3.9.2013   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 253/3

Περίληψη της γνωμοδότησης του Ευρωπαίου Επόπτη Προστασίας Δεδομένων επί της ανακοίνωσης της Επιτροπής σχετικά με την «Αξιοποίηση των δυνατοτήτων του υπολογιστικού νέφους στην Ευρώπη»

(Το πλήρες κείμενο της παρούσας γνωμοδότησης διατίθεται στα αγγλικά, στα γαλλικά και στα γερμανικά μέσω του δικτυακού τόπου του ΕΕΠΔ στη διεύθυνση http://www.edps.europa.eu)

2013/C 253/03

I.   Εισαγωγή

I.1.   Σκοπός της γνωμοδότησης

1.

Ενόψει της σημασίας του υπολογιστικού νέφους για την εξελισσόμενη κοινωνία της πληροφορίας και για τον πολιτικό διάλογο που διεξάγεται στους κόλπους της ΕΕ με αντικείμενο το υπολογιστικό νέφος, ο ΕΕΠΔ προέβη στην έκδοση της παρούσας γνωμοδότησης με δική του πρωτοβουλία.

2.

Η παρούσα γνωμοδότηση εκδίδεται σε συνέχεια της ανακοίνωσης της Επιτροπής «Αξιοποίηση των δυνατοτήτων του υπολογιστικού νέφους στην Ευρώπη» της 27ης Σεπτεμβρίου 2012 (στο εξής «η ανακοίνωση») (1), στην οποία καθορίζονται οι βασικές δράσεις και τα μέτρα πολιτικής που πρέπει να ληφθούν για να επισπευσθεί η χρήση των υπηρεσιών υπολογιστικού νέφους στην Ευρώπη. Σε χρόνο προγενέστερο της έκδοσης της ανακοίνωσης ζητήθηκε ανεπίσημα η γνώμη του ΕΕΠΔ, ο οποίος διατύπωσε άτυπα σχόλια. Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι ορισμένα από τα σχόλιά του ελήφθησαν υπόψη στην ανακοίνωση.

3.

Δεδομένου, ωστόσο, του εύρους και της σημασίας του εν εξελίξει διαλόγου με αντικείμενο τη σχέση μεταξύ του υπολογιστικού νέφους και του νομικού πλαισίου προστασίας των δεδομένων, η παρούσα γνωμοδότηση δεν περιορίζεται στα ζητήματα που εξετάζει η ανακοίνωση.

4.

Η γνωμοδότηση εστιάζει στις προκλήσεις που συνεπάγεται για την προστασία των δεδομένων το υπολογιστικό νέφος, καθώς και στον τρόπο αντιμετώπισης των προκλήσεων αυτών στο πλαίσιο του προτεινόμενου κανονισμού για την προστασία των δεδομένων (στο εξής ο «προτεινόμενος κανονισμός») (2). Διατυπώνει επίσης σχόλια σχετικά με τους τομείς περαιτέρω δράσης που εξετάζονται στην ανακοίνωση.

I.2.   Ιστορικό

5.

Ιδιαίτερη σημασία στο πλαίσιο του διεξαγόμενου στους κόλπους της ΕΕ γενικού πολιτικού διαλόγου σχετικά με το υπολογιστικό νέφος έχουν οι ενέργειες και τα έγγραφα που απαριθμούνται στη συνέχεια:

Μετά την ανακοίνωσή της σχετικά με το ψηφιακό θεματολόγιο για την Ευρώπη (3) το 2010, η Επιτροπή ξεκίνησε δημόσια διαβούλευση για το υπολογιστικό νέφος στην Ευρώπη η οποία διήρκεσε από τις 16 Μαΐου έως τις 31 Αυγούστου 2011. Τα αποτελέσματα της διαβούλευσης δημοσιεύθηκαν στις 5 Δεκεμβρίου 2011 (4).

Την 1η Ιουλίου 2012, η ομάδα εργασίας του άρθρου 29 (5) εξέδωσε γνώμη επί του υπολογιστικού νέφους (στο εξής «η γνώμη της ομάδας εργασίας του άρθρου 29») (6) όπου αναλύεται η εφαρμογή των ισχυόντων κανόνων περί της προστασίας δεδομένων, οι οποίοι θεσπίστηκαν με την οδηγία 95/46/ΕΚ, για τους παρόχους υπηρεσιών υπολογιστικού νέφους που δραστηριοποιούνται στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ) και τους πελάτες τους (7).

Στις 26 Οκτωβρίου 2012, η 34η διεθνής διάσκεψη των Επιτρόπων προστασίας των δεδομένων και της ιδιωτικής ζωής εξέδωσε ψήφισμα για το υπολογιστικό νέφος (8).

I.3.   Ανακοίνωση σχετικά με το υπολογιστικό νέφος

6.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για την ανακοίνωση, στην οποία προσδιορίζονται τρεις συγκεκριμένες βασικές δράσεις που πρέπει να συνοδεύουν και να προωθούν σε επίπεδο ΕΕ τη χρήση του υπολογιστικού νέφους στην Ευρώπη. Αυτές είναι οι ακόλουθες:

Βασική δράση 1: Αντιμετώπιση του κυκεώνα των προτύπων

Βασική δράση 2: Ασφαλείς και δίκαιοι συμβατικοί όροι και προϋποθέσεις

Βασική δράση 3: Συγκρότηση ευρωπαϊκής σύμπραξης για το υπολογιστικό νέφος για την προώθηση της καινοτομίας και της οικονομικής μεγέθυνσης στον δημόσιο τομέα.

7.

Προβλέπονται επίσης πρόσθετα μέτρα πολιτικής, όπως μέτρα για την ενθάρρυνση της χρήσης του υπολογιστικού νέφους μέσω προαγωγής της έρευνας και της ανάπτυξης ή δράσεις ευαισθητοποίησης, καθώς και μέτρα για την ανάδειξη της ανάγκης επεξεργασίας βασικών θεμάτων που συνδέονται με τις υπηρεσίες υπολογιστικού νέφους — όπως μεταξύ άλλων η προστασία των δεδομένων, η πρόσβαση των αρχών επιβολής του νόμου, η ασφάλεια, η ευθύνη των ενδιάμεσων παρόχων υπηρεσιών — μέσω της ενίσχυσης του διεθνούς διαλόγου.

8.

Η προστασία των δεδομένων αναφέρεται στην ανακοίνωση ως καθοριστικός παράγοντας για την επιτυχή αξιοποίηση του υπολογιστικού νέφους στην Ευρώπη. Στην ανακοίνωση επισημαίνεται ότι (9) ο προτεινόμενος κανονισμός διευθετεί πολλές από τις ανησυχίες που διατύπωσαν οι πάροχοι και οι πελάτες υπηρεσιών υπολογιστικού νέφους (10).

I.4.   Επίκεντρο και δομή της γνωμοδότησης

9.

Η παρούσα γνωμοδότηση επιδιώκει τρεις στόχους.

10.

Ο πρώτος στόχος είναι να αναδειχθεί η σημασία της προστασίας της ιδιωτικής ζωής και των δεδομένων στο πλαίσιο του εν εξελίξει διαλόγου για το υπολογιστικό νέφος. Συγκεκριμένα, η γνωμοδότηση επισημαίνει ότι το επίπεδο της προστασίας των δεδομένων σε περιβάλλον υπολογιστικού νέφους δεν πρέπει να υπολείπεται εκείνου οποιουδήποτε άλλου πλαισίου επεξεργασίας δεδομένων. Η ανάπτυξη και η εφαρμογή πρακτικών υπολογιστικού νέφους είναι σύννομες μόνο εφόσον διασφαλίζεται το συγκεκριμένο επίπεδο προστασίας των δεδομένων (βλ. κεφάλαιο ΙΙΙ.3). Η γνωμοδότηση λαμβάνει υπόψη τις οδηγίες που περιέχονται στη γνώμη της ομάδας του άρθρου 29.

11.

Ο δεύτερος στόχος είναι να αναλυθούν περαιτέρω οι βασικές προκλήσεις που το υπολογιστικό νέφος συνεπάγεται για την προστασία των δεδομένων στο πλαίσιο του προτεινόμενου κανονισμού για την προστασία των δεδομένων, ιδίως δε η δυστοκία όσον αφορά τον σαφή καθορισμό των αρμοδιοτήτων των διαφόρων παραγόντων και η δυσκολία αποσαφήνισης των εννοιών του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία. Η γνωμοδότηση (ιδίως το κεφάλαιο IV) περιγράφει τρόπους με τους οποίους ο προτεινόμενος κανονισμός, στην υφιστάμενη διατύπωσή του (11), θα μπορούσε να συμβάλει στη διασφάλιση υψηλού επιπέδου προστασίας των δεδομένων στο πλαίσιο της παροχής υπηρεσιών υπολογιστικού νέφους. Για τον σκοπό αυτό αξιοποιούνται οι απόψεις που ανέπτυξε ο ΕΕΠΔ στη γνωμοδότησή του επί της δέσμης μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων (στο εξής «η γνωμοδότηση του ΕΕΠΔ επί της δέσμης μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων») (12), η οποία ολοκληρώνεται με τις ειδικές πρόνοιες για το υπολογιστικό νέφος. Ο ΕΕΠΔ επισημαίνει ότι η γνωμοδότησή του επί της δέσμης μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων είναι άκρως συναφής με τις υπηρεσίες υπολογιστικού νέφους και πρέπει να θεωρείται ως βάση της παρούσας γνωμοδότησης. Εξάλλου, ορισμένα από τα ζητήματα που εξετάζονται στην παρούσα γνωμοδότηση — όπως η ανάλυση των νέων διατάξεων για τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα (13) — είναι αρκούντως σαφείς και δεν χρειάζονται περαιτέρω επεξήγηση.

12.

Ο τρίτος στόχος είναι να προσδιοριστούν τομείς περαιτέρω δράσης σε επίπεδο ΕΕ όσον αφορά την προστασία των δεδομένων και της ιδιωτικής ζωής στο πλαίσιο της στρατηγικής υπολογιστικού νέφους που προτείνεται από την Επιτροπή στην ανακοίνωση. Σε αυτούς περιλαμβάνονται, μεταξύ άλλων, η παροχή περαιτέρω καθοδήγησης, οι προσπάθειες τυποποίησης, η διενέργεια συμπληρωματικών εκτιμήσεων κινδύνου σε συγκεκριμένους τομείς (όπως ο δημόσιος τομέας), η θέσπιση τυποποιημένων συμβατικών όρων και προϋποθέσεων, η συμμετοχή στον διεθνή διάλογο για θέματα σχετικά με το υπολογιστικό νέφος και η ανάπτυξη αποτελεσματικών μέσων διεθνούς συνεργασίας (περιγράφονται στο κεφάλαιο V).

13.

Η γνωμοδότηση έχει την εξής δομή: Στο τμήμα ΙΙ περιγράφονται τα βασικά χαρακτηριστικά του υπολογιστικού νέφους και οι αντίστοιχες προκλήσεις που ανακύπτουν για την προστασία των δεδομένων. Στο τμήμα III παρουσιάζονται τα πλέον συναφή στοιχεία του προτεινόμενου κανονισμού και του ισχύοντος νομικού πλαισίου στην ΕΕ. Στο τμήμα IV αναλύεται η δυνητική συμβολή του προτεινόμενου κανονισμού στην αντιμετώπιση των προκλήσεων που εγείρει η χρήση των υπηρεσιών υπολογιστικού νέφους. Στο τμήμα V εξετάζονται διεξοδικά οι προτάσεις της Επιτροπής για τη λήψη περαιτέρω μέτρων πολιτικής και προσδιορίζονται τομείς που χρήζουν πιο εξειδικευμένης ρύθμισης. Στο παράρτημα VI παρατίθενται τα συμπεράσματα.

14.

Πολλά από τα ζητήματα που εξετάζονται στην παρούσα γνωμοδότηση προσιδιάζουν σε κάθε περιβάλλον χρήσης του υπηρεσιών υπολογιστικού νέφους, με εξαίρεση τα όργανα της ΕΕ και τους οργανισμούς που υπόκεινται στην εποπτεία του ΕΕΠΔ βάσει του κανονισμού (ΕΚ) αριθ. 45/2011. Για τα συγκεκριμένα όργανα και οργανισμούς, ο ΕΕΠΔ θα εκδώσει χωριστές κατευθυντήριες γραμμές όσον αφορά το συγκεκριμένο θέμα.

VI.   Συμπεράσματα

121.

Όπως περιγράφεται στην ανακοίνωση, το υπολογιστικό νέφος παρέχει στις επιχειρήσεις, στους καταναλωτές και στον δημόσιο τομέα πολλές νέες δυνατότητες διαχείρισης δεδομένων μέσω της εξ αποστάσεως χρήσης εξωτερικών πόρων της τεχνολογίας πληροφοριών (ΤΠ). Ταυτοχρόνως, όμως, ανακύπτει πληθώρα προκλήσεων, ιδίως όσον αφορά το κατάλληλο επίπεδο προστασίας των δεδομένων που υφίστανται επεξεργασία στο υπολογιστικό νέφος.

122.

Ένας από τους σημαντικότερους κινδύνους των υπηρεσιών υπολογιστικού νέφους είναι το κενό ευθύνης που μπορεί να προκύψει κατά την εκτέλεση πράξεων επεξεργασίας από τους παρόχους υπηρεσιών υπολογιστικού νέφους, ιδίως εάν τα κριτήρια εφαρμογής της ενωσιακής νομοθεσίας για την προστασία των δεδομένων είναι ασαφή, και εάν ο ρόλος και η ευθύνη των παρόχων υπηρεσιών υπολογιστικού νέφους καθορίζονται ή γίνονται αντιληπτά με τρόπο άκρως συσταλτικό ή δεν ασκούνται αποτελεσματικά. Ο ΕΕΠΔ επισημαίνει ότι η χρήση υπηρεσιών υπολογιστικού νέφους δεν δικαιολογεί την ελαστικοποίηση των απαιτήσεων προστασίας των δεδομένων έναντι αυτών που ισχύουν για τις συμβατικές πράξεις επεξεργασίας δεδομένων.

123.

Υπό το πρίσμα αυτό, η υφιστάμενη διατύπωση του προτεινόμενου κανονισμού για την προστασία των δεδομένων θα μπορούσε να περιλαμβάνει διευκρινίσεις και διατάξεις για τη διασφάλιση της συμμόρφωσης των παρόχων υπηρεσιών υπολογιστικού νέφους με ευρωπαϊκό πελατολόγιο προς ένα ικανοποιητικό επίπεδο προστασίας των δεδομένων. Πιο συγκεκριμένα:

Στο άρθρο 3 θα μπορούσε να διευκρινιστεί το γεωγραφικό πεδίο εφαρμογής των κανόνων της ΕΕ για την προστασία των δεδομένων. Παράλληλα θα μπορούσε να διευρυνθεί το πεδίο εφαρμογής του άρθρου ώστε να καλυφθούν οι υπηρεσίες υπολογιστικού νέφους.

Το άρθρο 4 παράγραφος 5 θα μπορούσε να απαιτεί την πλήρωση ορισμένων νέων «προϋποθέσεων» ως αναγκαία συνθήκη για την άσκηση αρμοδιοτήτων υπευθύνου επεξεργασίας. Η προσθήκη αυτή συμβαδίζει με την αναπτυσσόμενη τάση διεύρυνσης των περιπτώσεων στις οποίες οι πάροχοι υπηρεσιών υπολογιστικού νέφους μπορούν να ασκούν αρμοδιότητες υπευθύνου επεξεργασίας, δεδομένης ιδίως της τεχνικής πολυπλοκότητας της υποδομής ΤΠ των υπηρεσιών υπολογιστικού νέφους. Μια τέτοια ρύθμιση θα αντικατόπτριζε πιο αποτελεσματικά την πραγματική έκταση της επιρροής του υπευθύνου επεξεργασίας στις πράξεις επεξεργασίας.

Ο προτεινόμενος κανονισμός θα μπορούσε να προβλέπει αύξηση της ευθύνης και της λογοδοσίας των υπευθύνων επεξεργασίας δεδομένων και των εκτελούντων την επεξεργασία δεδομένων μέσω της θέσπισης ειδικών υποχρεώσεων όπως η προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού (άρθρο 23), οι κοινοποιήσεις παραβιάσεων της ασφάλειας των δεδομένων (άρθρα 31 και 32) και οι εκτιμήσεις επιπτώσεων σχετικά με την προστασία των δεδομένων (άρθρο 33). Επίσης, ο προτεινόμενος κανονισμός θα μπορούσε να προβλέπει την εφαρμογή μηχανισμών από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία δεδομένων ώστε να καταδεικνύεται η αποτελεσματικότητα των εφαρμοζόμενων μέτρων προστασίας των δεδομένων (άρθρο 22).

Στα άρθρα 42 και 43 του προτεινόμενου κανονισμού θα μπορούσε να προβλέπεται μεγαλύτερη ευελιξία ως προς τη χρήση των μηχανισμών διεθνών διαβιβάσεων δεδομένων, ώστε να δοθεί η δυνατότητα στους πελάτες και στους παρόχους υπηρεσιών υπολογιστικού νέφους να καλύπτονται από κατάλληλες εγγυήσεις όσον αφορά την προστασία των δεδομένων στο πλαίσιο διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε κέντρα ή διακομιστές δεδομένων που βρίσκονται σε τρίτες χώρες.

Στα άρθρα 30, 31 και 32 του προτεινόμενου κανονισμού θα μπορούσαν να αποσαφηνιστούν οι υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία όσον αφορά την ασφάλεια των πράξεων επεξεργασίας και τις απαιτήσεις πληροφοριών σε περιπτώσεις παραβίασης των δεδομένων. Κατ' αυτόν τον τρόπο θα διαμορφωθεί η βάση μιας ολοκληρωμένης και συνεργατικής προσέγγισης όσον αφορά τη διαχείριση της ασφάλειας από τους διαφόρους παράγοντες που ενεργοποιούνται σε περιβάλλον υπολογιστικού νέφους

Τα άρθρα 55 έως 63 του προτεινόμενου κανονισμού θα μπορούσαν να ενισχύσουν τη συνεργασία των αρχών ελέγχου και τον συντονισμό των εργασιών τους όσον αφορά τον έλεγχο των διασυνοριακών πράξεων επεξεργασίας, κάτι το οποίο είναι καίριας σημασίας σε ένα περιβάλλον όπως αυτό του υπολογιστικού νέφους.

124.

Αφού έλαβε υπόψη τις ιδιαιτερότητες των υπηρεσιών υπολογιστικού νέφους, ο ΕΕΠΔ εισηγείται περαιτέρω διευκρινίσεις στον προτεινόμενο κανονισμό, όπως:

όσον αφορά το γεωγραφικό πεδίο εφαρμογής του προτεινόμενου κανονισμού, την αντικατάσταση του κειμένου του άρθρου 3 παράγραφος 2 στοιχείο α) με τη φράση «την προσφορά αγαθών ή υπηρεσιών που περιλαμβάνουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα των εν λόγω προσώπων στα οποία αναφέρονται τα δεδομένα στην Ένωση» ή, εναλλακτικά, την προσθήκη νέας αιτιολογικής σκέψης στην οποία θα καθορίζεται ότι στο γεωγραφικό πεδίο εφαρμογής του προτεινόμενου κανονισμού εμπίπτει και η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν πρόσωπα τα οποία διαμένουν στην ΕΕ από υπευθύνους δεδομένων εκτός ΕΕ οι οποίοι παρέχουν υπηρεσίες σε νομικά πρόσωπα εγκατεστημένα εντός ΕΕ

την προσθήκη σαφούς ορισμού της έννοιας της διαβίβασης, όπως αναφέρεται και στη γνωμοδότησή του επί της δέσμης μέτρων για τη μεταρρύθμιση της προστασίας των δεδομένων

την προσθήκη ειδικής διάταξης για την αποσαφήνιση των προϋποθέσεων υπό τις οποίες είναι επιτρεπτή η πρόσβαση των αρχών επιβολής του νόμου από χώρες εκτός ΕΟΧ σε δεδομένα αποθηκευμένα σε υπολογιστικό νέφος. Η διάταξη αυτή μπορεί επίσης να περιλαμβάνει την υποχρέωση του παραλήπτη του αιτήματος να ενημερώνει και να συμβουλεύεται την αρμόδια αρχή ελέγχου στην ΕΕ σε συγκεκριμένες περιπτώσεις.

125.

Ο ΕΕΠΔ επισημαίνει επίσης την ανάγκη παροχής περαιτέρω καθοδήγησης από την Επιτροπή ή/και από τις αρχές ελέγχου (ιδίως από το μελλοντικό Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων) ως προς τα ακόλουθα ζητήματα:

τον προσδιορισμό των μηχανισμών επαλήθευσης που πρέπει να εφαρμοσθούν για τη διασφάλιση της αποτελεσματικότητας των μέτρων προστασίας των δεδομένων στην πράξη

τη συνδρομή προς τους εκτελούντες την επεξεργασία δεδομένων όσον αφορά τη χρήση των δεσμευτικών εταιρικών κανόνων και τη συμμόρφωσή τους προς τις ισχύουσες απαιτήσεις

την υπόδειξη βέλτιστων πρακτικών σε θέματα όπως η ευθύνη των υπευθύνων επεξεργασίας/εκτελούντων την επεξεργασία, η ενδεικνυόμενη διατήρηση δεδομένων σε περιβάλλον υπολογιστικού νέφους, η φορητότητα των δεδομένων και η άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα.

126.

Εξάλλου, ο ΕΕΠΔ αντιλαμβάνεται ότι οι κώδικες δεοντολογίας που καταρτίζονται από τον κλάδο και εγκρίνονται από τις αρμόδιες αρχές ελέγχου μπορούν να αποτελέσουν χρήσιμο εργαλείο για την ενίσχυση της συμμόρφωσης των διαφόρων παραγόντων καθώς και της μεταξύ τους εμπιστοσύνης.

127.

Ο ΕΕΠΔ τάσσεται υπέρ της θέσπισης από την Επιτροπή, σε συνεννόηση με τις αρχές ελέγχου, τυποποιημένων συμβατικών όρων για την παροχή υπηρεσιών υπολογιστικού νέφους σύμφωνα με τις απαιτήσεις για την προστασία των δεδομένων. Ειδικότερα, υποστηρίζει:

τη θέσπιση πρότυπων συμβατικών όρων και προϋποθέσεων που θα προστίθενται στους εμπορικούς όρους για την παροχή υπηρεσιών υπολογιστικού νέφους

τη θέσπιση κοινών όρων και απαιτήσεων σύναψης δημόσιων συμβάσεων, λαμβανομένης υπόψη της ευαισθησίας των δεδομένων που υφίστανται επεξεργασία

την περαιτέρω προσαρμογή των μηχανισμών διεθνών διαβιβάσεων δεδομένων στο περιβάλλον υπολογιστικού νέφους, ιδίως μέσω της επικαιροποίησης των ισχυουσών τυποποιημένων συμβατικών ρητρών και της θέσπισης τυποποιημένων συμβατικών ρητρών για τη διαβίβαση δεδομένων από εκτελούντες την επεξεργασία εντός ΕΕ σε εκτελούντες την επεξεργασία εκτός ΕΕ.

128.

Ο ΕΕΠΔ επισημαίνει ότι κατά τη θέσπιση προτύπων και συστημάτων πιστοποίησης πρέπει να ληφθούν δεόντως υπόψη οι απαιτήσεις για την προστασία των δεδομένων. Πρέπει ειδικότερα:

να τηρηθούν κατά την κατάρτιση των προτύπων οι αρχές της προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό και εξ ορισμού

να ενσωματωθούν στον σχεδιασμό των προτύπων απαιτήσεις για την προστασία των δεδομένων, όπως η αρχή του περιορισμού του σκοπού και του περιορισμού της αποθήκευσης

να θεσπισθεί η υποχρέωση των παρόχων να θέτουν στη διάθεση των πελατών τους τις πληροφορίες που είναι απαραίτητες για τη διενέργεια αξιόπιστων εκτιμήσεων κινδύνου, τα μέτρα ασφάλειας που εφαρμόζουν, καθώς και τις κοινοποιήσεις συμβάντων που αφορούν την ασφάλεια.

129.

Τέλος, ο ΕΕΠΔ επισημαίνει την ανάγκη αντιμετώπισης των προκλήσεων που ανακύπτουν λόγω του υπολογιστικού νέφους σε διεθνές επίπεδο. Παροτρύνει την Επιτροπή να συμμετάσχει σε διεθνή διάλογο σχετικά με τα ζητήματα που εγείρονται στο πλαίσιο του υπολογιστικού νέφους, όπως είναι, μεταξύ άλλων, η δικαιοδοσία και η πρόσβαση των αρχών επιβολής του νόμου, και εισηγείται τη διευθέτηση πολλών εξ αυτών των ζητημάτων στο πλαίσιο διαφόρων διεθνών ή διμερών συμφωνιών, όπως οι συμφωνίες αμοιβαίας συνδρομής και οι εμπορικές συμφωνίες. Φρονεί ότι πρέπει να θεσπιστούν σε παγκόσμιο επίπεδο διεθνή πρότυπα στα οποία θα καθορίζονται ελάχιστες προϋποθέσεις και αρχές όσον αφορά την πρόσβαση των αρχών επιβολής του νόμου σε δεδομένα. Υποστηρίζει επίσης την ανάπτυξη αποτελεσματικών μηχανισμών διεθνούς συνεργασίας από τις αρχές ελέγχου, ιδίως όσον αφορά ζητήματα που άπτονται του υπολογιστικού νέφους.

Βρυξέλλες, 16 Νοεμβρίου 2012.

Peter HUSTINX

Ευρωπαίος Επόπτης Προστασίας Δεδομένων

(1)  COM(2012) 529 final.

(2)  COM(2012) 11 final.

(3)  COM(2010) 245 τελικό.

(4)  http://ec.europa.eu/information_society/activities/cloudcomputing/docs/ccconsultationfinalreport.pdf

(5)  Η ομάδα εργασίας του άρθρου 29 είναι συμβουλευτικό όργανο που συστάθηκε σύμφωνα με το άρθρο 29 της οδηγίας 95/46/ΕΚ. Απαρτίζεται από εκπροσώπους των εθνικών αρχών ελέγχου, από τον ΕΕΠΔ και από έναν εκπρόσωπο της Επιτροπής.

(6)  Η γνώμη 05/2012 της ομάδας εργασίας του άρθρου 29 σχετικά με το υπολογιστικό νέφος διατίθεται στη διεύθυνση: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_el.pdf

(7)  Επιπλέον, σε εθνικό επίπεδο, οι αρχές προστασίας των δεδομένων σε διάφορα κράτη μέλη, όπως στην Ιταλία, στη Σουηδία, στη Δανία, στη Γερμανία, στη Γαλλία και στο Ηνωμένο Βασίλειο, έχουν εκδώσει δικές τους οδηγίες σχετικά με το υπολογιστικό νέφος.

(8)  Ψήφισμα με θέμα το υπολογιστικό νέφος, που εγκρίθηκε κατά τη διάρκεια της 34ης Διεθνούς Διάσκεψης των Επιτρόπων για την Προστασία των Δεδομένων και της Ιδιωτικής Ζωής, Ουρουγουάη, 26 Οκτωβρίου 2012.

(9)  Βλ. σελίδα 8 της ανακοίνωσης, ενότητα με θέμα τις «Δράσεις του Ψηφιακού θεματολογίου για την οικοδόμηση ψηφιακής εμπιστοσύνης».

(10)  Ο όρος «πελάτες υπηρεσιών υπολογιστικού νέφους» στην παρούσα γνωμοδότηση αναφέρεται γενικά στις επιχειρήσεις που ενεργούν ως πελάτες και στους τελικούς χρήστες που ενεργούν μεμονωμένα ως καταναλωτές.

(11)  Επισημαίνεται ότι η πρόταση κανονισμού ήδη αποτελεί αντικείμενο εξέτασης από το Συμβούλιο και το Ευρωπαϊκό Κοινοβούλιο στο πλαίσιο της τακτικής νομοθετικής διαδικασίας.

(12)  Η γνωμοδότηση διατίθεται στον δικτυακό τόπο http://www.edps.europa.eu

(13)  Βλ. γνωμοδότηση του ΕΕΠΔ, ιδίως τις παραγράφους 140 έως 158.