52010DC0609

ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΣΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ, ΣΤΟ ΣΥΜΒΟΥΛΙΟ, ΣΤΗΝ ΕΥΡΩΠΑΪΚΗ ΟΙΚΟΝΟΜΙΚΗ ΚΑΙ ΚΟΙΝΩΝΙΚΗ ΕΠΙΤΡΟΠΗ ΚΑΙ ΣΤΗΝ ΕΠΙΤΡΟΠΗ ΤΩΝ ΠΕΡΙΦΕΡΕΙΩΝ Συνολική προσέγγιση όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή ΄Ενωση /* COM/2010/0609 τελικό */


[pic] | ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ |

Βρυξέλλες, 4.11.2010

COM(2010) 609 τελικό

ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΣΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ, ΣΤΟ ΣΥΜΒΟΥΛΙΟ, ΣΤΗΝ ΕΥΡΩΠΑΪΚΗ ΟΙΚΟΝΟΜΙΚΗ ΚΑΙ ΚΟΙΝΩΝΙΚΗ ΕΠΙΤΡΟΠΗ ΚΑΙ ΣΤΗΝ ΕΠΙΤΡΟΠΗ ΤΩΝ ΠΕΡΙΦΕΡΕΙΩΝ

Συνολική προσέγγιση όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή ΄Ενωση

ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΣΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ, ΣΤΟ ΣΥΜΒΟΥΛΙΟ, ΣΤΗΝ ΕΥΡΩΠΑΪΚΗ ΟΙΚΟΝΟΜΙΚΗ ΚΑΙ ΚΟΙΝΩΝΙΚΗ ΕΠΙΤΡΟΠΗ ΚΑΙ ΣΤΗΝ ΕΠΙΤΡΟΠΗ ΤΩΝ ΠΕΡΙΦΕΡΕΙΩΝ

«Συνολική προσέγγιση όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή ΄Ενωση»

1. νεες προκλησεις για την προστασία των δεδομένων προσωπικού χαρακτήρα

Η οδηγία του 1995 για την προστασία των δεδομένων προσωπικού χαρακτήρα[1] αποτελεί ορόσημο στην ιστορία της προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή ΄Ενωση. Η οδηγία κατοχυρώνει δύο από τις παλαιότερες και εξίσου σημαντικές φιλοδοξίες της διαδικασίας ευρωπαϊκής ολοκλήρωσης: Την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των ατόμων και, ιδίως, του θεμελιώδους δικαιώματος της προστασίας των δεδομένων προσωπικού χαρακτήρα, αφενός, και την υλοποίηση της εσωτερικής αγοράς - την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα, στην προκειμένη περίπτωση – αφετέρου.

Δεκαπέντε χρόνια μετά, ο διπλός αυτός στόχος ισχύει πάντα και οι αρχές που κατοχυρώνονται στην οδηγία αυτή παραμένουν αναμφισβήτητες. Ωστόσο, οι ταχείες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση έχουν τροποποιήσει ριζικά τον κόσμο γύρω μας και θέτουν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα.

Η σύγχρονη τεχνολογία επιτρέπει στα άτομα να μοιράζονται εύκολα πληροφορίες για τη συμπεριφορά και τις προτιμήσεις τους, τις οποίες μπορούν να δημοσιοποιούν και να καθιστούν γενικά προσβάσιμες σε πρωτοφανή κλίμακα. Οι ιστότοποι κοινωνικής δικτύωσης, με εκατοντάδες εκατομμύρια μέλη σε όλον τον πλανήτη, είναι ίσως το πλέον προφανές, αλλά όχι το μοναδικό, παράδειγμα αυτού του φαινομένου. To «υπολογιστικό νέφος» - δηλαδή ένα υπολογιστικό μοντέλο βασισμένο στο Διαδίκτυο, στο οποίο το λογισμικό, οι κοινοί πόροι και πληροφορίες βρίσκονται σε απομακρυσμένους εξυπηρετητές («στο νέφος») – θα μπορούσε επίσης να θέσει προκλήσεις στην προστασία των δεδομένων προσωπικού χαρακτήρα, καθώς έχει ως ενδεχόμενο αποτέλεσμα να χάνουν οι χρήστες του τον έλεγχο των δυνητικά ευαίσθητων πληροφοριών όταν αποθηκεύουν τα προσωπικά δεδομένα τους με προγράμματα που βρίσκονται στον σκληρό δίσκο κάποιου άλλου. Μια πρόσφατη μελέτη επιβεβαίωσε ότι οι αρχές προστασίας των δεδομένων προσωπικού χαρακτήρα, οι επιχειρηματικές ενώσεις και οι οργανώσεις καταναλωτών φαίνεται να συγκλίνουν στην άποψη ότι οι κίνδυνοι που απειλούν την ιδιωτικότητα και την προστασία των δεδομένων προσωπικού χαρακτήρα σε σχέση με τις διαδικτυακές δραστηριότητες αυξάνονται[2].

Ταυτόχρονα, οι τρόποι συλλογής δεδομένων προσωπικού χαρακτήρα καθίστανται όλο και πιο περίπλοκοι και η ανίχνευσή τους όλο και πιο δύσκολη . Για παράδειγμα, η χρήση περίτεχνων εργαλείων επιτρέπει στους οικονομικούς φορείς να στοχεύουν καλύτερα τα άτομα χάρη στην παρακολούθηση της συμπεριφοράς τους. Η αυξανόμενη επίσης χρήση διαδικασιών που επιτρέπουν την αυτόματη συλλογή δεδομένων, όπως η ηλεκτρονική πώληση εισιτηρίων μεταφοράς, η είσπραξη διοδίων ή οι συσκευές γεωγραφικού εντοπισμού διευκολύνουν τον εντοπισμό των ατόμων, απλώς επειδή διαθέτουν κινητή συσκευή. Οι δημόσιες αρχές επίσης χρησιμοποιούν όλο και περισσότερο τα δεδομένα προσωπικού χαρακτήρα για διάφορους σκοπούς, όπως τον εντοπισμό ατόμων σε περίπτωση κρουσμάτων μεταδοτικής ασθένειας, για την αποτελεσματικότερη πρόληψη και καταπολέμηση της τρομοκρατίας και του εγκλήματος, για τη διαχείριση καθεστώτων δημόσιας ασφάλισης ή για φορολογικούς σκοπούς, ως μέρος των εφαρμογών ηλεκτρονικής διακυβέρνησης κ.λπ.

Όλα αυτά θέτουν το ερώτημα εάν η ισχύουσα κοινοτική νομοθεσία για την προστασία των δεδομένων μπορεί ακόμη να ανταποκριθεί πλήρως και αποτελεσματικά στις εν λόγω προκλήσεις.

Σε απάντηση του ερωτήματος αυτού, η Επιτροπή δρομολόγησε μια αναθεώρηση του ισχύοντος νομικού πλαισίου, διοργανώνοντας διάσκεψη υψηλού επιπέδου τον Μάιο του 2009, και στη συνέχεια δημόσια διαβούλευση που ολοκληρώθηκε στο τέλος του 2009[3]. Έχουν δρομολογηθεί επίσης διάφορες μελέτες[4].

Τα πορίσματα των μελετών επιβεβαίωσαν ότι οι κύριες αρχές της οδηγίας ισχύουν ακόμα και ότι θα πρέπει να διατηρηθεί ο τεχνολογικά ουδέτερος χαρακτήρας της. Ωστόσο, εντοπίστηκαν διάφορα θέματα ως προβληματικά, τα οποία θέτουν συγκεκριμένες προκλήσεις. Τα θέματα αυτά περιλαμβάνουν:

- Αντιμετώπιση των επιπτώσεων των νέων τεχνολογιών

Οι απαντήσεις τόσο ιδιωτών όσο και οργανώσεων στο πλαίσιο των διαβουλεύσεων επιβεβαίωσαν την ανάγκη να διευκρινιστεί και να προσδιοριστεί η εφαρμογή των αρχών της προστασίας των δεδομένων στις νέες τεχνολογίες, προκειμένου να εξασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα των ατόμων όντως προστατεύονται ανεξαρτήτως της τεχνολογίας που χρησιμοποιείται για την επεξεργασία τους, και ότι οι ελεγκτές των δεδομένων έχουν πλήρη συνείδηση των επιπτώσεων των νέων τεχνολογιών στην προστασία των δεδομένων. Στον τομέα των ηλεκτρονικών επικοινωνιών, το θέμα αυτό αντιμετωπίζεται με την οδηγία 2002/58/EΚ (την καλούμενη οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες)[5], η οποία εξειδικεύει και συμπληρώνει τη γενική οδηγία για την προστασία των δεδομένων[6].

- Ενίσχυση της προστασίας των δεδομένων σε επίπεδο εσωτερικής αγοράς

Ένα από τα κύρια προβλήματα που επανειλημμένα εξέφρασαν οι άμεσα ενδιαφερόμενοι, ειδικά οι πολυεθνικές εταιρείες, είναι η έλλειψη επαρκούς εναρμόνισης μεταξύ των νομοθεσιών των κρατών μελών για την προστασία των δεδομένων, παρά το κοινό νομικό πλαίσιο της ΕΕ. Οι άμεσα ενδιαφερόμενοι τόνισαν την ανάγκη να αυξηθεί η ασφάλεια δικαίου, να μειωθεί ο διοικητικός φόρτος και να εξασφαλισθούν ίσοι όροι ανταγωνισμού για τους οικονομικούς φορείς και άλλους ελεγκτές δεδομένων.

- Αντιμετώπιση της παγκοσμιοποίησης και βελτίωση των διεθνών διαβιβάσεων δεδομένων

Διάφοροι άμεσα ενδιαφερόμενοι επισήμαναν ότι η εξωτερική ανάθεση της επεξεργασίας, πολύ συχνά εκτός της ΕΕ, δημιουργεί διάφορα προβλήματα σε σχέση με τη νομοθεσία που πρέπει να εφαρμοστεί στην επεξεργασία και στην απόδοση των σχετικών ευθυνών. Όσον αφορά τις διεθνείς μεταβιβάσεις δεδομένων, πολλοί οργανισμοί θεώρησαν ότι τα τρέχοντα καθεστώτα δεν είναι πλήρως ικανοποιητικά και ότι πρέπει να αναθεωρηθούν και να απλουστευθούν με σκοπό να καταστούν οι μεταβιβάσεις λιγότερο περίπλοκες και χρονοβόρες.

- Θέσπιση σαφέστερου θεσμικού πλαισίου για την ουσιαστική εφαρμογή των κανόνων προστασίας των δεδομένων.

Υπάρχει ομοφωνία μεταξύ των άμεσα ενδιαφερομένων ότι ο ρόλος των αρχών προστασίας των δεδομένων πρέπει να ενισχυθεί ώστε να παρακολουθείται καλύτερα η εφαρμογή των κανόνων προστασίας των δεδομένων. Ορισμένες οργανώσεις ζήτησαν επίσης να αυξηθεί η διαφάνεια των εργασιών της ομάδας εργασίας του άρθρου 29 (βλέπε σημείο 2.5. στη συνέχεια) και να διευκρινιστούν περισσότερο τα καθήκοντα και οι εξουσίες της.

- Βελτίωση της συνοχής του νομικού πλαισίου της προστασίας δεδομένων

Κατά τη δημόσια διαβούλευση όλοι οι άμεσα ενδιαφερόμενοι τόνισαν την ανάγκη να θεσπιστεί ένα γενικό μέσο που θα εφαρμόζεται στις πράξεις επεξεργασίας δεδομένων σε όλους τους τομείς και όλες τις πολιτικές της Ένωσης, και θα εξασφαλίσει μια ολοκληρωμένη προσέγγιση καθώς και μια αδιάλειπτη, συνεπή και αποτελεσματική προστασία[7].

Οι προαναφερθείσες προκλήσεις απαιτούν να αναπτύξει η ΕΕ μια συνολική και συνεπή προσέγγιση που θα εγγυάται τον πλήρη σεβασμό, εντός και εκτός τη ΕΕ, του θεμελιώδους δικαιώματος της προστασίας των δεδομένων . Η Συνθήκη της Λισαβόνας παρέχει στην ΕΕ πρόσθετα μέσα για την επίτευξη του στόχου αυτού: Ο Χάρτης Θεμελιωδών Δικαιωμάτων της ΕΕ – με το άρθρο 8 που αναγνωρίζει ένα αυτόνομο δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα - έχει καταστεί νομικά δεσμευτικός, και έχει εισαχθεί μια νέα νομική βάση[8] που επιτρέπει τη θέσπιση συνολικής και συνεπούς νομοθεσίας της Ένωσης για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών. Πιο συγκεκριμένα, η νέα νομική βάση παρέχει στην ΕΕ ένα ενιαίο νομικό μέσο για τη νομοθετική ρύθμιση της προστασίας των δεδομένων, το οποίο καλύπτει και τους τομείς της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις. Ο τομέας της κοινής εξωτερικής πολιτικής και πολιτικής ασφαλείας καλύπτεται εν μέρει μόνο από το άρθρο 16 της ΣΛΕΕ, δεδομένου ότι οι ειδικοί κανόνες για την επεξεργασία των δεδομένων από τα κράτη μέλη πρέπει να θεσπισθούν με απόφαση του Συμβουλίου βάσει διαφορετικής νομικής βάσης[9].

Βασιζόμενη στις εν λόγω νέες νομικές δυνατότητες, η Επιτροπή θα δώσει τη μεγαλύτερη προτεραιότητα στο σεβασμό του θεμελιώδους δικαιώματος της προστασίας των δεδομένων σε όλη την Ένωση και όλων των πολιτικών της, ενισχύοντας ταυτόχρονα τη διάσταση εσωτερική αγορά και διευκολύνοντας την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα. Στο πλαίσιο αυτό, άλλα σχετικά θεμελιώδη δικαιώματα που κατοχυρώνονται στο Χάρτη, καθώς και άλλοι στόχοι των Συνθηκών, πρέπει να ληφθούν πλήρως υπόψη ενώ ταυτόχρονα να διασφαλίζεται το θεμελιώδες δικαίωμα της προστασίας των δεδομένων προσωπικού χαρακτήρα.

Η παρούσα ανακοίνωση έχει ως στόχο να καθορίσει την προσέγγιση της Επιτροπής για τον εκσυγχρονισμό του νομικού συστήματος της ΕΕ για την προστασίας των δεδομένων προσωπικού χαρακτήρα σε όλους τους τομείς των δραστηριοτήτων της Ένωσης, λαμβάνοντας ιδίως υπόψη τις προκλήσεις που θέτει η παγκοσμιοποίηση και οι νέες τεχνολογίες, ώστε να διατηρηθεί το υψηλό επίπεδο προστασίας των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε όλους τους τομείς των δραστηριοτήτων της Ένωσης. Αυτό θα επιτρέψει στην ΕΕ να παραμείνει κινητήρια δύναμη για την προώθηση υψηλών προδιαγραφών προστασίας των δεδομένων σε ολόκληρο τον κόσμο.

2. κυριοι στοχοι της Συνολικήσ προσέγγισησ όσον αφορά την προστασία των δεδομένων

2.1. Ενίσχυση των δικαιωμάτων των φυσικών προσώπων

2.1.1. Διασφάλιση της κατάλληλης προστασίας για τα φυσικά πρόσωπα σε όλες τις περιστάσεις

Ο στόχος των κανόνων στα υπάρχοντα μέσα προστασίας των δεδομένων στην ΕΕ είναι η προστασία των θεμελιωδών δικαιωμάτων των φυσικών προσώπων και ιδιαίτερα του δικαιώματός τους προστασίας των δεδομένων προσωπικού χαρακτήρα , σύμφωνα με τον Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ[10].

Η έννοια των «δεδομένων προσωπικού χαρακτήρα» είναι μία από τις κύριες έννοιες για την προστασία των φυσικών προσώπων από τα τρέχοντα κοινοτικά μέσα προστασίας των δεδομένων και συνεπάγεται την εφαρμογή των υποχρεώσεων που υπέχουν οι υπεύθυνοι της επεξεργασίας και οι εκτελούντες την επεξεργασία των δεδομένων[11]. Ο ορισμός των «δεδομένων προσωπικού χαρακτήρα» έχει ως στόχο να καλύψει όλες τις πληροφορίες που σχετίζονται με πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, είτε άμεσα είτε έμμεσα. Για να κριθεί κατά πόσον είναι δυνατή η εξακρίβωση της ταυτότητας ενός προσώπου, είναι σκόπιμο να λαμβάνονται υπόψη «όλα τα μέσα που είναι δυνατό να χρησιμοποιήσει ευλόγως ο υπεύθυνος της επεξεργασίας ή οποιοδήποτε άλλο πρόσωπο για να εξακριβώσει την ταυτότητα του εν λόγω προσώπου»[12]. Aυτή η προσέγγιση που επιλέχθηκε σκόπιμα από τον νομοθέτη έχει το πλεονέκτημα να είναι ευέλικτη, γεγονός που επιτρέπει την εφαρμογή της σε ποικίλες καταστάσεις και εξελίξεις που επηρεάζουν τα θεμελιώδη δικαιώματα, συμπεριλαμβανομένων αυτών που δεν είχαν προβλεφθεί όταν εκδόθηκε η οδηγία. Ωστόσο, η συνέπεια μιας τέτοιας ευρείας και ευέλικτης προσέγγισης είναι ότι υπάρχουν πολυάριθμες περιπτώσεις όπου δεν είναι πάντα σαφές, κατά την εφαρμογή της οδηγίας, ποια είναι η δέουσα προσέγγιση που πρέπει να υιοθετηθεί, εάν τα φυσικά πρόσωπα έχουν δικαιώματα προστασίας των δικαιωμάτων και εάν οι υπεύθυνοι της επεξεργασίας των δεδομένων θα πρέπει να ανταποκριθούν στις υποχρεώσεις που επιβάλλει η οδηγία[13].

Υπάρχουν καταστάσεις που αφορούν την επεξεργασία ειδικών πληροφοριών, που απαιτούν πρόσθετα μέτρα βάσει της νομοθεσίας της Ένωσης. Τέτοια μέτρα υφίστανται ήδη σε ορισμένες περιπτώσεις. Για παράδειγμα, η αποθήκευση πληροφοριών σε τερματικό εξοπλισμό (π.χ. κινητά τηλέφωνα) επιτρέπεται μόνο με τη συγκατάθεση του φυσικού προσώπου. Αυτό το θέμα ενδέχεται να πρέπει να διευθετηθεί σε επίπεδο ΕΕ όσον αφορά π.χ. τα κωδικοποιημένα με κλείδα δεδομένα, τα δεδομένα θέσης, τις τεχνολογίες «εξόρυξης δεδομένων» που επιτρέπουν το συνδυασμό δεδομένων από διάφορες πηγές, ή τις περιπτώσεις στις οποίες πρέπει να διασφαλιστεί η εμπιστευτικότητα και η ακεραιότητα σε συστήματα πληροφορικής[14].

Κατά συνέπεια, όλα τα προαναφερθέντα θέματα απαιτούν προσεκτική εξέταση.

Η Επιτροπή θα εξετάσει τρόπους για να διασφαλίσει τη συνεπή εφαρμογή των κανόνων προστασίας των δεδομένων, λαμβάνοντας υπόψη τις επιπτώσεις των νέων τεχνολογιών στα ατομικά δικαιώματα και ελευθερίες, καθώς και το στόχο της διασφάλισης της ελεύθερης κυκλοφορίας των προσωπικών δεδομένων στην εσωτερική αγορά .

2.1.2. Αύξηση της διαφάνειας για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα

Η διαφάνεια αποτελεί βασική προϋπόθεση για να αποκτήσουν τα φυσικά πρόσωπα τη δυνατότητα ελέγχου των προσωπικών τους δεδομένων και για να διασφαλιστεί η αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα. Για το λόγο αυτό, είναι ιδιαίτερα σημαντικό οι υπεύθυνοι της επεξεργασίας των δεδομένων να ενημερώνουν τα φυσικά πρόσωπα σωστά, με σαφήνεια και διαφάνεια σχετικά με το πώς και ποιος συλλέγει και επεξεργάζεται τα δεδομένα τους, για ποιο σκοπό, για πόσο χρονικό διάστημα και ποια είναι τα δικαιώματά τους σε περίπτωση που επιθυμούν να έχουν πρόσβαση στα δεδομένα τους, να τα διορθώσουν ή να τα διαγράψουν. Οι σχετικές διατάξεις για τις πληροφορίες που πρέπει να δίδονται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα δεν είναι επαρκείς[15]

Για την ύπαρξη διαφάνειας, βασικά πρέπει οι πληροφορίες να είναι εύκολα προσβάσιμες και ευνόητες και να χρησιμοποιείται σαφής και απλή γλώσσα . Αυτό είναι ιδιαίτερα σημαντικό στο επιγραμμικό περιβάλλον, όπου συχνά οι ανακοινώσεις περί απορρήτου είναι ασαφείς, δυσπρόσιτες, αδιαφανείς[16] και δεν πληρούν πάντα πλήρως τους ισχύοντος κανόνες. Αυτό ενδέχεται να ισχύει στην περίπτωση της επιγραμμικής συμπεριφορικής διαφήμισης, όπου τόσο η αύξηση του αριθμού των εμπλεκομένων στην παροχή συμπεριφορικής διαφήμισης όσο και η τεχνολογική πολυπλοκότητα της συγκεκριμένης πρακτικής δεν επιτρέπουν σε ένα φυσικό πρόσωπο να γνωρίζει και να καταλαβαίνει εύκολα εάν δεδομένα προσωπικού χαρακτήρα συγκεντρώνονται, από ποιόν και για ποιο σκοπό.

Στο πλαίσιο αυτό, τα παιδιά πρέπει να τύχουν ειδικής προστασίας, δεδομένου ότι ενδέχεται να γνωρίζουν λιγότερο τους κινδύνους, τις συνέπειες, τα δικαιώματά τους και τους τρόπους προστασίας τους σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα[17].

Η Επιτροπή θα εξετάσει:

την εισαγωγή γενικής αρχής διαφανούς επεξεργασίας των δεδομένων προσωπικού χαρακτήρα στο νομικό πλαίσιο,

την εισαγωγή ειδικών υποχρεώσεων για τους υπεύθυνους της επεξεργασίας δεδομένων όσον αφορά το είδος των πληροφοριών που θα παρασχεθούν και τους τρόπους παροχής τους, και σε σχέση με τα παιδιά ,

την κατάρτιση ενός ή περισσοτέρων υποδειγμάτων ΕΕ («ανακοινώσεις περί απορρήτου των πληροφοριών» ) που θα χρησιμοποιούνται από τους υπεύθυνους της επεξεργασίας των δεδομένων.

Είναι επίσης σημαντικό για τα φυσικά πρόσωπα να ενημερώνονται σε περίπτωση που τα δεδομένα τους τυχαία ή παρανόμως καταστρέφονται, χάνονται, τροποποιούνται, καθίστανται προσβάσιμα ή αποκαλύπτονται σε μη εξουσιοδοτημένα άτομα. Η πρόσφατη αναθεώρηση της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες εισήγαγε μια υποχρεωτική κοινοποίηση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα , η οποία, ωστόσο, καλύπτει μόνο τον τομέα των τηλεπικοινωνιών. Δεδομένου ότι υπάρχουν κίνδυνοι παραβιάσεων των δεδομένων και σε άλλους τομείς (π.χ. ο οικονομικός τομέας), η Επιτροπή θα εξετάσει τρόπους επέκτασης της υποχρέωσης κοινοποίησης των παραβιάσεων δεδομένων προσωπικού χαρακτήρα και σε άλλους τομείς, σύμφωνα με τη δήλωση σχετικά με την κοινοποίηση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα, στην οποία προέβη η Επιτροπή ενώπιον του Κοινοβουλίου το 2009 στο πλαίσιο της μεταρρύθμισης του κανονιστικού πλαισίου για τις ηλεκτρονικές επικοινωνίες[18]. Η εξέταση αυτή δεν θα επηρεάσει τις διατάξεις της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες οι οποίες πρέπει να μεταφερθούν στις εθνικές νομοθεσίες έως τις 25 Μαΐου 2011[19]. Στο θέμα αυτό θα πρέπει να διασφαλιστεί μια συνολική και συνεπής προσέγγιση,

Η Επιτροπή θα προβεί στις εξής ενέργειες:

Θα εξετάσει τρόπους για την εισαγωγή στο γενικό νομικό πλαίσιο μιας γενικής κοινοποίησης των παραβιάσεων δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των αποδεκτών ανάλογων κοινοποιήσεων και των κριτηρίων βάσει των οποίων υφίσταται υποχρέωση κοινοποίησης.

2.1.3. Αύξηση του ελέγχου των δεδομένων προσωπικού χαρακτήρα

Οι δύο σημαντικές προϋποθέσεις για να διασφαλιστεί ότι τα φυσικά πρόσωπα χαίρουν υψηλού επιπέδου προστασίας, είναι οι υπεύθυνοι της επεξεργασίας των δεδομένων να περιορίζουν την επεξεργασία σε σχέση με τους σκοπούς της (αρχή της ελαχιστοποίησης των δεδομένων) και τα πρόσωπα στα οποία αναφέρονται τα δεδομένα να διατηρούν ουσιαστικό έλεγχο επί των προσωπικών τους δεδομένων . Το άρθρο 8 παράγραφος 2 του Χάρτη ορίζει ότι «κάθε πρόσωπο έχει δικαίωμα να έχει πρόσβαση στα συλλεγέντα δεδομένα που το αφορούν και να επιτυγχάνει τη διόρθωσή τους». Τα φυσικά πρόσωπα θα πρέπει να διατηρούν πάντα τη δυνατότητα πρόσβασης, διόρθωσης, διαγραφής ή αποκλεισμού όσον αφορά τα προσωπικά τους δεδομένα, εκτός εάν υφίστανται θεμιτοί λόγοι, προβλεπόμενοι από το νόμο, που δεν το επιτρέπουν. Τα δικαιώματα αυτά υπάρχουν ήδη στο ισχύον νομικό πλαίσιο. Ωστόσο, ο τρόπος άσκησης των δικαιωμάτων αυτών δεν είναι εναρμονισμένος, και για το λόγο αυτό η άσκησή τους είναι ευκολότερη σε ορισμένα κράτη μέλη από ό,τι σε άλλα. Επιπλέον, αυτό αποτελεί ιδιαίτερη πρόκληση στο επιγραμμικό περιβάλλον, όπου τα δεδομένα συχνά διατηρούνται χωρίς ο ενδιαφερόμενος να ενημερώνεται και/ή χωρίς να έχει δώσει τη συγκατάθεσή του.

Το παράδειγμα της επιγραμμικής κοινωνικής δικτύωσης είναι ιδιαίτερα χαρακτηριστικό στην προκειμένη περίπτωση, δεδομένου ότι θέτει σημαντικές προκλήσεις όσον αφορά τον ουσιαστικό έλεγχο των δεδομένων προσωπικού χαρακτήρα από τα φυσικά πρόσωπα. Η Επιτροπή έχει λάβει διάφορες ερωτήσεις από ιδιώτες που δεν ήταν πάντα σε θέση να ανακτήσουν προσωπικά τους δεδομένα από παρόχους υπηρεσιών μέσω διαδικτύου, όπως φωτογραφίες τους, και που, ως εκ τούτου, συνάντησαν εμπόδια στην άσκηση των δικαιωμάτων τους πρόσβασης, διόρθωσης και διαγραφής.

Τα δικαιώματα αυτά θα πρέπει συνεπώς να καταστούν περισσότερο συγκεκριμένα και σαφή και, ενδεχομένως, να ενισχυθούν.

Ως εκ τούτου, η Επιτροπή θα εξετάσει τρόπους ώστε:

- να ενισχύσει την αρχή της ελαχιστοποίησης των δεδομένων,

- να βελτιώσει τις διαδικασίες για την πραγματική άσκηση των δικαιωμάτων πρόσβασης, διόρθωσης, διαγραφής ή κλειδώματος των δεδομένων (π.χ. θεσπίζοντας προθεσμίες απάντησης στις αιτήσεις των προσώπων, επιτρέποντας την άσκηση των δικαιωμάτων με ηλεκτρονικά μέσα ή προβλέποντας ότι το δικαίωμα πρόσβασης θα πρέπει καταρχήν να παρέχεται δωρεάν).

- να διασαφηνίσει το λεγόμενο « δικαίωμα να λησμονηθούν », δηλαδή το δικαίωμα των φυσικών προσώπων να ζητούν την παύση της επεξεργασίας και τη διαγραφή των δεδομένων τους, όταν αυτά δεν είναι πλέον αναγκαία για θεμιτούς σκοπούς. Αυτή είναι, για παράδειγμα, η περίπτωση όταν η επεξεργασία βασίζεται στη συγκατάθεση του φυσικού προσώπου και όταν το πρόσωπο αυτό αποσύρει τη συγκατάθεσή του ή όταν έχει λήξει η περίοδος αποθήκευσης.

- να συμπληρώσει τα δικαιώματα των πρόσωπων στα οποία αναφέρονται τα δεδομένα εξασφαλίζοντας τη «φορητότητα των δεδομένων» , δηλαδή παρέχοντας το ρητό δικαίωμα στα φυσικά πρόσωπα να αποσύρουν τα δεδομένα τους (π.χ. φωτογραφίες, κατάλογος φίλων) από μια αίτηση ή μια υπηρεσία ώστε τα δεδομένα που έχουν αποσυρθεί να μπορούν να μεταφερθούν σε άλλη αίτηση ή υπηρεσία, εφόσον αυτό είναι τεχνικά εφικτό, χωρίς αντίρρηση εκ μέρους των υπεύθυνων της επεξεργασίας των δεδομένων.

2.1.4. Ευαισθητοποίηση

Μολονότι η διαφάνεια είναι σημαντική, είναι επίσης απαραίτητο να ευαισθητοποιηθεί περισσότερο το ευρύ κοινό, και ιδίως οι νέοι, όσον αφορά τους κινδύνους που συνδέονται με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και τα δικαιώματά τους. Σύμφωνα με έρευνα του Ευρωβαρόμετρου το 2008, η μεγάλη πλειονότητα των ανθρώπων στα κράτη μέλη της ΕΕ θεωρεί ότι η ευαισθητοποίηση όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στη χώρα τους είναι μικρή[20]. Οι δραστηριότητες ευαισθητοποίησης θα πρέπει κατά συνέπεια να ενισχυθούν και να προωθηθούν από ένα ευρύ φάσμα συντελεστών, π.χ. από τις αρχές των κρατών μελών, ιδίως τις αρχές προστασίας δεδομένων και τους εκπαιδευτικούς φορείς, καθώς και τους υπεύθυνους της επεξεργασίας των δεδομένων και τις ενώσεις της κοινωνίας των πολιτών. Οι δραστηριότητες αυτές θα πρέπει να περιλαμβάνουν μη νομοθετικά μέτρα, όπως ενημερωτικές εκστρατείες στα έντυπα και ηλεκτρονικά μέσα, και την παροχή σαφών πληροφοριών στους ιστότοπους, όπου να αναφέρονται με σαφήνεια τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα και οι ευθύνες των υπεύθυνων της επεξεργασίας των δεδομένων.

Η Επιτροπή θα εξετάσει τα εξής:

- τη δυνατότητα συγχρηματοδότησης των δραστηριοτήτων ευαισθητοποίησης σχετικά με την προστασία των δεδομένων μέσω του προϋπολογισμού της Ένωσης, και

- την ανάγκη και την ευκαιρία να συμπεριληφθεί στο νομικό πλαίσιο πρόβλεψη για την υποχρεωτική πραγματοποίηση δραστηριοτήτων ευαισθητοποίησης στον τομέα αυτόν.

2.1.5. Ελεύθερη και εν πλήρη επιγνώσει συγκατάθεση

Όταν απαιτείται συγκατάθεση μετά από ενημέρωση, οι ισχύοντες κανόνες προβλέπουν ότι η συγκατάθεση των φυσικών προσώπων για την επεξεργασία των προσωπικών τους δεδομένων θα πρέπει να αποτελεί «δήλωση βουλήσεως, ελευθέρας, ρητής και εν πλήρη επιγνώσει, με την οποία το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν[21]». Ωστόσο, οι όροι αυτοί ερμηνεύονται διαφορετικά στα κράτη μέλη, και οι ερμηνείες κυμαίνονται από μια γενική απαίτηση γραπτής συγκατάθεσης μέχρι την αποδοχή της σιωπηρής συγκατάθεσης.

Επιπλέον, στο επιγραμμικό περιβάλλον - δεδομένης της αδιαφάνειας των πολιτικών για την προστασία της ιδιωτικής ζωής – είναι συχνά δυσκολότερο για τα φυσικά πρόσωπα να γνωρίζουν τα δικαιώματά τους και να δίνουν τη συγκατάθεσή τους εν πλήρη επιγνώσει. Η κατάσταση περιπλέκεται περισσότερο από το γεγονός ότι σε ορισμένες περιπτώσεις δεν είναι καθόλου σαφές τι αποτελεί ελεύθερη, ρητή και εν πλήρη επιγνώσει συγκατάθεση για την επεξεργασία των προσωπικών δεδομένων, όπως στην περίπτωση της συμπεριφορικής διαφήμισης, στην οποία οι ρυθμίσεις του διαδικτυακού φυλλομετρητή θεωρούνται από μερικούς, αλλά όχι από άλλους, ότι ισοδυναμούν με τη συγκατάθεση του χρήστη.

Για το λόγο αυτό, πρέπει να αποσαφηνιστούν οι όροι για τη συγκατάθεση των προσώπων στα οποία αναφέρονται τα δεδομένα, ώστε η συγκατάθεση να είναι πάντα συνειδητή και τα πρόσωπα να έχουν πλήρη επίγνωση του γεγονότος ότι συγκατατίθενται και για ποιο είδος επεξεργασίας δεδομένων, σύμφωνα με το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης. Η σαφήνεια στις βασικές έννοιες δύναται επίσης να ευνοήσει την ανάπτυξη πρωτοβουλιών αυτορρύθμισης για την εκπόνηση πρακτικών λύσεων συμβατών με τη νομοθεσία της ΕΕ.

Η Επιτροπή θα εξετάσει τρόπους με τους οποίους είναι δυνατό οι κανόνες σχετικά με τη συγκατάθεση να καταστούν σαφέστεροι και αυστηρότεροι.

2.1.6. Προστασία ευαίσθητων δεδομένων

Η επεξεργασία ευαίσθητων δεδομένων, δηλαδή δεδομένων που αποκαλύπτουν τη φυλετική ή εθνική καταγωγή, τις πολιτικές απόψεις, τις φιλοσοφικές ή θρησκευτικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και την επεξεργασία δεδομένων που αναφέρονται στην υγεία και τη σεξουαλική ζωή κατά γενικό κανόνα απαγορεύεται, με λίγες εξαιρέσεις υπό ορισμένους όρους και εφόσον προβλέπονται εγγυήσεις[22]. Ωστόσο, λαμβάνοντας υπόψη τις τεχνολογικές και άλλες κοινωνικές εξελίξεις, είναι απαραίτητο να επανεξεταστούν οι υπάρχουσες διατάξεις για τα ευαίσθητα δεδομένα, να εξεταστεί εάν θα ήταν σκόπιμο να προστεθούν και άλλες κατηγορίες δεδομένων και να διευκρινιστούν περαιτέρω οι όροι για την επεξεργασία τους. Τούτο αφορά για παράδειγμα γενετικά δεδομένα τα οποία δεν αναφέρονται επί του παρόντος ως κατηγορία ευαίσθητων δεδομένων.

Η Επιτροπή θα εξετάσει:

- εάν άλλες κατηγορίες θα πρέπει να θεωρηθούν ως «ευαίσθητα δεδομένα», για παράδειγμα τα γενετικά δεδομένα,

- εάν θα πρέπει να εναρμονισθούν περαιτέρω οι όροι υπό τους οποίους επιτρέπεται η επεξεργασία κατηγοριών ευαίσθητων δεδομένων.

2.1.7. Αύξηση της αποτελεσματικότητας των ένδικών μέσων και κυρώσεων

Η ύπαρξη αποτελεσματικών ρυθμίσεων για τα ένδικα μέσα και τις κυρώσεις είναι σημαντική για να διασφαλιστεί η επιβολή των κανόνων προστασίας των δεδομένων. Πολλές περιπτώσεις στις οποίες ένα πρόσωπο θίγεται από παράβαση των κανόνων σχετικά με την προστασία δεδομένων, θίγουν επίσης σημαντικό αριθμό άλλων προσώπων σε παρόμοια κατάσταση.

Ως εκ τούτου, η Επιτροπή:

- θα εξετάσει το ενδεχόμενο να επεκτείνει το δικαίωμα προσφυγής στα εθνικά δικαστήρια στις αρχές προστασίας των δεδομένων και στις ενώσεις της κοινωνίας των πολιτών, καθώς και σε άλλες ενώσεις που εκπροσωπούν τα συμφέροντα των προσώπων στα οποία αναφέρονται τα δεδομένα,

- θα εκτιμήσει την ανάγκη ενίσχυσης των υφιστάμενων διατάξεων όσον αφορά τις κυρώσεις , για παράδειγμα προβλέποντας ρητά ποινικές κυρώσεις για σοβαρές παραβάσεις προστασίας των δεδομένων, προκειμένου να αυξηθεί η αποτελεσματικότητα των διατάξεων αυτών.

2.2. Αύξηση της διάστασης εσωτερική αγορά

2.2.1. Αύξηση της ασφάλειας του δικαίου και παροχή ίσων ευκαιριών στους υπεύθυνους της επεξεργασίας των δεδομένων

Η προστασία των δεδομένων στην ΕΕ έχει μια έντονη διάσταση εσωτερικής αγοράς , δηλαδή πρέπει να εξασφαλιστεί η ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών στο πλαίσιο της εσωτερικής αγοράς. Ως αποτέλεσμα, η εναρμόνιση από την οδηγία των εθνικών νομοθεσιών για την προστασία των δεδομένων δεν περιορίζεται στην ελάχιστη εναρμόνιση αλλά απαιτεί μια γενικά πλήρη εναρμόνιση[23].

Ταυτόχρονα, η οδηγία παρέχει τα περιθώρια ελιγμών σε ορισμένους τομείς και επιτρέπει στα κράτη μέλη να διατηρούν ή να θεσπίζουν ιδιαίτερους κανόνες για ειδικές καταστάσεις[24]. Αυτό, σε συνδυασμό με το γεγονός ότι η οδηγία μερικές φορές εφαρμόζεται εσφαλμένα από τα κράτη μέλη, έχει οδηγήσει σε αποκλίσεις μεταξύ των εθνικών νομοθεσιών για την εφαρμογή της οδηγίας, που αντιστρατεύονται έναν από τους κύριους στόχους της, συγκεκριμένα την εξασφάλιση ελεύθερης ροής των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά . Αυτό ισχύει για πολλούς τομείς και περιβάλλοντα, π.χ. κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο εργασιακό περιβάλλον ή για σκοπούς δημόσιας υγείας. Η έλλειψη εναρμόνισης αποτελεί πράγματι ένα από τα συχνότερα και σημαντικότερα προβλήματα που ανέφεραν ιδιώτες άμεσα ενδιαφερόμενοι, ειδικά οικονομικοί φορείς, δεδομένου ότι για αυτούς συνιστά πρόσθετο κόστος και διοικητικό φόρτο. Τούτο ισχύει ιδίως για υπεύθυνους επεξεργασίας δεδομένων εγκατεστημένους σε διάφορα κράτη μέλη οι οποίοι ως εκ τούτου υποχρεούνται να τηρούν τις απαιτήσεις και πρακτικές σε κάθε ένα από τα κράτη αυτά. Εξάλλου, ο διαφορετικός τρόπος εφαρμογής της οδηγίας από τα κράτη μέλη προκαλεί νομική αβεβαιότητα όχι μόνο για τους υπεύθυνους επεξεργασίας των δεδομένων αλλά και για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, καθώς δημιουργεί κίνδυνο στρέβλωσης του ισοδύναμου επιπέδου προστασίας που προβλέπεται να επιτύχει και να διασφαλίσει η οδηγία.

Η Επιτροπή θα εξετάσει τα μέσα για την περαιτέρω εναρμόνιση των κανόνων προστασίας των δεδομένων σε επίπεδο ΕΕ .

2.2.2. Μείωση του διοικητικού φόρτου

Η εξασφάλιση ισότιμων όρων θα περιορίσει την ανάγκη κάλυψης των διαφορετικών εθνικών απαιτήσεων, γεγονός που θα έχει ως συνέπεια τη σημαντική μείωση του διοικητικού φόρτου για τους υπεύθυνους επεξεργασίας δεδομένων. Ένα ακόμη συγκεκριμένο στοιχείο για τον περιορισμό του διοικητικού φόρτου και τη μείωση των δαπανών για τους υπεύθυνους επεξεργασίας δεδομένων θα ήταν η αναθεώρηση και απλούστευση του τρέχοντος συστήματος κοινοποίησης [25]. Υπάρχει ευρεία συναίνεση μεταξύ των υπευθύνων επεξεργασίας δεδομένων ότι η ισχύουσα γενική υποχρέωση κοινοποίησης όλων των πράξεων επεξεργασίας δεδομένων στις αρχές προστασίας δεδομένων αποτελεί μια αρκετά επαχθή υποχρέωση η οποία δεν εξασφαλίζει, από μόνη της, πραγματική προστιθέμενη αξία για την προστασία των δεδομένων προσωπικού χαρακτήρα των ενδιαφερομένων. Επιπλέον, στην προκειμένη περίπτωση η οδηγία αφήνει κάποιο περιθώριο χειρισμών στα κράτη μέλη τα οποία μπορούν ελεύθερα να αποφασίζουν για ενδεχόμενες εξαιρέσεις και απλουστεύσεις, καθώς και για τις διαδικασίες που πρέπει να ακολουθηθούν.

Ένα εναρμονισμένο και απλουστευμένο σύστημα θα μειώσει τις δαπάνες καθώς και το διοικητικό φόρτο, ιδίως για πολυεθνικές επιχειρήσεις εγκατεστημένες σε πολλά κράτη μέλη.

Η Επιτροπή θα μελετήσει πιθανές λύσεις για την απλούστευση και την εναρμόνιση του τρέχοντος συστήματος κοινοποίησης , συμπεριλαμβανομένης της ενδεχόμενης κατάρτισης ενιαίου εντύπου καταχώρισης σε επίπεδο ΕΕ .

2.2.3. Διασαφήνιση των κανόνων του εφαρμοστέου εθνικού δικαίου και της ευθύνης των κρατών μελών

Στην πρώτη έκθεση της Επιτροπής σχετικά με την εφαρμογή της οδηγίας περί προστασίας των δεδομένων, υπογραμμίστηκε, ήδη από το 2003[26], το γεγονός ότι η εφαρμογή της διάταξης για το εφαρμοστέο εθνικό δίκαιο[27] είναι «προβληματική σε αρκετές περιπτώσεις καθόσον μπορεί να οδηγήσει σε εκείνες τις συγκρούσεις νομοθεσιών τις οποίες το εν λόγω άρθρο επιδιώκει να αποφύγει». Η κατάσταση δεν έχει βελτιωθεί από τότε, γεγονός που έχει ως συνέπεια να μην είναι πάντα σαφές στους υπεύθυνους επεξεργασίας και στις εποπτικές αρχές προστασίας δεδομένων ποιο κράτος μέλος είναι υπεύθυνο και ποια είναι η εφαρμοστέα νομοθεσία όταν υπάρχουν περισσότερα ενδιαφερόμενα κράτη μέλη. Τούτο ισχύει ιδίως όταν διατυπώνονται διαφορετικές απαιτήσεις από τα διάφορα κράτη μέλη στον υπεύθυνο επεξεργασίας δεδομένων, όταν μια πολυεθνική επιχείρηση είναι εγκατεστημένη σε περισσότερα από ένα κράτη μέλη ή όταν ο υπεύθυνος επεξεργασίας δεν είναι εγκατεστημένος στην ΕΕ αλλά παρέχει τις υπηρεσίες του σε κατοίκους της ΕΕ.

Η πολυπλοκότητα αυξάνεται επίσης και λόγω της παγκοσμιοποίησης και των τεχνολογικών εξελίξεων : οι υπεύθυνοι επεξεργασίας των δεδομένων αναπτύσσουν όλο και περισσότερο τις δραστηριότητές τους στο πλαίσιο διαφόρων κρατών μελών και δικαιοδοσιών, παρέχοντας υπηρεσίες και συνδρομή σε εικοσιτετράωρη βάση. Το Διαδίκτυο διευκολύνει τους εγκατεστημένους εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ)[28] υπεύθυνους επεξεργασίας δεδομένων να παρέχουν υπηρεσίες εξ αποστάσεως και να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο επιγραμμικό περιβάλλον· εξάλλου, συχνά είναι δύσκολο να προσδιοριστεί η θέση των δεδομένων προσωπικού χαρακτήρα και του εξοπλισμού που χρησιμοποιείται σε μια δεδομένη χρονική στιγμή (π.χ. σε εφαρμογές και υπηρεσίες «υπολογιστικού νέφους»).

Ωστόσο, σύμφωνα με την εκτίμηση της Επιτροπής, το γεγονός ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται από υπεύθυνο επεξεργασίας εγκατεστημένο σε τρίτη χώρα, δεν θα έπρεπε να στερεί τα άτομα από την προστασία που δικαιούνται δυνάμει του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ και της νομοθεσίας της ΕΕ για την προστασία των δεδομένων.

Η Επιτροπή θα εξετάσει τρόπους αναθεώρησης και διασαφήνισης του εφαρμοστέου εθνικού δικαίου , ιδίως των ισχυόντων κριτηρίων καθορισμού του εν λόγω δικαίου, προκειμένου να βελτιώσει την ασφάλεια δικαίου, να διασαφηνίσει την ευθύνη των κρατών μελών όσον αφορά την εφαρμογή των κανόνων προστασίας των δεδομένων και τέλος να εξασφαλίσει τον ίδιο βαθμό προστασίας για τα πρόσωπα της ΕΕ στα οποία αναφέρονται τα δεδομένα, ανεξαρτήτως της γεωγραφικής τοποθεσίας στην οποία βρίσκεται ο υπεύθυνος επεξεργασίας των δεδομένων.

2.2.4. Ενίσχυση της ευθύνης των υπευθύνων επεξεργασίας δεδομένων

Η διοικητική απλούστευση δεν πρέπει να οδηγήσει σε μια γενική μείωση του επιπέδου ευθύνης των υπευθύνων επεξεργασίας των δεδομένων όσον αφορά την αποτελεσματική προστασία των δεδομένων . Αντιθέτως, η Επιτροπή πιστεύει ότι οι υποχρεώσεις τους πρέπει να προσδιοριστούν σαφέστερα στο νομικό πλαίσιο, ιδίως όσον αφορά τους εσωτερικούς μηχανισμούς επεξεργασίας και τη συνεργασία με τις εποπτικές αρχές προστασίας των δεδομένων. Πρέπει επιπλέον να διασφαλιστεί ότι ανάλογη ευθύνη θα εφαρμόζεται και στους υπεύθυνους επεξεργασίας που υπόκεινται σε υποχρέωση τήρησης επαγγελματικού απόρρητου (π.χ. δικηγόροι) καθώς και στις όλο και συχνότερα ανακύπτουσες περιπτώσεις κατά τις οποίες οι υπεύθυνοι επεξεργασίας μεταβιβάζουν την επεξεργασία των δεδομένων σε άλλες οντότητες (π.χ. εκτελούντες την επεξεργασία των δεδομένων).

Η Επιτροπή θα μελετήσει λοιπόν τρόπους που διασφαλίζουν την εφαρμογή αποτελεσματικών πολιτικών και μηχανισμών από τους υπεύθυνους επεξεργασίας δεδομένων ώστε να εξασφαλιστεί η συμμόρφωση με τους κανόνες προστασίας των δεδομένων . Ενεργώντας με τον τρόπο αυτό, θα λάβει υπόψη την υπό εξέλιξη συζήτηση για την ενδεχόμενη εισαγωγή της αρχής της «accountability»[29]. Ο στόχος δεν είναι να αυξηθεί ο διοικητικός φόρτος των υπευθύνων επεξεργασίας δεδομένων, καθώς τα μέτρα αυτά εστιάζονται κυρίως στη θέσπιση διασφαλίσεων και μηχανισμών που εξασφαλίζουν αποτελεσματικότερη προστασία των δεδομένων ενώ παράλληλα περιορίζουν και απλουστεύουν ορισμένες διοικητικές διατυπώσεις όπως οι κοινοποιήσεις ( βλέπε 2.2.2 ανωτέρω ).

Η προώθηση της χρησιμοποίησης Τεχνολογιών για τη Βελτίωση της προστασίας της Ιδιωτικότητας (ΤΒΙ), όπως επισημάνθηκε ήδη στην ανακοίνωση της Επιτροπής του 2007 για το θέμα αυτό, καθώς και της αρχής για την «Προστασία της ιδιωτικής ζωής εκ κατασκευής», ενδέχεται να διαδραματίσει σημαντικό ρόλο για το σκοπό αυτό, ακόμη και για την εξασφάλιση της ασφάλειας των δεδομένων[30].

Η Επιτροπή θα εξετάσει τα ακόλουθα μέτρα ενίσχυσης της ευθύνης των υπευθύνων επεξεργασίας των δεδομένων:

- καθιέρωση υποχρεωτικού διορισμού ανεξάρτητου υπεύθυνου προστασίας των δεδομένων και εναρμόνιση των κανόνων που αφορούν τα καθήκοντα και τις αρμοδιότητές του[31], μελετώντας παράλληλα ποιο είναι το κατάλληλο κατώτατο όριο ώστε να αποφευχθεί περιττός διοικητικός φόρτος, ιδίως για τις μικρές και τις πολύ μικρές επιχειρήσεις·

- ενσωμάτωση στο νομικό πλαίσιο της υποχρέωσης των υπευθύνων επεξεργασίας των δεδομένων να πραγματοποιούν σε συγκεκριμένες περιπτώσεις εκτίμηση των επιπτώσεων στην προστασία των δεδομένων, για παράδειγμα, κατά την επεξεργασία ευαίσθητων δεδομένων ή όταν το είδος της επεξεργασίας εμπεριέχει άλλους ειδικούς κινδύνους, ιδίως όταν χρησιμοποιούνται ειδικές τεχνολογίες, μηχανισμοί ή διαδικασίες, μεταξύ των οποίων η ανάλυση των χαρακτηριστικών ή η βιντεοεπιτήρηση·

- περαιτέρω προώθηση της χρήσης των ΤΒΙ και των δυνατοτήτων εφαρμογής στην πράξη της έννοιας της «προστασίας της ιδιωτικής ζωής εκ κατασκευής».

2.2.5. Ενθάρρυνση πρωτοβουλιών αυτορρύθμισης και εξέταση της δυνατότητας θέσπισης συστημάτων πιστοποίησης ΕΕ

Η Επιτροπή εξακολουθεί να φρονεί ότι οι πρωτοβουλίες αυτορρύθμισης από υπεύθυνους επεξεργασίας δεδομένων μπορούν να συμβάλουν στην καλύτερη εφαρμογή των κανόνων προστασίας των δεδομένων . Οι ισχύουσες διατάξεις της οδηγίας για την προστασία των δεδομένων σχετικά με την αυτορρύθμιση, και συγκεκριμένα η δυνατότητα εκπόνησης κωδίκων δεοντολογίας[32], έχουν σπάνια χρησιμοποιηθεί μέχρι σήμερα και δεν κρίνονται ικανοποιητικές από τους ενδιαφερόμενους φορείς του ιδιωτικού τομέα.

Επιπλέον, η Επιτροπή θα διερευνήσει τη δυνατότητα δημιουργίας συστημάτων πιστοποίησης ΕΕ (π.χ. «σφραγίδες ιδιωτικότητας») για διαδικασίες, τεχνολογίες, προϊόντα και υπηρεσίες που σέβονται την ιδιωτική ζωή[33]. Τα συστήματα αυτά δεν θα καθοδηγούσαν μόνο τους πολίτες που κάνουν χρήση τέτοιων τεχνολογιών, προϊόντων και υπηρεσιών, αλλά θα ενίσχυαν και την ευθύνη των υπευθύνων επεξεργασίας δεδομένων: η επιλογή πιστοποιημένων τεχνολογιών, προϊόντων ή υπηρεσιών θα συνέβαλε στο να αποδειχτεί ότι ο υπεύθυνος επεξεργασίας έχει εκπληρώσει τις υποχρεώσεις του ( βλέπε 2.2.4 ανωτέρω ). Θα ήταν βέβαια ουσιαστικής σημασίας να διασφαλιστεί η αξιοπιστία των εν λόγω σφραγίδων ιδιωτικότητας και να εξεταστεί πώς συνδυάζονται με τις νομικές υποχρεώσεις και τα διεθνή τεχνικά πρότυπα.

Η Επιτροπή προτίθεται:

- να εξετάσει μέσα περαιτέρω ενθάρρυνσης των πρωτοβουλιών αυτορρύθμισης, συμπεριλαμβανομένης της ενεργούς προώθησης των κωδίκων δεοντολογίας,

- να διερευνήσει εάν είναι εφικτή η δημιουργία συστημάτων πιστοποίησης στον τομέα της ιδιωτικότητας και της προστασίας των δεδομένων.

2.3. Αναθεώρηση των κανόνων προστασίας των δεδομένων στον τομέα της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις

Η οδηγία για την προστασία των δεδομένων εφαρμόζεται σε όλες τις δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα. Ωστόσο, δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται «στο πλαίσιο δραστηριοτήτων που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου», όπως δραστηριότητες στους τομείς της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις[34]. Η συνθήκη της Λισαβόνας έχει ωστόσο καταργήσει την προηγούμενη «δομή των πυλώνων» της ΕΕ και εισήγαγε μια νέα και ενιαία νομική βάση για την προστασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των πολιτικών της Ένωσης[35]. Με βάση τα δεδομένα αυτά και λαμβανομένου υπόψη του Χάρτη του Θεμελιωδών Δικαιωμάτων της ΕΕ, υπογραμμίστηκε στις ανακοινώσεις της Επιτροπής για το πρόγραμμα της Στοκχόλμης και στο σχέδιο δράσης για την εφαρμογή του προγράμματος της Στοκχόλμης[36] η ανάγκη να αποκτήσουμε ένα «πλήρες καθεστώς προστασίας» και «να καταστήσουμε ισχυρότερη τη θέση της ΕΕ στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο όλων των πολιτικών της ΕΕ, περιλαμβανομένων των τομέων της επιβολής του νόμου και της πρόληψης της εγκληματικότητας».

Η πράξη της ΕΕ για την προστασία των δεδομένων προσωπικού χαρακτήρα στους τομείς της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις είναι η απόφαση πλαίσιο 2008/977/ΔΕΥ [37]. Η απόφαση πλαίσιο συνιστά σημαντικό θετικό βήμα σε έναν τομέα όπου είναι έντονα αισθητή η ανάγκη για κοινούς κανόνες προστασίας των δεδομένων. Ωστόσο, απαιτούνται περαιτέρω ενέργειες.

Η απόφαση πλαίσιο εφαρμόζεται μόνο στη διασυνοριακή ανταλλαγή δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ και όχι στις διαδικασίες επεξεργασίας που πραγματοποιούνται εντός των κρατών μελών. Στην πράξη, είναι δύσκολο να γίνει η εν λόγω διάκριση, γεγονός που μπορεί να περιπλέξει την πραγματική υλοποίηση και εφαρμογή της απόφασης πλαισίου[38].

Επίσης, η απόφαση πλαίσιο προβλέπει μια ιδιαίτερα σημαντική εξαίρεση όσον αφορά την αρχή του περιορισμού του σκοπού . Μια άλλη αδυναμία της είναι η απουσία διατάξεων που προβλέπουν τη διάκριση των διαφόρων κατηγοριών δεδομένων ανάλογα με τον βαθμό της ακρίβειας και της αξιοπιστίας τους, τη διαφοροποίηση των δεδομένων που βασίζονται σε γεγονότα από εκείνα που βασίζονται σε προσωπικές γνώμες ή εκτιμήσεις[39], και τη διάκριση μεταξύ των διαφόρων κατηγοριών προσώπων στα οποία αναφέρονται τα δεδομένα (εγκληματίες, ύποπτοι, θύματα, μάρτυρες, κλπ.), με πρόβλεψη ειδικών εγγυήσεων για τα δεδομένα που αφορούν μη ύποπτα πρόσωπα[40].

Επιπλέον, η απόφαση πλαίσιο δεν αντικαθιστά τις διάφορες τομεακές νομοθετικές πράξεις για την αστυνομική και δικαστική συνεργασία σε ποινικές υποθέσεις που εκδόθηκαν σε επίπεδο ΕΕ [41], ιδίως εκείνες που διέπουν τη λειτουργία της Ευρωπόλ, του Eurojust, του Συστήματος Πληροφοριών Σένγκεν (SIS) και του Τελωνειακού Συστήματος Πληροφοριών (CIS)[42], οι οποίες προβλέπουν ιδιαίτερα καθεστώτα προστασίας δεδομένων ή/και παραπέμπουν συνήθως στις πράξεις προστασίας των δεδομένων του Συμβουλίου της Ευρώπης. Για δραστηριότητες στον τομέα της αστυνομικής και δικαστικής συνεργασίας, όλα τα κράτη μέλη έχουν αποδεχθεί τη σύσταση αριθ. R (87) 15 (13) του Συμβουλίου της Ευρώπης που καθορίζει τις αρχές της σύμβασης αριθ. 108 για τον αστυνομικό τομέα. Ωστόσο, η εν λόγω πράξη δεν είναι νομικά δεσμευτική.

Η κατάσταση αυτή μπορεί να επηρεάσει άμεσα τις δυνατότητες των προσώπων να ασκούν τα δικαιώματά τους όσον αφορά την προστασία των δεδομένων στον εν λόγω τομέα (δηλ. να γνωρίζουν ποια δεδομένα τους προσωπικού χαρακτήρα αποτελούν αντικείμενο επεξεργασίας και ανταλλαγής, από ποιον και για ποιο σκοπό, καθώς και πώς να ασκούν τα δικαιώματά τους, όπως το δικαίωμα πρόσβασης στα δεδομένα που τα αφορούν).

Ο στόχος της δημιουργίας ενός συνολικού και συνεκτικού συστήματος σε επίπεδο ΕΕ και έναντι των τρίτων χωρών υπαγορεύει την ανάγκη εξέτασης του ενδεχόμενου αναθεώρησης των ισχυόντων κανόνων για την προστασία των δεδομένων στον τομέα της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις. Η Επιτροπή τονίζει ότι η έννοια του συνολικού συστήματος προστασίας των δεδομένων δεν αποκλείει την έκδοση ειδικών κανόνων για τον αστυνομικό και δικαστικό τομέα όσον αφορά την προστασία των δεδομένων εντός του γενικότερου πλαισίου, λαμβάνοντας δεόντως υπόψη την ιδιαίτερη φύση των εν λόγω τομέων, όπως επισημαίνεται στη δήλωση 21 που έχει προσαρτηθεί στη συνθήκη της Λισαβόνας. Τούτο συνεπάγεται για παράδειγμα την ανάγκη να εξεταστεί σε ποιο βαθμό η άσκηση ορισμένων δικαιωμάτων προστασίας δεδομένων από ένα πρόσωπο μπορεί, σε συγκεκριμένη περίπτωση, να θέσει σε κίνδυνο την πρόληψη, την έρευνα, τη διαπίστωση ή τη δίωξη αξιόποινων πράξεων ή την εκτέλεση των ποινικών κυρώσεων.

Ειδικότερα, η Επιτροπή:

- θα εξετάσει την επέκταση της εφαρμογής των γενικών κανόνων προστασίας των δεδομένων στους τομείς της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, ακόμη και όσον αφορά την επεξεργασία σε εθνικό επίπεδο, προβλέποντας παράλληλα, όπου είναι απαραίτητο, εναρμονισμένους περιορισμούς σε ορισμένα δικαιώματα προστασίας των δεδομένων των προσώπων, όσον αφορά για παράδειγμα το δικαίωμα πρόσβασης ή την αρχή της διαφάνειας·

- θα εξετάσει την ανάγκη ενσωμάτωσης ειδικών και εναρμονισμένων διατάξεων στο νέο γενικό πλαίσιο προστασίας των δεδομένων, που θα αφορούν για παράδειγμα την προστασία των δεδομένων κατά την επεξεργασία γενετικών δεδομένων για σκοπούς του ποινικού δικαίου ή τη διάκριση μεταξύ των διαφόρων κατηγοριών προσώπων στα οποία αναφέρονται τα δεδομένα (μάρτυρες, ύποπτοι κλπ.) στον τομέα της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις·

- θα δρομολογήσει, το 2011, διαβούλευση με όλους τους ενδιαφερόμενους φορείς σχετικά με το βέλτιστο τρόπο αναθεώρησης των ισχυόντων συστημάτων εποπτείας στον τομέα της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις , προκειμένου να διασφαλιστεί η αποτελεσματική και συνεκτική εποπτεία της προστασίας των δεδομένων σε όλα τα θεσμικά όργανα, υπηρεσίες και οργανισμούς της Ένωσης·

- θα αξιολογήσει την ανάγκη να ευθυγραμμιστούν , μακροπρόθεσμα, οι διάφοροι ειδικοί τομεακοί κανόνες που έχουν εκδοθεί σε επίπεδο ΕΕ για την αστυνομική και δικαστική συνεργασία σε ποινικά θέματα και περιέχονται σε συγκεκριμένες πράξεις , με το νέο γενικό νομικό πλαίσιο για την προστασία των δεδομένων.

2.4. Η παγκόσμια διάσταση της προστασίας των δεδομένων

2.4.1. Διασαφήνιση και απλούστευση των κανόνων για διεθνείς διαβιβάσεις δεδομένων

Η διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός της ΕΕ και της ζώνης του ΕΟΧ υπόκειται, μεταξύ άλλων, στην καλούμενη «αξιολόγηση επάρκειας». Επί του παρόντος, η επάρκεια μιας τρίτης χώρας – δηλ. εάν η τρίτη χώρα διασφαλίζει επίπεδο προστασίας που κρίνεται επαρκές από την ΕΕ – μπορεί να προσδιοριστεί από την Επιτροπή και από τα κράτη μέλη.

Εφόσον η Επιτροπή κρίνει επαρκές το επίπεδο προστασίας που παρέχει μια τρίτη χώρα, τα δεδομένα προσωπικού χαρακτήρα μπορούν να διαβιβαστούν ελεύθερα από τα 27 κράτη μέλη και τις τρεις χώρες μέλη του ΕΟΧ προς την εν λόγω τρίτη χώρα, χωρίς να απαιτούνται περαιτέρω εγγυήσεις. Ωστόσο, οι ακριβείς απαιτήσεις για την αναγνώριση της επάρκειας εκ μέρους της Επιτροπής δεν προσδιορίζονται επί του παρόντος κατά τρόπο επαρκώς λεπτομερή στην οδηγία για την προστασία των δεδομένων. Εξάλλου, η απόφαση πλαίσιο δεν προβλέπει την έκδοση απόφασης του είδους αυτού από την Επιτροπή.

Σε ορισμένα κράτη μέλη, η επάρκεια της προστασίας των δεδομένων αξιολογείται κατά πρώτο λόγο από τον ίδιο τον υπεύθυνο της επεξεργασίας ο οποίος διαβιβάζει τα δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα, ενίοτε στο πλαίσιο του εκ των υστέρων ελέγχου που πραγματοποιεί η εποπτική αρχή προστασίας των δεδομένων. Η κατάσταση αυτή ενδέχεται να οδηγήσει σε διαφορετικές προσεγγίσεις όσον αφορά την αξιολόγηση του επιπέδου επάρκειας της προστασίας που παρέχουν τρίτες χώρες ή διεθνείς οργανισμοί, ενώ επίσης εμπεριέχει τον κίνδυνο να κριθεί διαφορετικά από το ένα κράτος μέλος στο άλλο το επίπεδο προστασίας που παρέχει τρίτη χώρα στα πρόσωπα στα οποία αναφέρονται τα δεδομένα . Επίσης, οι ισχύουσες νομοθετικές πράξεις δεν προσδιορίζουν ακριβείς και εναρμονισμένους όρους σχετικά με ποιες διαβιβάσεις μπορούν να θεωρηθούν νόμιμες. Τούτο έχει ως συνέπεια να ποικίλουν από το ένα κράτος μέλος στο άλλο οι εφαρμοζόμενες πρακτικές.

Επιπλέον, όσον αφορά τις διαβιβάσεις δεδομένων σε τρίτες χώρες οι οποίες δεν εξασφαλίζουν επαρκές επίπεδο προστασίας, οι ισχύουσες τυποποιημένες ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε υπεύθυνους επεξεργασίας δεδομένων[43] και σε εκτελούντες επεξεργασία δεδομένων[44] δεν έχουν σχεδιαστεί για μη συμβατικές καταστάσεις και, για παράδειγμα, δεν μπορούν να χρησιμοποιηθούν για διαβιβάσεις μεταξύ δημόσιων διοικητικών αρχών.

Εξάλλου, οι διεθνείς συμφωνίες που συνάπτονται από την ΕΕ ή τα κράτη μέλη της συχνά προβλέπουν την υποχρέωση ενσωμάτωσης αρχών για την προστασία των δεδομένων και ειδικών διατάξεων. Τούτο μπορεί να οδηγήσει σε διαφορετικά κείμενα με διατάξεις και δικαιώματα που δεν παρουσιάζουν συνοχή και είναι, ως εκ τούτου, ανοικτά σε διαφορετικές ερμηνείες σε βάρος των προσώπων στα οποία αναφέρονται τα δεδομένα. Κατά συνέπεια, η Επιτροπή ανακοίνωσε την πρόθεσή της να εργαστεί επί των βασικών στοιχείων προστασίας των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στις συμφωνίες μεταξύ της Ένωσης και τρίτων χωρών για λόγους επιβολής του νόμου[45].

Άλλα μέσα που αναπτύχθηκαν ως μορφή αυτορρύθμισης, όπως οι εσωτερικοί κώδικες δεοντολογίας των επιχειρήσεων που είναι γνωστοί ως «δεσμευτικοί εταιρικοί κανόνες» (BCR)[46], μπορούν επίσης να αποτελέσουν χρήσιμο εργαλείο για τη νόμιμη διαβίβαση δεδομένων προσωπικού χαρακτήρα μεταξύ επιχειρήσεων του ίδιου ομίλου. Ωστόσο, οι ενδιαφερόμενοι φορείς υπέδειξαν την περαιτέρω βελτίωση και τη διευκόλυνση της εφαρμογής του εν λόγω μηχανισμού.

Για να αντιμετωπιστούν τα ζητήματα που επισημάνθηκαν χρειάζεται, σε γενικό επίπεδο, να βελτιωθούν οι υφιστάμενοι μηχανισμοί για τις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα , ενώ παράλληλα να διασφαλιστεί η επαρκής προστασία των δεδομένων προσωπικού χαρακτήρα κατά τη διαβίβαση και επεξεργασία τους εκτός της ΕΕ και του ΕΟΧ.

Η Επιτροπή προτίθεται να εξετάσει τρόπους ώστε:

- να βελτιώσει και να εξορθολογήσει τις ισχύουσες διαδικασίες για διεθνείς διαβιβάσεις δεδομένων, συμπεριλαμβανομένων των δεσμευτικών νομικά πράξεων και των «δεσμευτικών εταιρικών κανόνων», προκειμένου να διασφαλίσει μια περισσότερο ομοιόμορφη και συνεκτική προσέγγιση της ΕΕ έναντι των τρίτων χωρών και των διεθνών οργανισμών·

- να διασαφηνίσει τη διαδικασία επάρκειας που εφαρμόζει η Επιτροπή και να προσδιορίσει ακριβέστερα τα κριτήρια και τις απαιτήσεις για την αξιολόγηση του επιπέδου προστασίας δεδομένων που παρέχει μια τρίτη χώρα ή ένας διεθνής οργανισμός·

- να καθορίσει τα κύρια στοιχεία της προστασίας των δεδομένων που θα μπορούσαν να χρησιμοποιηθούν για όλους τους τύπους διεθνών συμφωνιών που συνάπτει η ΕΕ.

2.4.2. Προώθηση οικουμενικών αρχών

Λόγω της επεξεργασίας των δεδομένων σε περιβάλλον παγκοσμιοποίησης, χρειάζεται να αναπτυχθούν οικουμενικές αρχές για την προστασία των προσώπων από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα.

Το νομικό πλαίσιο της ΕΕ για την προστασία των δεδομένων χρησιμοποιήθηκε συχνά από τις τρίτες χώρες ως σημείο αναφοράς για τις κανονιστικές ρυθμίσεις στον τομέα της προστασίας των δεδομένων. Οι επιπτώσεις και ο αντίκτυπός του εντός και εκτός της Ένωσης, ήταν υψίστης σημασίας. Η Ευρωπαϊκή Ένωση πρέπει συνεπώς να εξακολουθήσει να διαδραματίζει ρόλο κινητήριας δύναμης στην ανάπτυξη και την προώθηση των διεθνών νομικών και τεχνικών προτύπων για την προστασία των δεδομένων προσωπικού χαρακτήρα , με βάση τις συναφείς πράξεις της ΕΕ και των λοιπών ευρωπαϊκών οργάνων για την προστασία των δεδομένων. Τούτο έχει ιδιαίτερη σημασία στο πλαίσιο της πολιτικής της ΕΕ για τη διεύρυνση.

Όσον αφορά τα διεθνή τεχνικά πρότυπα που έχουν εκπονηθεί από οργανισμούς τυποποίησης, η Επιτροπή φρονεί ότι η συνοχή μεταξύ του μελλοντικού νομικού πλαισίου και των εν λόγω προτύπων είναι ιδιαίτερα σημαντική για τη διασφάλιση της συνεκτικής και πρακτικής εφαρμογής των κανόνων προστασίας δεδομένων από τους υπεύθυνους επεξεργασίας των δεδομένων.

Η Επιτροπή προτίθεται:

- να εξακολουθήσει να προωθεί την εκπόνηση υψηλών νομικών και τεχνικών προτύπων για την προστασία των δεδομένων στις τρίτες χώρες και σε διεθνές επίπεδο·

- να υπερασπιστεί την αρχή της αμοιβαιότητας της προστασίας στο πλαίσιο των διεθνών ενεργειών της Ένωσης, ιδίως για τα πρόσωπα των οποίων τα δεδομένα προσωπικού χαρακτήρα εξάγονται από την ΕΕ σε τρίτες χώρες·

- να ενισχύσει για το σκοπό αυτό τη συνεργασία της με τρίτες χώρες και διεθνείς οργανισμούς, όπως ο ΟΟΣΑ, το Συμβούλιο της Ευρώπης, τα Ηνωμένα Έθνη και άλλοι περιφερειακοί οργανισμοί·

- να παρακολουθεί εκ του σύνεγγυς την ανάπτυξη των διεθνών τεχνικών προτύπων από οργανισμούς τυποποίησης όπως η Ευρωπαϊκή Επιτροπή Τυποποίησης (CEN) και ο Διεθνής Οργανισμός Τυποποίησης (ISO), προκειμένου να βεβαιωθεί ότι συμπληρώνουν επιτυχώς τους νομικούς κανόνες και να εξασφαλίσει την αποτελεσματική εφαρμογή σε επιχειρησιακό επίπεδο των βασικών απαιτήσεων στον τομέα της προστασίας των δεδομένων.

2.5. Eνίσχυση του θεσμικού πλαισίου για την καλύτερη εφαρμογή των κανόνων που αφορούν την προστασία των δεδομένων.

Η εφαρμογή και η επιβολή των αρχών και των κανόνων προστασίας των δεδομένων διαδραματίζουν καθοριστικό ρόλο στη διασφάλιση του σεβασμού των δικαιωμάτων των ενδιαφερομένων προσώπων.

Στο πλαίσιο αυτό, οι Αρχές Προστασίας των Δεδομένων (ΑΠΔ) διαδραματίζουν ουσιαστικό ρόλο στην επιβολή των κανόνων προστασίας των δεδομένων. Οι αρχές αυτές αποτελούν ανεξάρτητους θεματοφύλακες των θεμελιωδών δικαιωμάτων και ελευθεριών όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα και σε αυτές βασίζονται οι πολίτες για να διασφαλίσουν την προστασία των δεδομένων προσωπικού χαρακτήρα και την νομιμότητα των διαδικασιών επεξεργασίας τους. Για το λόγο αυτό η Επιτροπή πιστεύει ότι ο ρόλος τους πρέπει να ενισχυθεί, δυνάμει ιδίως της πρόσφατης νομολογίας του Δικαστηρίου της ΕΕ σχετικά με την ανεξαρτησία τους[47] και να τους παρασχεθούν οι εξουσίες και οι πόροι που απαιτούνται για την ορθή άσκηση των καθηκόντων τους τόσο σε εθνικό επίπεδο όσο και κατά την μεταξύ τους συνεργασία.

Παράλληλα, η Επιτροπή εκτιμά ότι οι αρχές προστασίας των δεδομένων πρέπει να ενισχύσουν τη συνεργασία τους και να συντονίζουν καλύτερα τις δραστηριότητές τους , ιδίως όταν αντιμετωπίζουν ζητήματα τα οποία, λόγω της φύσεώς τους, έχουν διασυνοριακή διάσταση. Τούτο ισχύει ιδίως στην περίπτωση που πολυεθνικές επιχειρήσεις είναι εγκατεστημένες σε διάφορα κράτη μέλη και ασκούν τις δραστηριότητές τους σε κάθε ένα από αυτά, ή όταν απαιτηθεί συντονισμένος έλεγχος με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων[48].

Για το σκοπό αυτό σημαντικό ρόλο μπορεί να διαδραματίσει η ομάδα εργασίας του άρθρου 29 [49], στην οποία έχει ήδη ανατεθεί το καθήκον, πέραν του συμβουλευτικού της ρόλου[50], να συμβάλλει στην ομοιόμορφη εφαρμογή των κανόνων προστασίας δεδομένων της ΕΕ σε εθνικό επίπεδο. Ωστόσο, η συνεχιζόμενη εφαρμογή και ερμηνεία των κανόνων της ΕΕ με διαφορετικό τρόπο από τις αρχές προστασίας των δεδομένων, παρόλο που αντιμετωπίζονται οι ίδιες προκλήσεις σε όλη την ΕΕ στον τομέα της προστασίας των δεδομένων, υπαγορεύει την ενίσχυση του ρόλου της εν λόγω ομάδας εργασίας στον συντονισμό των θέσεων των αρχών προστασίας δεδομένων, ώστε να διασφαλιστεί μια πιο ομοιόμορφη εφαρμογή σε εθνικό επίπεδο και, κατά συνέπεια, ένα ισοδύναμο επίπεδο προστασίας των δεδομένων.

Η Επιτροπή θα εξετάσει:

- πώς να ενισχύσει, να διασαφηνίσει και να εναρμονίσει το καθεστώς και τις εξουσίες των εθνικών αρχών προστασίας των δεδομένων στο νέο νομικό πλαίσιο, συμπεριλαμβανομένης της πλήρους εφαρμογής της έννοιας της «πλήρους ανεξαρτησίας»[51]·

- τρόπους βελτίωσης της συνεργασίας και του συντονισμού μεταξύ των αρχών προστασίας των δεδομένων ·

- πώς να εξασφαλίσει μια πιο συνεκτική εφαρμογή των κανόνων προστασίας δεδομένων της ΕΕ σε όλη την εσωτερική αγορά, ιδίως με την ενίσχυση του ρόλου των εθνικών εποπτών προστασίας δεδομένων, με τον καλύτερο συντονισμό του έργου τους μέσω της ομάδας εργασίας του άρθρου 29 (η οποία πρέπει να καταστεί ένα όργανο που θα λειτουργεί με μεγαλύτερη διαφάνεια) ή/και με τη δημιουργία μηχανισμού για τη διασφάλιση της συνοχής στην εσωτερική αγορά υπό την εποπτεία της Ευρωπαϊκής Επιτροπής.

3. Συμπέρασμα: Προοπτικεσ

Ο τρόπος χρησιμοποίησης και διαβίβασης των δεδομένων προσωπικού χαρακτήρα στην κοινωνία μας μεταβάλλεται συνεχώς, όπως και η τεχνολογία. Η πρόκληση που αντιμετωπίζουν λοιπόν οι νομοθέτες είναι να θεσπίσουν ένα νομοθετικό πλαίσιο που θα αντέξει στη δοκιμασία του χρόνου. Όταν ολοκληρωθεί η μεταρρυθμιστική διαδικασία, οι ευρωπαϊκοί κανόνες προστασίας των δεδομένων πρέπει να εξακολουθήσουν να εγγυώνται ένα υψηλό επίπεδο προστασίας και να παρέχουν την ίδια ασφάλεια δικαίου σε πρόσωπα, δημόσιες διοικητικές αρχές και επιχειρήσεις στην εσωτερική αγορά για πολλές γενεές. Ανεξάρτητα από το πόσο πολύπλοκη είναι η κατάσταση ή πόσο προηγμένη είναι η τεχνολογία, πρέπει να υπάρχει σαφήνεια όσον αφορά τους εφαρμοστέους κανόνες και πρότυπα που πρέπει να επιβάλουν οι εθνικές αρχές και να τηρήσουν οι επιχειρήσεις και οι φορείς ανάπτυξης τεχνολογιών. Επίσης, τα άτομα πρέπει να έχουν σαφή εικόνα των δικαιωμάτων που απολαύουν.

Η συνολική προσέγγιση της Επιτροπής για την αντιμετώπιση των ζητημάτων και την επίτευξη των βασικών στόχων που προβάλλονται στην παρούσα ανακοίνωση θα χρησιμεύσει ως βάση για περαιτέρω συζητήσεις με τα λοιπά ευρωπαϊκά όργανα και τα άλλα ενδιαφερόμενα μέρη, και στη συνέχεια θα λάβει τη μορφή συγκεκριμένων προτάσεων και μέτρων τόσο νομοθετικής όσο και μη νομοθετικής φύσεως. Για το σκοπό αυτό, θα ήταν χρήσιμη για την Επιτροπή η ανάδραση επί των θεμάτων που τίθενται στην παρούσα ανακοίνωση.

Στη βάση αυτή, μετά από αξιολόγηση των επιπτώσεων και λαμβάνοντας υπόψη τον Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ, η Επιτροπή θα παρουσιάσει το 2011 νομοθετικές προτάσεις που θα αποσκοπούν στην αναθεώρηση του νομικού πλαισίου για την προστασία των δεδομένων, με στόχο μια πιο σθεναρή στάση της ΕΕ όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο όλων των πολιτικών της ΕΕ, συμπεριλαμβανομένης της επιβολής του νόμου και της πρόληψης του εγκλήματος, λαμβάνοντας υπόψη τις ιδιαιτερότητες των εν λόγω τομέων. Παράλληλα, θα ληφθούν μη νομοθετικά μέτρα, όπως η προώθηση της αυτορρύθμισης και η εξέταση της σκοπιμότητας των σφραγίδων της ΕΕ για την προστασία της ιδιωτικότητας.

Σε ένα δεύτερο στάδιο, η Επιτροπή θα αξιολογήσει την ανάγκη της προσαρμογής άλλων νομοθετικών πράξεων στο νέο γενικό πλαίσιο προστασίας των δεδομένων. Τούτο αφορά κατά πρώτο λόγο τον κανονισμό (ΕΚ) αριθ. 45/2001, οι διατάξεις του οποίου θα χρειαστεί να προσαρμοστούν στο νέο γενικό νομοθετικό πλαίσιο. Σε μεταγενέστερο στάδιο θα πρέπει επίσης να εξεταστούν προσεκτικά οι επιπτώσεις σε άλλες πράξεις επιμέρους τομέων.

Η Επιτροπή θα εξακολουθήσει να διασφαλίζει τον έλεγχο της ορθής εφαρμογής της κοινοτικής νομοθεσίας στον εν λόγω τομέα, ακολουθώντας μια ενεργή πολιτική καταστολής των παραβάσεων στις περιπτώσεις μη ορθής εφαρμογής και εκτέλεσης των κανόνων προστασίας των δεδομένων της ΕΕ. Πράγματι, η τρέχουσα αναθεώρηση των πράξεων προστασίας των δεδομένων δεν επηρεάζει την υποχρέωση των κρατών μελών να εφαρμόζουν και να διασφαλίζουν την ορθή εφαρμογή των υφιστάμενων νομοθετικών πράξεων για την προστασία των δεδομένων προσωπικού χαρακτήρα[52].

Ένα υψηλό και ομοιόμορφο επίπεδο προστασίας των δεδομένων εντός της ΕΕ θα αποτελέσει τον καλύτερο τρόπο υπεράσπισης και προώθησης σε παγκόσμιο επίπεδο των προτύπων της ΕΕ στον τομέα της προστασίας των δεδομένων.

[1] Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281, 23.11.1995, σ. 31).

[2] Βλέπε Study on the economic benefits of privacy enhancing technologies, London Economics, Ιούλιος 2010 (http://ec.europa.eu/justice/policies/privacy/docs/studies/final_report_pets_16_07_10_en.pdf), σ. 14.

[3] Βλέπε τις απαντήσεις στη δημόσια διαβούλευση της Επιτροπής:http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm. Περισσότερο στοχευμένες διαβουλεύσεις με τους ενδιαφερόμενους πραγματοποιήθηκαν σε όλη τη διάρκεια του 2010. Η Αντιπρόεδρος Viviane Reding προήδρευσε επίσης συνάντησης υψηλού επιπέδου με τους ενδιαφερόμενους φορείς στις 5 Οκτωβρίου 2010 στις Βρυξέλλες. Η Επιτροπή διαβουλεύθηκε επίσης με την ομάδα εργασίας του άρθρου 29, η οποία παρέσχε περιεκτική συνεισφορά στη διαβούλευση του 2009 (WP 168) και εξέδωσε ειδική γνώμη τον Ιούλιο του 2010 για την έννοια της λογοδοσίας (WP 173).

[4] Εκτός από τη Μελέτη για τα οικονομικά πλεονεκτήματα των τεχνολογιών για τη βελτίωση της προστασίας της ιδιωτικής ζωής (βλ. υποσημείωση 2), βλέπε επίσης τη συγκριτική μελέτη για τις διαφορετικές προσεγγίσεις όσον αφορά τις νέες προκλήσεις που σχετίζονται με την ιδιωτική ζωή, ιδίως υπό το πρίσμα των τεχνολογικών εξελίξεων, Ιανουάριος 2010.({0><}0{>http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf). Επίσης, είναι υπό διεξαγωγή μια μελέτη για την εκτίμηση των επιπτώσεων του μελλοντικού νομικού πλαισίου της ΕΕ στην προστασία των δεδομένων προσωπικού χαρακτήρα.

[5] Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της 31.7.2002, σ. 37).

[6] Η οδηγία προστασίας των δεδομένων 95/46/EC θεσπίζει τα πρότυπα προστασίας των δεδομένων για όλες τις νομοθετικές πράξεις της ΕΕ, συμπεριλαμβανομένης της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες 2002/58/EΚ (όπως τροποποιήθηκε από την οδηγία 2009/136/EΚ - ΕΕ L 337 της 18.12.2009, σ. 11) Η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στα πλαίσια της παροχής διαθέσιμων στο κοινό υπηρεσιών επικοινωνιών σε δημόσια δίκτυα ηλεκτρονικής επικοινωνίας. Η οδηγία αυτή μετέφρασε τις αρχές που τίθενται στην οδηγία προστασίας δεδομένων σε συγκεκριμένους κανόνες για τον τομέα των ηλεκτρονικών επικοινωνιών. Η οδηγία 95/46/EC εφαρμόζεται μεταξύ άλλων στις μη δημόσιες υπηρεσίες επικοινωνιών.

[7] Σε χωριστές συνεισφορές τους που υποβλήθηκαν μετά τη λήξη της δημόσιας διαβούλευσης, η Ευρωπόλ και η Eurojust ζήτησαν ωστόσο να ληφθούν υπόψη οι ιδιαιτερότητες της εργασίας τους σε θέματα συντονισμού της επιβολής του νόμου και πρόληψης του εγκλήματος.

[8] Βλέπε άρθρο 16 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ).

[9] Βλέπε άρθρο 16 παράγραφος 2 τελευταίο εδάφιο της ΣΛΕΕ και το άρθρο 39 της συνθήκης για την Ευρωπαϊκή Ένωση (ΣΕΕ).

[10] Βλέπε Ευρωπαϊκό Δικαστήριο, υποθέσεις C-101/01, ‘Bodil Lindqvist’, Συλλογή [2003], I-1297, 96, 97, και C-275/06, Productores de Música de España (Promusicae) κατά Telefónica de España SAU, Συλλογή [2008] I-271. Βλέπε επίσης τη νομολογία των Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων, π.χ. στις υποθέσεις: S. και Marper κατά του Ηνωμένου Βασιλείου, 4.12. 2008 (προσφυγές αριθ. 30562/04 και 30566/04) και Rotaru κατά Ρουμανίας, 4.5. 2000· αριθ. 28341/95, § 55, ΕΣΑΔ 2000-V.

[11] Βλέπε τους ορισμούς του «υπευθύνου της επεξεργασίας» και του «εκτελούντος την επεξεργασία» στο άρθρο 2 στοιχείο δ) και ε) της οδηγίας 95/46/EΚ.

[12] Αιτιολογική σκέψη 26 της οδηγίας 95/46/ΕΚ.

[13] Βλέπε για παράδειγμα την περίπτωση των διευθύνσεων IP, που εξετάζεται στη γνώμη 4/2007 29 της ομάδας εργασίας του άρθρου 29 όσον αφορά την έννοια των δεδομένων προσωπικού χαρακτήρα (WP 136).

[14] Βλέπε για παράδειγμα την απόφαση του γερμανικού συνταγματικού δικαστηρίου (Bundesverfassungsgericht) της 27ης Φεβρουαρίου 2008, 1 BvR 370/07.

[15] Βλέπε άρθρα 10 και 11 της οδηγίας 95/46/ΕΚ.

[16] Σύμφωνα με έρευνα του Ευρωβαρομέτρου που πραγματοποιήθηκε το 2009, περίπου το 50% των ερωτηθέντων απήντησαν ότι θεωρούν τις ανακοινώσεις περί απορρήτου στους ιστότοπους «πολύ» ή «αρκετά ασαφείς» (βλέπε Ευρωβαρόμετρο FLASH αριθ. 282:{0><}100{>http://ec.europa.eu/public_opinion/flash/fl_282_en.pdf).

[17] Βλέπε την ποιοτική έρευνα Ασφαλέστερο διαδίκτυο για τα παιδιά όσον αφορά τα παιδιά ηλικίας 9-10 και 12-14, που κατέδειξε ότι τα παιδιά τείνουν να υποτιμούν τους κινδύνους που σχετίζονται με τη χρήση του διαδικτύου και ελαχιστοποιούν τις επιπτώσεις της επικίνδυνης συμπεριφοράς τους ( διατίθεται στη διεύθυνση:{0><}100{>http://ec.europa.eu/information_society/activities/sip/surveys/qualitative/index_en.htm).

[18] “Η Επιτροπή επισημαίνει την επιθυμία του Ευρωπαϊκού Κοινοβουλίου ούτως ώστε η υποχρέωση για γνωστοποίηση παραβιάσεων προσωπικών δεδομένων να μην περιορίζεται μόνο στον τομέα των ηλεκτρονικών επικοινωνιών αλλά να εφαρμόζεται, επίσης, και σε οντότητες όπως οι φορείς παροχής υπηρεσιών της κοινωνίας πληροφοριών […]. Η Επιτροπή, συνεπώς, θα ξεκινήσει χωρίς καθυστέρηση τις κατάλληλες προπαρασκευαστικές εργασίες συμπεριλαμβανομένων των διαβουλεύσεων με τους ενδιαφερόμενους με σκοπό την παρουσίαση προτάσεων στον τομέα αυτό, όπως κρίνεται σκόπιμο έως το τέλος του 2011 […]”, απόσπασμα ανακτήσιμο στη διεύθυνσηhttp://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P6-TA-2009-0360+0+DOC+XML+V0//EN. Βλέπε επίσης την αιτιολογική σκέψη 59 της οδηγίας 2009/136/ΕΚ για τροποποίηση της οδηγίας για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες 2002/58/EΚ: “Το όφελος των πολιτών από την ενημέρωσή τους είναι σαφές ότι δεν περιορίζεται στον τομέα των ηλεκτρονικών υπηρεσιών και, κατά συνέπεια, η ανάγκη για την απαίτηση ρητής και υποχρεωτικής κοινοποίησης σε όλους τους τομείς, καθώς και στους παρόχους υπηρεσιών της κοινωνίας της πληροφορίας, θα πρέπει να θεωρείται προτεραιότητα σε κοινοτικό επίπεδο.”

[19] Άρθρο 4 της οδηγίας 2009/136/ΕΚ.

[20] Βλέπε Ευρωβαρόμετρο FLASH αριθ. 225 - Προστασία δεδομένων στην Ευρωπαϊκή Ένωση:{0><}100{>http://ec.europa.eu/public_opinion/flash/fl_225_en.pdf.

[21] Βλέπε άρθρο 2 στοιχείο η) της οδηγίας 95/46/EΚ.

[22] Βλέπε άρθρο 8 της οδηγίας 95/46/ΕΚ.

[23] Ευρωπαϊκό Δικαστήριο, υπόθεση C-101/01, «Bodil Lindqvist», Συλλογή [2003], I-1297, 96, 97.

[24] Αυτόθι, 97. Βλέπε επίσης αιτιολογική σκέψη 9 της οδηγίας 95/46/ΕΚ.

[25] Βλέπε άρθρο 18 της οδηγίας 95/46/ΕΚ.

[26] Έκθεση της Επιτροπής – πρώτη έκθεση σχετικά με την εφαρμογή της οδηγίας περί προστασίας των δεδομένων (95/46/ΕΚ) - COM(2003) 265.

[27] Βλέπε άρθρο 4 της οδηγίας 95/46/ΕΚ.

[28] Ο Ευρωπαϊκός Οικονομικός Χώρος περιλαμβάνει τη Νορβηγία, το Λιχτενστάιν και την Ισλανδία.

[29] Βλέπε ειδικότερα τη γνώμη 3/2010 που εκδόθηκε από την ομάδα εργασίας του άρθρου 29 στις 13 Ιουλίου.

[30] Για τις ΤΒΙ βλέπε: ανακοίνωση της Επιτροπής στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο για την προώθηση της προστασίας των δεδομένων μέσω τεχνολογιών για τη Βελτίωση της Προστασίας της Ιδιωτικότητας (ΤΒΙ) - COM(2007) 228. Η αρχή της «Προστασίας της ιδιωτικής ζωής εκ κατασκευής» σημαίνει ότι η ιδιωτικότητα και η προστασία των δεδομένων λαμβάνονται υπόψη καθόλη τη διάρκεια του κύκλου ζωής των τεχνολογιών, από το αρχικό στάδιο σχεδιασμού έως την ανάπτυξη, τη χρήση και την τελική τους διάθεση. Η αρχή αυτή περιλαμβάνεται μεταξύ άλλων στην ανακοίνωση της Επιτροπής «Ψηφιακό θεματολόγιο για την Ευρώπη» - COM(2010) 245.

[31] Η δυνατότητα που έχει σήμερα ο υπεύθυνος επεξεργασίας δεδομένων να διορίσει υπεύθυνο προστασίας δεδομένων προκειμένου να διασφαλίσει, με ανεξάρτητο τρόπο, τη συμμόρφωση με τους εθνικούς κανόνες προστασίας δεδομένων όπως και με εκείνους της ΕΕ και να συνδράμει τους πολίτες, έχει ήδη εφαρμοστεί σε αρκετά κράτη μέλη (βλέπε π.χ. τον «Beauftragter für den Datenschutz» στη Γερμανία και τον «correspondant informatique et libertés (CIL)» στη Γαλλία).

[32] Βλέπε άρθρο 27 της οδηγίας 95/46/ΕΚ.

[33] Για την πτυχή αυτή, βλέπε επίσης την ανακοίνωση ΤΒΙ, υποσημείωση 30.

[34] Βλέπε άρθρο 3 παρ. 2 πρώτο εδάφιο της οδηγίας 95/46/ΕΚ.

[35] Βλέπε άρθρο 16 ΣΛΕΕ.

[36] Βλέπε COM(2009) 262 της 10.6.2009 και COM(2010) 171 της 20.4.2010.

[37] Απόφαση πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου της 27.11.2008 για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις (ΕΕ L 350 της 30.12.2008, σ. 60). Η απόφαση πλαίσιο προβλέπει μια ελάχιστη μόνο εναρμόνιση των κανόνων προστασίας των δεδομένων προσωπικού χαρακτήρα.

[38] Η διάκριση αυτή δεν υφίσταται στις αντίστοιχες πράξεις του Συμβουλίου της Ευρώπης όπως: η σύμβαση για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα (CETS αριθ.: 108), το πρόσθετο πρωτόκολλό της όσον αφορά τις εποπτικές αρχές και τη διαμεθοριακή ροή δεδομένων (ETS αριθ.: 181) και η σύσταση αριθ. R (87) 15 της 17ης Σεπτεμβρίου 1987 της Επιτροπής των Υπουργών του Συμβουλίου της Ευρώπης προς τα κράτη μέλη για τη ρύθμιση της χρήσης των δεδομένων προσωπικού χαρακτήρα στον αστυνομικό τομέα.

[39] Όπως προβλέπει η αρχή 3.2 της σύστασης αριθ. R (87) 15.

[40] Σε αντίθεση με την αρχή 2 της σύστασης αριθ. R (87) 15 και τις εκθέσεις αξιολόγησής της.

[41] Βλέπε την επισκόπηση των πράξεων αυτών στην ανακοίνωση της Επιτροπής «Επισκόπηση της διαχείρισης των πληροφοριών στο χώρο ελευθερίας, ασφάλειας και δικαιοσύνης» - COM(2010) 385.

[42] Με τις αντίστοιχες πράξεις συστάθηκαν κοινές εποπτικές αρχές προκειμένου να διασφαλιστεί η εποπτεία της προστασίας των δεδομένων, πέραν των γενικών εποπτικών αρμοδιοτήτων που διαθέτει ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων επί των οργάνων και οργανισμών της Ένωσης βάσει του κανονισμού (ΕΚ) αριθ. 45/2001.

[43] Απόφαση 2001/497/ΕΚ της Επιτροπής της 15ης Ιουνίου 2001 σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες δυνάμει της οδηγίας 95/46/ΕΚ (ΕΕ L 181 της 4.7.2001, σ. 19)· απόφαση 2002/16/ΕΚ της Επιτροπής της 27ης Δεκεμβρίου 2001 σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες, βάσει της οδηγίας 95/46/ΕΚ (ΕΕ L 6 της 10.1.2002, σ. 52)· απόφαση 2004/915/ΕΚ της Επιτροπής της 27ης Δεκεμβρίου 2004 για την τροποποίηση της απόφασης 2001/497/ΕΚ όσον αφορά την εισαγωγή μιας εναλλακτικής δέσμης τυποποιημένων συμβατικών ρητρών για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες (ΕΕ L 385 της 29.12.2004, σ. 74).

[44] Απόφαση της Επιτροπής της 5ης Φεβρουαρίου 2010 σχετικά με τις τυποποιημένες συμβατικές ρήτρες για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε εκτελούντες επεξεργασία εγκατεστημένους σε τρίτες χώρες βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ΕΕ L 39 της 12.2.2010, σ. 5).

[45] Σχέδιο δράσης για την εφαρμογή του προγράμματος της Στοκχόλμης, βλέπε υποσημείωση 36.

[46] Οι «δεσμευτικοί εταιρικοί κανόνες» είναι κώδικες πρακτικής βασισμένοι στα ευρωπαϊκά πρότυπα προστασίας των δεδομένων τους οποίους καταρτίζουν και ακολουθούν εθελοντικά οι πολυεθνικοί οργανισμοί προκειμένου να διασφαλίσουν επαρκείς εγγυήσεις για διαβιβάσεις ή κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα μεταξύ επιχειρήσεων που ανήκουν στον ίδιο όμιλο και δεσμεύονται από τους εν λόγω εταιρικούς κανόνες. Βλέπε:http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/international_transfers_faq.pdf.

[47] Απόφαση του Δικαστηρίου της ΕΕ της 9.3.2010, Επιτροπή κατά Γερμανίας, υπόθεση C-518/07.

[48] Τούτο ισχύει στην περίπτωση μεγάλων συστημάτων ΤΠ π.χ. το SIS II (βλ. άρθρο 46 του κανονισμού (ΕΚ) αριθ. 1987/2006 - ΕΕ L 318, της 28.12.2006, σ. 4) και το VIS (βλ. άρθρο 43 του κανονισμού (ΕΚ) αριθ. 767/2008, ΕΕ L 218, της 13.8.2008, σ. 60)

[49] Η ομάδα εργασίας του άρθρου 29 είναι συμβουλευτικό όργανο αποτελούμενο από έναν εκπρόσωπο των αρχών προστασίας δεδομένων των κρατών μελών, τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και την Επιτροπή (χωρίς δικαίωμα ψήφου) η οποία παρέχει επίσης υπηρεσίες γραμματείας. Βλέπε:http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm .

[50] Ο ρόλος της ομάδας εργασίας του άρθρου 29 είναι να συμβουλεύει την Επιτροπή για το επίπεδο προστασίας στην ΕΕ και στις τρίτες χώρες και για κάθε άλλο μέτρο που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

[51] Βλ. απόφαση του Δικαστηρίου της ΕΕ της 9.3.2010, Επιτροπή κατά Γερμανίας, υπόθεση C-518/07.

[52] Στις πράξεις αυτές περιλαμβάνεται και η απόφαση-πλαίσιο 2008/977 ΔΕΥ του Συμβουλίου: τα κράτη μέλη οφείλουν να λάβουν τα απαραίτητα μέτρα για να συμμορφωθούν με τις διατάξεις της εν λόγω απόφασης πλαισίου πριν από την 27η Νοεμβρίου 2010.