ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΣΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ, ΤΟ ΣΥΜΒΟΥΛΙΟ, ΤΗΝ ΕΥΡΩΠΑΪΚΗ ΟΙΚΟΝΟΜΙΚΗ ΚΑΙ ΚΟΙΝΩΝΙΚΗ ΕΠΙΤΡΟΠΗ ΚΑΙ ΤΗΝ ΕΠΙΤΡΟΠΗ ΤΩΝ ΠΕΡΙΦΕΡΕΙΩΝ Διασφάλιση της ιδιωτικής ζωής σε έναν συνδεδεμένο κόσμο Ευρωπαϊκό πλαίσιο προστασίας δεδομένων για τον 21ο αιώνα /* COM/2012/09 final */
ΑΝΑΚΟΙΝΩΣΗ
ΤΗΣ ΕΠΙΤΡΟΠΗΣ
ΣΤΟ ΕΥΡΩΠΑΪΚΟ
ΚΟΙΝΟΒΟΥΛΙΟ,
ΤΟ ΣΥΜΒΟΥΛΙΟ,
ΤΗΝ ΕΥΡΩΠΑΪΚΗ
ΟΙΚΟΝΟΜΙΚΗ ΚΑΙ
ΚΟΙΝΩΝΙΚΗ
ΕΠΙΤΡΟΠΗ ΚΑΙ
ΤΗΝ ΕΠΙΤΡΟΠΗ
ΤΩΝ ΠΕΡΙΦΕΡΕΙΩΝ Διασφάλιση
της ιδιωτικής
ζωής σε έναν
συνδεδεμένο
κόσμο
Ευρωπαϊκό
πλαίσιο
προστασίας
δεδομένων για
τον 21ο αιώνα (Κείμενο
που
παρουσιάζει
ενδιαφέρον για
τον ΕΟΧ)
1.
ΟΙ ΣΗΜΕΡΙΝΕΣ
ΠΡΟΚΛΗΣΕΙΣ
ΣΤΗΝ ΠΡΟΣΤΑΣΙΑ
ΔΕΔΟΜΕΝΩΝ
Ο ταχύς
ρυθμός των
τεχνολογικών
αλλαγών και
της
παγκοσμιοποίησης
έχουν μεταβάλει
εκ βάθρων τον
τρόπο
συλλογής,
πρόσβασης,
χρήσης και
διαβίβασης
ενός ολοένα
μεγαλύτερου
όγκου
προσωπικών
δεδομένων. Οι
νέοι τρόποι
ανταλλαγής
πληροφοριών
μέσω των κοινωνικών
δικτύων και η
αποθήκευση εξ
αποστάσεως μεγάλων
ποσοτήτων
δεδομένων αποτελούν
μέρος της ζωής
πολλών από τα 250
εκατομμύρια
χρήστες του
διαδικτύου
στην Ευρώπη.
Ταυτόχρονα, τα
δεδομένα
προσωπικού
χαρακτήρα έχουν
μετατραπεί σε
περιουσιακό στοιχείο
για πολλές
επιχειρήσεις.
Η συλλογή,
άθροιση και ανάλυση
των δεδομένων δυνητικών
πελατών
αποτελεί συχνά
σημαντικό
τμήμα των
οικονομικών δραστηριοτήτων
τους[1].
Σ’ αυτό το
νέο ψηφιακό
περιβάλλουν, τα
φυσικά πρόσωπα
έχουν το
δικαίωμα να
απολαύουν αποτελεσματικού
ελέγχου επί
των
πληροφοριών προσωπικού
χαρακτήρα που
τα αφορούν. Η
προστασία
δεδομένων
συνιστά
θεμελιώδες δικαίωμα
στην Ευρώπη,
που
κατοχυρώνεται
στο άρθρο 8 του
Χάρτη
Θεμελιωδών
Δικαιωμάτων
της Ευρωπαϊκής
Ένωσης καθώς
και στο άρθρο 16
παράγραφος 1
της Συνθήκης
για τη
λειτουργία της
Ευρωπαϊκής
Ένωσης (ΣΛΕΕ), και
πρέπει να
προστατεύεται
αναλόγως. Η έλλειψη
εμπιστοσύνης
έχει ως
αποτέλεσμα οι
καταναλωτές να
διστάζουν να
κάνουν
επιγραμμικές
αγορές και να
δεχθούν νέες
υπηρεσίες.
Επομένως, το
υψηλό επίπεδο
προστασίας των
δεδομένων έχει
επίσης ζωτική
σημασία για
την ενίσχυση
τις
εμπιστοσύνης
στις
επιγραμμικές
υπηρεσίες και
την πραγμάτωση
του δυναμικού
της ψηφιακής
οικονομίας,
ενθαρρύνοντας
με τον τρόπο
αυτό την οικονομική
ανάπτυξη και
την
ανταγωνιστικότητα
των
οικονομικών
κλάδων της ΕΕ. Απαιτούνται
σύγχρονοι και
συνεκτικοί
κανόνες σε όλη
την ΕΕ για την
ελεύθερη ροή
δεδομένων από
το ένα κράτος
μέλος στο άλλο.
Οι επιχειρήσεις
χρειάζονται
σαφείς και
ομοιόμορφους
κανόνες που να παρέχουν
ασφάλεια
δικαίου και να ελαχιστοποιούν
τον διοικητικό
φόρτο. Αυτό
είναι ουσιώδες
προκειμένου να
λειτουργήσει η
ενιαία αγορά
και να τονωθεί
η οικονομική
ανάπτυξη, να
δημιουργηθούν νέες
θέσεις
απασχόλησης
και να
προωθηθεί η
καινοτομία[2]. Ο
εκσυγχρονισμός
των κανόνων
προστασίας
δεδομένων της
ΕΕ, που
ενισχύει τη
διάστασή τους
που αφορά την εσωτερική
αγορά, διασφαλίζει
υψηλό επίπεδο
προστασίας των
δεδομένων για
τα φυσικά
πρόσωπα και
προάγει την
ασφάλεια
δικαίου, τη
σαφήνεια και
τη συνοχή,
διαδραματίζοντας
επομένως
κεντρικό ρόλο
στο σχέδιο
δράσης της
Στοκχόλμης[3] της
Ευρωπαϊκής
Επιτροπής, στο ψηφιακό
θεματολόγιο
για την Ευρώπη[4] και, γενικότερα,
στη στρατηγική
της ΕΕ για την
ανάπτυξη «Ευρώπη
2020»[5]. Η οδηγία
της ΕΕ του 1995[6], που
είναι η κύρια
νομοθετική
πράξη για την
προστασία των
δεδομένων
προσωπικού
χαρακτήρα στην
Ευρώπη,
αποτέλεσε
ορόσημο στην
ιστορία της
προστασίας
δεδομένων. Οι
στόχοι της, που
έγκεινται στη
διασφάλιση της
εύρυθμης λειτουργίας
της ενιαίας
αγοράς και της
αποτελεσματικής
προστασίας των
θεμελιωδών
δικαιωμάτων
και ελευθεριών
των φυσικών
προσώπων, εξακολουθούν
να ισχύουν.
Ωστόσο, η πράξη
αυτή θεσπίστηκε
πριν από 17 έτη,
όταν το
διαδίκτυο
έκανε τα πρώτα
του βήματα. Στο
σημερινό νέο
και γεμάτο
προκλήσεις
ψηφιακό
περιβάλλον, οι
υφιστάμενοι
κανόνες δεν
προβλέπουν τον
απαιτούμενο
βαθμό
εναρμόνισης
ούτε παρέχουν την
αναγκαία
αποτελεσματικότητα
για να
διασφαλίζεται
το δικαίωμα
προστασίας των
δεδομένων
προσωπικού
χαρακτήρα. Αυτός
είναι ο λόγος
για τον οποίο η
Ευρωπαϊκή
Επιτροπή
προτείνει
θεμελιώδη
μεταρρύθμιση
του πλαισίου
της ΕΕ για την
προστασία
δεδομένων. Επιπρόσθετα,
η συνθήκη της
Λισαβόνας
δημιούργησε,
με το άρθρο 16 της
ΣΛΕΕ, μια νέα
νομική βάση
για την εκσυγχρονισμένη
και σφαιρική
προσέγγιση
στην προστασία
των δεδομένων
και στην
ελεύθερη
κυκλοφορία των
δεδομένων
προσωπικού
χαρακτήρα, που
καλύπτει
επίσης την
αστυνομική και
δικαστική
συνεργασία σε
ποινικές
υποθέσεις[7]. Η εν
λόγω
προσέγγιση
αντανακλάται
στις ανακοινώσεις
της Ευρωπαϊκής
Επιτροπής για
το πρόγραμμα
της Στοκχόλμης
και το σχέδιο
δράσης της
Στοκχόλμης[8], όπου
τονίζεται ότι
η Ένωση πρέπει
«να εφοδιαστεί
με πλήρες
καθεστώς
προστασίας των
δεδομένων
προσωπικού
χαρακτήρα που
θα καλύπτει όλους
τους τομείς
της Ένωσης» και «να
διασφαλίσει τη
συστηματική
εφαρμογή του
θεμελιώδους
δικαιώματος
προστασίας των
δεδομένων». Η
Επιτροπή, για
να προετοιμάσει
με διαφανή
τρόπο τη
μεταρρύθμιση
του πλαισίου
προστασίας
δεδομένων της
ΕΕ, έχει δρομολογήσει
από το 2009 δημόσιες
διαβουλεύσεις
για την
προστασία δεδομένων[9] και
συμμετείχε σε
εντατικό
διάλογο με
τους ενδιαφερομένους[10]. Στις 4
Νοεμβρίου 2010, η
Επιτροπή
δημοσίευσε
ανακοίνωση
σχετικά με τη συνολική
προσέγγιση
όσον αφορά την
προστασία των δεδομένων
προσωπικού
χαρακτήρα στην
Ευρωπαϊκή Ένωση[11] όπου
καθορίστηκαν
τα κύρια
θέματα της
μεταρρύθμισης.
Μεταξύ Σεπτεμβρίου
και Δεκεμβρίου
2011, η Επιτροπή
συμμετείχε σε
αναβαθμισμένο
διάλογο με τις
εθνικές αρχές
προστασίας
δεδομένων στην
Ευρώπη και με
τον Ευρωπαίο
Επόπτη
Προστασίας
Δεδομένων, για
να εξετασθούν οι
πιθανές επιλογές
για την
περισσότερο
συνεκτική
εφαρμογή των
κανόνων
προστασίας
δεομένων της
ΕΕ σε όλα τα
κράτη μέλη της
ΕΕ[12]. Από τις
συζητήσεις
αυτές κατέστη
σαφές ότι τόσο
οι πολίτες όσο
και οι
επιχειρήσεις
επιθυμούν τη με
σφαιρικό τρόπο
μεταρρύθμιση
από την Ευρωπαϊκή
Επιτροπή των
κανόνων
προστασίας
δεδομένων.
Μετά την
εκτίμηση του αντίκτυπου
των διαφόρων
επιλογών
πολιτικής[13], η
Ευρωπαϊκή
Επιτροπή
προτείνει τώρα
ένα στιβαρό
και συνεκτικό
νομοθετικό
πλαίσιο, το
οποίο θα
διέπει τις
πολιτικές της
Ένωσης,
ενισχύοντας τα
δικαιώματα των
φυσικών
προσώπων και
τη διάσταση της
προστασίας
δεδομένων που
αφορά την
ενιαία αγορά, και
θα μειώνει τη
γραφειοκρατία
για τις
επιχειρήσεις[14]. Η
Επιτροπή
προτείνει να
αποτελείται το
νέο πλαίσιο
από: –
κανονισμό (για την
αντικατάσταση
της οδηγίας
95/46/ΕΚ) που
καθορίζει το γενικό
πλαίσιο της ΕΕ
για την
προστασία
δεδομένων[15]· –
και οδηγία
(για την
αντικατάσταση
της απόφασης
πλαισίου 2008/977/ΔΕΥ[16]) που
καθορίζει
κανόνες για
την προστασία
των δεδομένων
προσωπικού
χαρακτήρα που
τυγχάνουν
επεξεργασίας για
τους σκοπούς
της πρόληψης,
ανίχνευσης,
διερεύνησης ή
δίωξης αξιόποινων
πράξεων και συναφών
δραστηριοτήτων
των δικαστικών
αρχών. Στην
παρούσα
ανακοίνωση
καθορίζονται
τα κύρια στοιχεία
της
μεταρρύθμισης
του πλαισίου
της ΕΕ για την
προστασία
δεδομένων.
2.
ΕΛΕΓΧΟΣ ΤΩΝ
ΦΥΣΙΚΩΝ
ΠΡΟΣΩΠΩΝ ΣΤΑ
ΔΕΔΟΜΕΝΑ
ΠΡΟΣΩΠΙΚΟΥ
ΧΑΡΑΚΤΗΡΑ ΠΟΥ
ΤΑ ΑΦΟΡΟΥΝ
Δυνάμει
της οδηγίας 95/46/ΕΚ
– που αποτελεί
την κύρια
νομοθετική
πράξη στον
τομέα της
προστασίας των
δεδομένων
προσωπικού
χαρακτήρα στην
ΕΕ σήμερα – οι
τρόποι με τους
οποίους τα φυσικά
πρόσωπα δύνανται
να ασκούν το
δικαίωμά τους στην
προστασία
δεδομένων δεν
είναι
εναρμονισμένοι
σε
ικανοποιητικό
βαθμό στα διάφορα
κράτη μέλη.
Ούτε οι
εξουσίες των
εθνικών αρχών
που είναι
υπεύθυνες για
την προστασία
δεδομένων είναι
επαρκώς
εναρμονισμένες
για να
διασφαλίζεται
η συνεκτική
και αποτελεσματική
εφαρμογή των
κανόνων. Αυτό
σημαίνει ότι η
άσκηση στην
πράξη αυτών
των δικαιωμάτων
είναι
περισσότερο
δυσχερής σε
ορισμένα κράτη
μέλη από ό,τι σε
άλλα, ιδίως
επιγραμμικά. Οι
δυσχέρειες
αυτές
οφείλονται επίσης
στον τεράστιο όγκο
των δεδομένων
που
συλλέγονται
καθημερινά και
στο γεγονός
ότι οι χρήστες
συχνά δεν
έχουν πλήρη
επίγνωση της
συλλογής
δεδομένων
τους. Μολονότι
πολλοί Ευρωπαίοι
εκτιμούν ότι η κοινολόγηση
δεδομένων
προσωπικού
χαρακτήρα
αποτελεί όλο
και
περισσότερο στοιχείο
της σύγχρονης
ζωής[17],
ποσοστό 72% των
χρηστών του
διαδικτύου
στην Ευρώπη
ανησυχεί ακόμα
ότι τους
ζητούνται
επιγραμμικά
υπερβολικά
δεδομένα
προσωπικού
χαρακτήρα[18]. Αισθάνονται
ότι δεν
ελέγχουν τα
δεδομένα τους.
Δεν είναι ορθά
ενημερωμένοι
για το τι συμβαίνει
στις
πληροφορίες
προσωπικού
χαρακτήρα που
τους αφορούν,
σε ποιόν
διαβιβάζονται
και για ποιους
σκοπούς. Συχνά,
δεν γνωρίζουν
τον τρόπο
άσκησης των
δικαιωμάτων
τους
επιγραμμικά. «Δικαίωμα
στη λήθη»
Ένας
ευρωπαίος
φοιτητής που
είναι μέλος
επιγραμμικής
υπηρεσίας
κοινωνικής
δικτύωσης
αποφασίζει να
ζητήσει
πρόσβαση σε
όλα τα δεδομένα
προσωπικού
χαρακτήρα που
το δίκτυο διατηρεί
σχετικά με
αυτόν. Κατά τη
διάρκεια της
διαδικασίας
αυτής, συνειδητοποιεί
ότι το δίκτυο
συλλέγει πολύ
περισσότερα δεδομένα
από όσα ήξερε
και ότι
ορισμένα
δεδομένα προσωπικού
χαρακτήρα που
θεωρούσε ότι
είχαν διαγραφεί
είναι ακόμα
αποθηκευμένα. Η
μεταρρύθμιση
των κανόνων
προστασίας
δεδομένων της
ΕΕ θα διασφαλίζει
ότι αυτό δεν θα
συμβαίνει
πλέον, χάρη στη
θέσπιση: - ρητής
απαίτησης που
υποχρεώνει τις
επιγραμμικές
υπηρεσίες
κοινωνικής
δικτύωσης (και
τους άλλους
υπεύθυνους της
επεξεργασίας
δεδομένων) να
ελαχιστοποιούν
τον όγκο των
δεδομένων
προσωπικού
χαρακτήρα των
χρηστών που
συλλέγουν και
επεξεργάζονται· -απαίτησης
ότι οι προεπιλεγμένες
ρυθμίσεις
διασφαλίζουν
τη μη
δημοσιοποίηση
των δεδομένων· - ρητής
υποχρέωσης των
υπευθύνων της
επεξεργασίας
δεδομένων να
διαγράφουν τα
δεδομένα
προσωπικού
χαρακτήρα
φυσικού
προσώπου εάν
το πρόσωπο
αυτό ζητήσει
ρητά τη
διαγραφή και εφόσον
δεν υπάρχει
άλλος νόμιμος
λόγος για τη
διατήρησή τους.
Στην προαναφερόμενη
συγκεκριμένη
υπόθεση, αυτό
θα υποχρέωνε
τον πάροχο
κοινωνικής δικτύωσης
να διαγράψει
τα δεδομένα
του φοιτητή αμέσως
και εντελώς. Όπως τονίζεται
στο ψηφιακό
θεματολόγιο
για την Ευρώπη, οι
ανησυχίες
σχετικά με την
ιδιωτική ζωή συγκαταλέγονται
στους
συνηθέστερους
λόγους για
τους οποίους οι
άνθρωποι δεν
αγοράζουν
αγαθά και
υπηρεσίες
επιγραμμικά. Με
δεδομένη τη
συμβολή του
τομέα τεχνολογιών
πληροφοριών
και επικοινωνιών
(ΤΠΕ) στην
αύξηση της
συνολικής
παραγωγικότητας
στην Ευρώπη – 20%
απευθείας από
τον τομέα των
ΤΠΕ και 30% από τις
επενδύσεις ΤΠΕ[19] – η
εμπιστοσύνη σε
αυτές τις
υπηρεσίες έχει
ζωτική σημασία
για την τόνωση της
ανάπτυξης της
οικονομίας
στην ΕΕ και της
ανταγωνιστικότητας
της ευρωπαϊκής
βιομηχανίας. Γνωστοποιήσεις
της παραβίασης
δεδομένων Χάκερ
επιτέθηκαν σε
υπηρεσία
παιχνιδιών που
εστιάζεται σε
χρήστες στην
ΕΕ. Η παραβίαση
αφορούσε βάσεις
δεδομένων που
περιλαμβάνουν
δεδομένα προσωπικού
χαρακτήρα
(συμπεριλαμβανομένων
ονομάτων, διευθύνσεων
και, πιθανόν,
δεδομένων
πιστωτικών
καρτών)
δεκάδων
εκατομμυρίων
χρηστών
παγκοσμίως. Η
εταιρεία
περίμενε μια εβδομάδα
πριν να
ενημερώσει
τους ενδιαφερόμενους
χρήστες. Η
μεταρρύθμιση
των κανόνων
προστασίας
δεδομένων της
ΕΕ θα διασφαλίζει
ότι αυτό δεν θα
μπορεί να
συμβεί πλέον. Οι
νέοι κανόνες
θα υποχρεώνουν
τις εταιρείες: - να
ενισχύσουν τα
μέτρα ασφάλειάς
τους για να
προλαμβάνουν
και να
αποφεύγουν τις
παραβιάσεις· - να γνωστοποιούν
τις
παραβιάσεις
δεδομένων τόσο
στην εθνική
αρχή
προστασίας
δεδομένων – εντός
24 ωρών από την
ανακάλυψη της
παραβίασης,
όπου είναι
εφικτό – όσο και στα
ενδιαφερόμενα
φυσικά πρόσωπα
χωρίς αδικαιολόγητη
καθυστέρηση. Οι νέες
νομοθετικές
πράξεις που
προτείνονται
από την
Επιτροπή
αποβλέπουν
στην ενίσχυση
των δικαιωμάτων
και στην
παροχή
αποτελεσματικών
και λειτουργικών
μέσων στους πολίτες,
ούτως ώστε να
εξασφαλίζεται
η πλήρης
ενημέρωσή τους
σχετικά με το
τι συμβαίνει
στα δεδομένα
προσωπικού
χαρακτήρα που
τους αφορούν
και να είναι δυνατή
η περισσότερο
αποτελεσματική
άσκηση των δικαιωμάτων
τους. Για να
ενισχυθεί το
δικαίωμα των
φυσικών
προσώπων στην
προστασία
δεδομένων, η
Επιτροπή
προτείνει νέους
κανόνες οι
οποίοι:
Θα βελτιώσουν
την ικανότητα
των φυσικών
προσώπων να
ελέγχουν τα
δεδομένα τους: - εξασφαλίζοντας
ότι, όταν
απαιτείται η συγκατάθεσή
τους, αυτή δίδεται
ρητά, υπό την
έννοια ότι
βασίζεται είτε
σε δήλωση είτε σε
σαφή
καταφατική ενέργεια
του
ενδιαφερόμενου
προσώπου, και
δίδεται
ελεύθερα· - παρέχοντας
στους χρήστες
του διαδικτύου
αποτελεσματικό
δικαίωμα στη
λήθη στο
επιγραμμικό
περιβάλλον: δικαίωμα
διαγραφής των
δεδομένων τους
εάν άρουν τη
συγκατάθεσή
τους και εφόσον
δεν υφίστανται
άλλοι νόμιμοι
λόγοι
διατήρησης των
δεδομένων· - κατοχυρώνοντας
την εύκολη
πρόσβαση
καθενός στα
δικά του
δεδομένα και
το δικαίωμα
στη φορητότητα
των δεδομένων: δικαίωμα
λήψης
αντιγράφου των
αποθηκευμένων
δεδομένων από
τον υπεύθυνο
της
επεξεργασίας
και ελευθερία μεταφοράς
τους από έναν
πάροχο
υπηρεσιών σε
άλλον, χωρίς
εμπόδια· - ενισχύοντας
το δικαίωμα
ενημέρωσης ώστε τα
φυσικά πρόσωπα
να κατανοούν
πλήρως τον
τρόπο
χειρισμού των
δεδομένων που
τα αφορούν, ιδίως
όταν οι
δραστηριότητες
επεξεργασίας
αφορούν παιδιά. Θα
βελτιώσουν τα
μέσα άσκησης
από τα φυσικά
πρόσωπα των
δικαιωμάτων
τους: - ενισχύοντας
την ανεξαρτησία
και τις
εξουσίες των
εθνικών αρχών
προστασίας
δεδομένων, ώστε
αυτές να είναι κατάλληλα
εξοπλισμένες
για να
αντιμετωπίζουν
αποτελεσματικά
τις
καταγγελίες,
να έχουν εξουσίες
αποτελεσματικών
ερευνών, να
λαμβάνουν
δεσμευτικές
αποφάσεις και
να επιβάλλουν
αποτελεσματικές
και
αποτρεπτικές
κυρώσεις· - βελτιώνοντας
τα διοικητικά
και δικαστικά
μέσα προσφυγής
όταν παραβιάζονται
τα δικαιώματα
προστασίας
δεδομένων.
Ειδικότερα, οι νομιμοποιούμενες
προς τούτο
ενώσεις θα
μπορούν να προσφεύγουν
στη δικαιοσύνη
εξ ονόματος
του φυσικού
προσώπου. Θα
ενισχύσουν την
ασφάλεια των
δεδομένων: - ενθαρρύνοντας
τη χρήση τεχνολογιών
για τη
βελτίωση της
προστασίας της
ιδιωτικής ζωής
(τεχνολογιών
που
προστατεύουν
την
ιδιωτικότητα των
πληροφοριών
ελαχιστοποιώντας
την αποθήκευση
των δεδομένων
προσωπικού
χαρακτήρα), προεπιλεγμένων
ρυθμίσεων που
προστατεύουν
την ιδιωτική
ζωή και συστημάτων
πιστοποίησης
προϊόντων και
υπηρεσιών που
σέβονται την
ιδιωτική ζωή· - καθιερώνοντας
γενική
υποχρέωση[20] για
τους
υπεύθυνους της
επεξεργασίας
δεδομένων να γνωστοποιούν
τις
παραβιάσεις
δεδομένων
χωρίς αδικαιολόγητη
καθυστέρηση τόσο
στις αρχές
προστασίας
δεδομένων (όπου
είναι δυνατό,
εντός 24 ωρών) όσο
και στα οικεία φυσικά
πρόσωπα. Θα
αυξήσουν τη
λογοδοσία
αυτών που
επεξεργάζονται
δεδομένα,
ιδίως: - απαιτώντας
από τους
υπεύθυνους της
επεξεργασίας
δεδομένων να
προβαίνουν στον
διορισμό υπεύθυνου
προστασίας
δεδομένων σε
εταιρείες με
περισσότερους
από 250
εργαζόμενους
και σε
επιχειρήσεις
που
ασχολούνται με
πράξεις
επεξεργασίας
οι οποίες, βάσει
της φύσης, του
πεδίου
εφαρμογής ή
των σκοπών
τους,
παρουσιάζουν συγκεκριμένους
κινδύνους για
τα δικαιώματα
και τις
ελευθερίες των
φυσικών
προσώπων («επικίνδυνη
επεξεργασία»)· - καθιερώνοντας
την αρχή της «εκ
κατασκευής
προστασίας της
ιδιωτικής
ζωής» για να
εξασφαλιστεί
ότι τα εχέγγυα
της προστασίας
δεδομένων
λαμβάνονται
υπόψη στο
στάδιο
σχεδιασμού των
διαδικασιών και
των
συστημάτων· - εισάγοντας
την υποχρέωση
διενέργειας εκτιμήσεων
αντικτύπου
προστασίας
δεδομένων για οντότητες
που διενεργούν
επικίνδυνη
επεξεργασία.
3.
ΚΑΝΟΝΕΣ
ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
ΠΟΥ ΑΡΜΟΖΟΥΝ
ΣΤΗΝ ΨΗΦΙΑΚΗ ΕΝΙΑΙΑ
ΑΓΟΡΑ
Παρά το
γεγονός ότι η
υφιστάμενη
οδηγία έχει ως
στόχο να
διασφαλίσει
ισοδύναμο
επίπεδο
προστασίας
δεδομένων
εντός της ΕΕ,
υπάρχει ακόμα σημαντική
απόκλιση των
κανόνων μεταξύ
των κρατών
μελών. Ως εκ
τούτου, οι
υπεύθυνοι
προστασίας δεδομένων
ενδεχομένως
έχουν να
αντιμετωπίσουν
27 διαφορετικές
εθνικές νομοθεσίες
και
απαιτήσεις. Το
αποτέλεσμα
είναι ένα κατακερματισμένο
νομικό
περιβάλλον,
που έχει
δημιουργήσει έλλειψη
ασφάλειας
δικαίου και
άνιση
προστασία των
φυσικών
προσώπων. Αυτή
η κατάσταση
έχει
προκαλέσει περιττά
έξοδα και
διοικητικά
βάρη για τις
επιχειρήσεις
και συνιστά
αντικίνητρο για
τις
επιχειρήσεις
που δραστηριοποιούνται
στην ενιαία
αγορά οι
οποίες
ενδεχομένως
θέλουν να
επεκτείνουν
τις
δραστηριότητές
τους σε άλλες
χώρες. Οι πόροι
και οι εξουσίες
των εθνικών
αρχών που
είναι
υπεύθυνες για την
προστασία
δεδομένων
ποικίλλουν
σημαντικά μεταξύ
των κρατών
μελών[21].
Σε ορισμένες
περιπτώσεις,
οι αρχές αυτές
δεν δύνανται
να εκτελέσουν
ικανοποιητικά
τα καθήκοντα επιβολής
του νόμου που
τους έχουν
ανατεθεί. Η
συνεργασία
μεταξύ των
αρχών αυτών σε
ευρωπαϊκό
επίπεδο – μέσω
της
υφιστάμενης
συμβουλευτικής
ομάδας (της καλούμενης
«ομάδας
εργασίας του
άρθρου 29»)[22]
– δεν οδηγεί
πάντα σε
συνεκτική
εφαρμογή και
επίσης πρέπει
να βελτιωθεί. Συνεκτική
εφαρμογή των
κανόνων
προστασίας
δεδομένων σε
όλη την Ευρώπη Μια
πολυεθνική
εταιρεία με
διάφορες
εγκαταστάσεις
στην ΕΕ
ανέπτυξε
σύστημα
επιγραμμικής
χαρτογράφησης
σε όλη την
Ευρώπη το
οποίο συλλέγει
εικόνες όλων
των ιδιωτικών
και δημόσιων
κτιρίων, και
μπορεί επίσης
να λαμβάνει
φωτογραφίες
των ανθρώπων
στο δρόμο. Σε
ένα κράτος
μέλος, η συμπερίληψη
μη θολών
φωτογραφιών ανθρώπων
που δεν γνώριζαν
ότι
φωτογραφίζονται
θεωρήθηκε
παράνομη, ενώ
σε άλλα κράτη
μέλη δεν
θεωρήθηκε ως
παραβίαση της
νομοθεσίας
περί
προστασίας
δεδομένων. Ως
εκ τούτου, δεν
υπήρξε
συνεκτική
αντίδραση από
μέρους των
εθνικών αρχών
προστασίας
δεδομένων για τη
θεραπεία της
εν λόγω
κατάστασης. Η
μεταρρύθμιση
των κανόνων
προστασίας
δεδομένων της
ΕΕ θα
διασφαλίσει
ότι αυτό δεν θα
μπορεί να συμβεί
στο μέλλον, διότι: - θα θεσπισθούν
απαιτήσεις και
εχέγγυα για
την προστασία
δεδομένων σε
κανονισμό της
ΕΕ ο οποίος θα
έχει άμεση
εφαρμογή σε
ολόκληρη την
Ένωση· - μόνον η
αρχή
προστασίας
δεδομένων στον
τόπο που η εταιρεία
έχει την κύρια
εγκατάστασή της
θα είναι
υπεύθυνη να αποφασίσει
κατά πόσον η
εταιρεία
ενεργεί
νόμιμα· - ο ταχύς
και
αποτελεσματικός
συντονισμός
μεταξύ των
εθνικών αρχών
προστασίας
δεδομένων – δεδομένου
ότι η υπηρεσία
απευθύνεται σε
φυσικά πρόσωπα
σε διάφορα
κράτη μέλη – θα
βοηθήσει να
διασφαλιστεί
ότι οι νέοι
κανόνες
προστασίας
δεδομένων της
ΕΕ θα εφαρμόζονται
και θα εκτελούνται
συνεκτικά σε
όλα τα κράτη
μέλη. Πρέπει να
ενισχυθούν οι
εθνικές αρχές
και να ενδυναμωθεί
η συνεργασία
τους για να
κατοχυρωθεί η
συνεκτική
εκτέλεση και, εν
τέλει, η
ομοιόμορφη
εφαρμογή των
κανόνων σε όλη
την ΕΕ. Ένα στιβαρό,
σαφές και
ομοιόμορφο
νομοθετικό
πλαίσιο στο
επίπεδο της ΕΕ
θα βοηθήσει
στην
αποδέσμευση
του δυναμικού
της ψηφιακής
ενιαίας αγοράς
και θα προωθήσει
την οικονομική
ανάπτυξη, την
καινοτομία και
τη δημιουργία
θέσεων απασχόλησης.
Με τον
κανονισμό θα εκλείψει
ο
κατακερματισμός
των νομικών
καθεστώτων σε 27
κράτη μέλη και
θα εξαλειφθούν
τα εμπόδια για την
είσοδο στην
αγορά,
παράγοντας
ιδιαίτερης
σημασίας για
τις πολύ
μικρές και τις
μικρομεσαίες
επιχειρήσεις. Με τους
νέους κανόνες
θα παρασχεθεί επίσης
στις επιχειρήσεις
της ΕΕ
πλεονέκτημα
στον παγκόσμιο
ανταγωνισμό.
Βάσει του
μεταρρυθμισμένου
κανονιστικού
πλαισίου, οι
επιχειρήσεις θα
μπορούν να
διαβεβαιώνουν
τους πελάτες
τους ότι οι
πολύτιμες
πληροφορίες
προσωπικού χαρακτήρα
θα τυγχάνουν
επεξεργασίας
με την
απαραίτητη
φροντίδα και
επιμέλεια. Η
εμπιστοσύνη σε
ένα συνεκτικό
κανονιστικό
καθεστώς της
ΕΕ θα αποτελεί
βασικό
στοιχείο για
τους παρόχους
υπηρεσιών και
κίνητρο για
τους επενδυτές
που αναζητούν
τις βέλτιστες
συνθήκες για
την
εγκατάσταση
υπηρεσιών. Για τη
βελτίωση της διάστασης
της προστασίας
δεδομένων που
αφορά την
ενιαία αγορά, η
Επιτροπή
προτείνει: - τη
θέσπιση
κανόνων
προστασίας
δεδομένων στο
επίπεδο της ΕΕ
μέσω κανονισμού
άμεσα εφαρμοστέου
σε όλα τα κράτη
μέλη[23]
που θα θέσει
τέλος στη
σωρευτική και
ταυτόχρονη
εφαρμογή διαφορετικών
εθνικών νομοθεσιών
για την
προστασία των
δεδομένων. Αυτό
θα οδηγήσει σε
καθαρή εξοικονόμηση
ποσού περίπου 2,3
δισεκ. ευρώ ανά
έτος για τις επιχειρήσεις
όσον αφορά μόνο
τα διοικητικά
βάρη· - την απλούστευση
του
κανονιστικού
περιβάλλοντος
με τη δραστική μείωση
της
γραφειοκρατίας
και την
κατάργηση διατυπώσεων
όπως οι
γενικές
απαιτήσεις γνωστοποίησης
(πράγμα που θα οδηγήσει
σε καθαρή εξοικονόμηση
ποσού 130 εκατ.
ευρώ ανά έτος
όσον αφορά
μόνο τα διοικητικά
βάρη). Λόγω της
σημασίας που
έχουν για την
ανταγωνιστικότητα
της ευρωπαϊκής
οικονομίας,
ιδιαίτερη
προσοχή
δίδεται στις
ειδικές
ανάγκες των
πολύ μικρών
και των μικρομεσαίων
επιχειρήσεων· - την
περαιτέρω
ενίσχυση της
ανεξαρτησίας
και των εξουσιών
των εθνικών
αρχών
προστασίας
δεδομένων (ΑΠΔ) ώστε
αυτές να
μπορούν να προβαίνουν
σε έρευνες, να
λαμβάνουν
δεσμευτικές
αποφάσεις και
να επιβάλλουν
αποτελεσματικές
και
αποτρεπτικές
κυρώσεις, καθώς
και την
υποχρεωτική
παροχή από τα
κράτη μέλη σε
αυτές επαρκείς
πόρους για να είναι
σε θέση να πράττουν
τα παραπάνω· - τη θέσπιση
συστήματος
«μονοαπευθυντικής
θυρίδας» για
την προστασία
δεδομένων στην
ΕΕ: οι
υπεύθυνοι
επεξεργασίας
δεδομένων στην
ΕΕ θα πρέπει να απευθύνονται
σε ενιαία ΑΠΔ,
δηλαδή στην
ΑΠΔ του
κράτους μέλους
όπου βρίσκεται
η κύρια
εγκατάσταση
της επιχείρησης·
- τη
δημιουργία των
προϋποθέσεων
για την ταχεία
και
αποτελεσματική
συνεργασία
μεταξύ των ΑΠΔ,
συμπεριλαμβανομένης
της υποχρέωσης
μιας ΑΠΔ να διενεργεί
έρευνες και
επιθεωρήσεις
κατόπιν
αιτήματος
άλλης ΑΠΔ, και
να αναγνωρίζει
αμοιβαία τις
αποφάσεις κάθε
άλλης ΑΠΔ· - τη
θέσπιση
μηχανισμού
συνεκτικότητας
στο επίπεδο
της ΕΕ για να
διασφαλιστεί
ότι οι αποφάσεις
μιας ΑΠΔ που
έχουν ευρύτερο
ευρωπαϊκό
αντίκτυπο λαμβάνουν
πλήρως υπόψη
τις απόψεις
των άλλων
ενδιαφερόμενων
ΑΠΔ, και
συνάδουν
πλήρως με το
δίκαιο της ΕΕ· - την
αναβάθμιση της
ομάδας
εργασίας του
άρθρου 29 σε ανεξάρτητο
Ευρωπαϊκό
Συμβούλιο
Προστασίας
Δεδομένων, με
σκοπό να
βελτιωθεί η
συμβολή της
στη συνεκτική
εφαρμογή της
νομοθεσίας για
την προστασία
δεδομένων και
να παρασχεθεί
ισχυρή βάση
για τη
συνεργασία μεταξύ
των αρχών
προστασίας
δεδομένων,
συμπεριλαμβανομένου
του Ευρωπαίου
Επόπτη
Προστασίας
Δεδομένων, και
για να
ενισχυθούν οι
συνέργειες και
η αποτελεσματικότητα
με την
πρόβλεψη ότι η
γραμματειακή υποστήριξη
του Ευρωπαϊκού
Συμβουλίου
Προστασίας Δεδομένων
θα παρέχεται
από τον
Ευρωπαίο
Επόπτη Προστασίας
Δεδομένων. Ο νέος
κανονισμός της
ΕΕ θα
διασφαλίσει
ισχυρή
προστασία του
θεμελιώδους
δικαιώματος
προστασίας των
δεδομένων σε
ολόκληρη την
Ευρωπαϊκή
Ένωση και θα
ενισχύσει τη
λειτουργία της
ενιαίας αγοράς.
Ταυτόχρονα, ενόψει
του γεγονότος
ότι, όπως
τονίστηκε από
το Δικαστήριο
της ΕΕ[24],
το δικαίωμα
προστασίας
δεδομένων
προσωπικού
χαρακτήρα δεν
αποτελεί
απόλυτο δικαίωμα
αλλά πρέπει να
εκτιμάται σε
σχέση με τη λειτουργία
του στην
κοινωνία[25] και
να σταθμίζεται
με άλλα
θεμελιώδη
δικαιώματα,
σύμφωνα με την
αρχή της
αναλογικότητας[26] - ο
κανονισμός θα περιλαμβάνει
ρητές διατάξεις
που θα
διασφαλίζουν
τον τήρηση και
άλλων δικαιωμάτων,
όπως η
ελευθερία
έκφρασης και πληροφόρησης,
το δικαίωμα υπεράσπισης
καθώς και το
επαγγελματικό
απόρρητο (π.χ.
για τα νομικά
επαγγέλματα),
με την
επιφύλαξη του
καθεστώτος των
εκκλησιών βάσει
του δικαίου
των κρατών
μελών.
4.
ΧΡΗΣΗ ΤΩΝ
ΔΕΔΟΜΕΝΩΝ ΣΤΗ
ΣΥΝΕΡΓΑΣΙΑ
ΣΤΟΝ ΤΟΜΕΑ ΤΗΣ
ΑΣΤΥΝΟΜΙΑΣ ΚΑΙ
της ΠΟΙΝΙΚΗΣ
ΔΙΚΑΙΟΣΥΝΗΣ
Η έναρξη
ισχύος της
Συνθήκης της
Λισαβόνας και,
ειδικότερα, η
εισαγωγή νέας
νομικής βάσης
(άρθρο 16 της ΣΛΕΕ)
επιτρέπουν τη
δημιουργία
συνολικού
πλαισίου
προστασίας των
δεδομένων το
οποίο διασφαλίζει
υψηλό επίπεδο
προστασίας των
δεδομένων των
φυσικών
προσώπων ενώ
παράλληλα
σέβεται την
ειδική φύση
του τομέα της
αστυνομικής
και δικαστικής
συνεργασίας σε
ποινικές
υποθέσεις. Ειδικότερα,
επιτρέπει στο
αναθεωρημένο
πλαίσιο της ΕΕ
για την
προστασία δεδομένων
να καλύπτει
τόσο τη
διασυνοριακή
όσο και την
εγχώρια
επεξεργασία
δεδομένων
προσωπικού χαρακτήρα.
Αυτό θα μείωνε
τις διαφορές μεταξύ
των νομοθεσιών
των κρατών
μελών,
πιθανότατα
προς όφελος
της προστασίας
δεδομένων
προσωπικού
χαρακτήρα
συνολικά. Επίσης
θα μπορούσε να
οδηγήσει σε
ομαλότερη ανταλλαγή
πληροφοριών
μεταξύ των
αστυνομικών
και δικαστικών
αρχών των
κρατών μελών
και επομένως να
βελτιώσει τη
συνεργασία για
την
καταπολέμηση του
σοβαρού
εγκλήματος
στην Ευρώπη. Επί
του παρόντος, η
επεξεργασία
δεδομένων από
τις
αστυνομικές
και δικαστικές
αρχές σε
ποινικές
υποθέσεις καλύπτεται,
κατά κύριο
λόγο, από την
απόφαση
πλαίσιο 2008/977/ΔΕΥ, η
οποία είναι
προγενέστερη
της έναρξης
ισχύος της
Συνθήκης της
Λισαβόνας. Η
Επιτροπή δεν
έχει εξουσίες
για την
εφαρμογή των
κανόνων της,
δεδομένου ότι
είναι απόφαση
πλαίσιο, και το
γεγονός αυτό
έχει συντελέσει
σε άνιση
εφαρμογή. Επιπλέον,
το πεδίο
εφαρμογής της
απόφασης
πλαισίου
περιορίζεται
στις
διασυνοριακές
δραστηριότητες
επεξεργασίας[27]. Αυτό
σημαίνει ότι,
επί του
παρόντος, η
επεξεργασία
δεδομένων
προσωπικού
χαρακτήρα που
δεν έχουν αποτελέσει
αντικείμενο
ανταλλαγών δεν
καλύπτεται από
τους κανόνες
της ΕΕ που
διέπουν αυτή
την επεξεργασία
και
προστατεύουν
το θεμελιώδες
δικαίωμα
προστασίας
δεδομένων. Αυτό
δημιουργεί επίσης,
σε ορισμένες
περιπτώσεις, πρακτικές
δυσκολίες για
τις
αστυνομικές
και άλλες
αρχές για τις
οποίες μπορεί
να μην είναι
προφανές το
κατά πόσον η
επεξεργασία
πρέπει να θεωρηθεί
καθαρά εγχώρια
ή διασυνοριακή·
ή να προβλέπουν
κατά πόσον τα
«εγχώρια»
δεδομένα
ενδέχεται να αποτελέσουν
αντικείμενο
μεταγενέστερης
διασυνοριακής
ανταλλαγής[28]. Επομένως,
το νέο
μεταρρυθμισμένο
πλαίσιο της ΕΕ
για την
προστασία
δεδομένων
αποβλέπει στη
διασφάλιση
συνεκτικού και
υψηλού επιπέδου
προστασίας των
δεδομένων για
να ενισχυθεί η
αμοιβαία
εμπιστοσύνη
μεταξύ
αστυνομικών
και δικαστικών
αρχών διαφόρων
κρατών μελών, συμβάλλοντας
με τον τρόπο
αυτό περαιτέρω
στην ελεύθερη
ροή των
δεδομένων και την
αποτελεσματική
συνεργασία
μεταξύ των
αστυνομικών
και δικαστικών
αρχών. Για τη διασφάλιση
υψηλού
επιπέδου
προστασίας των
δεδομένων
προσωπικού
χαρακτήρα στον
τομέα της
αστυνομικής
και δικαστικής
συνεργασίας σε
ποινικές
υποθέσεις και
για τη
διευκόλυνση
των ανταλλαγών
προσωπικών δεδομένων
μεταξύ των
αστυνομικών
και δικαστικών
αρχών των
κρατών μελών, η
Επιτροπή
προτείνει, ως
μέρος της
δέσμης μέτρων
για τη
μεταρρύθμιση
της προστασίας
δεδομένων, μια
οδηγία η οποία: - θα
εφαρμόζει τις
γενικές αρχές
της προστασίας
δεδομένων στην
αστυνομική
συνεργασία και
στη δικαστική
συνεργασία σε
ποινικές
υποθέσεις, ενώ
παράλληλα θα
σέβεται την
ιδιαίτερη φύση
των εν λόγω
τομέων[29]·
- θα
προβλέπει ελάχιστα
εναρμονισμένα
κριτήρια και
προϋποθέσεις
για πιθανούς
περιορισμούς των
γενικών
κανόνων. Αυτό
αφορά,
ειδικότερα, το
δικαίωμα ενημέρωσης
των φυσικών
προσώπων όταν
οι αστυνομικές
και δικαστικές
αρχές
επεξεργάζονται
δεδομένα τους
ή έχουν
πρόσβαση σε
αυτά. Αυτοί οι
περιορισμοί
είναι
αναγκαίοι για
την
αποτελεσματική
πρόληψη,
διερεύνηση, ανίχνευση
ή δίωξη
ποινικών
αδικημάτων· - θα θεσπίζει
ειδικούς
κανόνες για να
καλύψει τον
ειδικό χαρακτήρα
των
δραστηριοτήτων
επιβολής του
νόμου, περιλαμβανομένης
διάκρισης
μεταξύ
διαφορετικών κατηγοριών
προσώπων στα
οποία
αναφέρονται τα
δεδομένα των
οποίων τα
δικαιώματα
μπορεί να
ποικίλλουν (π.χ. μάρτυρες
και ύποπτοι).
5.
ΠΡΟΣΤΑΣΙΑ
ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ
ΕΠΟΧΗ ΤΗΣ
ΠΑΓΚΟΣΜΙΟΠΟΙΗΣΗΣ
Τα
δικαιώματα των
φυσικών
προσώπων
πρέπει να συνεχίζουν
να
διασφαλίζονται
όταν τα
δεδομένα προσωπικού
χαρακτήρα
διαβιβάζονται
από την ΕΕ σε
τρίτες χώρες
καθώς και όταν
στοχοθετούνται
φυσικά πρόσωπα
στα κράτη μέλη
και τα
δεδομένα τους
χρησιμοποιούνται
ή αναλύονται
από παρόχους
υπηρεσιών τρίτων
χωρών. Αυτό
σημαίνει ότι
τα πρότυπα
προστασίας
δεδομένων της
ΕΕ πρέπει να
ισχύουν
ανεξαρτήτως
της γεωγραφικής
θέσης μια
εταιρείας ή
της χρησιμοποιούμενης
εγκατάστασης
επεξεργασίας. Στο
σημερινό
παγκοσμιοποιημένο
περιβάλλον, τα
δεδομένα
προσωπικού
χαρακτήρα διαβιβάζονται
διαμέσου ενός
αυξανόμενου αριθμού
ιδεατών και
γεωγραφικών
συνόρων και
αποθηκεύονται
σε
εξυπηρετητές
σε πολλές
χώρες. Περισσότερες
εταιρείες
προτείνουν
υπηρεσίες υπολογιστικού
νέφους, που
επιτρέπουν
στους πελάτες
να έχουν
πρόσβαση και
να αποθηκεύουν
δεδομένα σε
απομακρυσμένους
εξυπηρετητές. Οι
παράγοντες
αυτοί απαιτούν
βελτίωση των
υφιστάμενων
μηχανισμών για
τη διαβίβαση
δεδομένων σε τρίτες
χώρες. Αυτό
περιλαμβάνει
αποφάσεις
καταλληλότητας
– δηλαδή
αποφάσεις που
να πιστοποιούν
τα «κατάλληλα»
πρότυπα
προστασίας
δεδομένων σε
τρίτες χώρες – και
τα δέοντα
εχέγγυα, π.χ.
τυποποιημένες
συμβατικές
ρήτρες ή
δεσμευτικούς
εταιρικούς
κανόνες[30],
προκειμένου να
διασφαλιστεί
υψηλό επίπεδο
προστασίας δεδομένων
κατά τις
διεθνείς πράξεις
επεξεργασίας
και να
διευκολυνθούν
οι διασυνοριακές
ροές δεδομένων. Δεσμευτικοί
εταιρικοί
κανόνες Ένας
όμιλος επιχειρήσεων
χρειάζεται τακτικά
να διαβιβάζει
δεδομένα
προσωπικού
χαρακτήρα από
τις
συνδεδεμένες
εταιρείες του
με έδρα στην ΕΕ
σε
συνδεδεμένες
εταιρείες του
που βρίσκονται
σε τρίτες
χώρες. Ο όμιλος
θα ήθελε να καθιερώσει
μια σειρά
δεσμευτικών
εταιρικών
κανόνων για να
συμμορφωθεί
προς το δίκαιο
της ΕΕ και
ταυτόχρονα να
μειώσει τις
διοικητικές
απαιτήσεις για
κάθε μεμονωμένη
διαβίβαση.
Στην πράξη, οι δεσμευτικοί
εταιρικοί
κανόνες
διασφαλίζουν
ότι μια ενιαία
δέσμη κανόνων
θα εφαρμόζεται
σε όλο τον
όμιλο αντί για μια
πλειάδα
εσωτερικών
συμβάσεων. Με βάση
τις τρέχουσες
πρακτικές που
συμφωνήθηκαν
στο επίπεδο
της ομάδας
εργασίας του
άρθρου 29, η
αναγνώριση ότι
οι δεσμευτικοί
εταιρικοί
κανόνες μιας
εταιρείας
παρέχουν κατάλληλα
εχέγγυα προϋποθέτει
διεξοδική επανεξέταση
από τρεις ΑΠΔ (μία
«ηγετική» και
δύο «επανεξεταστικές»)
αλλά μπορεί
επίσης να
σχολιαστεί και
από πολλές
άλλες. Επιπλέον,
η νομοθεσία πολλών
κρατών μελών
απαιτεί
πρόσθετες
εθνικές άδειες
για τις
διαβιβάσεις που
καλύπτονται
από
δεσμευτικούς
εταιρικούς
κανόνες, και
αυτό κάνει τη
διαδικασία
έκδοσής τους
ιδιαίτερα επαχθή,
πολυδάπανη,
χρονοβόρα και
πολύπλοκη. Μετά τη
μεταρρύθμιση
της προστασίας
δεδομένων: - η
διαδικασία
αυτή θα είναι απλούστερη
και πιο ορθολογική· - οι δεσμευτικοί
εταιρικοί
κανόνες θα επικυρώνονται
από μόνο μια
ΑΠΔ, με
μηχανισμούς
που θα
διασφαλίζουν
την ταχεία συμμετοχή
άλλων
ενδιαφερόμενων
ΑΠΔ· - μόλις
μια αρχή
εγκρίνει μια
σειρά
δεσμευτικών
εταιρικών
κανόνων, αυτή
θα ισχύει για
ολόκληρη την ΕΕ
χωρίς να
απαιτείται
πρόσθετη άδεια
σε εθνικό επίπεδο. Για την
αντιμετώπιση
των προκλήσεων
της παγκοσμιοποίησης,
απαιτούνται ευέλικτα
εργαλεία και
μηχανισμοί – ιδίως
για τις
επιχειρήσεις
που αναπτύσσουν
δραστηριότητα
παγκοσμίως – με
παράλληλη
κατοχύρωση της
προστασίας των
δεδομένων των
φυσικών
προσώπων χωρίς
καθόλου κενά. Η
Επιτροπή
προτείνει τα
ακόλουθα μέτρα: - σαφείς
κανόνες που
να καθορίζουν πότε
το δίκαιο της
ΕΕ εφαρμόζεται
στους
υπεύθυνους της
επεξεργασίας
δεδομένων που
είναι
εγκατεστημένοι
σε τρίτες
χώρες, ιδίως με
τη διευκρίνιση
ότι όταν αγαθά
και υπηρεσίες
προσφέρονται
σε φυσικά
πρόσωπα στην
ΕΕΕ ή όταν η
συμπεριφορά
τους
παρακολουθείται,
εφαρμόζονται
οι ευρωπαϊκοί
κανόνες· - οποιεσδήποτε
αποφάσεις
καταλληλότητας
λαμβάνονται
από την
Ευρωπαϊκή
Επιτροπή βάσει
ρητών και
σαφών
κριτηρίων,
συμπεριλαμβανομένου
του τομέα
αστυνομικής
συνεργασίας
και ποινικής
δικαιοσύνης· - οι
νόμιμες ροές
δεδομένων προς
τρίτες χώρες
θα
διευκολυνθούν
με την ενίσχυση
και την
απλούστευση
των κανόνων
για τις
διεθνείς
διαβιβάσεις
προς χώρες που δεν
καλύπτονται
από απόφαση
καταλληλότητας,
ιδίως με τον
εξορθολογισμό
και την
επέκταση της
χρήσης εργαλείων
όπως οι δεσμευτικοί
εταιρικοί
κανόνες, ώστε
να μπορούν να
χρησιμοποιηθούν
για να καλύψουν
εκτελούντες
επεξεργασία
δεδομένων και
εντός ομίλων
εταιρειών, αντανακλώντας
με αυτόν τον
τρόπο καλύτερα
τον αυξανόμενο
αριθμό
εταιρειών που ασκούν
δραστηριότητες
επεξεργασίας
δεδομένων,
ιδίως υπό τη
μορφή
υπολογιστικού
νέφους· - συμμετοχή
σε διάλογο, και,
ενδεχομένως,
σε διαπραγματεύσεις,
με τρίτες
χώρες – ιδίως
τους
στρατηγικούς
εταίρους της
ΕΕ και τις
χώρες της
Ευρωπαϊκής
Πολιτικής
Γειτονίας – και
συναφείς διεθνείς
οργανισμούς (π.χ.
Συμβούλιο της
Ευρώπης,
Οργανισμός
Οικονομικής Συνεργασίας
και Ανάπτυξης, Οργανισμός
Ηνωμένων Εθνών)
για την προώθηση
υψηλών και
διαλειτουργικών
προτύπων προστασίας
δεδομένων
παγκοσμίως.
6.
ΣΥΜΠΕΡΑΣΜΑ
Η
μεταρρύθμιση
της προστασίας
δεδομένων στην
ΕΕ αποβλέπει
στην
οικοδόμηση σύγχρονου,
ισχυρού,
συνεκτικού και
συνολικού
πλαισίου προστασίας
δεδομένων για
την Ευρωπαϊκή
Ένωση. Το
θεμελιώδες
δικαίωμα
προστασίας
δεδομένων των
φυσικών
προσώπων θα
ενισχυθεί. Θα
τηρηθούν άλλα
δικαιώματα,
όπως η
ελευθερία
έκφρασης και
πληροφόρησης, τα
δικαιώματα του
παιδιού, το
δικαίωμα του
επιχειρείν, το
δικαίωμα σε
δίκαιη δίκη
και το
επαγγελματικό απόρρητο
(π.χ. για τα
νομικά
επαγγέλματα),
καθώς και το
καθεστώς των
εκκλησιών
βάσει του δικαίου
των κρατών
μελών. Η μεταρρύθμιση
θα αποφέρει οφέλη
πρωτίστως για
τα φυσικά
πρόσωπα, διότι
θα ενισχύσει
τα δικαιώματα
προστασίας των
δεδομένων τους
και την
εμπιστοσύνη
τους στο ψηφιακό
περιβάλλον.
Περαιτέρω, η
μεταρρύθμιση θα
απλουστεύσει σε
μεγάλο βαθμό το
νομικό περιβάλλον
για τις
επιχειρήσεις
και τον
δημόσιο τομέα. Αυτό
αναμένεται να
τονώσει την
ανάπτυξη της
ψηφιακής
οικονομίας στο
σύνολο της
ενιαίας αγοράς
της ΕΕ και πέρα
από αυτή, σύμφωνα
με τους
στόχους της
στρατηγικής
για την Ευρώπη 2020
και το ψηφιακό
θεματολόγιο
για την Ευρώπη.
Τέλος, η
μεταρρύθμιση
θα ενισχύσει
την
εμπιστοσύνη
μεταξύ των
αρχών επιβολής
του νόμου για
να διευκολύνει
τις ανταλλαγές
δεδομένων
μεταξύ τους
και τη
συνεργασία για
την
καταπολέμηση
του σοβαρού
εγκλήματος,
ενώ παράλληλα
θα διασφαλίσει
υψηλό επίπεδο
προστασίας των
φυσικών
προσώπων. Η
Ευρωπαϊκή
Επιτροπή θα
συνεργαστεί
στενά με το Ευρωπαϊκό
Κοινοβούλιο
και το
Συμβούλιο για
να διασφαλίσει
συμφωνία
σχετικά με το
νέο πλαίσιο
προστασίας
δεδομένων της
ΕΕ μέχρι το
τέλος του 2012.
Κατά τη
διάρκεια αυτής
της διαδικασίας
θέσπισης και
πέρα από αυτή,
ιδίως στο
πλαίσιο της
εφαρμογής των
νέων νομικών
πράξεων, η
Επιτροπή θα διατηρήσει
στενό και
διαφανή
διάλογο με όλα
τα
ενδιαφερόμενα
μέρη
συμπεριλαμβανομένων
εκπροσώπων του
ιδιωτικού και
του δημόσιου
τομέα. Θα συμμετάσχουν
επίσης εκπρόσωποι
της αστυνομίας
και του
δικαστικού
σώματος,
ρυθμιστικές
αρχές
ηλεκτρονικών
επικοινωνιών, οργανώσεις
της κοινωνίας
των πολιτών, αρχές
προστασίας
δεδομένων, πανεπιστημιακοί,
καθώς και
ειδικευμένοι
οργανισμοί της
ΕΕ, π.χ. Eurojust, Europol, Οργανισμός
Θεμελιωδών Δικαιωμάτων
και Ευρωπαϊκός
Οργανισμός για
την Ασφάλεια
Δικτύων και
Πληροφοριών. Στο
πλαίσιο της
σταθερής
ανάπτυξης των
τεχνολογιών
πληροφοριών
και της
εξέλιξης της
κοινωνικής συμπεριφοράς,
αυτός ο
διάλογος έχει
ύψιστη σημασία
για να
αντληθούν
οφέλη από τις συνεισφορές
που
απαιτούνται προκειμένου
να
διασφαλισθεί υψηλό
επίπεδο
προστασίας
δεδομένων των
φυσικών
προσώπων, η ανάπτυξη
και η
ανταγωνιστικότητα
των οικονομικών
κλάδων της ΕΕ, η
επιχειρησιακή
αποτελεσματικότητα
του δημόσιου
τομέα
(συμπεριλαμβανομένων
της αστυνομίας
και του
δικαστικού
σώματος) και
χαμηλό επίπεδο
διοικητικών
βαρών. [1] Η αγορά για
την ανάλυση
πολύ μεγάλων
σειρών δεδομένων
αναπτύσσεται
κατά 40% ανά έτος
παγκοσμίως: http://www.mckinsey.com/mgi/publications/big_data/. [2] Βλέπε
επίσης τα
συμπεράσματα
του Ευρωπαϊκού
Συμβουλίου της
23ης
Οκτωβρίου 2011,
όπου τονίστηκε
ο «καίριος
ρόλος» της
ενιαίας αγοράς
«στην επίτευξη
ανάπτυξης και
απασχόλησης», καθώς
και η ανάγκη
ολοκλήρωσης
της ψηφιακής
ενιαίας αγοράς
μέχρι το 2015. [3] COM(2010)171 τελικό. [4] COM(2010)245 τελικό. [5] COM(2010)2020 τελικό. [6] Οδηγία 95/46/ΕΚ για
την προστασία
των φυσικών
προσώπων
έναντι της
επεξεργασίας
δεδομένων
προσωπικού
χαρακτήρα και
για την
ελεύθερη
κυκλοφορία των
δεδομένων αυτών,
ΕΕ L 281 της 23.11.1995, σ. 31. [7] Ειδικοί
κανόνες για
την
επεξεργασία
από τα κράτη μέλη
στον τομέα της
Κοινής
Εξωτερικής
Πολιτικής και
Πολιτικής
Ασφάλειας
θεσπίζονται με
απόφαση του
Συμβουλίου
βάσει του
άρθρου 39 της ΣΕΕ. [8] COM(2009)262 και COM(2010)171,
αντίστοιχα. [9] Δρομολογήθηκαν
δύο δημόσιες
διαβουλεύσεις
για τη
μεταρρύθμιση
της προστασίας
δεδομένων: η
πρώτη από τον
Ιούλιο έως τον
Δεκέμβριο του 2009
(http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm)
και η δεύτερη
από τον
Νοέμβριο του 2010
έως τον Ιανουάριο
του 2011 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm). [10] Το 2010
διοργανώθηκαν
εστιασμένες
διαβουλεύσεις
με τις αρχές
των κρατών
μελών και
ιδιώτες
ενδιαφερόμενους.
Τον Νοέμβριο
του 2010, η Επίτροπος
Δικαιοσύνης
της ΕΕ Viviane Reding διοργάνωσε
στρογγυλή
τράπεζα για τη
μεταρρύθμιση
της προστασίας
δεδομένων. Καθ’
όλη τη
διάρκεια του 2011,
πραγματοποιήθηκαν
επιπρόσθετα
ειδικά εργαστήρια
και σεμινάρια
για
συγκεκριμένα
θέματα (π.χ. κοινοποιήσεις
της παραβίασης
δεδομένων). [11] COM(2010)609. [12] Βλέπε την
επιστολή της
Επιτρόπου
Δικαιοσύνης της
ΕΕ Viviane Reding, της 19ης
Σεπτεμβρίου 2011,
προς τα μέλη
της ομάδας
εργασίας του
άρθρου 29, που
έχει
δημοσιευθεί
στη http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm. [13] Βλέπε την
εκτίμηση
αντικτύπου SEC(2012)72. [14] Αυτό θα
περιλαμβάνει,
σε
μεταγενέστερο
στάδιο, τροποποιήσεις
για την
ευθυγράμμιση
ειδικών και τομεακών
πράξεων, π.χ. του
κανονισμού (ΕΚ)
αριθ. 45/2001 (ΕΕ L 8 της
12.1.2001, σ.1). [15] Ο
κανονισμός
επιφέρει
επίσης
περιορισμένο
αριθμό
τεχνικών
προσαρμογών
στην οδηγία για
την προστασία
της ιδιωτικής
ζωής στις
ηλεκτρονικές
επικοινωνίες
(οδηγία 2002/58/ΕΚ
όπως
τροποποιήθηκε
τελευταία από
την οδηγία 2009/136/ΕΚ -
ΕΕ L 337 της 18.12.2009, σ. 11)
για να ληφθεί
υπόψη η
μετατροπή της
οδηγίας 95/46/ΕΚ σε
κανονισμό. Οι
ουσιαστικές
νομικές
συνέπειες που
θα συνεπάγονται
ο νέος
κανονισμός και
η νέα οδηγία
για την οδηγία
για την
προστασία της
ιδιωτικής ζωής
στις
ηλεκτρονικές
επικοινωνίες
θα αποτελέσουν
αντικείμενο,
εν ευθέτω
χρόνω, επανεξέτασης
από την
Επιτροπή,
λαμβανομένου
υπόψη του
αποτελέσματος
των
διαπραγματεύσεων
για τις
τρέχουσες
προτάσεις με
το Ευρωπαϊκό
Κοινοβούλιο
και το
Συμβούλιο. [16] Απόφαση πλαίσιο
2008/977/ΔΕΥ του Συμβουλίου,
της 27ης
Νοεμβρίου 2008, για
την προστασία
των δεδομένων
προσωπικού
χαρακτήρα που
τυγχάνουν
επεξεργασίας
στο πλαίσιο της
αστυνομικής
και δικαστικής
συνεργασίας σε
ποινικές υποθέσεις,
ΕΕ L 350 της 30.12.2008, σ.60. Μια
έκθεση για την
εφαρμογή από
τα κράτη μέλη
της απόφασης
πλαισίου (COM
(2012)12) εγκρίνεται
ως μέρος της
δέσμης για τη
μεταρρύθμιση
της προστασίας
δεδομένων. [17] Βλ. Ειδικό
Ευρωβαρόμετρο 359
– Στάσεις όσον
αφορά την
προστασία
δεδομένων και
την
ηλεκτρονική
ταυτότητα στην
Ευρωπαϊκή
Ένωση, Ιούνιος
2011, σ. 23. [18] Ό.π, σ. 54. [19] Βλέπε ψηφιακό
θεματολόγιο
για την Ευρώπη,
ό.π, σ. 4. [20] Επί του
παρόντος, αυτό
είναι
υποχρεωτικό
μόνο στον τομέα
των
τηλεπικοινωνιών,
με βάση την
οδηγία για την
προστασία της
ιδιωτικής ζωής
στις
ηλεκτρονικές
επικοινωνίες. [21] Για
περισσότερες
λεπτομέρειες
σχετικά με
αυτή την πτυχή,
βλ. την εκτίμηση
αντικτύπου που
συνοδεύει τις
νομικές
προτάσεις, SEC(2012)72. [22] Η ομάδα
εργασίας του
άρθρου 29
συστάθηκε το 1996 (βάσει
του άρθρου 29 της
οδηγίας 95/46/ΕΚ) με
συμβουλευτική
ιδιότητα και
αποτελείται
από αντιπροσώπους
των εθνικών αρχών
ελέγχου για
την προστασία
των δεδομένων (ΑΠΔ),
τον Ευρωπαίο
Επόπτη
Προστασίας
Δεδομένων (ΕΕΠΔ)
και την
Επιτροπή. Για
περισσότερες
πληροφορίες
σχετικά με τις
δραστηριότητες
της ομάδας
αυτής, βλ. http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [23] Προτείνεται
μια οδηγία για
τον καθορισμό
των κανόνων
που
εφαρμόζονται
στον τομέα της
αστυνομικής
συνεργασίας
και της
δικαστικής
συνεργασίας σε
ποινικές
υποθέσεις (βλ.
ενότητα 4 παρακάτω),
η οποία θα
επιτρέψει
μεγαλύτερη
ευελιξία των
κρατών μελών σε
αυτόν τον
συγκεκριμένο
τομέα. [24] Δικαστήριο
της ΕΕ, απόφαση
της 9.11.2010, Συνεκδικασθείσες
υποθέσεις C-92/09
και C-93/09 Volker und Markus Schecke και Eifert
[2010], δεν έχει
ακόμα
δημοσιευθεί
επισήμως. [25] Σύμφωνα με
το άρθρο 51
παράγραφος 1
του Χάρτη, μπορούν
να επιβληθούν
περιορισμοί
στην άσκηση
του δικαιώματος
προστασίας των
δεδομένων στο
μέτρο που οι
περιορισμοί
προβλέπονται
από το νόμο και
σέβονται το
βασικό
περιεχόμενο
του
δικαιώματος και
της
ελευθερίας,
και,
τηρουμένης της
αρχής της αναλογικότητας,
είναι
αναγκαίοι και
ανταποκρίνονται
πραγματικά σε
στόχους
γενικού
ενδιαφέροντος
που αναγνωρίζει
η Ευρωπαϊκή
Ένωση ή στην
ανάγκη
προστασίας των
δικαιωμάτων
και ελευθεριών
των τρίτων. [26] Δικαστήριο
της ΕΕ, απόφαση
της 6.11.2003, C-101/01, Lindqvist,
Συλλογή 2003, σ. I-12971,
σκέψεις 82-90·
απόφαση της 16.12.2008,
C-73/07, Satamedia, Συλλογή 2008, σ.
I-9831, σκέψεις 50-62. [27] Πιο
συγκεκριμένα,
η απόφαση
πλαίσιο
εφαρμόζεται σε
δεδομένα
προσωπικού
χαρακτήρα που
διαβιβάζονται
ή έχουν
διαβιβασθεί ή
διατεθεί
μεταξύ των
κρατών μελών ή
ανταλλάσσονται
μεταξύ κρατών
μελών και οργάνων
ή φορέων της ΕΕ
(βλ. άρθρο 1
παράγραφος 2). [28] Αυτό
επιβεβαιώθηκε
από μερικά
κράτη μέλη
κατά την
απάντηση στο
ερωτηματολόγιο
της Επιτροπής
σε σχέση με την
έκθεση
εφαρμογής της
απόφασης
πλαισίου (COM(2012)12). [29] Πρβλ. Δήλωση
αριθ. 21 σχετικά
με την
προστασία των
δεδομένων
προσωπικού
χαρακτήρα στον
τομέα της
δικαστικής
συνεργασίας σε
ποινικές
υποθέσεις και
της
αστυνομικής συνεργασίας,
όπως
προσαρτάται
στην Τελική
Πράξη της
Διακυβερνητικής
Διάσκεψης η
οποία
υιοθέτησε τη
Συνθήκη της
Λισαβόνας. [30] Οι
δεσμευτικοί
εταιρικοί
κανόνες είναι
κώδικες
πρακτικής
βασισμένοι στα
ευρωπαϊκά
πρότυπα
προστασίας των
δεδομένων, που
έχουν εγκριθεί
από
τουλάχιστον
μία ΑΠΔ, τους
οποίους
καταρτίζουν
και ακολουθούν
εθελοντικά οι οργανισμοί
προκειμένου να
διασφαλίσουν
επαρκείς
εγγυήσεις για
κατηγορίες
διαβιβάσεων
δεδομένων
προσωπικού
χαρακτήρα
μεταξύ
επιχειρήσεων που
ανήκουν στον
ίδιο όμιλο και
δεσμεύονται
από τους εν
λόγω κανόνες.
Δεν
καλύπτονται
ρητά από την
οδηγία 95/46/ΕΚ
αλλά έχουν
αναπτυχθεί
στην πράξη
μεταξύ των ΑΠΔ,
με τη στήριξη
της ομάδας
εργασίας του
άρθρου 29.