11.5.2012   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 136/1

1.

Στις 29 Νοεμβρίου 2011, η Επιτροπή εξέδωσε δύο νομοθετικές προτάσεις για την εναλλακτική επίλυση διαφορών (στο εξής: «οι προτάσεις»):

2.

Στις 6 Δεκεμβρίου 2011, η πρόταση ΕΕΔ και η πρόταση ΗΕΔ διαβιβάστηκαν στον ΕΕΔΠ για διαβούλευση. Ο ΕΕΠΔ είχε επίσης προβεί σε άτυπη διαβούλευση πριν από την έκδοση των προτάσεων, επί των οποίων είχε διατυπώσει άτυπα σχόλια. Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για τη συγκεκριμένη έγκαιρη διαβούλευση και για το γεγονός ότι οι περισσότερες από τις συστάσεις του, όπως διατυπώθηκαν μέσω των προαναφερθέντων σχολίων, έχουν συμπεριληφθεί στις προτάσεις.

3.

Η παρούσα γνωμοδότηση αποσκοπεί στην ανάλυση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που προβλέπεται από τις προτάσεις καθώς και του τρόπου με τον οποίο αυτές άπτονται των ζητημάτων προστασίας δεδομένων. Η γνωμοδότηση εστιάζει στην πρόταση ΗΕΔ, καθώς αυτή προβλέπει την κεντρική επεξεργασία δεδομένων προσωπικού χαρακτήρα σχετικά με διαφορές μέσω ηλεκτρονικής πλατφόρμας.

4.

Τα συστήματα εναλλακτικής επίλυσης διαφορών (ΕΕΔ) παρέχουν εναλλακτικούς τρόπους επίλυσης διαφορών, οι οποίοι είναι συνήθως λιγότερο δαπανηροί και χρονοβόροι σε σχέση με την προσφυγή στη δικαιοσύνη. Στόχος της πρότασης ΕΕΠ είναι η διασφάλιση της λειτουργίας σε όλα τα κράτη μέλη της ΕΕ φορέων οι οποίοι θα επιλύουν τις διασυνοριακές καταναλωτικές διαφορές που τυχόν αναφύονται από την πώληση αγαθών ή την παροχή υπηρεσιών στο εσωτερικό της ΕΕ.

5.

Η πρόταση ΗΕΔ βασίζεται στη θέσπιση ενός συστήματος ΕΕΔ για τις καταναλωτικές διαφορές που θα καλύπτει το σύνολο της Ευρωπαϊκής Ένωσης. Προβλέπει τη δημιουργία μιας ηλεκτρονικής πλατφόρμας (στο εξής: η «πλατφόρμα ΗΕΔ») μέσω της οποίας καταναλωτές και έμποροι θα μπορούν να διαβιβάζουν καταγγελίες σχετικά με διασυνοριακές ηλεκτρονικές συναλλαγές στον αρμόδιο φορέα ΕΕΔ.

6.

Ο ΕΕΠΔ υποστηρίζει τον στόχο των προτάσεων και εκφράζει την ικανοποίησή του για το γεγονός ότι οι αρχές περί προστασίας δεδομένων έχουν ληφθεί υπόψη ήδη από το πρώιμο στάδιο της νομοθετικής διαδικασίας.

7.

Ο ΕΕΠΔ εκφράζει επίσης την ικανοποίησή του για τις παραπομπές της πρότασης ΗΕΔ (5) στην ισχύουσα νομοθεσία περί προστασίας δεδομένων, για τις παραπομπές στην εκάστοτε ισχύουσα εθνική νομοθεσία προς εφαρμογή της οδηγίας 95/46/ΕΚ στο πλαίσιο της πρότασης ΕΕΔ (6), καθώς και για τις παραπομπές στα πορίσματα της διαβούλευσης με τον ΕΕΔΠ (7).

8.

Σύμφωνα με την πρόταση ΗΕΔ, η επεξεργασία των δεδομένων για κάθε διαφορά που θα υποβάλλεται μέσω της πλατφόρμας ΗΕΔ θα γίνεται από τρεις διαφορετικούς παράγοντες:

Το άρθρο 11 παράγραφος 4 αναφέρει ότι οι παράγοντες αυτοί θεωρούνται υπεύθυνοι επεξεργασίας όσον αφορά τις δικές τους δραστηριότητες επεξεργασίας δεδομένων.

9.

Ωστόσο, πολλοί από τους εν λόγω υπεύθυνους επεξεργασίας θα μπορούσαν να θεωρηθούν αρμόδιοι για την επεξεργασία των ίδιων δεδομένων προσωπικού χαρακτήρα (9). Για παράδειγμα, δεδομένα που αφορούν ορισμένη διαφορά και διαβιβάζονται μέσω της πλατφόρμας ΗΕΔ ενδέχεται να εξεταστούν από διάφορους διαμεσολαβητές ΗΕΔ και από το αρμόδιο σύστημα ΕΕΔ που θα επιληφθεί της διαφοράς. Η Επιτροπή ενδέχεται επίσης να επεξεργαστεί τα εν λόγω δεδομένα στο πλαίσιο λειτουργίας και συντήρησης της πλατφόρμας ΗΕΔ.

10.

Συναφώς, ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι η αιτιολογική σκέψη 20 της πρότασης ΗΕΔ διαλαμβάνει ότι η νομοθεσία περί προστασίας δεδομένων ισχύει για τη δράση όλων των ανωτέρω παραγόντων. Ωστόσο, το νομοθετικό μέρος της πρότασης ΗΕΔ πρέπει να προσδιορίζει τουλάχιστον σε ποιους από τους υπεύθυνους επεξεργασίας θα πρέπει να απευθύνονται τα αιτήματα των υποκείμενων των δεδομένων για πρόσβαση, διόρθωση, φραγή και διαγραφή των δεδομένων αυτών, καθώς και ποιος υπεύθυνος επεξεργασίας πρέπει να λογοδοτεί σε περίπτωση συγκεκριμένων παραβιάσεων της νομοθεσίας περί προστασίας δεδομένων (π.χ. τυχόν παραβιάσεων όσον αφορά την ασφάλεια). Τα υποκείμενα των δεδομένων πρέπει επίσης να ενημερώνονται αναλόγως.

11.

Σύμφωνα με το άρθρο 11 της πρότασης ΗΕΔ, η πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας μέσω της πλατφόρμας ΗΕΔ περιορίζεται:

12.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για την εν λόγω οριοθέτηση του σκοπού και των δικαιωμάτων πρόσβασης. Ωστόσο, δεν είναι σαφές εάν το σύνολο των διαμεσολαβητών ΗΕΔ (οι οποίοι θα ανέρχονται σε τουλάχιστον 54) θα έχει πρόσβαση στα προσωπικά δεδομένα του συνόλου των διαφορών. Ο ΕΕΠΔ συνιστά να αποσαφηνισθεί ότι κάθε διαμεσολαβητής ΗΕΔ θα έχει πρόσβαση μόνο στα δεδομένα που χρειάζεται για την εκπλήρωση των υποχρεώσεών του δυνάμει του άρθρου 6 παράγραφος 2.

13.

Όσον αφορά την περίοδο διατήρησης, ο ΕΕΠΔ εκφράζει την ικανοποίησή του για τη ρύθμιση του άρθρου 11 παράγραφος 3, η οποία επιτρέπει τη διατήρηση δεδομένων προσωπικού χαρακτήρα μόνο για τον χρόνο που απαιτείται για την επίλυση της διαφοράς και για την άσκηση των δικαιωμάτων πρόσβασης των υποκειμένων των δεδομένων. Εκφράζει επίσης την ικανοποίησή του για τη θέσπιση υποχρέωσης αυτόματης διαγραφής των δεδομένων μετά την παρέλευση 6 μηνών από την περάτωση της εξέτασης της διαφοράς.

14.

Η επιδίωξη του σκοπού τον οποίο υπηρετούν οι προτάσεις καθιστά πιθανή την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν εικαζόμενες παραβάσεις. Δεδομένα σχετικά με την υγεία ενδέχεται επίσης να τύχουν επεξεργασίας στο πλαίσιο διαφορών που εγείρονται από την πώληση αγαθών ή την παροχή υπηρεσιών σχετικών με την υγεία.

15.

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της πλατφόρμας ΗΕΔ ενδέχεται επομένως να υπόκειται σε προκαταρκτικό έλεγχο εκ μέρους των εθνικών αρχών προστασίας δεδομένων και του ΕΕΠΔ, όπως προβλέπεται από το άρθρο 27 του κανονισμού (ΕΚ) αριθ. 45/2001 και του άρθρου 20 της οδηγίας 95/46/ΕΚ (11). Ο ΕΕΠΔ θεωρεί ότι η Επιτροπή έχει επίγνωση των λόγων που επιτάσσουν την αξιολόγηση, προ της θέσεως σε λειτουργία της πλατφόρμας ΗΕΔ, της σκοπιμότητας υποβολής της επεξεργασίας σε προκαταρκτικό έλεγχο.

16.

Οι πληροφορίες που πρέπει να παρέχονται μέσω του ηλεκτρονικού εντύπου καταγγελίας (στο εξής: «το έντυπο») παρατίθενται λεπτομερώς στο παράρτημα της πρότασης ΗΕΔ. Στις πληροφορίες αυτές περιλαμβάνονται τα προσωπικά στοιχεία των μερών (ονοματεπώνυμο, διεύθυνση και, εάν συντρέχει περίπτωση, διεύθυνση ηλεκτρονικού ταχυδρομείου και δικτυακού τόπου), καθώς και τα δεδομένα που συμβάλλουν στον προσδιορισμό του αρμόδιου να επιληφθεί της εκάστοτε διαφοράς φορέα ΕΕΔ (τόπος διαμονής του καταναλωτή κατά τη στιγμή της παραγγελίας των αγαθών ή υπηρεσιών, είδος των συγκεκριμένων αγαθών ή υπηρεσιών, κ.λπ.).

17.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για τη διάταξη του άρθρου 7 παράγραφος 6, η οποία υπενθυμίζει ότι μέσω του ηλεκτρονικού εντύπου καταγγελίας και των συνημμένων σε αυτό εγγράφων μπορούν να υποβάλλονται σε επεξεργασία μόνο στοιχεία που είναι ακριβή, σχετικά και μη υπερβολικά σε σχέση με τους σκοπούς για τους οποίους συλλέγονται. Ο κατάλογος δεδομένων που περιλαμβάνεται στο παράρτημα συνάδει επίσης με την αρχή της οριοθέτησης του σκοπού.

18.

Εντούτοις, ο εν λόγω κατάλογος μπορεί να τροποποιηθεί μέσω πράξεων κατ’ εξουσιοδότηση, οι δε λεπτομέρειες εφαρμογής του εντύπου θα ρυθμιστούν μέσω εκτελεστικών πράξεων (12). Ο ΕΕΠΔ συνιστά να συμπεριληφθεί αναφορά στην ανάγκη διαβούλευσης με τον ΕΕΠΔ στον βαθμό που οι εν λόγω πράξεις αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

19.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για τις διατάξεις περί εμπιστευτικότητας και ασφάλειας. Τα μέτρα ασφαλείας που παρατίθενται αναλυτικά στο άρθρο 12 της πρότασης ΗΕΔ περιλαμβάνουν ελέγχους πρόσβασης, σχέδιο ασφαλείας και διαχείριση συμβάντων ασφαλείας.

20.

Ο ΕΕΠΔ συνιστά επίσης να περιληφθεί αναφορά στην ανάγκη διενέργειας εκτίμησης επιπτώσεων ως προς την ιδιωτική ζωή (η οποία θα περιλαμβάνει και εκτίμηση κινδύνων), καθώς και στο γεγονός ότι η συμμόρφωση προς τη νομοθεσία περί προστασίας και ασφάλειας δεδομένων πρέπει να αποτελεί αντικείμενο περιοδικών ελέγχων και εκθέσεων.

21.

Επιπλέον, ο ΕΕΠΔ επιθυμεί να υπενθυμίσει ότι η ανάπτυξη εργαλείων πληροφορικής για τη δημιουργία της πλατφόρμας ΗΕΔ πρέπει να προβλέπει την προστασία της ιδιωτικής ζωής και των δεδομένων ήδη από την έναρξη της διαδικασίας σχεδιασμού (εκ κατασκευής προστασία της ιδιωτικής ζωής), περιλαμβανομένης της εφαρμογής εργαλείων που δίνουν στους χρήστες τη δυνατότητα αποτελεσματικότερης προστασίας των δεδομένων προσωπικού χαρακτήρα που τους αφορούν (π.χ. μέσω ρυθμίσεων αναγνώρισης και κρυπτογράφησης).

22.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για την αιτιολογική σκέψη 21 της πρότασης ΗΕΔ, η οποία διαλαμβάνει ότι τα υποκείμενα των δεδομένων πρέπει να ενημερώνονται για την επεξεργασία των προσωπικών δεδομένων τους, καθώς και για τα δικαιώματά τους, μέσω γενικής δήλωσης για την προστασία του ιδιωτικού απορρήτου. Εξάλλου, η υποχρέωση ενημέρωσης των υποκειμένων των δεδομένων πρέπει να περιληφθεί και στο νομοθετικό μέρος της πρότασης ΗΕΔ.

23.

Επιπλέον, τα υποκείμενα των δεδομένων πρέπει επίσης να ενημερώνονται σχετικά με τον υπεύθυνο επεξεργασίας που είναι αρμόδιος για τη συμμόρφωση προς τα δικαιώματά τους. Η δήλωση για την προστασία του ιδιωτικού απορρήτου πρέπει να είναι απολύτως ευδιάκριτη για οποιονδήποτε συμπληρώνει το έντυπο.

24.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι οι αρχές περί προστασίας δεδομένων έχουν ενσωματωθεί στο κείμενο, ιδίως όσον αφορά την οριοθέτηση του σκοπού και της πρόσβασης, τον περιορισμό της περιόδου διατήρησης και τα μέτρα ασφαλείας. Ωστόσο, συνιστά επίσης:

25.

Ο ΕΕΠΔ επιθυμεί επίσης να υπενθυμίσει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της πλατφόρμας ΗΕΔ ενδέχεται να υπόκειται σε προκαταρκτικό έλεγχο εκ μέρους του ΕΕΠΔ και των εθνικών αρχών προστασίας δεδομένων.