ΕΚΘΕΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ - Πρώτη έκθεση σχετικά με την εφαρμογή της οδηγίας περί προστασίας των δεδομένων (95/46/ΕΚ)

ΠΕΡΙΕΧΟΜΕΝΑ

1. Οι λόγοι κατάρτισης της έκθεσης και η ανοικτή διαβούλευση για την εφαρμογή της οδηγίας 95/46/EΚ

2. Η ανοικτή διαδικασία επισκόπησης που προηγήθηκε της κατάρτισης της παρούσας έκθεσης

3. Τα κύρια αποτελέσματα της επισκόπησης

4. Tα κύρια συμπεράσματα της επισκόπησης αναλυτικότερα

5. Επεξεργασία δεδομένων ήχου και εικόνας

6. Πρόγραμμα εργασιών για την καλύτερη εφαρμογή της οδηγίας περί προστασίασ των δεδομένων (2003-2004)

7. Συμπέρασμα

1. Οι λογοι καταρτισησ τησ εκθεσησ και η ανοικτη διαβουλευση για την εφαρμογη τησ οδηγιασ 95/46/EΚ

«Περιοδικώς και για πρώτη φορά τρία το πολύ χρόνια μετά το χρονικό σημείο που ορίζει το άρθρο 32 παράγραφος 1, η Επιτροπή υποβάλλει στο Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο έκθεση σχετικά με την εφαρμογή της παρούσας οδηγίας, η οποία συνοδεύεται, κατά περίπτωση, από τις δέουσες προτάσεις τροποποιήσεων». (άρθρο 33 της οδηγίας (ΕΚ) 95/46)

Η παρούσα έκθεση συνιστά την απάντηση της Επιτροπής στην ανωτέρω απαίτηση. Η Επιτροπή καθυστέρησε να υποβάλει την έκθεση κατά 18 μήνες επειδή τα κράτη μέλη δεν μετέφεραν έγκαιρα την οδηγία στην εθνική νομοθεσία τους. [1]

[1] Το Δεκέμβριο 1999, η Επιτροπή αποφάσισε να παραπέμψει τη Γαλλία, τη Γερμανία, την Ιρλανδία, το Λουξεμβούργο και τις Κάτω Χώρες στο Ευρωπαϊκό Δικαστήριο γιατί παρέλειψαν να κοινοποιήσουν όλα τα απαραίτητα μέτρα για την εφαρμογή της οδηγίας 95/46. Το 2001, οι Κάτω Χώρες και η Γερμανία υπέβαλαν την κοινοποίηση και η Επιτροπή σταμάτησε τις διαδικασίες κατά των χωρών αυτών. Η Γαλλία κοινοποίησε το νόμο περί προστασίας των δεδομένων του 1978 με συνέπεια να τερματιστούν οι διαδικασίες παραπομπής κατά της χώρας αυτής. Συγχρόνως, ανακοίνωσε την πρόθεσή της να θεσπίσει νέο νόμο, ο οποίος όμως δεν έχει ακόμα εγκριθεί. Στην περίπτωση του Λουξεμβούργου, η προσφυγή της Επιτροπής οδήγησε στην καταδίκη του κράτους μέλους αυτού από το Δικαστήριο για μη τήρηση των υποχρεώσεών του. Στη συνέχεια, η οδηγία μεταφέρθηκε στο εθνικό δίκαιο του Λουξεμβούργου με νέο νόμο, ο οποίος τέθηκε σε ισχύ το 2002. Η Ιρλανδία κοινοποίησε μέτρα μερικής εφαρμογής το 2001, ενώ πρόσφατα ψηφίστηκε το νομοσχέδιο για την πλήρη εφαρμογή. Το καθεστώς εφαρμογής στα κράτη μέλη διατίθεται στη διεύθυνση: http://europa.eu.int/comm/internal_market/ privacy/law/implementation_en.htm

Για την κατάρτιση της παρούσας έκθεσης η Επιτροπή ακολούθησε μια διευρυμένη διαδικασία. Η Επιτροπή δεν προέβη σε απλή εξέταση των μέτρων εφαρμογής των κρατών μελών, αλλά πραγματοποίησε επίσης μια ανοικτή δημόσια συζήτηση και ενθάρρυνε την ευρεία συμμετοχή των ενδιαφερομένων. Η πρακτική αυτή όχι μόνο ακολουθεί την προσέγγιση της Επιτροπής όσον αφορά τη διακυβέρνηση σε ευρωπαϊκό επίπεδο, όπως καθορίζεται στη Λευκή Βίβλο του Ιουλίου του 2001 [2], αλλά επιπλέον επιβάλλεται τόσο λόγω του ειδικού χαρακτήρα της οδηγίας 95/46 όσο και λόγω του ταχύτατου ρυθμού των τεχνολογικών εξελίξεων στην κοινωνία της πληροφορίας, καθώς και άλλων διεθνών εξελίξεων που έχουν επιφέρει σημαντικές αλλαγές από το 1995 που η οδηγία έλαβε την οριστική της μορφή.

[2] COM(2001) 428 τελικό http://europa.eu.int/eur-lex/en/com/cnc/ 2001/com2001_0428en01.pdf

1.1. Μια οδηγία με πολύ ευρύ αντίκτυπο

Η οδηγία 95/46 ενσωματώνει δύο από τις παλαιότερες φιλοδοξίες του προγράμματος της ευρωπαϊκής ολοκλήρωσης: την επίτευξη μιας εσωτερικής αγοράς (στην προκειμένη περίπτωση την ελεύθερη κυκλοφορία των προσωπικών πληροφοριών) και την προστασία των θεμελιωδών ατομικών δικαιωμάτων και ελευθεριών. Στην οδηγία, αμφότεροι οι στόχοι έχουν την ίδια σπουδαιότητα.

Ωστόσο, από νομική άποψη, η ύπαρξη της οδηγίας βασίζεται σε λόγους που σχετίζονται με την εσωτερική αγορά. Η θέσπιση νομοθεσίας στο επίπεδο της ΕΕ δικαιολογήθηκε επειδή οι διαφορές στον τρόπο αντιμετώπισης του θέματος αυτού από τα κράτη μέλη εμπόδιζαν την ελεύθερη ροή των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών [3]. Έτσι, η νομική βάση της ήταν το άρθρο 100Α (πλέον άρθρο 95) της Συνθήκης. Ωστόσο, η προκήρυξη του Χάρτη των θεμελιωδών δικαιωμάτων της Ευρωπαϊκής Ένωσης [4] από το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και την Επιτροπή το Δεκέμβριο του 2000, και ειδικότερα το άρθρο 8 του Χάρτη αυτού που προβλέπει το δικαίωμα προστασίας των δεδομένων, έδωσε μεγαλύτερη έμφαση στη διάσταση "προστασία των θεμελιωδών δικαιωμάτων" της οδηγίας.

[3] Βλέπε COM (90) 314 τελικό - SYN 287 και 288, 13 Σεπτεμβρίου 1990, σελίδα 4: "η ποικιλομορφία των εθνικών προσεγγίσεων και η έλλειψη ενός συστήματος προστασίας σε κοινοτικό επίπεδο αποτελούν εμπόδιο για την ολοκλήρωση της εσωτερικής αγοράς. Εάν τα θεμελιώδη δικαιώματα των ατόμων στα οποία αναφέρονται τα δεδομένα δεν διασφαλιστούν σε κοινοτικό επίπεδο, θα εμποδιστεί η διασυνοριακή ροή των δεδομένων..."

[4] http://europa.eu.int/comm/justice_home/ unit/charte/index_en.html

Επιπλέον, από τη φύση της, η οδηγία έχει ευρύτατο αντίκτυπο. Κάθε άτομο είναι υποκείμενο δεδομένων, ενώ σε όλους τους τομείς της οικονομίας υπάρχουν φορείς που είναι υπεύθυνοι για την επεξεργασίας δεδομένων. Κατά συνέπεια, ακόμα κι αν η νομική βάση της είναι μάλλον συγκεκριμένη, τα αποτελέσματά της είναι ευρύτατα και η εφαρμογή της πρέπει να εξεταστεί αφού συνεκτιμηθούν οι ιδιαιτερότητές της.

1.2. Οι εξελίξεις στην τεχνολογία της πληροφορίας και οι αυξανόμενες ανησυχίες για ζητήματα ασφάλειας όξυναν τη συζήτηση σχετικά με την προστασία των δεδομένων

Από την έγκριση της οδηγίας το 1995, έχει αυξηθεί θεαματικά ο αριθμός των νοικοκυριών και των επιχειρήσεων που έχουν συνδεθεί με το Διαδίκτυο και, κατά συνέπεια, έχει αυξηθεί ο αριθμός των ανθρώπων που αφήνουν ολοένα περισσότερες προσωπικές πληροφορίες στον παγκόσμιο ιστό. Συγχρόνως, τα μέσα συλλογής προσωπικών πληροφοριών εξελίσσονται διαρκώς και ο εντοπισμός τους γίνεται ολοένα δυσκολότερος: συστήματα κλειστών κυκλωμάτων τηλεόρασης που ελέγχουν δημόσιους χώρους, κατασκοπευτικό λογισμικό (spyware) που εγκαθίσταται σε υπολογιστές των χρηστών από ιστοχώρους τους οποίους επισκέπτονται και οι οποίοι καταγράφουν πληροφορίες σχετικά με τις συνήθειες πλοήγησης των χρηστών, πληροφορίες τις οποίες οι ιστοχώροι αυτοί συχνά τις πωλούν σε άλλους, καθώς επίσης και η παρακολούθηση των υπαλλήλων και της χρήσης του ηλεκτρονικού ταχυδρομείου και του Διαδικτύου στον εργασιακό χώρο.

Αυτή η "έκρηξη δεδομένων" αναπόφευκτα θέτει το ερώτημα κατά πόσο ορισμένες από τις προκλήσεις αυτές μπορούν να αντιμετωπιστούν πλήρως από τη νομοθεσία, και ιδίως την παραδοσιακή νομοθεσία που έχει περιορισμένο γεωγραφικό πεδίο εφαρμογής, ενώ το Διαδίκτυο καταργεί τα φυσικά σύνορα με ταχύτατο ρυθμό [5].

[5] Η έκθεση "Μελλοντικά σημεία συμφόρησης στην κοινωνία της πληροφορίας" που καταρτίστηκε από το Κοινό Κέντρο Ερευνών της Επιτροπής και το Ινστιτούτο Τεχνολογικών Προβλέψεων καταλήγει στο συμπέρασμα ότι υπάρχουν μερικοί νέοι τομείς που δεν καλύπτονται εύκολα από τις διατάξεις της οδηγίας και η οποία, επομένως, ίσως να πρέπει να αναθεωρηθεί στο μέλλον. Συγχρόνως, στην έκθεση επισημαίνεται ότι «αν και η οδηγία εφαρμόζεται σε όλα τα κράτη μέλη, η κοινωνία ανησυχεί ολοένα περισσότερο όσον αφορά την κατάχρηση και την κακή χρήση των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των πληροφορικών συστημάτων απευθείας σύνδεσης». Στοιχεία που συγκεντρώθηκαν στο πλαίσιο της κατάρτισης της παρούσας έκθεσης επιβεβαιώνουν εν μέρει το συμπέρασμα αυτό.

Σε απάντηση στις τεχνολογικές εξελίξεις, η οδηγία 97/66/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 15ης Δεκεμβρίου 1997 περί επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και προστασίας της ιδιωτικής ζωής στον τηλεπικοινωνιακό τομέα [6] μετέφρασε τις αρχές που καθορίστηκαν στην οδηγία 95/46/EK σε συγκεκριμένους κανόνες για τον τομέα των τηλεπικοινωνιών. Η οδηγία 2002/58/EK της 12ης Ιουλίου 2002 για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες [7] ενημέρωσε πρόσφατα την οδηγία 97/66/EK ώστε να αντικατοπτρίζει τις εξελίξεις της αγοράς και της τεχνολογίας στον τομέα των υπηρεσιών ηλεκτρονικών επικοινωνιών, όπως είναι το Διαδίκτυο, προκειμένου να παρέχεται ισότιμο επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής, ανεξάρτητα από τις χρησιμοποιούμενες τεχνολογίες.

[6] ΕΕ αριθ. L 24, 30.1.1998.

[7] ΕΕ αριθ. L 201, 31 Ιουλίου 2002. Τα κράτη μέλη έχουν προθεσμία έως τις 31 Οκτωβρίου του 2003 για να μεταφέρουν τη νέα οδηγία στο εθνικό δίκαιο.

Η εμφάνιση της οικονομίας που βασίζεται στη γνώση, σε συνδυασμό με την τεχνολογική πρόοδο και την αυξανόμενη σημασία που αποδίδεται στο ανθρώπινο δυναμικό, έχουν εντατικοποιήσει τη συλλογή προσωπικών δεδομένων των εργαζομένων στον εργασιακό χώρο. Οι εξελίξεις αυτές προκαλούν ορισμένες ανησυχίες και κινδύνους και φέρνουν στο προσκήνιο το ζήτημα της αποτελεσματικής προστασίας των προσωπικών δεδομένων των εργαζομένων. Στο έγγραφο διαβούλευσης δεύτερου σταδίου το οποίο απηύθυνε στους ευρωπαίους κοινωνικούς εταίρους τον Οκτώβριο του 2002, η Επιτροπή επισήμανε ότι υπάρχει η δυνατότητα ανάληψης κοινοτικής δράσης βάσει του άρθρου 137 παράγραφος 2 της Συνθήκης, το οποίο αποσκοπεί στη βελτίωση των εργασιακών συνθηκών, με την εγκαθίδρυση ενός ευρωπαϊκού πλαισίου αρχών και κανόνων στον τομέα αυτό. Προς το παρόν, η Επιτροπή εξετάζει τη συνέχεια που θα δοθεί στην εν λόγω διαβούλευση και προτίθεται να λάβει σχετική απόφαση πριν από τα τέλη του 2003. Το εν λόγω ευρωπαϊκό πλαίσιο πρέπει να βασίζεται στις γενικές αρχές της οδηγίας 95/46/ΕΚ και να συμπληρώνει και να αποσαφηνίζει τις αρχές αυτές για το εργασιακό πλαίσιο.

Όσον αφορά την καταναλωτική πίστη, η Επιτροπή περιέλαβε ορισμένες ειδικές διατάξεις στην πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την εναρμόνιση των νομοθετικών, κανονιστικών και διοικητικών διατάξεων που διέπουν τις πιστώσεις που χορηγούνται στους καταναλωτές [8], οι οποίες αποσκοπούν στην περαιτέρω ενίσχυση της προστασίας των καταναλωτών.

[8] COM (2002) 443 τελικό της 11.09.2002

Ταυτόχρονα, οι αυξανόμενες ανησυχίες στον τομέα της ασφάλειας, ιδίως μετά τα γεγονότα της 11ης Σεπτεμβρίου 2001, ασκούν πιέσεις τόσο γενικά στις πολιτικές ελευθερίες όσο και ειδικότερα στα δικαιώματα προστασίας της ιδιωτικής ζωής και προστασίας των δεδομένων προσωπικού χαρακτήρα. Το γεγονός αυτό ούτε είναι καινοφανές ούτε εκπλήσσει. Το 1978, το Ευρωπαϊκό Δικαστήριο Ανθρωπίνων Δικαιωμάτων έκρινε απαραίτητο να προβεί στην ακόλουθη προειδοποίηση: «Τα κράτη δεν δικαιούνται ..., στο όνομα της καταπολέμησης της κατασκοπείας και της τρομοκρατίας, να υιοθετούν οποιοδήποτε μέτρο θεωρούν κατάλληλο... (υπάρχει) ο κίνδυνος της υπονόμευσης ή ακόμα και της κατάλυσης της δημοκρατίας στο όνομα της υπεράσπισής της». [9]

[9] Klass και άλλοι κατά Γερμανίας, απόφαση της 6ης Σεπτεμβρίου 1978, Σειρά A αριθ. 28

Η οδηγία φυσικά δεν εφαρμόζεται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στις αποκαλούμενες δραστηριότητες του "τρίτου πυλώνα" [10] και, κατά συνέπεια, η προστασία δεδομένων στους τομείς αυτούς δεν καλύπτεται από την παρούσα έκθεση. Ωστόσο, συχνά, οι νομοθεσίες των κρατών μελών δεν κάνουν τη διάκριση αυτή. Το γεγονός αυτό συνεπάγεται διάφορα προβλήματα που έχουν επισημανθεί από το Ευρωπαϊκό Κοινοβούλιο και τα οποία χρειάζεται να εξεταστούν περαιτέρω.

[10] Το άρθρο 3 παράγραφος 2 πρώτη περίπτωση αποκλείει από το πεδίο εφαρμογής της οδηγίας «κάθε επεξεργασία που δεν εμπίπτει στο πεδίο εφαρμογής του κοινοτικού δικαίου ... και, εν πάση περιπτώσει, κάθε επεξεργασία δεδομένων που αφορά τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους (συμπεριλαμβανομένης και της οικονομικής ευημερίας του, εφόσον η επεξεργασία αυτή συνδέεται με θέματα ασφάλειας του κράτους) και τις δραστηριότητες του κράτους σε τομείς του ποινικού δικαίου.»

2. Η ανοικτη διαδικασια επισκοπησησ που προηγηθηκε της καταρτισησ της παρουσασ εκθεσης

Στο πλαίσιο αυτό, η Επιτροπή επιδίωξε να οργανώσει μια ανοικτή συζήτηση με την ευρύτερη δυνατή συμμετοχή για την πλαισίωση της αξιολόγησης της εφαρμογής της οδηγίας. Σε όλους τους εμπλεκόμενους φορείς - κυβερνήσεις, ιδρύματα, επιχειρηματικές ενώσεις και ενώσεις καταναλωτών, ακόμη και μεμονωμένες επιχειρήσεις και πολίτες - δόθηκε η δυνατότητα να συμμετάσχουν και να εκφράσουν τις απόψεις τους [11]. Η Επιτροπή κρίνει ότι η διαδικασία αυτή είχε θετικά αποτελέσματα. Η συζήτηση εμπλούτισε τις πηγές πληροφοριών στις οποίες βασίστηκε η Επιτροπή για την κατάρτιση της παρούσας έκθεσης και των συστάσεων για μελλοντική δράση που περιλαμβάνει. Επίσης, επιβεβαίωσε τη μεταστροφή των απόψεων που είχε ήδη διαφανεί γενικά μεταξύ των υπευθύνων επεξεργασίας δεδομένων [12] και ειδικότερα μεταξύ των εκπροσώπων του επιχειρηματικού κόσμου: οι υπεύθυνοι επεξεργασίας δεδομένων συμμετέχουν πλέον εποικοδομητικά στο διάλογο για το πώς θα εξασφαλιστεί η προστασία των δεδομένων προσωπικού χαρακτήρα κατά αποτελεσματικό τρόπο, αντί να είναι εξ αρχής αντίθετοι με την επιβολή ρυθμίσεων στον τομέα αυτό.

[11] Η Επιτροπή απηύθυνε ερωτήσεις στις κυβερνήσεις των κρατών μελών και χωριστά στις εποπτικές αρχές. ανέθεσε τη σύνταξη δύο μελετών σε ακαδημαϊκούς εμπειρογνώμονες. εξέδωσε γενική πρόσκληση για συμμετοχή στη διαδικασία διαβούλευσης που δημοσιεύθηκε στην Επίσημη Εφημερίδα και στον ιστοχώρο της Επιτροπής. δημοσίευσε δύο ερωτηματολόγια στον ιστοχώρο της για πάνω από δύο μήνες, το ένα από τα οποία απευθυνόταν στους υπευθύνους επεξεργασίας δεδομένων και το άλλο στα άτομα στα οποία αναφέρονται τα δεδομένα. οργάνωσε διεθνή διάσκεψη κατά την οποία εξετάστηκαν πολλά ζητήματα στο πλαίσιο έξι χωριστών σεμιναρίων.

[12] Παρ' όλο που στην παρούσα έκθεση αναφέρονται συνήθως οι υπεύθυνοι επεξεργασίας των δεδομένων ως "η βιομηχανία" ή "οι εκπρόσωποι επιχειρήσεων" (επειδή είναι εκείνοι με τις περισσότερες παρεμβάσεις στις συζητήσεις), οι δημόσιες αρχές οι οποίοι εκτελούν δραστηριότητες που εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου είναι επίσης φορείς επεξεργασίας δεδομένων και φυσικά οι συστάσεις και οι παρατηρήσεις που περιλαμβάνονται στην παρούσα έκθεση αφορούν επίσης τις αρχές αυτές.

Από την άλλη πλευρά, η Επιτροπή εκφράζει τη λύπη της για την περιορισμένη ανταπόκριση των οργανώσεων καταναλωτών στη διαδικασία διαβούλευσης [13].

[13] Μόνο η BEUC, η οργάνωση των ευρωπαίων καταναλωτών, υπέβαλε έγγραφο θέσεων στο οποίο δήλωνε, μεταξύ άλλων, ότι σε απάντηση σε εκείνους που έχουν υποστηρίξει ότι η οδηγία πρέπει να προσαρμοστεί στις επιταγές του περιβάλλοντος άμεσης επικοινωνίας, κατά την άποψή της, το περιβάλλον άμεσης επικοινωνίας είναι εκείνο που πρέπει να προσαρμοστεί ώστε να εξασφαλιστεί στο ακέραιο ο σεβασμός των αρχών της οδηγίας.

Η παρούσα έκθεση συνοψίζει τα συμπεράσματα που άντλησε η Επιτροπή από τη διαδικασία διαβούλευσης και τις συστάσεις της για δράση. Η Επιτροπή θεωρεί ωστόσο ότι η έκθεση δεν αποτελεί παρά το πρώτο βήμα μιας πιο μακροπρόθεσμης διαδικασίας.

3. Τα κυρια αποτελεσματα τησ επισκοπησησ

3.1. Υπέρ και κατά της τροποποίησης της οδηγίας

Σταθμίζοντας τα αποτελέσματα της επισκόπησης η Επιτροπή διαπιστώνει ότι, στην παρούσα φάση, δεν ενδείκνυται η υποβολή πρότασης τροποποίησης της οδηγίας.

Κατά τη διάρκεια των διαβουλεύσεων, λίγοι φορείς υποστήριξαν ρητά την τροποποίηση της οδηγίας. Η πιο αξιοσημείωτη εξαίρεση ήταν οι λεπτομερείς προτάσεις τροποποιήσεων που υποβλήθηκαν από κοινού από την Αυστρία, τη Σουηδία, τη Φινλανδία και το ΗΒ [14]. Οι εν λόγω προτάσεις τροποποιήσεων αφορούσαν μικρό μόνο αριθμό διατάξεων (κυρίως, το άρθρο 4 που καθορίζει το εφαρμοστέο εθνικό δίκαιο, το άρθρο 8 σχετικά με την επεξεργασία ευαίσθητων δεδομένων, το άρθρο 12 για το δικαίωμα πρόσβασης, το άρθρο 18 για την κοινοποίηση και τα άρθρα 25 και 26 σχετικά με τη διαβίβαση προς τρίτη χώρα), χωρίς να θίγονται οι περισσότερες από τις διατάξεις ούτε το σύνολο των αρχών της οδηγίας. Οι συγκεκριμένες δυσκολίες που προκύπτουν από αυτές καθώς και από μερικές άλλες διατάξεις θα εξεταστούν λεπτομερέστερα στη συνέχεια της παρούσας έκθεσης.

[14] http://www.lcd.gov.uk/ccpd/ dpdamend.htm Οι Κάτω Χώρες τάχθηκαν υπέρ των προτάσεων αυτών αργότερα.

Η Επιτροπή κρίνει ότι οι γενικές εκτιμήσεις που αναφέρονται στη συνέχεια δεν συνηγορούν στην υποβολή προτάσεων τροποποίησης της οδηγίας στο άμεσο μέλλον:

- Οι εμπειρίες από την εφαρμογή της οδηγίας είναι μέχρι σήμερα πολύ περιορισμένες. Μόνο λίγα κράτη μέλη εφάρμοσαν την οδηγία εγκαίρως. Τα περισσότερα κράτη μέλη κοινοποίησαν μέτρα εφαρμογής στην Επιτροπή μόλις το 2000 ή το 2001, ενώ η Ιρλανδία δεν έχει ακόμα κοινοποιήσει τα πρόσφατα μέτρα εφαρμογής. Σε μερικά κράτη μέλη εκκρεμεί ακόμα η θέσπιση σημαντικής νομοθεσίας για την εφαρμογή της οδηγίας. Η κατάσταση αυτή δεν συνιστά κατάλληλη βάση για την υποβολή πρότασης τροποποίησης της οδηγίας.

- Πολλές από τις δυσκολίες που εντοπίστηκαν κατά τη διάρκεια της επισκόπησης μπορούν να εξεταστούν και να αντιμετωπιστούν χωρίς τροποποίηση της οδηγίας. Σε μερικές περιπτώσεις, τα προβλήματα οφείλονται σε λανθασμένη εφαρμογή της οδηγίας και πρέπει να επιλυθούν με συγκεκριμένες τροποποιήσεις των νομοθεσιών των κρατών μελών. Σε άλλες περιπτώσεις, τα περιθώρια ελιγμών που παρέχει η οδηγία δίνουν τη δυνατότητα να αναπτυχθεί στενότερη συνεργασία των εποπτικών αρχών, ώστε να επιτευχθεί η απαραίτητη σύγκλιση και να ξεπεραστούν οι δυσκολίες που οφείλονται στις μεγάλες διαφορές μεταξύ των πρακτικών των κρατών μελών. Σε κάθε περίπτωση, τα μέσα αυτά μπορούν να έχουν ταχύτερα αποτελέσματα σε σύγκριση με την τροποποίηση της οδηγίας και συνεπώς πρέπει σε πρώτη φάση να αξιοποιηθούν πλήρως.

- Οι προτάσεις τροποποίησης που έχουν υποβάλει οι ενδιαφερόμενοι φορείς συχνά αποβλέπουν στη μείωση του φόρτου των εργασιών των υπευθύνων επεξεργασίας των δεδομένων για τη συμμόρφωσή τους προς την οδηγία. Παρ' όλο που πρόκειται για θεμιτό στόχο τον οποίο ενστερνίζεται η Επιτροπή, η Επιτροπή θεωρεί ότι πολλές από τις προτάσεις θα συνεπάγονταν τη μείωση του παρεχόμενου επιπέδου προστασίας. Πιστεύει επίσης ότι οποιεσδήποτε αλλαγές εξεταστούν εν καιρώ πρέπει να αποσκοπούν στη διατήρηση του ίδιου επιπέδου προστασίας και πρέπει να είναι σύμφωνες με το γενικό πλαίσιο που παρέχεται από τα υπάρχοντα διεθνή μέσα [15].

[15] Ο Επίτροπος κ. Bolkestein κατά την καταληκτική συνεδρίαση της διάσκεψης ανέφερε σχετικά με την εφαρμογή της οδηγίας: « Σίγουρα η χάραξη πολιτικής στον τομέα της προστασίας των δεδομένων δεν είναι απλή υπόθεση (...) Κατά την επεξεργασία της έκθεσής της η Επιτροπή ... θα πρέπει να λάβει υπόψη το ευρύτερο νομικό και πολιτικό πλαίσιο, και ιδίως τις αρχές της σύμβασης 108 του Συμβουλίου της Ευρώπης».

Μετά από συζητήσεις με τα κράτη μέλη, η Επιτροπή διαπιστώνει ότι η πλειονότητα των κρατών μελών και των εποπτικών αρχών συμμερίζεται την άποψή της ότι η τροποποίηση της οδηγίας δεν κρίνεται προς το παρόν ούτε αναγκαία ούτε επιθυμητή.

Η Επιτροπή πιστεύει ότι μερικά από τα ζητήματα που έχουν προκύψει και που αποτελούν μόνο αντικείμενο προκαταρκτικής ανάλυσης στο πλαίσιο της παρούσας έκθεσης χρειάζεται να αναλυθούν περαιτέρω και μπορεί σε εύθετο χρόνο να αποτελέσουν τη βάση πρότασης για την αναθεώρηση της οδηγίας. Στο μεταξύ, θα έχουν συγκεντρωθεί περισσότερες εμπειρίες από την εφαρμογή της οδηγίας οι οποίες θα διευκολύνουν την ορθότερη κατάρτιση της πρότασης αυτής.

Επιπλέον, όπως αναφέρεται ανωτέρω, υπάρχουν αρκετά περιθώρια βελτίωσης της εφαρμογής της οδηγίας ως έχει σήμερα, και έτσι θα επιλυθούν διάφορα προβλήματα που επισημαίνονται στην επισκόπηση, μερικά από τα οποία εσφαλμένα αποδίδονται στην ίδια την οδηγία. Η Επιτροπή ενδιαφερόταν και θα συνεχίσει να ενδιαφέρεται, κατά κύριο λόγο, για τους τομείς εκείνους όπου σαφώς παραβιάζεται το κοινοτικό δίκαιο, καθώς και για τους τομείς όπου διαφορετικές ερμηνείες ή/και πρακτικές δυσχεραίνουν τη λειτουργία της εσωτερικής αγοράς.

Η Επιτροπή εξετάζει επίσης κατά προτεραιότητα την αρμονική εφαρμογή των κανόνων σχετικά με τη διαβίβαση των δεδομένων σε τρίτες χώρες, με σκοπό τη διευκόλυνση των νόμιμων διαβιβάσεων και την αποφυγή περιττών εμποδίων ή περιπλοκών.

3.2. Συνολική αξιολόγηση της εφαρμογής της οδηγίας στα κράτη μέλη. Το πρόβλημα των αποκλίσεων μεταξύ των νομοθεσιών των κρατών μελών.

Οι υπηρεσίες της Επιτροπής προέβησαν σε λεπτομερή ανάλυση της εφαρμογής της οδηγίας στα δεκαπέντε κράτη μέλη βάσει των πληροφοριών που συνέλεξαν. Η συνεργασία των κρατών μελών και των εθνικών εποπτικών αρχών βοήθησε πολύ την ανάλυση αυτή. Τα αρχικά αποτελέσματα της ανάλυσης περιλαμβάνονται στην παρούσα έκθεση και σε τεχνικό παράρτημα που θα δημοσιευθεί χωριστά, αλλά η διαδικασία της συλλογής πληροφοριών και της ανάλυσης των μέτρων εφαρμογής στα κράτη μέλη θα πρέπει να συνεχιστεί κατά τη διάρκεια του 2003.

ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΩΝ ΕΡΩΤΗΜΑΤΟΛΟΓΙΩΝ ΣΕ ΑΠΕΥΘΕΙΑΣ ΣΥΝΔΕΣΗ

Χρησιμοποιώντας το διαλογικό όργανο χάραξης πολιτικής - το μηχανισμό διαβούλευσης σε απευθείας σύνδεση IPM - η Επιτροπή δημοσίευσε δύο ερωτηματολόγια στον ιστοχώρο της τον Ιούνιο και προσκάλεσε τα άτομα στα οποία αναφέρονται τα δεδομένα (δημόσια διαβούλευση) και τους υπευθύνους επεξεργασίας των δεδομένων (ομάδα-στόχος) να διατυπώσουν τις απόψεις τους σχετικά με διάφορες πτυχές της προστασίας των δεδομένων. Μέχρι τη στιγμή που έκλεισαν τα ερωτηματολόγια, είχαν απαντήσει 9156 άτομα και 982 φορείς επεξεργασίας δεδομένων. Τα πλήρη αποτελέσματα των διαβουλεύσεων διατίθενται στη διεύθυνση:

http://europa.eu.int/comm/internal_market/ privacy/lawreport/consultation_en.htm

Η Επιτροπή θεωρεί ότι ιδιαίτερο ενδιαφέρον παρουσιάζουν τα ακόλουθα αποτελέσματα:

- Μολονότι η οδηγία προστασίας των δεδομένων ενσωματώνει υψηλά πρότυπα προστασίας, τα περισσότερα άτομα (4113 από τα 9156 ή 44,9%) πιστεύουν ότι το επίπεδο προστασίας είναι ελάχιστο.

- Το 81% των ατόμων θεωρεί ότι το επίπεδο ευαισθητοποίησης όσον αφορά την προστασία των δεδομένων είναι ανεπαρκές, κακό ή πολύ κακό, ενώ μόνο το 10,3% το χαρακτηρίζει ικανοποιητικό και μόνο το 3,46% πιστεύει ότι είναι καλό ή πολύ καλό. Οι γνώμες των υπευθύνων επεξεργασίας δεδομένων για το επίπεδο ευαισθητοποίησης μεταξύ των πολιτών είναι εξίσου αρνητικές: Οι περισσότεροι από όσους απάντησαν (30%) θεωρούν ότι η ευαισθητοποίηση των πολιτών όσον αφορά την προστασία των δεδομένων είναι ανεπαρκής, ενώ μόνο το 2,95% πιστεύει ότι το επίπεδο είναι πολύ καλό.

- Παρατηρείται πλέον μεγαλύτερη αποδοχή των κανόνων προστασίας των δεδομένων μεταξύ των επιχειρήσεων. Για παράδειγμα, το 69,1% όσων απάντησαν (υπεύθυνοι επεξεργασίας) πιστεύει ότι οι απαιτήσεις προστασίας των δεδομένων είναι απαραίτητες στην κοινωνία μας, ενώ μόνο το 2,64% πιστεύει ότι οι απαιτήσεις αυτές είναι απολύτως περιττές και πρέπει να καταργηθούν.

- Η μεγάλη πλειονότητα των υπευθύνων επεξεργασίας δεδομένων που απάντησαν στο ερωτηματολόγιο (62,1%) θεωρεί ότι η ικανοποίηση αιτήσεων εκ μέρους ατόμων για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τους αφορούν δεν συνεπάγεται σημαντική προσπάθεια εκ μέρους του οργανισμού τους. Πράγματι, οι περισσότεροι από τους υπευθύνους επεξεργασίας δεδομένων που απάντησαν στο ερωτηματολόγιο είτε δεν διέθεταν στοιχεία είτε έλαβαν λιγότερες από 10 τέτοιες αιτήσεις κατά τη διάρκεια του 2001.

Η Επιτροπή αναγνωρίζει ότι αυτά τα αποτελέσματα δεν είναι το ίδιο αντιπροσωπευτικά με τα αποτελέσματα έρευνας που βασίζεται σε επιστημονικά επιλεγμένο δείγμα. Η Επιτροπή προτείνει να πραγματοποιήσει νέα έρευνα το 2003, τόσο για να εξετάσει την αξιοπιστία των αποτελεσμάτων του ανοικτού ερωτηματολογίου όσο και για να καθιερώσει ένα κριτήριο βάσει του οποίου θα αξιολογεί μελλοντικά την εξέλιξη διάφορων απόψεων ή δεικτών.

Καθυστερημένη εφαρμογή

Η εφαρμογή μιας τέτοιας οδηγίας, η οποία αφήνει μεγάλο περιθώριο ελιγμών στα κράτη μέλη αλλά τους επιβάλλει να προβούν σε πολλές λεπτομερείς ρυθμίσεις, είναι αναμφισβήτητα ένα δύσκολο έργο. Αλλά, οι καθυστερήσεις που παρατηρήθηκαν για την εφαρμογή στα περισσότερα κράτη μέλη είναι η πρώτη και κύρια ανεπάρκεια που η Επιτροπή οφείλει να επισημάνει όσον αφορά την εφαρμογή της οδηγίας και την οποία καταδικάζει κατηγορηματικά. Η Επιτροπή έλαβε φυσικά τα κατάλληλα μέτρα σύμφωνα με το άρθρο 226 της Συνθήκης, όπως περιγράφεται ανωτέρω.

Εξασφαλίζεται η ελεύθερη κυκλοφορία των πληροφοριών

Παρά τις καθυστερήσεις και τα κενά όσον αφορά την εφαρμογή, η οδηγία έχει εκπληρώσει τον κύριο στόχο της δηλαδή την άρση των εμποδίων για την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών. Στην πράξη, το κύριο πρόβλημα πριν από την έγκριση της οδηγίας ήταν το γεγονός ότι, ενώ τα περισσότερα κράτη μέλη είχαν θεσπίσει νομοθεσία προστασίας των δεδομένων, ένας μικρός αριθμός κρατών δεν το είχε πράξει. Μέχρι το 1995, μόνο η Ιταλία και η Ελλάδα δεν είχαν θεσπίσει τέτοια νομοθεσία, αλλά αυτά τα δύο κράτη μέλη ήταν μεταξύ των πρώτων που μετέφεραν την οδηγία, αίροντας έτσι το κύριο εμπόδιο. Μετά την έγκριση της οδηγίας, δεν έχει καταγγελθεί στην Επιτροπή καμία περίπτωση παρεμπόδισης ή άρνησης διαβίβασης δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών για λόγους προστασίας των δεδομένων.

Φυσικά, τα εμπόδια στην ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μπορεί να είναι πιο διακριτικά από τις ρητές απαγορεύσεις στις εθνικές νομοθεσίες ή τις αποφάσεις παρεμπόδισης που λαμβάνουν οι εθνικές εποπτικές αρχές: για παράδειγμα, μπορούν να υπάρξουν περιπτώσεις όπου ένας μη αναγκαίος περιοριστικός κανόνας σε ένα κράτος μέλος εμποδίζει την εσωτερική επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο εν λόγω κράτος μέλος και, κατά συνέπεια, την εξαγωγή των δεδομένων αυτών σε άλλα κράτη μέλη. Με άλλα λόγια, ενώ η Επιτροπή είναι γενικά ικανοποιημένη από τον αντίκτυπο της οδηγίας όσον αφορά την ελεύθερη κυκλοφορία των πληροφοριών εντός της Κοινότητας, οι περαιτέρω εμπειρίες από την εφαρμογή της μπορεί να φανερώσουν άλλα προβλήματα που χρειάζεται να αντιμετωπιστούν [16].

[16] π.χ. διαφορετικές προσεγγίσεις όσον αφορά την προστασία των δεδομένων νομικών προσώπων.

Υψηλό επίπεδο προστασίας

Όπως αναφέρεται στην αιτιολογική σκέψη 10, η προσέγγιση των εθνικών νομοθεσιών πρέπει να έχει ως στόχο την κατοχύρωση υψηλού επιπέδου προστασίας στην Κοινότητα. Η Επιτροπή θεωρεί ότι ο στόχος αυτός έχει επιτευχθεί. Πράγματι, η ίδια η οδηγία προβλέπει ορισμένα από τα υψηλότερα πρότυπα προστασίας των δεδομένων παγκοσμίως. Ωστόσο, από τα αποτελέσματα της έρευνας σε απευθείας σύνδεση διαπιστώνεται ότι οι πολίτες δεν συμμερίζονται την άποψη αυτή. Το εν λόγω παράδοξο απαιτεί περαιτέρω εξέταση. Από μια προκαταρκτική ανάλυση μπορεί να προκύψει ότι τουλάχιστον μέρος του προβλήματος οφείλεται στην ελλιπή εφαρμογή των κανόνων (βλ. επίσης στο μέρος "Επιβολή, συμμόρφωση και ευαισθητοποίηση").

Άλλοι στόχοι της πολιτικής για την εσωτερική αγορά που δεν επιτυγχάνονται το ίδιο ικανοποιητικά

Η Επιτροπή υιοθετεί μια αντίληψη των γενικών πολιτικών στόχων που πρέπει να επιδιωχθούν από τη νομοθεσία για την εσωτερική αγορά, η οποία δεν περιορίζεται απλώς στην ελεύθερη κυκλοφορία. Η νομοθεσία αυτή πρέπει να παρέχει ισότιμους όρους ανταγωνισμού για τους οικονομικούς φορείς στα διαφορετικά κράτη μέλη, να συμβάλλει στην απλούστευση του ρυθμιστικού περιβάλλοντος προς όφελος τόσο της ορθής διακυβέρνησης όσο και της ανταγωνιστικότητας και να αποσκοπεί περισσότερο στην ενθάρρυνση παρά στην παρεμπόδιση των διασυνοριακών δραστηριοτήτων εντός της ΕΕ.

Με γνώμονα τα κριτήρια αυτά, οι αποκλίσεις που εξακολουθούν να υπάρχουν μεταξύ των νομοθεσιών των κρατών μελών για την προστασία των δεδομένων είναι πάρα πολύ μεγάλες. Αυτό ήταν το κεντρικό μήνυμα των παρεμβάσεων στην επισκόπηση, ιδίως από φορείς που εκπροσωπούν επιχειρηματικά συμφέροντα, οι οποίοι υποστήριξαν ότι οι διαφορές αυτές αποτρέπουν πολυεθνικούς οργανισμούς από την ανάπτυξη πανευρωπαϊκών πολιτικών για την προστασία των δεδομένων. Η Επιτροπή υπενθυμίζει ότι φιλοδοξία της οδηγίας είναι η προσέγγιση και όχι η πλήρης ομοιομορφία και ότι, τηρουμένης της αρχής της επικουρικότητας, η διαδικασία της προσέγγισης δεν πρέπει να προχωρήσει περισσότερο απ' όσο είναι αναγκαίο. Πλην όμως πιστεύει ότι οι εμπλεκόμενοι φορείς ορθώς απαιτούν μεγαλύτερη σύγκλιση των νομοθεσιών και του τρόπου εφαρμογής τους από τα κράτη μέλη και ειδικότερα από τις εθνικές εποπτικές αρχές.

Σε ορισμένες από τις παρεμβάσεις στην επισκόπηση προτάθηκε η τροποποίηση της οδηγίας με την προσθήκη περισσότερων λεπτομερειών ή προδιαγραφών προκειμένου να επιτευχθεί η σύγκλιση αυτή. Η Επιτροπή προτιμά, τουλάχιστον σε πρώτη φάση, να προχωρήσει με άλλα μέσα. Επιπλέον, η φύση της οδηγίας αυτής, δηλαδή το γεγονός ότι ισχύει για μεγάλο αριθμό τομέων και πλαισίων, συνιστά αποθαρρυντικό παράγοντα για την προσθήκη περισσότερων λεπτομερειών ή προδιαγραφών.

Οι αποκλίσεις των νομοθεσιών των κρατών μελών επιβάλλουν τη λήψη διαφορετικών μέτρων

Δεδομένου ότι οι αποκλίσεις μεταξύ των νόμων των κρατών μελών οφείλονται σε διαφορετικές αιτίες και έχουν διαφορετικές συνέπειες, καθιστούν επίσης αναγκαία τη λήψη διαφορετικών μέτρων.

Είναι σαφές ότι όταν ένα κράτος μέλος υπερβεί τα όρια της οδηγίας ή δεν εκπληρώσει πλήρως τις απαιτήσεις της, δημιουργεί μια απόκλιση που πρέπει να διορθωθεί με τροποποίηση του νόμου του εν λόγω κράτους μέλους. Υπάρχουν ορισμένες διατάξεις που αφήνουν ελάχιστα ή μηδενικά περιθώρια στα κράτη μέλη. Ωστόσο και στις περιπτώσεις αυτές διαπιστώνονται αποκλίσεις - π.χ. βλέπε "ορισμούς" ή κλειστούς καταλόγους στην οδηγία, όπως στα άρθρα 7 (λόγοι νομιμοποίησης της επεξεργασίας), 8 παράγραφος 1 (ευαίσθητες κατηγορίες δεδομένων), 10 (ενημέρωση του προσώπου στο οποίο αναφέρονται τα δεδομένα), 13 (εξαιρέσεις), 26 (παρεκκλίσεις όσον αφορά τη διαβίβαση σε τρίτες χώρες, κ.λπ.). Η κατάσταση αυτή δείχνει έλλειψη συμμόρφωσης προς το κοινοτικό δίκαιο. Το άρθρο 4 (εφαρμοστέο εθνικό δίκαιο) δεν έχει επίσης μεταφερθεί ορθά σε ορισμένες περιπτώσεις.

Η Επιτροπή είναι φυσικά έτοιμη να ασκήσει τις εξουσίες που της παρέχει το άρθρο 226 της Συνθήκης για να επιβάλει τις απαιτούμενες αλλαγές, αλλά ελπίζει ότι αυτό δεν θα χρειαστεί. Θα πραγματοποιηθούν διμερείς και πολυμερείς συζητήσεις με τα κράτη μέλη με στόχο την εξεύρεση λύσεων σύμφωνα με την οδηγία.

Υπάρχουν επίσης περιπτώσεις όπου, παρ' όλο που το κράτος μέλος εφαρμόζει ορθά την οδηγία, δημιουργούνται αποκλίσεις επειδή το κράτος αυτό ακολουθεί διαφορετική τακτική εντός των περιθωρίων ελιγμών που επιτρέπονται από την οδηγία. Για τους σκοπούς της παρούσας έκθεσης, η Επιτροπή εξετάζει την ύπαρξη τέτοιων διαφορών στο βαθμό που έχουν σημαντικές επιπτώσεις στην εσωτερική αγορά ή από την άποψη της «βελτίωσης των κανονιστικών ρυθμίσεων», π.χ. δημιουργία υπερβολικού φόρτου διοικητικών εργασιών για τους οικονομικούς φορείς.

Συνοπτικά:

α) Συνολικά, μεγάλο ποσοστό από τις αποκλίσεις που εντοπίζουν οι υπηρεσίες της Επιτροπής δεν μπορούν να θεωρηθούν ως παραβιάσεις του κοινοτικού δικαίου ούτε έχουν σημαντικό αρνητικό αντίκτυπο στην εσωτερική αγορά. όπου ο αντίκτυπος είναι σημαντικός, η Επιτροπή θα λάβει τα αναγκαία μέτρα για τη διόρθωση της κατάστασης.

β) Πολλές όμως από τις αποκλίσεις που διαπιστώθηκαν εμποδίζουν τη διαμόρφωση ενός ευέλικτου και απλοποιημένου συστήματος κανονιστικών ρυθμίσεων και επομένως εξακολουθούν να προκαλούν ανησυχίες (βλέπε για παράδειγμα τις διαφορές όσον αφορά τις απαιτήσεις κοινοποίησης ή τους όρους των διεθνών διαβιβάσεων).

Για την αντιμετώπισή τους υπάρχει ευρύ φάσμα δυνητικών ενεργειών, όπως αναφέρεται στο πρόγραμμα εργασιών στο κεφάλαιο 6. Η επιδίωξη των λύσεων αυτών στο άμεσο μέλλον δεν σημαίνει όμως ότι η Επιτροπή αποκλείει το ενδεχόμενο να τροποποιηθεί στο μέλλον η οδηγία, εάν εξακολουθήσουν να παρατηρούνται προβλήματα. Οι εναλλακτικές λύσεις είναι δύο: είτε οι εποπτικές αρχές των κρατών μελών θα συνεργαστούν στενότερα και θα επιδιώξουν να μειωθεί ο αρνητικός αντίκτυπος των αποκλίσεων είτε η οδηγία θα πρέπει να τροποποιηθεί κατά τρόπον ώστε να περιοριστούν οι επιλογές του εθνικού νομοθέτη και των εθνικών εποπτικών αρχών. Τα κράτη μέλη και οι εποπτικές αρχές τους αναμφίβολα θα προτιμήσουν την πρώτη επιλογή και είναι στο χέρι τους να αποδείξουν τη λειτουργικότητά της.

Επιβολή, συμμόρφωση και ευαισθητοποίηση

Πριν από τη διεξοδικότερη εξέταση ορισμένων από τους προβληματικούς τομείς της εφαρμογής της οδηγίας, αξίζει να επισημανθεί το ευρύτερο ζήτημα του γενικού επιπέδου συμμόρφωσης προς τη νομοθεσία προστασίας των δεδομένων στην ΕΕ και της επιβολής του νόμου. Με δεδομένο (ή παρά) τον πανταχού παρόντα χαρακτήρα της επεξεργασίας προσωπικών δεδομένων είναι δύσκολο να συγκεντρωθούν επακριβείς ή πλήρεις πληροφορίες όσον αφορά τη νομιμότητά της. Οι πληροφορίες που συγκέντρωσε η Επιτροπή ύστερα από την πρόσκληση που απηύθυνε για υποβολή σχολίων δεν διαφώτισε περισσότερο το ζήτημα αυτό. Ωστόσο, ανεπίσημα στοιχεία σε συνδυασμό με διάφορες έγκυρες πληροφορίες που έχει στη διάθεσή της η Επιτροπή [17] καταδεικνύουν την ύπαρξη τριών φαινομένων που συσχετίζονται:

[17] π.χ. ο σχετικά μικρός αριθμός ατομικών καταγγελιών που υποβάλλονται στην Επιτροπή και ο χαμηλός αριθμός αδειών, τις οποίες χορηγούν οι εθνικές αρχές για διαβίβαση δεδομένων σε τρίτες χώρες, που κοινοποιούνται στην Επιτροπή σύμφωνα με το άρθρο 26 παράγραφος 3

- Οι εποπτικές αρχές στερούνται των αναγκαίων πόρων για την επιβολή του νόμου και έχουν ευρύ φάσμα στόχων, μεταξύ των οποίων οι ενέργειες επιβολής έχουν μάλλον χαμηλή προτεραιότητα.

- πολύ ανομοιογενής συμμόρφωση εκ μέρους των υπευθύνων επεξεργασίας των δεδομένων που αναμφίβολα δεν είναι πρόθυμοι να προβούν σε αλλαγές των σημερινών πρακτικών τους προκειμένου να συμμορφωθούν με κανόνες που μπορεί να φαίνονται σύνθετοι και επιβαρυντικοί όταν ο κίνδυνος να εντοπιστούν οι παραβάσεις τους φαίνεται χαμηλός.

- ένα προφανώς χαμηλό επίπεδο επίγνωσης των δικαιωμάτων μεταξύ των ατόμων στα οποία αναφέρονται τα δεδομένα, το οποίο μπορεί επίσης να είναι η αιτία του προηγούμενου φαινομένου.

Οι ίδιες οι εποπτικές αρχές σε πολλά κράτη μέλη εκφράζουν την ανησυχία τους για την κατάσταση αυτή και ιδίως για τους περιορισμένους πόρους που έχουν στη διάθεσή τους. Η έλλειψη πόρων μπορεί να έχει επιπτώσεις στην ανεξαρτησία. Η ανεξαρτησία κατά τη λήψη των αποφάσεων είναι απαραίτητη προϋπόθεση για τη σωστή λειτουργία του συστήματος.

Το ζήτημα αυτό απαιτεί περαιτέρω διερεύνηση, αλλά εάν οι τάσεις αυτές επιβεβαιωθούν, τότε αποτελούν λόγο σοβαρής ανησυχίας και πρέπει να πραγματοποιηθούν διαβουλεύσεις μεταξύ της Επιτροπής, των κρατών μελών και των εποπτικών αρχών για να διαπιστωθούν τις αιτίες τους και να σχεδιαστούν εφικτές λύσεις.

Το γεγονός ότι τα τρία αυτά ζητήματα αλληλοσυνδέονται σημαίνει ότι η αντιμετώπιση του ενός μπορεί να έχει θετική επίδραση στα άλλα. Η αυστηρότερη και αποτελεσματικότερη επιβολή του νόμου θα βελτιώσει τη συμμόρφωση με τη νομοθεσία. Η καλύτερη συμμόρφωση θα έχει ως αποτέλεσμα την ευρύτερη και καλύτερη πληροφόρηση των ατόμων εκ μέρους των υπευθύνων επεξεργασίας των δεδομένων τόσο για την πραγματοποίηση της επεξεργασίας όσο και για τα νόμιμα δικαιώματα των ατόμων, πράγμα που θα έχει ευεργετική επίδραση στο επίπεδο ευαισθητοποίησης γενικά των πολιτών όσον αφορά τα θέματα προστασίας των δεδομένων.

Οι υποψήφιες χώρες

Σύμφωνα με τα κριτήρια της Κοπεγχάγης, όλες οι υποψήφιες χώρες δεσμεύονται να έχουν μεταφέρουν την οδηγία 95/46/EK μέχρι την ημερομηνία της προσχώρησης. Μέχρι σήμερα, όλες οι χώρες έχουν θεσπίσει νομοθεσία στον τομέα αυτό, εκτός από την Τουρκία, όπου η προετοιμασία ενός νόμου για την προστασία των δεδομένων είναι σε προχωρημένο στάδιο. Οι ισχύουσες νομοθεσίες των 10 χωρών που έχουν υπογράψει τις συνθήκες προσχώρησης ενσωματώνουν τα περισσότερα βασικά στοιχεία της οδηγίας. Εντούτοις, απαιτούνται περαιτέρω προσπάθειες για την πλήρη εναρμόνιση της νομοθεσίας αυτής με όλες τις διατάξεις της οδηγίας.

Στο πλαίσιο αυτό, η εγκαθίδρυση ανεξάρτητων εποπτικών αρχών προστασίας των δεδομένων έχει μεγάλη σημασία. Το καθεστώς ανεξαρτησίας ορισμένων εποπτικών αρχών είναι υποδειγματικό, ενώ σε άλλες χώρες είναι προφανώς ανεπαρκές. Από την άλλη πλευρά, όλες οι εποπτικές αρχές στερούνται των απαραίτητων πόρων και ορισμένες στερούνται επίσης των απαραίτητων εξουσιών για την εξασφάλιση της αποτελεσματικής εφαρμογής της νομοθεσίας περί προστασίας των δεδομένων.

4. Tα κύρια συμπεράσματα της επισκοπησης αναλυτικοτερα [18]

[18] Για μια πιο πλήρη εικόνα οι αναγνώστες μπορούν να συμβουλευτούν το τεχνικό παράρτημα.

Το παρόν κεφάλαιο περιλαμβάνει διεξοδικότερη ανάλυση και πιο συγκεκριμένα παραδείγματα των κύριων ζητημάτων που η Επιτροπή κρίνει ότι χρειάζεται να προσεχθούν περισσότερο στο πλαίσιο της επισκόπησης.

4.1. Η ανάγκη να ολοκληρωθεί η εφαρμογή της οδηγίας

Η πλήρης εφαρμογή της οδηγίας απαιτεί κανονικά (εκτός από τη θέσπιση νομοθεσίας εφαρμογής) ένα δεύτερο στάδιο που συνίσταται κυρίως στην αναθεώρηση άλλων νόμων που ενδεχομένως έρχονται σε σύγκρουση με τις απαιτήσεις της οδηγίας ή/και τον λεπτομερή προσδιορισμό ορισμένων γενικών κανόνων και την παροχή κατάλληλων μέτρων προστασίας στις περιπτώσεις όπου εφαρμόζονται οι εξαιρέσεις που προβλέπονται από την οδηγία.

Σε γενικές γραμμές, το εν λόγω δεύτερο στάδιο της εφαρμογής δεν έχει αρχίσει ακόμη σε μερικά κράτη μέλη και σε εκείνα που έχει αρχίσει δεν έχει προχωρήσει αρκετά. Διάφορες εθνικές νομοθεσίες αναφέρονται στην έκδοση περαιτέρω διευκρινίσεων, π.χ. σχετικά με την εφαρμογή του άρθρου 7 (στ) (ρήτρα στάθμισης συμφερόντων), πράγμα όμως που δεν έχει συμβεί μέχρι σήμερα. [19]

[19] Διάφορες παρεμβάσεις - π.χ. βλέπε εκείνη της Clifford Chance - δίνουν έμφαση στη σημασία αυτής της διάταξης η οποία προσθέτει ένα σημαντικό στοιχείο ευελιξίας στις προϋποθέσεις "νομιμοποίησης" της επεξεργασίας. Η ελλιπής ή ασαφής εφαρμογή αυτής της διάταξης προκαλεί περιττή "ακαμψία" του ρυθμιστικού πλαισίου.

Μια άλλη διάταξη όπου η εφαρμογή είναι συχνά ελλιπής είναι το άρθρο 8 (2) (β). Η διάταξη αυτή επιτρέπει στα κράτη μέλη να προβλέπουν εξαιρέσεις από το γενικό κανόνα ότι τα "ευαίσθητα" δεδομένα δεν μπορούν να αποτελούν αντικείμενο επεξεργασίας στις περιπτώσεις όπου η επεξεργασία είναι απαραίτητη προκειμένου να εκπληρωθούν οι υποχρεώσεις και τα ειδικά δικαιώματα του υπευθύνου της επεξεργασίας στον τομέα του εργατικού δικαίου, εφόσον όμως προβλέπονται επαρκείς εγγυήσεις. Σε μερικά κράτη μέλη, οι απαιτήσεις αυτές πληρούνται από ειδική νομοθεσία προστασίας των δεδομένων στο εργασιακό πλαίσιο, η οποία είτε είναι αρκετά περιεκτική (π.χ. Φινλανδία) είτε ρυθμίζει ειδικά θέματα (π.χ. νομοθεσία στον τομέα της υγείας στη Δανία και στις Κάτω Χώρες). Σε άλλα κράτη μέλη, η κατάσταση είναι λιγότερο σαφής. Δεν έχουν θεσπιστεί σε όλα τα κράτη μέλη οι διατάξεις που θα παρέχουν τις αναγκαίες εγγυήσεις. Όπου υπάρχουν τέτοιες διατάξεις, συχνά οι εγγυήσεις που προβλέπουν δεν είναι επαρκείς. Η κατάσταση είναι παρόμοια όσον αφορά το άρθρο 8 (4) και (5) (επεξεργασία ευαίσθητων δεδομένων όταν συντρέχουν σοβαροί λόγοι δημοσίου συμφέροντος ή δεδομένων σχετικών με παραβάσεις). Η απουσία επαρκών εγγυήσεων σημαίνει ότι δεν παρέχεται το απαραίτητο επίπεδο προστασίας για τα άτομα, κατάσταση που πρέπει να ανησυχήσει τα κράτη μέλη όπως ανησυχεί την Επιτροπή. To θέμα αυτό θα εξεταστεί αναλυτικότερα στο πλαίσιο της δράσης 1 του προγράμματος εργασιών. Επιπλέον, στις περιπτώσεις όπου τα δεδομένα προσωπικού χαρακτήρα αποτελούν αντικείμενο επεξεργασίας σε συγκεκριμένο τομέα ή πλαίσιο, όπως στον τομέα της απασχόλησης, το θέμα μπορεί να αντιμετωπιστεί μέσω τομεακών κοινοτικών ενεργειών [20].

[20] πρβλ. σημείο 1.2 ανωτέρω.

4.2. Η ανάγκη για μια λογική και ευέλικτη ερμηνεία

Πολλοί φορείς που συμμετείχαν στις διαβουλεύσεις τάχθηκαν υπέρ μιας λογικής και ευέλικτης ερμηνείας ορισμένων διατάξεων της οδηγίας [21]. Ένα καλό παράδειγμα είναι το θέμα των ευαίσθητων δεδομένων [22]. Είναι απαραίτητο να διατυπωθεί μια ερμηνεία που θα συνεκτιμά τόσο την ανάγκη ενισχυμένης προστασίας που προβλέπεται από την οδηγία για την εν λόγω κατηγορία δεδομένων όσο και την πραγματικότητα των καθημερινών επιχειρηματικών δραστηριοτήτων, των τυποποιημένων διαδικασιών επεξεργασίας και των πραγματικών κινδύνων που συνεπάγονται ορισμένες διαδικασίες για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των ατόμων. [23]

[21] Σχετικά με το θέμα αυτό ιδιαίτερο ενδιαφέρον έχει η παρέμβαση του European Privacy Officers Forum (EPOF) (Ευρωπαϊκό φόρουμ υπάλλήλων αρμόδιων για θέματα προστασίας της ιδιωτικής ζωής) όσον αφορά, για παράδειγμα την ανάγκη για μια λογική ερμηνεία εννοιών όπως των "ανωνύμων δεδομένων" ή των "ευαίσθητων κατηγοριών δεδομένων".

[22] Η έκθεση της FEDMA, για παράδειγμα, περιέχει μερικά πρακτικά παραδείγματα διαφορετικών ερμηνειών της έννοιας αυτής σε κράτη μέλη όπως στο Ηνωμένο Βασίλειο, στη Γαλλία ή στην Πορτογαλία.

[23] Η διατύπωση μιας λογικής ερμηνείας είναι επίσης ο στόχος στον οποίο αποβλέπει η πρόταση τροποποίησης της αιτιολογικής σκέψης 33 που υποβλήθηκε από την Αυστρία, τη Φινλανδία, τη Σουηδία και το Ηνωμένο Βασίλειο.

Το άρθρο 12 της οδηγίας (δικαίωμα των προσώπων στα οποία αναφέρονται τα δεδομένα να έχουν πρόσβαση στα δεδομένα που τους αφορούν) αποτελεί άλλη μια διάταξη για την οποία ζητήθηκε η διατύπωση μιας ευέλικτης ερμηνείας σε σχέση με την άσκηση του δικαιώματος της πρόσβασης και τις περιπτώσεις άρνησης. Υποστηρίζεται ότι η ικανοποίηση αιτημάτων πρόσβασης σε δεδομένα που υποβάλλονται σε επεξεργασία από τεράστια και σύνθετα δίκτυα πληροφοριών μπορεί να είναι εξαιρετικά δύσκολη και δαπανηρή για τον υπεύθυνο της επεξεργασίας των δεδομένων.

Στην έκθεση που υπέβαλαν η Αυστρία, η Σουηδία, η Φινλανδία και το Ηνωμένο Βασίλειο προτείνεται μια αλλαγή στην οδηγία ώστε να καθίσταται σαφές ότι εάν το αίτημα πρόσβασης αφορά πληροφορίες που είναι εξαιρετικά δύσκολο να ανακτηθούν και σίγουρα δεν περιλαμβάνονται στα συνήθη καθήκοντα του υπευθύνου επεξεργασίας των δεδομένων, ο εν λόγω υπεύθυνος μπορεί να ζητήσει από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να συνδράμει στην αναζήτηση των δεδομένων αυτών. [24] Η Επιτροπή υπενθυμίζει ότι η δυνατότητα να ζητηθεί αυτή η βοήθεια παρέχεται ήδη από την οδηγία στην παρούσα μορφή της. Η Επιτροπή δεν είναι πεπεισμένη ότι η εφαρμογή αυτής της διάταξης της οδηγίας δημιουργεί πράγματι σοβαρά πρακτικά προβλήματα. Εν πάση περιπτώσει, ο αριθμός των αιτημάτων πρόσβασης φαίνεται ότι παραμένει χαμηλός. [25] Η Επιτροπή θεωρεί ότι οι ερμηνείες και οι οδηγίες που παρείχαν μέχρι σήμερα οι εθνικές εποπτικές αρχές υπήρξαν απολύτως λογικές.

[24] Η βοήθεια αυτή ήδη προβλέπεται από τη βρετανική και αυστριακή νομοθεσία.

[25] Βλέπε ανωτέρω στοιχεία και απαντήσεις των υπευθύνων επεξεργασίας δεδομένων στο ερωτηματολόγιο σε απευθείας σύνδεση σχετικά με το θέμα αυτό

Το άρθρο 5 της οδηγίας αναφέρει ότι τα κράτη μέλη καθορίζουν, εντός των ορίων των διατάξεων του κεφαλαίου ΙΙ (άρθρα 6 έως 21) τις προϋποθέσεις υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη. Σχετικά με το θέμα αυτό, η Επιτροπή σημειώνει τις ανησυχίες που εξέφρασε η Σουηδία στο πλαίσιο της συνεχιζόμενης αναθεώρησης της νομοθεσίας της όσον αφορά την εφαρμογή των αρχών προστασίας των δεδομένων στα συνεχή δεδομένα κειμένου ή ήχου και εικόνας. Η Επιτροπή πιστεύει ότι ο στόχος της απλούστευσης των προϋποθέσεων για την επεξεργασία δεδομένων, στις περιπτώσεις όπου η επεξεργασία αυτή δεν φαίνεται πιθανό ότι συνεπάγεται ουσιαστικό κίνδυνο για τα δικαιώματα του ατόμου, μπορεί να επιτευχθεί με την εκμετάλλευση του περιθωρίου ελιγμών που παρέχει η οδηγία και ιδιαίτερα των δυνατοτήτων που προβλέπονται στα άρθρα 7 (στ), 9, και 13.

4.3. Προώθηση και ενθάρρυνση των τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικής ζωής

Στόχος των τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικής ζωής (ΤΒΠΙΖ) είναι ο σχεδιασμός συστημάτων και τεχνολογιών ενημέρωσης και επικοινωνίας κατά τρόπο που να ελαχιστοποιεί τη συλλογή και τη χρήση των δεδομένων προσωπικού χαρακτήρα και να αποτρέπει τις παράνομες επεξεργασίες. Η Επιτροπή θεωρεί ότι η χρήση των κατάλληλων τεχνολογικών μέτρων αποτελεί ουσιαστικό συμπλήρωμα στα νομικά μέσα και πρέπει να συνιστά αναπόσπαστο τμήμα κάθε προσπάθειας για την επίτευξη ικανοποιητικού επιπέδου προστασίας της ιδιωτικής ζωής.

Τα τεχνολογικά προϊόντα πρέπει σε κάθε περίπτωση να αναπτύσσονται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων. Αλλά η επίτευξη της συμμόρφωσης είναι μόνο το πρώτο βήμα. Ο στόχος πρέπει να είναι η παραγωγή προϊόντων τα οποία όχι μόνο θα πληρούν τις απαιτήσεις σεβασμού και προστασίας της ιδιωτικής ζωής, αλλά - ει δυνατόν - θα συμβάλλουν στην ενίσχυση της προστασίας [26].

[26] Βλέπε σχετικά τα συμπεράσματα του εγγράφου ΟΕ 37 της ομάδας εργασίας του άρθρου 29, Nοέμβριος 2000:"Προστασία της ιδιωτικής ζωής στο Διαδίκτυο - Ολοκληρωμένη κοινοτική προσέγγιση σχετικά με την προστασία των δεδομένων στο Διαδίκτυο" Προϊόντα που τηρούν τους κανόνες προστασίας της ιδιωτικής ζωής είναι τα προϊόντα που αναπτύσσονται με πλήρη συμμόρφωση προς τις επιταγές της οδηγίας. Τα «φιλικά» προς την προστασία της ιδιωτικής ζωής προϊόντα πάνε ένα βήμα παραπέρα και περιλαμβάνουν ορισμένα στοιχεία που διευκολύνουν τους χρήστες για την προστασία της ιδιωτικής τους ζωής, π.χ. παρέχοντας στα άτομα στα οποία αναφέρονται τα δεδομένα απλές και εύληπτες πληροφορίες ή απλουστεύοντας τον τρόπο άσκησης των δικαιωμάτων τους. Τα προϊόντα που βελτιώνουν την προστασία της ιδιωτικής ζωής είναι εκείνα που έχουν σχεδιαστεί κατά τρόπο ώστε να επιτυγχάνουν τη μεγαλύτερη δυνατή χρήση πραγματικά ανώνυμων δεδομένων. http://europa.eu.int/comm/internal_market/ privacy/workingroup/wp2000/wpdocs00_en.htm

Κατά τη διάρκεια των συζητήσεων για τις ΤΒΠΙΖ στη διάσκεψη που πραγματοποίησε το 2002 η Επιτροπή σχετικά με την εφαρμογή της οδηγίας, επισημάνθηκε ότι η χρήση ορισμένων τεχνικών εργαλείων καθιστά αδύνατη τη συμμόρφωση των υπευθύνων επεξεργασίας των δεδομένων προς τη νομοθεσία. Ένα πρόσθετο πρόβλημα που προέκυψε είναι η δυσκολία αναγνώρισης των προϊόντων που είναι πραγματικά ΤΒΠΙΖ. Ορισμένοι από τους συμμετέχοντες ζήτησαν κάποια μορφή πιστοποίησης ή σφραγίδας βάσει ανεξάρτητης επαλήθευσης του προϊόντος. Προς το παρόν, ορισμένα συστήματα που παρουσιάζονται ως ΤΒΠΙΖ δεν πληρούν ούτε τις βασικές απαιτήσεις για την προστασία της ιδιωτικής ζωής.

Το βασικό ζήτημα επομένως δεν είναι μόνο να δημιουργήσουμε τις τεχνολογίες που πραγματικά θα βελτιώνουν την προστασία της ιδιωτικής ζωής, αλλά να σιγουρευτούμε ότι οι χρήστες έχουν τη δυνατότητα να αναγνωρίσουν ότι οι τεχνολογίες αυτές είναι τεχνολογίες που βελτιώνουν την προστασία της ιδιωτικής ζωής. Τα συστήματα πιστοποίησης διαδραματίζουν αποφασιστικό ρόλο και η Επιτροπή θα συνεχίσει να παρακολουθεί τις εξελίξεις στον τομέα αυτό [27].

[27] Για παράδειγμα, στον Καναδά, η ομοσπονδιακή κυβέρνηση έγινε η πρώτη εθνική κυβέρνηση που κατέστησε την αξιολόγηση του αντίκτυπου για την ιδιωτική ζωή (Privacy Impact Assessment) υποχρεωτική για όλα τα ομοσπονδιακά υπουργεία και τους οργανισμούς για όλα τα προγράμματα και τις υπηρεσίες όπου εμπλέκονται ζητήματα προστασίας της ιδιωτικής ζωής. Σύμφωνα με την πολιτική αυτή, οι οργανισμοί υποχρεούνται να πραγματοποιούν την εν λόγω αξιολόγηση στα πρώτα στάδια σχεδιασμού ή επανασχεδιασμού ενός προγράμματος ή μιας υπηρεσίας, κατά τρόπον ώστε να επηρεαστεί η διαδικασία ανάπτυξης και να εξασφαλιστεί ότι η προστασία της ιδιωτικής ζωής αποτελεί ζήτημα κεντρικού ενδιαφέροντος. Το ομόσπονδο κράτος Schleswig-Holstein εισήγαγε ένα παρόμοιο σύστημα πιστοποίησης στο οποίο συμμετέχει τόσο ο δημόσιος όσο και ο ιδιωτικός τομέας.

Η Επιτροπή θεωρεί ότι τέτοια σχέδια πρέπει πράγματι να ενθαρρυνθούν και να αναπτυχθούν περαιτέρω. Ο στόχος δεν είναι μόνο να εντοπιστούν οι καλύτερες πρακτικές προστασίας της ιδιωτικής ζωής, αλλά και να βελτιωθεί η διαφάνεια και, κατά συνέπεια, η εμπιστοσύνη των χρηστών και να δοθεί σε εκείνους που κάνουν επενδύσεις για τη συμμόρφωση ή ακόμη και για την ενίσχυση της προστασίας μια ευκαιρία να προβάλουν τις επιδόσεις τους στον τομέα αυτό και να αποκτήσουν έτσι ανταγωνιστικό πλεονέκτημα.

4.4. Σχόλια για συγκεκριμένες διατάξεις

Η παρούσα έκθεση επισημαίνει μόνο τα κύρια συμπεράσματα για κάθε περίπτωση. Λεπτομερή στοιχεία παρέχονται στο τεχνικό παράρτημα που θα δημοσιευθεί ξεχωριστά. [28]

[28] www.europa.eu.int/comm/privacy

4.4.1. Άρθρο 4: Εφαρμοστέο εθνικό δίκαιο

Πρόκειται για μια από τις σημαντικότερες διατάξεις της οδηγίας από την άποψη της εσωτερικής αγοράς και η ορθή εφαρμογή της έχει αποφασιστική σημασία για τη λειτουργία του συστήματος. Η εφαρμογή αυτής της διάταξης είναι προβληματική σε αρκετές περιπτώσεις καθόσον μπορεί να οδηγήσει σε εκείνες τις συγκρούσεις νομοθεσιών τις οποίες το εν λόγω άρθρο επιδιώκει να αποφύγει. Μερικά κράτη μέλη θα πρέπει να τροποποιήσουν τη νομοθεσία τους εν προκειμένω.

Η διάταξη αυτή ήταν μία από τις διατάξεις που επικρίθηκαν περισσότερο κατά τη διάρκεια της επισκόπησης. Πολλοί τάχθηκαν υπέρ του κανόνα της χώρας προέλευσης που θα επιτρέπει σε πολυεθνικούς οργανισμούς να λειτουργούν βάσει μιας δέσμης κανόνων σε όλη την ΕΕ. Πολλοί επίσης υποστήριξαν ότι η "χρήση του εξοπλισμού" δεν αποτελεί κατάλληλο ή λειτουργικό κριτήριο για τον καθορισμό του εφαρμοστέου δικαίου όσον αφορά τους υπευθύνους επεξεργασίας δεδομένων που είναι εγκατεστημένοι εκτός της ΕΕ.

Όσον αφορά τον κανόνα της χώρας προέλευσης, η οδηγία επιτρέπει ήδη την οργάνωση της επεξεργασίας από έναν μόνο υπεύθυνο επεξεργασίας δεδομένων, πράγμα που συνεπάγεται τη συμμόρφωση μόνο προς τη νομοθεσία περί προστασίας δεδομένων της χώρας εγκατάστασης του υπευθύνου της επεξεργασίας. Αυτό φυσικά δεν ισχύει όταν η επιχείρηση επιλέγει να ασκήσει το δικαίωμα εγκατάστασης σε περισσότερα του ενός κράτη μέλη.

Όσον αφορά τη "χρήση του εξοπλισμού", η Επιτροπή συμμερίζεται την άποψη ότι το κριτήριο αυτό μπορεί να είναι δύσκολο να εφαρμοστεί στην πράξη και ότι χρειάζεται περαιτέρω διευκρίνιση. Εάν η διευκρίνιση αυτή δεν επαρκεί για να εξασφαλίσει την πρακτική του εφαρμογή, ίσως χρειαστεί σε εύθετο χρόνο να προταθεί σχετική τροποποίηση που θα προβλέπει ένα διαφορετικό κριτήριο για τον καθορισμό του εφαρμοστέου δικαίου.

Ωστόσο, η προτεραιότητα της Επιτροπής είναι να εξασφαλίσει τη σωστή εφαρμογή της ισχύουσας διάταξης από τα κράτη μέλη. Απαιτούνται περισσότερες εμπειρίες όσον αφορά την εφαρμογή της και περαιτέρω διερεύνηση, λαμβανομένων υπόψη των τεχνολογικών εξελίξεων, προτού υποβληθεί οποιαδήποτε πρόταση τροποποίησης του άρθρου 4 (1) (γ). Παρά την ανάγκη για την εν λόγω περαιτέρω διερεύνηση, θα ήταν λάθος να δημιουργηθεί η εντύπωση ότι αμφισβητείται το σύνολο του άρθρου 4. Αντίθετα, στο μεγαλύτερο τμήμα της, η εφαρμογή της διάταξης αυτής δεν δημιουργεί κανένα πρόβλημα και εγκρίνεται ομόφωνα από όλες τις αρχές προστασίας των δεδομένων και την Επιτροπή.

4.4.2. Άρθρα 6 και 7: Ποιότητα των δεδομένων και κριτήρια για την νόμιμη επεξεργασία των δεδομένων

Από την ανάλυση των εθνικών νομοθεσιών διαπιστώνεται ότι, σε ορισμένες περιπτώσεις, η εφαρμογή των διατάξεων αυτών δεν είναι ικανοποιητική. Το άρθρο 6 παράγραφος 1 στοιχείο β) επιτρέπει τη μεταγενέστερη επεξεργασία για ιστορικούς, στατιστικούς ή επιστημονικούς σκοπούς εφόσον τα κράτη μέλη προβλέπουν κατάλληλες εγγυήσεις. Δεν έχουν όλα τα κράτη μέλη προβλέψει εγγυήσεις, ενώ η μεταγενέστερη επεξεργασία γενικά επιτρέπεται. Ορισμένα κράτη μέλη είτε πρόσθεσαν είτε αφαίρεσαν κριτήρια από τον κατάλογο κριτηρίων για τη νόμιμη επεξεργασία που αναφέρονται στο άρθρο 7 και θα πρέπει να τροποποιήσουν τη νομοθεσία τους. Η έννοια της «ρητή συγκατάθεσης» (άρθρο 7 στοιχείο α), συγκρινόμενη ιδίως με την έννοια της «ρητής συγκατάθεσης» στο άρθρο 8, χρειάζεται περαιτέρω διευκρίνιση και πιο ομοιόμορφη ερμηνεία. Οι φορείς εκμετάλλευσης πρέπει να γνωρίζουν ποια συγκατάθεση είναι έγκυρη, ιδίως σε διαδικτυακό περιβάλλον.

4.4.3. Άρθρα 10 και 11: Παροχή πληροφοριών στα άτομα στα οποία αναφέρονται τα δεδομένα

Η εφαρμογή των άρθρων 10 και 11 της οδηγίας παρουσίασε διάφορες αποκλίσεις. Ως ένα βαθμό οι αποκλίσεις αυτές οφείλονται σε μη σωστή εφαρμογή, παραδείγματος χάριν όταν ένας νόμος ορίζει ότι οι περαιτέρω πληροφορίες πρέπει πάντα να παρέχονται στο άτομο στο οποίο αναφέρονται τα δεδομένα, ανεξάρτητα από την «αξιολόγηση της αναγκαιότητας» των πληροφοριών την οποία προβλέπει η οδηγία, αλλά οφείλεται επίσης και στις αποκλίνουσες ερμηνείες και πρακτικές των εποπτικών αρχών. Πολλοί φορείς επισήμαναν τις δυσκολίες που αντιμετωπίζουν πολυεθνικές εταιρείες που λειτουργούν σε πανευρωπαϊκό επίπεδο και οι οποίες οφείλονται στις αποκλίσεις αυτές [29].

[29] Βλέπε για παράδειγμα τις απόψεις του φορέα EPOF (European Privacy Officers Forum): http://europa.eu.int/comm/internal_market/ privacy/docs/lawreport/paper/epof_en.pdf ή της επιτροπής για την ΕΕ του Εμπορικού Επιμελητηρίου των ΗΠΑ: http://europa.eu.int/comm/internal_market/ privacy/docs/lawreport/paper/amcham_en.pdf

4.4.4. Άρθρα 18 και 19: Απαιτήσεις κοινοποίησης

Πολλοί φορείς που συμμετείχαν στις διαβουλεύσεις υποστήριξαν την ανάγκη απλούστευσης και σύγκλισης των απαιτήσεων που ισχύουν στα κράτη μέλη όσον αφορά την κοινοποίηση επεξεργασιών εκ μέρους των υπευθύνων για την επεξεργασία των δεδομένων. Η Επιτροπή υποστηρίζει την άποψη αυτή, αλλά υπενθυμίζει ότι η οδηγία παρέχει ήδη στα κράτη μέλη τη δυνατότητα να επιτρέπουν εξαιρέσεις από την υποχρέωση κοινοποίησης σε περιπτώσεις χαμηλού κινδύνου ή όταν ο υπεύθυνος της επεξεργασίας έχει ορίσει έναν υπεύθυνο για την προστασία των δεδομένων. Οι εξαιρέσεις αυτές δίνουν αρκετά περιθώρια ευελιξίας χωρίς να επηρεάζουν το επίπεδο της προστασίας. Δυστυχώς, ορισμένα κράτη μέλη δεν έχουν κάνει χρήση αυτών των δυνατοτήτων. Ωστόσο, η Επιτροπή συμφωνεί ότι, εκτός από την ευρύτερη χρήση των ήδη προβλεπόμενων εξαιρέσεων, θα ήταν χρήσιμη μια περαιτέρω απλούστευση. η εν λόγω απλούστευση θα ήταν δυνατή χωρίς να απαιτείται τροποποίηση των υφισταμένων άρθρων.

4.4.5. Άρθρα 25 και 26: Η εξωτερική διάσταση

Οι αποκλίσεις μεταξύ των νομοθεσιών των κρατών μελών όσον αφορά την εφαρμογή αυτών των δύο διατάξεων είναι υπερβολικές. Η προσέγγιση που υιοθετείται από μερικά κράτη μέλη, σύμφωνα με την οποία η αξιολόγηση της επάρκειας της προστασίας που παρέχει ο παραλήπτης υποτίθεται ότι γίνεται από τον υπεύθυνο της επεξεργασίας των δεδομένων, με πολύ περιορισμένο έλεγχο των ροών δεδομένων εκ μέρους του κράτους ή της εθνικής εποπτικής αρχής, δεν φαίνεται να καλύπτει την απαίτηση που επιβάλλεται στα κράτη μέλη από την πρώτη παράγραφο του άρθρου 25. [30].

[30] "Τα κράτη μέλη προβλέπουν ότι η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα (...) επιτρέπεται μόνον εάν (...) η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας"

Η τακτική που ακολουθούν άλλα κράτη μέλη, σύμφωνα με την οποία όλες οι διαβιβάσεις δεδομένων σε τρίτες χώρες πρέπει να έχουν προηγουμένως εγκριθεί από τη διοίκηση [31], φαίνεται επίσης ασυμβίβαστη με το κεφάλαιο IV της οδηγίας το οποίο έχει ως στόχο να εξασφαλίσει τόσο την επαρκή προστασία όσο και τις ροές δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες χωρίς περιττές διοικητικές επιβαρύνσεις. Παρ' όλο που σύμφωνα με το άρθρο 19 μπορεί να απαιτείται κοινοποίηση στις εθνικές εποπτικές αρχές, οι κοινοποιήσεις δεν μπορούν να μετατρέπονται σε de facto εγκρίσεις στις περιπτώσεις όπου η διαβίβαση σε τρίτη χώρα επιτρέπεται ρητά, είτε επειδή ο παραλήπτης παρέχει επαρκή προστασία όπως επιβεβαιώνεται σε δεσμευτική απόφαση της Επιτροπής, ή είναι συμβαλλόμενο μέρος στις τυποποιημένες συμβατικές ρήτρες που εγκρίνονται από την Επιτροπή, είτε επειδή ο υπεύθυνος της επεξεργασίας δεδομένων δηλώνει ότι για τη συγκεκριμένη διαβίβαση ισχύει μια από τις παρεκκλίσεις που προβλέπονται στο άρθρο 26 της οδηγίας. Ενώ η αρχή προστασίας των δεδομένων μπορεί νόμιμα να απαιτήσει την κοινοποίηση των διαβιβάσεων αυτών [32], δεν υπάρχει ανάγκη έγκρισής τους επειδή έχουν ήδη εγκριθεί από το κοινοτικό δίκαιο.

[31] Σε ορισμένα κράτη μέλη, οι διαβιβάσεις που εμπίπτουν στις παρεκκλίσεις του άρθρου 26 παράγραφος 1 ή οι διαβιβάσεις προς άλλο κράτος μέλος ή τρίτη χώρα που έχει κριθεί κατάλληλη από την Ευρωπαϊκή Επιτροπή χρειάζονται έγκριση.

[32] Για να ελεγχθεί, για παράδειγμα, ότι το πρότυπο σύμβασης ανταποκρίνεται πλήρως στο πρότυπο που έχει εγκριθεί από την Επιτροπή ή ότι ο παραλήπτης καλύπτεται από την απόφαση καταλληλότητας.

Μια υπερβολικά χαλαρή αντιμετώπιση των διαβιβάσεων εκ μέρους ορισμένων κρατών μελών - εκτός του ότι παραβιάζει την οδηγία - μπορεί να εξασθενίσει το επίπεδο προστασίας στο σύνολο της ΕΕ επειδή, με την ελεύθερη κυκλοφορία που εξασφαλίζει η οδηγία, οι ροές δεδομένων είναι πιθανό να στραφούν προς τα σημεία εξόδου με τις λιγότερες διοικητικές επιβαρύνσεις. Αντίθετα, μια υπερβολικά αυστηρή προσέγγιση δεν συνεκτιμά τις νόμιμες ανάγκες του διεθνούς εμπορίου και την πραγματικότητα των παγκόσμιων δικτύων τηλεπικοινωνιών και ενέχει τον κίνδυνο να δημιουργήσει ένα κενό μεταξύ του νόμου και της πρακτικής που είναι καταστρεπτικό για την αξιοπιστία της οδηγίας και του κοινοτικού δικαίου εν γένει.

Πράγματι, οι διεθνείς διαβιβάσεις δεδομένων φαίνεται ότι είναι ένας τομέας όπου η έλλειψη μέτρων επιβολής του νόμου δημιουργεί τέτοιο κενό. Οι εθνικές αρχές οφείλουν να ενημερώνουν την Επιτροπή όποτε εγκρίνουν διαβιβάσεις σύμφωνα με το άρθρο 26 παράγραφος (2) της οδηγίας. Από την έναρξη ισχύος της οδηγίας το 1998, η Επιτροπή έχει λάβει πολύ μικρό αριθμό τέτοιων κοινοποιήσεων. Αν και υπάρχουν άλλες νόμιμες διαδικασίες διαβίβασης εκτός από το άρθρο 26 παράγραφος 2, ο αριθμός των κοινοποιήσεων που έχουν πραγματοποιηθεί είναι ασήμαντος σε σύγκριση με εκείνον που εύλογα αναμενόταν. Όπως υποδεικνύουν και άλλα σχετικά στοιχεία [33], φαίνεται ότι πραγματοποιούνται πολλές μη εγκεκριμένες και ενδεχομένως παράνομες διαβιβάσεις προς προορισμούς ή αποδέκτες που δεν εξασφαλίζουν επαρκή προστασία. Ωστόσο, τα μέτρα επιβολής του νόμου εκ μέρους των εποπτικών αρχών είναι περιορισμένα ή ανύπαρκτα.

[33] Η έκθεση που εγκρίθηκε από την εαρινή διάσκεψη των αρμόδιων αρχών για την προστασία των δεδομένων το Μάιο του 2001 καταδεικνύει ότι οι περισσότερες εποπτικές αρχές δεν είναι σε θέση να αναφέρουν τον αριθμό των ενεργειών επεξεργασίας που περιλαμβάνουν διεθνείς διαβιβάσεις δεδομένων. Στις περιπτώσεις που διατίθενται στοιχεία, αυτά είναι άνευ σημασίας (600 διαβιβάσεις από τη Γαλλία, 1352 από την Ισπανία και 150 από τη Δανία)

Οι διαβιβάσεις που απαιτούν έγκριση και κοινοποίηση φυσικά συνεπάγονται σημαντικό διοικητικό φόρτο τόσο για τους εξαγωγείς δεδομένων όσο και για τις εποπτικές αρχές. Συνιστάται επομένως να γίνει περισσότερη χρήση των "εγκρίσεων κατά κατηγορίες" που προβλέπονται στα άρθρα 25 παράγραφος 6 και 26 παράγραφος 4 της οδηγίας. Μέχρι σήμερα, έχουν γίνει μόνο τέσσερις διαπιστώσεις καταλληλότητας για τρίτες χώρες (Ουγγαρία, Ελβετία, Καναδάς και "ασφαλής λιμένας" των ΗΠΑ [34]) και έχουν παραχθεί δύο δέσμες τυποποιημένων συμβατικών ρητρών, μία για τις διαβιβάσεις προς υπευθύνους επεξεργασίας δεδομένων σε τρίτες χώρες και μία για τις διαβιβάσεις προς φορείς επεξεργασίας Χρειάζεται να καταβληθούν περισσότερες προσπάθειες για την απλούστευση των όρων των διεθνών διαβιβάσεων.

[34] Επίκειται επίσης η παγίωση μιας απόφασης της Επιτροπής σχετικά με την επαρκή προστασία των δεδομένων στην Αργεντινή.

5. Επεξεργασία δεδομενων ηχου και εικονασ

Κατά τη διάρκεια της προετοιμασίας της οδηγίας, ορισμένοι είχαν εκφράσει αμφιβολίες κατά πόσο η οδηγία θα είναι σε θέση να αντιμετωπίσει τις μελλοντικές τεχνολογικές εξελίξεις. Η έκταση των τεχνολογικών εξελίξεων δεν μπορούσε βέβαια να προβλεφθεί, αλλά οι ανησυχίες αφορούσαν το ενδεχόμενο ότι ένα νομοθετικό κείμενο που συντάχθηκε κυρίως με γνώμονα την επεξεργασία κειμένου δεν θα μπορούσε να καλύψει την επεξεργασία δεδομένων ήχου και εικόνας. Για το λόγο αυτό, το άρθρο 33 περιέχει ειδική αναφορά στα δεδομένα ήχου και εικόνας.

Για τη σύνταξη της παρούσας επισκόπησης η Επιτροπή βασίστηκε σε μια μελέτη που εκπόνησε εξωτερικός ανάδοχος για την ανάλυση της κατάστασης στα κράτη μέλη, καθώς και στις συνεισφορές των ίδιων των κρατών μελών και των εθνικών εποπτικών αρχών. Από τις πληροφορίες που συγκεντρώθηκαν διαπιστώνεται ότι όλοι οι εθνικοί νόμοι εφαρμογής της οδηγίας καλύπτουν την επεξεργασία δεδομένων ήχου και εικόνας και ότι η εφαρμογή της οδηγίας στις εν λόγω κατηγορίες επεξεργασίας δεν παρουσιάζει ιδιαίτερα προβλήματα

Στα περισσότερα κράτη μέλη οι ίδιες (γενικές) διατάξεις ισχύουν τόσο για την επεξεργασία δεδομένων ήχου και εικόνας όσο και για τα άλλα δεδομένα προσωπικού χαρακτήρα. Μόνο δύο κράτη μέλη (Γερμανία και Λουξεμβούργο) έχουν περιλάβει ειδικές διατάξεις για την επεξεργασία ήχου και εικόνας στους νόμους εφαρμογής της οδηγίας. Τρία κράτη μέλη (Δανία, Σουηδία και Πορτογαλία) έχουν ειδικές διατάξεις για τη βιντεοεπιτήρηση σε ξεχωριστές νομοθετικές πράξεις. Παρά τις αμφιβολίες που είχαν εκφραστεί κατά τη διάρκεια των διαπραγματεύσεων για την κατάρτιση της οδηγίας, τα κράτη μέλη διαπιστώνουν ότι η φιλοδοξία της οδηγίας να είναι τεχνολογικά ουδέτερη έχει επιτευχθεί, τουλάχιστον όσον αφορά την επεξεργασία δεδομένων ήχου και εικόνας.

Κανένα κράτος μέλος ή άλλος φορέας που συμμετείχε στις διαβουλεύσεις δεν πρότεινε τροποποιήσεις στην οδηγία σχετικά με το θέμα αυτό. Στις κοινές προτάσεις που υποβλήθηκαν από την Αυστρία, τη Φινλανδία, τη Σουηδία και το Ηνωμένο Βασίλειο εκφράζονται κάποιες ανησυχίες για τη δυνατότητα της οδηγίας να αντιμετωπίσει ορισμένες τεχνολογικές εξελίξεις, αλλά δεν περιλαμβάνουν συγκεκριμένες προτάσεις που συνδέονται άμεσα με αυτό το ζήτημα.

Ένα από τα σεμινάρια της διάσκεψης σχετικά με την εφαρμογή της οδηγίας αφιερώθηκε εξ ολοκλήρου στο θέμα αυτό. Το κύριο ζήτημα ήταν η βιντεοεπιτήρηση, που μέχρι σήμερα είναι το ζήτημα που συγκεντρώνει περισσότερο (ακολουθούμενη από τη βιομετρία) την προσοχή των εθνικών εποπτικών αρχών. Οι συμμετέχοντες υποστήριξαν ότι μέχρι σήμερα δεν έχουν πραγματοποιηθεί αρκετές δημόσιες συζητήσεις όσον αφορά τα όρια που πρέπει να τεθούν στη χρήση της βιντεοεπιτήρησης προκειμένου να διαφυλαχθούν ορισμένα δικαιώματα και ορισμένες ελευθερίες σε μια δημοκρατική κοινωνία. Η ομάδα εργασίας του άρθρου 29 έχει μελετήσει επισταμένα το ζήτημα αυτό και έχει εγκρίνει σχέδιο εγγράφου εργασίας που έχει δημοσιευθεί στον ιστοχώρο της Επιτροπής για την προστασία των δεδομένων, όπου καλούνται οι ενδιαφερόμενοι να υποβάλουν τα σχόλιά τους.

Υπάρχουν επίσης ορισμένα νομικά και πρακτικά ζητήματα που προκύπτουν από την εφαρμογή της οδηγίας στα κράτη μέλη όσον αφορά τα δεδομένα ήχου και εικόνας και τα οποία δημιουργούν κάποια αβεβαιότητα στους υπευθύνους επεξεργασίας οι οποίοι καλούνται να συμμορφωθούν με τη νομοθεσία, καθώς και στα άτομα που επιθυμούν να ασκήσουν τα δικαιώματα προστασίας των δεδομένων τους.

Υπάρχουν, παραδείγματος χάριν, αβεβαιότητες όσον αφορά τους ορισμούς της οδηγίας, π.χ. σε ποιο βαθμό μια μεμονωμένη εικόνα ή ένα αποτύπωμα μπορούν να θεωρηθούν δεδομένα προσωπικού χαρακτήρα στις περιπτώσεις εκείνες όπου ο υπεύθυνος της επεξεργασίας των δεδομένων δεν είναι σε θέση ή είναι εξαιρετικά απίθανο να ταυτοποιήσει ένα άτομο. ή κατά πόσο ο απλός έλεγχος αποτελεί λειτουργία επεξεργασίας ή πώς θα επιτευχθεί μια λογική ερμηνεία της έννοιας των ευαίσθητων στοιχείων. Η Επιτροπή αναγνωρίζει ότι οι εθνικές νομοθεσίες για τη μεταφορά της οδηγίας δίνουν απαντήσεις σε όλα αυτά τα ερωτήματα, αλλά κρίνει αναγκαίο να παρέχονται περισσότερες οδηγίες, οι οποίες να είναι ρεαλιστικές και πρακτικές, ώστε να συμβάλουν στη βελτίωση της συμμόρφωσης, στο πλαίσιο μιας όσο το δυνατόν πιο συντονισμένης προσέγγισης μεταξύ των κρατών μελών. Η Επιτροπή επικροτεί το έργο που έχει μέχρι σήμερα επιτελέσει η ομάδα εργασίας του άρθρου 29 στον τομέα αυτό και την ενθαρρύνει να συνεχίσει να παρέχει χρήσιμες κατευθυντήριες γραμμές, σε συνεργασία με τους ενδιαφερόμενους φορείς.

6. Πρόγραμμα εργασιων για την καλυτερη εφαρμογη τησ οδηγιασ περι προστασιασ των δεδομενων (2003-2004)

Η ανάλυση της εφαρμογής της οδηγίας στα κράτη μέλη που αποτελεί αντικείμενο της παρούσας έκθεσης αποκαλύπτει ορισμένα προβλήματα τα οποία πρέπει να επιλυθούν προκειμένου η οδηγία να παράγει το σύνολο των αποτελεσμάτων για τα οποία θεσπίστηκε. Το σχέδιο εργασιών που ακολουθεί περιλαμβάνει τις ενέργειες που θα πραγματοποιηθούν από την έγκριση της παρούσας έκθεσης έως το τέλος του 2004 και οι οποίες θα απαιτήσουν την κοινή προσπάθεια της Ευρωπαϊκής Επιτροπής, των κρατών μελών (συμπεριλαμβανομένων των υποψήφιων χωρών) και των εθνικών εποπτικών αρχών τους καθώς επίσης, σε ορισμένες περιπτώσεις, των εκπροσώπων των υπευθύνων επεξεργασίας δεδομένων.

Ένα γενικό, σοβαρό πρόβλημα που επισημαίνεται ανωτέρω είναι ότι το επίπεδο συμμόρφωσης, επιβολής του νόμου και ευαισθητοποίησης δεν ευρίσκεται σε αποδεκτό επίπεδο. Σε σχέση με όλες τις πρωτοβουλίες που αναφέρονται στη συνέχεια, η Επιτροπή θα επιδιώξει να συνεργαστεί με τα κράτη μέλη, τις εποπτικές αρχές και τους ενδιαφερομένους προκειμένου να προσδιορίσει τις αιτίες και να σχεδιάσει εφικτές λύσεις γι' αυτό το σύνολο προβλημάτων.

Πρωτοβουλίες της Επιτροπής

Δράση 1: Συζητήσεις με τα κράτη μέλη και τις αρχές προστασίας των δεδομένων

Κατά τη διάρκεια του 2003 οι υπηρεσίες της Επιτροπής θα πραγματοποιήσουν διμερείς συνεδριάσεις με τα κράτη μέλη με σκοπό να εξεταστούν οι απαραίτητες αλλαγές ώστε οι εθνικές νομοθεσίες να ευθυγραμμιστούν πλήρως με τις απαιτήσεις της οδηγίας. Η συμμετοχή της αρμόδιας αρχής για την προστασία των δεδομένων μπορεί να είναι απαραίτητη κατά την εξέταση ορισμένων θεμάτων. Η ανάγκη για αυστηρότερη επιβολή του νόμου μπορεί επίσης να αποτελέσει αντικείμενο εξέτασης στο πλαίσιο αυτών των διμερών συζητήσεων. Πρέπει επίσης να εξεταστεί το ζήτημα των περιορισμένων πόρων που έχουν στη διάθεσή τους οι εποπτικές αρχές.

Οι συνεδριάσεις αυτές μπορούν να συμπληρωθούν από συζητήσεις σχετικά με την εσφαλμένη εφαρμογή της οδηγίας στο πλαίσιο των «συνεδριάσεων πακέτων» που οργανώνονται περιοδικά με τα κράτη μέλη από τη Γενική Γραμματεία της Επιτροπής ή/και τη Γενική Διεύθυνση «Εσωτερική Αγορά».

Οι συζητήσεις στα πλαίσια της ομάδας εργασίας του άρθρου 29 και της επιτροπής του άρθρου 31 θα επιτρέψουν την εξέταση σε πολυμερή βάση ορισμένων ζητημάτων που επηρεάζουν μεγάλο αριθμό κρατών μελών. Ωστόσο οι συζητήσεις αυτές σε καμία περίπτωση δεν μπορούν να οδηγήσουν σε de facto τροποποίηση της οδηγίας. Εκτός από τις ειδικές συζητήσεις σχετικά με συγκεκριμένα ζητήματα, η Επιτροπή προτείνει κάθε ομάδα να αφιερώσει μια πλήρη συνεδρίαση σε αυτό το θέμα κατά τη διάρκεια του 2003.

Δράση 2: Σύμπραξη των υποψήφιων χωρών στις προσπάθειες για μια καλύτερη και πιο ομοιόμορφη εφαρμογή της οδηγίας

Η παρούσα έκθεση επικεντρώνεται σχεδόν εξ ολοκλήρου στην κατάσταση στα 15 κράτη μέλη. Προτού ολοκληρωθεί το σχέδιο εργασιών, 10 νέα κράτη μέλη θα έχουν προσχωρήσει στην Ένωση. Εκπρόσωποι των εποπτικών αρχών αρκετών υποψήφιων χωρών συμμετέχουν στις συνεδριάσεις της ομάδας εργασίας του άρθρου 29 από το 2002. Από την ημερομηνία υπογραφής των συνθηκών προσχώρησης, οι χώρες που προσχωρούν στην Ένωση θα προσκαλούνται σε όλες τις συνεδριάσεις τόσο της ομάδας εργασίας όσο και της επιτροπής του άρθρου 31. Στο βαθμό που είναι εφικτό, θα εξακολουθήσουν να πραγματοποιούνται μέχρι την προσχώρηση και πέραν αυτής διμερείς συζητήσεις και, ενδεχομένως, αξιολογήσεις από ομότιμους, προκειμένου να επιτευχθεί η καλύτερη δυνατή ευθυγράμμιση της νομοθεσίας των νέων κρατών μελών με την οδηγία και να περιοριστούν στο ελάχιστο οι επίσημες διαδικασίες για παράβαση.

Δράση 3: Βελτίωση της κοινοποίησης κάθε νομικής πράξης για τη μεταφορά της οδηγίας και των κοινοποιήσεων των αδειών που παρέχονται βάσει του άρθρου 26 (2) της οδηγίας

Οι υπηρεσίες της Επιτροπής, σε στενή συνεργασία με τις αρχές προστασίας των δεδομένων και τα κράτη μέλη, θα εξακολουθήσουν να συγκεντρώνουν πληροφορίες σχετικά με την εφαρμογή της οδηγίας και, ειδικότερα, θα προσδιορίσουν τους τομείς όπου διαπιστώνονται προφανείς ελλείψεις στα μέτρα εφαρμογής που κοινοποιούνται και θα επιδιώξουν τη συνεργασία των κρατών μελών για την όσο το δυνατόν ταχύτερη διόρθωση των ελλείψεων. Η Επιτροπή θα διευκολύνει την ανταλλαγή βέλτιστων πρακτικών όπου κρίνεται αναγκαία.

Η Επιτροπή θα ασκήσει τις επίσημες εξουσίες της σύμφωνα με το άρθρο 226 της Συνθήκης, εάν η προσέγγιση στενής συνεργασίας (κεφάλαια 6.1 και 6.3) δεν αποφέρει τα επιδιωκόμενα αποτελέσματα.

Τα κράτη μέλη και οι εποπτικές αρχές τους πρέπει επίσης να προβούν στις απαραίτητες ρυθμίσεις για την κοινοποίηση (όπως απαιτείται από το άρθρο 26 παράγραφος 3 της οδηγίας) των εθνικών εγκρίσεων για διεθνείς διαβιβάσεις δεδομένων οι οποίες χορηγούνται σύμφωνα με το άρθρο 26 παράγραφος (2) της οδηγίας. Η Επιτροπή θα εξετάσει το ζήτημα αυτό από κοινού με τα κράτη μέλη και τις εποπτικές αρχές τους και θα εξασφαλίσει την ανταλλαγή βέλτιστων πρακτικών.

Η Επιτροπή θα δημιουργήσει μια νέα σελίδα στον ιστοχώρο της [35] όπου θα δημοσιεύσει με δομημένη μορφή όχι μόνο όλες τις πληροφορίες που συγκεντρώθηκαν για την προετοιμασία αυτής της έκθεσης, αλλά και τις πληροφορίες για τις ενέργειες που θα υλοποιηθούν στο πλαίσιο του παρόντος σχεδίου εργασιών. Η Επιτροπή θα καλέσει επίσης τις εθνικές εποπτικές αρχές να διαθέσουν προς δημοσίευση στον ιστοχώρο αυτό τις αποφάσεις και τις συστάσεις που εκδίδονται από τις αρχές προστασίας των δεδομένων, καθώς και σημαντικές οδηγίες που παρέχουν οι εν λόγω αρχές, ιδίως στους τομείς όπου απαιτείται μια περισσότερο ομοιόμορφη ερμηνεία και εφαρμογή του νόμου.

[35] www.europa.eu.int/comm/privacy

Η συνεισφορά της ομάδας εργασίας του άρθρου 29 [36]

[36] Ο κατάλογος αυτό παρατίθεται με επιφύλαξη του γενικού προγράμματος εργασιών της ομάδας εργασίας του άρθρου 29 που διατίθεται στη διεύθυνση: http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2003/wp71_en.pdf

Η Επιτροπή επικροτεί τη συνεισφορά της ομάδας εργασίας για την επίτευξη μιας περισσότερο ομοιόμορφης εφαρμογής της οδηγίας. Η Επιτροπή επιθυμεί να υπενθυμίσει τη σημασία που έχει η διαφάνεια της διαδικασίας αυτής και ενθαρρύνει τις προσπάθειες της ομάδας εργασίας για την περαιτέρω ενίσχυση της διαφάνειας.

Δράση 4: Eπιβολή του νόμου

Η Επιτροπή ζητεί από την ομάδα εργασίας του άρθρου 29 να πραγματοποιήσει περιοδικές συζητήσεις σχετικά με το γενικό ζήτημα της καλύτερης επιβολής του νόμου. Η διαδικασία αυτή πρέπει μεταξύ άλλων να οδηγήσει στην ανταλλαγή και στην υιοθέτηση βέλτιστων πρακτικών. Η ομάδα εργασίας πρέπει επίσης να εξετάσει την πραγματοποίηση τομεακών ερευνών σε επίπεδο ΕΕ και την προσέγγιση των σχετικών προτύπων. Ο στόχος αυτών των κοινών ερευνών θα είναι να σχηματιστεί μια ακριβέστερη εικόνα της εφαρμογής της νομοθεσίας περί προστασίας των δεδομένων στην Κοινότητα και να διατυπωθούν συστάσεις και πρακτικές οδηγίες στους τομείς αυτούς με σκοπό τη βελτίωση της συμμόρφωσης με το λιγότερο δυνατό φόρτο.

Δράση 5. Κοινοποίηση και δημοσίευση των διαδικασιών επεξεργασίας

Η Ευρωπαϊκή Επιτροπή συμμερίζεται σε μεγάλο βαθμό την κριτική που άσκησαν υπεύθυνοι επεξεργασίας δεδομένων κατά τη διάρκεια της επισκόπησης όσον αφορά το αποκλίνον περιεχόμενο των υποχρεώσεων κοινοποίησης τις οποίες οφείλουν να εκπληρώνουν. Η Επιτροπή συνιστά να γίνεται ευρύτερη χρήση των εξαιρέσεων, και ειδικότερα της δυνατότητας που προβλέπεται στο άρθρο 18 (2) της οδηγίας για το διορισμό ενός υπευθύνου για την προστασία των δεδομένων προσωπικού χαρακτήρα που συνεπάγεται την εξαίρεση από τις απαιτήσεις κοινοποίησης.

Η Επιτροπή καλεί την ομάδα εργασίας του άρθρου 29 να συμβάλει σε μια πιο ομοιόμορφη εφαρμογή της οδηγίας με την υποβολή προτάσεων για την ουσιαστική απλούστευση των απαιτήσεων κοινοποίησης στα κράτη μέλη και για την εγκαθίδρυση μηχανισμών συνεργασίας που θα διευκολύνουν τις κοινοποιήσεις εκ μέρους πολυεθνικών επιχειρήσεων που είναι εγκατεστημένες σε διάφορα κράτη μέλη. Οι προτάσεις αυτές μπορεί να περιλαμβάνουν προτάσεις τροποποιήσεων της εθνικής νομοθεσίας. Η Επιτροπή προτίθεται να υποβάλει η ίδια προτάσεις εφόσον η ομάδα εργασίας δεν το πράξει εντός εύλογου χρονικού διαστήματος (12 μήνες).

Δράση 6: Περισσότερο εναρμονισμένες διατάξεις για τις παρεχόμενες πληροφορίες

Η Επιτροπή πιστεύει ότι το σημερινό συνονθύλευμα διαφορετικών ή επικαλυπτόμενων απαιτήσεων όσον αφορά τις πληροφορίες που οι υπεύθυνοι επεξεργασίας πρέπει να παρέχουν στα άτομα στα οποία αναφέρονται τα δεδομένα συνεπάγεται υπερβολικό φόρτο για τους οικονομικούς φορείς, χωρίς να βελτιώνει το επίπεδο προστασίας.

Στο βαθμό που οι απαιτήσεις πληροφόρησης που επιβάλλονται στους υπευθύνους επεξεργασίας δεδομένων δεν είναι σύμφωνες με την οδηγία, η Επιτροπή πιστεύει ότι μπορεί να δοθεί γρήγορα λύση μέσω διαλόγου με τα κράτη μέλη και διορθωτικών νομοθετικών μέτρων από τα κράτη αυτά. Επιπλέον, η Επιτροπή καλεί την ομάδα εργασίας του άρθρου 29 να συμβάλει στην αναζήτηση μιας περισσότερο ομοιόμορφης ερμηνείας του άρθρου 10.

Δράση 7: Απλούστευση των απαιτήσεων για τις διεθνείς διαβιβάσεις δεδομένων

Παράλληλα με τις συζητήσεις για την πραγματοποίηση των απαραίτητων αλλαγών στις νομοθεσίες των κρατών μελών ώστε να εξασφαλιστεί η συμμόρφωση με την οδηγία, η Επιτροπή καλεί την ομάδα εργασίας του άρθρου 29 να χρησιμοποιήσει την τελευταία έκθεση του σεμιναρίου για τον χειρισμό διεθνών καταγγελιών ως βάση για τις περαιτέρω συζητήσεις, με στόχο την ουσιαστική προσέγγιση των πρακτικών που εφαρμόζονται στα κράτη μέλη και την απλούστευση των προϋποθέσεων για τις διεθνείς διαβιβάσεις δεδομένων.

Η ίδια η Επιτροπή προτίθεται να κάνει μεγαλύτερη χρήση των δυνατοτήτων που της παρέχουν τα άρθρα 25 παράγραφος 6 και 26 παράγραφος 4. Τα άρθρα αυτά παρέχουν τα καλύτερα μέσα για την απλούστευση του ρυθμιστικού πλαισίου για τους οικονομικούς φορείς, εξασφαλίζοντας παράλληλα επαρκή προστασία για τα δεδομένα που διαβιβάζονται εκτός της ΕΕ.

Με τη συνεργασία της ομάδας εργασίας του άρθρου 29 και της επιτροπής του άρθρου 31, η Επιτροπή προσδοκά ότι θα σημειωθεί πρόοδος σε τέσσερις τομείς:

α) μεγαλύτερη χρήση των διαπιστώσεων ότι μια τρίτη χώρα παρέχει ικανοποιητικό επίπεδο προστασίας σύμφωνα με το άρθρο 25 παράγραφος 6, διατηρώντας φυσικά μια ομοιόμορφη προσέγγιση έναντι των τρίτων χωρών σύμφωνα με τις υποχρεώσεις της ΕΕ στο πλαίσιο του ΠΟΕ.

β) νέες αποφάσεις βάσει του άρθρου 26 παράγραφος 4, έτσι ώστε οι οικονομικοί φορείς να έχουν ευρύτερη επιλογή τυποποιημένων συμβατικών ρητρών, στο μέτρο του δυνατού με βάση τις ρήτρες που υποβάλλουν φορείς εκπροσώπησης των επιχειρήσεων, όπως είναι οι ρήτρες που υπέβαλαν το Διεθνές Εμπορικό Επιμελητήριο και άλλες ενώσεις επιχειρήσεων.

γ) ο ρόλος των δεσμευτικών εταιρικών κανόνων (κανόνες που δεσμεύουν ομίλους επιχειρήσεων που υπάγονται σε διάφορες δικαιοδοσίες, τόσο εντός όσο και εκτός της ΕΕ) για την παροχή κατάλληλων διασφαλίσεων όσον αφορά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα εντός του ομίλου.

δ) πιο ομοιόμορφη ερμηνεία του άρθρου 26 παράγραφος 1 της οδηγίας (επιτρεπόμενες παρεκκλίσεις από την απαίτηση για ικανοποιητικό επίπεδο προστασίας για τις διαβιβάσεις προς τρίτες χώρες) και των εθνικών διατάξεων εφαρμογής του.

Οι εργασίες αυτές πρέπει να υλοποιηθούν με επαρκή διαφάνεια και σε συνεργασία με τους ενδιαφερομένους που θα παρέχουν σε περιοδική βάση τις ιδέες και τις προτάσεις τους.

Άλλες πρωτοβουλίες

Δράση 8: Προώθηση των τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικής ζωής

Η Επιτροπή ήδη εργάζεται στον τομέα των τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικής ζωής, ιδίως σε επίπεδο έρευνας (προγράμματα RAPID [37] και PISA [38]).

[37] Roadmap for Advanced Research in Privacy and Identity Management

[38] Privacy-Enhancing Intelligent Software Agents

Η Επιτροπή προτείνει την οργάνωση ενός τεχνικού σεμιναρίου το 2003 προκειμένου να βελτιωθεί η ευαισθητοποίηση όσον αφορά τις τεχνολογίες για τη βελτίωση της προστασίας της ιδιωτικής ζωής και να δοθεί μια δυνατότητα να εξεταστούν σε βάθος τα μέτρα που μπορούν να ληφθούν για την προώθηση της ανάπτυξης και της χρήσης των τεχνολογιών αυτών, όπως για παράδειγμα, ο ρόλος που μπορούν να διαδραματίσουν στην Ευρώπη οι σφραγίδες, τα συστήματα πιστοποίησης ή οι αξιολογήσεις του αντίκτυπου για την ιδιωτική ζωή [39].

[39] Α.Α.Ι.Ζ.

Καλεί την ομάδα εργασίας να μελετήσει περαιτέρω το ζήτημα των τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικής ζωής και να εξετάσει πιθανά μέτρα που μπορούν να λάβουν οι εθνικές εποπτικές αρχές προκειμένου να προωθηθεί η χρήση αυτών των τεχνολογιών σε εθνικό επίπεδο.

Μετά το τεχνικό σεμινάριο, και αφού συνεκτιμήσει τις παρεμβάσεις των διάφορων φορέων, η Επιτροπή θα υποβάλει νέες προτάσεις για την προώθηση των τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικής ζωής σε ευρωπαϊκό επίπεδο. Στις προτάσεις αυτές θα ληφθεί ιδιαιτέρως υπόψη η ανάγκη να ενθαρρυνθούν οι κυβερνήσεις και οι δημόσιοι οργανισμοί να δώσουν το καλό παράδειγμα χρησιμοποιώντας τεχνολογίες για τη βελτίωση της προστασίας της ιδιωτικής ζωής στις διαδικασίες επεξεργασίας δεδομένων που πραγματοποιούν, π.χ. στις εφαρμογές ηλεκτρονικής διακυβέρνησης (e-government).

Δράση 9: Προώθηση της αυτορρύθμισης και ευρωπαϊκοί κώδικες δεοντολογίας

Η Επιτροπή εκφράζει την απογοήτευσή της για το γεγονός ότι ελάχιστες οργανώσεις έχουν παρουσιάσει κλαδικούς κώδικες δεοντολογίας που μπορούν να εφαρμοστούν σε κοινοτικό επίπεδο. Θα εξακολουθήσει να ενθαρρύνει και (εντός των ορίων των διαθέσιμων πόρων) να παρέχει συμβουλές σχετικά με τα σχέδια κωδίκων δεοντολογίας που υποβάλλονται προς αξιολόγηση στην ομάδας εργασίας του άρθρου 29 [40]. Ενθαρρύνει τους διάφορους τομείς και τις ομάδες συμφερόντων να αναλάβουν έναν περισσότερο ενεργητικό ρόλο, καθόσον πιστεύει ότι η αυτορρύθμιση και, ιδίως, οι κώδικες δεοντολογίας πρέπει να διαδραματίσουν σημαντικό ρόλο για τη μελλοντική ανάπτυξη της προστασίας των δεδομένων στην ΕΕ και στο εξωτερικό, κυρίως ώστε να αποφευχθεί η θέσπιση υπερβολικά λεπτομερών νομοθεσιών.

[40] Privacy Impact Assessments (Αξιολογήσεις του αντικτύπου για την ιδιωτική ζωή)

Για τον ίδιο σκοπό, η Επιτροπή είχε εκφράσει - στο έγγραφο διαβούλευσης που απηύθυνε προς τους ευρωπαίους κοινωνικούς εταίρους σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα στο εργασιακό πλαίσιο - την ελπίδα της ότι θα συμμετάσχουν σε διαπραγματεύσεις προκειμένου να συνάψουν μια ευρωπαϊκή συμφωνία στον τομέα αυτό. Η Επιτροπή λυπάται για το γεγονός ότι οι κοινωνικοί εταίροι δεν συμφώνησαν να αρχίσουν διαπραγματεύσεις για το θέμα αυτό και ελπίζει ότι οι δυνατότητες σύναψης συλλογικών συμφωνιών στον εν λόγω τομέα θα αξιοποιηθούν περισσότερο.

Δράση 10: Ευαισθητοποίηση

Η Επιτροπή σκοπεύει να προωθήσει μια έρευνα του Ευρωβαρόμετρου με βάση τις ερωτήσεις που περιλαμβάνονταν στη διαβούλευση σε απευθείας σύνδεση που πραγματοποιήθηκε το 2002. Η Επιτροπή εκφράζει την ελπίδα ότι ορισμένες αρχές προστασίας των δεδομένων θα συμμετάσχουν στην πρωτοβουλία αυτή και θα καταβληθούν προσπάθειες από κοινού ώστε η προστασία των δεδομένων να αποτελέσει αντικείμενο δημόσιας συζήτησης. Ενθαρρύνει τα κράτη μέλη να διαθέσουν περισσότερους πόρους για την ευαισθητοποίηση, ιδίως μέσω των προϋπολογισμών των εθνικών εποπτικών αρχών.

7. Συμπέρασμα

Η παρούσα έκθεση αποτελεί το πρώτο βήμα για την ανάλυση των πληροφοριών σχετικά με την εφαρμογή της οδηγίας 95/46/EK και τον προσδιορισμό των ενεργειών που απαιτούνται για την επίλυση των κύριων προβλημάτων που έχουν προκύψει. Η Επιτροπή ελπίζει ότι η ανάλυση αυτή θα βοηθήσει τις κυβερνήσεις, τις αρχές προστασίας των δεδομένων και τους φορείς επεξεργασίας των δεδομένων να διευκρινίσουν τι πρέπει να γίνει προκειμένου να βελτιωθεί η εφαρμογή της οδηγίας στην ΕΕ στην κατεύθυνση της αυστηρότερης επιβολής του νόμου, της καλύτερης συμμόρφωσης και της μεγαλύτερης ευαισθητοποίησης των ατόμων στα οποία αναφέρονται τα δεδομένα και των υπευθύνων της επεξεργασίας όσον αφορά τα δικαιώματα και τις υποχρεώσεις τους.

Η Επιτροπή προσδοκά ότι, όπου είναι απαραίτητο, τα κράτη μέλη θα τροποποιήσουν τη νομοθεσία τους ώστε να επιτύχουν τη συμμόρφωση με τις διατάξεις της οδηγίας και θα διαθέσουν στις εποπτικές αρχές τους αναγκαίους πόρους. Η Επιτροπή ελπίζει επίσης ότι τα κράτη και οι εποπτικές αρχές θα καταβάλουν κάθε δυνατή προσπάθεια προκειμένου να δημιουργηθεί ένα περιβάλλον στο οποίο οι υπεύθυνοι για την επεξεργασία των δεδομένων - και κυρίως όσοι λειτουργούν σε πανευρωπαϊκό ή/και διεθνές επίπεδο - να μπορούν να εκπληρώνουν τις υποχρεώσεις τους απλούστερα και με μικρότερο διοικητικό φόρτο και να αποφευχθεί η επιβολή απαιτήσεων οι οποίες μπορούν να παραληφθούν χωρίς να θίγεται το υψηλό επίπεδο προστασίας που εξασφαλίζει η οδηγία.

Η Επιτροπή ενθαρρύνει τους πολίτες να ασκούν τα δικαιώματα που τους παρέχει η νομοθεσία και τους υπευθύνους επεξεργασίας δεδομένων να λαμβάνουν όλα τα απαραίτητα μέτρα προκειμένου να εξασφαλίζεται η συμμόρφωση με τη νομοθεσία. Η Επιτροπή θα παρακολουθήσει με προσοχή τις τεχνολογικές εξελίξεις και τα αποτελέσματα του προγράμματος εργασιών που περιλαμβάνεται στην παρούσα έκθεση και θα υποβάλει προτάσεις για τη συνέχεια που θα δοθεί στον τομέα αυτό προς το τέλος του 2004. Έως τότε, τόσο η Επιτροπή όσο και τα κράτη μέλη θα έχουν αποκομίσει αρκετά περισσότερες εμπειρίες όσον αφορά την εφαρμογή της οδηγίας απ' ό,τι σήμερα.