ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ

Βρυξέλλες, 25.7.2022

COM(2022) 364 final

ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ

Πρώτη έκθεση σχετικά με την εφαρμογή και τη λειτουργία της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου (ΕΕ) 2016/680

ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ

Πίνακας περιεχομένων

1 Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου ως η βασική πράξη για τη διασφάλιση της προστασίας των δεδομένων στο πλαίσιο της πολιτικής ασφάλειας της Ευρωπαϊκής Ένωσης

1.1 Βασικό στοιχείο ενός συνεκτικού πλαισίου της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων

1.2 Ουσιαστική συμβολή στην εξασφάλιση ισχυρής πολιτικής ασφάλειας εντός της Ευρωπαϊκής Ένωσης

1.3 Σημαντικές παράμετροι σχετικά με την κατάρτιση της έκθεσης

2 Ικανοποιητική η μεταφορά στο εθνικό δίκαιο, αλλά παραμένουν ορισμένα εκκρεμή ζητήματα

2.1 Πλήρης μεταφορά στο εθνικό δίκαιο στο σύνολό της, αλλά με ορισμένα ζητήματα σχετικά με ειδικές διατάξεις

2.2 Προτεραιότητες για την αξιολόγηση της συμμόρφωσης

2.2.1 Πεδίο εφαρμογής της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου

2.2.2 Διακυβέρνηση και εξουσίες των εποπτικών αρχών προστασίας δεδομένων

2.2.3 Προσφυγές

2.2.4 Προθεσμίες αποθήκευσης και επανεξέτασης

2.2.5 Νομική βάση για την επεξεργασία, συμπεριλαμβανομένων ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

2.2.6 Αυτοματοποιημένη λήψη αποφάσεων

2.2.7 Δικαιώματα των υποκειμένων των δεδομένων

2.2.8 Ορισμένες σημαντικές διατάξεις που αφορούν ειδικά την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου

3 Πρώτα διδάγματα από την εφαρμογή και τη λειτουργία της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου

3.1 Καταγγελίες και θετικός αντίκτυπος στα δικαιώματα των υποκειμένων των δεδομένων

3.2 Αυξημένη ευαισθητοποίηση σχετικά με την προστασία των δεδομένων στο πλαίσιο των αρμόδιων αρχών

3.3 Βελτίωση της ασφάλειας των δεδομένων, αλλά αποκλίσεις στις γνωστοποιήσεις παραβίασης δεδομένων

3.4 Άσκηση εποπτείας από εποπτικές αρχές προστασίας δεδομένων

3.4.1 Πόροι των εποπτικών αρχών προστασίας δεδομένων

3.4.2 Χρήση των εξουσιών

3.4.3 Δικαστικός έλεγχος των ενεργειών των εποπτικών αρχών προστασίας δεδομένων

3.4.4 Κατευθυντήριες γραμμές του ΕΣΠΔ

3.4.5 Αμοιβαία συνδρομή

3.5 Ευέλικτο μέσο για τις διεθνείς διαβιβάσεις δεδομένων

3.5.1 Αποφάσεις περί επάρκειας

3.5.2 Κατάλληλες εγγυήσεις

3.5.3 Χρήση παρεκκλίσεων

3.5.4 Αποτελεσματική διασυνοριακή αστυνομική και δικαστική συνεργασία

4 Μελλοντική πορεία

1Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου ως η βασική πράξη για τη διασφάλιση της προστασίας των δεδομένων στο πλαίσιο της πολιτικής ασφάλειας της Ευρωπαϊκής Ένωσης

Η παρούσα ανακοίνωση παρουσιάζει την πρώτη έκθεση της Ευρωπαϊκής Επιτροπής σχετικά με την αξιολόγηση και την επανεξέταση της οδηγίας (ΕΕ) 2016/680 για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 1 (στο εξής: οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου), σύμφωνα με το άρθρο 62 παράγραφος 1 της εν λόγω οδηγίας.

Η έκθεση εξετάζει, ειδικότερα, την εφαρμογή και τη λειτουργία των κανόνων της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες και διεθνείς οργανισμούς, όπως απαιτείται από την εν λόγω οδηγία, αλλά υιοθετεί επίσης ευρύτερη προσέγγιση. Τοποθετεί την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου στο πλαίσιο του δικαίου της ΕΕ για την προστασία των δεδομένων προσωπικού χαρακτήρα και του δικαίου της ΕΕ που ρυθμίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων και της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους (στο εξής: επιβολή του ποινικού δικαίου) 2 . Η έκθεση παρέχει επισκόπηση της μεταφοράς της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου στο εθνικό δίκαιο των κρατών μελών, παρουσιάζει τα πρώτα διδάγματα που αντλήθηκαν από την εφαρμογή και τη λειτουργία της εν λόγω οδηγίας και περιγράφει τη μελλοντική πορεία.

1.1Βασικό στοιχείο ενός συνεκτικού πλαισίου της Ευρωπαϊκής Ένωσης για την προστασία των δεδομένων

Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου είναι ένας από τους τρεις πυλώνες του ενωσιακού πλαισίου που εγγυάται το θεμελιώδες δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα. Οι άλλοι δύο είναι ο γενικός κανονισμός για την προστασία δεδομένων (στο εξής: ΓΚΠΔ) 3 και ο κανονισμός για την προστασία των δεδομένων για τα όργανα και τους οργανισμούς της ΕΕ (στο εξής: ΚΠΔΕΕ) 4 . Το θεμελιώδες δικαίωμα στην προστασία των δεδομένων κατοχυρώνεται στο άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης) 5 και στο άρθρο 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (στο εξής: ΣΛΕΕ) 6 .

Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου άρχισε να ισχύει στις 6 Μαΐου 2016 και τα κράτη μέλη όφειλαν να τη μεταφέρουν στο οικείο εθνικό δίκαιο έως τις 6 Μαΐου 2018 7 .

Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου είναι η πρώτη νομοθετική πράξη της ΕΕ που υιοθετεί μια ολοκληρωμένη προσέγγιση όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές [δηλαδή τις δικαστικές αρχές, την αστυνομία και άλλες αρχές επιβολής του ποινικού δικαίου, όπως προβλέπεται στο άρθρο 3 σημείο 7) της εν λόγω οδηγίας] για σκοπούς επιβολής του ποινικού δικαίου. Σε σύγκριση με την απόφαση-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου 8 , την οποία κατάργησε και αντικατέστησε, η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου συνιστά σημαντική πρόοδο για τη διασφάλιση της συνεπούς εφαρμογής των κανόνων προστασίας των δεδομένων σε ολόκληρη την ΕΕ. Πρώτον, η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου προβλέπει πλήρες σύνολο κανόνων τόσο για τη διασυνοριακή όσο και για την εγχώρια επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του ποινικού δικαίου, ενώ η απόφαση-πλαίσιο του Συμβουλίου κάλυπτε μόνο τη διασυνοριακή επεξεργασία. Δεύτερον, η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου προβλέπει ένα ολοκληρωμένο και οριζόντιο σύνολο κανόνων, ενώ, σύμφωνα με την προηγούμενη προσέγγιση, κάθε τομεακή πράξη της ΕΕ που προέβλεπε την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της επιβολής του ποινικού δικαίου διεπόταν από τους δικούς της κανόνες για την προστασία των δεδομένων 9 .

Ο ΓΚΠΔ, ο ΚΠΔΕΕ και η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου βασίζονται σε παρόμοιες έννοιες και αρχές 10 , με αποτέλεσμα τη συνεπή ερμηνεία και εφαρμογή των κανόνων της ΕΕ για την προστασία των δεδομένων. Έχουν κοινούς ορισμούς και περιέχουν παρόμοιες υποχρεώσεις για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία των δεδομένων. Ωστόσο, η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου εστιάζεται επίσης ειδικά στους κινδύνους που συνδέονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της επιβολής του ποινικού δικαίου. Οι αντίστοιχες διατάξεις περιλαμβάνουν υποχρεώσεις i) διάκρισης μεταξύ διαφορετικών κατηγοριών υποκειμένων των δεδομένων, ii) διάκρισης μεταξύ δεδομένων προσωπικού χαρακτήρα που βασίζονται σε πραγματικά περιστατικά και δεδομένων που βασίζονται σε προσωπικές εκτιμήσεις, iii) τήρησης καταχωρίσεων σχετικά με τη χρήση των δεδομένων προσωπικού χαρακτήρα και συμμόρφωσης με ειδικές απαιτήσεις ασφάλειας 11 .

Δεδομένης της ιδιαίτερης φύσης της δικαστικής συνεργασίας στους τομείς των ποινικών υποθέσεων και της αστυνομικής συνεργασίας, κρίθηκε αναγκαία η θέσπιση ειδικών κανόνων στους τομείς αυτούς για την προστασία των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα 12 . Η ευαισθησία του τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, σε συνδυασμό με την πολυπλοκότητα των εθνικών νομικών πλαισίων που ρυθμίζουν την επιβολή του ποινικού δικαίου, οδήγησαν στο να θεωρηθεί η οδηγία η καταλληλότερη πράξη για την επίτευξη υψηλού επιπέδου προστασίας των δεδομένων στον τομέα αυτόν. Μια οδηγία παρέχει επίσης στα κράτη μέλη την αναγκαία ευελιξία κατά την εφαρμογή των αρχών, των κανόνων και των εξαιρέσεων σε εθνικό επίπεδο 13 .

Η Επιτροπή δημοσίευσε την πρώτη της έκθεση σχετικά με την εφαρμογή του ΓΚΠΔ στις 24 Ιουνίου 2020 14 . Κατέληξε στο συμπέρασμα ότι η γενική άποψη ήταν ότι ο ΓΚΠΔ πέτυχε τους στόχους του, ιδίως με την παροχή στους πολίτες ένα ισχυρό σύνολο εκτελεστών δικαιωμάτων και δημιουργώντας ένα νέο ενωσιακό σύστημα διακυβέρνησης και επιβολής. Στην έκθεση παρατίθεται κατάλογος των δράσεων που πρέπει να αναληφθούν για την περαιτέρω διευκόλυνση της εφαρμογής του ΓΚΠΔ από όλα τα ενδιαφερόμενα μέρη και για την προώθηση και την περαιτέρω ανάπτυξη μιας νοοτροπίας προστασίας των δεδομένων στην ΕΕ, σε συνδυασμό με την αυστηρή επιβολή του κανονισμού.

Η παρούσα έκθεση αποτελεί συνέχεια της επανεξέτασης των νομικών πράξεων που εξέδωσε η ΕΕ και οι οποίες ρυθμίζουν την επεξεργασία δεδομένων από τις αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων. Σκοπός της επανεξέτασης αυτής ήταν να αξιολογηθεί η αναγκαιότητα ευθυγράμμισης των εν λόγω νομικών πράξεων με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 15 . Στις 24 Ιουνίου 2020 η Επιτροπή εκπλήρωσε την υποχρέωση αυτή εκδίδοντας ανακοίνωση με τίτλο «Μελλοντική πορεία όσον αφορά την εναρμόνιση του πρώην τρίτου πυλώνα με τους κανόνες προστασίας των δεδομένων» 16 . Προσδιόρισε 10 νομικές πράξεις που θα πρέπει να εναρμονιστούν με την οδηγία για την επιβολή του νόμου και καθόρισε χρονοδιάγραμμα για τις εργασίες αυτές.

Τέλος, η παρούσα έκθεση εκπονήθηκε παράλληλα με την έκθεση της Επιτροπής σχετικά με την εφαρμογή του ΚΠΔΕΕ. Σημαντικό στοιχείο του τελευταίου είναι η επανεξέταση των κανόνων του, που ορίζονται στο κεφάλαιο IX, σχετικά με την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από θεσμικά και λοιπά όργανα και οργανισμούς της ΕΕ κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο της αστυνομικής συνεργασίας και της δικαστικής συνεργασίας σε ποινικές υποθέσεις 17 (στο εξής: οργανισμοί ΔΕΥ). Οι εν λόγω κανόνες βασίζονται σε μεγάλο βαθμό στην οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Το άρθρο 98 του ΚΠΔΕΕ απαιτεί από την Επιτροπή να επανεξετάζει τις νομικές πράξεις που ρυθμίζουν την επεξεργασία επιχειρησιακών δεδομένων προσωπικού χαρακτήρα από τους οργανισμούς ΔΕΥ και της παρέχει τη δυνατότητα να υποβάλλει κατάλληλες νομοθετικές προτάσεις, ιδίως με σκοπό την εφαρμογή των κανόνων του κεφαλαίου IX στην Ευρωπόλ 18 και την Ευρωπαϊκή Εισαγγελία, καθώς και να προτείνει τυχόν αναγκαίες αλλαγές στο εν λόγω κεφάλαιο.

1.2Ουσιαστική συμβολή στην εξασφάλιση ισχυρής πολιτικής ασφάλειας εντός της Ευρωπαϊκής Ένωσης

Η Επιτροπή έχει επανειλημμένα τονίσει ότι μια αποτελεσματική και πραγματικά ασφαλής ΕΕ μπορεί να οικοδομηθεί μόνο με βάση την πλήρη συμμόρφωση με τα θεμελιώδη δικαιώματα που κατοχυρώνονται στον Χάρτη και στο παράγωγο δίκαιο της ΕΕ. Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου συμβάλλει σημαντικά στην πολιτική ασφάλειας της ΕΕ διασφαλίζοντας τη δέουσα προστασία των δεδομένων προσωπικού χαρακτήρα των θυμάτων, των μαρτύρων και των υπόπτων για εγκλήματα. Επιπλέον, με την εναρμόνιση των κανόνων για την προστασία των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από αρμόδιες αρχές της ΕΕ και των χωρών Σένγκεν, η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου συμβάλλει στην ενίσχυση της εμπιστοσύνης και της ασφάλειας των δεδομένων που ανταλλάσσονται μεταξύ των αρχών για σκοπούς επιβολής του ποινικού δικαίου και με τον τρόπο αυτόν διευκολύνει τη διασυνοριακή συνεργασία για την καταπολέμηση του εγκλήματος και της τρομοκρατίας 19 . Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου διαδραματίζει επίσης καθοριστικό ρόλο στην προώθηση μιας νοοτροπίας συμμόρφωσης με την προστασία των δεδομένων μεταξύ των αρμόδιων αρχών.

Η στρατηγική για την Ένωση Ασφάλειας 20 τονίζει περαιτέρω ότι νέες τεχνολογίες, όπως η τεχνητή νοημοσύνη, θα μπορούσαν να χρησιμοποιηθούν ως ισχυρό εργαλείο για την καταπολέμηση του εγκλήματος. Η αξιοποίηση αυτής της δυνατότητας προϋποθέτει επίσης τη διασφάλιση των υψηλότερων προτύπων συμμόρφωσης για τα θεμελιώδη δικαιώματα. Η νομοθεσία για την προστασία των δεδομένων, συμπεριλαμβανομένης της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, παρέχει τη βάση πάνω στην οποία μπορεί να θεσπιστεί τομεακή νομοθεσία. Για παράδειγμα, η προτεινόμενη πράξη για την τεχνητή νοημοσύνη 21 θα πλαισιώνει περαιτέρω τη χρήση δεδομένων προσωπικού χαρακτήρα για την εξ αποστάσεως βιομετρική ταυτοποίηση σε δημόσιους χώρους για σκοπούς επιβολής του νόμου.

Τέλος, σε έναν διασυνδεδεμένο κόσμο, το έγκλημα (και ιδίως το κυβερνοέγκλημα και άλλα εγκλήματα που διευκολύνονται από τον κυβερνοχώρο) έχει όλο και περισσότερο διασυνοριακό χαρακτήρα. Ακόμη και κατά τη διερεύνηση εγχώριων υποθέσεων, οι αρμόδιες αρχές βρίσκονται όλο και περισσότερο σε διασυνοριακές καταστάσεις, επειδή οι πληροφορίες αποθηκεύονται ηλεκτρονικά σε τρίτη χώρα. Αυτό αυξάνει την ανάγκη για διεθνή συνεργασία στις ποινικές έρευνες, τόσο από την πλευρά των αρχών των κρατών μελών όσο και από την πλευρά οργανισμών της ΕΕ όπως η Ευρωπόλ και η Eurojust. Η συνεργασία αυτή, και ιδίως η συλλογή και ανταλλαγή ηλεκτρονικών αποδεικτικών στοιχείων 22 , συχνά συνεπάγεται τη διαβίβαση δεδομένων προσωπικού χαρακτήρα. Ως εκ τούτου, είναι απαραίτητο να υπάρχουν ισχυρές εγγυήσεις για την προστασία των δεδομένων. Οι εγγυήσεις αυτές συμβάλλουν επίσης στην οικοδόμηση εμπιστοσύνης μεταξύ των αρχών επιβολής του νόμου, εξασφαλίζοντας ταχύτερη και αποτελεσματικότερη ανταλλαγή πληροφοριών και ενισχύοντας την ασφάλεια δικαίου όταν οι πληροφορίες χρησιμοποιούνται στη συνέχεια σε ποινικές διαδικασίες. Στο πλαίσιο αυτό, η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου παρέχει ένα επικαιροποιημένο σύνολο εργαλείων για τη διευκόλυνση των εν λόγω διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από την ΕΕ σε τρίτη χώρα ή διεθνή οργανισμό (για παράδειγμα στην Ιντερπόλ 23 ), διασφαλίζοντας παράλληλα ότι τα δεδομένα προσωπικού χαρακτήρα εξακολουθούν να επωφελούνται από υψηλό επίπεδο προστασίας. Η Επιτροπή και τα κράτη μέλη έχουν χρησιμοποιήσει ολόκληρο το φάσμα των εργαλείων της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου από την έναρξη ισχύος της, και μ’ αυτόν τον τρόπο επιβεβαιώνεται ότι είναι αρκετά ευρεία και ευέλικτη ώστε να καθιστά δυνατή την αποτελεσματική διεθνή αστυνομική και δικαστική συνεργασία.

1.3Σημαντικές παράμετροι σχετικά με την κατάρτιση της έκθεσης

Κατά την κατάρτιση της παρούσας έκθεσης, η Επιτροπή συγκέντρωσε πληροφορίες και παρατηρήσεις από διάφορες πηγές και στοχευμένες διαβουλεύσεις. Περαιτέρω του άρθρου 62 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, η Επιτροπή έλαβε υπόψη τα σχόλια και τις θέσεις του Ευρωπαϊκού Κοινοβουλίου 24 , του Συμβουλίου 25 , του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (στο εξής: ΕΣΠΔ) 26 και των εθνικών εποπτικών αρχών προστασίας δεδομένων. Πρόσθετες παρατηρήσεις ελήφθησαν μέσω ερωτηματολογίου που απευθυνόταν σε οργανώσεις της κοινωνίας των πολιτών (μέσω του Οργανισμού Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης) 27 και από απαντήσεις σε δημόσια πρόσκληση υποβολής στοιχείων 28 . Η Επιτροπή εξέτασε επίσης τις παρατηρήσεις της ομάδας εμπειρογνωμόνων των κρατών μελών σχετικά με τον ΓΚΠΔ και την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 29 , καθώς και τις παρατηρήσεις της γερμανικής προεδρίας του Συμβουλίου 30 . Έλαβε επίσης υπόψη την ανάλυση των εθνικών μέτρων μεταφοράς στο εθνικό δίκαιο και έναν μικρό αριθμό καταγγελιών που είχε λάβει σχετικά με το θέμα αυτό.

Μολονότι η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου εφαρμόζεται σε όλα τα κράτη μέλη και σε όλες τις χώρες Σένγκεν (διότι αποτελεί ανάπτυξη του κεκτημένου του Σένγκεν 31 ), η παρούσα έκθεση καλύπτει μόνο τα κράτη μέλη της ΕΕ.

Τρεις παράγοντες επηρέασαν την εκπόνηση της παρούσας έκθεσης. Πρώτον, τα δύο τρίτα των κρατών μελών δεν τήρησαν την προθεσμία του Μαΐου του 2018 για τη μεταφορά της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου στο εθνικό δίκαιο. Ωστόσο, τα περισσότερα κράτη μέλη μετέφεραν την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου στο οικείο εθνικό δίκαιο έως το 2019, αφού η Επιτροπή είχε κινήσει διαδικασίες επί παραβάσει. Ως εκ τούτου, υπάρχει μάλλον περιορισμένη πείρα σχετικά με την εφαρμογή της, πράγμα το οποίο τονίζουν επίσης το ΕΣΠΔ 32 και το Συμβούλιο 33 . Δεύτερον, αποδείχθηκε δυσκολότερο να καταρτιστούν στατιστικές σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου σε σύγκριση με τον ΓΚΠΔ. Ορισμένες εποπτικές αρχές προστασίας δεδομένων δεν συλλέγουν στατιστικά στοιχεία σχετικά με τις εποπτικές τους δραστηριότητες χωριστά για την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου και τον ΓΚΠΔ. Αυτό συμβαίνει, για παράδειγμα, σε σχέση με τις γνωστοποιήσεις παραβίασης δεδομένων 34 και τις καταγγελίες που υποβάλλονται στο πλαίσιο της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 35 , γεγονός που δυσχεραίνει ορισμένες φορές την ακριβή επισκόπηση των εν λόγω διατάξεων της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 36 .

Τρίτον, είναι σημαντικό να ληφθεί υπόψη ότι η νομολογία όσον αφορά την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου μόλις αρχίζει να αναπτύσσεται. Επί του παρόντος εκκρεμούν αρκετές υποθέσεις ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης (στο εξής: ΔΕΕ) σχετικά με την ερμηνεία βασικών διατάξεων της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, όπως το δικαίωμα πρόσβασης των υποκειμένων των δεδομένων και το δικαίωμα αποτελεσματικής δικαστικής προσφυγής. Οι αποφάσεις αυτές θα παρέχουν μεγαλύτερη σαφήνεια και θα συμβάλουν σε μια πιο εναρμονισμένη προσέγγιση μεταξύ των κρατών μελών.

2Ικανοποιητική η μεταφορά στο εθνικό δίκαιο, αλλά παραμένουν ορισμένα εκκρεμή ζητήματα

Η Επιτροπή έχει συστήσει ομάδα εμπειρογνωμόνων των κρατών μελών 37 για να βοηθήσει τα κράτη μέλη να μεταφέρουν στο εθνικό δίκαιο την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Η ομάδα διευκολύνει τις συζητήσεις και την ανταλλαγή εμπειριών μεταξύ των κρατών μελών και της Επιτροπής σχετικά με τους κανόνες προστασίας των δεδομένων. Συνήλθε τακτικά κατά το διάστημα μεταξύ της έγκρισης της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου το 2016 και της προθεσμίας μεταφοράς στο εθνικό δίκαιο τον Μάιο του 2018 και οι εργασίες της άρχισαν εκ νέου το 2021.

Η επισκόπηση της μεταφοράς στο εθνικό δίκαιο που παρουσιάζεται κατωτέρω επικεντρώνεται στα κύρια ζητήματα που έχουν εντοπιστεί μέχρι σήμερα. Βασίζεται κυρίως στην ανάλυση από την Επιτροπή των πληροφοριών που παρείχαν τα κράτη μέλη κατά την κοινοποίηση στην Επιτροπή των εθνικών μέτρων που έλαβαν για τη μεταφορά στο εθνικό δίκαιο της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Η ανάλυση αυτή υποστηρίχτηκε από εξωτερική μελέτη που εκπονήθηκε από εξωτερικό ανάδοχο. Η Επιτροπή πραγματοποίησε επίσης διμερείς ανταλλαγές με διάφορα κράτη μέλη.

2.1Πλήρης μεταφορά στο εθνικό δίκαιο στο σύνολό της, αλλά με ορισμένα ζητήματα σχετικά με ειδικές διατάξεις

Η Επιτροπή κίνησε διαδικασίες επί παραβάσει κατά 19 κρατών μελών τον Ιούλιο του 2018 επειδή δεν θέσπισαν νόμους για τη μεταφορά, στο οικείο εθνικό δίκαιο, της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου έως τη λήξη της προθεσμίας τον Μάιο του 2018 και δεν κοινοποίησαν δεόντως στην Επιτροπή τη μεταφορά στο εθνικό δίκαιο. Μια άλλη διαδικασία μερικής μη μεταφοράς στο εθνικό δίκαιο κινήθηκε τον Ιούλιο του 2019 κατά άλλου κράτους μέλους. Ως εκ τούτου, τα περισσότερα κράτη μέλη κοινοποίησαν στη συνέχεια στην Επιτροπή την εθνική νομοθεσία για τη μεταφορά στο εθνικό δίκαιο και η Επιτροπή περάτωσε σταδιακά τις διαδικασίες επί παραβάσει εναντίον τους το 2019 (το 2020 για ένα κράτος μέλος). Το 2021 η Επιτροπή παρέπεμψε τη διαδικασία επί παραβάσει κατά της Ισπανίας στο ΔΕΕ, επειδή η Ισπανία δεν είχε ακόμα μεταφέρει στο εθνικό δίκαιο την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου και δεν είχε κοινοποιήσει στην Επιτροπή τα μέτρα μεταφοράς της. Δεδομένης της σοβαρότητας και της διάρκειας της παράβασης, το ΔΕΕ επέβαλε για πρώτη φορά στην Ισπανία κατ’ αποκοπή ποσό και χρηματική ποινή 38 .

Τον Απρίλιο του 2022 η Επιτροπή κίνησε επίσης διαδικασία επί παραβάσει κατά της Γερμανίας, αφού διαπίστωσε κενό στη μεταφορά στο εθνικό δίκαιο της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου σε σχέση με τις δραστηριότητες της ομοσπονδιακής αστυνομίας της Γερμανίας.

Η Επιτροπή θα συνεχίσει να αξιολογεί τη μεταφορά στο εθνικό δίκαιο της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου των κρατών μελών και θα λάβει τα αναγκαία μέτρα για την κάλυψη τυχόν κενών.

2.2Προτεραιότητες για την αξιολόγηση της συμμόρφωσης

Η Επιτροπή ελέγχει επίσης αν οι εθνικές διατάξεις των κρατών μελών μετέφεραν ορθά στο εθνικό δίκαιο τις απαιτήσεις της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου (έλεγχος συμμόρφωσης).

Κατά τη μεταφορά της οδηγίας στο εθνικό δίκαιο για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, τα κράτη μέλη είτε τροποποίησαν την προηγούμενη νομοθεσία τους για την προστασία των δεδομένων είτε την κατάργησαν και την αντικατέστησαν με νέα οριζόντια πράξη ή πράξεις για την προστασία των δεδομένων. Σε πολλές περιπτώσεις, η εθνική νομοθεσία μεταφέρει στο εθνικό δίκαιο την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου παραπέμποντας σ’ αυτήν ή σε ισοδύναμη διάταξη του ΓΚΠΔ (π.χ. όσον αφορά τους ορισμούς, τις γνωστοποιήσεις παραβιάσεων δεδομένων, τον ορισμό του υπευθύνου προστασίας δεδομένων και τις διατάξεις σχετικά με την οργάνωση, το καθεστώς, τις αρμοδιότητες, τα καθήκοντα και τις εξουσίες των εθνικών εποπτικών αρχών προστασίας δεδομένων). Ορισμένες από τις διατάξεις της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου μεταφέρθηκαν επίσης μέσω νέων διατάξεων, για παράδειγμα, στο γενικό διοικητικό δίκαιο, στο διοικητικό δικονομικό δίκαιο ή στην ποινική δικονομία. Ορισμένα κράτη μέλη μετέφεραν επίσης ορισμένες διατάξεις της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου στην τομεακή νομοθεσία που ρυθμίζει τη λειτουργία και τις εξουσίες συγκεκριμένων αρμόδιων αρχών. Ως εκ τούτου, ενδέχεται να χρειαστεί να ληφθούν υπόψη διάφορες εθνικές νομικές πράξεις κατά τον καθορισμό του κατά πόσον η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου έχει μεταφερθεί ορθά στο εθνικό δίκαιο ενός συγκεκριμένου κράτους μέλους. Συνολικά, τα εθνικά δίκαια αντικατοπτρίζουν σε μεγάλο βαθμό τις αρχές και τις βασικές διατάξεις της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Ωστόσο, έχουν εντοπιστεί ορισμένα ζητήματα, τα σημαντικότερα από τα οποία παρατίθενται στις ακόλουθες ενότητες. Η Επιτροπή έχει ήδη κινήσει ορισμένες διαδικασίες επί παραβάσει κατά κρατών μελών 39 . Η διαδικασία επανεξέτασης παραμένει σε εξέλιξη και η Επιτροπή θα συνεχίσει να χρησιμοποιεί όλα τα διαθέσιμα εργαλεία, συμπεριλαμβανομένων των διαδικασιών επί παραβάσει, όταν ένα εθνικό μέτρο μεταφοράς δεν συμμορφώνεται με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

Η νομολογία σχετικά με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου βρίσκεται ακόμη σε πρώιμο στάδιο. Το ΔΕΕ έχει αρχίσει να εκδίδει αποφάσεις σχετικά με την ερμηνεία της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, μεταξύ άλλων στις υποθέσεις WS κατά Bundesrepublik Deutschland 40 και B κατά Latvijas Republikas Saeima 41 . Κατά τον χρόνο σύνταξης της παρούσας έκθεσης, εκκρεμούν ενώπιον του ΔΕΕ ορισμένες προδικαστικές αποφάσεις (όπως αναφέρεται στις ακόλουθες ενότητες).

2.2.1Πεδίο εφαρμογής της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου

Η δυσκολία οριοθέτησης μεταξύ του πεδίου εφαρμογής της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου και του ΓΚΠΔ τέθηκε ως ζήτημα που προκαλεί ανησυχία τόσο από την ομάδα εμπειρογνωμόνων των κρατών μελών για τον ΓΚΠΔ και την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 42 , όσο και από το ΕΣΠΔ 43 . Ορισμένες εποπτικές αρχές προστασίας δεδομένων έχουν επίσης επισημάνει ότι οι αρμόδιες αρχές μπορεί να αντιμετωπίσουν δυσκολίες ως προς αυτό το σημείο 44 .

Το πεδίο εφαρμογής της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου ορίζεται 45 από δύο βασικά στοιχεία: την έννοια της αρμόδιας αρχής (προσωπικό πεδίο εφαρμογής) και την έννοια του ποινικού αδικήματος (καθ’ ύλην πεδίο εφαρμογής).

Όσον αφορά το προσωπικό πεδίο εφαρμογής, η επεξεργασία δεδομένων εμπίπτει στην οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου όταν, πρώτον, διενεργείται από αρμόδια αρχή και, δεύτερον, όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία για σκοπούς της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 46 (δηλαδή για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους). Κατά την άποψη της Επιτροπής, οι «αρμόδιες αρχές» όπως ορίζονται από την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 47 είναι είτε όργανα του κράτους είτε ιδιωτικοί φορείς, στους οποίους ο νόμος αναθέτει ειδικές εξουσίες πέραν εκείνων που απορρέουν από τους συνήθεις κανόνες που εφαρμόζονται στις σχέσεις μεταξύ φυσικών προσώπων και/ή από τη δυνατότητα άσκησης της εξουσίας εξαναγκασμού. Οι αρχές αυτές είναι αρμόδιες αρχές βάσει της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου όταν (έστω και σποραδικά και/ή σε μεμονωμένες περιπτώσεις) επεξεργάζονται δεδομένα με σκοπό την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων (περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους). Αυτό σημαίνει, για παράδειγμα, ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τους εν λόγω φορείς για σκοπούς που δεν αφορούν την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου [π.χ. ανθρώπινοι πόροι ή άλλοι διοικητικοί σκοποί, όπως η επεξεργασία δεδομένων προσωπικού χαρακτήρα από μονάδες χρηματοοικονομικών πληροφοριών (ΜΧΠ) στο πλαίσιο του κεκτημένου για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες 48 ] εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ και όχι της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

Η έννοια του «ποινικού αδικήματος» έχει κεντρική σημασία κατά τον προσδιορισμό του αν η επεξεργασία δεδομένων εμπίπτει ή όχι στο πεδίο εφαρμογής της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Σύμφωνα με το ΔΕΕ, τρία κριτήρια είναι συναφή για την εκτίμηση του ποινικού χαρακτήρα μιας παράβασης: αν η παράβαση χαρακτηρίζεται ποινική κατά το εθνικό δίκαιο, αυτή καθεαυτήν η φύση της παράβασης και ο βαθμός αυστηρότητας της κύρωσης η οποία επαπειλείται εις βάρος του ενδιαφερομένου 49 . Ο αυτόνομος χαρακτήρας της έννοιας της αξιόποινης πράξης που αναφέρεται στην αιτιολογική σκέψη 13 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου συνεπάγεται, μεταξύ άλλων, ότι το δίκαιο του κράτους μέλους δεν μπορεί να προσδιορίσει τη φύση μιας παράβασης ως «ποινικής» με μοναδικό σκοπό την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

Το ζήτημα του καθορισμού μεταξύ των πεδίων εφαρμογής του ΓΚΠΔ και της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου τίθεται σε ορισμένα κράτη μέλη όσον αφορά την οριοθέτηση μεταξύ των τομέων ποινικών και διοικητικών αδικημάτων. Ειδικότερα, ορισμένοι εθνικοί νόμοι μεταφοράς αναφέρονται σε σκοπούς επεξεργασίας δεδομένων προσωπικού χαρακτήρα που δεν απαριθμούνται στο άρθρο 1 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου (π.χ. απειλές για τη δημόσια τάξη ή τη δημόσια ασφάλεια). Το ερώτημα ανακύπτει επίσης επειδή ορισμένα κράτη μέλη θεωρούν ότι ορισμένοι διοικητικοί φορείς (π.χ. ΜΧΠ, όπως αναφέρθηκε παραπάνω) εκτελούν καθήκοντα που εμπίπτουν στην οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

Οι περισσότερες νομοθεσίες των κρατών μελών καλύπτουν συνολικά κάθε αρμόδια αρχή που επεξεργάζεται δεδομένα για σκοπούς της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Αντιθέτως, ορισμένα κράτη μέλη επέλεξαν να απαριθμήσουν εξαντλητικά τις αρμόδιες αρχές βάσει της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου στην εθνική τους νομοθεσία. Ορισμένα κράτη μέλη έχουν επίσης προβλέψει παρέκκλιση για την επεξεργασία από ορισμένα είδη αρμόδιων αρχών ή ορισμένων ειδών δεδομένων.

Το ζήτημα του πεδίου εφαρμογής της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου αποτελεί αντικείμενο προδικαστικής παραπομπής στο ΔΕΕ. Το δικαστήριο Landesverwaltungsgericht Tirol Court (Αυστρία) έθεσε το ζήτημα του πεδίου εφαρμογής της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου όταν αρμόδια αρχή προσπάθησε ανεπιτυχώς να αποκτήσει πρόσβαση σε δεδομένα διατηρούμενα σε κατασχεθέν τηλέφωνο (ερμηνεία του άρθρου 2 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου). Η υπόθεση αφορά επίσης τους όρους της εν λόγω πρόσβασης 50 .

2.2.2Διακυβέρνηση και εξουσίες των εποπτικών αρχών προστασίας δεδομένων

Όλα τα κράτη μέλη εκτός από δύο (Βέλγιο και Σουηδία) ανέθεσαν την επιβολή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου στην εποπτική αρχή που είναι επίσης αρμόδια για την επιβολή του ΓΚΠΔ. Το Βέλγιο ανέθεσε την εποπτεία της αστυνομίας για τους σκοπούς της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου σε διαφορετική εποπτική αρχή. Στη Σουηδία, η εποπτεία ορισμένων αρμόδιων αρχών, συμπεριλαμβανομένης της αστυνομίας, πραγματοποιείται από κοινού από την εποπτική αρχή που είναι αρμόδια για τον ΓΚΠΔ και από άλλη εποπτική αρχή. Επιπλέον, σύμφωνα με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, όλες οι εποπτικές αρχές προστασίας δεδομένων δεν είναι αρμόδιες να εποπτεύουν τα δικαστήρια όταν ενεργούν υπό τη δικαστική τους ιδιότητα.

Όσον αφορά τις διατάξεις της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου σχετικά με την ανεξαρτησία των εποπτικών αρχών προστασίας δεδομένων 51 , όλα τα κράτη μέλη έχουν ορίσει στην οικεία νομοθεσία μεταφοράς ότι οι εποπτικές αρχές προστασίας δεδομένων ενεργούν ανεξάρτητα κατά την εκτέλεση των καθηκόντων τους. Απαιτούν επίσης τα μέλη των οικείων εποπτικών αρχών προστασίας δεδομένων να είναι απαλλαγμένα από εξωτερικές επιρροές και να μην λαμβάνουν ούτε να ζητούν οδηγίες από κανέναν.

Η εποπτεία της συμμόρφωσης από τις εποπτικές αρχές προστασίας δεδομένων είναι ζωτικής σημασίας και κατοχυρώνεται στο άρθρο 8 παράγραφος 3 του Χάρτη. Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου απαιτεί από τα κράτη μέλη να παρέχουν στις εποπτικές αρχές προστασίας δεδομένων ερευνητικές, διορθωτικές και συμβουλευτικές εξουσίες, οι οποίες πρέπει να είναι αποτελεσματικές. Αυτό αποτελεί προϋπόθεση για την ορθή επιβολή των κανόνων προστασίας των δεδομένων και, ως εκ τούτου, για την επίτευξη του στόχου της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου για υψηλό επίπεδο προστασίας των θεμελιωδών δικαιωμάτων, ιδίως όσον αφορά το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα, και για τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων εντός της ΕΕ. Οι εποπτικές αρχές προστασίας δεδομένων πρέπει να διαθέτουν ισοδύναμες εξουσίες σε ολόκληρη την ΕΕ, ώστε να εκτελούν τα καθήκοντά τους όπως απαιτείται από την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 52 .

Όλα τα κράτη μέλη έχουν παράσχει στις αρχές τους τις ερευνητικές εξουσίες που καθορίζονται στην οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου και η πλειονότητα των κρατών μελών τούς έχει επίσης αναθέσει και άλλες εξουσίες (π.χ. την εξουσία διενέργειας ελέγχων, εισόδου σε εγκαταστάσεις, παραγωγής αντιγράφων δεδομένων και κατάσχεσης αντικειμένων 53 ). Κατά συνέπεια, σχεδόν όλες οι εποπτικές αρχές προστασίας δεδομένων διαπίστωσαν ότι διαθέτουν πραγματικές ερευνητικές εξουσίες.

Σχεδόν όλα τα κράτη μέλη έχουν προβλέψει τις διορθωτικές εξουσίες που προσδιορίζονται στην οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 54 . Πολλά κράτη μέλη το έπραξαν τηρώντας πιστά τη διατύπωση της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, ενώ αρκετά χρησιμοποίησαν πολύ ευρεία διατύπωση που θα μπορούσε εύλογα να ερμηνευθεί ότι περιλαμβάνει όλες τις εξουσίες που ορίζονται στην οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

Επιπλέον, η πλειονότητα των νομοθεσιών των κρατών μελών παρέχει στις εποπτικές αρχές προστασίας δεδομένων την εξουσία να επιβάλουν διοικητικά πρόστιμα 55 .

Δεν έχουν αναθέσει όλα τα κράτη μέλη στις οικείες εποπτικές αρχές προστασίας δεδομένων την εξουσία να θέτουν υπόψη των δικαστικών αρχών τις παραβάσεις των εθνικών νόμων που θεσπίστηκαν για τη μεταφορά στο εθνικό δίκαιο της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου και να κινούν ή να συμμετέχουν κατ’ άλλον τρόπο σε νομικές διαδικασίες. Η εξουσία αυτή είναι σημαντική και συμπληρώνει τα άλλα μέσα που έχουν στη διάθεσή τους οι εποπτικές αρχές προστασίας δεδομένων για την αποτελεσματική διασφάλιση υψηλού επιπέδου προστασίας των θεμελιωδών δικαιωμάτων των φυσικών προσώπων και ιδίως του δικαιώματός τους στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν.

2.2.3Προσφυγές

Όλα τα κράτη μέλη προέβλεπαν το δικαίωμα υποβολής καταγγελίας στην οικεία αρμόδια εποπτική αρχή 56 . Οι περισσότερες εθνικές νομοθεσίες προβλέπουν προθεσμία για την υποβολή μιας τέτοιας καταγγελίας. Είναι σημαντικό η προθεσμία αυτή να μην παρεμποδίζει το σχετικό δικαίωμα των υποκειμένων των δεδομένων.

Σύμφωνα με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 57 , όλα τα κράτη μέλη προβλέπουν δικαστική προσφυγή κατά των αποφάσεων της εποπτικής αρχής, με την επιφύλαξη οποιασδήποτε άλλης διοικητικής ή μη δικαστικής προσφυγής που είναι διαθέσιμη στα νομικά τους συστήματα. Η δικαστική προσφυγή είναι διαθέσιμη σε όλα τα κράτη μέλη πλην δύο 58 , εφόσον η εποπτική αρχή δεν εξετάσει την καταγγελία ή δεν ενημερώσει το υποκείμενο των δεδομένων εντός 3 μηνών για την πρόοδο ή την έκβαση της καταγγελίας 59 .

Τα περισσότερα κράτη μέλη προβλέπουν επίσης δικαστική προσφυγή κατά του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία δεδομένων 60 σε περίπτωση εικαζόμενης παράβασης της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Ωστόσο, αρκετοί εθνικοί νόμοι μεταφοράς δεν προβλέπουν το δικαίωμα του υποκειμένου των δεδομένων να αναθέτει σε μη κερδοσκοπικούς φορείς, οργανισμούς και ενώσεις να υποβάλουν καταγγελία σε εποπτική αρχή ή να ασκούν δικαστική προσφυγή εξ ονόματός του 61 .

2.2.4Προθεσμίες αποθήκευσης και επανεξέτασης

Οι προσεγγίσεις των κρατών μελών όσον αφορά τη μεταφορά στο εθνικό δίκαιο των προθεσμιών αποθήκευσης και επανεξέτασης των δεδομένων προσωπικού χαρακτήρα που προβλέπονται από την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 62 διαφέρουν σημαντικά. Η πλειονότητα των εθνικών πράξεων για την προστασία των δεδομένων που μεταφέρουν την οδηγία στο εθνικό δίκαιο για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου πληρούν μόνο τη γενική απαίτηση του άρθρου 5 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Αυτό σημαίνει ότι εναπόκειται στην τομεακή νομοθεσία να καθορίζει στην πράξη προθεσμίες για τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή για την περιοδική επανεξέταση της ανάγκης αποθήκευσης δεδομένων προσωπικού χαρακτήρα. Μερικά κράτη μέλη μεταφέρουν τη διάταξη στο οικείο εθνικό δίκαιο καθορίζοντας τις προθεσμίες στην τομεακή νομοθεσία.

Ωστόσο, σε ορισμένα κράτη μέλη η νομοθεσία αφήνει στην αρμόδια αρχή τον καθορισμό των προθεσμιών. Σε ορισμένες περιπτώσεις, η νομοθεσία δεν ορίζει κριτήρια για την περιοδική επανεξέταση ούτε απαιτεί τα κριτήρια αυτά να προβλέπονται από άλλους νόμους και/ή δεν προβλέπει ότι οι διαδικασίες για τη διασφάλιση της τήρησης των προθεσμιών πρέπει επίσης να ορίζονται στο εθνικό δίκαιο.

Σημειώνεται ότι το Ανώτατο Διοικητικό Δικαστήριο της Βουλγαρίας ζήτησε πρόσφατα από το ΔΕΕ να απαντήσει στην αίτηση προδικαστικής απόφασής του σχετικά με την ερμηνεία του άρθρου 5 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου όσον αφορά τις προθεσμίες για την αποθήκευση δεδομένων 63 .

2.2.5Νομική βάση για την επεξεργασία, συμπεριλαμβανομένων ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα

Η πλειονότητα των κρατών μελών προβλέπει —με διατύπωση που συχνά αντιστοιχεί σε μεγάλο βαθμό στο άρθρο 8 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου— ότι η νομική βάση για την επεξεργασία πρέπει να καθορίζεται στο δίκαιο της ΕΕ ή των κρατών μελών. Ωστόσο, ορισμένες εθνικές πράξεις για την προστασία των δεδομένων που μεταφέρουν στο εθνικό δίκαιο την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου δεν αντικατοπτρίζουν την απαίτηση τα δεδομένα προσωπικού χαρακτήρα που πρόκειται να υποβληθούν σε επεξεργασία, καθώς και οι σκοποί της επεξεργασίας, να ορίζονται από τον νόμο 64 . Άλλες εθνικές πράξεις για την προστασία των δεδομένων που μεταφέρουν στο εθνικό δίκαιο την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου δεν περιέχουν όλες τις διατάξεις που αντιστοιχούν στο άρθρο 8. Εναπόκειται στην εθνική νομοθεσία να προβλέπει τη βάση της επεξεργασίας και να συμμορφώνεται με τις απαιτήσεις του άρθρου 8. Επιπλέον, η απλή επανάληψη στο εθνικό δίκαιο των γενικών απαιτήσεων του άρθρου 8 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου δεν μπορεί να θεωρηθεί επαρκής νομική βάση για μια συγκεκριμένη πράξη επεξεργασίας: το εθνικό δίκαιο πρέπει να προσδιορίζει ποια αρχή είναι αρμόδια για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, τα δημόσια καθήκοντα που εκτελεί και τα οποία δικαιολογούν την εν λόγω επεξεργασία, καθώς και τον σκοπό της επεξεργασίας.

Όσον αφορά την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα 65 , τα περισσότερα κράτη μέλη απαιτούν την απόλυτη αναγκαιότητα ως προϋπόθεση για την επεξεργασία. Τα περισσότερα κράτη μέλη προβλέπουν επίσης τους ίδιους νομικούς λόγους για την επεξεργασία ευαίσθητων δεδομένων με εκείνους που ορίζονται στο άρθρο 10 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου (επεξεργασία που επιτρέπεται από τον νόμο· επιβάλλεται για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου· ή αφορά δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων). Σε ορισμένα κράτη μέλη, οι νόμοι μεταφοράς στο εθνικό δίκαιο προβλέπουν ορισμένους πρόσθετους λόγους για την επεξεργασία των δεδομένων (π.χ. όταν η επεξεργασία των δεδομένων αυτών είναι απαραίτητη για την αποτροπή ή την πρόληψη κινδύνου που απειλεί άμεσα τη ζωή, τη σωματική ακεραιότητα ή τα περιουσιακά στοιχεία προσώπων, ή για την προστασία της υγείας ή των συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου). Όταν η εθνική πράξη για την προστασία των δεδομένων που μεταφέρει την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου στο εθνικό δίκαιο δεν παρέχει τις αναγκαίες εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων (όπως συμβαίνει σε ορισμένα κράτη μέλη), οι εν λόγω εγγυήσεις πρέπει να προβλέπονται από την τομεακή νομοθεσία.

Ορισμένοι εθνικοί νόμοι μεταφοράς στο εθνικό δίκαιο αναφέρονται στη συγκατάθεση σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Είναι σημαντικό να υπενθυμιστεί ότι, ενώ δεν απαγορεύεται στα κράτη μέλη να προβλέπουν στο οικείο εθνικό δίκαιο ότι το υποκείμενο των δεδομένων μπορεί να συγκατατεθεί στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για σκοπούς της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, η συγκατάθεση αυτή μπορεί να χρησιμεύσει μόνο ως διασφάλιση και δεν μπορεί να αποτελέσει τη νομική βάση για την εν λόγω επεξεργασία. Από τις συζητήσεις για το θέμα αυτό προκύπτει ότι θα ήταν χρήσιμο να υπάρχουν περισσότερες κατευθυντήριες γραμμές σχετικά με τον ρόλο της συγκατάθεσης στο πλαίσιο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του ποινικού δικαίου.

2.2.6Αυτοματοποιημένη λήψη αποφάσεων

Όλοι οι νόμοι μεταφοράς στο εθνικό δίκαιο των κρατών μελών περιλαμβάνουν διατάξεις που απαγορεύουν την έκδοση απόφασης που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, εκτός εάν αυτό προβλέπεται από τον νόμο 66 . Οι νόμοι μεταφοράς στο εθνικό δίκαιο των περισσότερων κρατών μελών απαιτούν οι αποφάσεις αυτές να μην βασίζονται σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, εκτός εάν προβλέπονται κατάλληλα μέτρα προστασίας 67 . Απαγορεύουν επίσης την κατάρτιση προφίλ που έχει ως αποτέλεσμα διακρίσεις 68 . Ωστόσο, ορισμένες εθνικές νομοθεσίες δεν αναφέρονται σε κατάλληλες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων σε περιπτώσεις όπου η αυτοματοποιημένη λήψη αποφάσεων επιτρέπεται από τον νόμο. Ειδικότερα, δεν προβλέπουν όλα τα κράτη μέλη το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης εκ μέρους του υπευθύνου επεξεργασίας ή δεν απαιτούν κατάλληλα μέτρα για την προστασία των δικαιωμάτων και/ή των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.

2.2.7Δικαιώματα των υποκειμένων των δεδομένων

Όλα τα κράτη μέλη έχουν επιλέξει να κάνουν χρήση της δυνατότητας που παρέχει η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου για τον περιορισμό του δικαιώματος πρόσβασης των υποκειμένων των δεδομένων στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν 69 . Τα περισσότερα κράτη μέλη προβλέπουν επίσης περιορισμούς άλλων δικαιωμάτων των υποκειμένων των δεδομένων 70 . Οι εθνικές πράξεις για την προστασία των δεδομένων που μεταφέρουν στο εθνικό δίκαιο την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου συχνά ακολουθούν μόνο τη γενική διατύπωση της εν λόγω οδηγίας χωρίς να προσδιορίζουν περαιτέρω τις περιστάσεις ή τις προϋποθέσεις υπό τις οποίες πρέπει να εφαρμόζονται οι περιορισμοί. Στις περιπτώσεις αυτές, οι εν λόγω περιστάσεις και προϋποθέσεις πρέπει να προσδιορίζονται στην τομεακή νομοθεσία, διαφορετικά θα παρεχόταν στους υπευθύνους επεξεργασίας των δεδομένων διακριτική ευχέρεια κατά την εφαρμογή των εν λόγω περιορισμών.

Τα περισσότερα κράτη μέλη συμμορφώνονται με την απαίτηση της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου ώστε τα υποκείμενα των δεδομένων να μπορούν να ασκούν τα δικαιώματά τους μέσω της εποπτικής αρχής προστασίας δεδομένων 71 . Τα περισσότερα κράτη μέλη έχουν κάνει χρήση της δυνατότητας να ορίζουν ότι τα δικαιώματα των υποκειμένων των δεδομένων πρέπει να ασκούνται σύμφωνα με το εθνικό δίκαιο στο πλαίσιο εθνικών ποινικών ερευνών και διαδικασιών 72 .

Η νομοθεσία μεταφοράς στο εθνικό δίκαιο αρκετών κρατών μελών δεν αντικατοπτρίζει όλες τις ειδικές απαιτήσεις της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου όσον αφορά τον τρόπο με τον οποίο πρέπει να ασκούνται τα δικαιώματα των υποκειμένων των δεδομένων (π.χ. μορφή και μέσα επικοινωνίας των απαντήσεων, απουσία χρέωσης).

Εκκρεμεί η έκδοση προδικαστικής απόφασης 73 που ζητήθηκε από γερμανικό δικαστήριο σχετικά με την ερμηνεία των περιορισμών στο δικαίωμα πρόσβασης των υποκειμένων των δεδομένων στα δεδομένα τους (άρθρο 15 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου υπό το πρίσμα του άρθρου 54 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου) και του δικαιώματος πραγματικής δικαστικής προσφυγής δυνάμει του άρθρου 47 του Χάρτη και της ελευθερίας του επαγγέλματος βάσει του άρθρου 15 του Χάρτη.

2.2.8Ορισμένες σημαντικές διατάξεις που αφορούν ειδικά την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου

Ορισμένες διατάξεις της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου αφορούν ειδικά το πλαίσιο επιβολής του ποινικού δικαίου και δεν έχουν ισοδύναμες διατάξεις στον ΓΚΠΔ.

Κατηγορίες υποκειμένων των δεδομένων

Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου υποχρεώνει τα κράτη μέλη να απαιτούν από τον υπεύθυνο επεξεργασίας δεδομένων να διακρίνει, κατά περίπτωση και στον βαθμό του εφικτού, μεταξύ των δεδομένων διαφορετικών κατηγοριών υποκειμένων των δεδομένων, και να παρέχει παραδείγματα των εν λόγω κατηγοριών [π.χ. πρόσωπο για το οποίο υπάρχουν σοβαροί λόγοι να πιστεύεται ότι έχει διαπράξει ή πρόκειται να διαπράξει ποινικό αδίκημα («ύποπτος»)] 74 . Η νομοθεσία ορισμένων κρατών μελών δεν προσδιορίζει (σε κάποιον βαθμό ή καθόλου) τις κατηγορίες που παρατίθενται στην οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Κατά τον προσδιορισμό της κατηγορίας των «υπόπτων», ορισμένες εθνικές νομοθεσίες δεν απαιτούν να υπάρχουν «σοβαροί λόγοι να πιστεύεται ότι τα πρόσωπα διέπραξαν ή πρόκειται να διαπράξουν ποινικό αδίκημα». Η επικείμενη απόφαση του ΔΕΕ στην εκκρεμή υπόθεση Ministerstvo na vatreshnite raboti κατά B.C. θα αποσαφηνίσει περαιτέρω την ερμηνεία της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου όσον αφορά τις κατηγορίες υποκειμένων των δεδομένων, συμπεριλαμβανομένης της απαίτησης να εξαρτάται ο χαρακτηρισμός ενός υποκειμένου των δεδομένων ως υπόπτου από την ύπαρξη «σοβαρών λόγων να πιστεύεται ότι διέπραξε ή πρόκειται να διαπράξει ποινικό αδίκημα» 75 .

Διάκριση μεταξύ κατηγοριών δεδομένων προσωπικού χαρακτήρα και επαλήθευση της ποιότητάς τους

Τα κράτη μέλη πρέπει να προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα τα οποία βασίζονται σε πραγματικά περιστατικά διακρίνονται, στον βαθμό του εφικτού, από τα δεδομένα προσωπικού χαρακτήρα τα οποία βασίζονται σε προσωπικές εκτιμήσεις 76 . Πρέπει επίσης να λάβουν μέτρα για να διασφαλίζουν ότι δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι ακριβή, πλήρη ή επικαιροποιημένα δεν διαβιβάζονται ούτε διατίθενται. Σε περίπτωση διαβίβασης ανακριβών δεδομένων, οι αποδέκτες θα πρέπει να ενημερώνονται αμελλητί και, στις περιπτώσεις αυτές, τα δεδομένα προσωπικού χαρακτήρα πρέπει να διορθώνονται, να διαγράφονται ή να περιορίζεται η επεξεργασία τους. Μολονότι τα περισσότερα κράτη μέλη έχουν μεταφέρει την απαίτηση αυτή στο οικείο εθνικό δίκαιο, ορισμένα από τα απαιτούμενα ειδικά μέτρα δεν προβλέπονται ρητά σε αρκετές εθνικές νομοθεσίες μεταφοράς στο εθνικό δίκαιο.

Καταχωρίσεις

Συνολικά 12 κράτη μέλη 77 έχουν χρησιμοποιήσει τη δυνατότητα να αναβάλουν την εναρμόνιση του αυτοματοποιημένου συστήματος επεξεργασίας τους με τις απαιτήσεις καταχώρισης έως τον Μάιο του 2023 78 .

Τα περισσότερα κράτη μέλη προβλέπουν την τήρηση καταχωρίσεων για πράξεις επεξεργασίας σε αυτοματοποιημένα συστήματα επεξεργασίας 79 . Ορισμένες εθνικές νομοθεσίες δεν απαιτούν την καταχώριση όλων των τύπων πράξεων. Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου καθορίζει τα ελάχιστα είδη πληροφοριών που πρέπει να περιέχουν οι καταχωρίσεις. Ορισμένες εθνικές νομοθεσίες δεν περιλάμβαναν όλα τα απαιτούμενα είδη πληροφοριών (π.χ. τον λόγο της αναζήτησης ή της κοινολόγησης δεδομένων προσωπικού χαρακτήρα).

3Πρώτα διδάγματα από την εφαρμογή και τη λειτουργία της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου

3.1Καταγγελίες και θετικός αντίκτυπος στα δικαιώματα των υποκειμένων των δεδομένων

Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου διασφαλίζει την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων και ειδικότερα το δικαίωμα στην προστασία των δεδομένων. Παρέχει ένα ολοκληρωμένο πλαίσιο για τα δικαιώματα του υποκειμένου των δεδομένων και τον τρόπο με τον οποίο μπορούν να ασκηθούν τα εν λόγω δικαιώματα, συμπεριλαμβανομένου του δικαιώματός του στην ενημέρωση, την πρόσβαση, τη διόρθωση ή τη διαγραφή των δεδομένων προσωπικού χαρακτήρα που το αφορούν, καθώς και πρόβλεψη για τον περιορισμό της επεξεργασίας. Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου έχει αυξήσει την κατανόηση των υποκειμένων των δεδομένων για τα δικαιώματά τους και για τον τρόπο με τον οποίο μπορούν να τα ασκήσουν, και αυτό αντικατοπτρίζεται στην αύξηση του αριθμού των αιτημάτων που υποβάλλονται στις αρμόδιες αρχές. Η πρακτική έχει δείξει ότι, μεταξύ των δικαιωμάτων που παρέχονται στα υποκείμενα των δεδομένων βάσει της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, το δικαίωμα πρόσβασης και το δικαίωμα διαγραφής είναι εκείνα των οποίων γίνεται επίκληση συχνότερα στις αρμόδιες αρχές 80 .

Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου επιτρέπει να τίθενται περιορισμοί σε ορισμένα δικαιώματα (στο δικαίωμα πρόσβασης 81 και το δικαίωμα διόρθωσης ή διαγραφής 82 ) και στις πληροφορίες που πρέπει να παρέχει ο υπεύθυνος επεξεργασίας δεδομένων στο υποκείμενο των δεδομένων σε σχέση με τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί επεξεργασία 83 . Τα υποκείμενα των δεδομένων μπορούν να ζητήσουν από τις εποπτικές αρχές προστασίας δεδομένων να επανεξετάσουν τον περιορισμό του εν λόγω δικαιώματος από μια αρμόδια αρχή ή να τους ζητήσουν να επαληθεύσουν αν ο περιορισμός εφαρμόστηκε σύμφωνα με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου (έμμεση άσκηση του δικαιώματος) 84 . Περίπου οι μισές από τις εποπτικές αρχές προστασίας δεδομένων αναφέρουν ότι έχουν λάβει τέτοιο αίτημα 85 . Η πρακτική δείχνει ότι ο αριθμός των αιτημάτων που λαμβάνονται μπορεί να ποικίλλει σημαντικά (π.χ. ένα τέτοιο αίτημα ελήφθη στην Κροατία, αλλά περισσότερα από 1 500 ελήφθησαν στη Γαλλία) 86 . Μολονότι οι εποπτικές αρχές προστασίας δεδομένων αποφάσισαν, κατόπιν επαλήθευσης ή επανεξέτασης των εν λόγω καταγγελιών, ότι η πλειονότητα των αιτημάτων ήταν απαράδεκτη, σε αρκετές περιπτώσεις, ο υπεύθυνος επεξεργασίας δεδομένων διατάχθηκε είτε να διορθώσει ή να διαγράψει τα δεδομένα προσωπικού χαρακτήρα είτε να περιορίσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, και, ως εκ τούτου, να διασφαλιστεί η ορθή εφαρμογή των περιορισμών 87 .

Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου προβλέπει ότι ένας μη κερδοσκοπικός φορέας, οργανισμός ή ένωση μπορεί να υποβάλει καταγγελία εξ ονόματος του υποκειμένου των δεδομένων. Ωστόσο, η εν λόγω πρόβλεψη φαίνεται να μη χρησιμοποιείται επαρκώς (μόνο τέσσερις εποπτικές αρχές προστασίας δεδομένων ανέφεραν ότι είχαν λάβει τέτοιες καταγγελίες από φορέα αντιπροσώπευσης 88 ). Ομοίως, οι οργανώσεις της κοινωνίας των πολιτών ανέφεραν μικρό μόνο αριθμό αιτημάτων για την υποβολή τέτοιας καταγγελίας 89 .

Τα φυσικά πρόσωπα ασκούν επίσης όλο και περισσότερο το δικαίωμά τους υποβολής καταγγελίας σε εποπτικές αρχές προστασίας δεδομένων, μεταξύ άλλων σε περιπτώσεις όπου οι αρμόδιες αρχές περιορίζουν την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων. Πάνω από το ένα τρίτο των εποπτικών αρχών προστασίας δεδομένων ανέφεραν αύξηση του αριθμού των καταγγελιών που έλαβαν μετά τη μεταφορά, στο εθνικό δίκαιο των οικείων κρατών μελών, της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 90 . Ορισμένες από τις πιο συχνές καταγγελίες που ελήφθησαν από τις εποπτικές αρχές προστασίας δεδομένων αφορούσαν τον περιορισμό του δικαιώματος πρόσβασης 91 , το δικαίωμα διόρθωσης ή διαγραφής 92 , καθώς και το δικαίωμα ενημέρωσης και τους περιορισμούς του 93 . Ακολούθησαν καταγγελίες σχετικά με την αρχή του περιορισμού της αποθήκευσης, η οποία απαιτεί από τις αρμόδιες αρχές να διατηρούν τα δεδομένα προσωπικού χαρακτήρα μόνο για όσο διάστημα είναι αναγκαίο, και σχετικά με το δικαίωμα στην ενημέρωση.

3.2Αυξημένη ευαισθητοποίηση σχετικά με την προστασία των δεδομένων στο πλαίσιο των αρμόδιων αρχών

Τα κράτη μέλη αναφέρουν ότι η θέσπιση της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου είχε και εξακολουθεί να έχει σημαντικό αντίκτυπο στην ευαισθητοποίηση των αρμόδιων αρχών όσον αφορά τη σημασία της προστασίας των δεδομένων 94 . Αρκετές εποπτικές αρχές προστασίας δεδομένων εξέφρασαν τη γνώμη ότι ο μεγαλύτερος αντίκτυπος της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου ήταν η αύξηση της ευαισθητοποίησης και η εστίαση σε θέματα προστασίας δεδομένων και στα δικαιώματα των υποκειμένων των δεδομένων 95 . Αυτό καταδείχθηκε επίσης από τις ανταλλαγές μεταξύ των εποπτικών αρχών προστασίας δεδομένων και των αρμόδιων αρχών σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων και τους τρόπους άσκησης των εν λόγω δικαιωμάτων 96 . Ορισμένες αρμόδιες αρχές ανέφεραν ότι είχαν διαθέσει περισσότερους πόρους για την προστασία των δεδομένων 97 . Αυτό περιλάμβανε επενδύσεις στην ενσωμάτωση της αρχής της προστασίας της ιδιωτικής ζωής από τον σχεδιασμό και εξ ορισμού στα οικεία συστήματα ΤΠ, τον καθορισμό περιόδων διατήρησης των δεδομένων, την εφαρμογή της αρχής της ελαχιστοποίησης των δεδομένων και την αναφορά παραβιάσεων. Στη συνέχεια, η συνολική ασφάλεια των δεδομένων που υποβάλλονται σε επεξεργασία αναφέρεται ότι έχει βελτιωθεί 98 .

Οι δραστηριότητες κατάρτισης και ευαισθητοποίησης των εποπτικών αρχών προστασίας δεδομένων συμβάλλουν επίσης στην ορθή εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου και οι εποπτικές αρχές είναι επιφορτισμένες με την ευαισθητοποίηση των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία των δεδομένων σχετικά με τις υποχρεώσεις τους που απορρέουν από την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 99 .

Πολλές εποπτικές αρχές προστασίας δεδομένων αυξάνουν την ευαισθητοποίηση με τη δημοσίευση κατευθυντήριων γραμμών. Ορισμένα από τα θέματα που καλύπτονται από τις διάφορες εποπτικές αρχές προστασίας δεδομένων είναι τα εξής: παροχή συνδρομής στο δικαστικό σώμα, τις εισαγγελίες και τις αστυνομικές αρχές στην τήρηση της αρχής της λογοδοσίας· ανταλλαγή δεδομένων προσωπικού χαρακτήρα με την αστυνομία· διορισμός υπευθύνου προστασίας δεδομένων· εκτίμηση των επιπτώσεων σχετικά με την προστασία των δεδομένων· επεξεργασία δεδομένων σε ποινικούς τομείς όπως το οργανωμένο έγκλημα και η τρομοκρατία· τήρηση αρχείων σχετικά με τις δραστηριότητες επεξεργασίας και την καταχώριση· διενέργεια βιντεοεπιτήρησης· παροχή πληροφοριών στα υποκείμενα των δεδομένων· κοινοποίηση παραβιάσεων δεδομένων· υποχρεώσεις των υπευθύνων επεξεργασίας· και άσκηση δικαιωμάτων από φυσικά πρόσωπα.

Ωστόσο, οκτώ εποπτικές αρχές προστασίας δεδομένων δεν έχουν ακόμη εκδώσει κατευθυντήριες γραμμές και/ή πρακτικά εργαλεία για να υποστηρίξουν τις αρμόδιες αρχές και τους εκτελούντες την επεξεργασία ώστε να συμμορφωθούν με τις υποχρεώσεις τους.

Επιπλέον, 12 εποπτικές αρχές προστασίας δεδομένων δεν έχουν παράσχει κατάρτιση ούτε έχουν πραγματοποιήσει δραστηριότητες ευαισθητοποίησης για τις αρμόδιες αρχές ή τους εκτελούντες την επεξεργασία στο πλαίσιο της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 100 . Από τις εποπτικές αρχές προστασίας δεδομένων που διεξήγαγαν τέτοιες δραστηριότητες, τα πιο συχνά θέματα περιλάμβαναν: την επεξεργασία δεδομένων από την αστυνομία, τις εισαγγελίες, τις δικαστικές και σωφρονιστικές αρχές· τον καθορισμό των αντίστοιχων τομέων εφαρμογής του ΓΚΠΔ και της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου· τη χρήση δεδομένων προσωπικού χαρακτήρα από τα μέσα κοινωνικής δικτύωσης· την επεξεργασία δεδομένων σε αστυνομικά αρχεία· τις τεχνικές βιντεοεπιτήρησης και τα μαζικά δεδομένα· τον χειρισμό των δικαιωμάτων των υποκειμένων των δεδομένων· και την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των κρατουμένων 101 .

Μια άλλη καινοτομία της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου είναι η απαίτηση οι υπεύθυνοι επεξεργασίας δεδομένων να ορίζουν υπεύθυνο προστασίας δεδομένων (ΥΠΔ), τα καθήκοντα του οποίου περιλαμβάνουν, μεταξύ άλλων, την ενημέρωση και την παροχή συμβουλών σχετικά με τις απαιτήσεις προστασίας των δεδομένων, την παρακολούθηση της συμμόρφωσης με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, την παροχή συμβουλών σχετικά με εκτιμήσεις των επιπτώσεων στην προστασία των δεδομένων και την παρακολούθηση των επιδόσεών της 102 . Αυτό είχε ως αποτέλεσμα οι αρμόδιες αρχές να έχουν μεγαλύτερη επίγνωση των υποχρεώσεών τους όσον αφορά την προστασία των δεδομένων, καθώς και να υπάρχει θετικός αντίκτυπος στη συμμόρφωση των αρμόδιων αρχών με τους κανόνες προστασίας των δεδομένων, όπως έχει επίσης αναγνωρίσει το Συμβούλιο 103 .

Είναι σημαντικό να γίνουν επενδύσεις στην ανάπτυξη και τη μεγιστοποίηση της εμπειρογνωσίας και των γνώσεων των ΥΠΔ, ώστε να διευκολυνθούν οι αρμόδιες αρχές να εφαρμόζουν με συνέπεια την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 104 . Ως εκ τούτου, η Επιτροπή δημιούργησε και διευκολύνει το δίκτυο για τους υπευθύνους προστασίας δεδομένων των αρμόδιων αρχών, των οργανισμών στους τομείς της δικαιοσύνης και των εσωτερικών υποθέσεων και της Ευρωπαϊκής Εισαγγελίας. Το δίκτυο είναι μια μόνιμη πρωτοβουλία που επικεντρώνεται στην εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου από τις αρμόδιες αρχές των κρατών μελών. Στόχος του είναι να παράσχει πλατφόρμα συνεργασίας και ανταλλαγής εμπειρογνωσίας μεταξύ των ΥΠΔ των κρατών μελών. Το δίκτυο εμπειρογνωμόνων προστασίας δεδομένων της Ευρωπόλ (EDEN) και τα εθνικά δίκτυα ΥΠΔ για τις αρμόδιες αρχές αποτελούν σημαντικές πρωτοβουλίες που βοηθούν τους ΥΠΔ των αρμόδιων αρχών να προωθήσουν την ανταλλαγή βέλτιστων πρακτικών και πληροφοριών σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

3.3Βελτίωση της ασφάλειας των δεδομένων, αλλά αποκλίσεις στις γνωστοποιήσεις παραβίασης δεδομένων

Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου έχει βελτιώσει την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, καθώς απαιτεί από τις αρμόδιες αρχές να λαμβάνουν μέτρα για την επίτευξη συγκεκριμένων στόχων ασφάλειας. Για παράδειγμα, απαιτεί από τις αρμόδιες αρχές να διενεργούν εκτιμήσεις των επιπτώσεων σχετικά με την προστασία των δεδομένων όταν μια δραστηριότητα επεξεργασίας δεδομένων ενδέχεται να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Οι εκτιμήσεις των επιπτώσεων περιλαμβάνουν τον εντοπισμό των κινδύνων και τη λήψη μέτρων για τον μετριασμό τους. Η απαίτηση αυτή, καθώς και η υποχρεωτική τήρηση της αρχής της προστασίας δεδομένων από τον σχεδιασμό και εξ ορισμού και οι απαιτήσεις γνωστοποίησης παραβιάσεων δεδομένων οδήγησαν σε βελτίωση της ασφάλειας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα 105 .

Το Συμβούλιο αναγνώρισε επίσης το γεγονός αυτό, διαπιστώνοντας ότι η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου έχει βελτιώσει το επίπεδο ασφάλειας των δεδομένων, μεταξύ άλλων μέσω σχεδίων ασφάλειας· της επικαιροποίησης των συστημάτων ΤΠ και των οργανωτικών μέτρων· των εκτιμήσεων των επιπτώσεων σχετικά με την προστασία δεδομένων· και της απαίτησης από τις αρμόδιες αρχές να τηρούν καταχωρίσεις για συγκεκριμένες εργασίες επεξεργασίας 106 .

Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου ορίζει τις περιστάσεις υπό τις οποίες οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να ενημερώνουν την οικεία εποπτική αρχή προστασίας δεδομένων και το ενδιαφερόμενο υποκείμενο των δεδομένων για παραβίαση δεδομένων προσωπικού χαρακτήρα 107 . Παρά την υποχρέωση αυτή, υπάρχει μεγάλη διαφορά στον αριθμό των παραβιάσεων δεδομένων που έχουν γνωστοποιηθεί στις εποπτικές αρχές προστασίας δεδομένων μετά τη θέσπιση της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 108 . Έξι εποπτικές αρχές προστασίας δεδομένων ανέφεραν ότι δεν είχαν λάβει γνωστοποιήσεις παραβίασης δεδομένων 109 , ενώ αρκετές άλλες ανέφεραν ότι είχαν λάβει πολύ λίγες τέτοιες γνωστοποιήσεις. Για παράδειγμα, η ιταλική αρχή ανέφερε μόλις τρεις γνωστοποιήσεις παραβίασης δεδομένων και η γαλλική αρχή ανέφερε οκτώ, αλλά η ολλανδική αρχή ανέφερε πάνω από 500.

Αυτή η διαφορά στον αριθμό των αναφερόμενων γνωστοποιήσεων παραβίασης δεδομένων υποδηλώνει (αφού ληφθούν υπόψη παράγοντες όπως το μέγεθος του πληθυσμού) ότι φαίνεται να υπάρχουν αποκλίνουσες πρακτικές μεταξύ των αρμόδιων αρχών των κρατών μελών όσον αφορά το τι θεωρείται παραβίαση και πότε πρέπει να αναφέρεται σε εποπτική αρχή προστασίας δεδομένων. Η Επιτροπή επισήμανε επίσης το γεγονός αυτό στην έκθεσή της σχετικά με τον ΓΚΠΔ 110 . Το ΕΣΠΔ δημοσίευσε πρόσφατα κατευθυντήριες γραμμές σχετικά με τις παραβιάσεις βάσει του ΓΚΠΔ 111 . Οι εν λόγω κατευθυντήριες γραμμές, μολονότι δεν έχουν άμεση εφαρμογή, έχουν επίσης σημασία για παραβιάσεις δεδομένων της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Ως εκ τούτου, αναμένεται να συμβάλουν σε μια πιο ομοιόμορφη προσέγγιση όσον αφορά τον χειρισμό των παραβιάσεων δεδομένων της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου σε όλα τα κράτη μέλη.

3.4Άσκηση εποπτείας από εποπτικές αρχές προστασίας δεδομένων

3.4.1Πόροι των εποπτικών αρχών προστασίας δεδομένων

Η παροχή των απαραίτητων ανθρώπινων, τεχνικών και οικονομικών πόρων, των αναγκαίων εγκαταστάσεων και υποδομών σε κάθε αρχή προστασίας δεδομένων αποτελεί προϋπόθεση για την αποτελεσματική εκτέλεση των καθηκόντων και την άσκηση των εξουσιών τους και συνιστά, ως εκ τούτου, αναγκαία συνθήκη για την ανεξαρτησία τους 112 . Η Επιτροπή έχει τονίσει επανειλημμένα το γεγονός ότι τα κράτη μέλη υποχρεούνται να διαθέτουν επαρκείς ανθρώπινους, οικονομικούς και τεχνικούς πόρους στις εποπτικές αρχές προστασίας δεδομένων 113 . Το Συμβούλιο κάλεσε επίσης συγκεκριμένα τα κράτη μέλη να διαθέσουν επαρκείς ανθρώπινους, τεχνικούς και οικονομικούς πόρους στις εποπτικές αρχές προστασίας δεδομένων 114 .

Ωστόσο, η συνολική αύξηση του προσωπικού των εποπτικών αρχών προστασίας δεδομένων τα τελευταία έτη 115 δεν φαίνεται να αφορά καθήκοντα που σχετίζονται με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Ο αριθμός του προσωπικού που ασχολείται με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου παρέμεινε ο ίδιος ή ακόμη και μειώθηκε στο ήμισυ των εποπτικών αρχών προστασίας δεδομένων 116 . Τυχόν αύξηση ήταν πολύ μικρή, αντιστοιχώντας κατά μέσο όρο σε λιγότερα από δύο άτομα σε ισοδύναμα πλήρους απασχόλησης (στο εξής: ΙΠΑ) 117 . Σχεδόν στις μισές από τις εποπτικές αρχές προστασίας δεδομένων (συμπεριλαμβανομένων εκείνων με συνολικό αριθμό υπαλλήλων άνω των 100 ΙΠΑ), λιγότερο από 1 % έως 7 % του συνολικού προσωπικού ασχολείται με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 118 . Σε απόλυτους αριθμούς, περίπου οι μισές από τις εποπτικές αρχές προστασίας δεδομένων κατανέμουν 1 έως 4 ΙΠΑ σε καθήκοντα που αφορούν την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου και οκτώ εποπτικές αρχές προστασίας δεδομένων κατανέμουν από 7 έως 15 ΙΠΑ σε καθήκοντα που αφορούν την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Ωστόσο, μία εποπτική αρχή προστασίας δεδομένων διαθέτει 53 ΙΠΑ που ασχολούνται με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 119 . Ομοίως, η γραμματεία του ΕΣΠΔ έχει αφιερώσει λιγότερα από 1,5 ΙΠΑ σε ζητήματα που σχετίζονται αποκλειστικά με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

Η κατάσταση αυτή δεν είναι ικανοποιητική, ακόμη και αν 10 εποπτικές αρχές προστασίας δεδομένων έχουν δηλώσει ότι διαθέτουν επαρκείς οικονομικούς, ανθρώπινους και τεχνικούς πόρους 120 . Από την άλλη πλευρά, 16 εποπτικές αρχές προστασίας δεδομένων διαπίστωσαν ότι δεν διαθέτουν επαρκείς πόρους. Από τις αρχές αυτές, ορισμένες επισήμαναν ότι αυτό επηρέασε αρνητικά τις έρευνες ιδίας πρωτοβουλίας 121 , τον χειρισμό καταγγελιών 122 , την επιθεώρηση συστημάτων ΤΠ μεγάλης κλίμακας (SIS, VIS) και την έκδοση γνωμών με δική τους πρωτοβουλία 123 . Πράγματι, τα ειδικά χαρακτηριστικά του τομέα σημαίνουν ότι η αποτελεσματική επιβολή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου απαιτεί συστηματική επιθεώρηση των συχνά πολύπλοκων δραστηριοτήτων επεξεργασίας και ότι δεν αρκεί η στήριξη σε μεμονωμένες καταγγελίες (οι οποίες είναι πολύ λιγότερες απ’ ό,τι για τον ΓΚΠΔ) 124 .

Επιπλέον, οι εποπτικές αρχές προστασίας δεδομένων έχουν επισημάνει την έλλειψη εμπειρογνωσίας στον τομέα της ΤΠ για την αντιμετώπιση της ολοένα αυξανόμενης πολυπλοκότητας των τεχνολογιών ΤΠ που χρησιμοποιούνται στον τομέα της επιβολής του νόμου 125 .

3.4.2Χρήση των εξουσιών

Χρήση διορθωτικών εξουσιών

Συνολικά 19 εποπτικές αρχές προστασίας δεδομένων άσκησαν τις ερευνητικές τους εξουσίες, είτε με δική τους πρωτοβουλία είτε βάσει καταγγελίας 126 . Οι εποπτικές αρχές προστασίας δεδομένων ανέφεραν δυσκολίες μόνο σε πολύ λίγες περιπτώσεις (π.χ. όταν ένας υπεύθυνος επεξεργασίας δεδομένων δεν παρείχε όλες τις σχετικές πληροφορίες ή αρνήθηκε την πρόσβαση σε πληροφορίες) 127 .

Οι ίδιες 19 εποπτικές αρχές προστασίας δεδομένων άσκησαν επίσης τις διορθωτικές τους εξουσίες. Μακράν η συχνότερα χρησιμοποιούμενη εξουσία ήταν η έκδοση εντολών για τη συμμόρφωση της επεξεργασίας με τον νόμο, συμπεριλαμβανομένων εντολών διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή εντολών περιορισμού της επεξεργασίας τους. Οι εποπτικές αρχές προστασίας δεδομένων χρησιμοποίησαν την εξουσία αυτή σε 114 περιπτώσεις. Το γεγονός ότι η εξουσία αυτή για την επιβολή προσωρινού ή οριστικού περιορισμού (συμπεριλαμβανομένης της απαγόρευσης) της επεξεργασίας χρησιμοποιήθηκε μόνο σε τέσσερις περιπτώσεις 128 δείχνει ότι οι εποπτικές αρχές προστασίας δεδομένων χρησιμοποίησαν προσεκτικά τις εξουσίες αυτές.

Χρήση συμβουλευτικών εξουσιών

Η συστηματική διεξαγωγή προηγούμενων διαβουλεύσεων και η υποβολή αιτήματος έκδοσης γνώμης των εποπτικών αρχών προστασίας δεδομένων σχετικά με σχέδια νομοθετικών και διοικητικών μέτρων αποτελούν αποτελεσματικό μέσο για τη διασφάλιση υψηλού επιπέδου προστασίας του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα και για τη μείωση του αριθμού των επακόλουθων καταγγελιών. Η προηγούμενη διαβούλευση με τις εποπτικές αρχές προστασίας δεδομένων έχει ιδιαίτερη σημασία όταν χρησιμοποιούνται νέες τεχνολογίες που μπορούν να έχουν σημαντικό αντίκτυπο στα θεμελιώδη δικαιώματα.

Οι μισές από τις εποπτικές αρχές προστασίας δεδομένων ανέφεραν ότι ζητήθηκε από αυτές προηγούμενη διαβούλευση για τις εκτιμήσεις των επιπτώσεων σχετικά με την προστασία των δεδομένων. Ο αριθμός των προηγούμενων διαβουλεύσεων ποικίλλει μεταξύ των κρατών μελών. Από ορισμένες αρχές ζητήθηκε προηγούμενη διαβούλευση μόνο μία φορά, ενώ μια άλλη αρχή έλαβε 59 αιτήματα προηγούμενης διαβούλευσης 129 . Στις περισσότερες απ’ αυτές τις περιπτώσεις, οι εποπτικές αρχές προστασίας δεδομένων παρείχαν γραπτές συμβουλές και, σε ορισμένες άλλες, χρησιμοποίησαν τις διορθωτικές εξουσίες τους σε σχέση με την επεξεργασία —ειδικότερα, εξέδωσαν προειδοποιήσεις ή διέταξαν μέτρα για τη συμμόρφωση της επεξεργασίας δεδομένων με τη νομοθεσία. Σε μία περίπτωση, η εποπτική αρχή προστασίας δεδομένων εξέδωσε αρνητική γνώμη η οποία φαίνεται να είχε το ίδιο αποτέλεσμα με την απαγόρευση επεξεργασίας.

Επιπλέον, φαίνεται ότι οι εποπτικές αρχές προστασίας δεδομένων ασχολούνται επίσης με αιτήματα παροχής συμβουλών, εκτός της διαδικασίας προηγούμενης διαβούλευσης. Το συνηθέστερο είδος ζητήματος για το οποίο οι αρμόδιες αρχές προσέγγισαν εποπτικές αρχές προστασίας δεδομένων για συμβουλές σχετικά με συγκεκριμένους τύπους επεξεργασίας (ιδίως σχετικά με τη χρήση νέων τεχνολογιών, μηχανισμών ή διαδικασιών, που ακολουθούνται στενά από κατάλληλα μέτρα ασφάλειας, την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, τον προσδιορισμό της νομικής βάσης της επεξεργασίας, την αρχή του περιορισμού της αποθήκευσης και κατάλληλες προθεσμίες 130 ).

Επιπλέον, 22 εποπτικές αρχές προστασίας δεδομένων εξέδωσαν γνώμες προς τα εθνικά κοινοβούλια και τις κυβερνήσεις τους σχετικά με νομοθετικά και διοικητικά μέτρα που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Αρκετές ανέφεραν ότι κατά καιρούς διενεργείται διαβούλευση με αυτές 131 .

3.4.3Δικαστικός έλεγχος των ενεργειών των εποπτικών αρχών προστασίας δεδομένων

Σχεδόν οι μισές εποπτικές αρχές προστασίας δεδομένων ανέφεραν ότι, σε μικρό αριθμό υποθέσεων, αντιμετώπισαν δικαστικές διαδικασίες σχετικά με τις αποφάσεις ή τις παραλείψεις τους. Οι διαδικασίες κινήθηκαν κυρίως από τα υποκείμενα των δεδομένων και, σε μερικές περιπτώσεις, από τις αρμόδιες αρχές 132 . Αρκετές υποθέσεις είχαν κριθεί απαράδεκτες από τα δικαστήρια ή είχαν ανακληθεί από τους προσφεύγοντες. Το δικαστήριο επικύρωσε την απόφαση της εποπτικής αρχής προστασίας δεδομένων στις περισσότερες από τις υπόλοιπες υποθέσεις, αλλά την ακύρωσε σε ορισμένες περιπτώσεις (και άλλες υποθέσεις εξακολουθούσαν να εκκρεμούν). Ο μικρός αριθμός των αποφάσεων μέχρι σήμερα σημαίνει ότι δεν είναι ακόμη δυνατό να εντοπιστεί μια σαφής τάση.

3.4.4Κατευθυντήριες γραμμές του ΕΣΠΔ

Η συνοχή και η υψηλή προστασία μεταξύ των κρατών μελών έχουν καθοριστική σημασία για την αποτελεσματική δικαστική συνεργασία σε ποινικές υποθέσεις και την αστυνομική συνεργασία 133 . Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου προβλέπει ότι το ΕΣΠΔ εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές (με δική του πρωτοβουλία ή κατόπιν αιτήματος της Επιτροπής) ώστε να διασφαλίσει ότι τα κράτη μέλη εφαρμόζουν με συνέπεια την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Το ΕΣΠΔ έχει καταρτίσει ειδικές κατευθυντήριες γραμμές για την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου σχετικά με το κεφάλαιο V (διεθνείς διαβιβάσεις) 134 · κατευθυντήριες γραμμές για τη χρήση τεχνολογιών αναγνώρισης προσώπου 135 · και (υπό την προηγούμενη ιδιότητά του ως ομάδας εργασίας του άρθρου 29) γνωμοδότηση σχετικά με ορισμένα βασικά ζητήματα της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 136 .

Πολλές από τις κατευθυντήριες γραμμές του ΕΣΠΔ σχετικά με τον ΓΚΠΔ είναι επίσης σχετικές με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου στον βαθμό που βασίζονται σε κοινές έννοιες ή τεχνολογίες. Οι εν λόγω κατευθυντήριες γραμμές περιλαμβάνουν τις κατευθυντήριες γραμμές σχετικά με την έννοια του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία των δεδομένων 137 , σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων 138 , τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα 139 , την εκτίμηση των επιπτώσεων σχετικά με την προστασία των δεδομένων 140 , την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού 141 , και την αυτοματοποιημένη ατομική λήψη αποφάσεων 142 .

Η κατάρτιση ολοκληρωμένων και πρακτικών κατευθυντήριων γραμμών απαιτεί σημαντικές εργασίες και πόρους, αλλά η καθοδήγηση είναι απαραίτητη (όπως έχει επίσης επισημάνει το Συμβούλιο 143 ). Ως εκ τούτου, είναι πολύ θετικό το γεγονός ότι το ΕΣΠΔ ανέφερε ότι σύντομα θα παράσχει πρόσθετη καθοδήγηση, μεταξύ άλλων σχετικά με την έννοια των αποτελεσματικών ερευνητικών και διορθωτικών εξουσιών των εποπτικών αρχών προστασίας δεδομένων, καθώς και σχετικά με τις διεθνείς διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις.

Οι κατευθυντήριες γραμμές του ΕΣΠΔ μπορούν επίσης να μειώσουν τον φόρτο εργασίας των εποπτικών αρχών προστασίας δεδομένων (π.χ. καθήκοντα όπως η παροχή συμβουλών στους υπευθύνους επεξεργασίας δεδομένων ή η εξέταση καταγγελιών). Για παράδειγμα, αρκετά από τα ζητήματα που εξετάζονται στη γνώμη της ομάδας εργασίας του άρθρου 29 σχετικά με ορισμένα βασικά ζητήματα της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου (όπως οι κατάλληλες προθεσμίες, η νομική βάση της επεξεργασίας, οι προϋποθέσεις για την επεξεργασία ειδικών κατηγοριών δεδομένων) είναι επίσης ορισμένα από τα πιο συχνά ζητήματα για τα οποία οι αρμόδιες αρχές έχουν ζητήσει τη συμβουλή των εποπτικών αρχών προστασίας δεδομένων 144 .

3.4.5Αμοιβαία συνδρομή

Για να διασφαλιστεί η συνεπής εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, οι εποπτικές αρχές προστασίας δεδομένων υποχρεούνται να παρέχουν αμοιβαία συνδρομή η μία στην άλλη. Αυτό περιλαμβάνει συνδρομή με τη μορφή αιτημάτων παροχής πληροφοριών και αιτημάτων για τη διεξαγωγή διαβουλεύσεων, επιθεωρήσεων και ερευνών 145 . Ωστόσο, η αμοιβαία συνδρομή έχει χρησιμοποιηθεί πολύ σπάνια μέχρι σήμερα. Μόνο έξι εποπτικές αρχές προστασίας δεδομένων την έχουν χρησιμοποιήσει, κυρίως για να ανταποκριθούν σε αιτήματα παροχής πληροφοριών που έλαβαν από άλλες εποπτικές αρχές προστασίας δεδομένων. Οι περισσότερες εποπτικές αρχές προστασίας δεδομένων ανέφεραν ότι έχουν λάβει μόνο ένα αίτημα παροχής πληροφοριών. Όλες αυτές οι εποπτικές αρχές προστασίας δεδομένων ανέφεραν ότι συμμορφώθηκαν προς το αίτημα που έλαβαν. Επίσης, δεν χρησιμοποιήθηκε η παροχή αμοιβαίας συνδρομής σε οικειοθελή βάση, η οποία δεν υπόκειται σε νόμιμη προθεσμία ή αυστηρή υποχρέωση απάντησης. Το ΕΣΠΔ έχει δηλώσει ότι θα δημοσιεύσει κατευθυντήριες γραμμές σχετικά με το πλαίσιο αμοιβαίας συνδρομής βάσει του ΓΚΠΔ και της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 146 .

3.5Ευέλικτο μέσο για τις διεθνείς διαβιβάσεις δεδομένων

Το κεφάλαιο V της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου καλύπτει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε αρμόδιες αρχές τρίτων χωρών και σε διεθνείς οργανισμούς. Το κεφάλαιο αυτό διασφαλίζει ουσιαστικά ότι υπάρχει συνέχεια στην προστασία όταν τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από ένα κράτος μέλος σε τρίτη χώρα ή διεθνή οργανισμό για σκοπούς επιβολής του νόμου. Όπως προαναφέρθηκε, η εν λόγω συνέχεια της προστασίας αποτελεί σημαντική προϋπόθεση για την ταχεία, αποτελεσματική και νομικά ασφαλή συνεργασία στον τομέα της επιβολής του νόμου μεταξύ έμπιστων εταίρων.

Ειδικότερα, σύμφωνα με τους σχετικούς κανόνες της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 147 , οι διεθνείς διαβιβάσεις μεταξύ αρμόδιων αρχών κατά την έννοια της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου πρέπει να βασίζονται σε ένα από τα διάφορα εργαλεία διαβίβασης που ορίζονται στα άρθρα 36 έως 38 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου (όταν τα δεδομένα προέρχονται από άλλο κράτος μέλος, η διαβίβαση απαιτεί επίσης προηγούμενη έγκριση του εν λόγω κράτους μέλους). Τα εργαλεία αυτά περιλαμβάνουν αποφάσεις επάρκειας, διαβιβάσεις που βασίζονται σε κατάλληλες εγγυήσεις και τη χρήση παρεκκλίσεων σε συγκεκριμένες καταστάσεις. Το άρθρο 39 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου επιτρέπει επίσης τις απευθείας διαβιβάσεις σε αποδέκτες που δεν είναι αρχές επιβολής του ποινικού δικαίου, οι οποίοι είναι εγκατεστημένοι σε τρίτες χώρες, σε μεμονωμένες και ειδικές περιπτώσεις, και υπό διάφορες προϋποθέσεις.

3.5.1Αποφάσεις περί επάρκειας

Η Επιτροπή επιτάχυνε τις εργασίες της για να αξιοποιήσει πλήρως τις δυνατότητες των εργαλείων που διατίθενται στο πλαίσιο της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Αυτό περιλάμβανε την έκδοση, για πρώτη φορά, «απόφασης περί επάρκειας» που καλύπτει τις δραστηριότητες επεξεργασίας δεδομένων για τους σκοπούς επιβολής του νόμου δυνάμει του άρθρου 36 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, με το Ηνωμένο Βασίλειο τον Ιούνιο του 2021 148 . Η εν λόγω απόφαση περί επάρκειας καθιστά δυνατή την ασφαλή και ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα προς τις αρμόδιες αρχές της οικείας τρίτης χώρας, χωρίς να απαιτούνται περαιτέρω εγγυήσεις ή ειδική έγκριση (εκτός εάν άλλο κράτος μέλος από το οποίο ελήφθησαν τα δεδομένα πρέπει να επιτρέψει τη διαβίβαση 149 ). Η απόφαση περί επάρκειας για το Ηνωμένο Βασίλειο του Ιουνίου 2021 αποτελεί ουσιαστική βάση για την αστυνομική και δικαστική συνεργασία μετά το Brexit, η οποία, σύμφωνα με τη συμφωνία εμπορίου και συνεργασίας ΕΕ–Ηνωμένου Βασιλείου, βασίζεται στη «μακροχρόνια δέσμευση των Μερών να διασφαλίσουν υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα» 150 . Σύμφωνα με το άρθρο 36 παράγραφος 4 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, η Επιτροπή παρακολουθεί κάθε εξέλιξη του νομικού πλαισίου του Ηνωμένου Βασιλείου που ενδέχεται να επηρεάσει την εν λόγω απόφαση περί επάρκειας. Η εν λόγω απόφαση επάρκειας για το Ηνωμένο Βασίλειο πρόκειται να εφαρμοστεί για περίοδο 4 ετών από την έναρξη ισχύος της, η οποία μπορεί καταρχήν να παραταθεί κατά 4 επιπλέον έτη, εάν η παρακολούθηση της Επιτροπής επιβεβαιώσει ότι το Ηνωμένο Βασίλειο εξακολουθεί να διατηρεί επαρκές επίπεδο προστασίας 151 .

Επιπλέον, το ΕΣΠΔ συνέβαλε επίσης στην ανάπτυξη του εν λόγω μέσου, αποσαφηνίζοντας το νομικό πρότυπο μέσω καθοδήγησης σχετικά με τα στοιχεία που πρέπει να λαμβάνονται υπόψη κατά την αξιολόγηση της επάρκειας στο πλαίσιο της επιβολής του νόμου, με την έκδοση των σημείων αναφοράς για την επάρκεια βάσει της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 152 . Ειδικότερα, η τρίτη χώρα πρέπει να διασφαλίζει εκτελεστά ατομικά δικαιώματα, αποτελεσματικά δικαστικά μέσα προσφυγής και ανεξάρτητη εποπτεία.

Η Επιτροπή προωθεί ενεργά τη δυνατότητα χρήσης των εν λόγω διαπιστώσεων περί επάρκειας με άλλους βασικούς διεθνείς εταίρους, ιδίως με τις χώρες με τις οποίες απαιτείται στενή και άμεση συνεργασία για την πάταξη του εγκλήματος και της τρομοκρατίας, και με τις οποίες πραγματοποιούνται ήδη σημαντικές ανταλλαγές δεδομένων προσωπικού χαρακτήρα 153 . Μολονότι μέχρι στιγμής δεν έχουν εκδοθεί άλλες αποφάσεις περί επάρκειας, αυτό οφείλεται κυρίως στο γεγονός ότι η πράξη αυτή θεσπίστηκε μόλις πρόσφατα. Επιπλέον, και σε αντίθεση με την επεξεργασία δεδομένων από εμπορικούς φορείς, η παγκόσμια σύγκλιση των κανόνων προστασίας των δεδομένων στον τομέα της επιβολής του ποινικού δικαίου μόλις τώρα αρχίζει να αναπτύσσεται (με γνώμονα, για παράδειγμα, πολυμερείς ρυθμίσεις, όπως η εκσυγχρονισμένη σύμβαση 108 του Συμβουλίου της Ευρώπης ή το δεύτερο πρόσθετο πρωτόκολλο της Σύμβασης της Βουδαπέστης για το έγκλημα στον κυβερνοχώρο). Ωστόσο, η πείρα που αποκτήθηκε από την έκδοση της απόφασης περί επάρκειας για το Ηνωμένο Βασίλειο θα συμβάλει στην προετοιμασία του εδάφους για παρόμοιες πρωτοβουλίες κατά τα επόμενα έτη. Η Επιτροπή, στο πλαίσιο της διεθνούς στρατηγικής της, θα εξετάσει και άλλους πιθανούς υποψήφιους για μελλοντικές αποφάσεις περί επάρκειας στο πλαίσιο της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου και θα το πράξει σε άμεση επαφή με τα άλλα σχετικά θεσμικά όργανα και οργανισμούς της ΕΕ 154 . Για τον σκοπό αυτόν, και σύμφωνα με την αιτιολογική σκέψη 68 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, η Επιτροπή θα δώσει ιδιαίτερη προσοχή στις διεθνείς δεσμεύσεις των αξιολογούμενων χωρών όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της προσχώρησης στις προαναφερθείσες πολυμερείς ρυθμίσεις ή σε άλλα μέσα επιβολής του νόμου που παρέχουν κατάλληλες εγγυήσεις για την προστασία των δεδομένων.

3.5.2Κατάλληλες εγγυήσεις

Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου περιλαμβάνει και άλλα μέσα διαβίβασης πέραν της συνολικής λύσης της απόφασης περί επάρκειας. Η ευελιξία αυτής της «εργαλειοθήκης» αντικατοπτρίζεται στο άρθρο 37 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, το οποίο ρυθμίζει τις διαβιβάσεις δεδομένων βάσει «κατάλληλων εγγυήσεων» όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα. Οι εν λόγω κατάλληλες εγγυήσεις μπορούν να παρέχονται είτε με νομικά δεσμευτική πράξη είτε όταν ο υπεύθυνος επεξεργασίας, βάσει αξιολόγησης όλων των περιστάσεων που περιβάλλουν τη διαβίβαση, καταλήγει στο συμπέρασμα ότι υπάρχουν κατάλληλες εγγυήσεις (η λεγόμενη «αυτοαξιολόγηση» για τις διαβιβάσεις).

Κατά τα πρώτα έτη εφαρμογής της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, η Επιτροπή εργάστηκε ειδικότερα για τη θέσπιση δεσμευτικών νομικών πράξεων με τη μορφή διεθνών συμφωνιών που παρέχουν κατάλληλες εγγυήσεις. Οι συμφωνίες αυτές διαδραματίζουν σημαντικό ρόλο τόσο στο πλαίσιο των «παραδοσιακών» (δηλ. της συνεργασίας μεταξύ των αρμόδιων αρχών) όσο και άλλων μορφών συνεργασίας για την επιβολή του νόμου (δηλ. της συνεργασίας με τη συμμετοχή τρίτων, όπως ιδιωτικές εταιρείες). Μπορούν επίσης να χρησιμεύσουν ως βάση για διαβιβάσεις δεδομένων από την Ευρωπόλ και την Eurojust σύμφωνα με τα αντίστοιχα νομικά τους πλαίσια, των οποίων οι κανόνες για τις διεθνείς διαβιβάσεις είναι σε μεγάλο βαθμό παρόμοιοι με εκείνους που προβλέπονται στο πλαίσιο της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

Όσον αφορά τις παραδοσιακές μορφές συνεργασίας στον τομέα της επιβολής του νόμου, η Επιτροπή επανεξετάζει τις διεθνείς συμφωνίες που εγκρίθηκαν πριν από την έναρξη ισχύος της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, ώστε να διασφαλιστεί η συνοχή με το εκσυγχρονισμένο καθεστώς προστασίας δεδομένων της ΕΕ 155 .

Πρώτον, η Επιτροπή αξιολογεί τις διατάξεις περί προστασίας των δεδομένων που περιέχονται στις υφιστάμενες συμφωνίες συνεργασίας της Ευρωπόλ 156 με τρίτες χώρες που συνήφθησαν πριν από την 1η Μαΐου 2017, όπως ορίζεται στον κανονισμό (ΕΕ) 2016/794 για τον Οργανισμό της Ευρωπαϊκής Ένωσης για τη Συνεργασία στον Τομέα της Επιβολής του Νόμου (στο εξής: κανονισμός για την Ευρωπόλ) 157 . Σύμφωνα με το άρθρο 9 του πρωτοκόλλου αριθ. 36 της Συνθήκης για την Ευρωπαϊκή Ένωση 158 και τη ΣΛΕΕ (σχετικά με τις μεταβατικές διατάξεις), τα έννομα αποτελέσματα των εν λόγω συμφωνιών διατηρήθηκαν έως ότου οι εν λόγω συμφωνίες καταργηθούν, ακυρωθούν ή τροποποιηθούν 159 . Η Επιτροπή θα ενημερώσει το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο σχετικά με το αποτέλεσμα αυτής της αξιολόγησης και θα υποβάλει, κατά περίπτωση, στο Συμβούλιο σύσταση για απόφαση που θα επιτρέπει την έναρξη διαπραγματεύσεων για τη σύναψη διεθνών συμφωνιών βάσει του άρθρου 218 της ΣΛΕΕ. Πρόκειται για πολύπλοκη εργασία που περιλαμβάνει την αξιολόγηση 18 συμφωνιών και καθυστέρησε λόγω των διαταραχών που προκάλεσε η πανδημία COVID-19. Η Επιτροπή αναμένει να ολοκληρώσει την αξιολόγησή της κατά το δεύτερο εξάμηνο του 2022.

Η συνέπεια όλων των μηχανισμών συνεργασίας για την επιβολή του νόμου με τους κανόνες της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου αποτελεί κατευθυντήρια αρχή την οποία ακολουθεί επίσης η Επιτροπή κατά τη διαπραγμάτευση νέων συμφωνιών για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την Ευρωπόλ σε τρίτες χώρες ή διεθνείς οργανισμούς. Από την έναρξη ισχύος του ισχύοντος κανονισμού για την Ευρωπόλ το 2017, το άρθρο 218 της ΣΛΕΕ αποτελεί τη νομική βάση για τέτοιες διεθνείς συμφωνίες που διασφαλίζουν επαρκείς εγγυήσεις. Το 2018 και το 2019 το Συμβούλιο ενέκρινε εννέα εντολές προς την Επιτροπή για την έναρξη διαπραγματεύσεων με τρίτες χώρες εξ ονόματος της Ένωσης. Η Επιτροπή έχει επίσης εξουσιοδοτηθεί να αρχίσει διαπραγματεύσεις για τη σύναψη συμφωνίας συνεργασίας με την Ιντερπόλ, η οποία θα καλύπτει την ανταλλαγή δεδομένων με διάφορα όργανα και οργανισμούς της ΕΕ. Σε όλες αυτές τις περιπτώσεις, το Συμβούλιο απηύθυνε διαπραγματευτικές οδηγίες στην Επιτροπή ώστε να διασφαλίσει ότι περιλαμβάνονται οι αναγκαίες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα και άλλων θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων. Σ’ αυτήν τη βάση, η Επιτροπή έχει ήδη ολοκληρώσει τις διαπραγματεύσεις με τη Νέα Ζηλανδία, οι οποίες οδήγησαν στην υπογραφή συμφωνίας συνεργασίας στις 30 Ιουνίου 2022. Επιπλέον, σημειώθηκε πρόοδος στις διαπραγματεύσεις με το Ισραήλ. Όσον αφορά την Τουρκία, οι διαπραγματεύσεις βρίσκονται σε προχωρημένο στάδιο, αλλά δεν μπορούν να ολοκληρωθούν έως ότου η Τουρκία εγκρίνει τις αναγκαίες μεταρρυθμίσεις στη νομοθεσία της για την προστασία των δεδομένων. Παρόμοιες εξουσιοδοτήσεις χορηγήθηκαν τον Μάρτιο του 2021 για τη διαπραγμάτευση συμφωνιών συνεργασίας, ώστε να καταστεί δυνατή η ανταλλαγή δεδομένων από την Eurojust με 13 τρίτες χώρες.

Δεύτερον, η Επιτροπή διεξάγει την πρώτη κοινή επανεξέταση της συμφωνίας μεταξύ των Ηνωμένων Πολιτειών της Αμερικής και της Ευρωπαϊκής Ένωσης σχετικά με την προστασία των πληροφοριών προσωπικού χαρακτήρα για την πρόληψη, τη διερεύνηση, την ανίχνευση και τη δίωξη ποινικών αδικημάτων (στο εξής: συμφωνία-πλαίσιο) Η συμφωνία-πλαίσιο, η οποία άρχισε να ισχύει τον Φεβρουάριο του 2017, περιλαμβάνει ένα ολοκληρωμένο και εναρμονισμένο σύνολο κανόνων για την προστασία των δεδομένων, οι οποίοι εφαρμόζονται σε όλες τις διατλαντικές ανταλλαγές μεταξύ αρμόδιων αρχών. Συμπληρώνει τις υφιστάμενες συμφωνίες ΕΕ–ΗΠΑ και κρατών μελών της ΕΕ–ΗΠΑ μεταξύ αρχών επιβολής του νόμου, θέτει πρότυπο υψηλού επιπέδου προστασίας για μελλοντικές συμφωνίες στον τομέα αυτόν και ενισχύει τη συνεργασία στον τομέα της επιβολής του νόμου διευκολύνοντας την ανταλλαγή πληροφοριών. Η κοινή επανεξέταση αποσκοπεί στην αξιολόγηση της αποτελεσματικής εφαρμογής της συμφωνίας-πλαισίου, ιδίως όσον αφορά τις διατάξεις για την περαιτέρω διαβίβαση, τα ατομικά δικαιώματα και τα δικαστικά μέσα προσφυγής. Το χρονοδιάγραμμα για την κοινή επανεξέταση επηρεάστηκε από τις διαταραχές που συνδέονται με την πανδημία COVID-19, καθώς και από τις παράλληλες διαπραγματεύσεις σχετικά με το δεύτερο πρόσθετο πρωτόκολλο της Σύμβασης της Βουδαπέστης του Συμβουλίου της Ευρώπης για το έγκλημα στον κυβερνοχώρο 160 . Η Επιτροπή αναμένει να ολοκληρώσει την εν λόγω επανεξέταση κατά το δεύτερο εξάμηνο του 2022.

Ως η πρώτη διμερής διεθνής συμφωνία με ολοκληρωμένο κατάλογο δικαιωμάτων και υποχρεώσεων για την προστασία των δεδομένων, η συμφωνία-πλαίσιο αποτελεί σημείο αναφοράς για τη διαπραγμάτευση παρόμοιων συμφωνιών-πλαισίων με σημαντικούς εταίρους στον τομέα της επιβολής του ποινικού δικαίου 161 . Στο πλαίσιο αυτό, η Επιτροπή θα λάβει επίσης υπόψη τις σχετικές εξελίξεις, συμπεριλαμβανομένων των κατευθυντήριων γραμμών του ΕΣΠΔ, της νομολογίας του ΔΕΕ και της έκβασης των διεθνών διαπραγματεύσεων σχετικά με τις εγγυήσεις για την προστασία των δεδομένων στον εν λόγω τομέα (όπως, για παράδειγμα, το δεύτερο πρόσθετο πρωτόκολλο της Σύμβασης της Βουδαπέστης για το έγκλημα στον κυβερνοχώρο ή η συμφωνία της Ευρωπόλ με τη Νέα Ζηλανδία 162 ).

Τρίτον, η Επιτροπή προσδιόρισε τη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης και της Ιαπωνίας για την αμοιβαία δικαστική συνδρομή επί ποινικών υποθέσεων (συνθήκη αμοιβαίας δικαστικής συνδρομής ΕΕ–Ιαπωνίας) 163 ως πράξη της ΕΕ που ρυθμίζει την επεξεργασία (διαβιβάσεις) δεδομένων για σκοπούς επιβολής του ποινικού δικαίου, η οποία πρέπει να τροποποιηθεί ώστε να διασφαλιστούν οι κατάλληλες εγγυήσεις για την προστασία των δεδομένων σύμφωνα με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Μετά την έκδοση απόφασης από το Συμβούλιο 164 , με την οποία εγκρίθηκε η έναρξη διαπραγματεύσεων για την τροποποίηση της συνθήκης αμοιβαίας συνδρομής ΕΕ–Ιαπωνίας, η Επιτροπή εξακολουθεί να βρίσκεται σε επαφή με τις ιαπωνικές αρχές με σκοπό την έναρξη διαπραγματεύσεων το συντομότερο δυνατόν.

Επιπλέον, χρησιμοποιούνται επίσης, ολοένα και περισσότερο, άλλες μορφές συνεργασίας, προσαρμοσμένες στις ειδικές προκλήσεις και ανάγκες των ποινικών ερευνών στη σημερινή ψηφιακή οικονομία. Αυτές αφορούν κυρίως την ενισχυμένη συνεργασία στον τομέα του κυβερνοεγκλήματος και για τη διεξαγωγή αποδείξεων σε ηλεκτρονική μορφή σχετικά με ποινικά αδικήματα. Η συνεργασία αυτή περιλαμβάνει την άμεση συνεργασία με ιδιωτικούς φορείς για την πρόσβαση σε ηλεκτρονικά αποδεικτικά στοιχεία.

Η Επιτροπή συνεργάζεται επίσης με διεθνείς εταίρους με σκοπό να διασφαλίσει ότι αυτές οι άλλες (σημαντικές) μορφές συνεργασίας μπορούν να πραγματοποιηθούν με βάση κατάλληλες εγγυήσεις για την προστασία των δεδομένων.

Πρώτον, η Επιτροπή εκπροσώπησε την ΕΕ κατά τις διαπραγματεύσεις 165 στο πλαίσιο του Συμβουλίου της Ευρώπης σχετικά με το δεύτερο πρόσθετο πρωτόκολλο της Σύμβασης της Βουδαπέστης για το έγκλημα στον κυβερνοχώρο 166 . Το πρωτόκολλο, το οποίο εγκρίθηκε από την Επιτροπή Υπουργών του Συμβουλίου της Ευρώπης στις 17 Νοεμβρίου 2021, περιέχει ισχυρές εγγυήσεις για την προστασία των θεμελιωδών δικαιωμάτων, συμπεριλαμβανομένου άρθρου 167 που περιέχει λεπτομερείς διατάξεις σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται στο πλαίσιο του πρωτοκόλλου. Οι διατάξεις αυτές καλύπτουν όλες τις βασικές αρχές, τα δικαιώματα και τις υποχρεώσεις προστασίας των δεδομένων που αναγνωρίζονται στο δίκαιο της ΕΕ. Οι εγγυήσεις αυτές συμπληρώνονται από διάταξη παρακολούθησης και από τη δυνατότητα αναστολής των διαβιβάσεων σε περίπτωση συστηματικής ή ουσιαστικής παραβίασης των εγγυήσεων που περιέχονται στο πρωτόκολλο, για παράδειγμα, της απουσίας αποτελεσματικών δικαστικών προσφυγών. Μέσω των διατάξεων αυτών, παρέχει κατάλληλες εγγυήσεις σύμφωνα με τις απαιτήσεις του άρθρου 37 παράγραφος 1 στοιχείο α) της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου 168 . Πρόκειται για σημαντικό επίτευγμα, δεδομένης της ποικιλόμορφης σύνθεσης των μελών της Σύμβασης της Βουδαπέστης, η οποία αριθμεί επί του παρόντος 66 κράτη-συμβαλλόμενα μέρη που αντιπροσωπεύουν διαφορετικά νομικά πλαίσια και παραδόσεις. Θα δώσει τη δυνατότητα στις αρμόδιες αρχές των κρατών μελών να επωφεληθούν από την αποτελεσματική διασυνοριακή συνεργασία για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο, με παράλληλη διασφάλιση του σεβασμού των αξιών της ΕΕ, όπως αυτές αντικατοπτρίζονται στον Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ, στις Συνθήκες της ΕΕ και στο παράγωγο δίκαιο της ΕΕ. Δεδομένου του μεγάλου αριθμού συμβαλλόμενων μερών της Σύμβασης της Βουδαπέστης, η οποία επί του παρόντος περιλαμβάνει χώρες από όλον τον κόσμο, το πρωτόκολλο θα συμβάλει επίσης στην προώθηση υψηλών προτύπων προστασίας δεδομένων για την επεξεργασία δεδομένων στον τομέα της επιβολής του ποινικού δικαίου σε παγκόσμιο επίπεδο. Το πρωτόκολλο τέθηκε προς υπογραφή στις 12 Μαΐου 2022, με συνολικά 22 συμβαλλόμενα μέρη της Σύμβασης της Βουδαπέστης (συμπεριλαμβανομένων 13 κρατών μελών της ΕΕ) να το έχουν ήδη υπογράψει.

Δεύτερον, η Επιτροπή έχει ξεκινήσει διαπραγματεύσεις για διμερή συμφωνία με τις Ηνωμένες Πολιτείες σχετικά με τη διασυνοριακή πρόσβαση σε ηλεκτρονικά αποδεικτικά στοιχεία στο πλαίσιο της δικαστικής συνεργασίας σε ποινικές υποθέσεις 169 . Η εν λόγω συμφωνία επιδιώκει να καλύψει τα ηλεκτρονικά αποδεικτικά στοιχεία υπό μορφή δεδομένων τόσο μη προσωπικού όσο και προσωπικού χαρακτήρα, συμπεριλαμβανομένων των δεδομένων κίνησης και περιεχομένου. Είναι σημαντικό ότι οι διαπραγματεύσεις αποσκοπούν επίσης στη συμπερίληψη πρόσθετων εγγυήσεων για την προστασία των δεδομένων που θα συμπληρώνουν εκείνες της συμφωνίας-πλαισίου, λαμβάνοντας ιδίως υπόψη τον ευαίσθητο χαρακτήρα των οικείων κατηγοριών δεδομένων, καθώς και τις απαιτήσεις για τη διαβίβαση ηλεκτρονικών αποδεικτικών στοιχείων απευθείας από τους παρόχους υπηρεσιών. Η πρόοδος των διαπραγματεύσεων αυτών θα εξαρτηθεί σε μεγάλο βαθμό από την πρόοδο της υπό εξέλιξη νομοθετικής διαδικασίας σχετικά με τη δέσμη μέτρων της ΕΕ για τα ηλεκτρονικά αποδεικτικά στοιχεία 170 .

Οι διάφορες αυτές πρωτοβουλίες της Επιτροπής για την ανάπτυξη διεθνών μέσων που διευκολύνουν τη συνεργασία στον τομέα της επιβολής του νόμου με διεθνείς εταίρους, με παράλληλη διασφάλιση των κατάλληλων εγγυήσεων για την προστασία των δεδομένων, υποστηρίχθηκαν από τις εργασίες του ΕΣΠΔ και του ΕΕΠΔ. Οι εργασίες αυτές περιλαμβάνουν τη δήλωση του ΕΣΠΔ σχετικά με το σχέδιο δεύτερου πρόσθετου πρωτοκόλλου της Σύμβασης της Βουδαπέστης 171 και τις γνώμες του ΕΕΠΔ σχετικά με τα σχέδια διαπραγματευτικών εντολών για διεθνείς συμφωνίες δυνάμει του άρθρου 218 της ΣΛΕΕ, οι οποίες θα επιτρέψουν στην Ευρωπόλ και την Eurojust να ανταλλάσσουν δεδομένα προσωπικού χαρακτήρα με τρίτες χώρες ή διεθνείς οργανισμούς 172 . Το ΕΣΠΔ εξέδωσε επίσης δήλωση με την οποία καλούσε τα κράτη μέλη να αξιολογήσουν και, κατά περίπτωση, να επανεξετάσουν τις διεθνείς συμφωνίες που αφορούν διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα 173 . Η δήλωση αυτή αφορά συμφωνίες που συνήφθησαν πριν από τις 6 Μαΐου 2016, μεταξύ άλλων στον τομέα της επιβολής του ποινικού δικαίου, και καλεί τα κράτη μέλη να καθορίσουν αν απαιτείται περαιτέρω εναρμόνιση με τη νομοθεσία και τη νομολογία της ΕΕ για την προστασία των δεδομένων.

Το άρθρο 37 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου επιτρέπει επίσης διεθνείς διαβιβάσεις δεδομένων βάσει αυτοαξιολόγησης από αρμόδια αρχή ως προς το αν μια τρίτη χώρα (ή ένας διεθνής οργανισμός) διαθέτει κατάλληλες εγγυήσεις για την προστασία των δεδομένων. Στις περιπτώσεις αυτές, η αρχή πρέπει να τεκμηριώνει τη διαβίβαση (συμπεριλαμβανομένης της ημερομηνίας και της ώρας της, των πληροφοριών σχετικά με την παραλήπτρια αρχή, της αιτιολόγησης της διαβίβασης και των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα) και η τεκμηρίωση πρέπει να τίθεται στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος (άρθρο 37 παράγραφος 3 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου). Από τις παρατηρήσεις που υπέβαλαν τα κράτη μέλη 174 προκύπτει ότι το εργαλείο αυτό χρησιμοποιήθηκε σπάνια.

Για να μπορέσουν τα κράτη μέλη να αξιοποιήσουν πλήρως την εργαλειοθήκη της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου για τις διαβιβάσεις, είναι σημαντικό το ΕΣΠΔ να εντείνει τις υπό εξέλιξη εργασίες του σχετικά με τους διάφορους μηχανισμούς διαβιβάσεων. Μεταξύ άλλων, θα πρέπει να παρέχει καθοδήγηση σχετικά με τους μηχανισμούς που περιλαμβάνονται στο άρθρο 37 παράγραφος 1 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, ιδίως όσον αφορά τις διαβιβάσεις βάσει αυτοαξιολογήσεων από τις αρμόδιες αρχές. Το Συμβούλιο έχει επίσης τονίσει την ανάγκη αυτή 175 .

3.5.3Χρήση παρεκκλίσεων

Τέλος, οι αποκαλούμενες «παρεκκλίσεις» αποτελούν σημαντικό λόγο για διαβιβάσεις υπό ορισμένες προϋποθέσεις, οι οποίες προβλέπονται στο άρθρο 38 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Οι προϋποθέσεις αυτές επιτυγχάνουν ισορροπία μεταξύ των ζητημάτων προστασίας της ιδιωτικής ζωής και των επιχειρησιακών αναγκών των αρμόδιων αρχών. Ειδικότερα, το άρθρο 38 παράγραφος 1 επιτρέπει τις διαβιβάσεις, και μάλιστα κατηγορίες διαβιβάσεων, δεδομένων προσωπικού χαρακτήρα, όταν αυτό είναι αναγκαίο για την πρόληψη άμεσης και σοβαρής απειλής για τη δημόσια ασφάλεια 176 ή, σε μεμονωμένες περιπτώσεις, για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων 177 . Σε αντίθεση με τις παρεκκλίσεις βάσει του άρθρου 49 του ΓΚΠΔ, δεν υπάρχει επί του παρόντος καθοδήγηση για παρεκκλίσεις βάσει του άρθρου 38 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

3.5.4Αποτελεσματική διασυνοριακή αστυνομική και δικαστική συνεργασία

Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου έχει καταστεί διεθνές σημείο αναφοράς για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου και έχει λειτουργήσει ως καταλύτης ώστε οι χώρες σε ολόκληρο τον κόσμο να εξετάσουν το ενδεχόμενο θέσπισης σύγχρονων κανόνων για την προστασία της ιδιωτικής ζωής σ’ αυτόν τον τομέα. Πρόκειται για μια πολύ θετική εξέλιξη που δημιουργεί νέες ευκαιρίες για την καλύτερη προστασία των φυσικών προσώπων στην ΕΕ όταν τα δεδομένα τους διαβιβάζονται στο εξωτερικό για σκοπούς επιβολής του νόμου, ενώ ταυτόχρονα διευκολύνει τις ροές δεδομένων που μπορούν να συμβάλουν στην καταπολέμηση του εγκλήματος.

Γενικότερα, είναι σημαντικό να ληφθεί μέριμνα ώστε οι εταιρείες που δραστηριοποιούνται στην ευρωπαϊκή αγορά να λαμβάνουν αιτήματα άμεσης συνεργασίας για την κοινοχρησία δεδομένων για σκοπούς επιβολής του νόμου, να μπορούν να ικανοποιούν το εν λόγω αίτημα χωρίς να αντιμετωπίζουν συγκρούσεις νόμων και με πλήρη σεβασμό των θεμελιωδών δικαιωμάτων της ΕΕ 178 . Για τη βελτίωση των διαβιβάσεων αυτών, η Επιτροπή δεσμεύεται να αναπτύξει κατάλληλα νομικά πλαίσια με τους διεθνείς εταίρους της για την αποφυγή συγκρούσεων νόμων και τη στήριξη αποτελεσματικών μορφών συνεργασίας, ιδίως με την πρόβλεψη για τις απαραίτητες εγγυήσεις για την προστασία των δεδομένων, και να συμβάλει έτσι στην αποτελεσματικότερη καταπολέμηση του εγκλήματος.

Στο πλαίσιο αυτό, η Επιτροπή έχει δεσμευτεί σε διμερή, περιφερειακά και πολυμερή πλαίσια για την ενεργό προώθηση της διεθνούς σύγκλισης των προτύπων προστασίας δεδομένων με σκοπό τη συνεργασία στον τομέα της επιβολής του ποινικού δικαίου. Κατά τη διάρκεια συνομιλιών με διάφορες αλλοδαπές χώρες-εταίρους σχετικά με τις υπό εξέλιξη μεταρρυθμίσεις της νομοθεσίας για την προστασία των δεδομένων, οι υπηρεσίες της Επιτροπής συμμετείχαν με διάφορους τρόπους (π.χ. παρατηρήσεις στο πλαίσιο δημόσιων διαβουλεύσεων, συμμετοχή σε κοινοβουλευτικές ακροάσεις και ειδικές συνεδριάσεις με εκπροσώπους κυβερνήσεων και υπευθύνους χάραξης πολιτικής) για την ανάπτυξη κανόνων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές.

Σε περιφερειακό και πολυμερές πλαίσιο, η Επιτροπή στηρίζει, για παράδειγμα, έργα ανάπτυξης ικανοτήτων στο πλαίσιο της εφαρμογής της Σύμβασης της Βουδαπέστης του Συμβουλίου της Ευρώπης για το έγκλημα στον κυβερνοχώρο 179 . Τα έργα αυτά περιλαμβάνουν το πρόγραμμα GLACY+ για την ενίσχυση της ικανότητας των κρατών να εφαρμόζουν νομοθεσία για το έγκλημα στον κυβερνοχώρο και την ενίσχυση της ικανότητάς τους για αποτελεσματική διεθνή συνεργασία σύμφωνα με τη Σύμβαση της Βουδαπέστης και τα πρόσθετα πρωτόκολλά της. Αυτό συνεπάγεται επίσης την ανάπτυξη νομοθεσίας για την προστασία των δεδομένων όσον αφορά την επεξεργασία δεδομένων στον εν λόγω τομέα. Το πρόγραμμα στηρίζει επί του παρόντος 17 χώρες προτεραιότητας και κομβικές χώρες στην Αφρική, την Ασία και τον Ειρηνικό, την περιοχή της Λατινικής Αμερικής και της Καραϊβικής.

Η Επιτροπή συνεργάζεται επίσης με τον Ameripol, έναν οργανισμό αστυνομικής συνεργασίας στον οποίο συμμετέχουν 18 χώρες της Λατινικής Αμερικής, στο πλαίσιο της ανάπτυξης ενός πλαισίου προστασίας δεδομένων για την ανταλλαγή πληροφοριών μεταξύ του Ameripol και των κρατών μελών της. Η δέσμευση αυτή πραγματοποιείται μέσω του προγράμματος EL PAcCTO: στήριξη του Ameripol, ενός σχεδίου που αποσκοπεί στη βελτίωση του επιπέδου διεθνούς συνεργασίας μεταξύ των αστυνομικών, δικαστικών και εισαγγελικών αρχών των χωρών εταίρων για την καταπολέμηση του οργανωμένου εγκλήματος.

Η Επιτροπή προωθεί επίσης την εκσυγχρονισμένη σύμβαση 108 (γνωστή ως σύμβαση 108+) 180 , η οποία εφαρμόζεται επίσης σε δραστηριότητες επεξεργασίας δεδομένων για σκοπούς επιβολής του ποινικού δικαίου. Η εν λόγω σύμβαση, η οποία είναι επίσης ανοικτή σε μη μέλη του Συμβουλίου της Ευρώπης, είναι σημαντική όχι μόνο επειδή είναι η μόνη πολυμερής δεσμευτική συμφωνία για την προστασία των δεδομένων, αλλά και επειδή, μέσω της επιτροπής της σύμβασης, παρέχει ένα φόρουμ για την ανταλλαγή βέλτιστων πρακτικών και τον καθορισμό παγκόσμιων προτύπων 181 . Στο πλαίσιο της διεθνούς στρατηγικής της για τις ροές δεδομένων, η Επιτροπή ενθαρρύνει την προσχώρηση τρίτων χωρών στη σύμβαση 108+.

Τέλος, η Επιτροπή ενθαρρύνει τη μεγαλύτερη σύγκλιση σε διεθνές επίπεδο με την ανταλλαγή της πείρας μας με τους εταίρους σχετικά με τις πτυχές της προστασίας δεδομένων στο πλαίσιο της συνεργασίας για την επιβολή του ποινικού δικαίου. Η «Ακαδημία προστασίας δεδομένων» της Επιτροπής, μέρος του έργου «International Digital Cooperation - Enhanced Data Protection and Data Flows» (Διεθνής ψηφιακή συνεργασία — Ενισχυμένη προστασία δεδομένων και ροές δεδομένων) και χρηματοδοτούμενο από το Μέσο Εξωτερικής Πολιτικής, αποτελεί βασικό εργαλείο στην προσπάθεια αυτή. Η Ακαδημία ιδρύθηκε για την προώθηση των ανταλλαγών μεταξύ ευρωπαϊκών ρυθμιστικών αρχών και ρυθμιστικών αρχών τρίτων χωρών και για τη βελτίωση της επιτόπιας συνεργασίας. Οι δραστηριότητες της Ακαδημίας καλύπτουν όλες τις πτυχές της εποπτείας της προστασίας των δεδομένων, μεταξύ άλλων και στον τομέα της επιβολής του νόμου.

4Μελλοντική πορεία

Για να διασφαλιστεί μια αποτελεσματική πολιτική ασφάλειας της ΕΕ που θα σέβεται πλήρως το θεμελιώδες δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα, η Επιτροπή θα συνεχίσει να ελέγχει αν τα κράτη μέλη έχουν μεταφέρει ορθά την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου στο εθνικό δίκαιο και να παρακολουθεί την εφαρμογή των διατάξεών της.

Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου συνέβαλε σημαντικά σε ένα πιο εναρμονισμένο και υψηλότερο επίπεδο προστασίας των δικαιωμάτων των φυσικών προσώπων και σε ένα πιο συνεκτικό νομικό πλαίσιο για τις αρμόδιες αρχές.

Κατά γενικό κανόνα η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου έχει μεταφερθεί στο εθνικό δίκαιο με ικανοποιητικό τρόπο, αλλά έχουν εντοπιστεί ορισμένα ζητήματα. Η Επιτροπή έχει ήδη κινήσει διαδικασίες επί παραβάσει τόσο για τη μη μεταφορά στο εθνικό δίκαιο όσο και τη μη συμμόρφωση της εθνικής νομοθεσίας με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Θα συνεχίσει να εργάζεται ώστε να εξασφαλίσει την πλήρη και ορθή μεταφορά της σε εθνικό δίκαιο.

Η οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου έχει οδηγήσει σε υψηλότερο επίπεδο ευαισθητοποίησης και προσοχής των εθνικών αρμόδιων αρχών όσον αφορά την προστασία των δεδομένων, μεταξύ άλλων όσον αφορά την ασφάλεια της επεξεργασίας.

Η ενεργός εποπτεία από τις εποπτικές αρχές προστασίας δεδομένων είναι καίριας σημασίας για τη διασφάλιση της επίτευξης των στόχων της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Ως εκ τούτου, πρέπει να δοθούν στις αρχές όλα τα είδη εξουσιών που απαιτούνται από την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, καθώς και επαρκείς πόροι.

Στο παρόν στάδιο, θα πρέπει να δοθεί έμφαση στην πλήρη αξιοποίηση των δυνατοτήτων της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Στο πλαίσιο αυτό, και δεδομένης της περιορισμένης πείρας σε αυτούς τους νέους κανόνες, η Επιτροπή πιστεύει ότι είναι πολύ νωρίς για να εξεταστεί το ενδεχόμενο αναθεώρησης της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

Η Επιτροπή θα συνεχίσει να συνεργάζεται ενεργά με όλα τα ενδιαφερόμενα μέρη ενόψει της επόμενης αξιολόγησης που αναμένεται να πραγματοποιηθεί έως το 2026. Εν τω μεταξύ, θα συνεχίσει να εργάζεται για τη διασφάλιση της συνοχής με άλλες νομοθετικές πράξεις της ΕΕ που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του ποινικού δικαίου.

Νομικό πλαίσιο

Η Επιτροπή:

-θα συνεχίσει να αξιολογεί τη μεταφορά της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου από τα κράτη μέλη στο εθνικό δίκαιο και θα λαμβάνει τα κατάλληλα μέτρα όταν χρειάζεται (συμπεριλαμβανομένης της κίνησης διαδικασιών επί παραβάσει)·

-θα συνεχίσει τις διμερείς ανταλλαγές με τα κράτη μέλη·

-θα διασφαλίσει ότι οι μελλοντικές νομοθετικές προτάσεις συνάδουν με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

Τα κράτη μέλη θα πρέπει:

-να διασφαλίσουν την πλήρη και ορθή μεταφορά της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου σε εθνικό επίπεδο, μεταξύ άλλων με τον προσδιορισμό των αναγκαίων απαιτήσεων της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου όταν οι εθνικές πράξεις για την προστασία των δεδομένων που μεταφέρουν την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου δεν το πράττουν.

Άσκηση εποπτείας από εποπτικές αρχές προστασίας δεδομένων

Τα κράτη μέλη θα πρέπει:

-να παρέχουν στις εποπτικές αρχές προστασίας δεδομένων επαρκείς πόρους για την εκτέλεση των καθηκόντων τους σε θέματα επιβολής της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου·

-να διασφαλίσουν ότι οι εποπτικές αρχές προστασίας δεδομένων μπορούν να ασκούν όλα τα είδη εξουσιών που ορίζονται στην οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου·

-να διαβουλεύονται συστηματικά με τις οικείες εποπτικές αρχές προστασίας δεδομένων σχετικά με τα σχέδια νομοθετικών και διοικητικών μέτρων γενικής εφαρμογής που αφορούν την προστασία των δεδομένων προσωπικού χαρακτήρα και λαμβάνουν δεόντως υπόψη τις γνώμες τους (ιδίως στην περίπτωση των νέων τεχνολογιών).

Οι εποπτικές αρχές προστασίας δεδομένων καλούνται:

-να κάνουν πλήρη χρήση των ερευνητικών τους εξουσιών, μεταξύ άλλων με τη διενέργεια επιθεωρήσεων ιδίας πρωτοβουλίας·

-να συλλέγουν ειδικά στατιστικά στοιχεία σχετικά με τις εποπτικές τους δραστηριότητες στο πλαίσιο της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου·

-να αξιοποιούν τα εργαλεία αμοιβαίας συνδρομής και να αναπτύσσουν πρακτικά μέτρα για τη διευκόλυνση των αιτημάτων συνδρομής, μεταξύ άλλων μέσω των προγραμματισμένων κατευθυντήριων γραμμών του ΕΣΠΔ.

Το ΕΣΠΔ καλείται:

-να επεκτείνει την ομάδα υποστήριξης εμπειρογνωμόνων 182 για καθήκοντα που σχετίζονται με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

Υποστήριξη των αρμόδιων αρχών

Η Επιτροπή:

-θα διευκολύνει τις συζητήσεις και την ανταλλαγή πείρας μεταξύ των κρατών μελών και της Επιτροπής στο πλαίσιο της ομάδας εμπειρογνωμόνων των κρατών μελών στο πλαίσιο της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου·

-θα διευκολύνει την ανταλλαγή απόψεων μεταξύ των υπευθύνων προστασίας δεδομένων μέσω του δικτύου υπευθύνων προστασίας δεδομένων.

Τα κράτη μέλη καλούνται:

-να συνεχίσουν τις προσπάθειες για την παροχή κατάρτισης σχετικά με τις απαιτήσεις προστασίας δεδομένων στις αρμόδιες αρχές, μεταξύ άλλων σε σχέση με τις νέες τεχνολογίες.

Το ΕΣΠΔ και οι εποπτικές αρχές προστασίας δεδομένων καλούνται:

-να εντείνουν τις προσπάθειές τους για την έκδοση σχετικών κατευθυντήριων γραμμών (π.χ. σχετικά με τον ρόλο της συγκατάθεσης στο πλαίσιο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του ποινικού δικαίου και σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων, συμπεριλαμβανομένων των πιθανών περιορισμών τους), είτε με τη έκδοση νέων αυτοτελών κατευθυντήριων γραμμών είτε με τη συμπλήρωση των κατευθυντήριων γραμμών που έχουν ήδη εκδοθεί για τον ΓΚΠΔ.

Διασυνοριακές διαβιβάσεις δεδομένων

Η Επιτροπή προτίθεται:

-να προωθήσει ενεργά πιθανές νέες αποφάσεις περί επάρκειας με βασικούς διεθνείς εταίρους·

-να διαπραγματευτεί νέες συμφωνίες συνεργασίας μεταξύ της Ευρωπόλ και της Eurojust, αφενός, και τρίτων χωρών, αφετέρου. Όπου είναι αναγκαίο, θα επιδιώξει την επαναδιαπραγμάτευση των υφιστάμενων συμφωνιών συνεργασίας της Ευρωπόλ, ώστε να διασφαλιστεί ότι περιλαμβάνουν κατάλληλες εγγυήσεις για την προστασία των δεδομένων·

-να ξεκινήσει διαπραγματεύσεις με την Ιαπωνία με σκοπό την τροποποίηση της υφιστάμενης συμφωνίας αμοιβαίας δικαστικής συνδρομής ΕΕ–Ιαπωνίας, ώστε να διασφαλιστούν οι κατάλληλες εγγυήσεις για την προστασία των δεδομένων·

-να συνεχίσει και να ολοκληρώσει τη διαπραγμάτευση διμερούς συμφωνίας με τις Ηνωμένες Πολιτείες σχετικά με τη διασυνοριακή πρόσβαση σε ηλεκτρονικά αποδεικτικά στοιχεία στο πλαίσιο της δικαστικής συνεργασίας σε ποινικές υποθέσεις, μεταξύ άλλων με τη συμπλήρωση των εγγυήσεων προστασίας των δεδομένων που διασφαλίζονται από τη συμφωνία-πλαίσιο ΕΕ–ΗΠΑ, ώστε να αντικατοπτρίζεται το ειδικό πλαίσιο της άμεσης συνεργασίας μεταξύ των αρχών επιβολής του νόμου και των παρόχων υπηρεσιών·

-να διερευνήσει τη δυνατότητα σύναψης συμφωνιών-πλαισίων προστασίας δεδομένων για την επεξεργασία δεδομένων στον τομέα της επιβολής του ποινικού δικαίου με σημαντικούς εταίρους στον τομέα της επιβολής του ποινικού δικαίου, με βάση το παράδειγμα της συμφωνίας-πλαισίου ΕΕ–ΗΠΑ.

Το ΕΣΠΔ καλείται:

-να εκδώσει κατευθυντήριες γραμμές για την περαιτέρω αποσαφήνιση της έννοιας και του περιεχομένου των «κατάλληλων εγγυήσεων» (άρθρο 37 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου), καθώς και της χρήσης παρεκκλίσεων (άρθρο 38 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου).

Προώθηση της σύγκλισης και ανάπτυξη της διεθνούς συνεργασίας

Η Επιτροπή:

-θα επεκτείνει τη συνεργασία της με διεθνείς εταίρους με σκοπό την ενίσχυση της σύγκλισης των κανόνων προστασίας των δεδομένων στον τομέα της επιβολής του ποινικού δικαίου, μεταξύ άλλων με την προώθηση της προσχώρησης στη σύμβαση 108+ ως τη μόνη δεσμευτική παγκόσμια συμφωνία για την προστασία των δεδομένων·

-θα προωθήσει τη διμερή, περιφερειακή και πολυμερή συνεργασία και στήριξη έργων ανάπτυξης ικανοτήτων στον τομέα της προστασίας των δεδομένων και της αστυνομικής συνεργασίας. Αυτό θα περιλαμβάνει κατάρτιση και ανταλλαγή γνώσεων και βέλτιστων πρακτικών μέσω της Ακαδημίας Προστασίας Δεδομένων.

Τα κράτη μέλη καλούνται:

-να επικυρώσουν ταχέως το δεύτερο πρόσθετο πρωτόκολλο της Σύμβασης της Βουδαπέστης του Συμβουλίου της Ευρώπης για το έγκλημα στον κυβερνοχώρο, μόλις λάβουν σχετική έγκριση με απόφαση του Συμβουλίου.

(1)

Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ L 119 της 4.5.2016, σ. 89).

(2)

Άρθρο 1 παράγραφος 1 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(3)

Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (ΕΕ L 119 της 4.5.2016, σ. 1).

(4)

Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39).

(5)

Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (ΕΕ C 202 της 7.6.2016, σ. 389).

(6)

Ενοποιημένη απόδοση της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΕΕ C 202 της 7.6.2016, σ. 47).

(7)

Άρθρο 63 παράγραφος 1 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(8)

Απόφαση πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, της 27ης Νοεμβρίου 2008, για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις (ΕΕ L 350 της 30.12.2008, σ. 60).

(9)

Για παράδειγμα, οι νομικές πράξεις που ρυθμίζουν το σύστημα πληροφοριών Σένγκεν και άλλες πράξεις του κεκτημένου του Σένγκεν περιείχαν ειδικές διατάξεις που ρύθμιζαν θέματα όπως τα δικαιώματα των υποκειμένων των δεδομένων.

(10)

Σ’ αυτές περιλαμβάνονται η σύννομη και θεμιτή επεξεργασία· ο περιορισμός του σκοπού· η ελαχιστοποίηση των δεδομένων· η ακρίβεια· ο περιορισμός της περιόδου αποθήκευσης· η ακεραιότητα και η εμπιστευτικότητα· και η λογοδοσία (άρθρο 4 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου).

(11)

Άρθρα 6, 7, 25 και 29, αντίστοιχα, της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(12)

Δήλωση αριθ. 21 σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα στους τομείς της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας, η οποία προσαρτάται στην τελική πράξη της διακυβερνητικής διάσκεψης η οποία υιοθέτησε τη Συνθήκη της Λισαβόνας (ΕΕ C 115 της 9.5.2008, σ. 345).

(13)

Αιτιολογική έκθεση της πρότασης οδηγίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, [COM(2012) 10 final της 25ης Ιανουαρίου 2012].

(14)

Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο με τίτλο «Η προστασία των δεδομένων ως πυλώνας της ενδυνάμωσης των πολιτών και της προσέγγισης της ΕΕ στην ψηφιακή μετάβαση — δύο έτη εφαρμογής του Γενικού Κανονισμού για την Προστασία Δεδομένων» [COM(2020) 264 final της 24ης Ιουνίου 2020].

(15)

Σύμφωνα με το άρθρο 62 παράγραφος 6 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, η Επιτροπή όφειλε να επανεξετάσει, έως τις 6 Μαΐου 2019, άλλες νομικές πράξεις της ΕΕ που ρυθμίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του νόμου, προκειμένου να αξιολογήσει την αναγκαιότητα ευθυγράμμισής τους με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου και, αν χρειαστεί, να υποβάλει προτάσεις για την τροποποίηση των εν λόγω άλλων νομικών πράξεων της ΕΕ, ώστε να διασφαλιστεί συνεκτική προσέγγιση της προστασίας των δεδομένων προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(16)

Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο με τίτλο «Μελλοντική πορεία όσον αφορά την εναρμόνιση του πρώην τρίτου πυλώνα με τους κανόνες προστασίας των δεδομένων» [COM(2020) 262 final της 24ης Ιουνίου 2020].

(17)

Μέρος τρίτο τίτλος V κεφάλαια 4 και 5 της ΣΛΕΕ.

(18)

Το ζήτημα αυτό έχει ήδη αντιμετωπιστεί με την πρόταση της Επιτροπής του 2020 για την τροποποίηση του κανονισμού για την Ευρωπόλ.

(19)

Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο με τίτλο «Πρώτη έκθεση προόδου σχετικά με τη στρατηγική της ΕΕ για την Ένωση Ασφάλειας» [COM(2020) 797 final της 9ης Δεκεμβρίου 2020].

(20)

Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο, το Ευρωπαϊκό Συμβούλιο, το Συμβούλιο, την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και την Επιτροπή των Περιφερειών σχετικά με την στρατηγική της ΕΕ για την Ένωση Ασφάλειας [COM(2020) 605 final της 24ης Ιουλίου 2020].

(21)

Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τη θέσπιση εναρμονισμένων κανόνων σχετικά με την τεχνητή νοημοσύνη (πράξη για την τεχνητή νοημοσύνη) και για την τροποποίηση ορισμένων νομοθετικών πράξεων της Ένωσης [COM(2021) 206 final της 21ης Απριλίου 2021].

(22)

Ηλεκτρονικές πληροφορίες και ηλεκτρονικά αποδεικτικά στοιχεία χρειάζονται στο 85 % περίπου των ερευνών για σοβαρά εγκλήματα, και το 65 % του συνολικού αριθμού των αιτημάτων υποβάλλεται σε παρόχους που εδρεύουν σε άλλη δικαιοδοσία. Βλ. έγγραφο εργασίας των υπηρεσιών της Επιτροπής («Εκτίμηση επιπτώσεων που συνοδεύει το έγγραφο πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την ευρωπαϊκή εντολή υποβολής και την ευρωπαϊκή εντολή διατήρησης ηλεκτρονικών αποδεικτικών στοιχείων σε ποινικές υποθέσεις και πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τη θέσπιση εναρμονισμένων κανόνων για τον ορισμό νόμιμων εκπροσώπων με σκοπό τη συγκέντρωση αποδεικτικών στοιχείων στο πλαίσιο ποινικών διαδικασιών») [SWD(2018) 118 final].

(23)

Βλ. επίσης την αιτιολογική σκέψη 25 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(24)

Συμβολή της Επιτροπής Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων του Ευρωπαϊκού Κοινοβουλίου στην επικείμενη έκθεση της Ευρωπαϊκής Επιτροπής σχετικά με την αξιολόγηση και την επανεξέταση της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, 7 Φεβρουαρίου 2022.

(25)

Θέση και πορίσματα του Συμβουλίου σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου (έγγραφο 13943/21 του Συμβουλίου της 18ης Νοεμβρίου 2021 https://www.consilium.europa.eu/media/54304/st_13943_2021_init_en.pdf ).

(26)

Contribution of the EDPB to the European Commission’s evaluation of the LED under Article 62 LED, (Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας για την επιβολή του νόμου από την Ευρωπαϊκή Επιτροπή βάσει του άρθρου 62 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου), εκδόθηκε στις 14 Δεκεμβρίου 2021 (στο εξής: συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας).

https://edpb.europa.eu/system/files/2021-12/edpb_contribution_led_review_en.pdf .

(27)

Από τις 804 οργανώσεις της κοινωνίας των πολιτών που προσέγγισε ο Οργανισμός Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (FRA), 88 απάντησαν. Ωστόσο, μόνο 17 από τις απαντήσεις ήταν δυνατό να ληφθούν υπόψη, λόγω του γεγονότος ότι 61 απαντήσεις δεν συνδέονταν με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου ή ανέφεραν ότι η οικεία οργάνωση δεν εργάζεται για την προστασία των θεμελιωδών δικαιωμάτων στον τομέα της επιβολής του ποινικού δικαίου ή δεν είναι καθόλου εξοικειωμένη με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(28)

Πρόσκληση υποβολής αποδεικτικών στοιχείων, η προστασία των δεδομένων κατά την επιβολή του νόμου — έκθεση σχετικά με την οδηγία για την επιβολή του νόμου, 24 Ιανουαρίου 2022. https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13288-Η-προστασια-των-δεδομενων-κατα-την-επιβολη-του-νομου-εκθεση-σχετικα-με-την-οδηγια-για-την-επιβολη-του-νομου_el .

(29)

Commission expert group on Regulation (EU) 2016/679 and Directive (EU) 2016/680 (E03461) [Ομάδα εμπειρογνωμόνων της Επιτροπής για τον κανονισμό (ΕΕ) 2016/679 και την οδηγία (ΕΕ) 2016/680 (E03461)]· https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?do=groupDetail.groupDetail&groupID=3461&lang=el .

(30)

Report by the Presidency of the Council of the European Union on the exchange of police data with third countries - experiences in the application of Article 37 of the Law Enforcement Directive (Έκθεση της προεδρίας του Συμβουλίου της Ευρωπαϊκής Ένωσης σχετικά με την ανταλλαγή αστυνομικών δεδομένων με τρίτες χώρες — εμπειρίες από την εφαρμογή του άρθρου 37 της οδηγίας για την επιβολή του νόμου), Δεκέμβριος 2020.

(31)

Βλ. αιτιολογικές σκέψεις 101 έως 103 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(32)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημείο 4.

(33)

Θέση και πορίσματα του Συμβουλίου σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, σημείο 7.

(34)

Για παράδειγμα, οι αρχές της Δανίας, της Λιθουανίας, της Νορβηγίας, της Αυστρίας και αρκετές αρχές στη Γερμανία δεν τηρούν χωριστά στατιστικά στοιχεία σχετικά με τις παραβιάσεις δεδομένων βάσει της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Έξι αρχές ανέφεραν επίσης ότι δεν έλαβαν γνωστοποιήσεις παραβίασης βάσει της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(35)

Για παράδειγμα, οι αρχές της Δανίας και της Αυστρίας και αρκετές από τις αρχές της Γερμανίας δεν τηρούν χωριστά στατιστικά στοιχεία για τις καταγγελίες βάσει της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(36)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημείο 43.

(37)

Βλ. υποσημείωση 29.

(38)

Απόφαση της 25ης Φεβρουαρίου 2021, Ευρωπαϊκή Επιτροπή κατά Βασιλείου της Ισπανίας, C-658/19, EU:C:2017:548.

(39)

Τον Απρίλιο του 2022 η Επιτροπή κίνησε διαδικασίες επί παραβάσει κατά της Ελλάδας, της Φινλανδίας και της Σουηδίας με την αιτιολογία ότι οι οικείες εθνικές νομοθεσίες μεταφοράς δεν είναι σύμφωνες με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Η υπόθεση κατά της Ελλάδας αφορά ορισμένα σημεία, συμπεριλαμβανομένης, μεταξύ άλλων, της μη εφαρμογής της εθνικής νομοθεσίας για τη μεταφορά της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικαστικές και εισαγγελικές αρχές και από αρχές που ενεργούν υπό την εποπτεία τους για την πλειονότητα των ποινικών αδικημάτων· τη μεταφορά στο εθνικό δίκαιο των διατάξεων σχετικά με την αποθήκευση των δεδομένων και την επανεξέταση (άρθρο 5)· τη νομική βάση για την επεξεργασία δεδομένων (άρθρο 8)· και τις εγγυήσεις στο πλαίσιο της αυτοματοποιημένης λήψης αποφάσεων (άρθρο 11). Οι διαδικασίες επί παραβάσει κατά της Φινλανδίας και της Σουηδίας κινήθηκαν επειδή οι νομοθεσίες τους δεν παρέχει στα υποκείμενα των δεδομένων πρόσβαση σε αποτελεσματική προσφυγή ενώπιον δικαστηρίου. Η Επιτροπή κίνησε διαδικασία επί παραβάσει κατά της Γερμανίας τον Μάιο του 2022, διότι αρκετοί εθνικοί νόμοι για τη μεταφορά της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου δεν παρέχουν πραγματικές διορθωτικές εξουσίες σε ομοσπονδιακό επίπεδο και σε επίπεδο ομόσπονδων κρατιδίων.

(40)

Απόφαση της 12ης Μαΐου 2021, WS κατά Bundesrepublik Deutschland, C-505/19, EU:C:2021:376. Η υπόθεση αφορούσε, μεταξύ άλλων, τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα [άρθρο 4 παράγραφος 1 στοιχείο α) και άρθρο 8 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου] στο ειδικό πλαίσιο κόκκινου σήματος που εκδόθηκε από την Ιντερπόλ. Το Δικαστήριο δεν απέκλεισε τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε κόκκινο σήμα που εξέδωσε η Ιντερπόλ, έως ότου διαπιστωθεί, με τελεσίδικη δικαστική απόφαση, ότι η αρχή ne bis in idem έχει εφαρμογή στις πράξεις στις οποίες βασίζεται η εν λόγω αγγελία.

(41)

Απόφαση της 22ας Ιουνίου 2021, B κατά Latvijas Republikas Saeima, C-439/19, EU:C:2021:504. Το ΔΕΕ ερμήνευσε τον ορισμό της αρμόδιας αρχής βάσει του άρθρου 3 σημείο 7) και την έννοια του εγκλήματος. Βλ. επίσης την ενότητα που ακολουθεί.

(42)

Βλ. πρακτικά της συνεδρίασης της ομάδας εμπειρογνωμόνων της Επιτροπής, της 5ης Μαΐου 2021, σχετικά με τον κανονισμό (ΕΕ) 2016/679 και την οδηγία (ΕΕ) 2016/680 https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=el&meetingId=25283&fromExpertGroups=tru .

(43)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημείο 7.

(44)

Οι εποπτικές αρχές προστασίας δεδομένων της Ιρλανδίας, της Γαλλίας και της Ουγγαρίας εξέφρασαν την ανησυχία τους.

(45)

Άρθρο 2 παράγραφος 1 και αιτιολογικές σκέψεις 12-14 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(46)

Άρθρο 1 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(47)

Άρθρο 3 σημείο 7) της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(48)

Το άρθρο 41 της οδηγίας (ΕΕ) 2015/849 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 20ής Μαΐου 2015, σχετικά με την πρόληψη της χρησιμοποίησης του χρηματοπιστωτικού συστήματος για τη νομιμοποίηση εσόδων από παράνομες δραστηριότητες ή για τη χρηματοδότηση της τρομοκρατίας, την τροποποίηση του κανονισμού (ΕΕ) αριθ. 648/2012 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, και την κατάργηση της οδηγίας 2005/60/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και της οδηγίας 2006/70/ΕΚ της Επιτροπής, το οποίο ρυθμίζει τη λειτουργία των μονάδων χρηματοοικονομικών πληροφοριών (ΜΧΠ), αναφέρει ρητά ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει της εν λόγω οδηγίας υπόκειται στον κανονισμό (ΕΕ) 2016/679.

(49)

Απόφαση της 22ας Ιουνίου 2021, B κατά Latvijas Republikas Saeima, C-439/19, EU:C:2021:504, σκέψη 87.

(50)

Αίτηση προδικαστικής απόφασης στην υπόθεση C.G. κατά Bezirkshauptmannschaft Landeck, C-548/21.

(51)

Κεφάλαιο VI τμήμα 1 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(52)

Αιτιολογικές σκέψεις 7 και 82 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(53)

Βλ. επίσης σημείο 23 της συμβολής του ΕΣΠΔ στην αξιολόγηση της οδηγίας: 24 κράτη μέλη προέβλεπαν την εξουσία πρόσβασης σε κάθε εγκατάσταση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία, καθώς και σε κάθε εξοπλισμό και μέσο επεξεργασίας δεδομένων· 21 κράτη μέλη προέβλεπαν διαδικασία ελέγχου και 9 κράτη μέλη προέβλεπαν άλλες εξουσίες (π.χ. κατάσχεση αντικειμένων, αίτημα ακρόασης ενώπιον της εποπτικής αρχής προστασίας δεδομένων και αίτημα εκτελεστικής συνδρομής από την αστυνομία).

(54)

Άρθρο 47 παράγραφος 2 στοιχεία α) έως γ) της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(55)

18 κράτη μέλη παρείχαν τη δυνατότητα αυτή: Βουλγαρία, Τσεχία, Εσθονία, Ελλάδα, Κροατία, Ιταλία, Κύπρος, Λετονία, Λιθουανία, Λουξεμβούργο, Ουγγαρία, Μάλτα, Κάτω Χώρες, Αυστρία, Πορτογαλία, Ρουμανία, Σλοβακία και Σουηδία. Οι εποπτικές αρχές προστασίας δεδομένων σε τρία κράτη μέλη (Εσθονία, Λετονία και Αυστρία) μπορούν να επιβάλουν πρόστιμα σε φυσικά πρόσωπα (π.χ. υπαλλήλους) ή ιδιωτικές οντότητες (δηλαδή ιδιωτικές οντότητες που είναι εκτελούντες την επεξεργασία δεδομένων).

(56)

Άρθρο 52 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(57)

Άρθρο 53 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(58)

Φινλανδία και Σουηδία.

(59)

Άρθρο 53 παράγραφος 2 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(60)

Άρθρο 54 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(61)

Άρθρο 55 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(62)

Άρθρο 5 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(63)

Αίτηση προδικαστικής απόφασης στην υπόθεση NG κατά Direktor na Glavna direktsia «Natsionalna politsia» pri MVR — Sofia, C-118/22.

(64)

Άρθρο 8 παράγραφος 2 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(65)

Άρθρο 10 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(66)

Άρθρο 11 παράγραφος 1 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(67)

Άρθρο 11 παράγραφος 2 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(68)

Άρθρο 11 παράγραφος 3 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(69)

Άρθρο 15 παράγραφος 1 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(70)

Άρθρο 13 παράγραφος 3, άρθρο 16 παράγραφος 4.

(71)

Άρθρο 17 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(72)

Άρθρο 18 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(73)

Αίτηση προδικαστικής απόφασης στην υπόθεση TX κατά Bundesrepublik Deutschland, C-481/21.

(74)

Άρθρο 6 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(75)

Αίτηση προδικαστικής αποφάσεως στην υπόθεση Ministerstvo na vatreshnite raboti κατά B.C., C-205/21.

(76)

Άρθρο 7 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(77)

Η Γερμανία έχει κάνει χρήση της δυνατότητας για ορισμένους νόμους για τη μεταφορά της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου σε ομοσπονδιακό επίπεδο και σε επίπεδο ομόσπονδων κρατιδίων.

(78)

Άρθρο 63 παράγραφος 2 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(79)

Άρθρο 25 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(80)

Θέση και πορίσματα του Συμβουλίου σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, σημείο 15.

(81)

Άρθρο 15 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(82)

Άρθρο 16 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(83)

Άρθρο 13 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(84)

Άρθρο 17 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(85)

Τέσσερις εποπτικές αρχές προστασίας δεδομένων δεν συλλέγουν στατιστικά στοιχεία σχετικά με αιτήματα που λαμβάνονται δυνάμει του άρθρου 17 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(86)

Αυτά αφορούν αιτήματα που υποβλήθηκαν μετά τη μεταφορά της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου στο εθνικό δίκαιο έως τον Δεκέμβριο του 2021. Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας (επιμέρους απαντήσεις αρχών προστασίας δεδομένων).

(87)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημείο 50.

(88)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημείο 33.

(89)

Τρεις οργανώσεις (στο πλαίσιο των απαντήσεων στα ερωτηματολόγια που τους απέστειλε ο Οργανισμός Θεμελιωδών Δικαιωμάτων) ανέφεραν ότι είχαν λάβει ένα αίτημα και μία οργάνωση ανέφερε ότι είχε λάβει περισσότερα από ένα αιτήματα.

(90)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημείο 31.

(91)

Άρθρο 15 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(92)

Άρθρο 16 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(93)

Άρθρο 13 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(94)

Θέση και πορίσματα του Συμβουλίου σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, σημείο 21.

(95)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας (επιμέρους απαντήσεις αρχών προστασίας δεδομένων).

(96)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημείο 40, και θέση και πορίσματα του Συμβουλίου σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, σ. 9.

(97)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημείο 70.

(98)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημείο 70.

(99)

Άρθρο 46 παράγραφος 1 στοιχείο δ) της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(100)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, (επιμέρους απαντήσεις αρχών προστασίας δεδομένων).

(101)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημεία 41-42.

(102)

Άρθρα 32-34 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(103)

Θέση και πορίσματα του Συμβουλίου σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, σημείο 22.

(104)

Θέση και πορίσματα του Συμβουλίου σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, σημείο 25.

(105)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημεία 70 και 71, και επιμέρους απαντήσεις αρχών προστασίας δεδομένων (Γερμανία, Γαλλία, Ουγγαρία, Μάλτα, Φινλανδία).

(106)

Θέση και πορίσματα του Συμβουλίου σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, σημείο 26.

(107)

Άρθρα 30 και 31 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(108)

Τα αριθμητικά στοιχεία περιλαμβάνουν όλες τις παραβιάσεις δεδομένων που αναφέρθηκαν από τη μεταφορά της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου στο εθνικό δίκαιο έως τον Δεκέμβριο του 2021. Τα δεδομένα συγκεντρώθηκαν από τις εποπτικές αρχές προστασίας δεδομένων τον Δεκέμβριο του 2021.

(109)

Ισπανία, Κροατία, Λιθουανία, Πορτογαλία, Σλοβενία και Σλοβακία.

(110)

Έγγραφο εργασίας της Επιτροπής, ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό

Κοινοβούλιο και το Συμβούλιο με τίτλο «Η προστασία των δεδομένων ως πυλώνας της ενδυνάμωσης των πολιτών και της προσέγγισης της ΕΕ στην ψηφιακή μετάβαση — δύο έτη εφαρμογής του Γενικού Κανονισμού για την Προστασία Δεδομένων» [COM(2020) 264 final].

(111)

EDPB Guideline 01/2021 on examples regarding personal data breach notification (Κατευθυντήρια γραμμή 01/2021 του ΕΣΠΔ σχετικά με παραδείγματα που αφορούν τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα), εκδόθηκε στις 14 Δεκεμβρίου 2021. https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012021_pdbnotification_adopted_en.pdf .

(112)

Άρθρο 42 παράγραφος 4 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(113)

(114)

Θέση και πορίσματα του Συμβουλίου σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, σημείο 12.

(115)

Contribution of the EDPB to the evaluation of the GDPR under Article 97 (Συμβολή του ΕΣΠΔ στην αξιολόγηση του ΓΚΠΔ βάσει του άρθρου 97), 18 Φεβρουαρίου 2020, σ. 26-29.

https://edpb.europa.eu/sites/default/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf ·

EDPB overview on resources made available by Member States to the data protection authorities and on enforcement actions by the data protection authorities (Επισκόπηση του ΕΣΠΔ σχετικά με τους πόρους που διατίθενται από τα κράτη μέλη στις αρχές προστασίας δεδομένων και σχετικά με τα μέτρα επιβολής από τις αρχές προστασίας δεδομένων) (στο εξής: επισκόπηση του ΕΣΠΔ σχετικά με τους πόρους), 5 Αυγούστου 2021, σ. 4-5.

https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/overview-resources-made-available-member-states-data_en .

(116)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημείο 65, και διάγραμμα για την Ε41, σ. 20.

(117)

Η Γερμανία ανέφερε σημαντική αύξηση από 33 σε 53 ΙΠΑ μεταξύ 2017 και 2021.

(118)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, διάγραμμα για την Ε41, σ. 20. Επισκόπηση του ΕΣΠΔ σχετικά με τους πόρους, σ. 5.

(119)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, διάγραμμα για την Ε41, σ. 19.

(120)

Βέλγιο, Δανία, Ιρλανδία, Ελλάδα, Λετονία, Λουξεμβούργο, Ουγγαρία, Μάλτα, Αυστρία και Φινλανδία.

(121)

Γερμανία και Γαλλία.

(122)

Γαλλία και Σουηδία.

(123)

Κάτω Χώρες.

(124)

Η Ιρλανδία έχει λάβει 135 καταγγελίες σχετικά με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου από το 2018, η Ουγγαρία έχει λάβει 141 από το 2018 και η Δανία έχει λάβει 223 καταγγελίες από το 2017. Αντίθετα, υπήρξαν χιλιάδες καταγγελίες που σχετίζονται με τον ΓΚΠΔ (βλ. επισκόπηση του ΕΣΠΔ σχετικά με τους πόρους, σ. 10).

(125)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημείο 69.

(126)

Οι εποπτικές αρχές προστασίας δεδομένων της Ιρλανδίας, της Μάλτας και των Κάτω Χωρών ανέφεραν ότι διεξήγαγαν έρευνες με δική τους πρωτοβουλία. Οι εποπτικές αρχές προστασίας δεδομένων της Ελλάδας, της Ισπανίας, της Λιθουανίας και της Ουγγαρίας διεξήγαγαν έρευνες βάσει καταγγελιών. Οι εποπτικές αρχές προστασίας δεδομένων του Βελγίου, της Βουλγαρίας, της Δανίας, της Γερμανίας, της Γαλλίας, της Ιταλίας, του Λουξεμβούργου, της Αυστρίας, της Πολωνίας, της Σλοβενίας και της Σουηδίας διεξήγαγαν έρευνες τόσο με δική τους πρωτοβουλία όσο και βάσει καταγγελιών.

(127)

Οι γερμανικές και οι ουγγρικές εποπτικές αρχές προστασίας δεδομένων δήλωσαν ότι δεν είχαν λάβει όλες τις απαραίτητες πληροφορίες και/ή ότι ο υπεύθυνος επεξεργασίας τούς αρνήθηκε την πρόσβαση στις απαραίτητες πληροφορίες. Οι γερμανικές αρχές ανέφεραν ότι δεν προβλέπεται παρόμοια εξουσία με το άρθρο 58 παράγραφος 1 στοιχείο α) του ΓΚΠΔ.

(128)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημείο 30 και οι επιμέρους απαντήσεις των αρχών της Αυστρίας και του Λουξεμβούργου.

(129)

Οι εποπτικές αρχές προστασίας δεδομένων της Δανίας και της Λιθουανίας ανέφεραν ότι ζητήθηκε προηγούμενη διαβούλευση από αυτές μόνο μία φορά. Η εποπτική αρχή προστασίας δεδομένων του Βελγίου έλαβε 59 προηγούμενες διαβουλεύσεις.

(130)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημείο 39.

(131)

Οι εποπτικές αρχές προστασίας δεδομένων της Τσεχίας, της Ελλάδας, της Κροατίας, της Λετονίας και της Σουηδίας ανέφεραν ότι δεν εξέδωσαν γνώμες. Διαβούλευση με τις εποπτικές αρχές προστασίας δεδομένων της Ελλάδας, της Κροατίας, της Λετονίας, της Πολωνίας, της Ρουμανίας, της Σλοβενίας και της Σλοβακίας διενεργήθηκε μόνο σε περιστασιακή βάση.

(132)

Η παρατήρηση αυτή βασίζεται στις απαντήσεις που ελήφθησαν από τις εποπτικές αρχές προστασίας δεδομένων του Βελγίου, της Βουλγαρίας, της Γερμανίας, της Εσθονίας, της Ιρλανδίας, της Ιταλίας, της Ουγγαρίας, των Κάτω Χωρών, της Αυστρίας, της Πολωνίας, της Φινλανδίας και της Σουηδίας.

(133)

Αιτιολογική σκέψη 7 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(134)

https://edpb.europa.eu/sites/default/files/files/file1/recommendations012021onart.36led.pdf_en.pdf .

(135)

EDPB Guideline 05/2022 on the use of facial recognition technology in the area of law enforcement (Κατευθυντήρια γραμμή 05/2022 του ΕΣΠΔ για τη χρήση της τεχνολογίας αναγνώρισης προσώπου στον τομέα της επιβολής του νόμου), εκδόθηκε στις 12 Μαΐου 2022, έκδοση για δημόσια διαβούλευση, διαθέσιμη στη διεύθυνση https://edpb.europa.eu/system/files/2022-05/edpb-guidelines_202205_frtlawenforcement_en_1.pdf .

(136)

Article 29 Working Party Opinion on some key issues of the Law Enforcement Directive (EU 2016/680) {Γνώμη της ομάδας εργασίας του άρθρου 29 σχετικά με ορισμένα βασικά ζητήματα της οδηγίας για την επιβολή του νόμου [οδηγία (ΕΕ) 2016/680]}, WP 258, εκδόθηκε στις 29 Νοεμβρίου 2017, διατίθεται στη διεύθυνση https://ec.europa.eu/newsroom/article29/items/610178/en .

(137)

Κατευθυντήριες γραμμές 07/2020 του ΕΣΠΔ σχετικά με τις έννοιες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία στον ΓΚΠΔ, που εκδόθηκαν στις 7 Ιουλίου 2021 και είναι διαθέσιμες στη διεύθυνση https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_el.pdf .

(138)

EDPB Guidelines 01/2022 on data subject rights - right of access (Κατευθυντήριες γραμμές 01/2022 του ΕΣΠΔ σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων — δικαίωμα πρόσβασης), που εκδόθηκαν στις 18 Ιανουαρίου 2022, έκδοση για δημόσια διαβούλευση, και είναι διαθέσιμες στη διεύθυνση https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf .

(139)

Κατευθυντήριες γραμμές της ομάδας εργασίας του άρθρου 29 σχετικά με την κοινοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα δυνάμει του κανονισμού 2016/679, WP 250rev.01, οι οποίες αναθεωρήθηκαν τελευταία στις 6 Φεβρουαρίου 2018 και εγκρίθηκαν από το ΕΣΠΔ στις 25 Μαΐου 2018, διαθέσιμες στη διεύθυνση https://ec.europa.eu/newsroom/article29/items/612052/en · EDPB Guidelines 01/2021 on examples regarding personal data breach notification (Κατευθυντήριες γραμμές 01/2021 του ΕΣΠΔ σχετικά με παραδείγματα που αφορούν τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα), που εκδόθηκαν στις 14 Δεκεμβρίου 2021 και είναι διαθέσιμες στη διεύθυνση https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012021_pdbnotification_adopted_en.pdf .

(140)

Κατευθυντήριες γραμμές της ομάδας εργασίας του άρθρου 29 για την εκτίμηση του αντικτύπου σχετικά με την προστασία των δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον

η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο» για τους σκοπούς του κανονισμού 2016/679, WP 248 αναθ.01, οι οποίες αναθεωρήθηκαν τελευταία στις 4 Οκτωβρίου 2017 και εγκρίθηκαν από το ΕΣΠΔ στις 25 Μαΐου 2018, διατίθενται στη διεύθυνση https://ec.europa.eu/newsroom/article29/items/611236 .

(141)

Κατευθυντήριες γραμμές 4/2019 του ΕΣΠΔ σχετικά με το άρθρο 25 — Προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, οι οποίες εκδόθηκαν στις 20 Οκτωβρίου 2020 και είναι διαθέσιμες στη διεύθυνση https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_el.pdf .

(142)

Κατευθυντήριες γραμμές της ομάδας εργασίας του άρθρου 29 για την αυτοματοποιημένη λήψη αποφάσεων και την κατάρτιση προφίλ για τους σκοπούς του κανονισμού 2016/679, WP 251αναθ.01, οι οποίες αναθεωρήθηκαν τελευταία στις 6 Φεβρουαρίου 2018 και εγκρίθηκαν από το ΕΣΠΔ στις 25 Μαΐου 2018· είναι διαθέσιμες στη διεύθυνση https://ec.europa.eu/newsroom/article29/items/612053/en .

(143)

Θέση και πορίσματα του Συμβουλίου σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, σημείο 14.

(144)

Συμβολή του ΕΣΠΔ στην αξιολόγηση της οδηγίας του ΕΣΠΔ στην αξιολόγηση της οδηγίας, σημείο 39.

(145)

Άρθρο 50 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(146)

EDPB Work Programme 2021 / 2022 (Πρόγραμμα εργασίας του ΕΣΠΔ 2021/2022), edpb_workprogramme_2021-2022_en.pdf (europa.eu) .

(147)

Βλ. άρθρο 35 παράγραφος 3 και αιτιολογική σκέψη 64 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου. Όσον αφορά τις περαιτέρω διαβιβάσεις, βλ. άρθρο 35 παράγραφος 1 στοιχείο ε) και αιτιολογική σκέψη 65 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(148)

Εκτελεστική απόφαση της Επιτροπής, της 28ης Ιουνίου 2021, σύμφωνα με την οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με την επάρκεια της παρεχόμενης από το Ηνωμένο Βασίλειο προστασίας των δεδομένων προσωπικού χαρακτήρα, διαθέσιμη στη διεύθυνση: https://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:32021D1773&qid=1657287039724&from=EN .

(149)

Βλ. άρθρο 35 παράγραφος 1 στοιχείο γ), άρθρο 35 παράγραφος 2 και αιτιολογική σκέψη 66 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(150)

Βλ. άρθρο 525 παράγραφος 1 της ΣΕΣ.

(151)

Βλ. αιτιολογικές σκέψεις 172 έως 174 της απόφασης σχετικά με την επάρκεια της προστασίας των δεδομένων προσωπικού χαρακτήρα από το Ηνωμένο Βασίλειο: Οδηγία για την επιβολή του νόμου, 28 Ιουνίου 2021, διαθέσιμη στη διεύθυνση https://ec.europa.eu/info/files/decision-adequate-protection-personal-data-united-kingdom-law-enforcement-directive_el .

(152)

Συστάσεις 01/2021 του ΕΣΔΠ σχετικά με τα σημεία αναφοράς για την επάρκεια βάσει της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, εκδόθηκαν στις 2 Φεβρουαρίου 2021. Βλ. επίσης άρθρο 36 παράγραφος 2 και αιτιολογική σκέψη 67 της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(153)

Βλ. ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, Ανταλλαγή και προστασία των δεδομένων προσωπικού χαρακτήρα σε έναν παγκοσμιοποιημένο κόσμο [COM(2017) 7 final, σ. 13].

(154)

Θέση και πορίσματα του Συμβουλίου σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, σημείο 18.

(155)

Στην ανακοίνωσή της σχετικά με τη μελλοντική πορεία όσον αφορά την εναρμόνιση του πρώην τρίτου πυλώνα με τους κανόνες προστασίας των δεδομένων, η Επιτροπή κατέληξε στο συμπέρασμα ότι αρκετές υφιστάμενες συμφωνίες δεν απαιτούν περαιτέρω εναρμόνιση με την οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου (π.χ. η συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης και της Δημοκρατίας της Ισλανδίας και του Βασιλείου της Νορβηγίας για την εφαρμογή ορισμένων διατάξεων της σύμβασης της 29ης Μαΐου 2000 για την αμοιβαία δικαστική συνδρομή επί ποινικών υποθέσεων μεταξύ των κρατών μελών της Ευρωπαϊκής Ένωσης και το προσαρτημένο σ’ αυτήν πρωτόκολλο του 2001).

(156)

Για περισσότερες πληροφορίες σχετικά με τις υφιστάμενες συμφωνίες με την Ευρωπόλ, βλ. τον ιστότοπο της Ευρωπόλ στη διεύθυνση: https://www.europol.europa.eu/partners-collaboration/agreements .

(157)

Βλ. άρθρο 25 παράγραφος 4 του κανονισμού (ΕΕ) 2016/794 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαΐου 2016, για τον Οργανισμό της Ευρωπαϊκής Ένωσης για τη Συνεργασία στον Τομέα της Επιβολής του Νόμου (Ευρωπόλ) και την αντικατάσταση και κατάργηση των αποφάσεων του Συμβουλίου 2009/371/ΔΕΥ, 2009/934/ΔΕΥ, 2009/935/ΔΕΥ, 2009/936/ΔΕΥ και 2009/968/ΔΕΥ (ΕΕ L 135 της 24.5.2016, σ. 53).

(158)

Ενοποιημένη απόδοση της Συνθήκης για την Ευρωπαϊκή Ένωση, (ΕΕ C 202 της 7.6.2016), διαθέσιμη στη διεύθυνση https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=CELEX%3A02016M%2FTXT-20200301 .

(159)

Αιτιολογική σκέψη 35 του κανονισμού για την Ευρωπόλ.

(160)

Η Επιτροπή, εξ ονόματος της Ευρωπαϊκής Ένωσης, και οι Ηνωμένες Πολιτείες συμμετείχαν ενεργά σ’ αυτές τις διαπραγματεύσεις, μεταξύ άλλων στο πλαίσιο της ειδικής υποομάδας για την προστασία των δεδομένων (η προστασία των δεδομένων είναι ένα από τα θέματα που συζητήθηκαν πιο έντονα).

(161)

Βλ. ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο Ανταλλαγή και προστασία των δεδομένων προσωπικού χαρακτήρα σε έναν παγκοσμιοποιημένο κόσμο [COM(2017) 7 final, σ. 14].

(162)

Συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, αφενός, και της Νέας Ζηλανδίας, αφετέρου, όσον αφορά την ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ του Οργανισμού της Ευρωπαϊκής Ένωσης για τη Συνεργασία στον Τομέα της Επιβολής του Νόμου (Ευρωπόλ) και των αρχών της Νέας Ζηλανδίας που είναι αρμόδιες για την καταπολέμηση του σοβαρού εγκλήματος και της τρομοκρατίας.

(163)

Συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης και της Ιαπωνίας για την αμοιβαία δικαστική συνδρομή επί ποινικών υποθέσεων (ΕΕ L 39 της 12.2.2010, σ. 20) https://eur-lex.europa.eu/legal-content/EL/ALL/?uri=CELEX%3A22010A0212%2801%29 .

(164)

Απόφαση του Συμβουλίου για την έγκριση της έναρξης διαπραγματεύσεων με την Ιαπωνία με σκοπό την τροποποίηση της συμφωνίας μεταξύ της Ευρωπαϊκής Ένωσης και της Ιαπωνίας για την αμοιβαία δικαστική συνδρομή επί ποινικών υποθέσεων (έγγραφο LT 223/21).

(165)

Μετά την έγκριση εντολής από το Συμβούλιο της Ευρωπαϊκής Ένωσης στις 6 Ιουνίου 2019. Η εντολή είναι διαθέσιμη στη διεύθυνση https://www.consilium.europa.eu/el/press/press-releases/2019/06/06/council-gives-mandate-to-commission-to-negotiate-international-agreements-on-e-evidence-in-criminal-matters/ .

(166)

Το δεύτερο πρόσθετο πρωτόκολλο της σύμβασης για το έγκλημα στον κυβερνοχώρο σχετικά με την ενίσχυση της συνεργασίας και τη γνωστοποίηση ηλεκτρονικών αποδεικτικών στοιχείων εγκρίθηκε από την Επιτροπή Υπουργών του Συμβουλίου της Ευρώπης στις 17 Νοεμβρίου 2021. Εκπονήθηκε από την επιτροπή της σύμβασης για το έγκλημα στον κυβερνοχώρο (T-CY) μεταξύ Σεπτεμβρίου 2017 και Μαΐου 2021. Το κείμενο του πρωτοκόλλου (επικυρωμένο αντίγραφο) είναι διαθέσιμο στη διεύθυνση https://rm.coe.int/1680a4b2e1 . Η επεξηγηματική έκθεση του πρωτοκόλλου είναι επίσης διαθέσιμη στη διεύθυνση https://rm.coe.int/1680a49c9d .

(167)

Βλ. άρθρο 14 του πρόσθετου πρωτοκόλλου, σε συνδυασμό με τα σημεία 220-287 της αιτιολογικής έκθεσης.

(168)

Στη γνώμη αριθ. 1/2022 του ΕΕΠΔ, της 20ής Ιανουαρίου 2022, σχετικά με τα σχέδια αποφάσεων του Συμβουλίου που εγκρίνουν την υπογραφή και την επικύρωση του πρόσθετου πρωτοκόλλου, ο ΕΕΠΔ «σημειώνει θετικά τις πολλές εγγυήσεις που έχουν συμπεριληφθεί στο πρωτόκολλο».

(169)

Απόφαση του Συμβουλίου με την οποία εγκρίνεται η έναρξη διαπραγματεύσεων με σκοπό τη σύναψη συμφωνίας μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής σχετικά με τη διασυνοριακή πρόσβαση σε ηλεκτρονικά αποδεικτικά στοιχεία στο πλαίσιο της δικαστικής συνεργασίας σε ποινικές υποθέσεις. Η εντολή είναι διαθέσιμη στον ακόλουθο σύνδεσμο: https://data.consilium.europa.eu/doc/document/ST-9114-2019-INIT/el/pdf .

(170)

Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την ευρωπαϊκή εντολή υποβολής και την ευρωπαϊκή εντολή διατήρησης ηλεκτρονικών αποδεικτικών στοιχείων σε ποινικές υποθέσεις [COM(2018) 225 final], και πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τη θέσπιση εναρμονισμένων κανόνων για τον ορισμό νόμιμων εκπροσώπων με σκοπό τη συγκέντρωση αποδεικτικών στοιχείων στο πλαίσιο ποινικών διαδικασιών [COM(2018) 226 final].

(171)

ΕΣΠΔ, Δήλωση 02/2021 σχετικά με το νέο σχέδιο διατάξεων του δεύτερου πρόσθετου πρωτοκόλλου της σύμβασης του Συμβουλίου της Ευρώπης για το έγκλημα στον κυβερνοχώρο (σύμβαση της Βουδαπέστης), εκδόθηκε στις 2 Φεβρουαρίου 2021, διατίθεται στη διεύθυνση https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-022021-new-draft-provisions-second-additional_el .

(172)

ΕΕΠΔ, Opinion 04/2021 on the review of Europol’s mandate (Γνώμη αριθ. 04/2021 σχετικά με την επανεξέταση της εντολής της Ευρωπόλ), εγκρίθηκε στις 8 Μαρτίου 2021, διατίθεται στη διεύθυνση https://edps.europa.eu/data-protection/our-work/publications/opinions/edps-opinion-proposal-amendment-europol-regulation_en .

(173)

ΕΣΠΔ, Δήλωση 04/2021 σχετικά με τις διεθνείς συμφωνίες που περιλαμβάνουν διαβιβάσεις, εκδόθηκε στις 13 Απριλίου 2021. Είναι διαθέσιμη στη διεύθυνση https://edpb.europa.eu/system/files/2022-05/edpb_statement042021_international_agreements_including_transfers_el_0.pdf .

(174)

Βλ. την έκθεση της προεδρίας του Συμβουλίου με τίτλο «Presidency Report on the Exchange of police data with third countries - Experiences in the application of Article 37 of Law Enforcement Directive» (Έκθεση της προεδρίας σχετικά με την ανταλλαγή αστυνομικών δεδομένων με τρίτες χώρες — Εμπειρίες από την εφαρμογή του άρθρου 37 της οδηγίας για την επιβολή του νόμου). Το ΕΣΠΔ ανακοίνωσε ότι θα συμπεριλάβει τα συμπεράσματα της έκθεσης της προεδρίας μαζί με περαιτέρω πληροφορίες και παρατηρήσεις από τα κράτη μέλη στις προσπάθειές του να καταρτίσει κατευθυντήριες γραμμές σχετικά με το άρθρο 37 της οδηγίας. Βλ. επιστολή του προέδρου του ΕΣΠΔ, της 26ης Φεβρουαρίου 2021, προς τη Μόνιμη Αντιπροσωπεία της Ομοσπονδιακής Δημοκρατίας της Γερμανίας στην Ευρωπαϊκή Ένωση (έγγραφο 13555/1/20).

(175)

Βλ. θέση και πορίσματα του Συμβουλίου σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, σημείο 20.

(176)

Άρθρο 38 παράγραφος 1 στοιχείο γ) της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(177)

Άρθρο 38 παράγραφος 1 στοιχείο δ) της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου.

(178)

Για παράδειγμα, το δεύτερο πρόσθετο πρωτόκολλο της Σύμβασης της Βουδαπέστης θα μπορούσε να θεωρηθεί διεθνής συμφωνία για τους σκοπούς του άρθρου 48 του ΓΚΠΔ.

(179)

Βλ.: https://www.coe.int/en/web/cybercrime/glacyplus .

(180)

Πρωτόκολλο για την τροποποίηση της σύμβασης για την προστασία των ατόμων σε σχέση με την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα, εγκρίθηκε από την Επιτροπή Υπουργών κατά την 128η σύνοδό της στο Elsinore στις 18 Μαΐου 2018 (σύμβαση 108+), διατίθεται στη διεύθυνση https://rm.coe.int/convention-108-convention-for-the-protection-of-individuals-with-regar/16808b36f1.

(181)

Βλ., για παράδειγμα, τον πρακτικό οδηγό για τη χρήση δεδομένων προσωπικού χαρακτήρα στον αστυνομικό τομέα (Practical guide on the use of personal data in the police sector), ο οποίος διατίθεται στη διεύθυνση https://rm.coe.int/t-pd-201-01-practical-guide-on-the-use-of-personal-data-in-the-police-/16807927d5 .

(182)

Έγγραφο του ΕΣΠΔ με τίτλο «EDPB Document on Terms of Reference of the EDPB Support Pool of Experts» σχετικά με τους όρους εντολής της ομάδας υποστήριξης εμπειρογνωμόνων του ΕΣΠΔ, εκδόθηκε στις 15 Δεκεμβρίου 2020.