει άμεση δυνατότητα να διατυπωθεί αντίθεση σε επεξεργασία για αιτιολογημένους λόγους, πρέπει να υπάρχει δυνατότητα έμμεσης επαλήθευσης μέσω της ανεξάρτητης αρχής που είναι αρμόδια για την εποπτεία της επεξεργασίας.

9.   Διαφάνεια και κοινοποίηση

73.

Ο ΕΕΠΔ τονίζει για μια ακόμα φορά τη σημασία της ουσιαστικής διαφάνειας η οποία παρέχει στα άτομα τη δυνατότητα άσκησης των δικαιωμάτων τους και συμβάλει στη γενική ευθύνη των δημόσιων αρχών που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. Υποστηρίζει τις αρχές όπως έχουν διατυπωθεί και επιμένει ιδιαίτερα στην ανάγκη γενικής και ατομικής ειδοποίησης. Αυτό εμφαίνεται στη διατύπωση της αρχής στο σημείο 9 του παραρτήματος.

74.

Ωστόσο, στο Κεφάλαιο 2, Α. Β («Συμφωνηθείσες αρχές») της έκθεσης αναφέρεται ότι στις ΗΠΑ η διαφάνεια μπορεί να περιλαμβάνει «χωριστά ή σε συνδυασμό, δημοσίευση στο ομοσπονδιακό μητρώο (Federal Register), ατομική ειδοποίηση και γνωστοποίηση σε δικαστική διαδικασία». Πρέπει να είναι σαφές ότι η δημοσίευση σε Επίσημη Εφημερίδα δεν εγγυάται από μόνη της την κατάλληλη ενημέρωση του υποκειμένου των δεδομένων. Πέραν της ανάγκης ατομικής ειδοποίησης, ο ΕΕΠΔ υπενθυμίζει ότι η ενημέρωση πρέπει να παρέχεται σε μορφή και γλώσσα εύκολα κατανοητή από το υποκείμενο των δεδομένων.

10.   Έννομη προστασία

75.

Προκειμένου να διασφαλίζεται η ουσιαστική άσκηση των δικαιωμάτων τους, τα άτομα πρέπει να είναι σε θέση να υποβάλουν καταγγελία ενώπιον ανεξάρτητης αρχής προστασίας των δεδομένων, καθώς επίσης να έχουν δυνατότητα προσφυγής ενώπιον ανεξάρτητου και αμερόληπτου δικαστηρίου. Και οι δύο δυνατότητες έννομης προστασίας πρέπει να είναι εξίσου διαθέσιμες.

76.

Η πρόσβαση σε ανεξάρτητη αρχή προστασίας των δεδομένων είναι απαραίτητη δεδομένου ότι επιτρέπει την παροχή ευέλικτης και λιγότερο δαπανηρής βοήθειας, σε ένα πλαίσιο - της επιβολής του νόμου - που μπορεί να παρουσιάζεται μάλλον αδιαφανές για το μεμονωμένο άτομο. Οι αρχές προστασίας των δεδομένων μπορούν επίσης να παρέχουν βοήθεια στην άσκηση των δικαιωμάτων πρόσβασης των υποκειμένων των δεδομένων, εφόσον οι εξαιρέσεις δεν του επιτρέπουν να έχει άμεση πρόσβαση στα οικεία δεδομένα προσωπικού χαρακτήρα.

77.

Η πρόσβαση στο δικαστικό σύστημα είναι μια πρόσθετη και άκρως απαραίτητη εγγύηση ότι τα υποκείμενα των δεδομένων μπορούν να προσφύγουν ενώπιον μιας αρχής που υπάγεται σε κλάδο του δημοκρατικού συστήματος διακριτού από τους δημόσιους φορείς που επεξεργάζονται τα δεδομένα τους. Αυτή η ουσιαστική προσφυγή ενώπιον δικαστηρίου έχει θεωρηθεί από το Ευρωπαϊκό Δικαστήριο (24) ότι «αποτελεί ουσιώδη προϋπόθεση για τη διασφάλιση στους ιδιώτες της αποτελεσματικής προστασίας του δικαιώματός τους. (…) [Αποτελεί] γενική αρχή του κοινοτικού δικαίου απορρέουσα από τις κοινές στα κράτη μέλη συνταγματικές παραδόσεις και έχει καθιερωθεί με τα άρθρα 6 και 13 της Ευρωπαϊκής Σύμβασης για την προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών.» Η δυνατότητα προσφυγής ενώπιον δικαστηρίου προβλέπεται επίσης ρητά στο άρθρο 47 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και στο άρθρο 22 της κοινοτικής οδηγίας 95/46, με την επιφύλαξη τυχόν διοικητικής προσφυγής.

11.   Αυτοματοποιημένες ατομικές αποφάσεις

78.

Ο ΕΕΠΔ επικροτεί τη διάταξη που προβλέπει κατάλληλες διασφαλίσεις για την περίπτωση αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων. Επισημαίνει ότι η κοινή κατανόηση του τι θεωρείται «σημαντική δυσμενής ενέργεια για τα σχετικά συμφέροντα του ιδιώτη» θα διευκρίνιζε τους όρους εφαρμογής της συγκεκριμένης αρχής.

12.   Περαιτέρω διαβιβάσεις

79.

Οι όροι που έχουν τεθεί για ορισμένες περαιτέρω διαβιβάσεις είναι ασαφείς. Ειδικότερα, όταν η περαιτέρω διαβίβαση πρέπει να πραγματοποιείται σύμφωνα με διεθνείς διακανονισμούς και συμφωνίες μεταξύ των χωρών αποστολής και παραλαβής, τότε πρέπει να διευκρινιστεί εάν αυτό αναφέρεται σε συμφωνίες μεταξύ των δύο χωρών που κίνησαν την αρχική διαβίβαση ή των δύο χωρών που συμμετέχουν στην περαιτέρω διαβίβαση. Σύμφωνα με τον ΕΕΠΔ, οι συμφωνίες μεταξύ των δύο χωρών που κίνησαν την αρχική διαβίβαση είναι σε κάθε περίπτωση απαραίτητες.

80.

Ο ΕΕΠΔ επισημαίνει επίσης τον πολύ ευρύ ορισμό του «νόμιμου δημόσιου συμφέροντος» προκειμένου να επιτραπεί η περαιτέρω διαβίβαση. Το πεδίο εφαρμογής της δημόσιας ασφάλειας παραμένει ασαφές και η επέκταση των διαβιβάσεων σε περίπτωση παραβάσεων της δεοντολογίας ή νομικά κατοχυρωμένων επαγγελμάτων φαίνεται αδικαιολόγητη και υπερβολική στο πλαίσιο της επιβολής του νόμου.

VI.   ΣΥΜΠΕΡΑΣΜΑ

81.

Ο ΕΕΠΔ χαιρετίζει τις κοινές εργασίες της ΕΕ και των αρχών των ΗΠΑ στον τομέα της επιβολής του νόμου όπου η προστασία των δεδομένων έχει ζωτική σημασία. Επιθυμεί, ωστόσο, να επιμείνει στο γεγονός ότι το πρόκειται για πολυσύνθετο ζήτημα, ιδίως όσον αφορά το ακριβές πεδίο εφαρμογής και τη φύση του και, ως εκ τούτου, χρήζει προσεκτικής και εις βάθος ανάλυσης. Ο αντίκτυπος μιας διατλαντικής πράξης σχετικά με την προστασία των δεδομένων πρέπει να εξεταστεί προσεκτικά σε σχέση με το ισχύον νομικό πλαίσιο και τις συνέπειες για τους πολίτες.

82.

Ο ΕΕΠΔ ζητεί μεγαλύτερη σαφήνεια και πιο συγκεκριμένες διατάξεις ιδίως όσον αφορά τις ακόλουθες πτυχές:

Διασάφηση της φύσης της πράξης, η οποία πρέπει να είναι νομικά δεσμευτική προκειμένου να παρέχει επαρκή ασφάλεια δικαίου.

Διεξοδική διαπίστωση καταλληλότητας βάσει θεμελιωδών απαιτήσεων σχετικά με τις πτυχές της ουσίας, της ιδιαιτερότητας και της εποπτείας του συστήματος. Ο ΕΕΠΔ θεωρεί ότι η καταλληλότητα της γενικής πράξης μπορεί να αναγνωριστεί μόνο εάν συνδυάζεται με κατάλληλες ειδικές συμφωνίες κατά περίπτωση.

Οριοθετημένο πεδίο εφαρμογής με σαφή και κοινό ορισμό των σχετικών σκοπών επιβολής του νόμου.

Διευκρινίσεις όσον αφορά τις λεπτομέρειες συμμετοχής των ιδιωτικών φορέων στα συστήματα σχέδια διαβίβασης δεδομένων.

Τήρηση της αρχής της αναλογικότητας, κατά συνέπεια ανταλλαγή δεδομένων κατά περίπτωση εφόσον υπάρχει συγκεκριμένη ανάγκη.

Ισχυροί μηχανισμοί εποπτείας και μηχανισμοί έννομης προστασίας διαθέσιμοι στα υποκείμενα των δεδομένων, που συμπεριλαμβάνουν διοικητικές προσφυγές και ένδικα μέσα.

Αποτελεσματικά μέτρα που διασφαλίζουν την άσκηση των δικαιωμάτων όλων των υποκειμένων των δεδομένων, ανεξαρτήτως υπηκοότητας.

Συμμετοχή των ανεξάρτητων αρχών προστασίας των δεδομένων, ιδίως όσον αφορά την εποπτεία και τη βοήθεια προς τα υποκείμενα των δεδομένων.

83.

Ο ΕΕΠΔ επιμένει ότι είναι σκόπιμο να αποφευχθεί η βιασύνη στην επεξεργασία των αρχών επειδή θα οδηγήσει σε μη ικανοποιητικές λύσεις, με αποτελέσματα αντίθετα από τα επιδιωκόμενα από την άποψη της προστασίας των δεδομένων. Η καλύτερη ακολουθητέα πορεία σε αυτό το σημείο είναι, ως εκ τούτου, η κατάρτιση οδικού χάρτη προς την κατεύθυνση ενδεχόμενης συμφωνίας σε μεταγενέστερο στάδιο.

84.

Ο ΕΕΠΔ καλεί επίσης για περισσότερη διαφάνεια στη διαδικασία εκπόνησης των αρχών προστασίας των δεδομένων. Μόνο με τη συμμετοχή όλων των ενδιαφερομένων, συμπεριλαμβανομένου του Ευρωπαϊκού Κοινοβουλίου, θα μπορέσει η πράξη να ωφεληθεί από τον δημοκρατικό διάλογο και να κερδίσει την απαραίτητη υποστήριξη και αναγνώριση.

Βρυξέλλες, 11 Νοεμβρίου 2008

Peter HUSTINX

Ευρωπαίος Επόπτης Προστασίας Δεδομένων


(1)  Έγγραφο του Συμβουλίου αριθ. 9831/08, διαθέσιμο στο: http://ec.europa.eu/justice_home/fsj/privacy/news/index_en.htm

(2)  

Συμφωνία μεταξύ των Ηνωμένων Πολιτειών της Αμερικής και της Ευρωπαϊκής Αστυνομικής Υπηρεσίας της 6ης Δεκεμβρίου 2001, και Συμπληρωματική Συμφωνία μεταξύ της Ευρωπόλ και των ΗΠΑ για την ανταλλαγή προσωπικών δεδομένων και συναφών πληροφοριών, οι οποίες δημοσιεύθηκαν στον δικτυακό τόπο της Ευρωπόλ.

Συμφωνία μεταξύ των Ηνωμένων Πολιτειών της Αμερικής και της Eurojust για τη δικαστική συνεργασία, της 6ης Noεμβρίου 2006, η οποία δημοσιεύθηκε στον δικτυακό τόπο της Eurojust.

Συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής για την επεξεργασία και τη διαβίβαση δεδομένων από τις καταστάσεις με τα ονόματα των επιβατών (PNR) από τους αερομεταφορείς στο Υπουργείο Εσωτερικής Ασφαλείας των Ηνωμένων Πολιτειών της Αμερικής (DHS) (Συμφωνία 2007 PNR), η οποία υπογράφηκε στις Βρυξέλλες, στις 23 Ιουλίου 2007 και στην Ουάσινγκτον στις 26 Ιουλίου 2007, ΕΕ L 204, 4.8.2007, σ. 18.

Ανταλλαγή επιστολών μεταξύ των αρχών των Ηνωμένων Πολιτειών και της ΕΕ σχετικά με το «Σύστημα οικονομικού εντοπισμού τρομοκρατών», 28 Ιουνίου 2007.

(3)  ΕΕ L 213 της 8.8.2008, σ.49.

(4)  Απόφαση-πλαίσιο του Συμβουλίου σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, κείμενο της 24 Ιουνίου 2008, το οποίο είναι διαθέσιμο στην ιστοσελίδα http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

(5)  Όσον αφορά την αναγκαιότητα σαφούς νομικού πλαισίου, βλ. Κεφάλαια ΙΙΙ και IV της παρούσας γνωμοδότησης.

(6)  Σελίδα 5 της έκθεσης, κεφάλαιο Γ.

(7)  Βλ. ιδίως το Κεφάλαιο 3 της Έκθεσης «Εκκρεμή θέματα σχετικά με τις διατλαντικές σχέσεις», σημείο 1: «Συνέπεια υποχρεώσεων των ιδιωτικών φορέων κατά τις διαβιβάσεις δεδομένων».

(8)  Βλ. για το θέμα αυτό, τη Γνωμοδότηση του ΕΕΠΔ της 20ής Δεκεμβρίου 2007 σχετικά με πρότασης απόφασης-πλαισίου του Συμβουλίου για τη χρήση των δεδομένων των καταστάσεων με τα ονόματα των επιβατών (PNR) με σκοπό την επιβολή του νόμου, ΕΕ C 110, 01.05.2008 σ.1. «Κατά παράδοση υπάρχει σαφής διαχωρισμός μεταξύ δραστηριοτήτων επιβολής του νόμου και δραστηριοτήτων του ιδιωτικού τομέα, όπου τα καθήκοντα επιβολής του νόμου εκτελούνται από ειδικές αρχές, ιδίως αστυνομικές, και οι ιδιωτικοί φορείς καλούνται κατά περίπτωση να κοινοποιούν δεδομένα προσωπικού χαρακτήρα σε αυτές τις αρχές επιβολής του νόμου. Υπάρχει πλέον μια τάση να επιβάλλεται συνεργασία για σκοπούς επιβολής του νόμου σε ιδιωτικούς φορείς επί συστηματικής βάσεως»

(9)  Βλ. Γνωμοδότηση 10/2006 της Ομάδας του άρθρου 29, της 22 Νοεμβρίου 2006, όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από την Εταιρία Παγκόσμιων Διατραπεζικών Χρηματοπιστωτικών Τηλεπικοινωνιών (SWIFT), WP 128.

(10)  Γνωμοδότηση της 20ή Δεκεμβρίου 2007, όπ.παρ.

(11)  Βλ. την πρόταση απόφασης-πλαισίου του Συμβουλίου για τη χρήση των δεδομένων των καταστάσεων με τα ονόματα των επιβατών (PNR) με σκοπό την επιβολή του νόμου, που αναφέρεται στην υποσημείωση 8, όπως συζητήθηκε πρόσφατα στο Συμβούλιο.

(12)  Προτάσεις του γενικού εισαγγελέα Bot της 14ης Οκτωβρίου 2008, Ιρλανδία κατά Ευρωπαϊκού Κοινοβουλίου και Συμβουλίου, (Υπόθεση C-301/06), παρ. 108.

(13)  Απόφαση του Δικαστηρίου της 30ης Μαΐου 2006, Ευρωπαϊκό Κοινοβούλιο κατά Συμβουλίου της Ευρωπαϊκής Ένωσης (C-317/04) και Επιτροπής των Ευρωπαϊκών Κοινοτήτων (C-318/04), Συνεκδικαζόμενες υποθέσεις C-317/04 και C-318/04, ECR [2006] σ. Ι-4721.

(14)  Έκθεση της Άτυπης Συμβουλευτικής Ομάδας Υψηλού Επιπέδου για το μέλλον της Ευρωπαϊκής Πολιτικής Εσωτερικών Υποθέσεων, «Ελευθερία, Ασφάλεια, Ιδιωτική ζωή - Ευρωπαϊκές Εσωτερικές Υποθέσεις σε έναν ανοικτό κόσμο», Ιούνιος 2008, διαθέσιμο στην register.consilium.europa.eu

(15)  Βλ. άρθρα 11 και 13 της απόφασης-πλαισίου του Συμβουλίου για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, όπως αναφέρεται στο σημείο 7 της παρούσας γνωμοδότησης.

(16)  Βλέπε υποσημείωση 2.

(17)  Οι αποφάσεις της Επιτροπής σχετικά με την καταλληλότητα της προστασίας των προσωπικών δεδομένων σε τρίτες χώρες, συμπεριλαμβανομένης της Αργεντινής, του Καναδά, της Ελβετίας, των Ηνωμένων Πολιτειών, του Γκέρνσεϋ, της Νήσου του Μαν και του Τζέρσεϋ, είναι διαθέσιμες στην ιστοσελίδα http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm

(18)  Με περιορισμό στη διαβίβαση δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό από κράτος μέλος, τα οποία και έχουν παραληφθεί από αρμόδια αρχή άλλου κράτους μέλους.

(19)  Κεφάλαιο Α. Δεσμευτική διεθνής συμφωνία, σ. 8.

(20)  

Κατευθυντήριες γραμμές των Ηνωμένων Εθνών όσον αφορά τα μηχανογραφημένα αρχεία δεδομένων προσωπικού χαρακτήρα, τις οποίες ενέκρινε η Γενική Συνέλευση των Ηνωμένων Εθνών στις 14 Δεκεμβρίου 1990, διαθέσιμες στο www.unhchr.ch/html/menu3/b/71.htm

Σύμβαση του Συμβουλίου της Ευρώπης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα, της 28ης Ιανουαρίου 1981, διαθέσιμη στο www.conventions.coe.int/treaty/en/Treaties/html/108.htm

Κατευθυντήριες γραμμές του ΟΟΣΑ για την προστασία της Ιδιωτικής ζωής και τις Διασυνοριακές Ροές Προσωπικών Δεδομένων, που εκδόθηκαν στις 23 Σεπτεμβρίου 1980, διαθέσιμες στο www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html

Σχέδιο απόφασης-πλαισίου του Συμβουλίου σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, διαθέσιμο στο http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, ΕΕ L 281, 23.11.1995, σ. 31.

(21)  Έγγραφο εργασίας της 24ης Ιουλίου 1998 σχετικά με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες: Εφαρμογή των άρθρων 25 και 26 της οδηγίας της ΕΕ σχετικά με την προστασία των δεδομένων WP12.

(22)  Βλ. ειδικότερα το άρθρο 7 στοιχεία γ) και ε) της οδηγίας 95/46/ΕΚ. Στη γνωμοδότησή της 6/2002 της 24ης Οκτωβρίου 2002 σχετικά με τη διαβίβαση των έκδηλων στοιχείων επιβατών και άλλων πληροφοριακών στοιχείων από τις αεροπορικές εταιρίες στις Ηνωμένες Πολιτείες, η Ομάδα του άρθρου 29 δήλωσε ότι «δεν φαίνεται αποδεκτό να πρέπει μια μονομερής απόφαση που λαμβάνει τρίτη χώρα για λόγους δικού της δημοσίου συμφέροντος να οδηγεί σε τακτική και μαζική διαβίβαση δεδομένων που προστατεύονται στο πλαίσιο της οδηγίας».

(23)  Η συμφωνία θα λήξει και θα πάψει να έχει ισχύ επτά έτη μετά την ημερομηνία της υπογραφής εκτός αν τα μέρη συμφωνήσουν αμοιβαία την αντικατάστασή της.

(24)  Υπόθεση 222/84 Johnston [1986] Συλλ. 1651 Υπόθεση 222/86 Heylens [1987] Συλλ. 4097 Υπόθεση C-97/91 Borelli [1992] Συλλ. I-6313).


Top