ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ

Βρυξέλλες, 25.7.2024

COM(2024) 357 final

ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ

Δεύτερη έκθεση για την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων

1Εισαγωγή

Η παρούσα έκθεση είναι η δεύτερη έκθεση της Επιτροπής για την εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ), που εκδόθηκε σύμφωνα με το άρθρο 97 του ΓΚΠΔ. Η πρώτη έκθεση εκδόθηκε στις 24 Ιουνίου 2020 (στο εξής: έκθεση του 2020) ( 1 ).

Ο ΓΚΠΔ αποτελεί έναν από τους ακρογωνιαίους λίθους της προσέγγισης της ΕΕ για τον ψηφιακό μετασχηματισμό. Οι βασικές αρχές του —δίκαιη, ασφαλής και διαφανής επεξεργασία δεδομένων προσωπικού χαρακτήρα και ταυτόχρονη διασφάλιση ότι τα φυσικά πρόσωπα διατηρούν τον έλεγχο των δεδομένων τους— αποτελούν τη βάση όλων των πολιτικών της ΕΕ που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Αφότου δημοσιεύτηκε η έκθεση του 2020, η ΕΕ έχει αναλάβει μια σειρά πρωτοβουλιών που έχουν ως στόχο να θέσουν τα φυσικά πρόσωπα στο επίκεντρο της ψηφιακής μετάβασης. Κάθε πρωτοβουλία αποσκοπεί στην επίτευξη συγκεκριμένου στόχου, όπως η δημιουργία ασφαλέστερου περιβάλλοντος στο διαδίκτυο, η οικοδόμηση πιο δίκαιης και ανταγωνιστικής ψηφιακής οικονομίας, η διευκόλυνση της πρωτοποριακής έρευνας, η κατοχύρωση της ανάπτυξης ασφαλούς και αξιόπιστης τεχνητής νοημοσύνης (ΤΝ) και η δημιουργία μιας πραγματικής ενιαίας αγοράς δεδομένων. Όταν πρόκειται για δεδομένα προσωπικού χαρακτήρα, οι πρωτοβουλίες αυτές βασίζονται στον ΓΚΠΔ. Ο ΓΚΠΔ παρέχει επίσης τη βάση για τομεακές πρωτοβουλίες που έχουν αντίκτυπο στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, π.χ. στους τομείς των χρηματοπιστωτικών υπηρεσιών, της υγείας, της απασχόλησης, της κινητικότητας και της επιβολής του νόμου.

Υπάρχει ευρεία συναίνεση μεταξύ των ενδιαφερόμενων μερών, των αρχών προστασίας δεδομένων και των κρατών μελών ως προς τη διαπίστωση ότι, παρά την ύπαρξη ορισμένων προκλήσεων, ο ΓΚΠΔ έχει αποφέρει σημαντικά αποτελέσματα για τα φυσικά πρόσωπα και τις επιχειρήσεις. Η τεχνολογικά ουδέτερη προσέγγιση βάσει κινδύνου διασφαλίζει ισχυρή προστασία για τα υποκείμενα των δεδομένων και αναλογικές υποχρεώσεις για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Ταυτόχρονα, θα πρέπει να σημειωθεί περαιτέρω πρόοδος σε ορισμένους τομείς. Ειδικότερα, κατά τα επόμενα έτη θα πρέπει να δοθεί έμφαση στη στήριξη των προσπαθειών συμμόρφωσης που καταβάλλουν τα ενδιαφερόμενα μέρη —ιδίως οι μικρές και μεσαίες επιχειρήσεις (ΜΜΕ), οι μικροί φορείς εκμετάλλευσης και οι ερευνητές, καθώς και οι ερευνητικοί οργανισμοί— ως προς την παροχή σαφέστερης και πιο εφαρμόσιμης καθοδήγησης από τις αρχές προστασίας δεδομένων και στην επίτευξη συνεκτικότερης ερμηνείας και επιβολής του ΓΚΠΔ σε ολόκληρη την ΕΕ.

Σύμφωνα με το άρθρο 97 του ΓΚΠΔ, η Επιτροπή θα πρέπει να εξετάζει, ειδικότερα, την εφαρμογή και τη λειτουργία της διεθνούς μεταφοράς δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες (δηλαδή χώρες εκτός ΕΕ/ΕΟΧ) (κεφάλαιο V του ΓΚΠΔ) και των μηχανισμών συνεργασίας και συνεκτικότητας μεταξύ των εθνικών αρχών προστασίας δεδομένων (κεφάλαιο VII του ΓΚΠΔ). Ωστόσο, όπως και η έκθεση του 2020, η παρούσα έκθεση παρέχει γενικότερη αξιολόγηση της εφαρμογής του ΓΚΠΔ, η οποία βαίνει πέραν αυτών των δύο στοιχείων: προσδιορίζει επίσης μια σειρά δράσεων που είναι αναγκαίες για τη στήριξη της αποτελεσματικής εφαρμογής του ΓΚΠΔ σε βασικούς τομείς προτεραιότητας.

Η παρούσα έκθεση λαμβάνει υπόψη τις ακόλουθες πηγές: i) τη θέση και τα πορίσματα του Συμβουλίου που εγκρίθηκαν τον Δεκέμβριο του 2023 ( 2 )· ii) τις παρατηρήσεις που συγκεντρώθηκαν από ενδιαφερόμενα μέρη, ιδίως μέσω της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ ( 3 ) και στο πλαίσιο δημόσιας διαδικασίας συγκέντρωσης αποδεικτικών στοιχείων ( 4 )· και iii) τις παρατηρήσεις από τις αρχές προστασίας δεδομένων (με τη συμβολή του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων ( 5 ) (στο εξής: Συμβούλιο Προστασίας Δεδομένων) και την έκθεση που συνέταξε ο Οργανισμός Θεμελιωδών Δικαιωμάτων (FRA) βάσει συνεντεύξεων που πραγματοποιήθηκαν με επιμέρους αρχές προστασίας δεδομένων ( 6 ) (στο εξής: έκθεση του FRA). Η έκθεση βασίζεται επίσης στην τρέχουσα παρακολούθηση της εφαρμογής του ΓΚΠΔ από την Επιτροπή, η οποία συμπεριλαμβάνει διμερείς διαλόγους με τα κράτη μέλη σχετικά με τη συμμόρφωση της εθνικής νομοθεσίας, την ενεργό συνεισφορά στις εργασίες του Συμβουλίου Προστασίας Δεδομένων, καθώς και στενές επαφές με ευρύ φάσμα ενδιαφερόμενων μερών σχετικά με την πρακτική εφαρμογή του κανονισμού.

2Επιβολή του ΓΚΠΔ και η λειτουργία των μηχανισμών συνεργασίας και συνεκτικότητας 

Το σύστημα επιβολής του ΓΚΠΔ, που λειτουργεί ως μηχανισμός μίας στάσης, αποσκοπεί στη διασφάλιση της εναρμονισμένης ερμηνείας και επιβολής του από τις ανεξάρτητες αρχές προστασίας δεδομένων. Για τον σκοπό αυτό, απαιτείται συνεργασία μεταξύ των αρχών προστασίας δεδομένων σε περιπτώσεις διασυνοριακής επεξεργασίας, όταν τα υποκείμενα των δεδομένων σε πολλά κράτη μέλη επηρεάζονται ουσιωδώς. Οι διαφορές μεταξύ αρχών επιλύονται από το Συμβούλιο Προστασίας Δεδομένων στο πλαίσιο του μηχανισμού συνεκτικότητας του ΓΚΠΔ.

2.1Βελτίωση της αποδοτικότητας του χειρισμού διασυνοριακών υποθέσεων: η πρόταση για τους διαδικαστικούς κανόνες

Στην έκθεση του 2020 επισημάνθηκε η ανάγκη για τη βελτίωση της αποδοτικότητας και της εναρμόνισης του χειρισμού διασυνοριακών υποθέσεων σε ολόκληρη την ΕΕ, ιδίως υπό το πρίσμα των σημαντικών διαφορών στις εθνικές διοικητικές διαδικασίες και ερμηνείες των εννοιών του μηχανισμού συνεργασίας του ΓΚΠΔ. Ως εκ τούτου, τον Ιούλιο του 2023 η Επιτροπή εξέδωσε πρόταση κανονισμού για τους διαδικαστικούς κανόνες ( 7 ), βασιζόμενη επίσης σε κατάλογο θεμάτων που υπέβαλε το Συμβούλιο Προστασίας Δεδομένων στην Επιτροπή τον Οκτώβριο του 2022 ( 8 ) και στις παρατηρήσεις των ενδιαφερόμενων μερών ( 9 ) και των κρατών μελών ( 10 ). Η πρόταση συμπληρώνει τον ΓΚΠΔ με τη θέσπιση λεπτομερών κανόνων σχετικά με τις διασυνοριακές καταγγελίες, τη συμμετοχή του καταγγέλλοντος, τα δικαιώματα τήρησης της προσήκουσας διαδικασίας των ερευνώμενων μερών (υπεύθυνοι επεξεργασίας και εκτελούντες την επεξεργασία) και τη συνεργασία μεταξύ των αρχών προστασίας δεδομένων. Η εναρμόνιση αυτών των διαδικαστικών πτυχών θα στηρίξει την έγκαιρη ολοκλήρωση των ερευνών και την ταχεία παροχή έννομης προστασίας στα φυσικά πρόσωπα. Η πρόταση βρίσκεται επί του παρόντος στο στάδιο των διαπραγματεύσεων μεταξύ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου.

2.2Αυξημένη συνεργασία μεταξύ των αρχών προστασίας δεδομένων και χρήση του μηχανισμού συνεκτικότητας

Ο αριθμός των διασυνοριακών υποθέσεων έχει αυξηθεί σημαντικά κατά τα τελευταία έτη. Οι αρχές προστασίας δεδομένων έχουν επιδείξει αυξημένη προθυμία να χρησιμοποιήσουν τα εργαλεία συνεργασίας που προβλέπει ο ΓΚΠΔ. Όλες οι αρχές προστασίας δεδομένων έκαναν χρήση του εργαλείου αμοιβαίας συνδρομής ( 11 ), καθώς και «ανεπίσημων» αιτημάτων αμοιβαίας συνδρομής σε εθελοντική βάση. Οι αρχές προστασίας δεδομένων τάσσονται υπέρ της υποβολής ανεπίσημων αιτημάτων, τα οποία δεν επιβάλλουν προθεσμία ή αυστηρή υποχρέωση απάντησης. Μολονότι το Συμβούλιο Προστασίας Δεδομένων εξέδωσε το 2021 κατευθυντήριες γραμμές σχετικά με τις κοινές επιχειρήσεις ( 12 ), οι αρχές δεν έχουν κάνει ακόμη χρήση του εν λόγω εργαλείου σε σημαντικό βαθμό ( 13 ) και αναφέρουν τις διαφορές στις εθνικές διαδικασίες και την έλλειψη σαφήνειας σχετικά με τη διαδικασία ως κύριους λόγους για την περιορισμένη χρήση του.

Ο ΓΚΠΔ παρέχει στις οικείες αρχές προστασίας δεδομένων τη δυνατότητα να προβάλουν σχετική και αιτιολογημένη ένσταση σε περίπτωση διαφωνίας με σχέδιο απόφασης της επικεφαλής αρχής προστασίας δεδομένων στο πλαίσιο διασυνοριακής υπόθεσης. Όταν οι αρχές προστασίας δεδομένων δεν μπορούν να καταλήξουν σε συναίνεση ως προς μια σχετική και αιτιολογημένη ένσταση, ο ΓΚΠΔ προβλέπει την επίλυση της διαφοράς από το Συμβούλιο Προστασίας Δεδομένων ( 14 ). Τα θέματα που αποτελούσαν συχνότερα αντικείμενο σχετικών και αιτιολογημένων ενστάσεων ήταν τα εξής: i) η νομική βάση για την επεξεργασία· ii) οι υποχρεώσεις ενημέρωσης και διαφάνειας· iii) η γνωστοποίηση παραβιάσεων δεδομένων· iv) τα δικαιώματα των υποκειμένων των δεδομένων· v) παρεκκλίσεις σε περίπτωση διεθνών διαβιβάσεων· vi) η χρήση διορθωτικών μέτρων· και vii) το ποσό του διοικητικού προστίμου.

Το σύστημα επιβολής του ΓΚΠΔ βασίζεται στην παραδοχή της καλόπιστης και αποτελεσματικής συνεργασίας μεταξύ των αρχών προστασίας δεδομένων. Μολονότι η διαδικασία επίλυσης διαφορών διαδραματίζει σημαντικό ρόλο στην εν λόγω αρχιτεκτονική επιβολής, θα πρέπει να χρησιμοποιείται σύμφωνα με το πνεύμα με το οποίο σχεδιάστηκε, δηλαδή λαμβανομένων δεόντως υπόψη της κατανομής αρμοδιοτήτων μεταξύ των αρχών προστασίας δεδομένων, της ανάγκης σεβασμού των δικαιωμάτων τήρησης της προσήκουσας διαδικασίας, καθώς και του συμφέροντος που έχουν τα υποκείμενα των δεδομένων για την έγκαιρη επίλυση της υπόθεσης. Κάθε διαδικασία επίλυσης διαφορών απαιτεί σημαντικούς πόρους από μέρους της επικεφαλής αρχής, των οικείων αρχών και της γραμματείας του Συμβουλίου Προστασίας Δεδομένων και καθυστερεί την παροχή έννομης προστασίας στα υποκείμενα των δεδομένων.

Αυξημένη χρήση των εργαλείων συνεργασίας από τις αρχές προστασίας δεδομένων ·Στο σύστημα ανταλλαγής πληροφοριών του Συμβουλίου Προστασίας Δεδομένων έχουν καταχωριστεί σχεδόν 2 400 υποθέσεις ( 15 ).  ·Οι επικεφαλής αρχές προστασίας δεδομένων έχουν εκδώσει περίπου 1 500 σχέδια αποφάσεων ( 16 ), εκ των οποίων τα 990 κατέληξαν σε τελικές αποφάσεις που διαπίστωσαν παράβαση του ΓΚΠΔ ( 17 ). ·Οι αρχές προστασίας δεδομένων υπέβαλαν σχεδόν 1 000 «επίσημα» αιτήματα αμοιβαίας συνδρομής ( 18 ) και περίπου 12 300 «ανεπίσημα» αιτήματα ( 19 ). ·Έχουν ξεκινήσει πέντε κοινές επιχειρήσεις, με τη συμμετοχή αρχών προστασίας δεδομένων από επτά κράτη μέλη. ·Οι αρχές προστασίας δεδομένων από 18 κράτη μέλη προέβαλαν σχετικές και αιτιολογημένες ενστάσεις ( 20 ).

Ο μηχανισμός συνεκτικότητας του ΓΚΠΔ χρησιμοποιείται ολοένα και περισσότερο από τις αρχές προστασίας δεδομένων. Αποτελείται από τρεις συνιστώσες: i) τις γνώμες του Συμβουλίου Προστασίας Δεδομένων· ii) την επίλυση διαφορών από το Συμβούλιο Προστασίας Δεδομένων· και iii) την επείγουσα διαδικασία ( 21 ).

Το Συμβούλιο Προστασίας Δεδομένων εξετάζει ολοένα και περισσότερο στις γνώμες του σημαντικά ζητήματα γενικής εφαρμογής ( 22 ). Το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να εξασφαλίζει τη διεξαγωγή έγκαιρης και ουσιαστικής διαβούλευσης πριν από την έκδοση των εν λόγω γνωμών. Οι υποθέσεις που υποβλήθηκαν για επίλυση διαφορών αφορούσαν ζητήματα όπως η νομική βάση για την επεξεργασία δεδομένων για σκοπούς συμπεριφορικής διαφήμισης στα μέσα κοινωνικής δικτύωσης και η επεξεργασία δεδομένων των παιδιών στο διαδίκτυο. Οι περισσότερες από τις δεσμευτικές αποφάσεις που προέκυψαν προσβλήθηκαν ενώπιον του Γενικού Δικαστηρίου.

Η διαφάνεια στη διαδικασία λήψης αποφάσεων του Συμβουλίου Προστασίας Δεδομένων είναι καίριας σημασίας για τη διασφάλιση του σεβασμού του δικαιώματος χρηστής διοίκησης σύμφωνα με τον Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ. Η επείγουσα διαδικασία του ΓΚΠΔ επιτρέπει στις αρχές προστασίας δεδομένων να παρεκκλίνουν από τον μηχανισμό συνεργασίας και συνεκτικότητας για τη λήψη επειγόντων μέτρων, όταν αυτό κρίνεται αναγκαίο για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων. Κατά παρέκκλιση από την κανονική διαδικασία συνεργασίας βάσει του ΓΚΠΔ, εργαλεία όπως η επείγουσα διαδικασία είναι σχεδιασμένα για να χρησιμοποιούνται μόνο σε εξαιρετικές περιπτώσεις και όταν η κανονική διαδικασία συνεργασίας δεν μπορεί να προστατεύσει τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

Ο μηχανισμός συνεκτικότητας ·Το Συμβούλιο Προστασίας Δεδομένων έχει εκδώσει 190 γνώμες συνεκτικότητας. ·Στο πλαίσιο της επίλυσης διαφορών έχουν εκδοθεί εννέα δεσμευτικές αποφάσεις ( 23 ). Όλες τους υπέδειξαν στην επικεφαλής αρχή προστασίας δεδομένων να τροποποιήσει το σχέδιο απόφασής της και αρκετές απ’ αυτές οδήγησαν στην επιβολή σημαντικών προστίμων. ·Πέντε αρχές προστασίας δεδομένων έχουν λάβει προσωρινά μέτρα στο πλαίσιο της επείγουσας διαδικασίας (Γερμανία, Ισπανία, Ιταλία, Νορβηγία και Φινλανδία). ·Δύο αρχές προστασίας δεδομένων ζήτησαν την έκδοση επείγουσας δεσμευτικής απόφασης από το Συμβούλιο Προστασίας Δεδομένων ( 24 ), το οποίο διέταξε τη λήψη επειγόντων οριστικών μέτρων σε μία υπόθεση.

2.3Αυστηρότερη επιβολή

Τα τελευταία έτη διαπιστώνεται σημαντική αύξηση της δραστηριότητας επιβολής από τις αρχές προστασίας δεδομένων, συμπεριλαμβανομένης της επιβολής σημαντικών προστίμων σε εμβληματικές υποθέσεις κατά μεγάλων πολυεθνικών εταιρειών τεχνολογίας. Για παράδειγμα, επιβλήθηκαν πρόστιμα για: i) την παράβαση της νομιμότητας και της ασφάλειας επεξεργασίας· ii) την παράβαση της επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα· και iii) τη μη συμμόρφωση με τα δικαιώματα των φυσικών προσώπων ( 25 ). Αυτό ανάγκασε τις ιδιωτικές εταιρείες να «λάβουν σοβαρά υπόψη την προστασία των δεδομένων» ( 26 ) και συνέβαλε στην εδραίωση μιας νοοτροπίας συμμόρφωσης στους οργανισμούς. Οι αρχές προστασίας δεδομένων εκδίδουν αποφάσεις με τις οποίες διαπιστώνονται παραβάσεις του ΓΚΠΔ σε υποθέσεις που ξεκίνησαν είτε βάσει καταγγελιών είτε αυτεπαγγέλτως. Παρότι οι διαδικασίες «φιλικού διακανονισμού» δεν είναι διαθέσιμες σε όλα τα κράτη μέλη, πολλές αρχές προστασίας δεδομένων τις έχουν χρησιμοποιήσει αποτελεσματικά για την ταχεία επίλυση υποθέσεων που βασίζονται σε καταγγελίες κατά τρόπο ικανοποιητικό για τον καταγγέλλοντα. Η πρόταση για τους διαδικαστικούς κανόνες αναγνωρίζει τη δυνατότητα επίλυσης των καταγγελιών μέσω φιλικού διακανονισμού ( 27 ).

Οι αρχές προστασίας δεδομένων έχουν χρησιμοποιήσει ευρέως τις διορθωτικές εξουσίες τους, παρότι ο αριθμός των διορθωτικών μέτρων που επιβλήθηκαν ποικίλλει σημαντικά από αρχή σε αρχή. Εκτός από τα πρόστιμα, τα διορθωτικά μέτρα που χρησιμοποιήθηκαν ευρύτερα ήταν οι προειδοποιήσεις, οι επιπλήξεις και οι εντολές συμμόρφωσης προς τον ΓΚΠΔ. Οι αποφάσεις με τις οποίες διαπιστώνονται παραβάσεις του ΓΚΠΔ προσβάλλονται συχνά ενώπιον των εθνικών δικαστηρίων από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, συνήθως για διαδικαστικούς λόγους ( 28 ).

Αυστηρότερη επιβολή ·Οι αρχές προστασίας δεδομένων έχουν κινήσει πάνω από 20 000 αυτεπάγγελτες έρευνες ( 29 ). ·Λαμβάνουν από κοινού πάνω από 100 000 καταγγελίες ετησίως ( 30 ). ·Ο μέσος χρόνος για τον χειρισμό καταγγελιών από τις αρχές προστασίας δεδομένων (από την παραλαβή έως την περάτωση της υπόθεσης) κυμαίνεται από 1 έως 12 μήνες, ενώ ανέρχεται σε 3 μήνες ή λιγότερο σε πέντε κράτη μέλη [Δανία (1 μήνας), Ισπανία (1,5 μήνες), Εσθονία (3 μήνες), Ελλάδα (3 μήνες) και Ιρλανδία (3 μήνες)]. ·Πάνω από 20 000 καταγγελίες επιλύθηκαν μέσω φιλικού διακανονισμού. Ο εν λόγω μηχανισμός χρησιμοποιείται συχνότερα στην Αυστρία, την Ουγγαρία, το Λουξεμβούργο και την Ιρλανδία. ·Το 2022 οι αρχές προστασίας δεδομένων στη Γερμανία εξέδωσαν τον μεγαλύτερο αριθμό αποφάσεων για την επιβολή διορθωτικού μέτρου (3 261), με επόμενες κατά σειρά τις αρχές της Ισπανίας (774), της Λιθουανίας (308) και της Εσθονίας (332). Ο μικρότερος αριθμός διορθωτικών μέτρων επιβλήθηκε στο Λιχτενστάιν (8), την Τσεχία (8), την Ισλανδία (10), τις Κάτω Χώρες (17) και το Λουξεμβούργο (22). ·Οι αρχές προστασίας δεδομένων έχουν επιβάλει περισσότερα από 6 680πρόστιμα ύψους περίπου 4,2 δισ. EUR ( 31 ). Η αρχή στην Ιρλανδία επέβαλε το υψηλότερο συνολικό ποσό προστίμων (2,8 δισ. EUR), με επόμενες κατά σειρά τις αρχές του Λουξεμβούργου (746 εκατ. EUR), της Ιταλίας (197 εκατ. EUR) και της Γαλλίας (131 εκατ. EUR). Το Λιχτενστάιν (9 600 EUR), η Εσθονία (201 000 EUR) και η Λιθουανία (435 000 EUR) έχουν επιβάλει το χαμηλότερο ποσό προστίμων.

Παρότι οι περισσότερες αρχές προστασίας δεδομένων θεωρούν επαρκή τα ερευνητικά εργαλεία τους, ορισμένες χρειάζονται πρόσθετα εργαλεία σε εθνικό επίπεδο, όπως κατάλληλες κυρώσεις όταν οι υπεύθυνοι επεξεργασίας δεν συνεργάζονται ή δεν παρέχουν τις απαραίτητες πληροφορίες ( 32 ). Οι αρχές προστασίας δεδομένων θεωρούν ότι οι ανεπαρκείς πόροι και οι ελλείψεις όσον αφορά την τεχνική και νομική εμπειρογνωσία αποτελούν τον κύριο παράγοντα που επηρεάζει την ικανότητά τους να επιβάλουν τον κανονισμό ( 33 ).

2.4Το Συμβούλιο Προστασίας Δεδομένων

Το Συμβούλιο Προστασίας Δεδομένων απαρτίζεται από τον επικεφαλής μιας αρχής προστασίας δεδομένων κάθε κράτους μέλους και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, ενώ συμμετέχει και η Επιτροπή χωρίς δικαίωμα ψήφου. Το Συμβούλιο Προστασίας Δεδομένων, το οποίο επικουρείται στο έργο του από τη γραμματεία του, είναι επιφορτισμένο με το καθήκον διασφάλισης της συνεκτικής εφαρμογής του ΓΚΠΔ ( 34 ). Οι περισσότερες αρχές προστασίας δεδομένων θεωρούν ότι το Συμβούλιο Προστασίας Δεδομένων έχει διαδραματίσει θετικό ρόλο στην ενίσχυση της μεταξύ τους συνεργασίας ( 35 ). Πολλές αρχές προστασίας δεδομένων διαθέτουν σημαντικούς πόρους για τις δραστηριότητες του Συμβουλίου Προστασίας Δεδομένων, παρότι οι μικρότερες αρχές αναφέρουν ότι λόγω του μεγέθους τους δεν έχουν τη δυνατότητα να συμμετάσχουν πλήρως ( 36 ). Ορισμένες αρχές θεωρούν ότι θα πρέπει να βελτιωθεί η αποτελεσματικότητα των διαδικασιών του Συμβουλίου Προστασίας Δεδομένων, ιδίως με τη μείωση του αριθμού των συνεδριάσεων και την απόδοση μικρότερης βαρύτητας σε ζητήματα ήσσονος σημασίας ( 37 ). Ανάλογα με την έκβαση των διαπραγματεύσεων όσον αφορά την πρόταση για τους διαδικαστικούς κανόνες του ΓΚΠΔ, η οποία αποσκοπεί στη μείωση του αριθμού των υποθέσεων που υποβάλλονται στο Συμβούλιο Προστασίας Δεδομένων για την επίλυση διαφορών, ενδέχεται να χρειαστεί να εξεταστεί αν το Συμβούλιο Προστασίας Δεδομένων χρειάζεται πρόσθετους πόρους.

Σύμφωνα με στοιχεία του Νοεμβρίου 2023, το Συμβούλιο Προστασίας Δεδομένων είχε εκδώσει 35 κατευθυντήριες γραμμές. Τόσο τα ενδιαφερόμενα μέρη όσο και οι αρχές προστασίας δεδομένων θεωρούν μεν χρήσιμες τις κατευθυντήριες γραμμές, αλλά είναι της άποψης ότι θα πρέπει να εκδίδονται ταχύτερα και ότι θα πρέπει να βελτιωθεί η ποιότητά τους ( 38 ). Τα ενδιαφερόμενα μέρη επισημαίνουν ότι οι κατευθυντήριες γραμμές είναι συχνά υπερβολικά θεωρητικές και μακροσκελείς και δεν αποτυπώνουν την προσέγγιση βάσει κινδύνου του ΓΚΠΔ ( 39 ). Οι αρχές προστασίας δεδομένων και το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να παρέχουν περιεκτικές και πρακτικές κατευθυντήριες γραμμές, οι οποίες δίνουν απαντήσεις σε συγκεκριμένα προβλήματα και διασφαλίζουν την ισορροπία μεταξύ της προστασίας των δεδομένων και άλλων θεμελιωδών δικαιωμάτων. Οι κατευθυντήριες γραμμές θα πρέπει επίσης να είναι εύληπτες για τα άτομα που δεν διαθέτουν νομική κατάρτιση, π.χ. για άτομα που δραστηριοποιούνται σε ΜΜΕ και εθελοντικές οργανώσεις ( 40 ). Ένας τρόπος για να επιτευχθεί ο στόχος αυτός είναι να ενισχυθεί η διαφάνεια κατά την κατάρτιση των κατευθυντήριων γραμμών και να διεξάγεται διαβούλευση σε πρώιμο στάδιο, ώστε να είναι δυνατή η καλύτερη κατανόηση της δυναμικής της αγοράς, των επιχειρηματικών πρακτικών και του τρόπου εφαρμογής των κατευθυντήριων γραμμών στην πράξη ( 41 ). Είναι ευπρόσδεκτο το γεγονός ότι το Συμβούλιο Προστασίας Δεδομένων, στο πλαίσιο της στρατηγικής του για την περίοδο 2024-2027, επισήμανε τον στόχο του να παρέχει πρακτική καθοδήγηση που είναι προσβάσιμη στο σχετικό κοινό ( 42 ).

Τα ενδιαφερόμενα μέρη υπογραμμίζουν την ανάγκη για πρόσθετες κατευθυντήριες γραμμές, ιδίως όσον αφορά την ανωνυμοποίηση και την ψευδωνυμοποίηση ( 43 ), το έννομο συμφέρον και την επιστημονική έρευνα ( 44 ). Στην έκθεση του 2020, η Επιτροπή ζήτησε από το Συμβούλιο Προστασίας Δεδομένων να εκδώσει κατευθυντήριες γραμμές για την επιστημονική έρευνα, οι οποίες όμως δεν έχουν εκδοθεί ακόμη. Δεδομένης της αναγνωρισμένης σημασίας της επιστημονικής έρευνας στην κοινωνία, ιδίως για την παρακολούθηση των ασθενειών και την ανάπτυξη θεραπειών, καθώς και για την προώθηση της καινοτομίας, είναι σημαντικό οι αρχές προστασίας δεδομένων να προβούν στην αποσαφήνιση των ζητημάτων αυτών χωρίς περαιτέρω καθυστέρηση ( 45 ). Εξίσου ωφέλιμη θα ήταν για τις δημόσιες αρχές και η παροχή καθοδήγησης για την αντιμετώπιση των ιδιαίτερων προκλήσεων που αντιμετωπίζουν ( 46 ).

2.5Αρχές προστασίας δεδομένων

2.5.1Ανεξαρτησία και πόροι

Η ανεξαρτησία των αρχών προστασίας δεδομένων κατοχυρώνεται στον Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ και στη Συνθήκη για τη λειτουργία της ΕΕ. Ο ΓΚΠΔ θεσπίζει απαιτήσεις για τη διασφάλιση της «πλήρους ανεξαρτησίας» των αρχών προστασίας δεδομένων ( 47 ). Στην έκθεση του FRA διαπιστώθηκε ότι οι περισσότερες αρχές προστασίας δεδομένων λειτουργούν ανεξάρτητα από την κυβέρνηση, το κοινοβούλιο ή άλλους δημόσιους φορείς ( 48 ).

Οι αρχές προστασίας δεδομένων χρειάζονται επαρκείς ανθρώπινους, τεχνικούς και οικονομικούς πόρους ώστε να έχουν τη δυνατότητα να εκτελούν με αποτελεσματικό και ανεξάρτητο τρόπο τα καθήκοντά τους δυνάμει του ΓΚΠΔ. Στην έκθεση του 2020, η Επιτροπή επισήμανε ότι η διάθεση πόρων στις αρχές προστασίας δεδομένων εξακολουθούσε να μην είναι ικανοποιητική, ενώ έχει θέσει επανειλημμένα το ζήτημα αυτό στα κράτη μέλη. Έκτοτε, η κατάσταση έχει βελτιωθεί.

Αυξημένοι πόροι για τις αρχές προστασίας δεδομένων ( 49 ) ·Μεταξύ των ετών 2020 και 2024 όλες οι αρχές προστασίας δεδομένων πλην δύο επωφελήθηκαν από αύξηση προσωπικού, η οποία υπερέβη το 25 % σε 14 κράτη μέλη. ·Η αρχή προστασίας δεδομένων στην Ιρλανδία κατέγραψε τη μεγαλύτερη αύξηση προσωπικού (79 %), με επόμενες κατά σειρά τις αρχές στην Εσθονία, τη Σουηδία (57 % και για τις δύο) και τη Βουλγαρία (56 %). ·Καταγράφηκε μικρή μείωση του προσωπικού της αρχής στην Τσεχία (– 1 %), ενώ δεν διαπιστώθηκε αύξηση στο Λιχτενστάιν· μικρές αυξήσεις καταγράφηκαν στην Κύπρο (4 %) και την Ουγγαρία (8 %). ·Μεταξύ των ετών 2020 και 2024 όλες οι αρχές προστασίας δεδομένων παρουσίασαν αύξηση του προϋπολογισμού, και η οποία υπερέβη το 50 % σε 13 κράτη μέλη. ·Η αρχή προστασίας δεδομένων στην Κύπρο κατέγραψε τη μεγαλύτερη αύξηση του προϋπολογισμού (130 %), με επόμενες κατά σειρά τις αρχές στην Αυστρία (107 %), τη Βουλγαρία (100 %) και την Εσθονία (97 %). ·Ο προϋπολογισμός της ελληνικής αρχής προστασίας δεδομένων μειώθηκε κατά 15 %, ενώ καταγράφηκαν μικρές αυξήσεις του προϋπολογισμού για τις αρχές του Λιχτενστάιν (1 %), της Σλοβακίας (6 %) και της Τσεχίας (8 %).

Παρότι τα εν λόγω στατιστικά στοιχεία καταδεικνύουν μια γενική ανοδική τάση όσον αφορά τους πόρους των αρχών προστασίας δεδομένων, οι ίδιες οι αρχές θεωρούν ότι εξακολουθούν να μην διαθέτουν επαρκείς ανθρώπινους πόρους ( 50 ). Τονίζουν ότι είναι αναγκαίες πολύ εξειδικευμένες τεχνικές γνώσεις, ιδίως όσον αφορά τις νέες και αναδυόμενες τεχνολογίες ( 51 ), η έλλειψη των οποίων επηρεάζει την ποσότητα και την ποιότητα των εργασιών τους, καθώς και ότι δυσκολεύονται να ανταγωνιστούν τον ιδιωτικό τομέα κατά την αναζήτηση ανθρώπινου δυναμικού. Οι αρχές προστασίας δεδομένων αναφέρουν την ανεπάρκεια νομικών γνώσεων και την έλλειψη γλωσσικών δεξιοτήτων ως παράγοντες που επηρεάζουν τις επιδόσεις τους. Οι χαμηλές αποδοχές, η αδυναμία αυτόνομης επιλογής προσωπικού και ο μεγάλος φόρτος εργασίας επισημαίνονται ως οι βασικοί παράγοντες που επηρεάζουν την ικανότητα των αρχών να προσλαμβάνουν και να διατηρούν προσωπικό ( 52 ). Οι αρχές προστασίας δεδομένων υπογραμμίζουν επίσης την ανάγκη τους για οικονομικούς πόρους προκειμένου να εκσυγχρονίσουν και να ψηφιοποιήσουν τις διαδικασίες τους και να αποκτήσουν τεχνικό εξοπλισμό ( 53 ). Όλες οι αρχές προστασίας δεδομένων εκτελούν καθήκοντα πέραν εκείνων που τους έχουν ανατεθεί δυνάμει του ΓΚΠΔ ( 54 ), π.χ. λειτουργούν ως εποπτικές αρχές σύμφωνα με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου και την οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, ενώ πολλές εκφράζουν την ανησυχία τους για την ανάθεση πρόσθετων αρμοδιοτήτων στο πλαίσιο της νέας νομοθεσίας για τις ψηφιακές τεχνολογίες ( 55 ).

2.5.2Δυσκολίες στον χειρισμό μεγάλου αριθμού καταγγελιών

Αρκετές αρχές προστασίας δεδομένων αναφέρουν ότι υπερβολικά μεγάλο μέρος των πόρων τους χρησιμοποιείται για τον χειρισμό μεγάλου αριθμού καταγγελιών, τις περισσότερες εκ των οποίων θεωρούν ασήμαντες και αβάσιμες, δεδομένου ότι ο χειρισμός κάθε υπόθεσης συνιστά υποχρέωση βάσει του ΓΚΠΔ που υπόκειται σε δικαστικό έλεγχο ( 56 ). Αυτό σημαίνει ότι οι αρχές προστασίας δεδομένων δεν μπορούν να διαθέσουν επαρκείς πόρους σε άλλες δραστηριότητες, όπως αυτεπάγγελτες έρευνες, εκστρατείες ευαισθητοποίησης του κοινού και συνεργασία με τους υπευθύνους επεξεργασίας ( 57 ). Ως δημόσιες αρχές, οι αρχές προστασίας δεδομένων έχουν τη διακριτική ευχέρεια να κατανέμουν τους πόρους τους κατά την κρίση τους προκειμένου να εκπληρώσουν καθένα από τα καθήκοντά τους (όπως απαριθμούνται στο άρθρο 57 παράγραφος 1 του ΓΚΠΔ) που εκτελούνται προς το δημόσιο συμφέρον. Πολλές αρχές προστασίας δεδομένων έχουν υιοθετήσει στρατηγικές που αποσκοπούν στην αύξηση της αποδοτικότητας του χειρισμού καταγγελιών, όπως η αυτοματοποίηση ( 58 ), η χρήση διαδικασιών φιλικού διακανονισμού ( 59 ) και η «ομαδοποίηση» καταγγελιών που αφορούν παρόμοια ζητήματα ( 60 ).

2.5.3Ερμηνεία του ΓΚΠΔ από τις εθνικές αρχές προστασίας δεδομένων

Ένας από τους κεντρικούς στόχους του ΓΚΠΔ ήταν να εξαλειφθεί η κατακερματισμένη προσέγγιση όσον αφορά την προστασία των δεδομένων που ίσχυε στο πλαίσιο της προηγούμενης οδηγίας για την προστασία των δεδομένων (οδηγία 95/46/ΕΚ) ( 61 ). Ωστόσο, οι αρχές προστασίας δεδομένων εξακολουθούν να υιοθετούν αποκλίνουσες ερμηνείες ως προς τις βασικές έννοιες της προστασίας των δεδομένων ( 62 ). Τα ενδιαφερόμενα μέρη εκτιμούν ότι πρόκειται για το κυριότερο εμπόδιο στη συνεκτική εφαρμογή του ΓΚΠΔ στην ΕΕ. Η διατήρηση αποκλινουσών ερμηνειών δημιουργεί ανασφάλεια δικαίου και αυξάνει το κόστος για τις επιχειρήσεις (π.χ. με την απαίτηση διαφορετικής τεκμηρίωσης για διάφορα κράτη μέλη), γεγονός που διαταράσσει την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην ΕΕ, παρεμποδίζει τις διασυνοριακές επιχειρηματικές δραστηριότητες και δυσχεραίνει την έρευνα και την καινοτομία σχετικά με επείγουσες κοινωνικές προκλήσεις.

Ορισμένα από τα συγκεκριμένα ζητήματα που έθιξαν τα ενδιαφερόμενα μέρη είναι τα εξής: i) το γεγονός ότι οι αρχές προστασίας δεδομένων σε τρία κράτη μέλη έχουν διαφορετική άποψη η καθεμιά όσον αφορά την κατάλληλη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τη διεξαγωγή κλινικής δοκιμής· ii) υπάρχουν συχνά αποκλίνουσες απόψεις ως προς το αν μια οντότητα είναι υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία· και iii) σε ορισμένες περιπτώσεις, οι αρχές προστασίας δεδομένων δεν ακολουθούν τις κατευθυντήριες γραμμές του Συμβουλίου Προστασίας Δεδομένων ή δημοσιεύουν κατευθυντήριες γραμμές σε εθνικό επίπεδο που αντίκεινται στις κατευθυντήριες γραμμές του Συμβουλίου Προστασίας Δεδομένων ( 63 ). Τα ζητήματα αυτά επιτείνονται όταν περισσότερες από μία αρχές προστασίας δεδομένων στο ίδιο κράτος μέλος υιοθετούν αντικρουόμενες ερμηνείες.

Ορισμένα ενδιαφερόμενα μέρη θεωρούν επίσης ότι κάποιες αρχές προστασίας δεδομένων και το Συμβούλιο Προστασίας Δεδομένων υιοθετούν ερμηνείες που αποκλίνουν από την προσέγγιση βάσει κινδύνου του ΓΚΠΔ, γεγονός που δυσχεραίνει την ανάπτυξη της ψηφιακής οικονομίας ( 64 ), καθώς επίσης την ελευθερία και την πολυφωνία των μέσων ενημέρωσης. Αναφέρουν δε τους εξής τομείς ανησυχίας: i) την ερμηνεία της ανωνυμοποίησης· ii) τη νομική βάση του έννομου συμφέροντος και της συγκατάθεσης ( 65 )· και iii) τις εξαιρέσεις από την απαγόρευση της αυτοματοποιημένης ατομικής λήψης αποφάσεων ( 66 ). Θα πρέπει να υπενθυμιστεί ότι οι αρχές προστασίας δεδομένων και το Συμβούλιο Προστασίας Δεδομένων έχουν το καθήκον να διασφαλίζουν τόσο την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν όσο και την ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ. Όπως αναγνωρίζεται στον ΓΚΠΔ ( 67 ), το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας.

2.5.4Συνεργασία με υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία

Τα ενδιαφερόμενα μέρη υπογραμμίζουν το όφελος που προκύπτει όταν έχουν τη δυνατότητα να συμμετέχουν σε εποικοδομητικό διάλογο με τις αρχές προστασίας δεδομένων, ώστε να διασφαλίζεται εξαρχής η συμμόρφωσή τους με τον ΓΚΠΔ, ιδίως σε σχέση με αναδυόμενες τεχνολογίες. Τα ενδιαφερόμενα μέρη επισημαίνουν ότι ορισμένες αρχές προστασίας δεδομένων συνεργάζονται ενεργά με τους υπευθύνους επεξεργασίας, ενώ κάποιες άλλες ανταποκρίνονται με βραδύτερο ρυθμό, παρέχουν ασαφείς απαντήσεις ή δεν απαντούν καθόλου ( 68 ).

3Εφαρμογή του ΓΚΠΔ από τα κράτη μέλη

3.1Κατακερματισμός κατά την εφαρμογή σε εθνικό επίπεδο

Παρότι ο ΓΚΠΔ, ως κανονισμός, έχει άμεση εφαρμογή, επιβάλλει στα κράτη μέλη την υποχρέωση να νομοθετούν σε ορισμένους τομείς και τους παρέχει τη δυνατότητα να εξειδικεύουν περαιτέρω την εφαρμογή του σε περιορισμένο αριθμό τομέων ( 69 ). Όταν νομοθετούν σε εθνικό επίπεδο, τα κράτη μέλη πρέπει να το πράττουν υπό τις προϋποθέσεις και εντός των ορίων που καθορίζονται στον ΓΚΠΔ. Όπως και το 2020, τα ενδιαφερόμενα μέρη αναφέρουν ότι βρίσκονται αντιμέτωπα με δυσκολίες λόγω του κατακερματισμού των εθνικών κανόνων στις περιπτώσεις στις οποίες τα κράτη μέλη έχουν τη δυνατότητα να εξειδικεύουν τον ΓΚΠΔ, ιδίως όσον αφορά τα εξής:

·το κατώτατο όριο ηλικίας για τη συγκατάθεση παιδιού σε σχέση με την προσφορά υπηρεσιών της κοινωνίας της πληροφορίας στο εν λόγω παιδί ( 70 )·

·τη θέσπιση από τα κράτη μέλη περαιτέρω προϋποθέσεων σχετικά με την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία ( 71 )·

·την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα ( 72 ), η οποία δημιουργεί δυσκολίες σε ορισμένους ρυθμιζόμενους τομείς.

Παράλληλα, είναι σημαντικό να σημειωθεί ότι πολλά ενδιαφερόμενα μέρη αναφέρουν ότι ανακύπτουν ζητήματα κατακερματισμού τα οποία οφείλονται κυρίως σε αποκλίνουσες ερμηνείες του ΓΚΠΔ από τις αρχές προστασίας δεδομένων και όχι στη χρήση ρητρών προαιρετικής περαιτέρω εξειδίκευσης.

Τα κράτη μέλη θεωρούν ότι ο κατακερματισμός σε περιορισμένο βαθμό μπορεί να είναι αποδεκτός και ότι οι ρήτρες περαιτέρω εξειδίκευσης που προβλέπονται στον ΓΚΠΔ εξακολουθούν να είναι επωφελείς, ιδίως για την επεξεργασία από δημόσιες αρχές ( 73 ). Ο ΓΚΠΔ επιβάλλει στα κράτη μέλη την υποχρέωση να ζητούν τη γνώμη της οικείας εθνικής αρχής προστασίας δεδομένων κατά την κατάρτιση νομοθεσίας που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα ( 74 ). Στην έκθεση του FRA διαπιστώθηκε ότι ορισμένες κυβερνήσεις θέτουν πολύ αυστηρές προθεσμίες για τις εν λόγω αρχές, ενώ ορισμένες φορές δεν ζητούν καν τη γνώμη τους ( 75 ).

3.2Παρακολούθηση από την Επιτροπή

Η Επιτροπή παρακολουθεί την εφαρμογή του ΓΚΠΔ σε διαρκή βάση. Η Επιτροπή έχει κινήσει διαδικασίες επί παραβάσει κατά κρατών μελών για ζητήματα όπως η ανεξαρτησία των αρχών προστασίας δεδομένων (συμπεριλαμβανομένης της μη άσκησης εξωτερικών επιρροών και της δυνατότητας δικαστικής προσφυγής σε περίπτωση απόλυσης) ( 76 ) και το δικαίωμα πραγματικής δικαστικής προσφυγής για τα υποκείμενα των δεδομένων σε περίπτωση που η αρχή προστασίας δεδομένων δεν προβεί στον χειρισμό καταγγελίας ( 77 ). Η Επιτροπή, στο πλαίσιο της παρακολούθησης που ασκεί, ζητεί επίσης από τις αρχές προστασίας δεδομένων να παρέχουν, σε αυστηρά εμπιστευτική βάση, τακτική ενημέρωση ( 78 ) σχετικά με διασυνοριακές υποθέσεις μεγάλης κλίμακας που βρίσκονται σε εξέλιξη, ιδίως υποθέσεις που αφορούν μεγάλες πολυεθνικές εταιρείες τεχνολογίας.

Η Επιτροπή επικοινωνεί τακτικά με τα κράτη μέλη σχετικά με την εφαρμογή του ΓΚΠΔ. Όπως επισημάνθηκε στην έκθεση του 2020, η Επιτροπή εξακολούθησε να χρησιμοποιεί την ομάδα εμπειρογνωμόνων των κρατών μελών για τον ΓΚΠΔ ( 79 ) προκειμένου να διευκολύνει τις συζητήσεις και την ανταλλαγή εμπειριών σχετικά με την αποτελεσματική εφαρμογή του ΓΚΠΔ. Η ομάδα εμπειρογνωμόνων διεξήγαγε ειδικές συζητήσεις σχετικά με τα εξής: i) την εποπτεία των δικαστηρίων που ενεργούν υπό τη δικαστική τους ιδιότητα (άρθρο 55 του ΓΚΠΔ· άρθρο 8 του Χάρτη)· ii) την εξισορρόπηση του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης (άρθρο 85 του ΓΚΠΔ)· και iii) το δικαίωμα πραγματικής δικαστικής προσφυγής κατά εποπτικής αρχής (άρθρο 78 του ΓΚΠΔ). Σε συνέχεια των συζητήσεων αυτών, η Επιτροπή συγκέντρωσε επισκοπήσεις των προσεγγίσεων που υιοθετήθηκαν όσον αφορά την εφαρμογή των εν λόγω διατάξεων στα κράτη μέλη ( 80 ). Η Επιτροπή χρησιμοποίησε επίσης την ομάδα αυτή για την ανταλλαγή απόψεων με τα κράτη μέλη κατά την κατάρτιση της πρότασης για τους διαδικαστικούς κανόνες.

Η συμμόρφωση της εθνικής νομοθεσίας και πρακτικής με τους κανόνες για την προστασία των δεδομένων που καθορίζονται στο σύνολο του ενωσιακού δικαίου για τον χώρο Σένγκεν εκτιμάται επίσης στο πλαίσιο των αξιολογήσεων Σένγκεν, οι οποίες διενεργούνται από κοινού από τα κράτη μέλη και την Επιτροπή. Διενεργούνται τουλάχιστον πέντε επιτόπιες αξιολογήσεις προστασίας δεδομένων ετησίως, οι οποίες εστιάζουν επί του παρόντος στα συστήματα ΤΠ μεγάλης κλίμακας και στο Σύστημα Πληροφοριών Σένγκεν, στο Σύστημα Πληροφοριών για τις Θεωρήσεις, καθώς και στα εποπτικά καθήκοντα που ασκούν οι εθνικές αρχές προστασίας δεδομένων επί των εν λόγω συστημάτων.

Η Επιτροπή συμβάλλει ενεργά στον μεγάλο αριθμό υποθέσεων που παραπέμπονται ενώπιον του Δικαστηρίου (με περίπου 30 προδικαστικές αποφάσεις ετησίως κατά τα τελευταία έτη), οι οποίες διαδραματίζουν κεντρικό ρόλο στη συνεκτική ερμηνεία βασικών εννοιών του ΓΚΠΔ. Η αυξανόμενη νομολογία του Δικαστηρίου έχει παράσχει αρκετές αποσαφηνίσεις, όσον αφορά, για παράδειγμα, τον ορισμό των δεδομένων προσωπικού χαρακτήρα ( 81 ), τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα ( 82 ), τον υπεύθυνο επεξεργασίας ( 83 ), τη συγκατάθεση ( 84 ), το έννομο συμφέρον ( 85 ), το δικαίωμα πρόσβασης ( 86 ), το δικαίωμα διαγραφής ( 87 ), το δικαίωμα αποζημίωσης ( 88 ), την αυτοματοποιημένη ατομική λήψη αποφάσεων ( 89 ), τα διοικητικά πρόστιμα ( 90 ), τους υπευθύνους προστασίας δεδομένων ( 91 ), τη δημοσίευση δεδομένων προσωπικού χαρακτήρα σε μητρώα ( 92 ) και την εφαρμογή του ΓΚΠΔ στις δραστηριότητες των κοινοβουλίων ( 93 ).

4Δικαιώματα των υποκειμένων των δεδομένων

Τα φυσικά πρόσωπα εξοικειώνονται ολοένα και περισσότερο με τα δικαιώματά τους που απορρέουν από τον ΓΚΠΔ και τα ασκούν ενεργά ( 94 ). Οι αρχές προστασίας δεδομένων διαθέτουν σημαντικούς πόρους για την προώθηση της ευαισθητοποίησης στο ευρύ κοινό σχετικά με τα δικαιώματα και τις υποχρεώσεις προστασίας των δεδομένων, π.χ. χρησιμοποιώντας εκστρατείες στα μέσα κοινωνικής δικτύωσης και στην τηλεόραση, τηλεφωνικές γραμμές βοήθειας, ενημερωτικά δελτία και παρουσιάσεις σε εκπαιδευτικά ιδρύματα ( 95 ). Πολλές από τις εν λόγω πρωτοβουλίες έχουν χρηματοδοτηθεί από την ΕΕ ( 96 ). Ο Οργανισμός Θεμελιωδών Δικαιωμάτων επισημαίνει ότι, παρότι έχει αυξηθεί η ευαισθητοποίηση του ευρέος κοινού σχετικά με την προστασία των δεδομένων, εξακολουθεί να είναι ατελής η κατανόηση της προστασίας των δεδομένων, όπως αποδεικνύεται από τον μεγάλο αριθμό ασήμαντων ή αβάσιμων καταγγελιών ( 97 ). Έχουν αναπτυχθεί διάφορα φιλικά προς τον χρήστη ψηφιακά εργαλεία, τα οποία διευκολύνουν τα υποκείμενα των δεδομένων στην άσκηση των δικαιωμάτων τους ( 98 ). Οι νομοθετικές πράξεις, ιδίως δε η πράξη για τη διακυβέρνηση δεδομένων ( 99 ), θα πρέπει να οδηγούν στη δημιουργία πρόσθετων τρόπων με τους οποίους τα υποκείμενα των δεδομένων θα ασκούν τα δικαιώματά τους στο μέλλον. Οι επιχειρήσεις επισημαίνουν ότι το δικαίωμα διαγραφής χρησιμοποιείται ολοένα και περισσότερο, ενώ σπανίως χρησιμοποιούνται το δικαίωμα διόρθωσης και το δικαίωμα εναντίωσης.

4.1Το δικαίωμα πρόσβασης

Οι υπεύθυνοι επεξεργασίας αναφέρουν ότι το δικαίωμα πρόσβασης (άρθρο 15 του ΓΚΠΔ) είναι το δικαίωμα που επικαλούνται συχνότερα τα υποκείμενα των δεδομένων. Παρότι το Συμβούλιο Προστασίας Δεδομένων εξέδωσε κατευθυντήριες γραμμές σχετικά με το δικαίωμα αυτό το 2022, οι υπεύθυνοι επεξεργασίας εξακολουθούν να αναφέρουν προκλήσεις, για παράδειγμα κατά την ερμηνεία της έννοιας των «αβάσιμων ή υπερβολικών αιτημάτων» ( 100 ), όταν απαντούν σε μεγάλο αριθμό αιτημάτων και όταν εξετάζουν αιτήματα που υποβάλλονται για σκοπούς που δεν σχετίζονται με την προστασία των δεδομένων, για παράδειγμα για τη συλλογή αποδεικτικών στοιχείων για νομικές διαδικασίες ( 101 ). Οι οργανώσεις της κοινωνίας των πολιτών επισημαίνουν ότι οι απαντήσεις στα αιτήματα πρόσβασης συχνά καθυστερούν ή είναι ελλιπείς, ενώ τα δεδομένα που λαμβάνονται δεν είναι πάντοτε σε αναγνώσιμη μορφή ( 102 ). Οι δημόσιες αρχές αναφέρουν δυσκολίες στην αλληλεπίδραση μεταξύ του δικαιώματος πρόσβασης και των κανόνων για την πρόσβαση του κοινού στα έγγραφα ( 103 ). Ως εκ τούτου, είναι ευπρόσδεκτο το γεγονός ότι τον Φεβρουάριο του 2024 το Συμβούλιο Προστασίας Δεδομένων δρομολόγησε κοινή δράση για το δικαίωμα πρόσβασης εντός του συντονισμένου πλαισίου επιβολής ( 104 ).

4.2Το δικαίωμα στη φορητότητα

Στην έκθεση του 2020, η Επιτροπή δεσμεύτηκε να διερευνήσει πρακτικά μέσα τα οποία θα διευκολύνουν την αυξημένη χρήση του δικαιώματος στη φορητότητα (άρθρο 20 του ΓΚΠΔ) από φυσικά πρόσωπα, σύμφωνα με τη στρατηγική για τα δεδομένα. Έκτοτε, η Επιτροπή έχει αναλάβει μια σειρά πρωτοβουλιών που συμπληρώνουν το δικαίωμα αυτό. Οι πρωτοβουλίες αυτές διευκολύνουν την εύκολη μετάβαση από τη μία υπηρεσία στην άλλη, δημιουργώντας έτσι περισσότερες επιλογές για τα φυσικά πρόσωπα, στηρίζοντας τον ανταγωνισμό και την καινοτομία, και επιτρέποντας στα φυσικά πρόσωπα να αποκομίζουν τα οφέλη από τη χρήση των δεδομένων τους. Ο κανονισμός για τα δεδομένα παρέχει στους χρήστες έξυπνων συσκευών ενισχυμένο δικαίωμα φορητότητας για τα δεδομένα που παράγονται μέσω των εν λόγω συσκευών και ορίζει ότι ο σχεδιασμός του προϊόντος ή ο διακομιστής παρασκηνίου (backend server) του κατασκευαστή ή του κατόχου των δεδομένων θα πρέπει να καθιστά τεχνικά εφικτή την εν λόγω φορητότητα. Σύμφωνα με την πράξη για τις ψηφιακές αγορές, οι πάροχοι βασικών υπηρεσιών πλατφόρμας που προσδιορίζονται ως «πυλωροί» υποχρεούνται να εξασφαλίζουν αποτελεσματική φορητότητα των δεδομένων των χρηστών, συμπεριλαμβανομένης της συνεχούς και σε πραγματικό χρόνο πρόσβασης στα εν λόγω δεδομένα. Αρκετές άλλες πρωτοβουλίες της Επιτροπής που βρίσκονται επί του παρόντος στο στάδιο της διαπραγμάτευσης, ή για τις οποίες έχει επιτευχθεί πολιτική συμφωνία, προβλέπουν ενισχυμένα δικαιώματα φορητότητας σε συγκεκριμένους τομείς, όπως η οδηγία για την εργασία σε πλατφόρμες ( 105 ), ο ευρωπαϊκός χώρος δεδομένων υγείας ( 106 ) και το πλαίσιο πρόσβασης σε χρηματοοικονομικά δεδομένα ( 107 ).

4.3Το δικαίωμα υποβολής καταγγελίας

Όπως αποδεικνύεται από τον μεγάλο αριθμό καταγγελιών, το δικαίωμα υποβολής καταγγελίας σε αρχή προστασίας δεδομένων είναι ευρέως γνωστό. Οι οργανώσεις της κοινωνίας των πολιτών επισημαίνουν τις αδικαιολόγητες διαφορές στις εθνικές πρακτικές για τον χειρισμό καταγγελιών, ζήτημα το οποίο αντιμετωπίζεται με την πρόταση της Επιτροπής για τους διαδικαστικούς κανόνες. Λίγα κράτη μέλη έχουν κάνει χρήση της δυνατότητας που προσφέρει ο ΓΚΠΔ για την παροχή του δικαιώματος σε μη κερδοσκοπικό φορέα να προβαίνει σε ενέργειες ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων (άρθρο 80 παράγραφος 2). Ωστόσο, η οδηγία για τις αντιπροσωπευτικές αγωγές ( 108 ), η οποία εκδόθηκε το 2020, θα οδηγήσει σε μεγαλύτερη εναρμόνιση εν προκειμένω, διευκολύνοντας έτσι τις συλλογικές αγωγές από φυσικά πρόσωπα σε περιπτώσεις παράβασης του ΓΚΠΔ. Τα εθνικά μέτρα για την εφαρμογή της οδηγίας άρχισαν να ισχύουν τον Ιούνιο του 2023.

4.4Η προστασία των δεδομένων προσωπικού χαρακτήρα των παιδιών

Τα παιδιά χρήζουν ειδικής προστασίας κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν ( 109 ). Ο ΓΚΠΔ αποτελεί μέρος ενός ολοκληρωμένου νομικού πλαισίου που διασφαλίζει την προστασία των παιδιών τόσο εντός όσο και εκτός διαδικτύου ( 110 ). Δεδομένης της αυξημένης παρουσίας παιδιών στο διαδίκτυο, κατά τα τελευταία έτη έχουν αναληφθεί ορισμένες δράσεις σε ενωσιακό και εθνικό επίπεδο για τη στήριξη της προστασίας των παιδιών στο διαδίκτυο. Οι αρχές προστασίας δεδομένων έχουν επιβάλει σημαντικά πρόστιμα σε εταιρείες μέσων κοινωνικής δικτύωσης για παράβαση του ΓΚΠΔ κατά την επεξεργασία δεδομένων που αφορούν παιδιά. Συνεργάζονται επίσης με άλλες αρχές για την εξασφάλιση αυξημένου επιπέδου προστασίας των παιδιών στον τομέα της διαφήμισης. Στην έκθεση του 2020, η Επιτροπή κάλεσε το Συμβούλιο Προστασίας Δεδομένων να εκδώσει κατευθυντήριες γραμμές σχετικά με την επεξεργασία των δεδομένων που αφορούν παιδιά, και οι σχετικές εργασίες βρίσκονται επί του παρόντος σε εξέλιξη ( 111 ). Η πράξη για τις ψηφιακές υπηρεσίες περιλαμβάνει ειδικές διατάξεις για την κατοχύρωση υψηλού επιπέδου ιδιωτικότητας, ασφάλειας και προστασίας των παιδιών που χρησιμοποιούν διαδικτυακές πλατφόρμες.

Ορισμένα ενδιαφερόμενα μέρη αναφέρουν προκλήσεις όσον αφορά την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων, όταν τα υποκείμενα των δεδομένων είναι παιδιά. Ειδικότερα, αναφέρουν ότι τα παιδιά δεν κατανοούν πλήρως τα δικαιώματά τους, δεν διαθέτουν δεξιότητες ψηφιακού γραμματισμού και ενδέχεται να υπόκεινται σε αθέμιτες επιρροές ( 112 ). Η Επιτροπή έχει χρηματοδοτήσει διάφορες πρωτοβουλίες σε εθνικό επίπεδο για την προστασία των δεδομένων που αφορούν παιδιά, καθώς και για την προώθηση της ευαισθητοποίησης των παιδιών σχετικά με την προστασία των δεδομένων ( 113 ). Στο πλαίσιο της στρατηγικής για ένα καλύτερο διαδίκτυο για τα παιδιά (BIK+), η Επιτροπή παρέχει πόρους για την ευαισθητοποίηση και για προγράμματα κατάρτισης στα παιδιά όσον αφορά τα ψηφιακά τους δικαιώματα, συμπεριλαμβανομένης της προστασίας των δεδομένων (π.χ. ψηφιακή συγκατάθεση) ( 114 ). Δίνεται ολοένα και μεγαλύτερη έμφαση στην ανάγκη για εργαλεία επαλήθευσης της ηλικίας που είναι αποτελεσματικά και φιλικά προς την προστασία της ιδιωτικής ζωής. Στις αρχές του 2024 η Επιτροπή συγκρότησε ειδική ομάδα για την επαλήθευση της ηλικίας, σε συνεργασία με τα κράτη μέλη, το Συμβούλιο Προστασίας Δεδομένων και την ομάδα των ευρωπαϊκών ρυθμιστικών αρχών για τις υπηρεσίες οπτικοακουστικών μέσων, με στόχο τη συζήτηση και τη στήριξη της ανάπτυξης μιας ενωσιακής προσέγγισης για την επαλήθευση της ηλικίας. Οι εργασίες αυτές θα συνεχιστούν πλέον στο επίπεδο του συμβουλίου της πράξης για τις ψηφιακές υπηρεσίες, στο πλαίσιο της ομάδας εργασίας για την προστασία των ανηλίκων. Στο πλαίσιο του κανονισμού της ΕΕ για την ψηφιακή ταυτότητα ( 115 ), ο οποίος τέθηκε σε ισχύ τον Μάιο του 2024, η Επιτροπή εργάζεται ώστε να διασφαλίσει ότι το ευρωπαϊκό πορτοφόλι ψηφιακής ταυτότητας θα είναι διαθέσιμο σε όλους τους πολίτες και τους κατοίκους της ΕΕ το 2026, μεταξύ άλλων και για επαλήθευση της ηλικίας. Στο μεταξύ, έως ότου καταστεί πλήρως λειτουργικό το οικοσύστημα πορτοφολιού, θα αναπτυχθεί και θα καταστεί διαθέσιμη σε ολόκληρη την ΕΕ μια βραχυπρόθεσμη λύση για την επαλήθευση της ηλικίας.

5Ευκαιρίες και προκλήσεις για τους οργανισμούς, ιδίως τις ΜΜΕ

Ο ΓΚΠΔ έχει διαμορφώσει ίσους όρους ανταγωνισμού για τις επιχειρήσεις που δραστηριοποιούνται στην εσωτερική αγορά και η προσέγγισή του, η οποία είναι τεχνολογικά ουδέτερη και φιλική προς την καινοτομία, επιτρέπει στις επιχειρήσεις να μειώνουν τη γραφειοκρατία και να επωφελούνται από την αυξημένη εμπιστοσύνη των καταναλωτών ( 116 ). Πολλές επιχειρήσεις έχουν αναπτύξει μια εσωτερική νοοτροπία προστασίας των δεδομένων και θεωρούν ότι η προστασία της ιδιωτικής ζωής και των δεδομένων αποτελούν βασικές παραμέτρους του ανταγωνισμού. Οι επιχειρήσεις εκτιμούν την προσέγγιση βάσει κινδύνου του ΓΚΠΔ ως κατευθυντήρια αρχή που παρέχει τη δυνατότητα ευελιξίας και κλιμάκωσης των υποχρεώσεών τους ( 117 ).

5.1Εργαλειοθήκη για επιχειρήσεις

Ο ΓΚΠΔ παρέχει μια εργαλειοθήκη μέσων, η οποία παρέχει στους οργανισμούς τη δυνατότητα να διαχειρίζονται και να αποδεικνύουν τη συμμόρφωσή τους με ευέλικτο τρόπο, και η οποία περιλαμβάνει, μεταξύ άλλων, κώδικες δεοντολογίας, μηχανισμούς πιστοποίησης και τυποποιημένες συμβατικές ρήτρες. Όπως εξαγγέλθηκε στην έκθεση του 2020, το 2021 η Επιτροπή εξέδωσε τυποποιημένες συμβατικές ρήτρες που αφορούν τη σχέση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία ( 118 ). Αυτές οι τυποποιημένες συμβατικές ρήτρες αποτελούν ένα έτοιμο προς χρήση και εύχρηστο εθελοντικό εργαλείο συμμόρφωσης, το οποίο είναι ιδιαίτερα χρήσιμο για τις ΜΜΕ ή τους οργανισμούς που δεν διαθέτουν ενδεχομένως τους πόρους για τη διαπραγμάτευση εξατομικευμένων συμβάσεων με τους εμπορικούς εταίρους τους. Οι επιχειρήσεις υποβάλλουν συγκεχυμένες παρατηρήσεις σχετικά με τη χρήση των τυποποιημένων συμβατικών ρητρών, υπό την έννοια ότι ορισμένες εταιρείες (κυρίως ΜΜΕ) τις χρησιμοποιούν εξ ολοκλήρου ή εν μέρει, ενώ κάποιες άλλες (κυρίως μεγαλύτερες εταιρείες) τείνουν να μην τις χρησιμοποιούν διότι προτιμούν να χρησιμοποιούν τις δικές τους ρήτρες.

Οι επιχειρήσεις τονίζουν ότι οι κώδικες δεοντολογίας έχουν σημαντικές δυνατότητες ως ειδικό ανά τομέα και οικονομικά αποδοτικό εργαλείο συμμόρφωσης ( 119 ). Ωστόσο, η κατάρτιση κωδίκων δεοντολογίας είναι περιορισμένη ( 120 ). Σύμφωνα με τις έως τώρα διαθέσιμες πληροφορίες, έχουν εκδοθεί μόνο δύο κώδικες σε επίπεδο ΕΕ (αμφότεροι στον τομέα του υπολογιστικού νέφους), ενώ έξι κώδικες έχουν εκδοθεί σε εθνικό επίπεδο ( 121 ). Τα ενδιαφερόμενα μέρη αναφέρουν τις επαχθείς απαιτήσεις (συμπεριλαμβανομένης της ανάγκης σύστασης διαπιστευμένου φορέα παρακολούθησης), την έλλειψη συμμετοχής των αρχών προστασίας δεδομένων. καθώς και τη χρονοβόρα διαδικασία έγκρισης, ως τους κύριους παράγοντες που περιορίζουν τη χρήση κωδίκων δεοντολογίας ( 122 ).

Υπάρχει ανάγκη για αυξημένη διαφάνεια στη διαδικασία, καθώς και για σαφή χρονοδιαγράμματα έγκρισης. Οι αρχές προστασίας δεδομένων και, όταν πρόκειται για κώδικες σε επίπεδο ΕΕ, το Συμβούλιο Προστασίας Δεδομένων θα πρέπει να προωθήσουν πιο ενεργά την κατάρτιση των κωδίκων δεοντολογίας μέσω συνεργασίας με τις ενώσεις που καταρτίζουν τους κώδικες. Με τον τρόπο αυτό, θα διευκολυνθεί η επίλυση διαφορών ως προς την ερμηνεία και θα επιταχυνθεί η διαδικασία έγκρισης. Τα ενδιαφερόμενα μέρη εκφράζουν τη λύπη τους για τις μεγάλες καθυστερήσεις στην έγκριση κωδίκων δεοντολογίας, οι οποίες προκαλούνται από την παράλληλη εξέταση ζητημάτων στο πλαίσιο των εργασιών για τις κατευθυντήριες γραμμές. Ομοίως, οι επιχειρήσεις αναφέρουν ότι η πιστοποίηση δεν χρησιμοποιείται ευρέως διότι η διαδικασία εκπόνησης είναι αργή και πολύπλοκη. Όπως και στην περίπτωση των κωδίκων δεοντολογίας, οι αρχές προστασίας δεδομένων θα πρέπει να παρέχουν σαφέστερα χρονοδιαγράμματα για την επανεξέταση και την έγκριση των πιστοποιήσεων.

Στο πλαίσιο της στρατηγικής του για την περίοδο 2024-2027 το Συμβούλιο Προστασίας Δεδομένων δεσμεύτηκε να εξακολουθήσει να στηρίζει τα μέτρα συμμόρφωσης, όπως η πιστοποίηση και οι κώδικες δεοντολογίας, μεταξύ άλλων μέσω της συνεργασίας με βασικές ομάδες ενδιαφερόμενων μερών για την επεξήγηση του τρόπου με τον οποίο μπορούν να χρησιμοποιηθούν τα εργαλεία ( 123 ).

5.2Ειδικές προκλήσεις για τις ΜΜΕ και τους μικρούς φορείς εκμετάλλευσης

Στην έκθεση του 2020, η Επιτροπή ζήτησε να ενταθούν οι προσπάθειες για τη στήριξη της συμμόρφωσης των ΜΜΕ προς τον ΓΚΠΔ. Τα τελευταία έτη, οι αρχές προστασίας δεδομένων και το Συμβούλιο Προστασίας Δεδομένων συνέχισαν να αναπτύσσουν εργαλεία συμμόρφωσης για τις ΜΜΕ, τα οποία υποστηρίζονται εν μέρει με χρηματοδότηση από την Επιτροπή ( 124 ). Τον Απρίλιο του 2023 το Συμβούλιο Προστασίας Δεδομένων εξέδωσε έναν οδηγό προστασίας δεδομένων για τις μικρές επιχειρήσεις ( 125 ), ο οποίος παρέχει πρακτικές πληροφορίες για τις ΜΜΕ σε προσβάσιμη και εύληπτη μορφή.

Οι ΜΜΕ σε πολλά κράτη μέλη υπογραμμίζουν τα οφέλη που αποφέρει η εξατομικευμένη στήριξη από τις τοπικές αρχές προστασίας δεδομένων. Ωστόσο, λόγω των διαφορετικών προσεγγίσεων όσον αφορά την ευαισθητοποίηση και την παροχή καθοδήγησης από τις αρχές προστασίας δεδομένων, οι ΜΜΕ σε ορισμένα κράτη μέλη αντιλαμβάνονται τη συμμόρφωση ως πολύπλοκη διαδικασία και φοβούνται την επιβολή ( 126 ). Οι αρχές προστασίας δεδομένων θα πρέπει να εντείνουν τις προσπάθειές τους για την αντιμετώπιση αυτών των προκλήσεων, μεταξύ άλλων μέσω της προορατικής συνεργασίας με τις ΜΜΕ για τον μετριασμό τυχόν αβάσιμων ανησυχιών όσον αφορά τη συμμόρφωση. Οι αρχές προστασίας δεδομένων θα πρέπει να εστιάσουν στην παροχή εξατομικευμένης στήριξης και πρακτικών εργαλείων, όπως υποδείγματα (π.χ. για τη διενέργεια εκτιμήσεων επιπτώσεων σχετικά με την προστασία των δεδομένων), τηλεφωνικές γραμμές βοήθειας, επεξηγηματικά παραδείγματα, κατάλογοι ελέγχου και κατευθυντήριες γραμμές σχετικά με συγκεκριμένες πράξεις επεξεργασίας (π.χ. τιμολόγηση ή ενημερωτικά δελτία), καθώς και τεχνικά και οργανωτικά μέτρα. Δεδομένου ότι οι περισσότερες ΜΜΕ δεν διαθέτουν εσωτερική εμπειρογνωσία στον τομέα της προστασίας των δεδομένων, οποιεσδήποτε κατευθυντήριες γραμμές που απευθύνονται στις ΜΜΕ θα πρέπει να είναι εύληπτες για τις ΜΜΕ που δεν διαθέτουν νομική κατάρτιση ( 127 ).

Σύμφωνα με την προσέγγιση βάσει κινδύνου του ΓΚΠΔ, η συμμόρφωση δεν δημιουργεί σημαντικό φόρτο για τις ΜΜΕ που ασκούν δραστηριότητες επεξεργασίας χαμηλού κινδύνου. Παρότι η παρέκκλιση για την τήρηση αρχείων των δραστηριοτήτων επεξεργασίας ( 128 ) ισχύει σε περιορισμένες περιπτώσεις ( 129 ), οι ΜΜΕ που εκτελούν επεξεργασία χαμηλού κινδύνου μπορούν να συμμορφώνονται με την τήρηση απλουστευμένων αρχείων βάσει υποδειγμάτων που παρέχουν οι αρχές προστασίας δεδομένων. Επιπλέον, τα εν λόγω αρχεία θα πρέπει να εκλαμβάνονται ως χρήσιμο εργαλείο για τις ΜΜΕ στο πλαίσιο του απολογισμού των δραστηριοτήτων επεξεργασίας τους.

5.3Υπεύθυνοι προστασίας δεδομένων

Οι υπεύθυνοι προστασίας δεδομένων διαδραματίζουν σημαντικό ρόλο στη διασφάλιση της συμμόρφωσης προς τον ΓΚΠΔ στους οργανισμούς στους οποίους εργάζονται. Κατά γενικό κανόνα, οι υπεύθυνοι προστασίας δεδομένων που δραστηριοποιούνται στην ΕΕ διαθέτουν τις απαιτούμενες γνώσεις και δεξιότητες για την εκτέλεση των καθηκόντων τους βάσει του ΓΚΠΔ και η ανεξαρτησία τους γίνεται σεβαστή ( 130 ). Ωστόσο, εξακολουθούν να υφίστανται αρκετές προκλήσεις, μεταξύ των οποίων οι εξής: i) δυσκολίες στον διορισμό υπευθύνων προστασίας δεδομένων με την απαιτούμενη εμπειρογνωσία· ii) έλλειψη προτύπων σε επίπεδο ΕΕ για την εκπαίδευση και την κατάρτιση· iii) απουσία κατάλληλης ενσωμάτωσης των υπευθύνων προστασίας δεδομένων στις οργανωτικές διαδικασίες· iv) έλλειψη πόρων· v) πρόσθετα καθήκοντα πέραν της προστασίας δεδομένων· και vi) ανεπαρκής προϋπηρεσία ( 131 ). Το Συμβούλιο Προστασίας Δεδομένων επισήμανε ότι είναι αναγκαίο οι αρχές προστασίας δεδομένων να εντείνουν τις δραστηριότητες ευαισθητοποίησης, καθώς και τις δράσεις ενημέρωσης και επιβολής, ώστε να διασφαλιστεί ότι οι υπεύθυνοι προστασίας δεδομένων θα έχουν τη δυνατότητα να εκπληρώνουν τα καθήκοντά τους βάσει του ΓΚΠΔ ( 132 ).

6Ο ΓΚΠΔ ως ακρογωνιαίος λίθος για την πολιτική της ΕΕ στον ψηφιακό τομέα

6.1Ψηφιακή πολιτική με βάση τον ΓΚΠΔ

Στην έκθεση του 2020, η Επιτροπή δεσμεύτηκε να στηρίξει τη συνεκτική εφαρμογή του πλαισίου προστασίας δεδομένων σε σχέση με τις νέες τεχνολογίες, προκειμένου να υποστηριχθούν η καινοτομία και οι τεχνολογικές εξελίξεις. Έκτοτε, η ΕΕ έχει αναλάβει ευρύ φάσμα πρωτοβουλιών, ορισμένες από τις οποίες συμπληρώνουν τον ΓΚΠΔ ή εξειδικεύουν τον τρόπο με τον οποίο θα πρέπει να εφαρμόζεται σε συγκεκριμένους τομείς, προκειμένου να επιτευχθούν συγκεκριμένοι στόχοι, όπως επεξηγείται κατωτέρω.

·Η πράξη για τις ψηφιακές υπηρεσίες ( 133 ), η οποία αποσκοπεί στην παροχή ασφαλούς επιγραμμικού περιβάλλοντος για τα φυσικά πρόσωπα και τις επιχειρήσεις, απαγορεύει στις επιγραμμικές πλατφόρμες να προβάλλουν διαφημίσεις βάσει κατάρτισης προφίλ με τη χρήση «ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα», όπως ορίζονται στον ΓΚΠΔ.

·Για την καθιέρωση πιο δίκαιων και πιο διεκδικήσιμων ψηφιακών αγορών, η πράξη για τις ψηφιακές αγορές ( 134 ) απαγορεύει στους φορείς εκμετάλλευσης που έχουν οριστεί ως «πυλωροί» να προβαίνουν σε «συνδυασμό» και σε «διασταυρούμενη χρήση» δεδομένων προσωπικού χαρακτήρα μεταξύ των βασικών υπηρεσιών πλατφόρμας τους και άλλων υπηρεσιών, εκτός εάν ο χρήστης έχει δώσει τη συγκατάθεσή του, όπως ορίζεται στον ΓΚΠΔ.

·Ο κανονισμός για την τεχνητή νοημοσύνη ( 135 ) καθορίζει τους κανόνες της ΕΕ για την προστασία των δεδομένων σε συγκεκριμένους τομείς στους οποίους χρησιμοποιείται τεχνητή νοημοσύνη, για παράδειγμα σε συστήματα εξ αποστάσεως βιομετρικής ταυτοποίησης, στην επεξεργασία ειδικών κατηγοριών δεδομένων για τον εντοπισμό μεροληψιών και στην περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα σε ρυθμιστικά δοκιμαστήρια.

·Η οδηγία για την εργασία σε πλατφόρμες ( 136 ) συμπληρώνει τον ΓΚΠΔ στον τομέα της απασχόλησης, με τη θέσπιση κανόνων σχετικά με τα αυτοματοποιημένα συστήματα παρακολούθησης και λήψης αποφάσεων που χρησιμοποιούνται από τις ψηφιακές πλατφόρμες εργασίας, ιδίως όσον αφορά τους περιορισμούς στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, τη διαφάνεια, την ανθρώπινη εποπτεία, καθώς και την επανεξέταση και τη φορητότητα.

·Ο κανονισμός για την πολιτική διαφημιστική προβολή ( 137 ) απαγορεύει τη χρήση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα στην πολιτική διαφημιστική προβολή και επιβάλλει την υποχρέωση αυξημένης διαφάνειας όσον αφορά τις τεχνικές στόχευσης και ενίσχυσης του αντικτύπου που χρησιμοποιούνται.

·Ο κανονισμός για την ευρωπαϊκή ψηφιακή ταυτότητα επιτρέπει τη δημιουργία ενός καθολικού, αξιόπιστου και ασφαλούς ευρωπαϊκού πορτοφολιού ψηφιακής ταυτότητας. Αυτό θα παρέχει τη δυνατότητα στα φυσικά πρόσωπα να αποδεικνύουν προσωπικά χαρακτηριστικά, όπως άδειες οδήγησης, διπλώματα και τραπεζικούς λογαριασμούς, με πλήρη έλεγχο των προσωπικών τους δεδομένων και χωρίς περιττό διαμοιρασμό δεδομένων.

Η πρόταση κανονισμού για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες ( 138 ), που θα αντικαταστήσει την ισχύουσα οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες ( 139 ) και θα συμπληρώσει το νομοθετικό πλαίσιο για την προστασία της ιδιωτικής ζωής και των δεδομένων, αποτελεί επί σειρά ετών αντικείμενο διαπραγματεύσεων. Απαιτείται μελέτη των επόμενων ενεργειών σχετικά με την εν λόγω πρωτοβουλία, συμπεριλαμβανομένης της σχέσης της με τον ΓΚΠΔ.

Ο κανονισμός για τη διαλειτουργική Ευρώπη ( 140 ) έχει ως στόχο να καταστήσει τις ψηφιακές δημόσιες υπηρεσίες διαλειτουργικές σε ολόκληρη την ΕΕ. Στηρίζει τη συνεργασία μεταξύ των αρχών προστασίας δεδομένων, ιδίως μέσω ρυθμιστικών δοκιμαστηρίων διαλειτουργικότητας.

Διάφορες πρωτοβουλίες της ΕΕ παρέχουν νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς, με σκοπό την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων. Κάθε τέτοια νομοθεσία πρέπει να είναι προσεκτικά στοχευμένη, ώστε η παρέμβαση στο δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα να ελαχιστοποιείται και να είναι ανάλογη προς τον επιδιωκόμενο σκοπό ( 141 ). Ο Χάρτης, ο ΓΚΠΔ και η νομολογία του Δικαστηρίου παρέχουν ένα πλαίσιο βάσει του οποίου θα πρέπει να αξιολογούνται οι εν λόγω πρωτοβουλίες. Η προτεινόμενη δέσμη μέτρων για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες ( 142 ) περιλαμβάνει σημαντικές εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα, χωρίς να διακυβεύεται ο στόχος του μετριασμού των κινδύνων νομιμοποίησης εσόδων από παράνομες δραστηριότητες και χρηματοδότησης της τρομοκρατίας και του αποτελεσματικού εντοπισμού εγκληματικών προσπαθειών κατάχρησης του χρηματοπιστωτικού συστήματος της ΕΕ.

Στο πλαίσιο αυτό, το Συμβούλιο τόνισε ότι κάθε νέα νομοθεσία της ΕΕ που περιέχει διατάξεις σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να συνάδει με τον ΓΚΠΔ και τη νομολογία του Δικαστηρίου.

6.2Νομικό πλαίσιο για την ενίσχυση του διαμοιρασμού δεδομένων

Η στρατηγική για τα δεδομένα αποσκοπεί στη δημιουργία μιας ενιαίας αγοράς δεδομένων, στην οποία τα δεδομένα κυκλοφορούν ελεύθερα εντός της ΕΕ και σε όλους τους τομείς, προς όφελος των επιχειρήσεων, των ερευνητών και των δημόσιων διοικήσεων. Βασικός στόχος της στρατηγικής για τα δεδομένα είναι η δημιουργία κοινών ευρωπαϊκών χώρων δεδομένων που διευκολύνουν τη συγκέντρωση και τον διαμοιρασμό δεδομένων, καθώς και την πρόσβαση στα δεδομένα. Όσον αφορά τα δεδομένα προσωπικού χαρακτήρα, ο ΓΚΠΔ παρέχει το πλαίσιο για όλες τις πρωτοβουλίες που αποσκοπούν στην ενίσχυση της ελεύθερης ροής δεδομένων στην ΕΕ, η οποία αποτελεί, αυτή καθαυτή, στόχο του ΓΚΠΔ. Όσον αφορά τα δεδομένα προσωπικού χαρακτήρα, δεν θίγεται η προστασία που προβλέπεται στον ΓΚΠΔ.

Η πράξη για τη διακυβέρνηση δεδομένων ( 143 ) και ο κανονισμός για τα δεδομένα ( 144 ) αποτελούν πυλώνες της στρατηγικής για τα δεδομένα. Η πράξη για τη διακυβέρνηση δεδομένων ορίζει συγκεκριμένους κανόνες στο πλαίσιο της περαιτέρω χρήσης δεδομένων του δημόσιου τομέα που περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα, και θεσπίζει νομοθετικό πλαίσιο για τις υπηρεσίες διαμεσολάβησης δεδομένων, συμπεριλαμβανομένων των υπηρεσιών διαχείρισης προσωπικών πληροφοριών (PIMS) ή των υπολογιστικών νεφών δεδομένων προσωπικού χαρακτήρα που προσφέρονται με σκοπό την ενδυνάμωση των υποκειμένων των δεδομένων κατά την άσκηση των δικαιωμάτων τους που απορρέουν από τον ΓΚΠΔ. Πλαισιώνει επίσης τους όρους χρήσης των δεδομένων για αλτρουιστικούς σκοπούς. Ο κανονισμός για τα δεδομένα ενισχύει τον έλεγχο που ασκούν τα υποκείμενα των δεδομένων στα δεδομένα που παράγουν μέσω της χρήσης έξυπνων αντικειμένων των οποίων είναι κάτοχοι, μισθωτές ή μισθωτές χρηματοδοτικής μίσθωσης, επιβάλλοντας τεχνικές απαιτήσεις για την πρόσβαση στα δεδομένα και τη φορητότητα των δεδομένων.

Ο ευρωπαϊκός χώρος δεδομένων υγείας ( 145 ) αντικατοπτρίζει τις ειδικές ανάγκες που εντοπίζονται στον τομέα των δεδομένων υγείας, ενώ συγχρόνως αξιοποιεί και τον ΓΚΠΔ. Εξασφαλίζει στα φυσικά πρόσωπα τη δυνατότητα να έχουν εύκολη πρόσβαση στα δεδομένα υγείας τους σε ηλεκτρονική μορφή και να τα κοινοποιούν σε επαγγελματίες του τομέα της υγείας, μεταξύ άλλων σε άλλα κράτη μέλη, βελτιώνοντας έτσι την παροχή υγειονομικής περίθαλψης και αυξάνοντας τον έλεγχο που ασκούν οι ασθενείς επί των δεδομένων τους. Θεσπίζει επίσης ένα κοινό νομικό πλαίσιο για την περαιτέρω χρήση δεδομένων υγείας για σκοπούς όπως η έρευνα, η καινοτομία και η δημόσια υγεία, βάσει άδειας που χορηγείται από φορέα πρόσβασης σε δεδομένα υγείας. Για τη διασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα, ο ευρωπαϊκός χώρος δεδομένων υγείας θα παρέχει ένα αξιόπιστο πλαίσιο για την ασφαλή πρόσβαση σε δεδομένα υγείας και την επεξεργασία τους. Η Επιτροπή εξακολουθεί να στηρίζει τις εργασίες για την ανάπτυξη κοινών ευρωπαϊκών χώρων δεδομένων σε 14 τομείς, με την εφαρμογή του νέου νομοθετικού πλαισίου και τη χρηματοδότηση ειδικών ανά τομέα πρωτοβουλιών.

6.3Διακυβέρνηση των νέων ψηφιακών κανόνων

Η κατάρτιση ψηφιακών κανονιστικών ρυθμίσεων δημιουργεί την ανάγκη στενής συνεργασίας μεταξύ των ρυθμιστικών τομέων ( 146 ). Η συνεργασία αυτή καθίσταται ολοένα και πιο αναγκαία, δεδομένου ότι τα ζητήματα προστασίας των δεδομένων είναι ολοένα και πιο αλληλένδετα με ζητήματα που αφορούν, για παράδειγμα, το δίκαιο του ανταγωνισμού, το δίκαιο των καταναλωτών, τη ρύθμιση των ηλεκτρονικών επικοινωνιών και την κυβερνοασφάλεια. Αυτό συμβαίνει, για παράδειγμα, κατά την αξιολόγηση της συμβατότητας των μοντέλων «πληρωμή ή συγκατάθεση» (pay or OK) με το ενωσιακό δίκαιο.

Σε ορισμένες περιπτώσεις, οι αρχές προστασίας δεδομένων είναι επιφορτισμένες με την επιβολή συγκεκριμένων διατάξεων της νέας ψηφιακής νομοθεσίας της ΕΕ ( 147 ). Οι νέοι ψηφιακοί κανονισμοί δημιουργούν επίσης ειδικές δομές, οι οποίες φέρουν σε επαφή τις αρμόδιες ρυθμιστικές αρχές με σκοπό τη διασφάλιση της συνεκτικής επιβολής, όπως η ομάδα υψηλού επιπέδου της πράξης για τις ψηφιακές αγορές, το ευρωπαϊκό συμβούλιο καινοτομίας δεδομένων (που συστάθηκε βάσει της πράξης για τη διακυβέρνηση δεδομένων) και το ευρωπαϊκό συμβούλιο ψηφιακών υπηρεσιών (που συστάθηκε βάσει της πράξης για τις ψηφιακές υπηρεσίες). Η οδηγία NIS 2 ( 148 ) θεσπίζει λεπτομερέστερους κανόνες για τη συνεργασία μεταξύ των ρυθμιστικών αρχών και των αρχών προστασίας δεδομένων όσον αφορά τον χειρισμό συμβάντων ασφάλειας που συνιστούν παραβιάσεις δεδομένων προσωπικού χαρακτήρα.

Εκτός από αυτές τις επίσημες δομές, οι αρχές προστασίας δεδομένων λαμβάνουν μέτρα για να διασφαλίσουν ότι οι δράσεις τους είναι συμπληρωματικές και συνεκτικές με άλλους ρυθμιστικούς τομείς. Τον Ιούλιο του 2020 οι αρχές προστασίας καταναλωτών και δεδομένων συγκρότησαν μια «ομάδα εθελοντών» για τον καθορισμό βέλτιστων πρακτικών και την ανταλλαγή εμπειριών όσον αφορά την επιβολή της νομοθεσίας. Οι αρχές προστασίας δεδομένων εξακολουθούν να συμμετέχουν σε κοινά εργαστήρια με το δίκτυο συνεργασίας για την προστασία των καταναλωτών. Το 2023 το Συμβούλιο Προστασίας Δεδομένων συγκρότησε ειδική ομάδα για την αλληλεπίδραση μεταξύ της προστασίας των δεδομένων, του ανταγωνισμού και της προστασίας των καταναλωτών.

Παρότι οι εξελίξεις αυτές είναι θετικές, διαπιστώνεται η ανάγκη για πιο δομημένα και πιο αποδοτικά μέσα συνεργασίας, ιδίως για την αντιμετώπιση καταστάσεων που επηρεάζουν μεγάλο αριθμό φυσικών προσώπων στην ΕΕ και στις οποίες εμπλέκονται διάφορες ρυθμιστικές αρχές ( 149 ). Οι δομές αυτές θα πρέπει να διασφαλίζουν ότι οι αρχές παραμένουν ανά πάσα στιγμή υπεύθυνες για όλα τα ζητήματα που αφορούν τη συμμόρφωση με τους κανόνες στους τομείς αρμοδιότητάς τους. Τα κράτη μέλη θα πρέπει επίσης να καταβάλουν προσπάθειες για την εξασφάλιση κατάλληλης συνεργασίας σε εθνικό επίπεδο ( 150 ).

7Διεθνείς διαβιβάσεις και παγκόσμια συνεργασία

7.1Η εργαλειοθήκη του ΓΚΠΔ για τις διαβιβάσεις δεδομένων

Οι ροές δεδομένων έχουν καταστεί αναπόσπαστο μέρος του ψηφιακού μετασχηματισμού της κοινωνίας και της παγκοσμιοποίησης της οικονομίας. Περισσότερο από ποτέ άλλοτε στο παρελθόν, ο σεβασμός της ιδιωτικής ζωής αποτελεί προϋπόθεση για σταθερές, ασφαλείς και ανταγωνιστικές εμπορικές ροές, καθώς και παράγοντα διευκόλυνσης για πολλές μορφές διεθνούς συνεργασίας. Η εργαλειοθήκη διαβίβασης του ΓΚΠΔ, η οποία προβλέπεται στο κεφάλαιο V του ΓΚΠΔ, παρέχει ευρύ φάσμα μέσων για την αντιμετώπιση διαφόρων σεναρίων διαβίβασης, διασφαλίζοντας παράλληλα ότι τα δεδομένα εξακολουθούν να υπόκεινται σε υψηλό επίπεδο προστασίας όταν εξέρχονται από την ΕΕ. 

Αφότου δημοσιεύτηκε η έκθεση του 2020, οι απαιτήσεις για τις διαβιβάσεις δεδομένων που καθορίζονται στη νομοθεσία της ΕΕ για την προστασία των δεδομένων έχουν αποσαφηνιστεί περαιτέρω και η εργαλειοθήκη διαβίβασης εξακολουθεί να εξελίσσεται. Μια σημαντική αποσαφήνιση αφορά την έννοια της «διεθνούς διαβίβασης», η οποία, σύμφωνα με τον ορισμό που έχει δώσει το Συμβούλιο Προστασίας Δεδομένων ( 151 ), περιλαμβάνει κάθε κοινοποίηση, από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, δεδομένων προσωπικού χαρακτήρα η επεξεργασία των οποίων υπόκειται στον ΓΚΠΔ, σε άλλον υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε τρίτη χώρα, ανεξάρτητα από το αν η επεξεργασία από τον τελευταίο υπόκειται ή όχι στον ΓΚΠΔ ( 152 ). Οι συγκεκριμένες κατευθυντήριες γραμμές του Συμβουλίου Προστασίας Δεδομένων ήταν ιδιαίτερα σημαντικές για την παροχή ασφάλειας δικαίου στους Ευρωπαίους υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία σε περιπτώσεις σεναρίων όπου απαιτείται εργαλείο διαβίβασης δυνάμει του κεφαλαίου V του ΓΚΠΔ.

Περαιτέρω αποσαφηνίσεις παρείχε επίσης το Δικαστήριο στην απόφασή του στην υπόθεση Schrems II ( 153 ) σχετικά με την προστασία που πρέπει να παρέχεται από διάφορες πράξεις διαβίβασης, ώστε να διασφαλίζεται ότι δεν υπονομεύεται το επίπεδο προστασίας που εγγυάται ο ΓΚΠΔ ( 154 ). Ειδικότερα, οι πράξεις αυτές πρέπει να διασφαλίζουν ότι τα άτομα των οποίων τα δεδομένα διαβιβάζονται εκτός της ΕΕ απολαύουν επιπέδου προστασίας ουσιαστικά ισοδύναμου με εκείνο που διασφαλίζεται εντός της ΕΕ ( 155 ). Αποτελεί καθήκον του ενωσιακού εξαγωγέα δεδομένων να αξιολογήσει αν ισχύει αυτό, λαμβάνοντας υπόψη τις ειδικές περιστάσεις των διαβιβάσεών του ( 156 ).

Για την αξιολόγηση του επιπέδου προστασίας, οι εξαγωγείς δεδομένων πρέπει να λαμβάνουν υπόψη τόσο τις εγγυήσεις για την προστασία των δεδομένων που καθορίζονται στην πράξη διαβίβασης, που έχει συναφθεί με εισαγωγέα δεδομένων τρίτης χώρας (π.χ. σύμβαση), όσο και τις σχετικές πτυχές του νομικού συστήματος της χώρας στην οποία βρίσκεται ο εισαγωγέας των δεδομένων, ιδίως όσον αφορά την ενδεχόμενη πρόσβαση δημόσιων αρχών της εν λόγω χώρας στα δεδομένα ( 157 ). Οι εν λόγω σχετικές πτυχές πρέπει να αξιολογούνται υπό το πρίσμα των κριτηρίων για τις εκτιμήσεις επάρκειας που καθορίζονται στο άρθρο 45 του ΓΚΠΔ. Το Δικαστήριο εξέτασε επίσης περαιτέρω τα κριτήρια αυτά, ιδίως όσον αφορά τους κανόνες σχετικά με την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της επιβολής της νομοθεσίας και της εθνικής ασφάλειας.

Η ερμηνεία αυτή αντικατοπτρίζεται επίσης στις κατευθυντήριες γραμμές του Συμβουλίου Προστασίας Δεδομένων, με τις οποίες επικαιροποιήθηκαν τα «σημεία αναφοράς για την επάρκεια» ( 158 ) (όπου παρέχονται κατευθύνσεις σχετικά με τα στοιχεία που πρέπει να λαμβάνει υπόψη η Επιτροπή κατά τη διενέργεια εκτίμησης επάρκειας). Το Συμβούλιο Προστασίας Δεδομένων εξέδωσε επίσης νέες κατευθυντήριες γραμμές για την παροχή περαιτέρω αποσαφηνίσεων σχετικά με τα εξής: i) τα στοιχεία που πρέπει να λαμβάνονται υπόψη από επιμέρους εξαγωγείς δεδομένων κατά την αξιολόγηση του επιπέδου προστασίας· ii) επισκόπηση των πιθανών πηγών που μπορούν να χρησιμοποιηθούν· και iii) παραδείγματα πιθανών συμπληρωματικών μέτρων (π.χ. συμβατικές και τεχνικές εγγυήσεις) ( 159 ). Στις κατευθυντήριες γραμμές επισημαίνεται συγκεκριμένα ότι κάθε αξιολόγηση που διενεργείται από τους εξαγωγείς δεδομένων είναι μοναδική και ότι, ως εκ τούτου, οι εξαγωγείς πρέπει να λαμβάνουν υπόψη τα ειδικά χαρακτηριστικά κάθε διαβίβασης, τα οποία μπορεί να διαφέρουν ανάλογα με τον σκοπό της διαβίβασης δεδομένων, τα είδη των εμπλεκόμενων οντοτήτων, τον τομέα στον οποίο πραγματοποιείται η διαβίβαση, τις κατηγορίες των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα κ.λπ. ( 160 ).

Λαμβανομένων υπόψη αυτών των διαφόρων αποσαφηνίσεων σχετικά με τις απαιτήσεις για τις διεθνείς διαβιβάσεις δεδομένων, κατά τα τελευταία έτη έχουν ληφθεί σημαντικά μέτρα για την περαιτέρω ανάπτυξη και λειτουργική αξιοποίηση της εργαλειοθήκης διαβίβασης του ΓΚΠΔ.

7.1.1Αποφάσεις επάρκειας

Όπως αντικατοπτρίζεται και στις παρατηρήσεις που ελήφθησαν από τα ενδιαφερόμενα μέρη, οι αποφάσεις επάρκειας εξακολουθούν να διαδραματίζουν καίριο ρόλο στην εργαλειοθήκη για τις διαβιβάσεις του ΓΚΠΔ ( 161 ), με την παροχή απλής και ολοκληρωμένης λύσης για τις διαβιβάσεις δεδομένων χωρίς να απαιτείται από τον εξαγωγέα των δεδομένων να παράσχει πρόσθετες εγγυήσεις ή να λάβει οποιαδήποτε άδεια. Καθιστώντας δυνατή την ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα, οι αποφάσεις αυτές άνοιξαν εμπορικούς διαύλους για τους φορείς εκμετάλλευσης της ΕΕ, μεταξύ άλλων συμπληρώνοντας και ενισχύοντας τα οφέλη των εμπορικών συμφωνιών, και διευκόλυναν τη συνεργασία με αλλοδαπούς εταίρους σε ευρύ φάσμα τομέων, από τη ρυθμιστική συνεργασία έως την έρευνα.

Αφότου δημοσιεύτηκε η έκθεση του 2020, ο αριθμός των χωρών που έχουν θεσπίσει σύγχρονη νομοθεσία για την προστασία των δεδομένων —στην οποία προβλέπονται, μεταξύ άλλων, βασικές αρχές προστασίας των δεδομένων, ατομικά δικαιώματα και αποτελεσματική επιβολή από ανεξάρτητες ρυθμιστικές αρχές— συνέχισε να αυξάνεται. Η τάση αυτή ( 162 ) έδωσε επίσης στην Επιτροπή τη δυνατότητα να εντείνει το έργο της όσον αφορά την επάρκεια. Στο πλαίσιο αυτό περιλαμβάνεται η έκδοση απόφασης επάρκειας για το Ηνωμένο Βασίλειο ( 163 ), η οποία είναι καίριας σημασίας για τη διασφάλιση της ορθής λειτουργίας των διαφόρων συμφωνιών που συνήφθησαν με το Ηνωμένο Βασίλειο μετά το Brexit. Για να διασφαλιστεί ότι θα αντέξει στον χρόνο, η απόφαση επάρκειας περιλαμβάνει «ρήτρα λήξης ισχύος», οπότε θα λήξει το 2025 και στη συνέχεια μπορεί να ανανεωθεί εάν το επίπεδο προστασίας εξακολουθεί να είναι επαρκές. Η Επιτροπή εξέδωσε επίσης απόφαση επάρκειας για τη Δημοκρατία της Κορέας ( 164 ), η οποία συμπληρώνει τη συμφωνία ελεύθερων συναλλαγών ΕΕ-Κορέας σχετικά με τις ροές δεδομένων προσωπικού χαρακτήρα και διευκολύνει τη ρυθμιστική συνεργασία. Η πρώτη επανεξέταση της απόφασης επάρκειας προγραμματίζεται προς τα τέλη του 2024.

Επιπλέον, μετά την ακύρωση της απόφασης επάρκειας για την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ-ΗΠΑ, η Επιτροπή ξεκίνησε συνομιλίες με την κυβέρνηση των Ηνωμένων Πολιτειών Αμερικής (ΗΠΑ) για την εκπόνηση διάδοχης ρύθμισης σύμφωνα με τις απαιτήσεις που αποσαφήνισε το Δικαστήριο ( 165 ). Ο πρόεδρος των ΗΠΑ εξέδωσε νέο εκτελεστικό διάταγμα σχετικά με την «ενίσχυση των εγγυήσεων για τις δραστηριότητες συλλογής πληροφοριών σημάτων των Ηνωμένων Πολιτειών», το οποίο εισήγαγε νέες δεσμευτικές και εκτελεστές εγγυήσεις προκειμένου να διασφαλιστεί ότι η πρόσβαση στα δεδομένα για σκοπούς εθνικής ασφάλειας είναι δυνατή μόνο στον βαθμό που αυτό είναι αναγκαίο και αναλογικό, και ότι οι Ευρωπαίοι έχουν στη διάθεσή τους αποτελεσματικά μέσα για την εξασφάλιση επανόρθωσης. Στη βάση αυτή, η Επιτροπή εξέδωσε απόφαση επάρκειας σχετικά με το πλαίσιο προστασίας δεδομένων ΕΕ-ΗΠΑ ( 166 ), η οποία επιτρέπει την ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα από την ΕΕ προς εταιρείες των ΗΠΑ που προσχωρούν στο πλαίσιο προστασίας δεδομένων ΕΕ-ΗΠΑ. Δεδομένου ότι οι εγγυήσεις που έχει θεσπίσει η κυβέρνηση των ΗΠΑ στον τομέα της εθνικής ασφάλειας ισχύουν για όλες τις διαβιβάσεις δεδομένων σε εταιρείες στις ΗΠΑ, ανεξάρτητα από τον χρησιμοποιούμενο μηχανισμό διαβίβασης του ΓΚΠΔ, έχει διευκολυνθεί σημαντικά η χρήση άλλων εργαλείων, όπως οι τυποποιημένες συμβατικές ρήτρες και οι δεσμευτικοί εταιρικοί κανόνες. Η πρώτη επανεξέταση της λειτουργίας του πλαισίου προστασίας δεδομένων ΕΕ-ΗΠΑ θα πραγματοποιηθεί το καλοκαίρι του 2024 προκειμένου να επαληθευτεί ότι όλα τα σχετικά στοιχεία έχουν εφαρμοστεί πλήρως στο νομικό πλαίσιο των ΗΠΑ και λειτουργούν αποτελεσματικά στην πράξη.

Επί του παρόντος βρίσκονται σε εξέλιξη διαπραγματεύσεις για την επάρκεια με τη Βραζιλία και την Κένυα, καθώς και διαπραγματεύσεις, για πρώτη φορά, με διάφορους διεθνείς οργανισμούς (για παράδειγμα, βρίσκονται σε προχωρημένο στάδιο οι συνομιλίες για την επάρκεια με τον Ευρωπαϊκό Οργανισμό Διπλωμάτων Ευρεσιτεχνίας) ( 167 ). Επίσης, σύμφωνα με τις εκκλήσεις διαφόρων ενδιαφερόμενων μερών ( 168 ), η Επιτροπή συμμετείχε ενεργά σε διερευνητικές συνομιλίες με χώρες σε διάφορες περιοχές του κόσμου.

Η Επιτροπή παρακολουθεί επίσης συνεχώς τις εξελίξεις στις χώρες που επωφελούνται ήδη από πορίσματα επάρκειας και επανεξετάζει περιοδικά τις υφιστάμενες αποφάσεις, σύμφωνα με τις αντίστοιχες υποχρεώσεις της που απορρέουν από τον ΓΚΠΔ ( 169 ). Τον Απρίλιο του 2023 η Επιτροπή εξέδωσε την έκθεσή της σχετικά με την πρώτη περιοδική επανεξέταση της απόφασης επάρκειας για την Ιαπωνία ( 170 ), στην οποία διαπιστώθηκε ότι η Ιαπωνία εξακολουθεί να διασφαλίζει επαρκές επίπεδο προστασίας ( 171 ). Η επανεξέταση κατέδειξε ότι τα πλαίσια προστασίας δεδομένων της ΕΕ και της Ιαπωνίας συγκλίνουν περαιτέρω μετά την έκδοση των αμοιβαίων αποφάσεων επάρκειας.

Επιπλέον, σύμφωνα με το άρθρο 97 του ΓΚΠΔ, η πρώτη επανεξέταση των 11 αποφάσεων επάρκειας ( 172 ) που εκδόθηκαν βάσει του προηγούμενου πλαισίου της ΕΕ για την προστασία των δεδομένων (οδηγία για την προστασία των δεδομένων) ξεκίνησε στο πλαίσιο της αξιολόγησης της εφαρμογής και της λειτουργίας του ΓΚΠΔ το 2020. Η ολοκλήρωση αυτής της πτυχής της επανεξέτασης αναβλήθηκε, ιδίως προκειμένου να ληφθεί υπόψη η απόφαση του Δικαστηρίου στην υπόθεση Schrems II και η επακόλουθη ερμηνεία από το Συμβούλιο Προστασίας Δεδομένων. Οι προαναφερόμενες αποσαφηνίσεις του Δικαστηρίου ως προς βασικά στοιχεία του προτύπου επάρκειας οδήγησαν σε λεπτομερείς ανταλλαγές με τις οικείες χώρες και τα οικεία εδάφη σχετικά με συναφείς πτυχές του νομικού τους πλαισίου, καθώς και με τους μηχανισμούς εποπτείας και επιβολής.

Στις 15 Ιανουαρίου 2024 η Επιτροπή δημοσίευσε την έκθεσή της σχετικά με τις εν λόγω 11 αποφάσεις, μαζί με λεπτομερείς εκθέσεις ανά χώρα που περιγράφουν τις εξελίξεις σε καθεμία από τις χώρες και τα εδάφη μετά την έκδοση των αποφάσεων επάρκειας, καθώς και τους κανόνες που ισχύουν για την πρόσβαση των δημόσιων αρχών σε δεδομένα, ιδίως για σκοπούς επιβολής του νόμου και εθνικής ασφάλειας ( 173 ). Η έκθεση καταλήγει στο συμπέρασμα ότι και οι 11 χώρες και εδάφη εξακολουθούν να διασφαλίζουν επαρκές επίπεδο προστασίας για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την ΕΕ. Επισημαίνει το γεγονός ότι το σύνολο των ενδιαφερόμενων χωρών και εδαφών έχουν εκσυγχρονίσει και ενισχύσει το νομικό τους πλαίσιο για την προστασία της ιδιωτικής ζωής με διάφορους τρόπους. Επιπλέον, προκειμένου να γεφυρωθούν σημαντικές διαφορές στο επίπεδο προστασίας, πρόσθετες εγγυήσεις για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρώπη αποτέλεσαν αντικείμενο διαπραγμάτευσης και συμφωνίας με ορισμένες/-α εξ αυτών, όταν αυτό κρίθηκε αναγκαίο για τη διασφάλιση της συνέχειας της απόφασης επάρκειας.

Οι επανεξετάσεις αυτές καταδεικνύουν επίσης ότι οι αποφάσεις επάρκειας, αντί να σημάνουν το τέλος της διαδικασίας, έθεσαν τα θεμέλια για στενότερη συνεργασία και περαιτέρω κανονιστική σύγκλιση μεταξύ της ΕΕ και των εν λόγω ομόγνωμων εταίρων. Για παράδειγμα, η έκθεση σχετικά με την πρώτη επανεξέταση της απόφασης επάρκειας για την Ιαπωνία αναγνωρίζει ότι η περαιτέρω ενίσχυση του ιαπωνικού πλαισίου προστασίας δεδομένων μπορεί να προλειάνει το έδαφος για την επέκταση της απόφασης επάρκειας πέραν των εμπορικών ανταλλαγών, ώστε να συμπεριληφθούν διαβιβάσεις που επί του παρόντος εξαιρούνται από το πεδίο εφαρμογής της, για παράδειγμα στον τομέα της ρυθμιστικής συνεργασίας και της έρευνας. Οι συνομιλίες για τη διερεύνηση μιας τέτοιας πιθανής επέκτασης βρίσκονται σε εξέλιξη. Κατά γενικό κανόνα, οι αποφάσεις επάρκειας αποτελούν πλέον στρατηγική συνιστώσα της συνολικής σχέσης της ΕΕ με τους εν λόγω αλλοδαπούς εταίρους και αναγνωρίζονται ως σημαντικός παράγοντας διευκόλυνσης για την εμβάθυνση της συνεργασίας σε ευρύ φάσμα τομέων.

Πέραν του ότι παρέχει μια ισχυρή βάση για ενισχυμένη διμερή συνεργασία, το επεκτεινόμενο δίκτυο χωρών και εδαφών για τις οποίες / τα οποία η ΕΕ έχει εκδώσει απόφαση επάρκειας προσφέρει νέες ευκαιρίες για τη μεγιστοποίηση των οφελών που αποφέρουν οι ασφαλείς και ελεύθερες ροές δεδομένων, καθώς και για τη στενότερη συνεργασία μεταξύ ομόγνωμων εταίρων όσον αφορά την επιβολή των κανόνων για την προστασία των δεδομένων. Ως εκ τούτου, τον Μάρτιο του 2024 η Επιτροπή φιλοξένησε την πρώτη στην ιστορία συνεδρίαση υψηλού επιπέδου σχετικά με τις ασφαλείς ροές δεδομένων, στην οποία συμμετείχαν αρμόδιοι υπουργοί και επικεφαλής αρχών προστασίας δεδομένων από 15 χώρες και εδάφη για τις οποίες / τα οποία η ΕΕ έχει εκδώσει απόφαση επάρκειας, καθώς και ο πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων ( 174 ). Κατά τη συνεδρίαση προσδιορίστηκαν διάφορα συγκεκριμένα σημεία δράσης για τα οποία συνεχίζονται οι επακόλουθες εργασίες στο πλαίσιο αυτής της ομάδας.

Γενικότερα, μέσω του «αποτελέσματος δικτύου» που παράγουν, οι αποφάσεις επάρκειας που εκδίδει η Ευρωπαϊκή Επιτροπή αποκτούν ολοένα μεγαλύτερη σημασία ακόμη και πέραν των συνόρων της ΕΕ, δεδομένου ότι καθιστούν δυνατή την ελεύθερη ροή δεδομένων όχι μόνο με τις 30 οικονομίες του ΕΟΧ, αλλά και με πολύ περισσότερες περιοχές δικαιοδοσίας ανά τον κόσμο, οι οποίες αναγνωρίζουν τις χώρες για τις οποίες έχει εκδοθεί απόφαση επάρκειας της ΕΕ ως «ασφαλείς προορισμούς» βάσει των δικών τους κανόνων για την προστασία των δεδομένων ( 175 ).

7.1.2Πράξεις που προβλέπουν κατάλληλες εγγυήσεις

Αφότου δημοσιεύτηκε η έκθεση του 2020, έχουν αναπτυχθεί πρόσθετα εργαλεία που προβλέπουν κατάλληλες εγγυήσεις και έχουν εκδοθεί πρακτικές κατευθύνσεις για την ευχερέστερη χρήση τους.

Όπως εξαγγέλθηκε στην έκθεση του 2020, η Επιτροπή εξέδωσε εκσυγχρονισμένες τυποποιημένες συμβατικές ρήτρες (ΤΣΡ) ( 176 ), η κατάρτιση των οποίων βασίστηκε σε μεγάλο βαθμό στις παρατηρήσεις που υπέβαλαν διάφορα ενδιαφερόμενα μέρη ( 177 ). Οι νέες ΤΣΡ αντικατέστησαν τις τρεις δέσμες ΤΣΡ που είχαν εγκριθεί δυνάμει της οδηγίας για την προστασία των δεδομένων. Στις κύριες καινοτομίες συγκαταλέγονται οι εξής: i) επικαιροποιημένες εγγυήσεις σύμφωνα με τον ΓΚΠΔ· ii) σπονδυλωτή προσέγγιση που προσφέρει ένα ενιαίο σημείο εισόδου το οποίο καλύπτει ευρύ φάσμα σεναρίων διαβίβασης· iii) αυξημένη ευελιξία για τη χρήση ΤΣΡ από πολλαπλά ενδιαφερόμενα μέρη· και iv) πρακτική εργαλειοθήκη για τη συμμόρφωση με την απόφαση στην υπόθεση Schrems II.

Τα ενδιαφερόμενα μέρη εξέφρασαν την ικανοποίησή τους για τις εκσυγχρονισμένες ΤΣΡ και οι παρατηρήσεις που ελήφθησαν επιβεβαιώνουν ότι οι ΤΣΡ παραμένουν μακράν το πλέον χρησιμοποιούμενο εργαλείο για τις διαβιβάσεις από τους εξαγωγείς δεδομένων της ΕΕ ( 178 ). Για την παροχή συνδρομής στους εξαγωγείς δεδομένων, στο πλαίσιο των προσπαθειών συμμόρφωσης που καταβάλλουν, η Επιτροπή κατάρτισε μια δέσμη ερωτήσεων και απαντήσεων, που παρέχει περαιτέρω καθοδήγηση σχετικά με τη χρήση των ρητρών ( 179 ), οι οποίες θα επικαιροποιηθούν περαιτέρω εάν προκύψουν νέα ερωτήματα, μεταξύ άλλων υπό το πρίσμα των πρόσθετων παρατηρήσεων που λαμβάνονται στο πλαίσιο αυτής της αξιολόγησης.

Πολλοί εξαγωγείς δεδομένων αναφέρουν ότι αντιμετωπίζουν δυσκολίες ως προς τη διενέργεια «εκτιμήσεων επιπτώσεων για τις διαβιβάσεις» που απαιτούνται σύμφωνα με την απόφαση στην υπόθεση Schrems II, τις οποίες αποδίδουν ιδίως στην πολυπλοκότητά τους, καθώς και στο κόστος και τον χρόνο που απαιτούνται για τη διενέργειά τους ( 180 ). Μολονότι εκφράζουν την ικανοποίησή τους για τις κατευθύνσεις που παρέχει το Συμβούλιο Προστασίας Δεδομένων και τις ΤΣΡ, ζητούν πρόσθετη καθοδήγηση (π.χ. σχετικά με τις αρμοδιότητες των εμπλεκόμενων μερών και τον βαθμό λεπτομέρειας που απαιτείται στις εκτιμήσεις επιπτώσεων για τις διαβιβάσεις), καθώς και πρόσθετα εργαλεία για τη διευκόλυνση της διενέργειας των εν λόγω εκτιμήσεων (π.χ. υποδείγματα, γενικές εκτιμήσεις ανά χώρα, κατάλογοι κινδύνων). Μολονότι τα ενδιαφερόμενα μέρη υπέβαλαν κυρίως τις εν λόγω παρατηρήσεις σχετικά με τις ΤΣΡ, οι ίδιες εκτιμήσεις απαιτούνται και για άλλα μέσα διαβίβασης (όπως οι δεσμευτικοί εταιρικοί κανόνες). Ως εκ τούτου, είναι σημαντικό το Συμβούλιο Προστασίας Δεδομένων —με βάση την πείρα από την εφαρμογή των απαιτήσεων της απόφασης στην υπόθεση Schrems II κατά τα τελευταία έτη, μεταξύ άλλων στο πλαίσιο των δραστηριοτήτων επιβολής των εθνικών αρχών προστασίας δεδομένων— να εξετάσει τρόπους/εργαλεία που θα συνδράμουν περαιτέρω τους εξαγωγείς δεδομένων στις προσπάθειες συμμόρφωσης που καταβάλλουν στο πλαίσιο αυτό.

Για τη συμπλήρωση των υφιστάμενων ΤΣΡ, η Επιτροπή καταρτίζει επί του παρόντος πρόσθετες δέσμες ρητρών, ώστε να παράσχει στους εξαγωγείς δεδομένων της ΕΕ ένα ολοκληρωμένο και συνεκτικό σύνολο. Το σύνολο αυτό θα περιλαμβάνει ΤΣΡ δυνάμει του κανονισμού (ΕΕ) 2018/1725 για τις διαβιβάσεις δεδομένων από τα θεσμικά όργανα και τους οργανισμούς της ΕΕ προς εμπορικούς φορείς εκμετάλλευσης σε τρίτες χώρες ( 181 ), καθώς και ΤΣΡ για διαβιβάσεις δεδομένων προς εισαγωγείς δεδομένων τρίτων χωρών των οποίων οι πράξεις επεξεργασίας υπόκεινται άμεσα στον ΓΚΠΔ. Οι τελευταίες αποτελούν απάντηση στην έκκληση των ενδιαφερόμενων μερών για την κάλυψη συγκεκριμένων σεναρίων στα οποία ο εισαγωγέας των δεδομένων εμπίπτει στο εδαφικό πεδίο εφαρμογής του ΓΚΠΔ (για παράδειγμα, επειδή η εν λόγω επεξεργασία στοχεύει στην αγορά της ΕΕ σύμφωνα με το άρθρο 3 παράγραφος 2 του ΓΚΠΔ) ( 182 ). Όπως διευκρίνισε το Συμβούλιο Προστασίας Δεδομένων, και στην περίπτωση αυτή απαιτείται εργαλείο διαβίβασης δυνάμει του κεφαλαίου V του ΓΚΠΔ, λόγω των αυξημένων κινδύνων για τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία εκτός της ΕΕ, για παράδειγμα λόγω πιθανών αντικρουόμενων εθνικών νόμων ή δυσανάλογης πρόσβασης της κυβέρνησης τρίτης χώρας ( 183 ). Οι νέες ΤΣΡ που καταρτίζει η Επιτροπή θα διαλαμβάνουν ειδικά αυτό το σενάριο και θα λαμβάνουν πλήρως υπόψη τις απαιτήσεις που ισχύουν ήδη άμεσα για τους εν λόγω υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία δυνάμει του ΓΚΠΔ ( 184 ).

Όπως αναγνωρίζεται επίσης από διάφορα είδη ενδιαφερόμενων μερών ( 185 ), οι τυποποιημένες ρήτρες διαδραματίζουν ολοένα και πιο κεντρικό ρόλο στη διευκόλυνση των ροών δεδομένων ανά τον κόσμο. Διάφορες περιοχές δικαιοδοσίας έχουν εγκρίνει τις ΤΣΡ της ΕΕ ως μηχανισμό διαβίβασης στο πλαίσιο της δικής τους νομοθεσίας για την προστασία των δεδομένων, με περιορισμένες επίσημες προσαρμογές στην εσωτερική έννομη τάξη τους ( 186 ). Ορισμένες άλλες χώρες έχουν θεσπίσει δικές τους τυποποιημένες ρήτρες, οι οποίες παρουσιάζουν σημαντικά κοινά χαρακτηριστικά με τις ΤΣΡ της ΕΕ ( 187 ). Ιδιαίτερα σημαντικό παράδειγμα αποτελεί η δημιουργία τυποποιημένων ρητρών από άλλους διεθνείς/περιφερειακούς οργανισμούς ή δίκτυα, όπως η συμβουλευτική επιτροπή του Συμβουλίου της Ευρώπης για τη Σύμβαση 108, το ιβηροαμερικανικό δίκτυο προστασίας των δεδομένων και ο Σύνδεσμος Κρατών της Νοτιοανατολικής Ασίας (ASEAN) ( 188 ). Με τον τρόπο αυτό, δημιουργούνται νέες ευκαιρίες για τη διευκόλυνση των ροών δεδομένων μεταξύ διαφόρων περιοχών του κόσμου βάσει τυποποιημένων ρητρών. Απτό παράδειγμα αποτελεί ο οδηγός ΕΕ-ASEAN σχετικά με τις ΤΣΡ της ΕΕ και τις τυποποιημένες ρήτρες του ASEAN, ο οποίος βασίζεται στις παρατηρήσεις των εταιρειών και τις συνδράμει στις προσπάθειες συμμόρφωσης που καταβάλλουν στο πλαίσιο και των δύο δεσμών ρητρών ( 189 ).

Επιπλέον των ΤΣΡ, εξακολουθούν να χρησιμοποιούνται ευρέως δεσμευτικοί εταιρικοί κανόνες (ΔΕΚ) για τις ροές δεδομένων μεταξύ μελών εταιρικών ομίλων ή μεταξύ επιχειρήσεων που ασκούν κοινή οικονομική δραστηριότητα. Από την έναρξη εφαρμογής του ΓΚΠΔ, το Συμβούλιο Προστασίας Δεδομένων εξέδωσε 80 θετικές γνώμες σχετικά με εθνικές αποφάσεις για την έγκριση ΔΕΚ ( 190 ). Το Συμβούλιο Προστασίας Δεδομένων εξέδωσε επίσης κατευθυντήριες γραμμές σχετικά με τα στοιχεία που πρέπει να περιλαμβάνονται στους ΔΕΚ για τους υπευθύνους επεξεργασίας (και τις πληροφορίες που πρέπει να παρέχονται στο πλαίσιο της υποβολής αίτησης για ΔΕΚ), οι οποίες επικαιροποιήθηκαν ώστε να αντικατοπτρίζουν τις απαιτήσεις του ΓΚΠΔ και την απόφαση στην υπόθεση Schrems II ( 191 ). Καταρτίζονται επίσης επί του παρόντος επικαιροποιημένες κατευθυντήριες γραμμές σχετικά με τους ΔΕΚ για τους εκτελούντες την επεξεργασία ( 192 ). Δεδομένου ότι οι ΔΕΚ αποσκοπούν στη θέσπιση δεσμευτικών πολιτικών/προγραμμάτων για την προστασία των δεδομένων σε εταιρείες, πολλά ενδιαφερόμενα μέρη θεωρούν ότι αποτελούν ιδιαίτερα χρήσιμο εργαλείο συμμόρφωσης και αξιόπιστο μέσο διαβίβασης ( 193 ). Από την άλλη πλευρά, τα ενδιαφερόμενα μέρη συνεχίζουν να αναφέρουν ότι η διάρκεια και η πολυπλοκότητα της διαδικασίας έγκρισης από τις εθνικές αρχές προστασίας δεδομένων δεν επιτρέπουν την ευρύτερη χρήση των ΔΕΚ. Ως εκ τούτου, είναι σημαντικό οι αρχές να εξακολουθήσουν να καταβάλλουν προσπάθειες για τον εξορθολογισμό και τη συντόμευση της διαδικασίας έγκρισης.

Αφότου δημοσιεύτηκε η έκθεση του 2020, έχουν ληφθεί επίσης μέτρα που αποσκοπούν στη διευκόλυνση της χρήσης της πιστοποίησης και των κωδίκων δεοντολογίας ως εργαλείων για τις διαβιβάσεις, π.χ. μέσω της έκδοσης ειδικών κατευθυντήριων γραμμών και για τα δύο εργαλεία από το Συμβούλιο Προστασίας Δεδομένων ( 194 ). Ταυτόχρονα, τα ενδιαφερόμενα μέρη αναφέρουν τα ίδια ζητήματα σχετικά με το χρονοδιάγραμμα και την πολυπλοκότητα της διαδικασίας έγκρισης με εκείνα που αναφέρονται ανωτέρω όσον αφορά την πιστοποίηση και τους κώδικες δεοντολογίας ως εργαλεία λογοδοσίας.

Τέλος, ο ΓΚΠΔ προβλέπει επίσης ειδικές πράξεις —διεθνείς συμφωνίες και διοικητικές ρυθμίσεις, εγκεκριμένες από τις αρχές προστασίας δεδομένων— που πρέπει να χρησιμοποιούν οι δημόσιες αρχές για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς ομολόγους τους σε τρίτες χώρες ή προς διεθνείς οργανισμούς. Το Συμβούλιο Προστασίας Δεδομένων εξέδωσε κατευθυντήριες γραμμές σχετικά με τις εγγυήσεις που θα πρέπει να περιλαμβάνονται στις εν λόγω πράξεις ( 195 ), οι οποίες μπορούν να στηρίξουν τις διαπραγματεύσεις για συμφωνίες και ρυθμίσεις αυτού του είδους.

7.1.3Διασφάλιση της συμπληρωματικότητας με άλλες πολιτικές

Λαμβανομένου υπόψη ότι οι ροές δεδομένων είναι πλέον απαραίτητες για τόσο μεγάλο αριθμό δραστηριοτήτων, είναι εξαιρετικά σημαντικό να διασφαλιστεί ότι οι πολιτικές προστασίας των δεδομένων και άλλες πολιτικές αλληλοσυμπληρώνονται. Η συμπερίληψη εγγυήσεων για την προστασία των δεδομένων στις διεθνείς πράξεις αποτελεί συχνά όχι μόνο προϋπόθεση για τις ροές δεδομένων, αλλά και σημαντικό παράγοντα διευκόλυνσης της σταθερής και αξιόπιστης συνεργασίας.

Για παράδειγμα, οι διεθνείς συμφωνίες που προβλέπουν τις απαραίτητες εγγυήσεις για την προστασία των δεδομένων, μεταξύ άλλων εξασφαλίζοντας τη συνέχεια της προστασίας από την πλευρά της αιτούσας αρχής, είναι ουσιώδεις για την εξασφάλιση της αβροφροσύνης και τη διευκόλυνση της διασυνοριακής πρόσβασης των αρχών επιβολής του νόμου σε ηλεκτρονικά αποδεικτικά στοιχεία που βρίσκονται στην κατοχή εταιρειών και, κατ’ αυτόν τον τρόπο, για την αποτελεσματικότερη καταπολέμηση του εγκλήματος. Η προσέγγιση αυτή αντικατοπτρίζεται στο δεύτερο πρόσθετο πρωτόκολλο της σύμβασης για το έγκλημα στον κυβερνοχώρο ( 196 ), το οποίο ενισχύει τους υφιστάμενους κανόνες για την απόκτηση διασυνοριακής πρόσβασης σε ηλεκτρονικά αποδεικτικά στοιχεία στο πλαίσιο ποινικών ερευνών, εξασφαλίζοντας παράλληλα την ύπαρξη κατάλληλων εγγυήσεων για την προστασία των δεδομένων. Στο μεταξύ, το πρωτόκολλο έχει υπογραφεί από διάφορα κράτη μέλη της ΕΕ. Στο ίδιο πνεύμα προχωρούν και οι διμερείς διαπραγματεύσεις μεταξύ της ΕΕ και των ΗΠΑ για τη σύναψη συμφωνίας σχετικά με τη διασυνοριακή πρόσβαση σε ηλεκτρονικά αποδεικτικά στοιχεία για τη συνεργασία σε ποινικές υποθέσεις ( 197 ).

Η ανταλλαγή δεδομένων από τις καταστάσεις ονομάτων επιβατών (PNR) αποτελεί έναν ακόμη τομέα της πολιτικής ασφάλειας της ΕΕ που επωφελήθηκε από την ανάπτυξη ισχυρών εγγυήσεων για την προστασία των δεδομένων. Το 2023 η ΕΕ και ο Καναδάς ολοκλήρωσαν τις διαπραγματεύσεις τους για μια νέα συμφωνία για τις καταστάσεις ονομάτων επιβατών σύμφωνα με τις απαιτήσεις του Δικαστηρίου στη γνωμοδότησή του 1/15 ( 198 ). Παρόμοιες εγγυήσεις έχουν συμπεριληφθεί στο κεφάλαιο για τις καταστάσεις ονομάτων επιβατών της συμφωνίας εμπορίου και συνεργασίας ΕΕ – Ηνωμένου Βασιλείου. Η συμπερίληψη ενισχυμένης προστασίας της ιδιωτικής ζωής στις εν λόγω συμφωνίες, οι οποίες μπορούν να χρησιμεύσουν ως υπόδειγμα για μελλοντικές συμφωνίες με άλλους εταίρους, παρέχει ασφάλεια δικαίου στους αερομεταφορείς, διαφυλάσσοντας ταυτόχρονα τη σταθερότητα σημαντικών ανταλλαγών πληροφοριών για την καταπολέμηση της τρομοκρατίας και άλλων σοβαρών διακρατικών εγκλημάτων.

Η Επιτροπή υποστηρίζει επίσης τη θέσπιση αυστηρών διατάξεων για την προστασία της ιδιωτικής ζωής και την προώθηση του ψηφιακού εμπορίου από τον Παγκόσμιο Οργανισμό Εμπορίου στο πλαίσιο των διαπραγματεύσεων που βρίσκονται σε εξέλιξη για την πρωτοβουλία κοινής δήλωσης σχετικά με το ηλεκτρονικό εμπόριο. Παρόμοιες διατάξεις για την καταπολέμηση των αδικαιολόγητων εμποδίων στο ψηφιακό εμπόριο —με παράλληλη προστασία του χώρου που χρειάζονται τα συμβαλλόμενα μέρη για τη θέσπιση πολιτικών στον τομέα της προστασίας των δεδομένων— έχουν συμπεριληφθεί συστηματικά στις συμφωνίες ελεύθερων συναλλαγών που έχει συνάψει η ΕΕ μετά την έναρξη εφαρμογής του ΓΚΠΔ, ιδίως στη συμφωνία εμπορίου και συνεργασίας ΕΕ – Ηνωμένου Βασιλείου και στις συμφωνίες με την Ιαπωνία, τη Νέα Ζηλανδία και τη Χιλή. Επίσης, οι διατάξεις για την προστασία της ιδιωτικής ζωής και τις ροές δεδομένων αποτελούν επί του παρόντος αντικείμενο συζήτησης στο πλαίσιο των διαπραγματεύσεων για το ψηφιακό εμπόριο που βρίσκονται σε εξέλιξη με τη Νότια Κορέα και τη Σινγκαπούρη.

7.2Διεθνής συνεργασία για την προστασία των δεδομένων

7.2.1Η διμερής διάσταση

Η Επιτροπή συνέχισε τον διάλογο με χώρες και διεθνείς οργανισμούς σχετικά με την κατάρτιση, τη μεταρρύθμιση και την εφαρμογή κανόνων για την προστασία της ιδιωτικής ζωής, μεταξύ άλλων υποβάλλοντας παρατηρήσεις σε δημόσιες διαβουλεύσεις σχετικά με σχέδια νομοθετικών ή κανονιστικών μέτρων στον τομέα της προστασίας της ιδιωτικής ζωής ( 199 ), καταθέτοντας ενώπιον των αρμόδιων κοινοβουλευτικών οργάνων ( 200 ) και συμμετέχοντας σε ειδικές συνεδριάσεις με εκπροσώπους κυβερνήσεων, αντιπροσωπείες κοινοβουλίων και ρυθμιστικές αρχές από πολλές περιοχές του πλανήτη ( 201 ). Ορισμένες από τις δραστηριότητες αυτές έχουν υλοποιηθεί μέσω του προγράμματος «Ενισχυμένη προστασία δεδομένων και ροές δεδομένων», το οποίο χρηματοδοτείται από την ΕΕ και παρέχει στήριξη σε χώρες που σκοπεύουν να αναπτύξουν σύγχρονα πλαίσια προστασίας δεδομένων ή να ενισχύσουν τις δυνατότητες των ρυθμιστικών αρχών τους, μέσω της κατάρτισης, της ανταλλαγής γνώσεων, της ανάπτυξης ικανοτήτων και της ανταλλαγής βέλτιστων πρακτικών. Η Επιτροπή έχει συμβάλει και σε άλλες πρωτοβουλίες, όπως η ψηφιακή συμμαχία ΕΕ-CELAC.

Η προστασία των δεδομένων θα εξακολουθήσει επίσης να διαδραματίζει καίριο ρόλο στις εργασίες της Επιτροπής σχετικά με τη διεύρυνση. Η νομοθεσία της ΕΕ για την προστασία των δεδομένων αποτελεί σημαντική συνιστώσα της συνολικής προσπάθειας που καταβάλλουν οι χώρες της διεύρυνσης για να ευθυγραμμίσουν τα νομικά τους πλαίσια με εκείνα της ΕΕ (λαμβανομένου ιδίως υπόψη ότι η επεξεργασία και η ανταλλαγή δεδομένων προσωπικού χαρακτήρα βρίσκονται στο επίκεντρο πολύ μεγάλου αριθμού πολιτικών). Επιπλέον, η ανεξαρτησία και η ορθή λειτουργία μιας αρχής προστασίας δεδομένων αποτελούν βασικά στοιχεία των συνολικών ελέγχων και ισορροπιών, καθώς και του κράτους δικαίου, και θα αποκτούν ολοένα και πιο βαρύνουσα σημασία καθώς η ΕΕ θα εντάσσει σταδιακά τις χώρες της διεύρυνσης στην ενιαία αγορά (σύμφωνα με τις προβλέψεις πρωτοβουλιών όπως το σχέδιο ανάπτυξης για τα Δυτικά Βαλκάνια).

Μια ολοένα και πιο σημαντική πτυχή του διαλόγου της ΕΕ με τρίτες χώρες εστιάζει στις ανταλλαγές μεταξύ ρυθμιστικών αρχών. Όπως εξαγγέλθηκε στην έκθεση του 2020, η Επιτροπή δημιούργησε «ακαδημία προστασίας δεδομένων», με σκοπό την προώθηση των ανταλλαγών μεταξύ των αρχών προστασίας δεδομένων της ΕΕ και τρίτων χωρών και, κατ’ αυτόν τον τρόπο, τη συμβολή στην ανάπτυξη ικανοτήτων και τη βελτίωση της συνεργασίας «επί τόπου». Η ακαδημία προσφέρει εξατομικευμένη κατάρτιση κατόπιν αιτήματος των αρχών τρίτων χωρών και συνδυάζει την εμπειρογνωσία εκπροσώπων από τον τομέα της επιβολής, της ακαδημαϊκής κοινότητας, του ιδιωτικού τομέα και των ευρωπαϊκών θεσμικών οργάνων. Η προστιθέμενη αξία των προγραμμάτων κατάρτισης έγκειται στην προσαρμογή των διαφόρων συνιστωσών στα συμφέροντα και τις ανάγκες της αιτούσας αρχής. Επιπλέον, τα εν λόγω προγράμματα κατάρτισης παρέχουν στις αρχές προστασίας δεδομένων της ΕΕ και τρίτων χωρών τη δυνατότητα να δημιουργούν επαφές, να ανταλλάσσουν γνώσεις, εμπειρίες και βέλτιστες πρακτικές και να προσδιορίζουν πιθανούς τομείς συνεργασίας. Η ακαδημία έχει παράσχει μέχρι στιγμής κατάρτιση στις αρχές προστασίας δεδομένων της Ινδονησίας, της Βραζιλίας, της Κένυας, της Νιγηρίας και της Ρουάντας, ενώ προετοιμάζει επί του παρόντος προγράμματα κατάρτισης και για διάφορες άλλες χώρες.

Πέρα από τη σημασία της διατήρησης διαλόγου μεταξύ των ρυθμιστικών αρχών, διαπιστώνεται εντεινόμενη ανάγκη —όπως αναγνωρίζεται και στις παρατηρήσεις που λαμβάνονται από το Συμβούλιο και το Συμβούλιο Προστασίας Δεδομένων ( 202 )— για την κατάρτιση κατάλληλων νομικών πράξεων που αποσκοπούν σε στενότερες μορφές συνεργασίας και αμοιβαίας συνδρομής, μεταξύ άλλων μέσω της δυνατότητας ανταλλαγής των απαιτούμενων πληροφοριών στο πλαίσιο ερευνών. Πράγματι, δεδομένου ότι οι παραβιάσεις της ιδιωτικότητας έχουν ολοένα και περισσότερες επιπτώσεις σε διασυνοριακό επίπεδο, η διερεύνηση και η αντιμετώπισή τους είναι συχνά δυνατή μόνο μέσω της συνεργασίας μεταξύ ρυθμιστικών αρχών της ΕΕ και τρίτων χωρών. Ως εκ τούτου, η Επιτροπή θα ζητήσει εξουσιοδότηση για την έναρξη διαπραγματεύσεων με σκοπό τη σύναψη συμφωνιών συνεργασίας στον τομέα της επιβολής με σχετικές τρίτες χώρες (όπως προβλέπεται επίσης στο άρθρο 50 του ΓΚΠΔ). Στο πλαίσιο αυτό, η Επιτροπή επισημαίνει το αίτημα του Συμβουλίου Προστασίας Δεδομένων να εξεταστούν συγκεκριμένα ως δυνητικοί εταίροι χώρες με τους περισσότερους φορείς εκμετάλλευσης που υπόκεινται άμεσα στον ΓΚΠΔ, ιδίως χώρες της G7 και/ή χώρες που επωφελούνται από αποφάσεις επάρκειας ( 203 ).

Η σύναψη τέτοιων συμφωνιών συνεργασίας και αμοιβαίας συνδρομής στον τομέα της επιβολής θα συμβάλει επίσης στη διασφάλιση της συμμόρφωσης των αλλοδαπών φορέων εκμετάλλευσης που υπόκεινται στον ΓΚΠΔ, καθώς και της αποτελεσματικής επιβολής στους εν λόγω φορείς, για παράδειγμα επειδή στοχεύουν ειδικά στην αγορά της ΕΕ προσφέροντας αγαθά ή υπηρεσίες. Το Συμβούλιο υπογραμμίζει τη σημασία που έχει η επιβολή της συμμόρφωσης προς τον ΓΚΠΔ σε τέτοιες περιπτώσεις και εκφράζει ανησυχίες ως προς τους ίσους όρους ανταγωνισμού με τις οντότητες στην ΕΕ, καθώς και όσον αφορά την αποτελεσματική προστασία των δικαιωμάτων των φυσικών προσώπων ( 204 ). Η Επιτροπή συμφωνεί με την έκκληση του Συμβουλίου να διερευνηθούν διάφοροι τρόποι για τη διευκόλυνση της επιβολής στο πλαίσιο αυτού του σεναρίου. Παρότι οι πιο επίσημες μορφές συνεργασίας με τις ρυθμιστικές αρχές τρίτων χωρών θα μπορούσαν ασφαλώς να διαδραματίσουν σημαντικό ρόλο, θα πρέπει επίσης να επιδιωχθεί με μεγαλύτερη αποφασιστικότητα η χρήση άλλων, υφιστάμενων, μεθόδων. Στο πλαίσιο αυτό περιλαμβάνονται η πλήρης αξιοποίηση της εργαλειοθήκης επιβολής το άρθρου 58 του ΓΚΠΔ και η συμμετοχή εκπροσώπων αλλοδαπών εταιρειών στην ΕΕ (που διορίζονται σύμφωνα με το άρθρο 27 του ΓΚΠΔ).

7.2.2Η πολυμερής διάσταση

Η Επιτροπή εξακολουθεί επίσης να συμμετέχει ενεργά σε διάφορα διεθνή φόρουμ για την προώθηση κοινών αξιών και την επίτευξη σύγκλισης σε περιφερειακό και παγκόσμιο επίπεδο.

Η συμμετοχή αυτή περιλαμβάνει, για παράδειγμα, την ενεργό συμβολή στις εργασίες της συμβουλευτικής επιτροπής για τη σύμβαση για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα (σύμβαση 108), τη μοναδική νομικά δεσμευτική πολυμερή πράξη στον τομέα της προστασίας δεδομένων προσωπικού χαρακτήρα. Μέχρι στιγμής, 31 κράτη έχουν κυρώσει το τροποποιητικό πρωτόκολλο για τον εκσυγχρονισμό της σύμβασης 108 ( 205 ), συμπεριλαμβανομένων πολλών κρατών μελών της ΕΕ, καθώς και ορισμένων χωρών που δεν είναι μέλη του Συμβουλίου της Ευρώπης (Αργεντινή, Μαυρίκιος και Ουρουγουάη). Από τα κράτη μέλη της ΕΕ, εκκρεμεί μόνο η υπογραφή ενός κράτους μέλους ( 206 ), ενώ οκτώ κράτη μέλη ( 207 ) έχουν υπογράψει μέχρι στιγμής την εκσυγχρονισμένη σύμβαση, αλλά δεν την έχουν κυρώσει. Η Επιτροπή καλεί το ένα εναπομείναν κράτος μέλος να υπογράψει την εκσυγχρονισμένη σύμβαση και τα υπόλοιπα κράτη μέλη να προχωρήσουν άμεσα στην κύρωσή της, ώστε να τεθεί σε ισχύ στο προσεχές μέλλον. Πέραν τούτου, θα εξακολουθήσει να προωθεί προορατικά την προσχώρηση τρίτων χωρών.

Σε επίπεδο G20 και G7, οι συζητήσεις σχετικά με την προστασία της ιδιωτικής ζωής και τις ροές δεδομένων επικεντρώθηκαν στην επιχειρησιακή εφαρμογή της έννοιας της «ελεύθερης ροής δεδομένων με εμπιστοσύνη» —την οποία πρότεινε αρχικά η Ιαπωνία— η οποία αναγνωρίζει ότι η προστασία και η ασφάλεια των δεδομένων μπορούν να συμβάλουν στην εμπιστοσύνη προς την ψηφιακή οικονομία και να διευκολύνουν τις ροές δεδομένων ( 208 ). Ο ΟΟΣΑ διαδραματίζει ιδιαίτερα σημαντικό ρόλο στο πλαίσιο αυτό, δεδομένου ότι προσφέρει ένα φόρουμ για μια κοινότητα εμπειρογνωμόνων στον τομέα της ελεύθερης ροής δεδομένων με εμπιστοσύνη, το οποίο φέρει σε επαφή ευρύ φάσμα ενδιαφερόμενων μερών (κυβερνήσεις, ρυθμιστικές αρχές, οικείος κλάδος, κοινωνία των πολιτών, ακαδημαϊκή κοινότητα) για την παροχή στοιχείων όσον αφορά συγκεκριμένα έργα και ερωτήματα σχετικά με την έννοια της ελεύθερης ροής δεδομένων με εμπιστοσύνη. Επιπλέον, ένα σημαντικό αποτέλεσμα της πρωτοβουλίας για την ελεύθερη ροή δεδομένων με εμπιστοσύνη, στο οποίο συνέβαλε σημαντικά η Επιτροπή, είναι η έγκριση από τον ΟΟΣΑ δήλωσης σχετικά με την κυβερνητική πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που κατέχουν οντότητες του ιδιωτικού τομέα, η οποία αποτελεί την πρώτη διεθνή πράξη στον εν λόγω τομέα. Η δήλωση περιλαμβάνει ορισμένες κοινές απαιτήσεις για τη διαφύλαξη της προστασίας της ιδιωτικής ζωής κατά την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα για σκοπούς εθνικής ασφάλειας και επιβολής του νόμου. Δεδομένου ότι αναγνωρίζεται ολοένα και περισσότερο σε παγκόσμιο επίπεδο ότι η εμπιστοσύνη στις διαβιβάσεις δεδομένων επηρεάζεται αρνητικά από τη δυσανάλογη κυβερνητική πρόσβαση, η εν λόγω δήλωση συμβάλλει σημαντικά στη διευκόλυνση αξιόπιστων ροών δεδομένων. Η Επιτροπή θα συνεχίσει να παροτρύνει τις χώρες να συνυπογράψουν τη δήλωση, δυνατότητα που προσφέρεται και σε χώρες που δεν είναι μέλη του ΟΟΣΑ.

Η Επιτροπή συνεργάζεται επίσης με διάφορους περιφερειακούς οργανισμούς και δίκτυα που διαμορφώνουν κοινές εγγυήσεις για την προστασία των δεδομένων. Η συνεργασία αυτή αφορά, για παράδειγμα, τον ASEAN, την Αφρικανική Ένωση, το φόρουμ των αρχών προστασίας των δεδομένων στην περιοχή της Ασίας και του Ειρηνικού, το ιβηροαμερικανικό δίκτυο προστασίας των δεδομένων και το δίκτυο αφρικανικών αρχών προστασίας των δεδομένων (NADPA-RADPD). Η κατάρτιση του προαναφερόμενου οδηγού ΕΕ-ASEAN σχετικά με τις τυποποιημένες ρήτρες αποτελεί απτό παράδειγμα μιας τέτοιας εποικοδομητικής συνεργασίας.

Τέλος, η Επιτροπή διατηρεί διάλογο με διάφορους διεθνείς οργανισμούς, μεταξύ άλλων για τη διερεύνηση πιθανών τρόπων περαιτέρω διευκόλυνσης των ροών δεδομένων μεταξύ της ΕΕ και των εν λόγω οργανισμών. Δεδομένου ότι τα τελευταία έτη πολλοί οργανισμοί έχουν εκσυγχρονίσει τα οικεία πλαίσια για την προστασία των δεδομένων ή βρίσκονται σε διαδικασία εκσυγχρονισμού τους, προκύπτουν επίσης νέες ευκαιρίες για την ανταλλαγή εμπειριών και βέλτιστων πρακτικών. Στο πλαίσιο αυτό, τα ετήσια εργαστήρια με διεθνείς οργανισμούς και μια εξειδικευμένη ειδική ομάδα για τις διεθνείς διαβιβάσεις δεδομένων που οργανώνει ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων έχουν αποδειχθεί ιδιαίτερα χρήσιμα φόρουμ για την ανταλλαγή και τη διερεύνηση συγκεκριμένων μέσων συνεργασίας, συμπεριλαμβανομένης της ανταλλαγής δεδομένων προσωπικού χαρακτήρα ( 209 ).

8Συμπέρασμα

Κατά τη διάρκεια των 6 ετών από την έναρξη εφαρμογής του, ο ΓΚΠΔ έχει ενδυναμώσει τους πολίτες, παρέχοντάς τους τη δυνατότητα να ασκούν αποτελεσματικό έλεγχο επί των δεδομένων τους. Έχει συμβάλει επίσης στη δημιουργία ίσων όρων ανταγωνισμού για τις επιχειρήσεις και έχει αποτελέσει τον ακρογωνιαίο λίθο για το ευρύ φάσμα πρωτοβουλιών που προωθούν την ψηφιακή μετάβαση στην ΕΕ.

Ωστόσο, για την πλήρη επίτευξη του διττού στόχου του ΓΚΠΔ —δηλαδή για τη διασφάλιση, αφενός, ισχυρού επιπέδου προστασίας για τα φυσικά πρόσωπα και, αφετέρου, ελεύθερης ροής δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ και ασφαλών ροών δεδομένων εκτός της ΕΕ— απαιτείται εστίαση στα εξής:

·αυστηρή επιβολή του ΓΚΠΔ, αρχής γενομένης από την ταχεία έγκριση της πρότασης της Επιτροπής για τους διαδικαστικούς κανόνες με στόχο την ταχεία παροχή έννομης προστασίας και ασφάλειας δικαίου σε υποθέσεις που επηρεάζουν φυσικά πρόσωπα σε ολόκληρη την ΕΕ·

·παροχή προορατικής στήριξης από τις αρχές προστασίας δεδομένων προς τα ενδιαφερόμενα μέρη στις προσπάθειες συμμόρφωσης που καταβάλλουν, ιδίως προς τις ΜΜΕ και τους μικρούς φορείς εκμετάλλευσης·

·συνεκτική ερμηνεία και εφαρμογή του ΓΚΠΔ σε ολόκληρη την ΕΕ·

·αποτελεσματική συνεργασία μεταξύ των ρυθμιστικών αρχών, τόσο σε εθνικό όσο και σε ενωσιακό επίπεδο, για τη διασφάλιση της συνεπούς και συνεκτικής εφαρμογής του αυξανόμενου όγκου ψηφιακών κανόνων της ΕΕ·

·περαιτέρω προώθηση της διεθνούς στρατηγικής της Επιτροπής για την προστασία των δεδομένων.

Για την υποστήριξη της αποτελεσματικής εφαρμογής του ΓΚΠΔ και την πλαισίωση περαιτέρω προβληματισμών σχετικά με την προστασία των δεδομένων, απαιτούνται διάφορες δράσεις που προσδιορίζονται στο παρόν έγγραφο. Η Επιτροπή θα στηρίζει και θα παρακολουθεί την εφαρμογή τους ενόψει της επόμενης έκθεσης που θα εκδοθεί το 2028. 

Ανάπτυξη αποτελεσματικών δομών συνεργασίας

Το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο καλούνται να εγκρίνουν ταχύτατα την πρόταση για τους διαδικαστικούς κανόνες του ΓΚΠΔ.

Το Συμβούλιο Προστασίας Δεδομένων και οι αρχές προστασίας δεδομένων καλούνται:

-να καθιερώσουν τακτική συνεργασία με άλλες τομεακές ρυθμιστικές αρχές για ζητήματα που έχουν αντίκτυπο στην προστασία των δεδομένων, ιδίως όσον αφορά ζητήματα που ανακύπτουν στο πλαίσιο της νέας ψηφιακής νομοθεσίας της ΕΕ, και να συμμετέχουν ενεργά σε δομές ενωσιακού επιπέδου που έχουν σχεδιαστεί για τη διευκόλυνση της συνεργασίας μεταξύ των ρυθμιστικών αρχών,

-να αξιοποιήσουν καλύτερα τα εργαλεία συνεργασίας που προβλέπονται από τον ΓΚΠΔ, ώστε η επίλυση διαφορών να χρησιμοποιείται μόνο ως έσχατη λύση,

-να εφαρμόζουν αποδοτικότερες και πιο στοχευμένες ρυθμίσεις εργασίας για κατευθυντήριες γραμμές, γνώμες και αποφάσεις και να ιεραρχούν κατά προτεραιότητα τα βασικά ζητήματα με σκοπό τη μείωση του φόρτου των αρχών προστασίας δεδομένων και τη διασφάλιση ταχύτερης ανταπόκρισης στις εξελίξεις της αγοράς.

Τα κράτη μέλη πρέπει:

-να διασφαλίζουν την πραγματική και πλήρη ανεξαρτησία των εθνικών αρχών προστασίας δεδομένων,

-να διαθέτουν επαρκείς πόρους στις αρχές προστασίας δεδομένων ώστε να έχουν τη δυνατότητα να εκπληρώνουν τα καθήκοντά τους, παρέχοντάς τους ιδίως τους τεχνικούς πόρους και την εμπειρογνωσία που απαιτούνται για την αντιμετώπιση των αναδυόμενων τεχνολογιών και την εκτέλεση νέων αρμοδιοτήτων βάσει της ψηφιακής νομοθεσίας,

-να παρέχουν στις αρχές προστασίας δεδομένων τα ερευνητικά εργαλεία που απαιτούνται για την αποτελεσματική χρήση των εξουσιών επιβολής που προβλέπει ο ΓΚΠΔ,

-να στηρίζουν τον διάλογο μεταξύ των αρχών προστασίας δεδομένων και άλλων εθνικών ρυθμιστικών αρχών, ιδίως εκείνων που δημιουργούνται βάσει της νέας ψηφιακής νομοθεσίας.

Η Επιτροπή:

-θα στηρίξει ενεργά την ταχεία έγκριση της πρότασης για τους διαδικαστικούς κανόνες του ΓΚΠΔ από τους συννομοθέτες,

-θα εξακολουθήσει να παρακολουθεί στενά την πραγματική και πλήρη ανεξαρτησία των εθνικών αρχών προστασίας δεδομένων,

-θα δημιουργήσει συνέργειες και συνοχή μεταξύ του ΓΚΠΔ και του συνόλου της νομοθεσίας που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση την πείρα και, εάν κριθεί αναγκαίο, θα λάβει κατάλληλα μέτρα για την παροχή ασφάλειας δικαίου,

-θα εξετάσει πιθανούς τρόπους για την καλύτερη αντιμετώπιση της ανάγκης διαρθρωμένης και αποδοτικής συνεργασίας μεταξύ των ρυθμιστικών αρχών, με σκοπό τη διασφάλιση της αποτελεσματικής, συνεπούς και συνεκτικής εφαρμογής των ψηφιακών κανόνων της ΕΕ, σεβόμενη παράλληλα την αρμοδιότητα που έχουν οι αρχές προστασίας δεδομένων για όλα τα ζητήματα που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Εφαρμογή και συμπλήρωση του νομικού πλαισίου

Τα κράτη μέλη πρέπει:

-να διασφαλίζουν την έγκαιρη διαβούλευση με τις αρχές προστασίας δεδομένων πριν από τη θέσπιση νομοθεσίας σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Η Επιτροπή:

-θα χρησιμοποιήσει όλα τα μέσα που έχει στη διάθεσή της, συμπεριλαμβανομένων των διαδικασιών επί παραβάσει, ώστε να διασφαλιστεί η συμμόρφωση των κρατών μελών με τον ΓΚΠΔ,

-θα εξακολουθήσει να στηρίζει τις ανταλλαγές απόψεων και εθνικών πρακτικών μεταξύ των κρατών μελών, μεταξύ άλλων μέσω της ομάδας εμπειρογνωμόνων των κρατών μελών για τον ΓΚΠΔ,

-θα επιδιώξει την υλοποίηση δράσεων για τη διασφάλιση της προστασίας, της ενδυνάμωσης και του σεβασμού των παιδιών στο διαδίκτυο,

-θα εξετάσει πιθανές επόμενες ενέργειες όσον αφορά την πρόταση κανονισμού για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, συμπεριλαμβανομένης της σχέσης του με τον ΓΚΠΔ.

Στήριξη των ενδιαφερόμενων μερών

Το Συμβούλιο Προστασίας Δεδομένων και οι αρχές προστασίας δεδομένων καλούνται:

-να συμμετάσχουν σε εποικοδομητικό διάλογο με τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία όσον αφορά τη συμμόρφωση προς τον ΓΚΠΔ,

-να εντείνουν περαιτέρω τις προσπάθειες για τη στήριξη της συμμόρφωσης των ΜΜΕ, παρέχοντας εξατομικευμένη καθοδήγηση και εξατομικευμένα εργαλεία, μετριάζοντας τυχόν αβάσιμες ανησυχίες όσον αφορά τη συμμόρφωση από μέρους των ΜΜΕ που δεν έχουν ως βασική τους δραστηριότητα την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και συνδράμοντάς τις στις προσπάθειες συμμόρφωσης που καταβάλλουν,

-να στηρίζουν την εφαρμογή αποτελεσματικών μέτρων συμμόρφωσης από τις επιχειρήσεις, όπως η πιστοποίηση και οι κώδικες δεοντολογίας (μεταξύ άλλων ως εργαλεία για τις διαβιβάσεις), μέσω της συνεργασίας με τα ενδιαφερόμενα μέρη κατά τη διαδικασία έγκρισης, της παροχής σαφών χρονοδιαγραμμάτων για τις εγκρίσεις και, όπως προβλέπεται στη στρατηγική του Συμβουλίου Προστασίας Δεδομένων για την περίοδο 2024-2027, μέσω της παροχής διευκρινίσεων στις βασικές ομάδες ενδιαφερόμενων μερών ως προς τον τρόπο με τον οποίο μπορούν να χρησιμοποιηθούν τα εν λόγω εργαλεία,

-να διασφαλίζουν ότι οι εθνικές κατευθυντήριες γραμμές και η εφαρμογή του ΓΚΠΔ σε εθνικό επίπεδο συνάδουν με τις κατευθυντήριες γραμμές του Συμβουλίου Προστασίας Δεδομένων και τη νομολογία του Δικαστηρίου,

-να επιλύουν τα ζητήματα αποκλίνουσας ερμηνείας του ΓΚΠΔ μεταξύ των αρχών προστασίας δεδομένων, συμπεριλαμβανομένων των σχετικών ζητημάτων ερμηνείας μεταξύ αρχών του ιδίου κράτους μέλους,

-να παρέχουν κατευθυντήριες γραμμές που είναι συνοπτικές, πρακτικές και προσβάσιμες για το ενδιαφερόμενο κοινό, όπως προβλέπεται στη στρατηγική του Συμβουλίου Προστασίας Δεδομένων για την περίοδο 2024-2027,

-να μεριμνήσουν για την ακόμη πιο έγκαιρη και πιο ουσιαστική διαβούλευση σχετικά με τις κατευθυντήριες γραμμές και τις γνώμες, ώστε να γίνονται καλύτερα κατανοητές η δυναμική της αγοράς και οι επιχειρηματικές πρακτικές, να συνυπολογίζονται δεόντως οι παρατηρήσεις που υποβάλλονται και να λαμβάνεται υπόψη η απτή εφαρμογή των υιοθετούμενων ερμηνειών,

-να ολοκληρώσουν κατά προτεραιότητα τις εργασίες που βρίσκονται σε εξέλιξη σχετικά με τις κατευθυντήριες γραμμές για τα δεδομένα των παιδιών, την επιστημονική έρευνα, την ανωνυμοποίηση, την ψευδωνυμοποίηση και το έννομο συμφέρον,

-να εντείνουν τις δραστηριότητες ευαισθητοποίησης, καθώς και τις δράσεις ενημέρωσης και επιβολής, ώστε να διασφαλιστεί ότι οι υπεύθυνοι προστασίας δεδομένων θα έχουν τη δυνατότητα να εκπληρώνουν τα καθήκοντά τους βάσει του ΓΚΠΔ.

Η Επιτροπή:

-θα εξακολουθήσει να παρέχει χρηματοδοτική στήριξη για τις δραστηριότητες των αρχών προστασίας δεδομένων που διευκολύνουν την εφαρμογή των υποχρεώσεων του ΓΚΠΔ από τις ΜΜΕ,

-θα χρησιμοποιήσει όλα τα διαθέσιμα μέσα για την παροχή πρόσφορων διευκρινίσεων σχετικά με σημαντικά ζητήματα στα ενδιαφερόμενα μέρη, συμπεριλαμβανομένων των ΜΜΕ, ζητώντας ιδίως τη γνώμη του Συμβουλίου Προστασίας Δεδομένων.

Περαιτέρω ανάπτυξη της εργαλειοθήκης για τις διαβιβάσεις δεδομένων και της διεθνούς συνεργασίας

Το Συμβούλιο Προστασίας Δεδομένων και οι αρχές προστασίας δεδομένων καλούνται:

-να ολοκληρώσουν τις εργασίες για τον εξορθολογισμό και τη συντόμευση της διαδικασίας έγκρισης δεσμευτικών εταιρικών κανόνων, καθώς και για την επικαιροποίηση των κατευθυντήριων γραμμών σχετικά με τα στοιχεία που πρέπει να περιέχονται στους δεσμευτικούς εταιρικούς κανόνες για τους εκτελούντες την επεξεργασία,

-να διερευνήσουν τρόπους/εργαλεία για την παροχή περαιτέρω συνδρομής στους εξαγωγείς δεδομένων στο πλαίσιο των προσπαθειών συμμόρφωσης που καταβάλλουν σε σχέση με τις απαιτήσεις της απόφασης στην υπόθεση Schrems II,

-να διερευνήσουν περαιτέρω τρόπους για τη διασφάλιση της αποτελεσματικής επιβολής έναντι φορέων εκμετάλλευσης οι οποίοι είναι εγκατεστημένοι σε τρίτες χώρες που εμπίπτουν στο εδαφικό πεδίο εφαρμογής του ΓΚΠΔ.

Τα κράτη μέλη πρέπει:

-να εξασφαλίσουν το συντομότερο δυνατόν την υπογραφή και την κύρωση της εκσυγχρονισμένης Σύμβασης 108+ του Συμβουλίου της Ευρώπης στις περιπτώσεις όπου αυτό δεν έχει γίνει ήδη, ώστε να καταστεί δυνατή η έναρξη ισχύος της.

Η Επιτροπή:

-θα σημειώσει περαιτέρω πρόοδο στο πλαίσιο των συνομιλιών για την επάρκεια που βρίσκονται σε εξέλιξη, θα διερευνήσει την περαιτέρω ανάπτυξη των υφιστάμενων πορισμάτων επάρκειας και θα επιδιώξει την έναρξη νέων διαλόγων για την επάρκεια με τους ενδιαφερόμενους εταίρους,

-θα στηρίξει την αυξημένη συνεργασία μεταξύ των μελών του δικτύου των χωρών που επωφελούνται από αποφάσεις επάρκειας,

-θα ολοκληρώσει τις εργασίες σχετικά με τις πρόσθετες τυποποιημένες συμβατικές ρήτρες, ιδίως για τις διαβιβάσεις δεδομένων σε εισαγωγείς δεδομένων η επεξεργασία των οποίων υπόκειται άμεσα στον ΓΚΠΔ και τις διαβιβάσεις βάσει του κανονισμού (ΕΕ) 2018/1725 για διαβιβάσεις δεδομένων από τα θεσμικά όργανα και τους οργανισμούς της ΕΕ,

-θα συνεργαστεί με διεθνείς εταίρους για τη διευκόλυνση των ροών δεδομένων βάσει υποδειγμάτων συμβατικών ρητρών,

-θα υποστηρίξει τις μεταρρυθμιστικές διαδικασίες που βρίσκονται σε εξέλιξη σε τρίτες χώρες, όσον αφορά νέους ή εκσυγχρονισμένους κανόνες για την προστασία των δεδομένων, μέσω της ανταλλαγής εμπειριών και βέλτιστων πρακτικών,

-θα συνεργαστεί με διεθνείς και περιφερειακούς οργανισμούς, όπως ο ΟΟΣΑ και η G7, για την προώθηση αξιόπιστων ροών δεδομένων με βάση υψηλά πρότυπα προστασίας των δεδομένων, μεταξύ άλλων στο πλαίσιο της πρωτοβουλίας για τη ροή δεδομένων με εμπιστοσύνη,

-θα διευκολύνει και θα στηρίξει τις ανταλλαγές μεταξύ ευρωπαϊκών και διεθνών ρυθμιστικών αρχών, μεταξύ άλλων μέσω της ακαδημίας προστασίας δεδομένων,

-θα συμβάλει στη διευκόλυνση της διεθνούς συνεργασίας στον τομέα της επιβολής μεταξύ των εποπτικών αρχών, μεταξύ άλλων μέσω της διαπραγμάτευσης συμφωνιών συνεργασίας και αμοιβαίας συνδρομής.

(1) ()    Η προστασία των δεδομένων ως πυλώνας της ενδυνάμωσης των πολιτών και της προσέγγισης της ΕΕ στην ψηφιακή μετάβαση — δύο έτη εφαρμογής του Γενικού Κανονισμού για την Προστασία Δεδομένων [COM(2020) 264 final της 24.6.2020].

(2) ()     https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/el/pdf .

(3) ()    Σύνοψη των παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ είναι διαθέσιμη στην ακόλουθη διεύθυνση: Report from Multistakeholder Expert group on GDPR application — June 2024.pdf (Έκθεση της πολυμερούς ομάδας εμπειρογνωμόνων για την εφαρμογή του ΓΚΠΔ — Ιούνιος 2024). Οι παρατηρήσεις που ελήφθησαν στο πλαίσιο της δημόσιας διαδικασίας συγκέντρωσης αποδεικτικών στοιχείων και μέσω διμερών συναντήσεων με ενδιαφερόμενα μέρη απηχούν σε μεγάλο βαθμό τις απόψεις που διατύπωσαν τα μέλη της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(4) ()     https://ec.europa.eu/info/law/better-regulation/have-your-say_el .

(5) ()     Contribution of the EDPB to the evaluation of the GDPR under Article 97 | European Data Protection Board (europa.eu) (Συμβολή του ΕΣΠΔ στην αξιολόγηση του ΓΚΠΔ βάσει του άρθρου 97, Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων).

(6) ()     GDPR in practice – Experiences of data protection authorities | European Union Agency for Fundamental Rights (europa.eu) (Ο ΓΚΠΔ στην πράξη — Εμπειρίες από τις αρχές προστασίας δεδομένων, Οργανισμός Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης).

(7) ()    Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τη θέσπιση πρόσθετων διαδικαστικών κανόνων σχετικά με την επιβολή του κανονισμού (ΕΕ) 2016/679 [COM(2023) 348 final].

(8) ()     https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_el .

(9) ()    Μέσω της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ και στο πλαίσιο διαδικασίας συγκέντρωσης αποδεικτικών στοιχείων που προκηρύχθηκε τον Φεβρουάριο του 2023.

(10) ()    Κυρίως μέσω της ομάδας εμπειρογνωμόνων των κρατών μελών για τον ΓΚΠΔ: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=el&do=groupDetail.groupDetail&groupID=3461 .

(11) ()    Άρθρο 61 του ΓΚΠΔ.

(12) ()     internal_edpb_document_1_2021_on_art_62_joint_operations_en.pdf (europa.eu) .

(13) ()    Άρθρο 62 του ΓΚΠΔ.

(14) ()    Άρθρο 65 του ΓΚΠΔ.

(15) ()    Σύμφωνα με στοιχεία της 3ης Νοεμβρίου 2023 (συμβολή του Συμβουλίου Προστασίας Δεδομένων).

(16) ()    Σύμφωνα με το άρθρο 60 παράγραφος 3 του ΓΚΠΔ.

(17) ()    Σύμφωνα με στοιχεία της 3ης Νοεμβρίου 2023.

(18) ()    Η ιρλανδική αρχή υπέβαλε τα περισσότερα επίσημα αιτήματα (246), ενώ οι γερμανικές αρχές έλαβαν τον μεγαλύτερο αριθμό αιτημάτων (516).

(19) ()    Η ιρλανδική αρχή υπέβαλε τα περισσότερα ανεπίσημα αιτήματα (4 245), ακολουθούμενη από τις γερμανικές αρχές (2 036).

(20) ()    Από τις 289 σχετικές και αιτιολογημένες ενστάσεις των αρχών, οι 101 (35 %) προβλήθηκαν από τις γερμανικές αρχές. Το ποσοστό επιτυχίας όσον αφορά την επίτευξη συναίνεσης για τις σχετικές και αιτιολογημένες ενστάσεις κυμαίνεται από 15 % (για τις ενστάσεις που προβλήθηκαν από τις γερμανικές αρχές) έως 100 % (για τις ενστάσεις που προβλήθηκαν από την πολωνική αρχή).

(21)

()    Άρθρα 64, 65 και 66 του ΓΚΠΔ αντίστοιχα.

(22) ()    Γνώμες βάσει του άρθρου 64 παράγραφος 2 του ΓΚΠΔ.

(23)

()    Σύμφωνα με το άρθρο 65 παράγραφος 1 στοιχείο α) του ΓΚΠΔ.

(24) ()    Σύμφωνα με το άρθρο 66 παράγραφος 2 του ΓΚΠΔ.

(25) ()    Βλ. συμβολή του Συμβουλίου Προστασίας Δεδομένων, σημείο 5.3.4.

(26) ()    Έκθεση του FRA, σελίδα 36.

(27) ()    Πρόταση για τους διαδικαστικούς κανόνες, άρθρο 5.

(28) ()    Στη Ρουμανία και οι 26 αποφάσεις με τις οποίες διαπιστώθηκε παράβαση προσβλήθηκαν δικαστικώς, ενώ στις Κάτω Χώρες το ποσοστό προσβολής των αποφάσεων ανήλθε σε 23 %. Το υψηλότερο ποσοστό επιτυχίας όσον αφορά την προσβολή των αποφάσεων καταγράφηκε στο Βέλγιο (39 %).

(29) ()    Οι αρχές προστασίας δεδομένων στη Γερμανία κίνησαν τον μεγαλύτερο αριθμό αυτεπάγγελτων ερευνών (7 647), με επόμενες κατά σειρά τις αρχές στην Ουγγαρία (3 332), την Αυστρία (1 681) και τη Γαλλία (1 571).

(30) ()    Το 2022 εννέα αρχές προστασίας δεδομένων έλαβαν πάνω από 2 000 καταγγελίες. Ο μεγαλύτερος αριθμός καταγγελιών καταγράφηκε στη Γερμανία (32 300), την Ιταλία (30 880), την Ισπανία (15 128), τις Κάτω Χώρες (13 133) και τη Γαλλία (12 193), ενώ ο μικρότερος αριθμός καταγράφηκε στο Λιχτενστάιν (40), την Ισλανδία (140) και την Κροατία (271).

(31) ()    Όλες οι αρχές επέβαλαν διοικητικά πρόστιμα, με εξαίρεση τη Δανία, η οποία δεν προβλέπει διοικητικά πρόστιμα. Ο μεγαλύτερος αριθμός προστίμων επιβλήθηκε στη Γερμανία (2 106) και στην Ισπανία (1 596). Τα λιγότερα πρόστιμα επιβλήθηκαν στο Λιχτενστάιν (3), την Ισλανδία (15) και τη Φινλανδία (20).

(32) ()    Έκθεση του FRA, σελίδα 38.

(33) ()    Βλ. έκθεση του FRA, σελίδες 20 και 23. Βλ. επίσης θέση και πορίσματα του Συμβουλίου, σημείο 17.

(34) ()    Άρθρο 70 παράγραφος 1 του ΓΚΠΔ.

(35) ()    Έκθεση του FRA, σελίδα 64.

(36) ()    Έκθεση του FRA, σελίδα 67. Το 2023 οι γερμανικές αρχές προστασίας δεδομένων διέθεσαν τους περισσότερους πόρους για δραστηριότητες του Συμβουλίου Προστασίας Δεδομένων [26 ισοδύναμα πλήρους απασχόλησης (ΙΠΑ)], με επόμενες κατά σειρά τις αρχές της Ιρλανδίας (16) και της Γαλλίας (12) (συμβολή του Συμβουλίου Προστασίας Δεδομένων).

(37) ()    Έκθεση του FRA, σελίδα 67.

(38) ()    Έκθεση του FRA, σελίδα 67· σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(39) ()    Σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(40) ()    Βλ. επίσης θέση και πορίσματα του Συμβουλίου, σημείο 45.

(41) ()    Βλ. επίσης θέση και πορίσματα του Συμβουλίου, σημείο 34.

(42) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(43) ()    Βλ. επίσης θέση και πορίσματα του Συμβουλίου, σημείο 31 στοιχείο δ).

(44) ()    Ζητούν σαφήνεια ιδίως ως προς τη σημασία του όρου «επιστημονική έρευνα», τον ρόλο της συγκατάθεσης για την επεξεργασία δεδομένων προσωπικού χαρακτήρα με σκοπό την έρευνα, τη σχετική νομική βάση, καθώς και τους ρόλους και τις αρμοδιότητες των εμπλεκόμενων φορέων.

(45) ()    Βλ. επίσης θέση και πορίσματα του Συμβουλίου, σημείο 31 στοιχείο β).

(46) ()    Θέση και πορίσματα του Συμβουλίου, σημεία 27 και 28.

(47) ()    Άρθρο 52 του ΓΚΠΔ.

(48) ()    Έκθεση του FRA, σελίδα 31.

(49) ()    Βλ. συμβολή του Συμβουλίου Προστασίας Δεδομένων, σημείο 4.4.1, και για τους απόλυτους αριθμούς.

(50) ()    Μόνο πέντε αρχές προστασίας δεδομένων θεωρούν ότι διαθέτουν επαρκείς ανθρώπινους πόρους (συμβολή του Συμβουλίου Προστασίας Δεδομένων, σελίδα 33).

(51) ()    Έκθεση του FRA, σελίδα 20. Ορισμένες αρχές προστασίας δεδομένων αναθέτουν συγκεκριμένα καθήκοντα σε εξωτερικούς αναδόχους, π.χ. χειρισμός καταγγελιών, νομικές αναλύσεις και εγκληματολογικές αναλύσεις.

(52) ()    Έκθεση του FRA, σελίδα 24.

(53) ()    Έκθεση του FRA, σελίδα 22.

(54) ()    Βλ. συμβολή του Συμβουλίου Προστασίας Δεδομένων, σημείο 4.4.5.

(55) ()    Συμβολή του Συμβουλίου Προστασίας Δεδομένων, σελίδα 32.

(56) ()    Έκθεση του FRA, σελίδα 48.

(57) ()    Έκθεση του FRA, σελίδα 45. Οι αρχές προστασίας δεδομένων θεωρούν ιδιαίτερα σημαντικές τις αυτεπάγγελτες έρευνες, δεδομένου ότι οι καταγγέλλοντες ενδέχεται να μην είναι ενήμεροι για πολλές παραβάσεις του ΓΚΠΔ.

(58) ()    Έκθεση του FRA, σελίδα 8.

(59) ()    Έκθεση του FRA, σελίδα 39.

(60) ()    Έκθεση του FRA, σελίδα 41.

(61) ()    Αιτιολογική σκέψη 9 του ΓΚΠΔ.

(62) ()    Σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(63) ()    Σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(64) ()    Σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(65) ()    Άρθρο 6 παράγραφος 1 στοιχείο στ) και άρθρο 6 παράγραφος 1 στοιχείο α) του ΓΚΠΔ αντίστοιχα.

(66) ()    Άρθρο 22 παράγραφος 2 του ΓΚΠΔ.

(67) ()    Αιτιολογική σκέψη 4.

(68) ()    Σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ. 

(69) ()    Π.χ. το κατώτατο όριο ηλικίας για τη συγκατάθεση παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας της πληροφορίας (άρθρο 8 παράγραφος 1 του ΓΚΠΔ).

(70) ()    Άρθρο 8 παράγραφος 1 του ΓΚΠΔ.

(71) ()    Δυνατότητα που προβλέπεται στο άρθρο 9 παράγραφος 4 του ΓΚΠΔ.

(72) ()    Άρθρο 10 του ΓΚΠΔ.

(73) ()    Θέση και πορίσματα του Συμβουλίου, σημείο 30.

(74) ()    Άρθρο 36 του ΓΚΠΔ.

(75) ()    Έκθεση του FRA, σελίδα 11.

(76) ()    Βέλγιο (2021/4045) και Βέλγιο (2022/2160).

(77) ()    Φινλανδία (2022/4010) και Σουηδία (2022/2022).

(78) ()    Πληροφορίες σχετικές με τα στοιχεία αναφοράς της υπόθεσης, το είδος της έρευνας (αυτεπάγγελτη ή βάσει καταγγελίας), τη σύνοψη του πεδίου της έρευνας, τις οικείες αρχές προστασίας δεδομένων, τα βασικά διαδικαστικά στάδια που ακολουθήθηκαν και τις σχετικές ημερομηνίες, τα ερευνητικά ή τυχόν άλλα μέτρα που ελήφθησαν και τις σχετικές ημερομηνίες.

(79) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=el&do=groupDetail.groupDetail&groupID=3461 .

(80) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=el&meetingId=31754&fromExpertGroups=3461 .

(81) ()    Υπόθεση C‑319/22, ECLI:EU:C:2023:837.

(82) ()    Υποθέσεις C-184/20, ECLI:EU:C:2022:601· C-252/21, ECLI:EU:C:2023:537.

(83) ()    Υποθέσεις C-683/21, ECLI:EU:C:2023:949· C-604/22, ECLI:EU:C:2024:214· C-231/22, ECLI:EU:C:2024:7.

(84) ()    Υπόθεση C-61/19, ECLI:EU:C:2020:901.

(85) ()    Υποθέσεις C-597/19, ECLI:EU:C:2021:492· C-252/21, ECLI:EU:C:2023:537.

(86) ()    Υποθέσεις C-307/22, ECLI:EU:C:2023:811· C-154/21, ECLI:EU:C:2023:3.

(87) ()    Υπόθεση C-460/20, ECLI:EU:C:2022:962.

(88) ()    Υπόθεση C-300/21, ECLI:EU:C:2023:370· υπόθεση C-687/21, ECLI:EU:C:2024:72· υπόθεση C-667/21, ECLI:EU:C:2023:1022.

(89) ()    Συνεκδικασθείσες υποθέσεις C‑26/22 και C‑64/22, ECLI:EU:C:2023:958.

(90) ()    Υποθέσεις C-807/21, ECLI:EU:C:2023:950· Υπόθεση C-683/21, ECLI:EU:C:2023:949.

(91) ()    Υπόθεση C-453/21, ECLI:EU:C:2023:79.

(92) ()    Υποθέσεις C-439/19, ECLI:EU:C:2021:504· C-184/20, ECLI:EU:C:2022:601.

(93) ()    Υποθέσεις C-33/22, ECLI:EU:C:2024:46· C‑272/19, ECLI:EU:C:2020:535.

(94) ()    Θέση και πορίσματα του Συμβουλίου, σημείο 13.

(95) ()    Συμβολή του Συμβουλίου Προστασίας Δεδομένων, σημείο 6.

(96) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_el .

(97) ()    Έκθεση του FRA, σελίδες 9 και 48.

(98) ()    Σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(99) ()    Άρθρο 10 του κανονισμού (ΕΕ) 2022/868 (πράξη για τη διακυβέρνηση δεδομένων) (ΕΕ L 152 της 3.6.2022, σ. 1).

(100) ()    Άρθρο 12 παράγραφος 5 του ΓΚΠΔ.

(101) ()    Ωστόσο, το Δικαστήριο έχει αποσαφηνίσει ότι το υποκείμενο των δεδομένων δεν υποχρεούται να αναφέρει τους λόγους για τους οποίους ζητεί πρόσβαση σε δεδομένα προσωπικού χαρακτήρα: υπόθεση C-307/22, ECLI:EU:C:2023:811, σκέψη 38.

(102) ()    Σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ. 

(103) ()    Θέση και πορίσματα του Συμβουλίου, σημεία 27 και 28.

(104) ()     https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_el .

(105) ()     Εργαζόμενοι σε πλατφόρμες: Το Συμβούλιο επιβεβαίωσε τη συμφωνία για νέους κανόνες με σκοπό τη βελτίωση των συνθηκών εργασίας τους — Consilium (europa.eu) .

(106) ()    Πρόταση κανονισμού σχετικά με τον ευρωπαϊκό χώρο δεδομένων για την υγεία [COM(2022) 197 final].

(107) ()    Πρόταση κανονισμού σχετικά με το πλαίσιο πρόσβασης σε χρηματοοικονομικά δεδομένα και την τροποποίηση των κανονισμών (ΕΕ) αριθ. 1093/2010, (ΕΕ) αριθ. 1094/2010, (ΕΕ) αριθ. 1095/2010 και (ΕΕ) 2022/2554 [COM(2023) 360 final].

(108) ()    Οδηγία (ΕΕ) 2020/1828, της 25ης Νοεμβρίου 2020, σχετικά με τις αντιπροσωπευτικές αγωγές για την προστασία των συλλογικών συμφερόντων των καταναλωτών και για την κατάργηση της οδηγίας 2009/22/ΕΚ (ΕΕ L 409 της 4.12.2020, σ. 1).

(109) ()    Αιτιολογική σκέψη 38 του ΓΚΠΔ.

(110) ()    Σύσταση σχετικά με την ανάπτυξη και την ενίσχυση ολοκληρωμένων συστημάτων προστασίας των παιδιών με γνώμονα το υπέρτατο συμφέρον του παιδιού: https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_el .

(111) ()    Βλ. επίσης θέση και πορίσματα του Συμβουλίου, σημείο 31 στοιχείο α).

(112) ()    Σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ. 

(113) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_el .

(114) ()     https://digital-strategy.ec.europa.eu/el/policies/strategy-better-internet-kids .

(115) ()    Κανονισμός (ΕΕ) 2024/1183 για την τροποποίηση του κανονισμού (ΕΕ) αριθ. 910/2014 όσον αφορά τη θέσπιση ευρωπαϊκού πλαισίου για την ψηφιακή ταυτότητα (ΕΕ L, 2024/1183, 30.4.2024).

(116) ()    Όπως αναγνωρίζεται στην έκθεση της πλατφόρμας «Fit for Future», μιας ομάδας εμπειρογνωμόνων υψηλού επιπέδου, η οποία συστάθηκε με σκοπό να επικουρήσει την Επιτροπή στις προσπάθειες που καταβάλλει για την απλούστευση της νομοθεσίας της ΕΕ και τη μείωση των σχετικών περιττών δαπανών: https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_el . Βλ. επίσης τη σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ, καθώς και τη θέση και τα πορίσματα του Συμβουλίου, σημείο 12.

(117) ()    Σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(118) ()    Εκτελεστική απόφαση (ΕΕ) 2021/915 της Επιτροπής, της 4ης Ιουνίου 2021, για τυποποιημένες συμβατικές ρήτρες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία βάσει του άρθρου 28 παράγραφος 7 του ΓΚΠΔ και του άρθρου 29 παράγραφος 7 του ΓΚΠΔ (C/2021/3701) (ΕΕ L 199 της 7.6.2021, σ. 18).

(119) ()    Σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(120) ()    Θέση και πορίσματα του Συμβουλίου, σημείο 25.

(121) ()     https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_el?f%5B0%5D=coc_scope%3Anational .

(122) ()    Σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(123) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(124) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_el .

(125) ()     https://edpb.europa.eu/sme-data-protection-guide/home_el .

(126) ()    Σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(127) ()    Βλ. θέση και πορίσματα του Συμβουλίου, σημείο 24· σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(128) ()    Άρθρο 30 παράγραφος 5 του ΓΚΠΔ.

(129) ()    Σε περίπτωση που ο οργανισμός απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να συνεπάγεται κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ ή δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 του ΓΚΠΔ.

(130) ()    Θέση και πορίσματα του Συμβουλίου, σημείο 26· EDPB 2023 Coordinated Enforcement Action Designation and Position of Data Protection Officers (ΕΣΠΔ, Συντονισμένη δράση επιβολής 2023 — Διορισμός και θέση των υπευθύνων προστασίας δεδομένων): https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf .

(131) ()    Σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ. 

(132) ()    Βλ. συστάσεις του εγγράφου σχετικά με τη συντονισμένη δράση επιβολής του ΕΣΠΔ με τίτλο «Coordinated Enforcement Action».

(133) ()    Κανονισμός (ΕΕ) 2022/2065 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 19ης Οκτωβρίου 2022, σχετικά με την ενιαία αγορά ψηφιακών υπηρεσιών και την τροποποίηση της οδηγίας 2000/31/ΕΚ (πράξη για τις ψηφιακές υπηρεσίες) (ΕΕ L 277 της 27.10.2022, σ. 1).

(134) ()    Κανονισμός (ΕΕ) 2022/1925 (πράξη για τις ψηφιακές Αγορές) (ΕΕ L 265 της 12.10.2022, σ. 1).

(135) ()    Κανονισμός (ΕΕ) 2024/1689 (κανονισμός για την τεχνητή νοημοσύνη) (ΕΕ L, 2024/1689, 12.7.2024).

(136) ()     Εργαζόμενοι σε πλατφόρμες: Το Συμβούλιο επιβεβαίωσε τη συμφωνία για νέους κανόνες με σκοπό τη βελτίωση των συνθηκών εργασίας τους — Consilium (europa.eu) .

(137) ()    Κανονισμός (ΕΕ) 2024/900 σχετικά με τη διαφάνεια και τη στόχευση της πολιτικής διαφημιστικής προβολής (ΕΕ L, 2024/900, 20.3.2024).

(138) ()    Πρόταση κανονισμού για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες [COM(2017) 10 final].

(139) ()    Οδηγία 2002/58/ΕΚ (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της 31.7.2002, σ. 37).

(140)

()    Κανονισμός (ΕΕ) 2024/903 (κανονισμός για τη διαλειτουργική Ευρώπη) (ΕΕ L, 2024/903, 22.3.2024).

(141) ()    Βλ. θέση και πορίσματα του Συμβουλίου, σημείο 31 στοιχείο στ).

(142) ()     https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_el .

(143) ()    Κανονισμός (ΕΕ) 2022/868 της Επιτροπής (πράξη για τη διακυβέρνηση δεδομένων) (ΕΕ L 152 της 3.6.2022, σ. 1).

(144) ()    Κανονισμός (ΕΕ) 2023/2854 (κανονισμός για τα δεδομένα) (ΕΕ L, 2023/2854, 22.12.2023).

(145) ()     https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_EL.html .

(146) ()    Βλ. θέση και πορίσματα του Συμβουλίου, σημεία 40 και 41· σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(147) ()    Βλ. για παράδειγμα άρθρο 37 παράγραφος 3 του κανονισμού για τα δεδομένα.

(148) ()    Οδηγία (ΕΕ) 2022/2555 (οδηγία NIS 2) (ΕΕ L 333 της 27.12.2022, σ. 80).

(149) ()    Βλ. θέση και πορίσματα του Συμβουλίου, σημεία 18, 40 και 41, και σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(150) ()     Η Γερμανία έχει δημιουργήσει μια «ψηφιακή ομάδα», η οποία περιλαμβάνει ρυθμιστικές αρχές από διάφορους τομείς, με στόχο την επέκταση της συνεργασίας τους σε όλες τις πτυχές της ψηφιοποίησης και της ανταλλαγής γνώσεων και βέλτιστων πρακτικών: https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn .

(151) ()     Κατευθυντήριες γραμμές 05/2021 του ΕΣΠΔ.

(152) ()     Ενότητα 2 των κατευθυντήριων γραμμών 05/2021 του ΕΣΠΔ.

(153) ()    Υπόθεση C-311/18, ECLI:EU:C:2020:559 (Schrems II).

(154) ()     Υπόθεση Schrems II, σκέψη 93.

(155) ()     Υπόθεση Schrems II, σκέψεις 96 και 105.

(156) ()     Υπόθεση Schrems II, σκέψη 131.

(157) ()     Υπόθεση Schrems II, σκέψη 105.

(158) ()     Συστάσεις 02/2020 και σημεία αναφοράς για την επάρκεια, WP 254 αναθ. 01 του ΕΣΠΔ.

(159) ()     ΕΣΠΔ, συστάσεις 01/2020, οι οποίες συμπληρώνονται με τις συστάσεις 02/2020.

(160) ()     Βλ. π.χ. συστάσεις 01/2020 του ΕΣΠΔ, σημεία 8-13, 32 και 33.

(161) ()     Βλ., π.χ., συμβολή του Συμβουλίου Προστασίας Δεδομένων, σελίδες 7 και 8· θέση και πορίσματα του Συμβουλίου, σημείο 36· σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(162) ()    Ανακοίνωση της Επιτροπής με τίτλο «Ανταλλαγή και προστασία των δεδομένων προσωπικού χαρακτήρα σε έναν παγκοσμιοποιημένο κόσμο» [COM(2017) 7 final της 10.1.2017].

(163) ()     Εκτελεστική απόφαση (ΕΕ) 2021/1772 της Επιτροπής (ΕΕ L 360 της 11.10.2021, σ. 1).

(164) ()    Εκτελεστική απόφαση (ΕΕ) 2022/254 της Επιτροπής (ΕΕ L 44 της 24.2.2022, σ. 1).

(165) ()     https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_el .

(166) ()    Εκτελεστική απόφαση (ΕΕ) 2023/1795 της Επιτροπής (ΕΕ L 231 της 20.9.2023, σ. 118).

(167) ()     Ο Ευρωπαϊκός Οργανισμός Διπλωμάτων Ευρεσιτεχνίας είναι διακυβερνητικός οργανισμός, οποίος έχει συσταθεί δυνάμει της σύμβασης για τη χορήγηση ευρωπαϊκών διπλωμάτων ευρεσιτεχνίας. Κύριο καθήκον του είναι η χορήγηση ευρωπαϊκών διπλωμάτων ευρεσιτεχνίας. Στο πλαίσιο αυτό, συνεργάζεται στενά με εταιρείες και δημόσιες αρχές στα κράτη μέλη της ΕΕ, καθώς και με διάφορα θεσμικά όργανα και οργανισμούς της ΕΕ.

(168) ()     Συμβολή του Συμβουλίου Προστασίας Δεδομένων, σελίδες 7 και 8.

(169) ()    Άρθρο 45 παράγραφοι 4 και 5 του ΓΚΠΔ. Βλ. επίσης υπόθεση Schrems I, σκέψη 76.

(170) ()     Εκτελεστική απόφαση (ΕΕ) 2019/419 της Επιτροπής (ΕΕ L 76 της 19.3.2019, σ. 1). Βλ. επίσης https://ec.europa.eu/commission/presscorner/detail/en/IP_19_421 . Η απόφαση αυτή ήταν η πρώτη απόφαση επάρκειας που εκδόθηκε δυνάμει του ΓΚΠΔ και η πρώτη αμοιβαία συμφωνία επάρκειας.

(171) ()     Έκθεση της Επιτροπής για την πρώτη επανεξέταση της λειτουργίας της απόφασης επάρκειας για την Ιαπωνία [COM(2023) 275 final της 3.4.2023 και SWD(2023) 75 final].

(172) ()     Ανδόρα, Αργεντινή, Γκέρνζι, Ελβετία, Ισραήλ, Καναδάς (για εμπορικούς φορείς εκμετάλλευσης), Νέα Ζηλανδία, Νήσος του Μαν, Ουρουγουάη, Τζέρζι και Φερόες Νήσοι.

(173) ()     Έκθεση της Επιτροπής για την πρώτη επανεξέταση της λειτουργίας των αποφάσεων επάρκειας που εκδόθηκαν σύμφωνα με το άρθρο 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ [COM(2024) 7 final της 15.1.2024 και SWD(2024) 3 final].

(174) ()     https://ec.europa.eu/commission/presscorner/detail/en/mex_24_1307#11 .

(175) ()     Όπως, π.χ., η Αργεντινή, η Ελβετία, το Ισραήλ, η Κολομβία, το Μαρόκο και η Ουρουγουάη.

(176) ()     Εκτελεστική απόφαση (ΕΕ) 2021/914 της Επιτροπής (ΕΕ L 199 της 7.6.2021, σ. 31).

(177) ()     Αυτό περιλάμβανε, για παράδειγμα, την κοινή γνώμη 2/2021 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, η οποία εκδόθηκε στο πλαίσιο της διαδικασίας έγκρισης των ΤΣΡ.

(178) ()     Θέση και πορίσματα του Συμβουλίου, σημείο 37· συμβολή του Συμβουλίου Προστασίας Δεδομένων, σελίδα 9· σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων μερών για τον ΓΚΠΔ.

(179) ()     https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_el .

(180) ()     Βλ., π.χ., σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(181) ()     Σύμφωνα με το άρθρο 48 παράγραφος 2 στοιχείο β) του κανονισμού (ΕΕ) 2018/1725.

(182) ()     Θέση και πορίσματα του Συμβουλίου, σημείο 37· συμβολή του Συμβουλίου Προστασίας Δεδομένων, σελίδα 9· σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(183) () Κατευθυντήριες γραμμές 05/2021 του ΕΣΠΔ, σ. 3.

(184) ()     Όπως ορίζεται επίσης στην ενότητα 4 των κατευθυντήριων γραμμών 05/2021 του ΕΣΠΔ.

(185) ()     Συμβολή του Συμβουλίου Προστασίας Δεδομένων, σελίδα 9· σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(186) ()     Π.χ. το Ηνωμένο Βασίλειο( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ) και η Ελβετία ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).

(187) ()     Π.χ. η Νέα Ζηλανδία ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ ) και η Αργεντινή ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).

(188) ()     Βλ. https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 · https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf και https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf .

(189) ()     https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_en?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf .

(190) ()     Συμβολή του Συμβουλίου Προστασίας Δεδομένων, σελίδα 9.

(191) ()     Συστάσεις 1/2022 του ΕΣΠΔ.

(192) ()     Συμβολή του Συμβουλίου Προστασίας Δεδομένων, σελίδα 9.

(193) ()     σύνοψη παρατηρήσεων της πολυμερούς ομάδας εμπειρογνωμόνων για τον ΓΚΠΔ.

(194) ()    Κατευθυντήριες γραμμές 07/2022 και 04/2021 του ΕΣΠΔ.

(195) ()     Κατευθυντήριες γραμμές 2/2020 του ΕΣΠΔ.

(196) ()     Δεύτερο πρόσθετο πρωτόκολλο της σύμβασης για το έγκλημα στον κυβερνοχώρο σχετικά με την ενισχυμένη συνεργασία και τη γνωστοποίηση ηλεκτρονικών αποδεικτικών στοιχείων (CETS αριθ. 224).

(197) ()     https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_el .

(198) ()     Πρόταση απόφασης της Επιτροπής για απόφαση του Συμβουλίου σχετικά με την υπογραφή, εξ ονόματος της Ευρωπαϊκής Ένωσης, συμφωνίας μεταξύ του Καναδά και της Ευρωπαϊκής Ένωσης όσον αφορά τη διαβίβαση και επεξεργασία δεδομένων από τις καταστάσεις ονομάτων επιβατών (PNR) [COM(2024) 94 final].

(199) ()     Η πρωτοβουλία αυτή αφορούσε διαβουλεύσεις που διοργανώθηκαν, για παράδειγμα, από την Αυστραλία, την Κίνα, τη Ρουάντα, την Αργεντινή, τη Βραζιλία, την Αιθιοπία, την Ινδονησία, το Περού, τη Μαλαισία και την Ταϊλάνδη.

(200) ()     Για παράδειγμα, ενώπιον των κοινοβουλίων της Χιλής, του Ισημερινού και της Παραγουάης.

(201) () Στο πλαίσιο αυτό περιλαμβανόταν και η διοργάνωση σεμιναρίων και επισκέψεων μελέτης, για παράδειγμα με την Κένυα, την Ινδονησία και τη Σινγκαπούρη.

(202) ()     Συμβολή του Συμβουλίου Προστασίας Δεδομένων, σελίδα 8· θέση και πορίσματα του Συμβουλίου, σημείο 38.

(203) ()     Συμβολή του Συμβουλίου Προστασίας Δεδομένων, σελίδα 8.

(204) ()     Θέση και πορίσματα του Συμβουλίου, σημείο 39.

(205) ()     Πρωτόκολλο για την τροποποίηση της σύμβασης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα (CETS αριθ. 223).

(206) ()    Δανία.

(207) ()    Βέλγιο, Ελλάδα, Ιρλανδία, Κάτω Χώρες, Λετονία, Λουξεμβούργο, Σουηδία και Τσεχία.

(208) ()     Βλ. για παράδειγμα https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1 .

(209) ()     https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en .