22.6.2011   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 181/1

1.

Στις 4 Νοεμβρίου 2010, η Επιτροπή εξέδωσε ανακοίνωση με τίτλο «Συνολική προσέγγιση όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση» (στο εξής η «ανακοίνωση») (3). Η ανακοίνωση διαβιβάσθηκε στον ΕΕΠΔ και ζητήθηκε η γνώμη του. Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι η Επιτροπή ζήτησε τη γνώμη του, σύμφωνα με το άρθρο 41 του κανονισμού (ΕΚ) αριθ. 45/2001. Ήδη πριν από την έγκριση της ανακοίνωσης, είχε παρασχεθεί η ευκαιρία στον ΕΕΠΔ να διατυπώσει άτυπες παρατηρήσεις. Ορισμένες από τις παρατηρήσεις αυτές λήφθηκαν υπόψη στην τελική έκδοση του εγγράφου.

2.

Στόχος της ανακοίνωσης είναι να καθορίσει την προσέγγιση της Επιτροπής για την αναθεώρηση του νομικού συστήματος της ΕΕ για την προστασία των δεδομένων προσωπικού χαρακτήρα σε όλους τους τομείς των δραστηριοτήτων της Ένωσης, λαμβάνοντας ιδίως υπόψη τις προκλήσεις που θέτουν η παγκοσμιοποίηση και οι νέες τεχνολογίες (4).

3.

Ο ΕΕΠΔ χαιρετίζει γενικά την ανακοίνωση, όντας πεπεισμένος ότι η αναθεώρηση του ισχύοντος νομικού πλαισίου για την προστασία των δεδομένων στην ΕΕ είναι αναγκαία προκειμένου να διασφαλίζεται αποτελεσματική προστασία σε μια συνεχώς αναπτυσσόμενη κοινωνία των πληροφοριών. Ήδη στη γνωμοδότησή του της 25ης Ιουλίου 2007 σχετικά με την εφαρμογή της οδηγίας για την προστασία των δεδομένων (5) ο ΕΕΠΔ είχε διαπιστώσει ότι, μακροπρόθεσμα, η τροποποίηση της οδηγίας 95/46/ΕΚ φαινόταν αναπόφευκτη.

4.

Η ανακοίνωση αποτελεί σημαντικό βήμα προς την κατεύθυνση μιας τέτοιας νομοθετικής τροποποίησης, η οποία με τη σειρά της θα είναι η σημαντικότερη εξέλιξη στον τομέα της προστασίας των δεδομένων στην ΕΕ από την θέσπιση της οδηγίας 95/46/ΕΚ, η οποία θεωρείται γενικά ο ακρογωνιαίος λίθος της προστασίας των δεδομένων στην Ευρωπαϊκή Ένωση (και ευρύτερα στον Ευρωπαϊκό Οικονομικό Χώρο).

5.

Η ανακοίνωση παρέχει επίσης το κατάλληλο πλαίσιο για μια καλά στοχοθετημένη αναθεώρηση, επειδή προσδιορίζει γενικά τα κύρια θέματα και τις κύριες προκλήσεις. Ο ΕΕΠΔ συμμερίζεται την άποψη της Επιτροπής ότι η ύπαρξη ενός ισχυρού συστήματος προστασίας των δεδομένων θα συνεχίσει να απαιτείται και στο μέλλον, καθώς οι υφιστάμενες γενικές αρχές προστασίας των δεδομένων εξακολουθούν να ισχύουν σε μια κοινωνία η οποία διέρχεται από θεμελιώδεις αλλαγές λόγω των ταχέων τεχνολογικών εξελίξεων και της παγκοσμιοποίησης. Το γεγονός αυτό απαιτεί την αναθεώρηση των υφιστάμενων νομοθετικών ρυθμίσεων.

6.

Η ανακοίνωση τονίζει ορθώς ότι οι προκλήσεις είναι τεράστιες. Ο ΕΕΠΔ συμμερίζεται πλήρως τη δήλωση αυτή και υπογραμμίζει ότι οι προτεινόμενες λύσεις πρέπει, συνεπώς, να είναι αντίστοιχα φιλόδοξες και να βελτιώνουν την αποτελεσματικότητα της προστασίας.

7.

Η παρούσα γνωμοδότηση αξιολογεί τις προτεινόμενες στην ανακοίνωση λύσεις βάσει δύο κριτηρίων: της φιλοδοξίας και της αποτελεσματικότητας. Η θεώρησή της είναι γενικά θετική. Ο ΕΕΠΔ υποστηρίζει την ανακοίνωση, αλλά ταυτόχρονα ασκεί κριτική σε πτυχές για τις οποίες φρονεί ότι η θέσπιση πιο φιλόδοξων στόχων θα έχει ως αποτέλεσμα ένα αποτελεσματικότερο σύστημα.

8.

Στόχος του ΕΕΠΔ είναι να συνεισφέρει με την παρούσα γνωμοδότηση στην περαιτέρω ανάπτυξη του νομικού πλαισίου για την προστασία των δεδομένων. Προσδοκά την πρόταση της Επιτροπής, η οποία αναμένεται έως τα μέσα του 2011, και ευελπιστεί ότι οι εισηγήσεις του θα ληφθούν υπόψη στη διατύπωση της εν λόγω πρότασης. Σημειώνει επίσης ότι η ανακοίνωση φαίνεται να εξαιρεί από τη γενική πράξη ορισμένους τομείς, όπως την επεξεργασία δεδομένων από τα θεσμικά όργανα και τους οργανισμούς της ΕΕ. Εάν η Επιτροπή αποφασίσει πράγματι να εξαιρέσει ορισμένους τομείς στο παρόν στάδιο — πράγμα για το οποίο ο ΕΕΠΔ εκφράζει τη λύπη του– ο ΕΕΠΔ καλεί την Επιτροπή να δεσμευθεί ότι θα αναπτύξει ένα πλήρες και συνολικό πλαίσιο σύντομα και εντός καθορισμένης προθεσμίας.

9.

Η παρούσα γνωμοδότηση συνδέεται με, και βασίζεται σε, προηγούμενες θέσεις που υιοθέτησαν ο ΕΕΠΔ και οι ευρωπαϊκές αρχές προστασίας των δεδομένων σε διάφορες περιπτώσεις. Ειδικότερα, πρέπει να υπογραμμισθεί ότι στην προαναφερθείσα γνωμοδότηση του ΕΕΠΔ της 25ης Ιουλίου 2007 εντοπίζονταν και αναπτύσσονταν μερικά βασικά στοιχεία των μελλοντικών αλλαγών (6). Η γνωμοδότηση βασίζεται επίσης σε συζητήσεις με άλλους ενδιαφερομένους στους τομείς της ιδιωτικής ζωής και της προστασίας των δεδομένων. Οι συνεισφορές τους αποτέλεσαν ιδιαίτερα χρήσιμη βάση τόσο για την ανακοίνωση όσο και για την παρούσα γνωμοδότηση. Συναφώς, μπορούμε να διαπιστώσουμε ότι υπάρχει ένας βαθμός συνέργειας σχετικά με το πώς πρέπει να βελτιωθεί η αποτελεσματικότητα της προστασίας των δεδομένων.

10.

Ένα ακόμη σημαντικό συστατικό στοιχείο της παρούσας γνωμοδότησης είναι το έγγραφο με τίτλο «The Future of Privacy» (Το μέλλον της ιδιωτικής ζωής), η κοινή συνεισφορά της ομάδας εργασίας για την προστασία των δεδομένων του άρθρου 29 και της ομάδας εργασίας «Αστυνομία και Δικαιοσύνη» στη διαβούλευση που δρομολόγησε η Επιτροπή το 2009 (στο εξής το «έγγραφο της ομάδας εργασίας σχετικά με το μέλλον της ιδιωτικής ζωής») (7).

11.

Πιο πρόσφατα, σε συνέντευξη Τύπου στις 15 Νοεμβρίου 2010, ο ΕΕΠΔ παρουσίασε τις πρώτες σκέψεις του όσον αφορά την ανακοίνωση. Στην παρούσα γνωμοδότηση αναπτύσσονται οι γενικότερες απόψεις που παρουσιάσθηκαν κατά τη συνέντευξη Τύπου (8).

12.

Τέλος, η παρούσα γνωμοδότηση αξιοποιεί διάφορες προηγούμενες γνωμοδοτήσεις του ΕΕΠΔ καθώς και έγγραφα της ομάδας εργασίας για την προστασία των δεδομένων του άρθρου 29. Παραπομπές στις εν λόγω γνωμοδοτήσεις και στα έγγραφα γίνονται σε διάφορα σημεία της γνωμοδότησης, όπου συντρέχει περίπτωση.

13.

Η αναθεώρηση των κανόνων για την προστασία των δεδομένων συμβαίνει σε μια κρίσιμη ιστορική συγκυρία. Η ανακοίνωση περιγράφει το πλαίσιο εκτενώς και με πειστικό τρόπο. Βάσει της περιγραφής αυτής, ο ΕΕΠΔ προσδιορίζει τους τέσσερις κύριους παράγοντες που καθορίζουν το περιβάλλον στο οποίο λαμβάνει χώρα η διαδικασία αναθεώρησης.

14.

Ο πρώτος παράγοντας είναι η τεχνολογική εξέλιξη. Η σημερινή τεχνολογία δεν είναι ίδια με εκείνη που υπήρχε όταν σχεδιάσθηκε και εγκρίθηκε η οδηγία 95/46/EK. Τεχνολογικά φαινόμενα, όπως το υπολογιστικό νέφος, η συμπεριφορική διαφήμιση, τα κοινωνικά δίκτυα, η είσπραξη διοδίων και οι συσκευές γεωγραφικού εντοπισμού, άλλαξαν βαθιά τον τρόπο επεξεργασίας των δεδομένων και θέτουν τεράστιες προκλήσεις για την προστασία των δεδομένων. Η αναθεώρηση των ευρωπαϊκών κανόνων για την προστασία των δεδομένων θα πρέπει να αντιμετωπίσει τις προκλήσεις αυτές με αποτελεσματικό τρόπο.

15.

Ο δεύτερος παράγοντας είναι η παγκοσμιοποίηση. Η σταδιακή κατάργηση των εμπορικών φραγμών προσέδωσε στις επιχειρήσεις ολοένα και μεγαλύτερη παγκόσμια διάσταση. Η διασυνοριακή επεξεργασία δεδομένων και οι διεθνείς διαβιβάσεις αυξήθηκαν εντυπωσιακά τα τελευταία χρόνια. Επιπλέον, η επεξεργασία των δεδομένων είναι πανταχού παρούσα λόγω των τεχνολογιών των πληροφοριών και των επικοινωνιών: το Διαδίκτυο και το υπολογιστικό νέφος κατέστησαν εφικτή τη μεταφορά της επεξεργασίας μεγάλων ποσοτήτων δεδομένων σε άλλους τόπους, σε παγκόσμια κλίμακα. Την τελευταία δεκαετία καταγράφεται επίσης αύξηση των διεθνών αστυνομικών και δικαστικών δραστηριοτήτων για την καταπολέμηση της τρομοκρατίας και άλλων μορφών διεθνούς οργανωμένης εγκληματικότητας, οι οποίες υποστηρίζονται από τεράστια ανταλλαγή πληροφοριών για σκοπούς επιβολής του νόμου. Όλα αυτά απαιτούν να εξετασθεί σοβαρά ο τρόπος με τον οποίο μπορεί να διασφαλισθεί αποτελεσματικά η προστασία των δεδομένων προσωπικού χαρακτήρα στον παγκοσμιοποιημένο κόσμο χωρίς να παρεμποδίζονται σημαντικά οι διεθνείς δραστηριότητες επεξεργασίας.

16.

Ο τρίτος παράγοντας είναι η συνθήκη της Λισαβόνας. Η έναρξη ισχύος της συνθήκης της Λισαβόνας σηματοδοτεί μια νέα εποχή για την προστασία των δεδομένων. Το άρθρο 16 ΣΛΕΕ δεν περιέχει απλώς ένα ατομικό δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα, αλλά παρέχει επίσης άμεση νομική βάση για ισχυρή νομοθεσία για την προστασία των δεδομένων σε ολόκληρη την ΕΕ. Επιπλέον, η κατάργηση της δομής των πυλώνων υποχρεώνει το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο να προβλέπουν την προστασία των δεδομένων σε όλους τους τομείς της νομοθεσίας της ΕΕ. Με άλλα λόγια, επιτρέπει ένα συνολικό νομικό πλαίσιο για την προστασία των δεδομένων, το οποίο θα εφαρμόζεται στον ιδιωτικό τομέα, στον δημόσιο τομέα στα κράτη μέλη και στα θεσμικά όργανα και στους οργανισμούς της ΕΕ. Συναφώς, το Πρόγραμμα της Στοκχόλμης (9) ορίζει ότι η Ένωση πρέπει να διασφαλίσει συνολική στρατηγική για την προστασία των δεδομένων στο εσωτερικό της και στο πλαίσιο των σχέσεών της με τρίτες χώρες.

17.

Τον τέταρτο παράγοντα αποτελούν οι παράλληλες εξελίξεις που λαμβάνουν χώρα στο πλαίσιο διεθνών οργανισμών. Διάφοροι διάλογοι βρίσκονται σε εξέλιξη, οι οποίοι επικεντρώνονται στον εκσυγχρονισμό των υφιστάμενων νομικών πράξεων για την προστασία των δεδομένων. Είναι σημαντικό να αναφερθούν οι τρέχοντες συναφείς προβληματισμοί σε ό,τι αφορά τη μελλοντική αναθεώρηση της σύμβασης αριθ. 108 του Συμβουλίου της Ευρώπης (10) και των κατευθυντήριων γραμμών του ΟΟΣΑ για την προστασία της ιδιωτικής ζωής (11). Μια ακόμη σημαντική εξέλιξη αφορά τη θέσπιση διεθνών προτύπων για την προστασία των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής, η οποία ενδέχεται να οδηγήσει στη θέσπιση μιας παγκόσμιας δεσμευτικής πράξης για την προστασία των δεδομένων. Όλες αυτές οι πρωτοβουλίες αξίζουν την πλήρη στήριξή μας. Κοινός στόχος τους πρέπει να είναι η διασφάλιση αποτελεσματικής και συνεπούς προστασίας σε ένα παγκοσμιοποιημένο περιβάλλον που καθοδηγείται από την τεχνολογία.

18.

Το ισχυρό πλαίσιο για την προστασία των δεδομένων είναι η αναγκαία συνέπεια της σημασίας που αποδίδεται στην προστασία των δεδομένων βάσει της συνθήκης της Λισαβόνας, ιδίως στο άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ένωσης και στο άρθρο 16 ΣΛΕΕ, καθώς και της ισχυρής σύνδεσης με το άρθρο 7 του Χάρτη (12).

19.

Ωστόσο, ένα ισχυρό πλαίσιο για την προστασία των δεδομένων εξυπηρετεί και ευρύτερα δημόσια και ιδιωτικά συμφέροντα σε μια κοινωνία των πληροφοριών στην οποία η επεξεργασία των δεδομένων είναι πανταχού παρούσα. Η προστασία των δεδομένων προάγει την εμπιστοσύνη, και η εμπιστοσύνη αποτελεί ουσιώδες συστατικό στοιχείο για την εύρυθμη λειτουργία της κοινωνίας μας. Είναι σημαντικό οι ρυθμίσεις για την προστασία των δεδομένων να ερμηνεύονται κατά τρόπο που να υποστηρίζει ενεργά –όσο το δυνατόν περισσότερο– και όχι να παρεμποδίζει άλλα θεμιτά δικαιώματα και συμφέροντα.

20.

Σημαντικά παραδείγματα άλλων θεμιτών συμφερόντων είναι μια ισχυρή ευρωπαϊκή οικονομία, η ασφάλεια των φυσικών προσώπων καθώς και η λογοδοσία των κυβερνήσεων.

21.

Η οικονομική ανάπτυξη της ΕΕ συνδέεται αναπόσπαστα με την εισαγωγή και την εμπορία νέων τεχνολογιών και υπηρεσιών. Στην κοινωνία των πληροφοριών, η εμφάνιση και η επιτυχημένη ανάπτυξη τεχνολογιών και υπηρεσιών των πληροφοριών και των επικοινωνιών εξαρτάται από την ύπαρξη εμπιστοσύνης. Εάν οι άνθρωποι δεν εμπιστεύονται τις ΤΠΕ, οι τεχνολογίες αυτές είναι πιθανό να αποτύχουν (13) και οι άνθρωποι θα εμπιστεύονται τις ΤΠΕ μόνον εάν τα δεδομένα τους προστατεύονται επαρκώς. Επομένως, η προστασία των δεδομένων πρέπει να αποτελεί αναπόσπαστο μέρος των τεχνολογιών και των υπηρεσιών. Ένα ισχυρό πλαίσιο για την προστασία των δεδομένων προάγει την ευρωπαϊκή οικονομία, υπό τον όρο ότι το πλαίσιο αυτό δεν είναι μόνον ισχυρό, αλλά και κατάλληλα προσαρμοσμένο. Από την άποψη αυτή, η περαιτέρω εναρμόνιση στην ΕΕ και η ελαχιστοποίηση του διοικητικού φόρτου είναι ουσιώδους σημασίας (βλ. κεφάλαιο 5 της γνωμοδότησης).

22.

Πολλά έχουν ειπωθεί τα τελευταία χρόνια σχετικά με την αναγκαιότητα εξισορρόπησης της ιδιωτικής ζωής και της ασφάλειας, ιδίως σε σχέση με πράξεις για την επεξεργασία και την ανταλλαγή δεδομένων στον τομέα της αστυνομικής και δικαστικής συνεργασίας (14). Η προστασία των δεδομένων χαρακτηρίσθηκε συχνά, αδίκως, ως εμπόδιο για την πλήρη προστασία της φυσικής ασφάλειας των φυσικών προσώπων (15) ή τουλάχιστον αναπόφευκτος όρος ο οποίος πρέπει να τηρείται από τις αρχές επιβολής του νόμου. Ωστόσο, αυτή είναι μόνον μία πτυχή της συνολικής εικόνας. Ένα ισχυρό πλαίσιο για την προστασία των δεδομένων μπορεί να οξύνει και να ενισχύσει την ασφάλεια. Βάσει των αρχών της προστασίας των δεδομένων –όταν εφαρμόζονται ορθά– οι υπεύθυνοι της επεξεργασίας των δεδομένων υποχρεούνται να διασφαλίζουν ότι οι πληροφορίες είναι ορθές και επικαιροποιημένες και ότι τα περιττά δεδομένα προσωπικού χαρακτήρα, τα οποία δεν είναι αναγκαία για την επιβολή του νόμου, διαγράφονται από τα συστήματα. Μπορούμε επίσης να επισημάνουμε τις υποχρεώσεις εφαρμογής τεχνολογικών και οργανωτικών μέτρων διασφάλισης της ασφάλειας των συστημάτων, όπως η προστασία των συστημάτων κατά μη εξουσιοδοτημένης γνωστοποίησης ή πρόσβασης, όπως αναπτύσσεται στον τομέα της προστασίας των δεδομένων.

23.

Η τήρηση των αρχών της προστασίας των δεδομένων μπορεί να διασφαλίσει περαιτέρω ότι οι αρχές επιβολής του νόμου λειτουργούν στο πλαίσιο του κράτους δικαίου, γεγονός που γεννά εμπιστοσύνη απέναντι στη συμπεριφορά τους και, επομένως, προάγει την εμπιστοσύνη στις κοινωνίες μας, υπό την ευρύτερη έννοια. Η νομολογία η οποία έχει αναπτυχθεί βάσει του άρθρου 8 της Ευρωπαϊκής Σύμβασης Ανθρωπίνων Δικαιωμάτων διασφαλίζει ότι οι αστυνομικές και δικαστικές αρχές μπορούν να επεξεργάζονται όλα τα δεδομένα που έχουν σημασία για το έργο τους, αλλά όχι χωρίς περιορισμούς. Η προστασία των δεδομένων απαιτεί ελέγχους και ισορροπίες (για την αστυνομία και τη δικαιοσύνη, βλ. κεφάλαιο 9 της γνωμοδότησης).

24.

Στις δημοκρατίες κοινωνίες, οι κυβερνήσεις λογοδοτούν για όλες τις δραστηριότητές τους, συμπεριλαμβανομένης της χρήσης δεδομένων προσωπικού χαρακτήρα για τα διάφορα δημόσια συμφέροντα που εξυπηρετούν. Στις εν λόγω δραστηριότητες συγκαταλέγονται η δημοσίευση δεδομένων στο Διαδίκτυο για λόγους διαφάνειας και η χρήση δεδομένων ως μέσο στήριξης πολιτικών σε τομείς όπως η δημόσια υγεία, οι μεταφορές ή η φορολογία ή, ακόμη, και η εποπτεία των φυσικών προσώπων για σκοπούς επιβολής του νόμου. Ένα ισχυρό πλαίσιο προστασίας των δεδομένων υποχρεώνει τις κυβερνήσεις να τηρούν τις υποχρεώσεις τους και να λογοδοτούν, στο πλαίσιο της χρηστής διακυβέρνησης.

25.

Η ανακοίνωση προσδιορίζει ορθώς ως μία από τις βασικές αδυναμίες του ισχύοντος πλαισίου το γεγονός ότι παρέχει υπερβολικά ευρεία διακριτική ευχέρεια στα κράτη μέλη όσον αφορά τη μεταφορά των ευρωπαϊκών διατάξεων στο εθνικό δίκαιο. Η έλλειψη εναρμόνισης έχει διάφορες αρνητικές συνέπειες στην κοινωνία των πληροφοριών όπου τα φυσικά σύνορα μεταξύ των κρατών μελών αποκτούν ολοένα και λιγότερη σημασία (βλ. κεφάλαιο 5 της γνωμοδότησης).

26.

Ένας πρώτος και πιο τυπικός λόγος για τον οποίο οι γενικές αρχές της προστασίας των δεδομένων δεν πρέπει και δεν μπορούν να αλλάξουν είναι νομικής φύσης. Οι αρχές αυτές θεσπίζονται στη σύμβαση αριθ. 108 του Συμβουλίου της Ευρώπης, η οποία είναι δεσμευτική για όλα τα κράτη μέλη. Η εν λόγω σύμβαση αποτελεί τη βάση για την προστασία των δεδομένων στην ΕΕ. Επιπλέον, ορισμένες από τις κύριες αρχές αναφέρονται ρητά στο άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ένωσης. Επομένως, η αλλαγή των αρχών αυτών θα απαιτούσε αλλαγή των Συνθηκών.

27.

Ωστόσο, υπάρχουν και άλλοι ουσιαστικοί λόγοι για τη μη αλλαγή των γενικών αρχών. Ο ΕΕΠΔ πιστεύει ακράδαντα ότι η κοινωνία των πληροφοριών δεν μπορεί και δεν πρέπει να λειτουργεί χωρίς κατάλληλη προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων. Όταν αυξάνονται οι πληροφορίες που υποβάλλονται σε επεξεργασία, απαιτείται επίσης καλύτερη προστασία. Μια κοινωνία των πληροφοριών, στην οποία μεγάλες ποσότητες πληροφοριών που αφορούν τον καθένα υποβάλλονται σε επεξεργασία, πρέπει να θεμελιώνεται στην έννοια του ελέγχου από τα φυσικά πρόσωπα, ώστε αυτά να μπορούν να ενεργούν ως άτομα και να χρησιμοποιούν τις ελευθερίες που διαθέτουν σε μια δημοκρατική κοινωνία, όπως τις ελευθερίες έκφρασης και λόγου.

28.

Επιπλέον, είναι δύσκολο να φανταστούμε έλεγχο από τα φυσικά πρόσωπα χωρίς υποχρεώσεις για τους υπευθύνους επεξεργασίας των δεδομένων όσον αφορά τον περιορισμό της επεξεργασίας βάσει των αρχών της αναγκαιότητας, της αναλογικότητας και του περιορισμού του σκοπού. Είναι εξίσου δύσκολο να φανταστούμε έλεγχο από τα φυσικά πρόσωπα απουσία αναγνωρισμένων δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα, όπως δικαιώματα πρόσβασης, διόρθωσης, διαγραφής και κλειδώματος των δεδομένων.

29.

Ο ΕΕΠΔ υπογραμμίζει ότι η προστασία των δεδομένων αναγνωρίζεται ως θεμελιώδες δικαίωμα. Αυτό δεν σημαίνει ότι η προστασία των δεδομένων πρέπει να υπερισχύει πάντοτε άλλων σημαντικών δικαιωμάτων και συμφερόντων σε μια δημοκρατική κοινωνία, αλλά έχει συνέπειες όσον αφορά τη φύση και την εμβέλεια της προστασίας η οποία πρέπει να παρέχεται βάσει του νομικού πλαισίου της ΕΕ, ώστε να διασφαλίζεται ότι οι απαιτήσεις της προστασίας των δεδομένων λαμβάνονται πάντοτε δεόντως υπόψη.

30.

Οι κύριες αυτές συνέπειες μπορούν να ορισθούν ως ακολούθως:

Ο ΕΕΠΔ συνιστά στην Επιτροπή να λάβει υπόψη τις συγκεκριμένες συνέπειες κατά την πρόταση νομοθετικών λύσεων.

31.

Η ανακοίνωση επικεντρώνεται ορθώς στην αναγκαιότητα ενίσχυσης των νομοθετικών ρυθμίσεων για την προστασία των δεδομένων. Στο πλαίσιο αυτό, αξίζει να υπενθυμισθεί ότι, στο έγγραφο της ομάδας εργασίας σχετικά με το μέλλον της ιδιωτικής ζωής (17), οι αρχές προστασίας των δεδομένων τόνισαν την αναγκαιότητα ενίσχυσης του ρόλου των διάφορων παραγόντων στον τομέα της προστασίας των δεδομένων, και ιδίως των προσώπων στα οποία αναφέρονται τα δεδομένα, των υπευθύνων για την επεξεργασία των δεδομένων και των ίδιων των αρχών ελέγχου.

32.

Φαίνεται να υπάρχει ευρεία συναίνεση μεταξύ των ενδιαφερομένων όσον αφορά το γεγονός ότι οι ισχυρότερες νομοθετικές ρυθμίσεις –λαμβάνοντας υπόψη τις τεχνολογικές εξελίξεις και την παγκοσμιοποίηση– είναι καθοριστικές για τη φιλόδοξη και αποτελεσματική προστασία των δεδομένων και στο μέλλον. Όπως ήδη αναφέρθηκε στην παράγραφο 7, αυτά είναι τα κριτήρια της αξιολόγησης από τον ΕΕΠΔ τυχόν προτεινόμενων λύσεων.

33.

Όπως υπενθυμίζεται στην ανακοίνωση, η οδηγία 95/46/ΕΚ εφαρμόζεται σε όλες τις δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα, με εξαίρεση τις δραστηριότητες οι οποίες δεν εμπίπτουν στο πεδίο εφαρμογής του πρώην κοινοτικού δικαίου (18). Παρότι η εξαίρεση αυτή ήταν αναγκαία στο πλαίσιο της προηγούμενης Συνθήκης, κάτι τέτοιο δεν ισχύει πλέον μετά την έναρξη ισχύος της συνθήκης της Λισαβόνας. Επιπλέον, η εξαίρεση αντίκειται στο γράμμα –και σε κάθε περίπτωση στο πνεύμα– του άρθρου 16 ΣΛΕΕ.

34.

Κατά τον ΕΕΠΔ, μια συνολική νομική πράξη για την προστασία των δεδομένων, η οποία θα περιλαμβάνει την αστυνομική και δικαστική συνεργασία σε ποινικές υποθέσεις, πρέπει να θεωρείται μια από τις κύριες βελτιώσεις που μπορεί να επιφέρει ένα νέο νομικό πλαίσιο. Αποτελεί εκ των ων ουκ άνευ προϋπόθεση για την αποτελεσματική προστασία των δεδομένων στο μέλλον.

35.

Ο ΕΕΠΔ υπογραμμίζει τα ακόλουθα επιχειρήματα που υποστηρίζουν την ως άνω δήλωση:

36.

Η συμπερίληψη των αστυνομικών και των δικαστικών αρχών στη γενική νομική πράξη δεν θα παράσχει μόνον περισσότερες εγγυήσεις στους πολίτες, αλλά θα διευκολύνει επίσης το έργο των αστυνομικών αρχών. Η υποχρέωση εφαρμογής διαφορετικών συνόλων κανόνων είναι επαχθής, περιττά χρονοβόρα και παρεμποδίζει τη διεθνή συνεργασία (βλ. κατωτέρω, κεφάλαιο 9 της γνωμοδότησης). Το επιχείρημα αυτό υποστηρίζει επίσης τη συμπερίληψη των δραστηριοτήτων επεξεργασίας των εθνικών υπηρεσιών ασφάλειας, στον βαθμό που αυτό είναι εφικτό υπό την παρούσα κατάσταση του δικαίου της ΕΕ.

37.

Στο διάστημα που μεσολάβησε από τη θέσπιση της οδηγίας 95/46/ΕΚ το 1995 η τεχνολογία βρίσκεται σε αναβρασμό. Νέες τεχνολογικές εξελίξεις και συσκευές κάνουν συχνά την εμφάνισή τους. Σε πολλές περιπτώσεις, αυτό είχε ως αποτέλεσμα θεμελιώδεις αλλαγές στον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων. Η κοινωνία των πληροφοριών δεν μπορεί να θεωρείται πλέον ένας παράλληλος κόσμος στον οποίο τα φυσικά πρόσωπα μπορούν να συμμετέχουν εθελοντικά, αλλά έχει καταστεί αναπόσπαστο μέρος της καθημερινής ζωής μας. Για παράδειγμα, η έννοια ενός Ίντερνετ των πραγμάτων (22) θεσπίζει συνδέσμους μεταξύ υλικών αντικειμένων και επιγραμμικών πληροφοριών που σχετίζονται με αυτά.

38.

Η τεχνολογία θα αναπτυχθεί περαιτέρω και αυτό έχει συνέπειες για το νέο νομικό πλαίσιο, το οποίο πρέπει να ισχύσει για μεγαλύτερο αριθμό ετών και ταυτόχρονα να μην παρεμποδίζει τις περαιτέρω τεχνολογικές εξελίξεις. Αυτό απαιτεί τεχνολογική ουδετερότητα των νομικών ρυθμίσεων. Ωστόσο, το πλαίσιο πρέπει να επιφέρει επίσης μεγαλύτερη ασφάλεια δικαίου για τα νομικά και τα φυσικά πρόσωπα. Πρέπει να κατανοούν τι προσδοκάται από αυτά και να μπορούν να ασκήσουν τα δικαιώματά τους. Αυτό απαιτεί να είναι οι νομικές ρυθμίσεις ακριβείς.

39.

Κατά τον ΕΕΠΔ, μια γενική νομική πράξη για την προστασία των δεδομένων πρέπει να διατυπωθεί, στον βαθμό του εφικτού, με τεχνολογικά ουδέτερο τρόπο. Αυτό σημαίνει ότι τα δικαιώματα και οι υποχρεώσεις των διάφορων παραγόντων πρέπει να διατυπωθούν με γενικό και ουδέτερο τρόπο ώστε να παραμείνουν, καταρχήν, ισχυρά και εκτελεστά ανεξάρτητα από την επιλεγείσα τεχνολογία για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Κάτι τέτοιο είναι υποχρεωτικό, λαμβάνοντας υπόψη τους ταχείς ρυθμούς των τεχνολογικών εξελίξεων σήμερα. Ο ΕΕΠΔ εισηγείται τη θέσπιση νέων «τεχνολογικά ουδέτερων» δικαιωμάτων επιπλέον των υφιστάμενων αρχών για την προστασία των δεδομένων, τα οποία μπορούν να έχουν συγκεκριμένη σημασία στο ταχέως μεταβαλλόμενο ηλεκτρονικό περιβάλλον (βλ. κυρίως κεφάλαια 6 και 7).

40.

Η οδηγία 95/46/ΕΚ υπήρξε το κεντρικό νομοθέτημα για την προστασία των δεδομένων στην ΕΕ τα τελευταία 15 χρόνια. Μεταφέρθηκε στο δίκαιο των κρατών μελών και εφαρμόσθηκε από τους διάφορους παράγοντες. Με την πάροδο του χρόνου, οι διαδικασίες για την εφαρμογή των διατάξεων της οδηγίας επωφελήθηκαν από τις πρακτικές εμπειρίες και από την περαιτέρω καθοδήγηση που προσέφεραν η Επιτροπή, οι αρχές προστασίας των δεδομένων (σε εθνικό επίπεδο και στο πλαίσιο της ομάδας εργασίας του άρθρου 29) και τα εθνικά και ευρωπαϊκά δικαστήρια.

41.

Είναι σκόπιμο να τονίσουμε ότι οι εξελίξεις αυτές χρειάζονται χρόνο και ότι –ιδίως επειδή έχουμε να κάνουμε με ένα γενικό πλαίσιο το οποίο ενεργοποιεί ένα θεμελιώδες δικαίωμα– ο χρόνος αυτός είναι απαραίτητος για τη δημιουργία ασφάλειας δικαίου και σταθερότητας. Η νέα γενική νομική πράξη πρέπει να καταρτισθεί με τη φιλοδοξία ότι θα μπορεί να δημιουργήσει ασφάλεια δικαίου και σταθερότητα για μεγαλύτερο χρονικό διάστημα, έχοντας κατά νου ότι είναι πολύ δύσκολο να προβλεφθεί με ποιον τρόπο θα εξελιχθούν περαιτέρω η τεχνολογία και η παγκοσμιοποίηση. Σε κάθε περίπτωση, ο ΕΕΠΔ υποστηρίζει πλήρως τον στόχο δημιουργίας ασφάλειας δικαίου για μεγαλύτερο χρονικό διάστημα σε σύγκριση με την οπτική της οδηγίας 95/46/EK. Εν ολίγοις, όταν η τεχνολογία αναπτύσσεται με ταχείς ρυθμούς, ο νόμος πρέπει να είναι σταθερός.

42.

Βραχυπρόθεσμα, είναι απαραίτητο να διασφαλισθεί η αποτελεσματικότητα των ισχυουσών νομοθετικών ρυθμίσεων, δίνοντας πρωτίστως έμφαση στην εφαρμογή τους, σε εθνικό επίπεδο και σε επίπεδο ΕΕ (βλ. κεφάλαιο 11 της παρούσας γνωμοδότησης).

43.

Ο ΕΕΠΔ υποστηρίζει πλήρως τη συνολική προσέγγιση για την προστασία των δεδομένων, η οποία αποτελεί όχι μόνον τον τίτλο αλλά και την αφετηρία της ανακοίνωσης και περιλαμβάνει κατ’ ανάγκη την επέκταση των γενικών κανόνων για την προστασία των δεδομένων στην αστυνομική και δικαστική συνεργασία σε ποινικές υποθέσεις (23).

44.

Ωστόσο, ο ΕΕΠΔ σημειώνει ότι η Επιτροπή δεν προτίθεται να συμπεριλάβει όλες τις δραστηριότητες επεξεργασίας των δεδομένων στην εν λόγω γενική νομική πράξη. Ειδικότερα, δεν θα περιλαμβάνεται η επεξεργασία δεδομένων από τα θεσμικά όργανα, τις υπηρεσίες και τους οργανισμούς της ΕΕ. Η Επιτροπή αναφέρει μόνον ότι «θα αξιολογήσει την ανάγκη της προσαρμογής άλλων νομοθετικών πράξεων στο νέο γενικό πλαίσιο προστασίας των δεδομένων».

45.

Ο ΕΕΠΔ διατυπώνει τη σαφή προτίμησή του για τη συμπερίληψη της επεξεργασίας σε επίπεδο ΕΕ στο γενικό νομικό πλαίσιο. Υπενθυμίζει ότι αυτή ήταν η αρχική πρόθεση του πρώην άρθρου 286 ΣΕΚ, το οποίο ανέφερε για πρώτη φορά την προστασία των δεδομένων στο επίπεδο της Συνθήκης. Το άρθρο 286 ΣΕΚ όριζε απλώς ότι οι νομικές πράξεις για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα εφαρμόζονται και στα θεσμικά όργανα. Ακόμη πιο σημαντικό είναι το γεγονός ότι η ύπαρξη ενός νομικού κειμένου αποτρέπει τον κίνδυνο διαφορών μεταξύ διατάξεων, και θα είναι πιο πρόσφορο για την ανταλλαγή δεδομένων σε επίπεδο ΕΕ αλλά και μεταξύ των δημόσιων και ιδιωτικών οντοτήτων στα κράτη μέλη. Με τον τρόπο αυτό θα αποτραπεί επίσης ο κίνδυνος έλλειψης πολιτικού ενδιαφέροντος, μετά την τροποποίηση της οδηγίας 95/46/EK, για την τροποποίηση του κανονισμού (ΕΚ) αριθ. 45/2001 ή για την απονομή επαρκούς προτεραιότητας στην εν λόγω τροποποίηση ώστε να αποφευχθούν διαφορές στις ημερομηνίες έναρξης ισχύος.

46.

Ο ΕΕΠΔ καλεί την Επιτροπή –στην περίπτωση που θα καταλήξει στο συμπέρασμα ότι η συμπερίληψη της επεξεργασίας στο επίπεδο της ΕΕ στη γενική νομική πράξη δεν είναι εφικτή– να δεσμευθεί ότι θα προτείνει την προσαρμογή του κανονισμού (ΕΚ) αριθ. 45/2001 (όχι να «αξιολογήσει την ανάγκη») εντός της συντομότερης δυνατής προθεσμίας και κατά προτίμηση έως το τέλος του 2011.

47.

Είναι εξίσου σημαντικό να διασφαλίσει η Επιτροπή ότι δεν θα υπάρξει υστέρηση σε άλλους τομείς και, ειδικότερα, όσον αφορά:

48.

Τέλος, μια γενική νομική πράξη για την προστασία των δεδομένων μπορεί, και πιθανώς πρέπει, να συμπληρωθεί με πρόσθετους τομεακούς και ειδικούς κανονισμούς, για παράδειγμα για την αστυνομική και δικαστική συνεργασία, όπως και για άλλους τομείς (25). Όπου απαιτείται και σύμφωνα με την αρχή της επικουρικότητας, οι πρόσθετοι αυτοί κανονισμοί πρέπει να θεσπισθούν σε επίπεδο ΕΕ. Σε συγκεκριμένους τομείς, εφόσον κάτι τέτοιο δικαιολογείται, τα κράτη μέλη μπορούν να θεσπίσουν πρόσθετους κανόνες (βλ. 5.2).

49.

Η εναρμόνιση είναι ύψιστης σημασίας για το δίκαιο της προστασίας των δεδομένων της ΕΕ. Η ανακοίνωση τονίζει ορθώς ότι η προστασία των δεδομένων έχει μια έντονη διάσταση εσωτερικής αγοράς, καθώς πρέπει να εξασφαλισθεί η ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα μεταξύ των κρατών μελών στο πλαίσιο της εσωτερικής αγοράς. Ωστόσο, το επίπεδο εναρμόνισης στο πλαίσιο της ισχύουσας οδηγίας κρίθηκε λιγότερο από ικανοποιητικό. Η ανακοίνωση αναγνωρίζει ότι αυτό είναι ένα από τα κύρια προβλήματα που επανειλημμένα εξέφρασαν οι άμεσα ενδιαφερόμενοι. Ειδικότερα, οι ενδιαφερόμενοι τονίζουν την αναγκαιότητα βελτίωσης της ασφάλειας δικαίου, μείωσης του διοικητικού φόρτου και διασφάλισης ίσων όρων ανταγωνισμού για τους οικονομικούς φορείς. Όπως σημειώνει ορθώς η Επιτροπή, αυτό αφορά ιδίως τους υπευθύνους της επεξεργασίας δεδομένων που είναι εγκαταστημένοι σε περισσότερα κράτη μέλη και υποχρεώνονται να συμμορφώνονται με τις (ενδεχομένως αποκλίνουσες) απαιτήσεις εθνικών νόμων για την προστασία των δεδομένων (26).

50.

Η εναρμόνιση δεν είναι σημαντική μόνον για την εσωτερική αγορά, αλλά και για να εξασφαλίζεται κατάλληλη προστασία των δεδομένων. Το άρθρο 16 της ΣΛΕΕ ορίζει ότι «κάθε» πρόσωπο έχει δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Προκειμένου το δικαίωμα αυτό να είναι σεβαστό στην πράξη, πρέπει να διασφαλίζεται ισοδύναμο επίπεδο προστασίας σε ολόκληρη την ΕΕ. Στο έγγραφο της ομάδας εργασίας σχετικά με το μέλλον της ιδιωτικής ζωής τονίζεται ότι αρκετές διατάξεις σχετικές με τις θέσεις των προσώπων στα οποία αναφέρονται τα δεδομένα δεν εφαρμόσθηκαν ή δεν ερμηνεύθηκαν ομοιόμορφα σε όλα τα κράτη μέλη (27). Σε έναν παγκοσμιοποιημένο και διασυνδεδεμένο κόσμο, οι αποκλίσεις αυτές μπορούν να υπονομεύσουν ή να περιορίσουν την προστασία των φυσικών προσώπων.

51.

Ο ΕΕΠΔ πιστεύει ότι η περαιτέρω και η καλύτερη εναρμόνιση είναι ένας από τους κύριους στόχους της διαδικασίας αναθεώρησης. Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για τη δέσμευση της Επιτροπής να εξετάσει τρόπους για την επίτευξη περαιτέρω εναρμόνισης της προστασίας των δεδομένων σε επίπεδο ΕΕ. Ωστόσο, σημειώνει με κάποια έκπληξη ότι η ανακοίνωση δεν προτείνει, στο παρόν στάδιο, καμία συγκεκριμένη επιλογή. Επομένως, υποδεικνύει ο ίδιος μερικούς τομείς στους οποίους επείγει ιδιαίτερα η επίτευξη μεγαλύτερης σύγκλισης (βλ. 5.3). Η περαιτέρω εναρμόνιση στους τομείς αυτούς δεν πρέπει να επιτευχθεί μόνον μειώνοντας το περιθώριο χειρισμών του εθνικού δικαίου, αλλά και εμποδίζοντας την εσφαλμένη μεταφορά από τα κράτη μέλη (βλ. επίσης κεφάλαιο 11) και διασφαλίζοντας συνεπέστερη και καλύτερα συντονισμένη εφαρμογή (βλ. επίσης κεφάλαιο 10).

52.

Η οδηγία περιέχει διάφορες διατάξεις με ευρεία διατύπωση, οι οποίες αφήνουν, επομένως, σημαντικό περιθώριο για αποκλίνουσα εφαρμογή. Η αιτιολογική σκέψη 9 της οδηγίας επιβεβαιώνει ρητά ότι τα κράτη μέλη διαθέτουν περιθώριο χειρισμού και ότι, εντός των ορίων του περιθωρίου, ενδέχεται να προκύψουν διαφορές όσον αφορά την εφαρμογή της οδηγίας. Αρκετές διατάξεις έχουν εφαρμοσθεί διαφορετικά από τα κράτη μέλη, συμπεριλαμβανομένων μερικών κρίσιμων διατάξεων (28). Η κατάσταση αυτή δεν είναι ικανοποιητική και πρέπει να επιδιωχθεί μεγαλύτερη σύγκλιση.

53.

Αυτό δεν σημαίνει ότι πρέπει να αποκλεισθεί κάθε διαφοροποίηση. Σε ορισμένους τομείς, ενδέχεται να απαιτείται ευελιξία προκειμένου να διαφυλαχθούν δικαιολογημένες ιδιαιτερότητες, σημαντικά δημόσια συμφέροντα ή η θεσμική αυτονομία των κρατών μελών. Κατά τον ΕΕΠΔ, το περιθώριο απόκλισης μεταξύ των κρατών μελών πρέπει να περιορίζεται ειδικότερα στις ακόλουθες ειδικές καταστάσεις:

54.

Ορισμοί (άρθρο 2 της οδηγίας 95/46/ΕΚ). Οι ορισμοί αποτελούν τον ακρογωνιαίο λίθο του νομικού συστήματος και πρέπει να ερμηνεύονται ομοιόμορφα σε όλα τα κράτη μέλη, χωρίς περιθώριο χειρισμών. Έχουν προκύψει αποκλίσεις στο ισχύον πλαίσιο, όπως για παράδειγμα όσον αφορά την έννοια του υπευθύνου της επεξεργασίας των δεδομένων (29). Ο ΕΕΠΔ εισηγείται να προστεθούν περισσότερα στοιχεία στον ισχύοντα κατάλογο του άρθρου 2 με σκοπό την παροχή μεγαλύτερης ασφάλειας δικαίου, όπως ανώνυμα δεδομένα, ψευδώνυμα δεδομένα, δικαστικά δεδομένα, διαβίβαση δεδομένων και υπεύθυνος προστασίας δεδομένων.

55.

Νομιμότητα της επεξεργασίας (άρθρο 5). Η νέα νομική πράξη πρέπει να είναι όσο το δυνατόν πιο ακριβής όσον αφορά τα βασικά στοιχεία που καθορίζουν τη νομιμότητα της επεξεργασίας των δεδομένων. Έτσι, το άρθρο 5 της οδηγίας (καθώς και η αιτιολογική σκέψη 9), το οποίο απαιτεί από τα κράτη μέλη να καθορίζουν με περισσότερη ακρίβεια τις προϋποθέσεις υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη, ενδέχεται να μην απαιτείται πλέον στο μελλοντικό πλαίσιο.

56.

Λόγοι επεξεργασίας δεδομένων (άρθρα 7 και 8). Ο καθορισμός των προϋποθέσεων επεξεργασίας δεδομένων είναι ουσιώδες στοιχείο κάθε νομοθεσίας για την προστασία των δεδομένων. Τα κράτη μέλη δεν πρέπει να μπορούν να θεσπίζουν πρόσθετους ή τροποποιημένους λόγους επεξεργασίας ούτε να αποκλείουν οποιονδήποτε λόγο επεξεργασίας. Η δυνατότητα παρεκκλίσεων πρέπει να αποκλείεται ή να περιορίζεται (ιδίως όσον αφορά τα ευαίσθητα δεδομένα (30)). Στη νέα νομική πράξη, οι λόγοι επεξεργασίας δεδομένων πρέπει να διατυπώνονται με σαφήνεια, μειώνοντας με τον τρόπο αυτό το περιθώριο εκτίμησης κατά τη μεταφορά ή την εφαρμογή. Ειδικότερα, η έννοια της συγκατάθεσης ενδέχεται να πρέπει να προσδιορισθεί περαιτέρω (βλ. παράγραφο 6.5). Επιπλέον, ο λόγος που βασίζεται στο έννομο συμφέρον του υπευθύνου επεξεργασίας δεδομένων (άρθρο 7, στοιχείο στ)) δίνει λαβή σε ευρέως αποκλίνουσες ερμηνείες, λόγω της ευέλικτης φύσης του. Απαιτείται περαιτέρω προσδιορισμός. Μια άλλη διάταξη η οποία πρέπει ενδεχομένως να προσδιορισθεί είναι το άρθρο 8 παράγραφος 2 στοιχείο β), το οποίο επιτρέπει την επεξεργασία ευαίσθητων δεδομένων που είναι απαραίτητη προκειμένου να εκπληρωθούν οι υποχρεώσεις και τα ειδικά δικαιώματα του υπευθύνου της επεξεργασίας στον τομέα του εργατικού δικαίου (31).

57.

Δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα (άρθρα 10-15). Πρόκειται για έναν από τους τομείς στους οποίους τα κράτη μέλη δεν μετέφεραν και δεν ερμήνευσαν με συνέπεια όλα τα στοιχεία της οδηγίας. Τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα αποτελούν κεντρικό στοιχείο της αποτελεσματικής προστασίας των δεδομένων. Ως εκ τούτου, το περιθώριο χειρισμών πρέπει να μειωθεί σημαντικά. Ο ΕΕΠΔ συνιστά οι πληροφορίες που παρέχονται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα από τον υπεύθυνο επεξεργασίας των δεδομένων να είναι ομοιόμορφες σε ολόκληρη την ΕΕ.

58.

Διεθνείς διαβιβάσεις (άρθρα 25-26). Πρόκειται για έναν τομέα στον οποίο έχουν διατυπωθεί ευρείες επικρίσεις, λόγω της έλλειψης ομοιόμορφης πρακτικής σε ολόκληρη την ΕΕ. Οι ενδιαφερόμενοι διατύπωσαν την κριτική ότι οι αποφάσεις της Επιτροπής σχετικά με την επάρκεια της προστασίας ερμηνεύονται και εφαρμόζονται πολύ διαφορετικά από τα κράτη μέλη. Οι δεσμευτικοί εταιρικοί κανόνες (BCR) είναι ένας ακόμη τομέας στον οποίο ο ΕΕΠΔ συνιστά περαιτέρω εναρμόνιση (βλ. κεφάλαιο 9).

59.

Εθνικές αρχές προστασίας δεδομένων (άρθρο 28). Οι εθνικές ΑΠΔ υπόκεινται σε ευρέως αποκλίνοντες κανόνες στα 27 κράτη μέλη, ιδίως όσον αφορά το καθεστώς, τους πόρους και τις εξουσίες τους. Το άρθρο 28 συνέβαλε εν μέρει στην απόκλιση αυτή, λόγω της έλλειψης ακρίβειας (32) που το διακρίνει, και πρέπει να προσδιορισθεί περαιτέρω, σύμφωνα με την απόφαση του Δικαστηρίου των Ευρωπαϊκών Κοινοτήτων στην υπόθεση C-518/07 (33) (βλ. κατωτέρω κεφάλαιο 10).

60.

Οι απαιτήσεις κοινοποίησης (άρθρα 18-21 της οδηγίας 95/46/ΕΚ) είναι ένας ακόμη τομέας στον οποίο τα κράτη μέλη διαθέτουν έως τώρα σημαντική ελευθερία. Η ανακοίνωση αναγνωρίζει ορθώς ότι ένα εναρμονισμένο σύστημα θα μειώσει τις δαπάνες καθώς και τον διοικητικό φόρτο για τους υπευθύνους επεξεργασίας δεδομένων (34).

61.

Πρόκειται για έναν τομέα στον οποίο η απλούστευση πρέπει να αποτελεί τον βασικό στόχο. Η αναθεώρηση του πλαισίου για την προστασία των δεδομένων είναι μια μοναδική ευκαιρία περαιτέρω απλούστευσης ή/και μείωσης της εμβέλειας των ισχυουσών απαιτήσεων κοινοποίησης. Η ανακοίνωση αναγνωρίζει ότι υπάρχει ευρεία συναίνεση μεταξύ των ενδιαφερομένων για το γεγονός ότι το ισχύον σύστημα κοινοποιήσεων είναι μάλλον επαχθές και δεν εξασφαλίζει, από μόνο του, προστιθέμενη αξία για την προστασία των δεδομένων προσωπικού χαρακτήρα των ενδιαφερομένων (35). Επομένως, ο ΕΕΠΔ χαιρετίζει τη δέσμευση της Επιτροπής να διερευνήσει διάφορες δυνατότητες για την απλούστευση του ισχύοντος συστήματος κοινοποίησης.

62.

Κατά τον ΕΕΠΔ, αφετηρία για την απλούστευση αυτή θα είναι η μετάβαση από ένα σύστημα στο οποίο η κοινοποίηση αποτελεί τον κανόνα, εκτός εάν προβλέπεται κάτι διαφορετικό (δηλαδή, «σύστημα εξαίρεσης»), σε ένα πιο στοχοθετημένο σύστημα. Το σύστημα εξαίρεσης αποδείχθηκε αναποτελεσματικό, καθώς δεν εφαρμόσθηκε με συνεκτικό τρόπο σε όλα τα κράτη μέλη (36). Ο ΕΕΠΔ εισηγείται να εξετασθούν οι ακόλουθες εναλλακτικές δυνατότητες:

Επιπλέον, μπορεί να θεσπισθεί ένα τυποποιημένο πανευρωπαϊκό έντυπο κοινοποίησης ώστε να διασφαλίζονται εναρμονισμένες προσεγγίσεις όσον αφορά τις ζητούμενες πληροφορίες.

63.

Η αναθεώρηση του ισχύοντος συστήματος κοινοποίησης δεν πρέπει να αποβεί εις βάρος της βελτίωσης των υποχρεώσεων προηγούμενου ελέγχου για ορισμένες πράξεις επεξεργασίας που ενδέχεται να ενέχουν ειδικούς κινδύνους (όπως τα μεγάλης κλίμακας συστήματα πληροφοριών). Ο ΕΕΠΔ τάσσεται υπέρ της συμπερίληψης στη νέα νομική πράξη ενός μη εξαντλητικού καταλόγου περιπτώσεων στις οποίες θα απαιτείται τέτοιος προηγούμενος έλεγχος. Ο κανονισμός (ΕΚ) αριθ. 45/2001 σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας παρέχει ένα χρήσιμο πρότυπο για τον σκοπό αυτό (37).

64.

Τέλος, ο ΕΕΠΔ πιστεύει ότι η διαδικασία αναθεώρησης αποτελεί επίσης ευκαιρία για την επανεξέταση του τύπου της νομικής προστασίας για την προστασία των δεδομένων. Ο κανονισμός, ενιαία πράξη η οποία ισχύει άμεσα στα κράτη μέλη, είναι ο αποτελεσματικότερος τρόπος για την προστασία του θεμελιώδους δικαιώματος της προστασίας των δεδομένων και για τη δημιουργία μιας πραγματικής εσωτερικής αγοράς, στην οποία τα δεδομένα προσωπικού χαρακτήρα μπορούν να κυκλοφορούν ελεύθερα και όπου το επίπεδο προστασίας είναι ίδιο, ανεξάρτητα από τη χώρα ή τον τομέα στον οποίο πραγματοποιείται η επεξεργασία των δεδομένων.

65.

Ο κανονισμός θα μειώσει το περιθώριο αντιφατικών ερμηνειών και αδικαιολόγητων διαφορών στη μεταφορά και στην εφαρμογή του νόμου. Θα μειώσει επίσης τη σημασία του καθορισμού του εφαρμοστέου δικαίου για τις πράξεις επεξεργασίας εντός της ΕΕ, θέμα το οποίο αποτελεί μια από τις πλέον αμφιλεγόμενες πτυχές του ισχύοντος συστήματος (βλ. κεφάλαιο 9).

66.

Στον τομέα της προστασίας των δεδομένων, ο κανονισμός δικαιολογείται έτι πλέον, δεδομένου ότι:

67.

Η επιλογή του κανονισμού ως γενικής πράξης επιτρέπει, κατά περίπτωση, την εφαρμογή διατάξεων οι οποίες απευθύνονται άμεσα στα κράτη μέλη όταν απαιτείται ευελιξία. Επίσης, δεν επηρεάζει την αρμοδιότητα των κρατών μελών να θεσπίζουν πρόσθετους κανόνες για την προστασία των δεδομένων, όπου απαιτείται, σύμφωνα με το δίκαιο της ΕΕ.

68.

Ο ΕΕΠΔ υποστηρίζει πλήρως την ανακοίνωση όταν προτείνει την ενίσχυση των δικαιωμάτων των φυσικών προσώπων, καθώς οι ισχύουσες νομικές πράξεις δεν παρέχουν πλήρως την αποτελεσματική προστασία που απαιτείται σε έναν ολοένα και πιο πολύπλοκο ψηφιακοποιημένο κόσμο.

69.

Από τη μια πλευρά, η ανάπτυξη του ψηφιακοποιημένου κόσμου συνεπάγεται την έντονη αύξηση στη συλλογή, στη χρήση και στην περαιτέρω διαβίβαση δεδομένων προσωπικού χαρακτήρα με έναν εξαιρετικά πολύπλοκο και μη διάφανο τρόπο. Τα φυσικά πρόσωπα συχνά δεν γνωρίζουν ή δεν κατανοούν πώς συμβαίνει αυτό, ποιος συλλέγει τα δεδομένα τους ούτε πώς να ασκήσουν έλεγχο. Παράδειγμα του φαινομένου αυτού αποτελεί η παρακολούθηση από παρόχους διαφημιστικού δικτύου των δραστηριοτήτων πλοήγησης των φυσικών προσώπων στο Διαδίκτυο, με τη χρήση cookies ή παρόμοιων διατάξεων, με σκοπό τη στοχοθετημένη διαφήμιση. Όταν οι χρήστες επισκέπτονται δικτυακούς τόπους, δεν φαντάζονται ότι ένας αόρατος τρίτος καταχωρίζει τις επισκέψεις αυτές και δημιουργεί μητρώα χρηστών, βάσει πληροφοριών που αποκαλύπτουν τον τρόπο ζωής τους ή τι τους αρέσει ή δεν τους αρέσει.

70.

Από την άλλη, η ανάπτυξη ενθαρρύνει τα φυσικά πρόσωπα να ανταλλάσσουν προορατικά τις προσωπικές πληροφορίες τους, για παράδειγμα σε κοινωνικά δίκτυα. Ολοένα και περισσότεροι νέοι συμμετέχουν σε κοινωνικά δίκτυα και αλληλεπιδρούν με τους συνομιλήκους τους. Είναι αμφίβολο κατά πόσον οι (νέοι) άνθρωποι αντιλαμβάνονται το εύρος των πληροφοριών που γνωστοποιούν και τις μακροπρόθεσμες συνέπειες των πράξεών τους.

71.

Η διαφάνεια είναι ύψιστης σημασίας σε κάθε καθεστώς προστασίας των δεδομένων, όχι μόνον λόγω της εγγενούς αξίας της αλλά και επειδή επιτρέπει την εφαρμογή άλλων αρχών για την προστασία των δεδομένων. Τα φυσικά πρόσωπα μπορούν να ασκήσουν τα δικαιώματά τους μόνον εάν είναι ενημερωμένα για την επεξεργασία των δεδομένων.

72.

Αρκετές διατάξεις της οδηγίας 95/46/ΕΚ αναφέρονται στη διαφάνεια. Τα άρθρα 10 και 11 περιέχουν την υποχρέωση παροχής πληροφοριών σε φυσικά πρόσωπα σχετικά με τη συλλογή των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Επιπλέον, το άρθρο 12 αναγνωρίζει το δικαίωμα του ενδιαφερομένου να λάβει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που τον αφορούν με εύληπτο τρόπο (δικαίωμα πρόσβασης). Το άρθρο 15 αναγνωρίζει το δικαίωμα πρόσβασης στη λογική βάσει της οποίας λαμβάνονται αυτοματοποιημένες αποφάσεις που παράγουν έννομες συνέπειες. Τέλος, το άρθρο 6 παράγραφος 1 στοιχείο α), το οποίο απαιτεί να είναι η επεξεργασία θεμιτή, συνεπάγεται επίσης μια απαίτηση διαφάνειας. Τα δεδομένα προσωπικού χαρακτήρα δεν επιτρέπεται να υποβάλλονται σε επεξεργασία για κρυφούς ή μυστικούς λόγους.

73.

Η ανακοίνωση εισηγείται την προσθήκη μιας γενικής αρχής διαφάνειας. Απαντώντας στην εισήγηση αυτή, ο ΕΕΠΔ υπογραμμίζει ότι η έννοια της διαφάνειας αποτελεί ήδη αναπόσπαστο μέρος του ισχύοντος νομικού πλαισίου για την προστασία των δεδομένων, έστω έμμεσα. Αυτό προκύπτει από τις διάφορες διατάξεις που αναφέρονται στη διαφάνεια, όπως είδαμε στην προηγούμενη παράγραφο. Κατά τον ΕΕΠΔ, η συμπερίληψη μιας ρητής αρχής διαφάνειας, συνδεδεμένης ή μη με την ισχύουσα διάταξη της θεμιτής επεξεργασίας, μπορεί να προσδώσει προστιθέμενη αξία. Κάτι τέτοιο θα αυξήσει την ασφάλεια δικαίου και θα επιβεβαιώσει επίσης ότι ο υπεύθυνος επεξεργασίας δεδομένων οφείλει να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα με διάφανο τρόπο σε κάθε περίπτωση και όχι μόνον κατόπιν αιτήματος ή όταν κάτι τέτοιο απαιτείται από ειδική νομική διάταξη.

74.

Ωστόσο, είναι ίσως πιο σημαντικό να ενισχυθούν οι ισχύουσες διατάξεις που αφορούν τη διαφάνεια, όπως τα ισχύοντα άρθρα 10 και 11 της οδηγίας 95/46/EK. Οι συγκεκριμένες διατάξεις προσδιορίζουν τα στοιχεία πληροφοριών που πρέπει να παρέχονται, αλλά δεν είναι ακριβείς όσον αφορά τους όρους. Ειδικότερα, ο ΕΕΠΔ εισηγείται να ενισχυθούν οι ισχύουσες διατάξεις μέσω:

75.

Ο ΕΕΠΔ υποστηρίζει τη θέσπιση μιας διάταξης στη γενική πράξη για την κοινοποίηση παραβιάσεων των δεδομένων προσωπικού χαρακτήρα, η οποία θα επεκτείνει την υποχρέωση που περιλήφθηκε για ορισμένους παρόχους στην αναθεωρημένη οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες σε όλους τους υπευθύνους επεξεργασίας δεδομένων, όπως προτείνεται στην ανακοίνωση. Βάσει της αναθεωρημένης οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, η υποχρέωση ισχύει μόνον για τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών (παρόχους υπηρεσιών τηλεφωνίας (συμπεριλαμβανομένων VoIP) και πρόσβασης στο Διαδίκτυο). Άλλοι υπεύθυνοι επεξεργασίας δεδομένων δεν καλύπτονται από την υποχρέωση. Οι λόγοι που αιτιολογούν την υποχρέωση ισχύουν πλήρως για υπευθύνους επεξεργασίας δεδομένων διαφορετικούς από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών.

76.

Η κοινοποίηση παραβιάσεων της ασφάλειας εξυπηρετεί διάφορους σκοπούς και στόχους. Ο προφανέστερος, ο οποίος τονίζεται στην ανακοίνωση, είναι να αποτελεί εργαλείο πληροφόρησης ώστε τα φυσικά πρόσωπα να γνωρίζουν τους κινδύνους που αντιμετωπίζουν όταν προσβάλλονται τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν. Αυτό μπορεί να τους βοηθήσει να λάβουν τα αναγκαία μέτρα για τον μετριασμό των εν λόγω κινδύνων. Για παράδειγμα, όταν ειδοποιούνται για παραβιάσεις που επηρεάζουν τις οικονομικές πληροφορίες τους, τα φυσικά πρόσωπα θα μπορούν, μεταξύ άλλων, να αλλάξουν κωδικούς πρόσβασης ή να ακυρώσουν τους λογαριασμούς τους. Επιπλέον, η κοινοποίηση παραβιάσεων της ασφάλειας συμβάλλει στην αποτελεσματική εφαρμογή άλλων αρχών και υποχρεώσεων που προβλέπονται στην οδηγία. Για παράδειγμα, οι απαιτήσεις κοινοποίησης παραβιάσεων της ασφάλειας παροτρύνουν τους υπευθύνους επεξεργασίας δεδομένων να εφαρμόζουν αυστηρότερα μέτρα ασφάλειας για την αποφυγή των παραβιάσεων. Η κοινοποίηση των παραβιάσεων ασφάλειας είναι επίσης εργαλείο για την ενίσχυση της ευθύνης των υπευθύνων επεξεργασίας δεδομένων και, ειδικότερα, για τη βελτίωση της λογοδοσίας (βλ. κεφάλαιο 7). Τέλος, αποτελεί εργαλείο εφαρμογής του νόμου από τις ΑΠΔ. Η κοινοποίηση παραβίασης στις ΑΠΔ μπορεί να οδηγήσει σε έρευνα των συνολικών πρακτικών ενός υπευθύνου επεξεργασίας δεδομένων.

77.

Οι ειδικοί κανόνες για την παραβίαση της ασφάλειας στην τροποποιημένη οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες συζητηθήκαν ευρέως κατά την κοινοβουλευτική φάση του νομοθετικού πλαισίου, η οποία προηγήθηκε της έγκρισης της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικής επικοινωνίες. Κατά τη συζήτηση αυτή, λήφθηκαν υπόψη οι γνώμες της ομάδας εργασίας του άρθρου 29 και οι γνωμοδοτήσεις του ΕΕΠΔ μαζί με τις απόψεις άλλων ενδιαφερομένων. Οι κανόνες απηχούν τις απόψεις διάφορων ενδιαφερομένων. Αντιπροσωπεύουν μια ισορροπία συμφερόντων: παρότι τα κριτήρια που ενεργοποιούν την υποχρέωση κοινοποίησης είναι, καταρχήν, κατάλληλα για την προστασία των φυσικών προσώπων, η εν λόγω προστασία επιτυγχάνεται χωρίς να επιβάλλονται υπερβολικά επαχθείς, περιττές απαιτήσεις.

78.

Το άρθρο 7 της οδηγίας για την προστασία των δεδομένων απαριθμεί έξι νομικές βάσεις για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Η συγκατάθεση του ενδιαφερομένου είναι μία εξ αυτών. Ο υπεύθυνος επεξεργασίας δεδομένων δικαιούται να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εφόσον τα φυσικά πρόσωπα έδωσαν εν πλήρει επιγνώσει τη συγκατάθεσή τους για τη συλλογή και την περαιτέρω επεξεργασία των δεδομένων τους.

79.

Στην πράξη, οι χρήστες ασκούν συνήθως περιορισμένο έλεγχο στα δεδομένα τους, ιδίως σε τεχνολογικά περιβάλλοντα. Μια από τις μεθόδους που χρησιμοποιείται ενίοτε είναι η σιωπηρή συγκατάθεση, δηλαδή η εξυπακουόμενη συγκατάθεση. Αυτή μπορεί να συνάγεται από μια πράξη του φυσικού προσώπου (π.χ. η πράξη της χρήσης ενός δικτυακού τόπου θεωρείται συναίνεση όσον αφορά την καταχώριση των δεδομένων του χρήστη για σκοπούς μάρκετινγκ). Μπορεί επίσης να συνάγεται από τη σιγή ή την απραξία (η μη αποεπιλογή ενός ήδη επισημασμένου σημείου θεωρείται συγκατάθεση).

80.

Σύμφωνα με την οδηγία, για να είναι ισχυρή η συγκατάθεση πρέπει να παρέχεται εν πλήρει επιγνώσει, ελεύθερα και ρητώς. Πρόκειται για μια δήλωση βούλησης, η οποία παρέχεται εν πλήρει επιγνώσει, με την οποία ο ενδιαφερόμενος δέχεται να υποβληθούν σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα που τον αφορούν. Η συγκατάθεση πρέπει να παρέχεται με μη αμφιλεγόμενο τρόπο.

81.

Η συγκατάθεση η οποία συνάγεται από μια πράξη, και ειδικότερα από τη σιγή ή την απραξία, συχνά είναι αμφιλεγόμενη συγκατάθεση. Ωστόσο, δεν είναι πάντοτε σαφές τι είναι πραγματική, μη αμφιλεγόμενη συγκατάθεση. Μερικοί υπεύθυνοι επεξεργασίας δεδομένων εκμεταλλεύονται την αβεβαιότητα αυτή βασιζόμενοι σε μεθόδους οι οποίες δεν είναι κατάλληλες για την παροχή πραγματικής, μη αμφιλεγόμενης συγκατάθεσης.

82.

Εν όψει των προαναφερθέντων, ο ΕΕΠΔ υποστηρίζει την Επιτροπή όσον αφορά την αναγκαιότητα αποσαφήνισης των ορίων της συγκατάθεσης και εξασφάλισης ότι μόνον η συγκατάθεση που ερμηνεύεται με βεβαιότητα θεωρείται συγκατάθεση. Στο πλαίσιο αυτό, ο ΕΕΠΔ εισηγείται τα ακόλουθα (39):

83.

Η φορητότητα των δεδομένων και το δικαίωμα των φυσικών προσώπων «να λησμονηθούν» είναι δύο αλληλένδετες έννοιες, οι οποίες προτείνονται από την ανακοίνωση για την ενίσχυση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα. Συμπληρώνουν τις αρχές που ήδη αναφέρονται στην οδηγία, προβλέποντας το δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα να εναντιωθεί στην περαιτέρω επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν και την υποχρέωση του υπευθύνου επεξεργασίας των δεδομένων να διαγράφει τις πληροφορίες μόλις παύουν να είναι αναγκαίες για τον σκοπό της επεξεργασίας.

84.

Οι δύο αυτές νέες έννοιες πρόσθεσαν αξία κυρίως στο πλαίσιο της κοινωνίας των πληροφοριών, όπου ολοένα και περισσότερα δεδομένα αποθηκεύονται αυτομάτως και διατηρούνται επ’ αόριστον. Η πρακτική δείχνει ότι, ακόμη και εάν τα δεδομένα μεταφορτώνονται από το ίδιο τον πρόσωπο στο οποίο αναφέρονται τα δεδομένα, ο βαθμός ελέγχου που διαθέτει πραγματικά επί των δεδομένων προσωπικού χαρακτήρα που το αφορούν είναι στην πράξη πολύ περιορισμένος. Αυτό ισχύει ακόμη περισσότερο εάν λάβουμε υπόψη τη γιγαντιαία μνήμη που αντιπροσωπεύει σήμερα το Διαδίκτυο. Εξάλλου, από οικονομική άποψη, είναι πιο δαπανηρό για τον υπεύθυνο επεξεργασίας δεδομένων να διαγράφει δεδομένα παρά να τα διατηρεί αποθηκευμένα. Ως εκ τούτου, η άσκηση των δικαιωμάτων του φυσικού προσώπου αντιβαίνει στη φυσιολογική οικονομική τάση.

85.

Τόσο η φορητότητα των δεδομένων όσο και το δικαίωμα των φυσικών προσώπων «να λησμονηθούν» μπορούν να συμβάλουν στη μετατόπιση της ισορροπίας υπέρ του προσώπου στο οποίο αναφέρονται τα δεδομένα. Στόχος της φορητότητας των δεδομένων θα είναι να παρασχεθεί περισσότερος έλεγχος στον ενδιαφερόμενο επί των πληροφοριών που τον αφορούν, ενώ το δικαίωμα των φυσικών προσώπων «να λησμονηθούν» θα διασφαλίζει ότι οι πληροφορίες καταργούνται αυτομάτως ύστερα από ένα ορισμένο χρονικό διάστημα, ακόμη και εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν προβεί σε κάποια ενέργεια ή δεν γνωρίζει καν ότι αποθηκεύθηκαν δεδομένα που τον αφορούν.

86.

Συγκεκριμένα, ως φορητότητα των δεδομένων νοείται η ικανότητα των χρηστών να αλλάξουν προτίμηση σχετικά με την επεξεργασία των δεδομένων που τους αφορούν, ειδικότερα στο πλαίσιο υπηρεσιών νέας τεχνολογίας. Αυτό ισχύει ολοένα και περισσότερο για υπηρεσίες που συνεπάγονται αποθήκευση πληροφοριών, συμπεριλαμβανομένων δεδομένων προσωπικού χαρακτήρα, όπως η κινητή τηλεφωνία και υπηρεσίες που αποθηκεύουν φωτογραφίες, μηνύματα ηλεκτρονικού ταχυδρομείου και άλλες πληροφορίες, ενίοτε χρησιμοποιώντας υπηρεσίες υπολογιστικού νέφους.

87.

Τα φυσικά πρόσωπα πρέπει να μπορούν να αλλάζουν εύκολα και ελεύθερα τον πάροχο της υπηρεσίας και να μεταβιβάζουν τα δεδομένα προσωπικά χαρακτήρα που τους αφορούν σε άλλον πάροχο υπηρεσιών. Ο ΕΕΠΔ θεωρεί ότι τα ισχύοντα δικαιώματα που περιγράφονται στην οδηγία 95/46/ΕΚ μπορούν να ενισχυθούν περιλαμβάνοντας ένα δικαίωμα φορητότητας, ιδίως στο πλαίσιο των υπηρεσιών της κοινωνίας των πληροφοριών, το οποίο θα βοηθήσει τα φυσικά πρόσωπα να εξασφαλίζουν ότι οι πάροχοι υπηρεσιών και άλλοι σχετικοί υπεύθυνοι επεξεργασίας δεδομένων θα τους παρέχουν πρόσβαση στις προσωπικές πληροφορίες τους, διασφαλίζοντας ταυτόχρονα ότι οι προηγούμενοι πάροχοι υπηρεσιών ή άλλοι υπεύθυνοι επεξεργασίας δεδομένων διαγράφουν τις εν λόγω πληροφορίες, ακόμη και αν θα ήθελαν να τις διατηρήσουν για δικούς τους θεμιτούς σκοπούς.

88.

Ένα νέο κωδικοποιημένο δικαίωμα των φυσικών προσώπων «να λησμονηθούν» θα διασφαλίζει τη διαγραφή των δεδομένων προσωπικού χαρακτήρα ή την απαγόρευση περαιτέρω χρήσης τους, χωρίς να απαιτείται κάποια ενέργεια εκ μέρους του προσώπου στο οποίο αναφέρονται τα δεδομένα, αλλά υπό την προϋπόθεση ότι τα εν λόγω δεδομένα είναι ήδη αποθηκευμένα για ορισμένο χρονικό διάστημα. Με άλλα λόγια, τα δεδομένα θα συνοδεύονται από κάποιο είδος ημερομηνίας λήξης. Η συγκεκριμένη αρχή επιβεβαιώνεται ήδη σε υποθέσεις που κρίνονται ενώπιον εθνικών δικαστηρίων ή εφαρμόζεται σε ειδικούς τομείς, για παράδειγμα, για αστυνομικά αρχεία, ποινικά μητρώα ή πειθαρχικά αρχεία: σύμφωνα με ορισμένους εθνικούς νόμους, οι πληροφορίες που αφορούν φυσικά πρόσωπα διαγράφονται αυτομάτως ή δεν επιτρέπεται να χρησιμοποιούνται ή να διαδίδονται περαιτέρω, ιδίως ύστερα από ένα καθορισμένο χρονικό διάστημα, χωρίς να απαιτείται προηγούμενη κατά περίπτωση ανάλυση.

89.

Υπό την έννοια αυτή, το νέο δικαίωμα των φυσικών προσώπων «να λησμονηθούν» πρέπει να συνδέεται με τη φορητότητα των δεδομένων. Η προστιθέμενη αξία που θα προσφέρει είναι ότι δεν θα απαιτούνται προσπάθειες ούτε επιμονή από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα προκειμένου να επιτύχει τη διαγραφή των δεδομένων που το αφορούν, καθώς κάτι τέτοιο θα γίνεται με αντικειμενικό και αυτοματοποιημένο τρόπο. Ο υπεύθυνος επεξεργασίας δεδομένων μπορεί να δικαιούται να διατηρεί τα δεδομένα μόνον σε πολύ ειδικές περιπτώσεις, εφόσον μπορεί να αποδειχθεί συγκεκριμένη ανάγκη διατήρησης των δεδομένων για μεγαλύτερο χρονικό διάστημα. Επομένως, το δικαίωμα των φυσικών προσώπων «να λησμονηθούν» θα μεταφέρει το βάρος απόδειξης από τον ενδιαφερόμενο στον υπεύθυνο επεξεργασίας των δεδομένων και θα αποτελεί προεπιλεγμένη ρύθμιση απορρήτου για την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

90.

Ο ΕΕΠΔ θεωρεί ότι το δικαίωμα των φυσικών προσώπων «να λησμονηθούν» μπορεί να αποδειχθεί ιδιαίτερα χρήσιμο στο πλαίσιο των υπηρεσιών της κοινωνίας των πληροφοριών. Η υποχρέωση διαγραφής ή μη περαιτέρω διάδοσης πληροφοριών ύστερα από ένα καθορισμένο χρονικό διάστημα είναι εύλογη, ιδίως στα μέσα ενημέρωσης ή στο Διαδίκτυο, και ειδικότερα σε κοινωνικά δίκτυα. Θα είναι επίσης χρήσιμη όσον αφορά τον τερματικό εξοπλισμό: τα δεδομένα που αποθηκεύονται σε κινητές διατάξεις ή υπολογιστές μπορούν αυτομάτως να διαγράφονται ή να κλειδώνονται ύστερα από ένα καθορισμένο χρονικό διάστημα όταν δεν βρίσκονται πλέον στην κατοχή του φυσικού προσώπου. Υπό την έννοια αυτή, το δικαίωμα των φυσικών προσώπων «να λησμονηθούν» μπορεί να μετουσιωθεί σε υποχρέωση «προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό».

91.

Εν κατακλείδι, ο ΕΕΠΔ φρονεί ότι η φορητότητα των δεδομένων και το δικαίωμα των φυσικών προσώπων «να λησμονηθούν» είναι χρήσιμες έννοιες. Θα ήταν σκόπιμο να περιληφθούν στη νομική πράξη, αλλά περιορίζοντάς τες ενδεχομένως στο ηλεκτρονικό περιβάλλον.

92.

Βάσει της οδηγίας 95/46/ΕΚ δεν υπάρχουν ειδικοί κανόνες όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα παιδιών. Το γεγονός αυτό παραβλέπει την ανάγκη ειδικής προστασίας των παιδιών σε συγκεκριμένες καταστάσεις, επειδή είναι ευάλωτα και επειδή δημιουργείται ανασφάλεια δικαίου, ιδίως στους ακόλουθους τομείς:

93.

Ο ΕΕΠΔ θεωρεί ότι τα ιδιαίτερα συμφέροντα των παιδιών θα προστατεύονται καλύτερα εάν η νέα νομική πράξη περιέχει πρόσθετες διατάξεις οι οποίες θα αφορούν ειδικά τη συλλογή και την περαιτέρω επεξεργασία δεδομένων σχετικά με παιδιά. Τέτοιου είδους ειδικές διατάξεις θα παράσχουν επίσης ασφάλεια δικαίου στον συγκεκριμένο τομέα και θα είναι χρήσιμες για τους υπευθύνους επεξεργασίας δεδομένων, οι οποίοι εκτίθενται σήμερα σε διαφορετικές νομικές απαιτήσεις.

94.

Ο ΕΕΠΔ εισηγείται τη συμπερίληψη των ακόλουθων διατάξεων στη νομική πράξη:

95.

Η ενίσχυση της ουσίας των δικαιωμάτων των φυσικών προσώπων δεν θα έχει νόημα εάν δεν υπάρχουν αποτελεσματικοί διαδικαστικοί μηχανισμοί για την επιβολή των εν λόγω δικαιωμάτων. Στο πλαίσιο αυτό, ο ΕΕΠΔ συνιστά τη θέσπιση, στη νομοθεσία της ΕΕ, μηχανισμών συλλογικής προσφυγής για την παραβίαση των κανόνων προστασίας των δεδομένων. Ειδικότερα, οι μηχανισμοί συλλογικής προσφυγής οι οποίοι παρέχουν τη δυνατότητα σε ομάδες πολιτών να συνδυάζουν τις αξιώσεις τους σε μια ενιαία αγωγή μπορεί να αποτελέσουν πολύ ισχυρό εργαλείο για τη διευκόλυνση της εφαρμογής των κανόνων προστασίας των δεδομένων (42). Την καινοτομία αυτή υποστηρίζουν επίσης οι αρχές προστασίας των δεδομένων στο έγγραφο της ομάδας εργασίας σχετικά με το μέλλον της ιδιωτικής ζωής.

96.

Σε περιπτώσεις με μικρότερο αντίκτυπο, δεν είναι πιθανό τα θύματα παραβιάσεων των κανόνων προστασίας των δεδομένων να ασκήσουν ατομικές αγωγές κατά των υπευθύνων επεξεργασίας δεδομένων, λόγω των εξόδων, των καθυστερήσεων, των αβεβαιοτήτων, των κινδύνων και του φόρτου με τον οποίο θα επιβαρυνθούν. Οι δυσκολίες αυτές μπορούν να ξεπερασθούν ή να μετριασθούν σημαντικά εάν θεσπισθεί ένα σύστημα συλλογικής προσφυγής, το οποίο θα παρέχει τη δυνατότητα στα θύματα παραβιάσεων να συνενώσουν τις επιμέρους αξιώσεις τους σε μια ενιαία αγωγή. Ο ΕΕΠΔ τάσσεται επίσης υπέρ της παροχής της δυνατότητας σε εξειδικευμένες οντότητες, όπως ενώσεις καταναλωτών ή δημόσιοι φορείς, να ασκούν αγωγές αποζημίωσης εξ ονόματος θυμάτων παραβιάσεων των κανόνων προστασίας των δεδομένων. Οι αγωγές αυτές δεν πρέπει να θίγουν το δικαίωμα του προσώπου στο οποίο αφορούν τα δεδομένα να ασκήσει ατομική αγωγή.

97.

Οι συλλογικές αγωγές δεν είναι σημαντικές μόνον για να διασφαλίζεται η πλήρης αποζημίωση ή άλλα μέτρα αποκατάστασης· έμμεσα, επιτελούν επίσης ενισχυμένη αποτρεπτική λειτουργία. Ο κίνδυνος καταδίκης στην καταβολή δαπανηρών συλλογικών αποζημιώσεων σε τέτοιες αγωγές θα πολλαπλασιάσει τα κίνητρα των υπευθύνων επεξεργασίας δεδομένων ώστε να διασφαλίζουν πραγματικά τη συμμόρφωση. Συναφώς, η ενισχυμένη επιβολή της νομοθεσίας από ιδιωτικούς φορείς μέσω των μηχανισμών συλλογικής προσφυγής θα συμπληρώσει τη δημόσια επιβολή της νομοθεσίας.

98.

Η ανακοίνωση δεν υιοθετεί καμία θέση ως προς το συγκεκριμένο θέμα. Ο ΕΕΠΔ γνωρίζει τον διάλογο που βρίσκεται σε εξέλιξη σε ευρωπαϊκό επίπεδο σχετικά με τη θέσπιση μέσων συλλογικής έννομης προστασίας των καταναλωτών. Έχει επίσης επίγνωση του κινδύνου υπερβολών που μπορούν να επιφέρουν οι εν λόγω μηχανισμοί βάσει των εμπειριών άλλων έννομων τάξεων. Ωστόσο, φρονεί ότι οι παράγοντες αυτοί δεν αποτελούν ικανά επιχειρήματα για την απόρριψη ή την αναβολή της θέσπισης τέτοιων μηχανισμών στη νομοθεσία για την προστασία των δεδομένων, εν όψει των οφελών που θα επιφέρουν (43).

99.

Ο ΕΕΠΔ φρονεί ότι, πέρα από την ενίσχυση των δικαιωμάτων των φυσικών προσώπων, μια σύγχρονη νομική πράξη για την προστασία των δεδομένων πρέπει να περιέχει τα αναγκαία εργαλεία τα οποία αυξάνουν την ευθύνη των υπευθύνων επεξεργασίας δεδομένων. Ειδικότερα, το πλαίσιο πρέπει να περιέχει κίνητρα για τους υπευθύνους επεξεργασίας δεδομένων, στον ιδιωτικό ή στον δημόσιο τομέα, να συμπεριλάβουν προορατικά μέτρα προστασίας των δεδομένων στις επιχειρηματικές διαδικασίες τους. Τα εργαλεία αυτά θα είναι χρήσιμα, κατά πρώτον, επειδή, όπως προαναφέρθηκε, οι τεχνολογικές εξελίξεις έχουν ως αποτέλεσμα την έντονη αύξηση της συλλογής, της χρήσης και της περαιτέρω διαβίβασης δεδομένων προσωπικού χαρακτήρα, γεγονός που αυξάνει τους κινδύνους για την ιδιωτική ζωή και την προστασία των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων, οι οποίοι πρέπει να αντισταθμισθούν με αποτελεσματικό τρόπο. Κατά δεύτερον, το ισχύον πλαίσιο δεν διαθέτει –εξαιρουμένων λιγοστών δεόντως καθορισμένων διατάξεων (βλ. κατωτέρω)– τέτοια εργαλεία και οι υπεύθυνοι προστασίας των δεδομένων μπορεί να υιοθετούν μια προσέγγιση εκ των υστέρων αντίδρασης στην προστασία των δεδομένων και στην ιδιωτική ζωή και να ενεργούν μόνον μετά την εμφάνιση ενός προβλήματος. Η προσέγγιση αυτή αντικατοπτρίζεται σε στατιστικά στοιχεία, τα οποία καταγράφουν ως επαναλαμβανόμενα προβλήματα ελλιπείς πρακτικές συμμόρφωσης και απώλειες δεδομένων.

100.

Κατά τον ΕΕΠΔ, το ισχύον πλαίσιο δεν επαρκεί για την αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα υπό τις παρούσες και μελλοντικές συνθήκες. Όσο μεγαλύτεροι είναι οι κίνδυνοι τόσο μεγαλύτερη είναι η ανάγκη εφαρμογής συγκεκριμένων μέτρων τα οποία προστατεύουν τις πληροφορίες σε πρακτικό επίπεδο και παρέχουν αποτελεσματική προστασία. Εάν δεν εφαρμοσθούν εκ των πραγμάτων τα προληπτικά αυτά μέτρα, είναι πιθανό να συνεχισθούν τα σφάλματα, τα ατυχή συμβάντα και η αμέλεια, θέτοντας σε κίνδυνο την ιδιωτική ζωή των φυσικών προσώπων σε αυτήν την ολοένα και πιο ψηφιακή κοινωνία. Για τον σκοπό αυτό, ο ΕΕΠΔ προτείνει τα μέτρα που περιγράφονται στη συνέχεια.

101.

Ο ΕΕΠΔ συνιστά τη θέσπιση μιας νέας διάταξης στη νομική πράξη, η οποία θα απαιτεί από τους υπευθύνους επεξεργασίας δεδομένων να εφαρμόζουν κατάλληλα και αποτελεσματικά μέτρα για την υλοποίηση των αρχών και των υποχρεώσεων της νομικής πράξης και να αποδεικνύουν κάτι τέτοιο κατόπιν αιτήματος.

102.

Μια τέτοια διάταξη δεν θα είναι τελείως καινοφανής. Το άρθρο 6 παράγραφος 2 της οδηγίας 95/46/ΕΚ αναφέρεται στις αρχές που σχετίζονται με την ποιότητα των δεδομένων και ορίζει ότι: «Εναπόκειται στον υπεύθυνο της επεξεργασίας να εξασφαλίσει την τήρηση της παραγράφου 1». Ομοίως, το άρθρο 17 παράγραφος 1 απαιτεί από τους υπευθύνους επεξεργασίας δεδομένων να λαμβάνουν τόσο τεχνικά όσο και οργανωτικά μέτρα. Ωστόσο, η εμβέλεια των διατάξεων αυτών είναι περιορισμένη. Η θέσπιση μιας γενικής διάταξης περί λογοδοσίας θα παροτρύνει τους υπευθύνους επεξεργασίας δεδομένων να θεσπίσουν προορατικά μέτρα προκειμένου να συμμορφώνονται με όλα τα στοιχεία της νομοθεσίας για την προστασία των δεδομένων.

103.

Η ύπαρξη μιας διάταξης για τη λογοδοσία θα έχει ως συνέπεια να υποχρεωθούν οι υπεύθυνοι επεξεργασίας δεδομένων να θεσπίσουν εσωτερικούς μηχανισμούς και συστήματα ελέγχου που θα διασφαλίζουν τη συμμόρφωση προς τις αρχές και τις υποχρεώσεις του πλαισίου. Αυτό θα απαιτεί, για παράδειγμα, τη συμμετοχή της ανώτερης διοίκησης στις πολιτικές προστασίας των δεδομένων, τη χαρτογράφηση διαδικασιών για την εξασφάλιση κατάλληλου προσδιορισμού όλων των πράξεων επεξεργασίας δεδομένων, την ύπαρξη δεσμευτικών πολιτικών για την προστασία των δεδομένων, οι οποίες θα πρέπει επίσης να επανεξετάζονται και να επικαιροποιούνται συνεχώς προκειμένου να καλύπτουν νέες πράξεις επεξεργασίας δεδομένων, τη συμμόρφωση προς τις αρχές της ποιότητας των δεδομένων, της κοινοποίησης, της ασφάλειας, της πρόσβασης κ.λπ. Θα απαιτεί επίσης από τους υπευθύνους επεξεργασίας δεδομένων να τηρούν στοιχεία για να αποδεικνύουν στις αρχές τη συμμόρφωση, κατόπιν αιτήματός τους. Η απόδειξη της συμμόρφωσης στο ευρύτερο κοινό πρέπει επίσης να καταστεί υποχρεωτική σε ορισμένες περιπτώσεις. Αυτό μπορεί να επιτευχθεί, για παράδειγμα, απαιτώντας από τους υπευθύνους επεξεργασίας δεδομένων να περιλαμβάνουν την προστασία των δεδομένων σε δημόσιες (ετήσιες) εκθέσεις, όταν οι εν λόγω εκθέσεις είναι υποχρεωτικές για άλλους λόγους.

104.

Προφανώς, οι τύποι εσωτερικών και εξωτερικών μέτρων που θα εφαρμοσθούν πρέπει να είναι κατάλληλοι και να εξαρτώνται από τα πραγματικά περιστατικά και τις συνθήκες κάθε μεμονωμένης περίπτωσης. Υπάρχει διαφορά ανάλογα με το κατά πόσον ένας υπεύθυνος επεξεργασίας δεδομένων επεξεργάζεται τα αρχεία μερικών εκατοντάδων πελατών, τα οποία περιλαμβάνουν απλώς ονόματα και διευθύνσεις, ή επεξεργάζεται τα αρχεία εκατομμυρίων ασθενών, συμπεριλαμβανομένου του ιατρικού ιστορικού τους. Το ίδιο ισχύει για τους ειδικούς τρόπους αξιολόγησης της αποτελεσματικότητας των μέτρων. Πρέπει να υπάρχει δυνατότητα κλιμάκωσης.

105.

Η γενική συνολική νομική πράξη για την προστασία των δεδομένων δεν πρέπει να προσδιορίζει τις ειδικές απαιτήσεις της λογοδοσίας, αλλά μόνον τα βασικά στοιχεία της. Η ανακοίνωση προβλέπει ορισμένα στοιχεία για την ενίσχυση της ευθύνης των υπευθύνων επεξεργασίας δεδομένων, τα οποία είναι ιδιαίτερα ευπρόσδεκτα. Ειδικότερα, ο ΕΕΠΔ υποστηρίζει πλήρως την καθιέρωση υποχρεωτικού διορισμού υπευθύνων προστασίας των δεδομένων και υποχρεωτικών εκτιμήσεων των επιπτώσεων στην ιδιωτική ζωή, επί τη βάσει ορισμένων κατώτατων ορίων.

106.

Επιπλέον, ο ΕΕΠΔ συνιστά την ανάθεση εξουσιών στην Επιτροπή, βάσει του άρθρου 290 ΣΛΕΕ, για τη συμπλήρωση των βασικών απαιτήσεων που είναι αναγκαίες για την επίτευξη του προτύπου της λογοδοσίας. Η χρήση των εξουσιών αυτών θα βελτιώσει την ασφάλεια δικαίου για τους υπευθύνους επεξεργασίας δεδομένων και θα εναρμονίσει τη συμμόρφωση σε ολόκληρη την ΕΕ. Κατά την ανάπτυξη τέτοιων ειδικών πράξεων, πρέπει να ζητηθεί η γνώμη της ομάδας εργασίας του άρθρου 29 και του ΕΕΠΔ.

107.

Τέλος, τα συγκεκριμένα μέτρα λογοδοσίας που θα εφαρμόζονται από τους υπευθύνους επεξεργασίας δεδομένων μπορούν επίσης να επιβάλλονται από τις αρχές προστασίας των δεδομένων στο πλαίσιο των εξουσιών τους σχετικά με την επιβολή της νομοθεσίας. Για τον σκοπό αυτό, πρέπει να ανατεθούν νέες εξουσίες στις αρχές προστασίας των δεδομένων, οι οποίες θα τους επιτρέπουν να επιβάλλουν διορθωτικά μέτρα ή κυρώσεις. Ενδεικτικά αναφέρονται η θέσπιση εσωτερικών προγραμμάτων συμμόρφωσης, η εφαρμογή της προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό σε συγκεκριμένα προϊόντα και υπηρεσίες κ.λπ. Διορθωτικά μέτρα πρέπει να επιβάλλονται μόνον στον βαθμό που είναι κατάλληλα, αναλογικά και αποτελεσματικά για να διασφαλίζεται η συμμόρφωση προς τα ισχύοντα και εκτελεστά νομικά πρότυπα.

108.

Η προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό αφορά την ενσωμάτωση της προστασίας των δεδομένων και της ιδιωτικής ζωής ευθύς εξ αρχής σε νέα προϊόντα, υπηρεσίες και διαδικασίες που συνεπάγονται την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Κατά τον ΕΕΠΔ, η προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό αποτελεί στοιχείο λογοδοσίας. Ως εκ τούτου, οι υπεύθυνοι επεξεργασίας δεδομένων θα υποχρεώνονται επίσης να αποδεικνύουν ότι εφάρμοσαν την προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό, όπου αρμόζει. Πρόσφατα, η 32η Διεθνής Διάσκεψη επιτρόπων για την προστασία των δεδομένων και την ιδιωτική ζωή εξέδωσε ψήφισμα στο οποίο αναγνωρίζεται η προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό ως ουσιώδες στοιχείο της θεμελιώδους προστασίας της ιδιωτικής ζωής (44).

109.

Η οδηγία 95/46/ΕΚ περιέχει μερικές διατάξεις οι οποίες ενθαρρύνουν την προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό (45), αλλά δεν αναγνωρίζει ρητά μια τέτοια υποχρέωση. Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για την υποστήριξη, στην ανακοίνωση, της προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό ως εργαλείου για τη διασφάλιση της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων. Εισηγείται τη συμπερίληψη μιας δεσμευτικής διάταξης που θα θεσπίζει την υποχρέωση «προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό», η οποία μπορεί να βασίζεται στη διατύπωση της αιτιολογικής σκέψης 46 της οδηγίας 95/46/EK. Ειδικότερα, η διάταξη θα απαιτεί ρητώς από τους υπευθύνους επεξεργασίας των δεδομένων να λαμβάνουν τεχνικά και οργανωτικά μέτρα, κατά τη στιγμή τόσο του σχεδιασμού των τεχνικών επεξεργασίας όσο και της εκτέλεσης της επεξεργασίας, προκειμένου ιδίως να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να εμποδίζεται κάθε ανεπίτρεπτη επεξεργασία (46).

110.

Βάσει μιας τέτοιας διάταξης, οι υπεύθυνοι επεξεργασίας των δεδομένων θα υποχρεούνται, μεταξύ άλλων, να διασφαλίζουν ότι τα συστήματα επεξεργασίας των δεδομένων έχουν σχεδιασθεί έτσι ώστε να επεξεργάζονται όσο το δυνατόν λιγότερα δεδομένα προσωπικού χαρακτήρα, να εφαρμόζουν προεπιλεγμένες ρυθμίσεις απορρήτου, για παράδειγμα στα κοινωνικά δίκτυα, να τηρούν ως προεπιλογή εμπιστευτικά τα προφίλ των φυσικών προσώπων και να εφαρμόζουν εργαλεία που θα επιτρέπουν στους χρήστες να προστατεύουν καλύτερα τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν (π.χ. έλεγχοι πρόσβασης, κρυπτογράφηση).

111.

Τα πλεονεκτήματα της ειδικότερης αναφοράς στην προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό μπορούν να συνοψισθούν ως ακολούθως:

112.

Οι συνδυασμένες συνέπειες της υποχρέωσης αυτής θα έχουν ως αποτέλεσμα μεγαλύτερη ζήτηση για προϊόντα και υπηρεσίες που θα ενσωματώνουν την αρχή της προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό, παρέχοντας περισσότερα κίνητρα στον κλάδο να ικανοποιήσει την εν λόγω ζήτηση. Επιπλέον, πρέπει να εξετασθεί το ενδεχόμενο θέσπισης μιας χωριστής υποχρέωσης για τους σχεδιαστές και τους κατασκευαστές νέων προϊόντων και υπηρεσιών με δυνητικό αντίκτυπο στην προστασία των δεδομένων και στην ιδιωτική ζωή. Ο ΕΕΠΔ εισηγείται τη συμπερίληψη μιας τέτοιας χωριστής υποχρέωσης, η οποία μπορεί να παροτρύνει περαιτέρω τους υπευθύνους επεξεργασίας δεδομένων να συμμορφώνονται προς τη δική τους υποχρέωση.

113.

Η κωδικοποίηση της προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό μπορεί να συμπληρωθεί από μια διάταξη που θα θεσπίζει γενικές απαιτήσεις προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό, εφαρμοστέες σε όλους τους τομείς, προϊόντα και υπηρεσίες, όπως για παράδειγμα η εξασφάλιση μέτρων για την παροχή εξουσιών στους χρήστες τα οποία θα θεσπισθούν σύμφωνα με τη βασική αρχή.

114.

Επιπλέον, ο ΕΕΠΔ συνιστά την ανάθεση εξουσιών στην Επιτροπή βάσει του άρθρου 290 ΣΛΕΕ για τη συμπλήρωση –όπου αρμόζει– των βασικών απαιτήσεων της προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό για επιλεγμένα προϊόντα και υπηρεσίες. Η χρήση των εξουσιών αυτών θα βελτιώσει την ασφάλεια δικαίου για τους υπευθύνους επεξεργασίας δεδομένων και θα εναρμονίσει τη συμμόρφωση σε ολόκληρη την ΕΕ. Κατά την ανάπτυξη τέτοιων ειδικών πράξεων, πρέπει να ζητηθεί η γνώμη της ομάδας εργασίας του άρθρου 29 και του ΕΕΠΔ (βλ. στο ίδιο πνεύμα παράγραφο 106 σχετικά με τη λογοδοσία).

115.

Τέλος, οι αρχές προστασίας των δεδομένων πρέπει να διαθέτουν εξουσία επιβολής διορθωτικών μέτρων ή κυρώσεων, υπό παρόμοιους περιοριστικούς όρους όπως προαναφέρθηκε στην παράγραφο 107, όταν οι υπεύθυνοι επεξεργασίας δεδομένων απέτυχαν σαφώς να λάβουν συγκεκριμένα μέτρα σε περιπτώσεις στις οποίες απαιτείται κάτι τέτοιο.

116.

Η ανακοίνωση αναγνωρίζει την αναγκαιότητα διερεύνησης της δημιουργίας συστημάτων πιστοποίησης ΕΕ για προϊόντα και υπηρεσίες που σέβονται την ιδιωτική ζωή. Ο ΕΕΠΔ υποστηρίζει πλήρως τον συγκεκριμένο στόχο και εισηγείται τη συμπερίληψη διάταξης που θα προβλέπει τη δημιουργία τους και τις ενδεχόμενες συνέπειές τους σε ολόκληρη την ΕΕ, η οποία ενδέχεται να αναπτυχθεί περαιτέρω αργότερα σε πρόσθετη νομοθεσία. Η διάταξη πρέπει να συμπληρώνει τις διατάξεις σχετικά με τη λογοδοσία και την προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό.

117.

Τα εθελοντικά συστήματα πιστοποίησης θα επιτρέπουν την επαλήθευση του κατά πόσον ο υπεύθυνος επεξεργασίας δεδομένων θέσπισε μέτρα για τη συμμόρφωση προς τη νομική πράξη. Επιπλέον, οι υπεύθυνοι επεξεργασίας δεδομένων –ή ακόμη και τα προϊόντα ή οι υπηρεσίες– που θα διαθέτουν σήμα πιστοποίησης είναι πιθανό να αποκτήσουν ανταγωνιστικό πλεονέκτημα σε σχέση με άλλα. Τέτοια συστήματα θα βοηθήσουν επίσης τις αρχές προστασίας των δεδομένων στον εποπτικό ρόλο τους και στον ρόλο τους όσον αφορά την επιβολή της νομοθεσίας.

118.

Όπως προαναφέρθηκε στο κεφάλαιο 2, η διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός των συνόρων της ΕΕ αυξάνεται με γεωμετρική πρόοδο ως αποτέλεσμα της ανάπτυξης νέων τεχνολογιών, του ρόλου των πολυεθνικών εταιρειών και της αυξανόμενης επιρροής των κυβερνήσεων στην επεξεργασία και ανταλλαγή δεδομένων προσωπικού χαρακτήρα σε διεθνή κλίμακα. Αυτός είναι ένας από τους κύριους λόγους που δικαιολογούν την αναθεώρηση του ισχύοντος νομικού πλαισίου. Ως εκ τούτου, πρόκειται για έναν από τους τομείς για τους οποίους ο ΕΕΠΔ θέτει φιλόδοξους στόχους και ζητεί αποτελεσματικότητα, καθώς υπάρχει σαφής ανάγκη συνεκτικότερης προστασίας όταν τα δεδομένα υποβάλλονται σε επεξεργασία εκτός της ΕΕ.

119.

Κατά τον ΕΕΠΔ, απαιτείται μεγαλύτερη επένδυση στην ανάπτυξη διεθνών κανόνων. Η αύξηση της εναρμόνισης όσον αφορά το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα ανά τον κόσμο θα αποσαφηνίσει σημαντικά την ουσία των βασικών αρχών προς τις οποίες απαιτείται συμμόρφωση και τις προϋποθέσεις διαβίβασης δεδομένων. Οι παγκόσμιοι αυτοί κανόνες θα πρέπει να συνδυάζουν την απαίτηση για ένα υψηλό πρότυπο προστασίας των δεδομένων –συμπεριλαμβανομένων βασικών στοιχείων προστασίας των δεδομένων της ΕΕ– με τις περιφερειακές ιδιαιτερότητες.

120.

Ο ΕΕΠΔ υποστηρίζει το φιλόδοξο έργο που έχει πραγματοποιηθεί έως τώρα στο πλαίσιο της διεθνούς διάσκεψης των επιτρόπων για την προστασία των δεδομένων για την ανάπτυξη και τη διάδοση των λεγόμενων «προτύπων της Μαδρίτης», με σκοπό την ενσωμάτωσή τους σε μια δεσμευτική πράξη και, ενδεχομένως, τη δρομολόγηση μιας διακυβερνητικής διάσκεψης (47). Ζητεί από την Επιτροπή να αναλάβει τις αναγκαίες πρωτοβουλίες για τη διευκόλυνση της υλοποίησης του στόχου αυτού.

121.

Κατά τον ΕΕΠΔ, είναι επίσης σημαντικό να διασφαλισθεί συνεκτικότητα μεταξύ της πρωτοβουλίας αυτής για διεθνή πρότυπα, της τρέχουσας αναθεώρησης του πλαισίου της ΕΕ για την προστασία των δεδομένων και άλλων εξελίξεων, όπως η τρέχουσα αναθεώρηση των κατευθυντήριων γραμμών του ΟΟΣΑ για την προστασία της ιδιωτικής ζωής και της σύμβασης αριθ. 108 του Συμβουλίου της Ευρώπης, η οποία είναι ανοικτή προς υπογραφή από τρίτες χώρες (βλ. επίσης παράγραφο 17). Ο ΕΕΠΔ θεωρεί ότι η Επιτροπή μπορεί να διαδραματίσει συγκεκριμένο ρόλο στον τομέα αυτό, προσδιορίζοντας με ποιον τρόπο θα προωθήσει την εν λόγω συνεκτικότητα στις διαπραγματεύσεις με τον ΟΟΣΑ και το Συμβούλιο της Ευρώπης.

122.

Δεδομένου ότι δεν είναι εύκολο να επιτευχθεί απόλυτη συνεκτικότητα, θα παραμείνει –τουλάχιστον στο εγγύς μέλλον– κάποιος βαθμός διαφοροποίησης μεταξύ των νόμων στην ΕΕ και κυρίως εκτός των συνόρων της ΕΕ. Ο ΕΕΠΔ θεωρεί ότι η νέα νομική πράξη θα πρέπει να αποσαφηνίζει τα κριτήρια καθορισμού του εφαρμοστέου δικαίου και να εξασφαλίζει τον εξορθολογισμό των μηχανισμών για τις ροές δεδομένων καθώς και τη λογοδοσία των παραγόντων που εμπλέκονται στις ροές δεδομένων.

123.

Καταρχάς, η νομική πράξη πρέπει να διασφαλίζει την εφαρμογή του δικαίου της ΕΕ όταν δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία εκτός των συνόρων της ΕΕ, εφόσον υπάρχει αιτιολογημένη αξίωση εφαρμογής του δικαίου της ΕΕ. Το παράδειγμα μη ευρωπαϊκών υπηρεσιών υπολογιστικού νέφους που στοχεύουν κατοίκους της ΕΕ εξηγεί για ποιον λόγο απαιτείται κάτι τέτοιο. Σε ένα περιβάλλον στο οποίο τα δεδομένα δεν αποθηκεύονται και δεν υποβάλλονται σε επεξεργασία με υλικό τρόπο σε έναν συγκεκριμένο τόπο, στο οποίο πάροχοι υπηρεσιών και χρήστες που βρίσκονται σε διαφορετικές χώρες παρεμβαίνουν και ασκούν επιρροή στα δεδομένα, είναι πολύ δύσκολο να προσδιορισθεί ποιος είναι υπεύθυνος να συμμορφώνεται προς συγκεκριμένες αρχές προστασίας των δεδομένων. Παρέχεται καθοδήγηση, ιδίως από τις αρχές προστασίας των δεδομένων, σχετικά με τον τρόπο ερμηνείας και εφαρμογής της οδηγίας 95/46/ΕΚ σε τέτοιες περιπτώσεις, αλλά η καθοδήγηση αφ’ εαυτή δεν επαρκεί για να διασφαλίζεται ασφάλεια δικαίου στο νέο αυτό περιβάλλον.

124.

Στην επικράτεια της ΕΕ, η ανάγκη για ένα ακριβέστερο νομικό πλαίσιο και ένα απλουστευμένο κριτήριο καθορισμού του εφαρμοστέου δικαίου τονίσθηκε από την ομάδα εργασίας του άρθρου 29 σε πρόσφατη γνώμη της (48).

125.

Κατά τον ΕΕΠΔ, η προτιμώμενη λύση είναι η θέσπιση της νομικής πράξης μέσω κανονισμού, ο οποίος θα έχει ως αποτέλεσμα την εφαρμογή ίδιων κανόνων σε όλα τα κράτη μέλη. Ο κανονισμός θα καταστήσει λιγότερο σημαντική την αναγκαιότητα καθορισμού του εφαρμοστέου δικαίου. Αυτός είναι ένας από τους λόγους για τους οποίους ο ΕΕΠΔ τάσσεται σθεναρά υπέρ της θέσπισης ενός κανονισμού. Ωστόσο, και ο κανονισμός μπορεί να επιτρέπει κάποιο περιθώριο χειρισμών στα κράτη μέλη. Εάν στη νέα πράξη διατηρηθεί σημαντικό περιθώριο χειρισμών, ο ΕΕΠΔ υποστηρίζει την εισήγηση της ομάδας εργασίας του άρθρου 29 για μετάβαση από την εφαρμογή διαφορετικών εθνικών νόμων στην κεντρική εφαρμογή ενιαίας νομοθεσίας σε όλα τα κράτη μέλη στα οποία ο υπεύθυνος επεξεργασίας δεδομένων διαθέτει εγκαταστάσεις. Ο ΕΕΠΔ ζητεί επίσης περισσότερη συνεργασία και συντονισμό μεταξύ των αρχών προστασίας των δεδομένων σε διασυνοριακές περιπτώσεις και καταγγελίες (βλ. κεφάλαιο 10).

126.

Η αναγκαιότητα συνεκτικότητας και ενός σημείου αναφοράς υψηλού επιπέδου πρέπει να ληφθεί υπόψη όχι μόνον σε σχέση με τις παγκόσμιες αρχές προστασίας των δεδομένων, αλλά επίσης σε σχέση με τις διεθνείς διαβιβάσεις. Ο ΕΕΠΔ υποστηρίζει πλήρως τον στόχο της Επιτροπής για τον εξορθολογισμό των ισχυουσών διαδικασιών για τις διεθνείς διαβιβάσεις δεδομένων και τη διασφάλιση μιας πιο ομοιόμορφης και συνεπούς προσέγγισης έναντι τρίτων χωρών και διεθνών οργανισμών.

127.

Ο μηχανισμός των ροών δεδομένων περιλαμβάνει τόσο διαβιβάσεις του ιδιωτικού τομέα, ιδίως μέσω συμβατικών ρητρών ή δεσμευτικών εταιρικών κανόνων (BCR), όσο και διαβιβάσεις μεταξύ δημόσιων αρχών. Οι BCR είναι ένας από τους τομείς στους οποίους θα ήταν επιθυμητή μια πιο συνεπής και εξορθολογισμένη προσέγγιση. Ο ΕΕΠΔ συνιστά να εξετασθούν ρητά οι προϋποθέσεις για BCR στη νέα νομική πράξη (49):

128.

Η Επιτροπή τόνισε επανειλημμένα τη σημασία της ενίσχυσης της προστασίας των δεδομένων στο πλαίσιο της επιβολής του νόμου και της πρόληψης του εγκλήματος, τη στιγμή που η ανταλλαγή και η χρήση προσωπικών πληροφοριών αυξάνεται σημαντικά. Επίσης, το Πρόγραμμα της Στοκχόλμης, το οποίο εγκρίθηκε από το Ευρωπαϊκό Συμβούλιο, αναφέρεται σε ένα ισχυρό καθεστώς προστασίας των δεδομένων ως κύρια προϋπόθεση της στρατηγικής της ΕΕ για τη διαχείριση των πληροφοριών στον συγκεκριμένο τομέα (50).

129.

Η αναθεώρηση του γενικού πλαισίου για την προστασία των δεδομένων αποτελεί ιδανική ευκαιρία για την επίτευξη προόδου στον συγκεκριμένο τομέα, ιδίως δεδομένου ότι η ανακοίνωση περιγράφει ορθώς την απόφαση-πλαίσιο 2008/977 ως ανεπαρκή (51).

130.

Ο ΕΕΠΔ εξήγησε στην παράγραφο 3.2.5 της παρούσας γνωμοδότησης για ποιον λόγο ο τομέας της αστυνομικής και δικαστικής συνεργασίας πρέπει να περιλαμβάνεται στη γενική πράξη. Η συμπερίληψη της αστυνομίας και της δικαιοσύνης εμφανίζει ορισμένα πρόσθετα πλεονεκτήματα. Σημαίνει ότι οι κανόνες δεν θα εφαρμόζονται πλέον μόνον σε διασυνοριακές ανταλλαγές δεδομένων (52), αλλά και στην εγχώρια επεξεργασία. Η κατάλληλη προστασία κατά την ανταλλαγή δεδομένων προσωπικού χαρακτήρα με τρίτες χώρες θα διασφαλίζεται καλύτερα, ακόμη και στο πλαίσιο των διεθνών συμφωνιών. Επιπλέον, οι ΑΠΔ θα διαθέτουν τις ίδιες εκτεταμένες και εναρμονισμένες εξουσίες έναντι των αστυνομικών και δικαστικών αρχών που διαθέτουν έναντι άλλων υπευθύνων επεξεργασίας δεδομένων. Τέλος, το ισχύον άρθρο 13, το οποίο προβλέπει εξουσία των κρατών μελών να θεσπίζουν ειδική νομοθεσία για τον περιορισμό των υποχρεώσεων και των δικαιωμάτων στο πλαίσιο της γενικής πράξης για τη διαφύλαξη συγκεκριμένων δημόσιων συμφερόντων, θα πρέπει να εφαρμόζεται με τον ίδιο περιορισμένο τρόπο όπως εφαρμόζεται σε άλλους τομείς. Ειδικότερα, οι ειδικές εγγυήσεις που προβλέπονται βάσει της γενικής πράξης στον συγκεκριμένο τομέα θα πρέπει να τηρούνται και στην εθνική νομοθεσία που ισχύει στον τομέα της αστυνομικής και δικαστικής συνεργασίας.

131.

Ωστόσο, η συμπερίληψη αυτή δεν αποκλείει τους ειδικούς κανόνες και τις αποκλίσεις, οι οποίοι λαμβάνουν δεόντως υπόψη τις ιδιαιτερότητες του συγκεκριμένου τομέα, σύμφωνα με τη δήλωση αριθ. 21 που προσαρτάται στη συνθήκη της Λισαβόνας. Μπορούν να προβλεφθούν περιορισμοί των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα, αλλά αυτοί πρέπει να είναι αναγκαίοι, αναλογικοί και να μην αλλοιώνουν τα ουσιώδη στοιχεία του δικαιώματος αυτού καθαυτού. Στο πλαίσιο αυτό, πρέπει να τονισθεί ότι η οδηγία 95/46/EK, συμπεριλαμβανομένου του άρθρου 13, εφαρμόζεται επί του παρόντος για την επιβολή του νόμου σε διάφορους τομείς (π.χ. φορολογία, τελωνεία, καταπολέμηση της απάτης) οι οποίοι δεν διαφέρουν θεμελιωδώς από πολλές άλλες δραστηριότητες στον τομέα της αστυνομίας και της δικαιοσύνης.

132.

Επιπλέον, πρέπει να θεσπισθούν επίσης ειδικές αντισταθμιστικές εγγυήσεις, προκειμένου να παρέχεται πρόσθετη προστασία στα πρόσωπα στα οποία αναφέρονται τα δεδομένα σε έναν τομέα στον οποίο η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να είναι πιο παρεμβατική.

133.

Εν όψει των προαναφερθέντων, ο ΕΕΠΔ θεωρεί ότι το νέο πλαίσιο πρέπει να περιλαμβάνει τουλάχιστον τα ακόλουθα στοιχεία, σύμφωνα με τη σύμβαση αριθ. 108 και τη σύσταση αριθ. R (87) 15:

134.

Η ανακοίνωση αναφέρει ότι «η απόφαση-πλαίσιο δεν αντικαθιστά τις διάφορες τομεακές νομοθετικές πράξεις για την αστυνομική και δικαστική συνεργασία σε ποινικές υποθέσεις που εκδόθηκαν σε επίπεδο ΕΕ, ιδίως εκείνες που διέπουν τη λειτουργία της Ευρωπόλ, της Eurojust, του Συστήματος Πληροφοριών Σένγκεν (SIS) και του Τελωνειακού Συστήματος Πληροφοριών (CIS), οι οποίες προβλέπουν ιδιαίτερα καθεστώτα προστασίας δεδομένων ή/και παραπέμπουν συνήθως στις πράξεις προστασίας των δεδομένων του Συμβουλίου της Ευρώπης».

135.

Κατά τον ΕΕΠΔ, το νέο νομικό πλαίσιο πρέπει να είναι, κατά το δυνατόν, σαφές, απλό και συνεκτικό. Όταν υπάρχει πληθώρα διαφορετικών καθεστώτων που εφαρμόζονται, για παράδειγμα, στην Ευρωπόλ, στην Eurojust, στο SIS και στην απόφαση Prüm, η συμμόρφωση προς τους κανόνες παραμένει ή γίνεται πιο πολύπλοκη. Αυτός είναι ένας από τους λόγους για τους οποίους ο ΕΕΠΔ τάσσεται υπέρ μιας συνολικής νομικής πράξης για όλους τους τομείς.

136.

Ωστόσο, ο ΕΕΠΔ κατανοεί ότι η εναρμόνιση των κανόνων των διάφορων συστημάτων θα απαιτήσει σημαντικό έργο, το οποίο πρέπει να εκτελεσθεί με προσοχή. Ο ΕΕΠΔ θεωρεί ότι μια σταδιακή προσέγγιση, όπως αναφέρεται στην ανακοίνωση, είναι λογική εφόσον η δέσμευση για τη διασφάλιση υψηλού επιπέδου προστασίας των δεδομένων με συνεκτικό και αποτελεσματικό τρόπο παραμένει σαφής και ορατή. Πιο συγκεκριμένα:

137.

Ο ΕΕΠΔ υποστηρίζει πλήρως τον στόχο της ανακοίνωσης να εξετασθεί το ζήτημα του καθεστώτος των αρχών προστασίας των δεδομένων (ΑΠΔ), και ειδικότερα να ενισχυθούν η ανεξαρτησία, οι πόροι και οι εξουσίες τους όσον αφορά την επιβολή του νόμου.

138.

Ο ΕΕΠΔ επιμένει επίσης στην αναγκαιότητα αποσαφήνισης στη νέα νομική πράξη της βασικής έννοιας της ανεξαρτησίας των ΑΠΔ. Το Δικαστήριο των Ευρωπαϊκών Κοινοτήτων εξέδωσε πρόσφατα απόφαση στο ζήτημα αυτό στην υπόθεση C-518/07 (54), στην οποία τόνισε ότι ανεξαρτησία σημαίνει απουσία κάθε εξωτερικής επιρροής. Η ΑΠΔ δεν πρέπει να ζητεί ούτε να δέχεται εντολές από οποιονδήποτε. Ο ΕΕΠΔ εισηγείται να κωδικοποιηθούν ρητά τα συγκεκριμένα στοιχεία ανεξαρτησίας στη νομική πράξη.

139.

Για την άσκηση των καθηκόντων τους οι ΑΠΔ πρέπει να διαθέτουν επαρκείς ανθρώπινους και χρηματοοικονομικούς πόρους. Ο ΕΕΠΔ εισηγείται να περιληφθεί η απαίτηση αυτή στη νομική πράξη (55). Τονίζει, τέλος, την αναγκαιότητα να διασφαλισθεί ότι οι αρχές διαθέτουν πλήρως εναρμονισμένες εξουσίες όσον αφορά την έρευνα και την επιβολή επαρκώς αποτρεπτικών και διορθωτικών μέτρων και κυρώσεων. Αυτό θα βελτιώσει την ασφάλεια δικαίου για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα και για τους υπευθύνους επεξεργασίας των δεδομένων.

140.

Η ενίσχυση της ανεξαρτησίας, των πόρων και των εξουσιών των ΑΠΔ πρέπει να συνδυάζεται με ενισχυμένη συνεργασία σε πολυμερές επίπεδο, ιδίως ενόψει του αυξανόμενου αριθμού ζητημάτων προστασίας των δεδομένων σε ευρωπαϊκή κλίμακα. Η κύρια πλατφόρμα η οποία πρέπει να χρησιμοποιηθεί για τη συνεργασία αυτή είναι, προφανώς, η ομάδα εργασίας του άρθρου 29.

141.

Είναι ιστορικά διαπιστωμένο ότι, από την ίδρυσή της το 1997 έως σήμερα, η λειτουργία της ομάδας έχει εξελιχθεί. Απέκτησε μεγαλύτερη ανεξαρτησία και δεν μπορεί να χαρακτηρισθεί πλέον, στην πράξη, απλή συμβουλευτική ομάδα εργασίας της Επιτροπής. Ο ΕΕΠΔ εισηγείται περαιτέρω βελτιώσεις στη λειτουργία της ομάδας εργασίας, συμπεριλαμβανομένων των υποδομών και της ανεξαρτησίας της.

142.

Ο ΕΕΠΔ πιστεύει ότι η ισχύς της ομάδας συνδέεται αναπόσπαστα με την ανεξαρτησία και τις εξουσίες των μελών της. Η αυτονομία της ομάδας εργασίας πρέπει να διασφαλίζεται στο νέο νομικό πλαίσιο, σύμφωνα με τα κριτήρια που αναπτύχθηκαν για την πλήρη ανεξαρτησία των ΑΠΔ από το Δικαστήριο των Ευρωπαϊκών Κοινοτήτων στην υπόθεση C-518/07. Ο ΕΕΠΔ θεωρεί ότι στην ομάδα εργασίας πρέπει να παρασχεθούν επίσης επαρκείς πόροι και προϋπολογισμός και ενισχυμένη γραμματεία, για την υποστήριξη των εργασιών της.

143.

Όσον αφορά τη γραμματεία της ομάδας εργασίας, ο ΕΕΠΔ εκτιμά το γεγονός ότι υπάγεται στη διοικητική μονάδα Προστασίας των Δεδομένων της ΓΔ Δικαιοσύνης, με το επακόλουθο πλεονέκτημα ότι η ομάδα εργασίας μπορεί να επωφεληθεί αποτελεσματικών και ευέλικτων επαφών και επικαιροποιημένων πληροφοριών σχετικά με τις εξελίξεις σε θέματα προστασίας των δεδομένων. Από την άλλη πλευρά, προβληματίζεται για το γεγονός ότι η Επιτροπή (και ειδικότερα η συγκεκριμένη διοικητική μονάδα) αποτελεί ταυτόχρονα μέλος, γραμματεία και αποδέκτη των γνωμών της ομάδας εργασίας. Για τη διευθέτηση του εν λόγω ζητήματος απαιτείται μεγαλύτερη ανεξαρτησία της γραμματείας. Ο ΕΕΠΔ παροτρύνει την Επιτροπή να αξιολογήσει –σε στενή διαβούλευση με τους ενδιαφερομένους– με ποιον τρόπο μπορεί να διασφαλισθεί καλύτερα η εν λόγω ανεξαρτησία.

144.

Τέλος, για την ενίσχυση των εξουσιών των ΑΠΔ απαιτούνται επίσης ισχυρότερες εξουσίες για την ομάδα εργασίας, με μια δομή η οποία θα περιλαμβάνει καλύτερους κανόνες και εγγυήσεις και περισσότερη διαφάνεια. Αυτό θα αφορά τόσο τον συμβουλευτικό ρόλο όσο και τον ρόλο επιβολής του νόμου της ομάδας εργασίας.

145.

Οι θέσεις της ομάδας εργασίας πρέπει να εφαρμόζονται ουσιαστικά, όταν πρόκειται για τον συμβουλευτικό ρόλο της προς την Επιτροπή, ιδίως σε σχέση με την ερμηνεία και την εφαρμογή των αρχών της οδηγίας και άλλων πράξεων για την προστασία των δεδομένων, προκειμένου να διασφαλίζεται το κύρος των θέσεων της ομάδας εργασίας. Απαιτείται περαιτέρω συζήτηση μεταξύ των ΑΠΔ για να προσδιορισθεί πώς μπορεί να περιληφθεί κάτι τέτοιο στη νομική πράξη.

146.

Ο ΕΕΠΔ συνιστά λύσεις οι οποίες θα προσδώσουν μεγαλύτερο κύρος στις γνώμες της ομάδας εργασίας χωρίς να τροποποιηθεί ουσιαστικά ο τρόπος λειτουργίας της. Ο ΕΕΠΔ εισηγείται τη συμπερίληψη μιας υποχρέωσης για τις ΑΠΔ και την Επιτροπή να λαμβάνουν ιδιαιτέρως υπόψη τις γνώμες και τις κοινές θέσεις που εκδίδει η ομάδα εργασίας, βάσει του προτύπου που υιοθετήθηκε για τις θέσεις του Φορέα Ευρωπαϊκών Ρυθμιστικών Αρχών για τις Ηλεκτρονικές Επικοινωνίες (BEREC) (56). Επιπλέον, η νέα νομική πράξη μπορεί να αναθέσει ρητά στην ομάδα εργασίας το καθήκον να εκδίδει «ερμηνευτικές συστάσεις». Οι εναλλακτικές αυτές λύσεις θα προσδώσουν μεγαλύτερη ισχύ στις θέσεις της ομάδας εργασίας, μεταξύ άλλων και ενώπιον των δικαστηρίων.

147.

Βάσει του ισχύοντος πλαισίου, η εφαρμογή της νομοθεσίας για την προστασία των δεδομένων στα κράτη μέλη επαφίεται σε 27 αρχές προστασίας των δεδομένων με ελάχιστο συντονισμό όσον αφορά τον χειρισμό συγκεκριμένων περιπτώσεων. Όταν πρόκειται για περιπτώσεις στις οποίες εμπλέκονται περισσότερα κράτη μέλη ή οι οποίες έχουν σαφώς παγκόσμια διάσταση, τα έξοδα πολλαπλασιάζονται για τις επιχειρήσεις, οι οποίες αναγκάζονται να συναλλάσσονται με διαφορετικές δημόσιες αρχές για την ίδια δραστηριότητα, και αυξάνεται ο κίνδυνος μη συνεπούς εφαρμογής: σε εξαιρετικές περιπτώσεις, οι ίδιες δραστηριότητες επεξεργασίας μπορεί να θεωρούνται νόμιμες από μια ΑΠΔ και να απαγορεύονται από μια άλλη.

148.

Μερικές περιπτώσεις έχουν στρατηγική διάσταση, η οποία πρέπει να εξετάζεται σε κεντρικό επίπεδο. Η ομάδα εργασίας του άρθρου 29 διευκολύνει τις δράσεις συντονισμού και εφαρμογής μεταξύ ΑΠΔ (57) σε σημαντικά ζητήματα προστασίας των δεδομένων τα οποία έχουν τέτοιες διεθνείς συνέπειες. Αυτό συνέβη στην περίπτωση των κοινωνικών δικτύων και των μηχανών αναζήτησης (58), καθώς και όσον αφορά τις συντονισμένες επιθεωρήσεις που διεξάγονται σε διάφορα κράτη μέλη σε ζητήματα τηλεπικοινωνιών και ασφάλισης υγείας.

149.

Ωστόσο, υπάρχουν όρια στις δράσεις εφαρμογής τις οποίες μπορεί να αναλάβει η ομάδα εργασίας βάσει του ισχύοντος πλαισίου. Η ομάδα εργασίας μπορεί να υιοθετήσει κοινές θέσεις, αλλά δεν υπάρχει καμία πράξη η οποία να διασφαλίζει ότι οι εν λόγω θέσεις θα εφαρμοσθούν ουσιαστικά στην πράξη.

150.

Ο ΕΕΠΔ εισηγείται τη συμπερίληψη στη νομική πράξη πρόσθετων διατάξεων οι οποίες θα υποστηρίζουν τη συντονισμένη εφαρμογή, και ειδικότερα:

151.

Ο ΕΕΠΔ εφιστά προσοχή στη θέσπιση αυστηρότερων μέτρων, όπως η δεσμευτική ισχύς των θέσεων της ομάδας εργασίας του άρθρου 29. Κάτι τέτοιο θα υπονομεύσει το ανεξάρτητο καθεστώς των επιμέρους ΑΠΔ, το οποίο πρέπει να διασφαλίζεται από τα κράτη μέλη βάσει της εθνικής νομοθεσίας. Εάν οι αποφάσεις της ομάδας εργασίας έχουν άμεσο αντίκτυπο σε τρίτους, όπως τους υπευθύνους επεξεργασίας δεδομένων, πρέπει να προβλεφθούν νέες διαδικασίες οι οποίες θα περιλαμβάνουν εγγυήσεις, όπως διαφάνεια και δυνατότητα προσφυγής, συμπεριλαμβανομένης της ενδεχόμενης προσφυγής ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης.

152.

Ο τρόπος συνεργασίας του ΕΕΠΔ και της ομάδας εργασίας θα μπορούσε επίσης να βελτιωθεί. Ο ΕΕΠΔ είναι μέλος της ομάδας εργασίας και συνεισφέρει στο πλαίσιο της ομάδας σε θέσεις σχετικά με τις κύριες στρατηγικές εξελίξεις στην ΕΕ, διασφαλίζοντας παράλληλα τη συνέπεια προς τις δικές του θέσεις. Ο ΕΕΠΔ σημειώνει τον αυξανόμενο αριθμό ζητημάτων που αφορούν την ιδιωτική ζωή, τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα, τα οποία έχουν συνέπειες σε εθνικό επίπεδο σε πολλά κράτη μέλη, και στα οποία η ομάδα εργασίας μπορεί να διαδραματίσει συγκεκριμένο ρόλο.

153.

Ο ΕΕΠΔ είναι επιφορτισμένος με το συμπληρωματικό καθήκον της παροχής συμβουλών σχετικά με τις εξελίξεις στο πλαίσιο της ΕΕ, καθήκον το οποίο πρέπει να διατηρηθεί. Ως ευρωπαϊκό όργανο, ασκεί την εν λόγω συμβουλευτική αρμοδιότητα έναντι των θεσμικών οργάνων της ΕΕ με τον ίδιο τρόπο όπως οι εθνικές ΑΠΔ συμβουλεύουν τις κυβερνήσεις τους.

154.

Ο ΕΕΠΔ και η ομάδα εργασίας ενεργούν από διαφορετικές αλλά συμπληρωματικές οπτικές. Για τον λόγο αυτό, πρέπει να διατηρηθεί και ενδεχομένως να βελτιωθεί ο συντονισμός μεταξύ της ομάδας εργασίας και του ΕΕΠΔ, ώστε να διασφαλίζεται ότι συνεργάζονται στα κύρια ζητήματα που αφορούν την προστασία των δεδομένων, για παράδειγμα συντονίζοντας τα προγράμματα δράσης τους σε τακτική βάση (61) και διασφαλίζοντας τη διαφάνεια σε ζητήματα τα οποία έχουν περισσότερο εθνική πτυχή ή έχουν μια ειδική πτυχή ως προς την ΕΕ.

155.

Ο συντονισμός δεν αναφέρεται στην ισχύουσα οδηγία για τον απλούστατο λόγο ότι ο ΕΕΠΔ δεν υπήρχε όταν εγκρίθηκε η οδηγία, αλλά ύστερα από έξι χρόνια ύπαρξης οι συμπληρωματικότητες του ΕΕΠΔ και της ομάδας εργασίας είναι εμφανείς και μπορούν να αναγνωρισθούν επίσημα. Ο ΕΕΠΔ υπενθυμίζει ότι, βάσει του κανονισμού (ΕΚ) αριθ. 45/2001, υποχρεούται να συνεργάζεται με τις εθνικές ΑΠΔ και να συμμετέχει στις δραστηριότητες της ομάδας εργασίας. Ο ΕΕΠΔ συνιστά να αναφέρεται ρητά η συνεργασία στη νέα νομική πράξη και να διαρθρωθεί, εάν απαιτείται, για παράδειγμα θεσπίζοντας μια διαδικασία συνεργασίας.

156.

Οι σκέψεις που ακολουθούν ισχύουν και για τους τομείς στους οποίους ο έλεγχος πρέπει να συντονίζεται μεταξύ ευρωπαϊκού και εθνικού επιπέδου. Αυτό συμβαίνει στην περίπτωση των οργάνων της ΕΕ που επεξεργάζονται σημαντικές ποσότητες δεδομένων τα οποία παρέχονται από εθνικές αρχές ή για συστήματα πληροφοριών μεγάλης κλίμακας με ευρωπαϊκό και εθνικό σκέλος.

157.

Το ισχύον σύστημα για μερικά όργανα της ΕΕ και συστήματα πληροφοριών μεγάλης κλίμακας –για παράδειγμα, η Ευρωπόλ, η Eurojust και η πρώτη γενιά του Συστήματος Πληροφοριών Σένγκεν (SIS) διαθέτουν κοινές εποπτικές αρχές με εκπροσώπους των εθνικών ΑΠΔ– είναι κατάλοιπο της διακυβερνητικής συνεργασίας στην προ της συνθήκης της Λισαβόνας εποχή και δεν τηρεί τη θεσμική δομή της ΕΕ, της οποίας η Ευρωπόλ και η Eurojust αποτελούν πλέον αναπόσπαστο μέρος και στην οποία έχει ενσωματωθεί πλέον και το «κεκτημένο Σένγκεν» (62).

158.

Σύμφωνα με την ανακοίνωση, η Επιτροπή θα δρομολογήσει το 2011 διαβούλευση με τους ενδιαφερομένους για την αναθεώρηση των εν λόγω συστημάτων εποπτείας. Ο ΕΕΠΔ καλεί την Επιτροπή να υιοθετήσει όσο το δυνατόν συντομότερα (εντός σύντομης και καθορισμένης προθεσμίας, βλ. ανωτέρω) θέση σχετικά με τη συζήτηση περί ελέγχου που βρίσκεται σε εξέλιξη. Ο ΕΕΠΔ θα υποστηρίξει στην εν λόγω συζήτηση την ακόλουθη άποψη.

159.

Ως αφετηρία, πρέπει να διασφαλίζεται ότι όλοι οι εποπτικοί φορείς πληρούν τα απαραίτητα κριτήρια ανεξαρτησίας, πόρων και εξουσιών επιβολής της νομοθεσίας. Επιπλέον, πρέπει να διασφαλίζεται ότι λαμβάνονται υπόψη οι προοπτικές και η εμπειρογνωμοσύνη που υπάρχουν σε επίπεδο ΕΕ. Αυτό σημαίνει ότι η συνεργασία δεν θα αφορά μόνον τις εθνικές αρχές μεταξύ τους, αλλά και τις εθνικές αρχές με την ευρωπαϊκή ΑΠΔ (επί του παρόντος τον ΕΕΠΔ). Ο ΕΕΠΔ θεωρεί αναγκαίο να εφαρμοσθεί ένα πρότυπο το οποίο θα πληροί τις απαιτήσεις αυτές (63).

160.

Τα τελευταία χρόνια, αναπτύχθηκε το πρότυπο του «συντονισμένου ελέγχου». Το συγκεκριμένο πρότυπο ελέγχου, όπως εφαρμόζεται τώρα στο σύστημα Eurodac και σε τμήματα του Τελωνειακού Συστήματος Πληροφοριών, θα επεκταθεί σύντομα στο Σύστημα Πληροφοριών για τις Θεωρήσεις (VIS) και στο σύστημα πληροφοριών Σένγκεν δεύτερης γενεάς (SIS II). Το εν λόγω πρότυπο περιλαμβάνει τρία επίπεδα: (1) η εποπτεία σε εθνικό επίπεδο διασφαλίζεται από τις ΑΠΔ· (2) η εποπτεία σε επίπεδο ΕΕ διασφαλίζεται από τον ΕΕΠΔ· (3) ο συντονισμός διασφαλίζεται μέσω τακτικών συσκέψεων που συγκαλεί ο ΕΕΠΔ ενεργώντας ως γραμματεία του μηχανισμού συντονισμού. Το πρότυπο αυτό έχει αποδειχθεί επιτυχημένο και αποτελεσματικό και πρέπει να ληφθεί υπόψη στο μέλλον για άλλα συστήματα πληροφοριών.

161.

Παρότι η διαδικασία αναθεώρησης βρίσκεται σε εξέλιξη, πρέπει να καταβληθούν προσπάθειες ώστε να διασφαλισθεί πλήρης και αποτελεσματική εφαρμογή των ισχυόντων κανόνων. Οι κανόνες αυτοί θα συνεχίσουν να εφαρμόζονται έως ότου το μελλοντικό πλαίσιο θεσπισθεί και μεταφερθεί ακολούθως στο εθνικό δίκαιο των κρατών μελών. Προς την κατεύθυνση αυτή, μπορούν να προσδιορισθούν αρκετές δράσεις.

162.

Πρώτον, η Επιτροπή πρέπει να συνεχίσει να παρακολουθεί τη συμμόρφωση των κρατών μελών προς την οδηγία 95/46/ΕΚ και, εάν απαιτείται, να κάνει χρήση των εξουσιών της βάσει του άρθρου 258 ΣΛΕΕ. Πρόσφατα, κινήθηκε διαδικασία επί παραβάσει για παράλειψη ορθής εφαρμογής του άρθρου 28 της οδηγίας σε σχέση με την απαίτηση ανεξαρτησίας των ΑΠΔ (64). Η πλήρης συμμόρφωση πρέπει να παρακολουθείται και να επιβάλλεται και σε άλλους τομείς (65). Επομένως, ο ΕΕΠΔ χαιρετίζει και στηρίζει πλήρως τη δέσμευση που διατυπώνει η Επιτροπή στην ανακοίνωση να ακολουθήσει μια ενεργή πολιτική καταστολής των παραβάσεων. Η Επιτροπή πρέπει επίσης να συνεχίσει τον διαρθρωτικό διάλογο με τα κράτη μέλη σχετικά με την εφαρμογή (66).

163.

Δεύτερον, πρέπει να ενθαρρυνθεί η εφαρμογή σε εθνικό επίπεδο ώστε να διασφαλισθεί η πρακτική εφαρμογή των κανόνων για την προστασία των δεδομένων, μεταξύ άλλων σε σχέση με τα νέα τεχνολογικά φαινόμενα και τους παγκόσμιους παράγοντες. Οι ΑΠΔ πρέπει να κάνουν πλήρη χρήση των εξουσιών τους όσον αφορά τη διεξαγωγή ερευνών και την επιβολή κυρώσεων. Είναι επίσης σημαντικό να εφαρμόζονται πλήρως στην πράξη τα ισχύοντα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα, και ιδίως τα δικαιώματα πρόσβασης.

164.

Τρίτον, απαιτείται καλύτερος συντονισμός της εφαρμογής βραχυπρόθεσμα. Συναφώς, ο ρόλος της ομάδας εργασίας του άρθρου 29 και των ερμηνευτικών εγγράφων της είναι καθοριστικής σημασίας, αλλά οι ΑΠΔ πρέπει επίσης να καταβάλλουν κάθε προσπάθεια για την πρακτική εφαρμογή τους. Τα αποκλίνοντα αποτελέσματα σε επίπεδο ΕΕ ή σε παγκόσμιο επίπεδο πρέπει να αποφεύγονται και, στο πλαίσιο της ομάδας εργασίας, μπορούν και πρέπει να επιτυγχάνονται κοινές προσεγγίσεις. Οι συντονισμένες έρευνες σε ολόκληρη την ΕΕ υπό την αιγίδα της ομάδας εργασίας μπορούν επίσης να προσδώσουν σημαντική προστιθέμενη αξία.

165.

Τέταρτον, οι βασικές αρχές προστασίας των δεδομένων πρέπει να ενσωματώνονται προορατικά στους νέους κανονισμούς οι οποίοι ενδέχεται να έχουν, άμεσο ή έμμεσο, αντίκτυπο στην προστασία των δεδομένων. Σε επίπεδο ΕΕ, ο ΕΕΠΔ καταβάλλει σημαντικές προσπάθειες ώστε να συμβάλει στη βελτίωση της ευρωπαϊκής νομοθεσίας, και τέτοιες προσπάθειες πρέπει επίσης να καταβάλλονται σε εθνικό επίπεδο. Επομένως, οι αρχές προστασίας των δεδομένων πρέπει να κάνουν πλήρη χρήση των συμβουλευτικών εξουσιών τους ώστε να διασφαλίζεται μια τέτοια προορατική προσέγγιση. Οι αρχές προστασίας των δεδομένων, συμπεριλαμβανομένου του ΕΕΠΔ, μπορούν επίσης να διαδραματίσουν προορατικό ρόλο στην παρακολούθηση των τεχνολογικών εξελίξεων. Η παρακολούθηση είναι σημαντική για τον έγκαιρο προσδιορισμό των αναδυόμενων τάσεων, την ανάδειξη των ενδεχόμενων συνεπειών για την προστασία των δεδομένων, τη στήριξη λύσεων φιλικών προς την προστασία των δεδομένων και την ευαισθητοποίηση των ενδιαφερομένων.

166.

Τέλος, πρέπει να επιδιωχθεί ενεργά η περαιτέρω συνεργασία μεταξύ των διάφορων παραγόντων σε διεθνές επίπεδο. Επομένως, είναι σημαντικό να ενισχυθούν οι διεθνείς μηχανισμοί συνεργασίας. Πρωτοβουλίες όπως τα πρότυπα της Μαδρίτης και το έργο που βρίσκεται σε εξέλιξη στο Συμβούλιο της Ευρώπης και στον ΟΟΣΑ αξίζουν πλήρη στήριξη. Στο πλαίσιο αυτό, είναι ιδιαίτερα θετικό το γεγονός ότι και η Επιτροπή Εμπορίου των ΗΠΑ έχει ενταχθεί πλέον στην οικογένεια των επιτρόπων ιδιωτικής ζωής και προστασίας των δεδομένων στο πλαίσιο της διεθνούς διάσκεψής τους.

167.

Ο ΕΕΠΔ χαιρετίζει γενικά την ανακοίνωση της Επιτροπής, καθώς είναι πεπεισμένος ότι η αναθεώρηση του ισχύοντος νομικού πλαισίου για την προστασία των δεδομένων είναι αναγκαία, προκειμένου να διασφαλίζεται αποτελεσματική προστασία σε μια συνεχώς αναπτυσσόμενη και παγκοσμιοποιημένη κοινωνία των πληροφοριών.

168.

Η ανακοίνωση προσδιορίζει τα κύρια θέματα και τις κύριες προκλήσεις. Ο ΕΕΠΔ συμμερίζεται την άποψη της Επιτροπής ότι η ύπαρξη ενός ισχυρού συστήματος προστασίας των δεδομένων θα συνεχίσει να απαιτείται και στο μέλλον, καθώς οι υφιστάμενες γενικές αρχές προστασίας των δεδομένων εξακολουθούν να ισχύουν σε μια κοινωνία η οποία διέρχεται από θεμελιώδεις αλλαγές. Ο ΕΕΠΔ συμμερίζεται τη δήλωση που περιέχεται στην ανακοίνωση ότι οι προκλήσεις είναι τεράστιες και υπογραμμίζει ότι οι προτεινόμενες λύσεις πρέπει, συνεπώς, να είναι αντίστοιχα φιλόδοξες και να βελτιώνουν την αποτελεσματικότητα της προστασίας. Ως εκ τούτου, ζητεί μια πιο φιλόδοξη προσέγγιση σε διάφορα σημεία.

169.

Ο ΕΕΠΔ υποστηρίζει πλήρως τη συνολική προσέγγιση της προστασίας των δεδομένων. Ωστόσο, εκφράζει τη λύπη του για το γεγονός ότι η ανακοίνωση εξαιρεί από τη γενική νομική πράξη ορισμένους τομείς, όπως την επεξεργασία δεδομένων από τα θεσμικά όργανα και τους οργανισμούς της ΕΕ. Εάν η Επιτροπή αποφασίσει να εξαιρέσει τους τομείς αυτούς, ο ΕΕΠΔ καλεί την Επιτροπή να υιοθετήσει μια πρόταση για το επίπεδο της ΕΕ εντός της συντομότερης δυνατής προθεσμίας και κατά προτίμηση έως το τέλος του 2011.

170.

Αφετηρία της διαδικασίας αναθεώρησης αποτελούν για τον ΕΕΠΔ τα ακόλουθα σημεία:

171.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για τη δέσμευση της Επιτροπής να εξετάσει τρόπους για την περαιτέρω εναρμόνιση της προστασίας των δεδομένων στο επίπεδο της ΕΕ. Ο ΕΕΠΔ προσδιορίζει τομείς στους οποίους επείγει η περαιτέρω και καλύτερη εναρμόνιση: ορισμοί, λόγοι επεξεργασίας δεδομένων, δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα, διεθνείς διαβιβάσεις και αρχές προστασίας των δεδομένων.

172.

Ο ΕΕΠΔ εισηγείται την εξέταση των ακόλουθων εναλλακτικών δυνατοτήτων για την απλούστευση ή/και τη μείωση της εμβέλειας των απαιτήσεων κοινοποίησης:

173.

Κατά τον ΕΕΠΔ, ο κανονισμός, μια ενιαία πράξη η οποία ισχύει άμεσα στα κράτη μέλη, είναι ο αποτελεσματικότερος τρόπος για την προστασία του θεμελιώδους δικαιώματος της προστασίας των δεδομένων και για την επίτευξη περαιτέρω σύγκλισης στην εσωτερική αγορά.

174.

Ο ΕΕΠΔ στηρίζει την ανακοίνωση όταν προτείνει την ενίσχυση των δικαιωμάτων των φυσικών προσώπων. Διατυπώνει τις ακόλουθες προτάσεις:

175.

Το νέο πλαίσιο πρέπει να παροτρύνει τους υπευθύνους επεξεργασίας των δεδομένων να περιλαμβάνουν προορατικά μέτρα προστασίας των δεδομένων στις επιχειρηματικές διαδικασίες τους. Ο ΕΕΠΔ προτείνει τη θέσπιση γενικών διατάξεων για τη λογοδοσία και την «προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό». Πρέπει επίσης να θεσπισθεί μια διάταξη σχετικά με συστήματα πιστοποίησης προϊόντων και υπηρεσιών που σέβονται την ιδιωτική ζωή.

176.

Ο ΕΕΠΔ υποστηρίζει το φιλόδοξο έργο που πραγματοποιείται στο πλαίσιο της διεθνούς διάσκεψης επιτρόπων προστασίας δεδομένων για την ανάπτυξη των λεγόμενων «προτύπων της Μαδρίτης», με στόχο την ενσωμάτωσή τους σε μια δεσμευτική πράξη και, ενδεχομένως, τη δρομολόγηση μιας διακυβερνητικής διάσκεψης. Ο ΕΕΠΔ καλεί την Επιτροπή να λάβει συγκεκριμένα μέτρα προς την κατεύθυνση αυτή σε στενή συνεργασία με τον ΟΟΣΑ και το Συμβούλιο της Ευρώπης.

177.

Η νέα νομική πράξη πρέπει να αποσαφηνίζει τα κριτήρια καθορισμού του εφαρμοστέου δικαίου. Πρέπει να διασφαλίζεται ότι τα δεδομένα τα οποία υποβάλλονται σε επεξεργασία εκτός των συνόρων της ΕΕ δεν εκφεύγουν της δικαιοδοσίας της ΕΕ όταν υπάρχει αιτιολογημένη αξίωση εφαρμογής του δικαίου της ΕΕ. Εάν το νομικό πλαίσιο προσλάβει τη μορφή κανονισμού, θα ισχύουν ίδιοι κανόνες σε όλα τα κράτη μέλη και το ζήτημα του καθορισμού του εφαρμοστέου δικαίου θα απολέσει τη σημασία του (εντός της ΕΕ).

178.

Ο ΕΕΠΔ υποστηρίζει πλήρως τον στόχο της διασφάλισης μιας πιο ομοιόμορφης και συνεπούς προσέγγισης έναντι τρίτων χωρών και διεθνών οργανισμών. Στη νομική πράξη πρέπει να περιληφθούν δεσμευτικοί εταιρικοί κανόνες (BCR).

179.

Η συνολική πράξη που θα περιλαμβάνει την αστυνομία και τη δικαιοσύνη μπορεί να προβλέπει ειδικούς κανόνες οι οποίοι θα λαμβάνουν δεόντως υπόψη τις ιδιαιτερότητες του τομέα, σύμφωνα με τη δήλωση αριθ. 21 που προσαρτάται στη συνθήκη της Λισαβόνας. Πρέπει να θεσπισθούν συγκεκριμένες αντισταθμιστικές εγγυήσεις προκειμένου να παρασχεθεί πρόσθετη προστασία στα πρόσωπα στα οποία αναφέρονται τα δεδομένα όταν για κάποιον τομέα η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να είναι εκ φύσεως πιο παρεμβατική.

180.

Το νέο νομικό πλαίσιο πρέπει να είναι, στον βαθμό του εφικτού, σαφές, απλό και συνεκτικό. Πρέπει να αποφευχθεί η εφαρμογή πληθώρας διαφορετικών καθεστώτων, για παράδειγμα, στην Ευρωπόλ, στην Eurojust, στο SIS και στη σύμβαση Prüm. Ο ΕΕΠΔ κατανοεί ότι η εναρμόνιση των κανόνων διαφορετικών συστημάτων θα πρέπει να πραγματοποιηθεί προσεκτικά και σταδιακά.

181.

Ο ΕΕΠΔ υποστηρίζει πλήρως τον στόχο της Επιτροπής να εξετασθεί το ζήτημα του καθεστώτος των αρχών προστασίας των δεδομένων (ΑΠΔ) και να ενισχυθούν η ανεξαρτησία, οι πόροι και οι εξουσίες τους όσον αφορά την επιβολή της νομοθεσίας. Ο ΕΕΠΔ συνιστά:

182.

Ο ΕΕΠΔ εισηγείται περαιτέρω βελτιώσεις στη λειτουργία της ομάδας εργασίας του άρθρου 29, συμπεριλαμβανομένων της ανεξαρτησίας και της υποδομής της. Η ομάδα εργασίας πρέπει να διαθέτει επίσης επαρκείς πόρους και ενισχυμένη γραμματεία.

183.

Ο ΕΕΠΔ εισηγείται να ενισχυθεί ο συμβουλευτικός ρόλος της ομάδας εργασίας θεσπίζοντας την υποχρέωση των ΑΠΔ και της Επιτροπής να λαμβάνουν ιδιαιτέρως υπόψη τις γνώμες και τις κοινές θέσεις που εκδίδει η ομάδα εργασίας. Ο ΕΕΠΔ δεν τάσσεται υπέρ της δεσμευτικής ισχύος των θέσεων της ομάδας εργασίας, ιδίως λόγω του ανεξάρτητου καθεστώτος των επιμέρους ΑΠΔ. Ο ΕΕΠΔ συνιστά να θεσπίσει η Επιτροπή ειδικές διατάξεις στη νέα νομική πράξη για τη βελτίωση της συνεργασίας με τον ΕΕΠΔ.

184.

Ο ΕΕΠΔ καλεί την Επιτροπή να υιοθετήσει όσο το δυνατόν συντομότερα θέση στο ζήτημα του ελέγχου οργάνων της ΕΕ και συστημάτων πληροφοριών μεγάλης κλίμακας, λαμβάνοντας υπόψη ότι όλα εποπτικά όργανα πρέπει να πληρούν τα απαραίτητα κριτήρια ανεξαρτησίας, επάρκειας πόρων και εξουσιών επιβολής της νομοθεσίας και ότι πρέπει να διασφαλίζεται ότι η οπτική της ΕΕ εκπροσωπείται κατάλληλα. Ο ΕΕΠΔ υποστηρίζει το πρότυπο του «συντονισμένου ελέγχου».

185.

Ο ΕΕΠΔ παροτρύνει την Επιτροπή:

22.6.2011   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 181/24

1.

Στις 2 Φεβρουαρίου 2011, η Επιτροπή εξέδωσε πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με τη χρήση των δεδομένων που περιέχονται στους φακέλους επιβατών (δεδομένα PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και άλλων σοβαρών εγκλημάτων (στο εξής «η πρόταση») (3). Η πρόταση εστάλη αυθημερόν στον ΕΕΠΔ για γνωμοδότηση.

2.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι ζητήθηκε η γνώμη του από την Επιτροπή. Ο ΕΕΠΔ είχε τη δυνατότητα να διατυπώσει άτυπα σχόλια και πριν από την έκδοση της πρότασης. Ορισμένα από τα σχόλια αυτά έχουν ληφθεί υπόψη στην πρόταση και ο ΕΕΠΔ σημειώνει ότι, σε γενικές γραμμές, οι εγγυήσεις προστασίας δεδομένων που προβλέπει η πρόταση έχουν ενισχυθεί. Ωστόσο, για μια σειρά ζητημάτων, εξακολουθούν να εγείρονται προβληματισμοί, ιδίως όσον αφορά την κλίμακα και τους σκοπούς της συλλογής δεδομένων προσωπικού χαρακτήρα.

3.

Οι συζητήσεις για έναν πιθανό μηχανισμό PNR στο πλαίσιο της ΕΕ βρίσκονται σε εξέλιξη από το 2007, όταν η Επιτροπή εξέδωσε πρόταση απόφασης-πλαισίου του Συμβουλίου για το συγκεκριμένο ζήτημα (4). Ο κύριος σκοπός ενός μηχανισμού PNR της ΕΕ είναι η θέσπιση ενός συστήματος που θα υποχρεώνει τους αερομεταφορείς που εκτελούν διεθνείς πτήσεις μεταξύ της ΕΕ και τρίτων χωρών να διαβιβάζουν τα δεδομένα PNR όλων των επιβατών στις αρμόδιες αρχές, για τους σκοπούς της πρόληψης, ανίχνευσης, διερεύνησης και δίωξης τρομοκρατικών και άλλων σοβαρών εγκλημάτων. Τα δεδομένα θα συγκεντρώνονται κεντρικά και θα αναλύονται από μονάδες στοιχείων επιβατών και το αποτέλεσμα της ανάλυσης θα διαβιβάζεται στις αρμόδιες εθνικές αρχές του κάθε κράτους μέλους.

4.

Από το 2007 ο ΕΕΠΔ έχει παρακολουθήσει από κοντά τις εξελίξεις σχετικά με την πιθανή θέσπιση μηχανισμού PNR της ΕΕ, παράλληλα με τις εξελίξεις σχετικά με τους μηχανισμούς PNR τρίτων χωρών. Στις 20 Δεκεμβρίου 2007 ο ΕΕΠΔ εξέδωσε γνωμοδότηση επί της συγκεκριμένης πρότασης της Επιτροπής (5). Σε πολλές άλλες περιστάσεις διατυπώθηκαν επίσης συναφή σχόλια, όχι μόνο από τον ΕΕΠΔ αλλά και από την ομάδα εργασίας του άρθρου 29 (6), σχετικά με το ζήτημα της συμμόρφωσης της επεξεργασίας των δεδομένων PNR για σκοπούς επιβολής του νόμου προς τις αρχές της αναγκαιότητας και της αναλογικότητας, καθώς και σχετικά με άλλες βασικές εγγυήσεις προστασίας δεδομένων.

5.

Το κύριο ζήτημα που εγείρεται συστηματικά από τον ΕΕΠΔ αφορά κυρίως την αιτιολόγηση της αναγκαιότητας ενός ευρωπαϊκού μηχανισμού PNR σε συνδυασμό με διάφορα άλλα μέσα που επιτρέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του νόμου.

6.

Ο ΕΕΠΔ αναγνωρίζει τις εμφανείς βελτιώσεις όσον αφορά την προστασία δεδομένων στην παρούσα πρόταση, σε σχέση με την εκδοχή του εγγράφου επί της οποίας είχε γνωμοδοτήσει σε προηγούμενο στάδιο. Οι βελτιώσεις αυτές αφορούν ιδίως το πεδίο εφαρμογής της πρότασης, τον ορισμό του ρόλου των διαφόρων ενδιαφερομένων (μονάδες στοιχείων επιβατών), τον αποκλεισμό της επεξεργασίας ευαίσθητων δεδομένων, την μετακίνηση προς ένα σύστημα «προώθησης» χωρίς μεταβατική περίοδο (7) και την οριοθέτηση της περιόδου διατήρησης των δεδομένων.

7.

Ο ΕΕΠΔ εκφράζει επίσης την ικανοποίησή του για την περαιτέρω ανάπτυξη που γίνεται μέσω της εκτίμησης επιπτώσεων σχετικά με τους λόγους που δικαιολογούν τη θέσπιση μηχανισμού PNR της ΕΕ. Ωστόσο, ενώ υπάρχει δεδομένη βούληση να αποσαφηνιστεί η αναγκαιότητα του μηχανισμού, ο ΕΕΠΔ εξακολουθεί να μη βρίσκει στις νέες αυτές αιτιολογήσεις μια πειστική βάση για την ανάπτυξη του συστήματος, ιδίως όσον αφορά την ευρείας κλίμακας «προηγούμενη αξιολόγηση» όλων των επιβατών. Η αναγκαιότητα και αναλογικότητα αναλύονται στο κεφάλαιο ΙΙ ενώ το κεφάλαιο III επικεντρώνεται σε πιο ειδικές πτυχές της πρότασης.

8.

Η κατάδειξη της αναγκαιότητας και της αναλογικότητας της επεξεργασίας των δεδομένων συνιστά απαραίτητη προϋπόθεση για την ανάπτυξη του μηχανισμού PNR. Ο ΕΕΠΔ έχει ήδη υπογραμμίσει σε προηγούμενες περιστάσεις, ιδίως στο πλαίσιο της πιθανής αναθεώρησης της οδηγίας 2006/24/ΕΚ («οδηγία για τη διατήρηση των δεδομένων»), το γεγονός ότι η ανάγκη επεξεργασίας ή αποθήκευσης μαζικών ποσοτήτων πληροφοριών πρέπει να βασίζεται σε μια ξεκάθαρη απόδειξη της σχέσης μεταξύ χρήσης και αποτελέσματος και ότι πρέπει να επιτρέπει, ως απολύτως απαραίτητη προϋπόθεση, την εξέταση του εάν παρόμοια αποτελέσματα θα μπορούσαν να έχουν επιτευχθεί με εναλλακτικά και λιγότερο παρεμβατικά ως προς την ιδιωτική ζωή μέτρα (8).

9.

Προκειμένου να αιτιολογήσουν τη θέσπιση του μηχανισμού, η πρόταση, και ιδίως η εκτίμηση επιπτώσεων, περιλαμβάνουν εκτενή τεκμηρίωση και νομικά επιχειρήματα ώστε να καταδείξουν τόσο την αναγκαιότητα του μηχανισμού όσο και τη συμμόρφωσή του προς τις απαιτήσεις προστασίας δεδομένων. Αναφέρεται μάλιστα ότι ο μηχανισμός παράγει προστιθέμενη αξία σε ό,τι αφορά την εναρμόνιση των προτύπων προστασίας δεδομένων.

10.

Μετά την ανάλυση των εν λόγω στοιχείων, ο ΕΕΠΔ θεωρεί ότι η πρόταση ως έχει δεν πληροί τις προϋποθέσεις της αναγκαιότητας και της αναλογικότητας, όπως επιβάλλονται από το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ένωσης, το άρθρο 8 της ΕΣΔΑ και το άρθρο 16 της ΣΛΕΕ. Το σκεπτικό στο οποίο βασίζεται αυτή η εκτίμηση αναλύεται στις ακόλουθες παραγράφους.

11.

Ο ΕΕΠΔ επισημαίνει ότι η εκτίμηση επιπτώσεων περιλαμβάνει εκτενείς εξηγήσεις και στατιστικά στοιχεία προς αιτιολόγηση της πρότασης. Ωστόσο, τα στοιχεία αυτά δεν είναι πειστικά. Για παράδειγμα, περιγράφοντας την απειλή της τρομοκρατίας και άλλων σοβαρών εγκλημάτων, τόσο η εκτίμηση επιπτώσεων όσο και η αιτιολογική έκθεση της πρότασης (9) αναφέρουν τον αριθμό των 14 000 αξιοποίνων πράξεων ανά 100 000 πληθυσμού στα κράτη μέλη της ΕΕ κατά το 2007. Ενώ ο αριθμός αυτός μπορεί να είναι εντυπωσιακός, αφορά αδιαφοροποίητους τύπους αξιόποινων πράξεων και δεν μπορεί να χρησιμοποιηθεί προς αιτιολόγηση μιας πρότασης που στοχεύει στην καταπολέμηση ενός συγκεκριμένου τύπου σοβαρών διεθνικών εγκλημάτων και τρομοκρατικών ενεργειών. Επίσης, η μνημόνευση μιας έκθεσης για τα «προβλήματα» των ναρκωτικών, χωρίς να γίνεται σύνδεση των στατιστικών στοιχείων με το είδος της διακίνησης ναρκωτικών που αφορά η πρόταση, δεν συνιστά κατά την άποψη του ΕΕΠΔ έγκυρη αναφορά. Το ίδιο ισχύει και για τις ενδείξεις των συνεπειών των εγκλημάτων, όπου γίνεται λόγος για την «αξία της κλαπείσας περιουσίας» και τις ψυχολογικές και σωματικές επιπτώσεις για τα θύματα, καθώς τα στοιχεία αυτά δεν συνδέονται άμεσα με τον σκοπό της πρότασης.

12.

Ως ένα τελευταίο παράδειγμα, η εκτίμηση επιπτώσεων αναφέρει ότι το Βέλγιο «ανέφερε ότι το 95 % όλων των κατασχέσεων ναρκωτικών κατά το 2009 έγινε αποκλειστικά ή κατά κύριο λόγο χάρη στην επεξεργασία δεδομένων PNR». Πρέπει ωστόσο να τονιστεί ότι το Βέλγιο δεν διαθέτει (ακόμα) συστηματικό μηχανισμό ανάλογο με αυτόν που προβλέπεται στην πρόταση. Αυτό θα μπορούσε να σημαίνει ότι τα δεδομένα PNR μπορεί να είναι χρήσιμα σε στοχευμένες περιπτώσεις, γεγονός που δεν αμφισβητεί ο ΕΕΠΔ. Αυτό που εγείρει σοβαρά ζητήματα προστασίας δεδομένων είναι περισσότερο η ευρεία συλλογή δεδομένων με σκοπό τη συστηματική αξιολόγηση του συνόλου των επιβατών.

13.

Ο ΕΕΠΔ θεωρεί ότι δεν υφίσταται επαρκής, συναφής και ακριβής προηγούμενη τεκμηρίωση η οποία να καταδεικνύει την αναγκαιότητα του μέσου.

14.

Ενώ το έγγραφο κάνει λόγο για παρέμβαση των προτεινόμενων μέτρων επεξεργασίας δεδομένων στις διατάξεις του Χάρτη, της ΕΣΔΑ και του άρθρου 16 της ΣΛΕΕ, αναφέρεται κατευθείαν στις δυνατότητες περιορισμού των σχετικών δικαιωμάτων και αρκείται στο να συμπεράνει ότι «καθώς τα προτεινόμενα μέτρα αποσκοπούν στην καταπολέμηση της τρομοκρατίας και άλλων σοβαρών εγκλημάτων, περιλαμβανόμενα σε νομοθετική πράξη, θα συμμορφώνονταν οπωσδήποτε με τέτοιες απαιτήσεις, υπό την προϋπόθεση ότι είναι αναγκαία σε μια δημοκρατική κοινωνία και με την επιφύλαξη της αρχής της αναλογικότητας» (10). Απουσιάζει, ωστόσο, μιας σαφής απόδειξη του γεγονότος ότι τα μέτρα είναι ουσιαστικά και ότι δεν υπάρχουν άλλες λιγότερο παρεμβατικές εναλλακτικές λύσεις.

15.

Υπό την έννοια αυτή, το γεγονός ότι πρόσθετοι σκοποί, όπως η επιβολή του νόμου στους μετανάστες, ο κατάλογος ατόμων για τα οποία ισχύει απαγόρευση πτήσης («no flight list») και η ασφάλεια της υγείας, προβλέφθηκαν αλλά δεν συμπεριλήφθηκαν τελικά λόγω ζητημάτων αναλογικότητας δεν σημαίνει ότι ο «περιορισμός» της επεξεργασίας δεδομένων PNR στα σοβαρά εγκλήματα και την τρομοκρατία είναι τοις πράγμασι αναλογικός καθότι λιγότερο παρεμβατικός. Δεν εξετάστηκε επίσης η επιλογή του περιορισμού του μηχανισμού στην καταπολέμηση της τρομοκρατίας, χωρίς να συμπεριλαμβάνονται άλλα εγκλήματα, όπως προβλεπόταν σε προηγούμενους μηχανισμούς, και ιδίως στο προηγούμενο σύστημα PNR της Αυστραλίας. Ο ΕΕΠΔ τονίζει ότι στον αρχικό αυτό μηχανισμό, για τον οποίο η ομάδα εργασίας του άρθρου 29 εξέδωσε θετική γνωμοδότηση το 2004, οι σκοποί περιορίζονταν στην «ταυτοποίηση των επιβατών αυτών που ενδέχεται να αποτελέσουν απειλή για τρομοκρατική ή σχετική εγκληματική δραστηριότητα» (11). Το αυστραλιανό σύστημα δεν προέβλεπε επίσης διατήρηση των δεδομένων PNR παρά μόνο για συγκεκριμένους επιβάτες για τους οποίους κρινόταν ότι αποτελούσαν συγκεκριμένη απειλή (12).

16.

Επιπλέον, όσον αφορά την προβλεψιμότητα της παρακολούθησης για τα πρόσωπα στα οποία αφορούν τα δεδομένα, είναι αμφίβολο εάν η πρόταση της Επιτροπής πληροί τις απαιτήσεις μιας ορθής νομικής βάσης στο πλαίσιο του δικαίου της ΕΕ: η «αξιολόγηση» των επιβατών (προηγούμενη διατύπωση: «εκτίμηση κινδύνου») θα γίνεται βάσει συνεχώς μεταβαλλόμενων και αδιαφανών κριτηρίων. Όπως αναφέρεται ρητά στο κείμενο, ο κύριος σκοπός του συστήματος δεν είναι ο παραδοσιακός συνοριακός έλεγχος, αλλά η συλλογή πληροφοριών (13) και η σύλληψη προσώπων που δεν είναι ύποπτοι, πριν από τη διάπραξη εγκλήματος. Η ανάπτυξη ενός τέτοιου συστήματος σε ευρωπαϊκή κλίμακα, με τη συλλογή δεδομένων για όλους τους επιβάτες και τη λήψη αποφάσεων βάσει άγνωστων και μεταβαλλόμενων κριτηρίων αξιολόγησης, εγείρει σοβαρά ζητήματα διαφάνειας και αναλογικότητας.

17.

Ο μοναδικός σκοπός ο οποίος, σύμφωνα με τον ΕΕΠΔ, θα συμμορφωνόταν προς τις απαιτήσεις της διαφάνειας και της αναλογικότητας θα ήταν η χρήση των δεδομένων PNR κατά περίπτωση, όπως αναφέρεται στο άρθρο 4 παράγραφος 2 στοιχείο γ), αλλά μόνο εφόσον συντρέχει σοβαρή και συγκεκριμένη απειλή βάσει συγκεκριμένων δεικτών.

18.

Το άρθρο 4 παράγραφος 2 στοιχείο β) ορίζει ότι μια μονάδα στοιχείων επιβατών μπορεί να διεξάγει αξιολόγηση των επιβατών και στο πλαίσιο αυτής μπορεί να συγκρίνει τα δεδομένα PNR με «σχετικές βάσεις δεδομένων», όπως ορίζεται στο άρθρο 4 παράγραφος 2 στοιχείο β). Η εν λόγω διάταξη δεν ορίζει ποιες είναι αυτές οι σχετικές βάσεις δεδομένων. Επομένως, το μέτρο δεν είναι προβλέψιμο, παρά τη σχετική απαίτηση του Χάρτη και της ΕΣΔΑ. Η διάταξη εγείρει επίσης το ζήτημα της συμβατότητάς του με την αρχή του περιορισμού του σκοπού: σύμφωνα με τον ΕΕΠΔ, πρέπει να αποκλείεται π.χ. για βάσεις δεδομένων όπως το Eurodac, που έχει αναπτυχθεί για διαφορετικούς σκοπούς (14). Επιπλέον, η αξιολόγηση αυτή πρέπει να είναι εφικτή μόνο εφόσον συντρέχει ειδική ανάγκη, σε συγκεκριμένη υπόθεση όπου υπάρχει εκ των προτέρων υποψία για κάποιο πρόσωπο μετά τη διάπραξη εγκλήματος. Για παράδειγμα, ο συστηματικός έλεγχος της βάσης δεδομένων του Συστήματος Πληροφοριών για τις Θεωρήσεις (VIS) (15) με αντιπαραβολή όλων των δεδομένων PNR θα ήταν υπερβολικός και δυσανάλογος.

19.

Η ιδέα σύμφωνα με την οποία η πρόταση θα ενίσχυε την προστασία δεδομένων παρέχοντας ένα ενιαίο πλαίσιο με ισότιμους όρους ανταγωνισμού όσον αφορά τα δικαιώματα των ατόμων είναι αμφισβητήσιμη. Ο ΕΕΠΔ αναγνωρίζει το γεγονός ότι, εφόσον διασφαλίζονταν η αναγκαιότητα και αναλογικότητα του συστήματος, τυχόν ενιαία πρότυπα μεταξύ των κρατών μελών της ΕΕ, συμπεριλαμβανομένης της προστασίας δεδομένων, θα ενίσχυαν την ασφάλεια δικαίου. Ωστόσο, με την τρέχουσα διατύπωσή της, η πρόταση αναφέρει, στην αιτιολογική σκέψη 28, ότι «η οδηγία δεν επηρεάζει τη δυνατότητα των κρατών μελών να προβλέπουν, δυνάμει της εθνικής νομοθεσίας τους, ένα σύστημα συλλογής και επεξεργασίας δεδομένων PNR για σκοπούς άλλους πλην εκείνων που καθορίζονται στην παρούσα οδηγία ή να συλλέγουν από μεταφορείς άλλους πλην εκείνων που αναφέρονται στην οδηγία, δεδομένα σχετικά με εσωτερικές πτήσεις (…)».

20.

Η εναρμόνιση που επιτυγχάνεται από την πρόταση είναι επομένως περιορισμένη. Μπορεί να καλύπτει τα δικαιώματα των ατόμων στα οποία αφορούν τα δεδομένα, όχι όμως και τον περιορισμό του σκοπού, και μπορεί να θεωρηθεί ότι σύμφωνα με την υφιστάμενη διατύπωση τα συστήματα PNR που χρησιμοποιούνται ήδη, π.χ. για την καταπολέμηση της παράνομης μετανάστευσης, θα μπορούσαν να συνεχίσουν να υφίστανται δυνάμει της οδηγίας.

21.

Αυτό σημαίνει ότι, αφενός, ορισμένες διαφορές θα συνέχιζαν να υπάρχουν μεταξύ των κρατών μελών που έχουν ήδη αναπτύξει μηχανισμούς PNR και, αφετέρου, ότι η μεγάλη πλειονότητα των κρατών μελών που δεν συλλέγουν συστηματικά δεδομένα PNR (21 από τα 27 κράτη μέλη) θα υποχρεώνονταν να το πράξουν. Ο ΕΕΠΔ θεωρεί ότι, από τη σκοπιά αυτή, η προστιθέμενη αξία ως προς την προστασία δεδομένων είναι άκρως αμφισβητήσιμη.

22.

Αντιθέτως, οι συνέπειες της αιτιολογικής σκέψης 28 συνιστούν σοβαρή παραβίαση της αρχής του περιορισμού του σκοπού. Κατά την άποψη του ΕΕΠΔ, η πρόταση πρέπει να ορίζει ρητά ότι τα δεδομένα PNR δεν μπορούν να χρησιμοποιηθούν για άλλους σκοπούς.

23.

Ο ΕΕΠΔ καταλήγει σε συμπέρασμα παρόμοιο με εκείνο που αφορούσε την αξιολόγηση της οδηγίας για τη διατήρηση των δεδομένων: και στα δύο πλαίσια, η απουσία πραγματικής εναρμόνισης συμβαδίζει με την απουσία ασφάλειας δικαίου. Επιπλέον, η πρόσθετη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα γίνεται υποχρεωτική για όλα τα κράτη μέλη, ενώ δεν έχει καταδειχθεί η πραγματική αναγκαιότητα θέσπισης του μηχανισμού.

24.

Ο ΕΕΠΔ επισημαίνει περαιτέρω ότι οι εξελίξεις σχετικά με το PNR συνδέονται με την τρέχουσα γενική αξιολόγηση όλων των μέσων της ΕΕ στον τομέα της διαχείρισης της ανταλλαγής πληροφοριών, η οποία εγκαινιάστηκε από την Επιτροπή τον Ιανουάριο του 2010 και αναπτύχθηκε εκτενέστερα στην πρόσφατη ανακοίνωση σχετικά με την επισκόπηση της διαχείρισης των πληροφοριών στον χώρο ελευθερίας, ασφάλειας και δικαιοσύνης (16). Υπάρχει συγκεκριμένα μια σαφής σύνδεση με την τρέχουσα συζήτηση επί της ευρωπαϊκής στρατηγικής για τη διαχείριση των πληροφοριών. Ο ΕΕΠΔ θεωρεί ότι, ως προς αυτό, τα αποτελέσματα του τρέχοντος έργου για το ευρωπαϊκό μοντέλο ανταλλαγής πληροφοριών που αναμένονται το 2012 πρέπει να ληφθούν υπόψη κατά την αξιολόγηση της ανάγκης για ένα ευρωπαϊκό PNR.

25.

Στο πλαίσιο αυτό, και δεδομένης της αδυναμίας της πρότασης, και ιδίως της εκτίμησης επιπτώσεων, ο ΕΕΠΔ θεωρεί ότι απαιτείται συγκεκριμένη εκτίμηση επιπτώσεων ως προς την ιδιωτική ζωή και την προστασία των δεδομένων σε περιπτώσεις όπως η προκείμενη, όπου η ουσία της πρότασης επηρεάζει τα θεμελιώδη δικαιώματα στην ιδιωτική ζωή και την προστασία των δεδομένων. Μια γενική εκτίμηση επιπτώσεων δεν είναι επαρκής.

26.

Τα τρομοκρατικά εγκλήματα, τα σοβαρά εγκλήματα και τα σοβαρά διεθνικά εγκλήματα ορίζονται στο άρθρο 2 στοιχεία ζ), η) και θ) της πρότασης. Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι οι ορισμοί —και το πεδίο εφαρμογής τους— έχουν εξειδικευτεί περισσότερο, με διαφοροποίηση μεταξύ σοβαρών εγκλημάτων και σοβαρών διεθνικών εγκλημάτων. Αυτή η διάκριση είναι ευπρόσδεκτη, ιδίως εφόσον συνεπάγεται μια διαφορετική επεξεργασία των δεδομένων προσωπικού χαρακτήρα, αποκλείοντας την αξιολόγηση βάσει προκαθορισμένων κριτηρίων όταν πρόκειται για σοβαρά εγκλήματα που δεν έχουν διεθνικό χαρακτήρα.

27.

Ωστόσο, ο ορισμός των σοβαρών εγκλημάτων εξακολουθεί, κατά την άποψη του ΕΕΠΔ, να είναι πολύ ευρύς. Αυτό αναγνωρίζεται από την πρόταση, η οποία ορίζει ότι τα κράτη μέλη μπορούν εντούτοις να αποκλείσουν τα ήσσονος σημασίας αδικήματα που εμπίπτουν στον ορισμό των σοβαρών εγκλημάτων (17), γεγονός το οποίο όμως δεν θα συμφωνούσε με την αρχή της αναλογικότητας. Η διατύπωση αυτή συνεπάγεται ότι ο ορισμός, όπως δίνεται στην πρόταση, μπορεί κάλλιστα να περιλαμβάνει και ήσσονος σημασίας αδικήματα, για τα οποία η επεξεργασία των δεδομένων PNR θα ήταν δυσανάλογη. Τι ακριβώς πρέπει να καλύπτει ο ορισμός των ήσσονος σημασίας αδικημάτων παραμένει ασαφές. Αντί να αφεθεί στα κράτη μέλη η ευχέρεια να περιορίσουν το πεδίο εφαρμογής, ο ΕΕΠΔ θεωρεί ότι η πρόταση πρέπει να αναφέρει ρητά τα αδικήματα που πρέπει να συμπεριληφθούν στο πεδίο εφαρμογής, καθώς και εκείνα που πρέπει να εξαιρεθούν, εφόσον θεωρούνται ήσσονος σημασίας και δεν πληρούν τις προϋποθέσεις ως προς την αναλογικότητα.

28.

Ο ίδιος αυτός προβληματισμός ισχύει και όσον αφορά τη δυνατότητα που αφήνεται ανοιχτή στο άρθρο 5 παράγραφος 5 για επεξεργασία δεδομένων που αφορούν κάθε είδους εγκληματικές πράξεις, εφόσον αυτές έχουν διαπιστωθεί στο πλαίσιο μέτρων επιβολής του νόμου, καθώς και για τη δυνατότητα που αναφέρεται στην αιτιολογική σκέψη 28 για διεύρυνση του πεδίου εφαρμογής σε άλλους σκοπούς πλην εκείνων που προβλέπονται από την πρόταση ή σε άλλους μεταφορείς.

29.

Ο ΕΕΠΔ προβληματίζεται επίσης όσον αφορά τη δυνατότητα που προβλέπεται από το άρθρο 17 να συμπεριληφθούν και οι εσωτερικές πτήσεις στο πεδίο εφαρμογής της οδηγίας, με βάση την αποκτηθείσα πείρα από εκείνα τα κράτη μέλη που συλλέγουν ήδη τέτοια δεδομένα. Μια τέτοια διεύρυνση του πεδίου εφαρμογής του μηχανισμού PNR θα απειλούσε ακόμη περισσότερο τα θεμελιώδη δικαιώματα των ατόμων και δεν πρέπει να προβλέπεται χωρίς την κατάλληλη ανάλυση, συμπεριλαμβανομένης μιας εκτενούς εκτίμησης επιπτώσεων.

30.

Συμπερασματικά, το να αφήνεται ανοιχτό το πεδίο εφαρμογής και να δίνεται στα κράτη μέλη η δυνατότητα να διευρύνουν τον σκοπό του μηχανισμού αντιβαίνει στην απαίτηση σύμφωνα με την οποία τα δεδομένα μπορούν να συλλέγονται μόνο για καθορισμένους και σαφείς σκοπούς.

31.

Ο ρόλος των PIU και οι εγγυήσεις σχετικά με την επεξεργασία των δεδομένων PNR εγείρουν ειδικά ζητήματα, ιδίως καθώς οι PIU λαμβάνουν δεδομένα όλων των επιβατών από τους αερομεταφορείς και έχουν —βάσει του κειμένου της πρότασης— ευρείες αρμοδιότητες ως προς την επεξεργασία των δεδομένων αυτών. Οι εν λόγω αρμοδιότητες περιλαμβάνουν την αξιολόγηση της συμπεριφοράς των επιβατών που δεν θεωρούνται ύποπτοι για τη διάπραξη οποιουδήποτε αδικήματος και τη δυνατότητα αντιπαραβολής των δεδομένων PNR με απροσδιόριστες βάσεις δεδομένων (18). Ο ΕΕΠΔ λαμβάνει υπόψη τους «περιοριστικούς» όρους πρόσβασης που προβλέπονται στην πρόταση, αλλά θεωρεί ότι οι όροι αυτοί δεν αρκούν από μόνοι τους, δεδομένων των εκτενών αρμοδιοτήτων των PIU.

32.

Κατά πρώτον, ο χαρακτήρας της αρχής που ορίζεται ως PIU, όπως και η σύνθεσή της, παραμένουν ασαφείς. Η πρόταση αναφέρει τη δυνατότητα τα μέλη του προσωπικού της να «αποσπώνται από τις αρμόδιες δημόσιες αρχές», αλλά δεν προσφέρει τυχόν εγγυήσεις σε ό,τι αφορά την αρμοδιότητα και την ακεραιότητα του προσωπικού της μονάδας PIU. Ο ΕΕΠΔ συνιστά να συμπεριληφθούν στο κείμενο της πρότασης τέτοιου είδους απαιτήσεις, λαμβανομένου υπόψη του ευαίσθητου χαρακτήρα της επεξεργασίας που θα εκτελείται από τις PIU.

33.

Κατά δεύτερον, η πρόταση δίνει τη δυνατότητα να ορίζεται μία PIU για διάφορα κράτη μέλη. Αυτό συνεπάγεται με τη σειρά του κινδύνους κατάχρησης και διαβίβασης δεδομένων εκτός των όρων της πρότασης. Ο ΕΕΠΔ αναγνωρίζει ότι ενδέχεται για λόγους αποτελεσματικότητας ορισμένα κράτη μέλη, ιδίως τα μικρότερα, να πρέπει να συνδυάσουν τις δυνάμεις τους, αλλά συνιστά να περιληφθούν στο κείμενο προϋποθέσεις για την εφαρμογή της συγκεκριμένης δυνατότητας. Οι προϋποθέσεις αυτές πρέπει να αφορούν τη συνεργασία με τις αρμόδιες αρχές και την εποπτεία, ιδίως όσον αφορά την αρχή προστασίας δεδομένων που θα είναι αρμόδια για την εποπτεία, καθώς και σε ό,τι αφορά την άσκηση των δικαιωμάτων των προσώπων στα οποία αφορούν τα δεδομένα, εφόσον αρμόδιες για την εποπτεία της PIU ενδέχεται να είναι διάφορες αρχές.

34.

Υπάρχει κίνδυνος υφέρπουσας διεύρυνσης αρμοδιοτήτων που συνδέεται με τα προαναφερθέντα στοιχεία, ιδίως όσον αφορά την ποιότητα του προσωπικού που θα είναι αρμόδιο να αναλύει τα δεδομένα, καθώς και όσον αφορά την από κοινού χρήση μιας PIU από διάφορα κράτη μέλη.

35.

Κατά τρίτον, ο ΕΕΠΔ αμφισβητεί τις εγγυήσεις που προβλέπονται έναντι της κατάχρησης. Οι υποχρεώσεις καταχώρισης είναι ευπρόσδεκτες αλλά όχι επαρκείς. Ο αυτοέλεγχος πρέπει να συμπληρώνεται από εξωτερικό έλεγχο, ο οποίος θα γίνεται με πιο συγκροτημένο τρόπο. Ο ΕΕΠΔ προτείνει οι έλεγχοι βάσει εγγράφων να οργανώνονται συστηματικά κάθε τέσσερα χρόνια. Ένα ολοκληρωμένο σύνολο κανόνων ασφάλειας πρέπει να αναπτυχθεί και να επιβληθεί οριζόντια σε όλες τις μονάδες PIU.

36.

Το άρθρο 7 της πρότασης εξετάζει διάφορες υποθετικές περιπτώσεις ανταλλαγής δεδομένων μεταξύ μονάδων PIU —όπως προβλέπεται συνήθως— ή μεταξύ αρμοδίων αρχών ενός κράτους μέλους και μονάδων PIU σε εξαιρετικές περιπτώσεις. Οι προϋποθέσεις είναι επίσης αυστηρότερες ανάλογα με το εάν ζητείται πρόσβαση στη βάση δεδομένων που προβλέπεται στο άρθρο 9 παράγραφος 1, όπου διατηρούνται τα δεδομένα κατά τις πρώτες 30 ημέρες, ή στη βάση δεδομένων που προβλέπεται επίσης στο άρθρο 9 παράγραφος 1, όπου τα δεδομένα διατηρούνται για περαιτέρω περίοδο πέντε ετών.

37.

Οι προϋποθέσεις πρόσβασης ορίζονται αυστηρότερα όταν η αίτηση πρόσβασης υπερβαίνει τη συνήθη διαδικασία. Ο ΕΕΠΔ επισημαίνει ωστόσο ότι η χρησιμοποιούμενη διατύπωση προκαλεί σύγχυση: το άρθρο 7 παράγραφος 2 εφαρμόζεται σε «συγκεκριμένη υπόθεση πρόληψης, ανίχνευσης, διερεύνησης ή δίωξης τρομοκρατικών ή άλλων σοβαρών εγκλημάτων», το άρθρο 7 παράγραφος 3 κάνει λόγο για «εξαιρετικές περιπτώσεις, προκειμένου να αντιμετωπίσει συγκεκριμένη απειλή ή να προβεί σε συγκεκριμένη έρευνα ή δίωξη που έχει σχέση με τρομοκρατικό ή άλλο σοβαρό έγκλημα», ενώ το άρθρο 7 παράγραφος 4 αναφέρεται σε «άμεση και σοβαρή απειλή της δημόσιας ασφάλειας» και το άρθρο 7 παράγραφος 5 σε «συγκεκριμένη και πραγματική απειλή που έχει σχέση με τρομοκρατικά ή άλλα σοβαρά εγκλήματα». Οι προϋποθέσεις πρόσβασης των διαφόρων ενδιαφερομένων στις βάσεις δεδομένων ποικίλλουν ανάλογα με τα εν λόγω κριτήρια. Ωστόσο, η διαφορά μεταξύ μιας συγκεκριμένης απειλής, μιας άμεσης και σοβαρής απειλής και μιας συγκεκριμένης και πραγματικής απειλής δεν είναι σαφής. Ο ΕΕΠΔ υπογραμμίζει την ανάγκη να διευκρινιστούν περαιτέρω οι ακριβείς προϋποθέσεις με βάση τις οποίες θα επιτρέπονται οι διαβιβάσεις δεδομένων.

38.

Η πρόταση αναφέρει ως γενική νομική βάση των αρχών της προστασίας δεδομένων την απόφαση-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου και διευρύνει το πεδίο εφαρμογής της στην επεξεργασία δεδομένων σε εθνικό επίπεδο.

39.

Ο ΕΕΠΔ έχει αναδείξει, ήδη από το 2007 (19), τις αδυναμίες της απόφασης-πλαισίου όσον αφορά τα δικαιώματα των προσώπων στα οποία αφορούν τα δεδομένα. Μεταξύ των στοιχείων που λείπουν από την απόφαση-πλαίσιο συγκαταλέγονται ιδίως ορισμένες απαιτήσεις για παροχή πληροφοριών στα πρόσωπα αυτά σε περίπτωση αίτησης πρόσβασης στα δεδομένα που τους αφορούν: οι πληροφορίες πρέπει να παρέχονται σε κατανοητή μορφή, πρέπει να δηλώνεται ο σκοπός της επεξεργασίας, ενώ υπάρχει επίσης ανάγκη για την ανάπτυξη καλύτερων εχεγγύων σε περίπτωση προσφυγής στην αρχή προστασίας δεδομένων εφόσον ο ενδιαφερόμενος στερείται της δυνατότητας άμεσης πρόσβασης.

40.

Η παραπομπή στην απόφαση-πλαίσιο έχει επίσης συνέπειες σε ό,τι αφορά τον προσδιορισμό της αρχής προστασίας δεδομένων που θα αναλάβει να παρακολουθεί την εφαρμογή της μελλοντικής οδηγίας, καθώς ενδέχεται να μην είναι η ίδια με εκείνη που είναι αρμόδια για ζητήματα του (πρώην) πρώτου πυλώνα. Ο ΕΕΠΔ θεωρεί μη ικανοποιητικό το να βασιζόμαστε, μετά τη Λισαβόνα, αποκλειστικά στην απόφαση-πλαίσιο όταν ένας από τους κύριους στόχους μας είναι να προσαρμόσουμε το νομικό πλαίσιο ώστε να διασφαλίζεται ένα υψηλό και εναρμονισμένο επίπεδο προστασίας κατά μήκος όλων των (πρώην) πυλώνων. Θεωρεί επίσης ότι η πρόταση χρειάζεται πρόσθετες διατάξεις ώστε να συμπληρώνεται η παραπομπή στην απόφαση-πλαίσιο του Συμβουλίου εκεί όπου έχουν εντοπιστεί αδυναμίες, ειδικά σε ό,τι αφορά τους όρους πρόσβασης στα δεδομένα προσωπικού χαρακτήρα.

41.

Οι προβληματισμοί αυτοί αφορούν εξίσου τις διατάξεις σχετικά με τις διαβιβάσεις δεδομένων σε τρίτες χώρες. Η πρόταση παραπέμπει στο άρθρο 13 παράγραφος 3 στοιχείο α) σημείο ii) της απόφασης-πλαισίου, το οποίο προβλέπει ευρείες εξαιρέσεις όσον αφορά τα εχέγγυα προστασίας δεδομένων: αποκλίνει συγκεκριμένα από την απαίτηση της επαρκούς προστασίας «όταν προέχουν έννομα συμφέροντα, ιδίως σημαντικά δημόσια συμφέροντα». Η εν λόγω εξαίρεση διατυπώνεται με ασαφή τρόπο, με αποτέλεσμα να μπορεί να εφαρμόζεται σε πολλές περιπτώσεις επεξεργασίας δεδομένων PNR, εφόσον υπόκειται σε ευρεία ερμηνεία. Ο ΕΕΠΔ θεωρεί ότι η πρόταση πρέπει να αποτρέπει ρητά την εφαρμογή των εξαιρέσεων της απόφασης-πλαισίου σε ό,τι αφορά την επεξεργασία των δεδομένων PNR και να διατηρήσει την απαίτηση για αυστηρή αξιολόγηση της επαρκούς προστασίας.

42.

Η πρόταση προβλέπει περίοδο διατήρησης 30 ημερών, με περαιτέρω τήρηση σε αρχείο για διάστημα πέντε ετών. Η περίοδος διατήρησης έχει μειωθεί σημαντικά σε σύγκριση με προηγούμενες εκδοχές του εγγράφου που προέβλεπαν διατήρηση έως πέντε συν οκτώ επιπλέον χρόνια.

43.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για τη μείωση της πρώτης περιόδου διατήρησης στις 30 ημέρες. Εντούτοις, εκφράζει ταυτόχρονα επιφυλάξεις σχετικά με την επιπλέον περίοδο διατήρησης των πέντε ετών: εξακολουθεί να μη μπορεί να κατανοήσει την ανάγκη περαιτέρω διατήρησης των δεδομένων σε μορφή που καθιστά εφικτή την ταυτοποίηση των ατόμων.

44.

Υπογραμμίζει επίσης ένα ζήτημα ορολογίας του κειμένου, το οποίο έχει σημαντικές νομικές συνέπειες: το άρθρο 9 παράγραφος 2 ορίζει ότι τα δεδομένα των επιβατών θα είναι «καλυμμένα», άρα και «ανωνυμοποιημένα». Ωστόσο, το ίδιο κείμενο αναφέρει στη συνέχεια ότι εξακολουθεί να είναι εφικτή η πρόσβαση στο «σύνολο των δεδομένων PNR». Εάν κάτι τέτοιο είναι εφικτό, αυτό σημαίνει ότι τα δεδομένα PNR δεν θα έχουν ποτέ ανωνυμοποιηθεί πλήρως: ενώ εμφανίζονται «καλυμμένα», εξακολουθούν να είναι αναγνωρίσιμα. Εφόσον το πλαίσιο της προστασίας δεδομένων εξακολουθεί να ισχύει πλήρως, εγείρεται το θεμελιώδες ζήτημα της αναγκαιότητας και της αναλογικότητας σε ό,τι αφορά τη διατήρηση αναγνωρίσιμων δεδομένων για όλους τους επιβάτες για περίοδο πέντε ετών.

45.

Η ΕΕΠΔ συνιστά την αναδιατύπωση του κειμένου της πρότασης, ώστε να διασφαλίζεται η αρχή της πραγματικής ανωνυμοποίησης χωρίς δυνατότητα επιστροφής σε αναγνωρίσιμα δεδομένα, γεγονός που σημαίνει ότι δεν θα επιτρέπεται η αναδρομική εξέτασή τους. Τα δεδομένα αυτά θα μπορούν ωστόσο να χρησιμοποιούνται —αποκλειστικά— για γενικούς σκοπούς συλλογής στοιχείων με βάση τον προσδιορισμό των μορφών λειτουργίας της τρομοκρατίας και συναφών εγκληματικών δραστηριοτήτων στις ροές μετακίνησης. Αυτό όμως πρέπει να διαχωρίζεται από τη διατήρηση των δεδομένων σε αναγνωρίσιμη μορφή —υπό ορισμένες εγγυήσεις— σε περιπτώσεις όπου έχουν προκύψει συγκεκριμένες υποψίες.

46.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι τα ευαίσθητα δεδομένα δεν περιλαμβάνονται στον κατάλογο των προς επεξεργασία δεδομένων. Τονίζει ωστόσο ότι η πρόταση εξακολουθεί να προβλέπει τη δυνατότητα αποστολής των δεδομένων αυτών στη μονάδα στοιχείων επιβατών, η οποία υποχρεούται στη συνέχεια να τα διαγράφει (άρθρο 4 παράγραφος 1, άρθρο 11). Αυτό που δεν προκύπτει με σαφήνεια από τη διατύπωση του κειμένου είναι το εάν οι μονάδες PIU εξακολουθούν να οφείλουν να φιλτράρουν και να αποκλείουν, ως συνήθη πρακτική, τα ευαίσθητα δεδομένα που λαμβάνουν από τους αερομεταφορείς ή εάν πρέπει να το κάνουν μόνο σε εξαιρετικές περιπτώσεις όπου οι αερομεταφορείς έχουν διαβιβάσει κατά λάθος τα δεδομένα αυτά. Ο ΕΕΠΔ συνιστά να τροποποιηθεί το κείμενο ώστε να καθίσταται σαφές ότι κανένα ευαίσθητο δεδομένο δεν πρέπει να διαβιβάζεται από τους αερομεταφορείς, ήδη από το πρωταρχικό στάδιο της επεξεργασίας τους.

47.

Πέραν των ευαίσθητων δεδομένων, ο κατάλογος εκείνων που μπορούν να διαβιβάζονται αντικατοπτρίζει σε μεγάλο βαθμό τον αντίστοιχο κατάλογο PNR των ΗΠΑ, ο οποίος έχει χαρακτηριστεί ως υπερβολικά εκτενής από διάφορες γνωμοδοτήσεις της ομάδας εργασίας του άρθρου 29 (20). Ο ΕΕΠΔ θεωρεί ότι ο κατάλογος αυτός πρέπει να περιοριστεί σύμφωνα με τις υποδείξεις της ομάδας εργασίας, και ότι τυχόν προσθήκες σε αυτόν πρέπει να δικαιολογούνται δεόντως. Αυτό ισχύει ιδίως για το πεδίο «γενικά σχόλια», το οποίο πρέπει να παραλειφθεί από τον κατάλογο.

48.

Σύμφωνα με το άρθρο 4 παράγραφος 2 στοιχείο α) και στοιχείο β), η αξιολόγηση επιβατών μέσω ελέγχου των δεδομένων τους με προκαθορισμένα κριτήρια ή με σχετικές βάσεις δεδομένων μπορεί να συνεπάγεται αυτοματοποιημένη επεξεργασία αλλά πρέπει να ελέγχεται μεμονωμένα με μη αυτοματοποιημένα μέσα.

49.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για τις διευκρινίσεις που παρέχει η νέα έκδοση του κειμένου. Αυτή η ασάφεια του προηγούμενου πεδίου εφαρμογής της διάταξης σχετικά με αυτοματοποιημένες αποφάσεις που παράγουν «δυσμενές έννομο αποτέλεσμα για τον ενδιαφερόμενο ή τον επηρεάζουν σημαντικά (…)» έχει αντικατασταθεί πλέον από σαφέστερη διατύπωση. Είναι πλέον σαφές ότι οποιοδήποτε θετικό αποτέλεσμα αυτής της αυτοματοποιημένης επεξεργασίας επανεξετάζεται μεμονωμένα.

50.

Από τη νέα έκδοση του κειμένου προκύπτει επίσης με σαφήνεια ότι η αξιολόγηση δεν μπορεί σε καμία περίπτωση να βασίζεται στη φυλετική ή εθνοτική καταγωγή, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στα πολιτικά φρονήματα, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην κατάσταση της υγείας ή στον γενετήσιο προσανατολισμό ενός ατόμου. Με άλλα λόγια, ο ΕΕΠΔ συμπεραίνει από τη νέα αυτή διατύπωση ότι καμία απόφαση δεν μπορεί να λαμβάνεται, ούτε εν μέρει, βάσει ευαίσθητων δεδομένων. Αυτό συνάδει με τη διάταξη σύμφωνα με την οποία κανενός είδους ευαίσθητο δεδομένο δεν μπορεί να τυγχάνει επεξεργασίας από τις μονάδες PIU, και ο ΕΕΠΔ εκφράζει επίσης την ικανοποίησή ως προς τούτο.

51.

Ο ΕΕΠΔ αποδίδει εξαιρετική σημασία στη διενέργεια μιας διεξοδικής αξιολόγησης της εφαρμογής της οδηγίας, όπως προβλέπεται στο άρθρο 17. Θεωρεί ότι η επανεξέταση πρέπει να αφορά όχι μόνο τη γενική συμμόρφωση προς τα πρότυπα της προστασίας δεδομένων, αλλά κυρίως, και πιο συγκεκριμένα, το εάν οι μηχανισμοί PNR συνιστούν απαραίτητο μέτρο. Τα στατιστικά δεδομένα που αναφέρονται στο άρθρο 18 διαδραματίζουν σημαίνοντα ρόλο προς την κατεύθυνση αυτή. Ο ΕΕΠΔ θεωρεί ότι οι πληροφορίες αυτές πρέπει να περιλαμβάνουν όχι μόνο τον αριθμό των πράξεων επιβολής του νόμου, όπως προβλέπεται στο σχέδιο, αλλά και τον αριθμό των πραγματικών καταδικών που προέκυψαν —ή όχι— από τις πράξεις επιβολής. Τα δεδομένα αυτά είναι καθοριστικής σημασίας προκειμένου να μπορεί η επανεξέταση να καταλήξει σε συγκεκριμένα συμπεράσματα.

52.

Η πρόταση ισχύει με την επιφύλαξη των υφιστάμενων συμφωνιών με τρίτες χώρες (άρθρο 19). Ο ΕΕΠΔ θεωρεί ότι η διάταξη αυτή πρέπει να αναφέρεται με πιο ρητό τρόπο στον στόχο ενός παγκόσμιου πλαισίου που θα παρέχει εναρμονισμένες εγγυήσεις προστασίας δεδομένων σε ό,τι αφορά τα δεδομένα PNR, εντός και εκτός ΕΕ, όπως έχει ζητηθεί από το Ευρωπαϊκό Κοινοβούλιο και αναπτυχθεί από την Επιτροπή μέσω της ανακοίνωσης της 21ης Σεπτεμβρίου 2010«σχετικά με τη γενική προσέγγιση για τις διαβιβάσεις δεδομένων από τις καταστάσεις με τα ονόματα επιβατών (PNR) σε τρίτες χώρες».

53.

Υπό αυτή την έννοια, οι συμφωνίες με τρίτες χώρες δεν πρέπει να περιλαμβάνουν διατάξεις που δεν διασφαλίζουν το ελάχιστο όριο προστασίας των δεδομένων που προβλέπεται από την οδηγία. Αυτό είναι ιδιαίτερα σημαντικό για την παρούσα φάση κατά την οποία οι συμφωνίες με τις Ηνωμένες Πολιτείες, την Αυστραλία και τον Καναδά τίθενται υπό νέα διαπραγμάτευση με στόχο τη δημιουργία ενός παγκόσμιου —και εναρμονισμένου— πλαισίου.

54.

Η ανάπτυξη ενός μηχανισμού PNR της ΕΕ, παράλληλα με τη διαπραγμάτευση των συμφωνιών PNR με τρίτες χώρες, έχει αποτελέσει μια μακρόχρονη διαδικασία. Ο ΕΕΠΔ αναγνωρίζει ότι, σε σύγκριση με την πρόταση απόφασης-πλαισίου του Συμβουλίου σχετικά με το PNR της ΕΕ, του 2007, έχουν επέλθει σημαντικές βελτιώσεις στο σχέδιο του κειμένου. Έχουν προστεθεί εγγυήσεις για την προστασία δεδομένων, με αφορμή τις συζητήσεις και γνωμοδοτήσεις διαφόρων ενδιαφερομένων, και ιδίως της ομάδας εργασίας του άρθρου 29, του ΕΕΠΔ και του Ευρωπαϊκού Κοινοβουλίου.

55.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για τις εν λόγω βελτιώσεις και ιδίως τις προσπάθειες για περιορισμό του πεδίου εφαρμογής της πρότασης και των προϋποθέσεων επεξεργασίας των δεδομένων PNR. Ωστόσο, οφείλει να παρατηρήσει ότι η πρόταση εξακολουθεί να μην πληροί τη βασική προϋπόθεση για την ανάπτυξη ενός μηχανισμού PNR, δηλαδή τη συμμόρφωση προς τις αρχές της αναγκαιότητας και της αναλογικότητας. Ο ΕΕΠΔ υπενθυμίζει ότι, κατά την άποψή του, τα δεδομένα PNR θα μπορούσαν να είναι απαραίτητα για σκοπούς επιβολής του νόμου σε ειδικές περιπτώσεις και ταυτόχρονα να πληρούν τις προϋποθέσεις της προστασίας δεδομένων. Αυτό που εγείρει συγκεκριμένες ανησυχίες είναι η συστηματική χρήση τους για όλους ανεξαιρέτως τους επιβάτες.

56.

Η εκτίμηση επιπτώσεων παρέχει στοιχεία που αποσκοπούν στην αιτιολόγηση της αναγκαιότητας ενός συστήματος PNR για την καταπολέμηση του εγκλήματος, αλλά η φύση των πληροφοριών αυτών είναι πολύ γενική και δεν φαίνεται να δικαιολογεί την ευρείας κλίμακας επεξεργασία των δεδομένων PNR για σκοπούς συλλογής στοιχείων. Κατά την άποψη του ΕΕΠΔ, το μοναδικό μέτρο που συμμορφώνεται με τις απαιτήσεις της προστασίας δεδομένων θα ήταν η χρήση των δεδομένων PNR κατά περίπτωση, όταν συντρέχει σοβαρή απειλή βάσει συγκεκριμένων δεικτών.

57.

Πέραν της θεμελιώδους αυτής αδυναμίας, τα σχόλια του ΕΕΠΔ αφορούν τις ακόλουθες πτυχές:

58.

Ο ΕΕΠΔ συνιστά επίσης οι εξελίξεις σχετικά με τον μηχανισμό PNR της ΕΕ να αξιολογούνται υπό μια ευρύτερη προοπτική, συμπεριλαμβανομένης της τρέχουσας γενικής αξιολόγησης του συνόλου των μέσων της ΕΕ στον τομέα της διαχείρισης της ανταλλαγής πληροφοριών, η οποία εγκαινιάστηκε από την Επιτροπή τον Ιανουάριο του 2010. Ειδικότερα, κατά την αξιολόγηση της αναγκαιότητας ενός μηχανισμού PNR της ΕΕ, πρέπει να ληφθούν υπόψη τα αποτελέσματα των τρεχουσών εργασιών σχετικά με το ευρωπαϊκό μοντέλο ανταλλαγής πληροφοριών που αναμένονται για το 2012.

—

Η γνωμοδότηση της 19ης Οκτωβρίου 2010 που αφορά την ανακοίνωση της Επιτροπής σχετικά με τη γενική προσέγγιση για τις διαβιβάσεις δεδομένων από τις καταστάσεις με τα ονόματα των επιβατών (PNR) σε τρίτες χώρες διατίθεται στη διεύθυνση http://www.edps.europa.eu/EDPSWEB/edps/Consultation/OpinionsC/OC2010

—

Οι γνωμοδοτήσεις της ομάδας εργασίας του άρθρου 29 διατίθενται μέσω του ακόλουθου συνδέσμου: http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers

22.6.2011   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 181/31

22.6.2011   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 181/34

22.6.2011   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 181/35

Regione Lombardia

DG Agricoltura

Piazza Città di Lombardia 1

20124 Milano MI

ITALIA

—

articles L. 621-1 et suivants du Code rural et de la pêche maritime,

—

projet de décision du directeur général de FranceAgriMer

FranceAgriMer

12 rue Henri Rol Tanguy

TSA 20002

93555 Montreuil sous Bois Cedex

FRANCE

Ministrstvo za kmetijstvo, gozdarstvo in prehrano Republike Slovenije

Dunajska 22

SI-1000 Ljubljana

SLOVENIJA

22.6.2011   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 181/37

1.

Στις 15 Ιουνίου 2011, η Επιτροπή έλαβε γνωστοποίηση μιας σχεδιαζόμενης συγκέντρωσης σύμφωνα με το άρθρο 4 του κανονισμού (ΕΚ) αριθ. 139/2004 του Συμβουλίου (1) με την οποία οι επιχειρήσεις Bridgepoint Europe IV Investments (2) Sàrl (Λουξεμβούργο), που τελικά ελέγχεται από την Bridgepoint Capital Group Limited («Bridgepoint», Ηνωμένο Βασίλειο), και Eurazeo SA («Eurazeo», Γαλλία) αποκτούν κατά την έννοια του άρθρου 3 παράγραφος 1 στοιχείο β) του κοινοτικού κανονισμού συγκεντρώσεων κοινό έλεγχο της Foncia Groupe SA («Foncia», Γαλλία) με αγορά μετοχών.

2.

Οι επιχειρηματικές δραστηριότητες των εν λόγω επιχειρήσεων είναι:

3.

Κατόπιν προκαταρκτικής εξέτασης, η Επιτροπή διαπιστώνει ότι η γνωστοποιηθείσα πράξη θα μπορούσε να εμπίπτει στο πεδίο εφαρμογής του κοινοτικού κανονισμού συγκεντρώσεων. Εντούτοις, επιφυλάσσεται να λάβει τελική απόφαση επί του σημείου αυτού. Σύμφωνα με την ανακοίνωση της Επιτροπής σχετικά με μια απλοποιημένη διαδικασία αντιμετώπισης ορισμένων συγκεντρώσεων βάσει του κοινοτικού κανονισμού συγκεντρώσεων (2) σημειώνεται ότι η παρούσα υπόθεση είναι υποψήφια για να αντιμετωπιστεί βάσει της διαδικασίας που προβλέπεται στην ανακοίνωση.

4.

Η Επιτροπή καλεί τους ενδιαφερόμενους τρίτους να υποβάλουν στην Επιτροπή ενδεχόμενες παρατηρήσεις για τη σχεδιαζόμενη συγκέντρωση.

Οι παρατηρήσεις πρέπει να φθάσουν στην Επιτροπή το αργότερο εντός δέκα ημερών από την ημερομηνία της παρούσας δημοσίευσης, με την ένδειξη COMP/M.6274 — Bridgepoint/Eurazeo/Foncia Groupe. Οι παρατηρήσεις μπορούν να σταλούν στην Επιτροπή με φαξ (+32 22964301), ηλεκτρονικά στην COMP-MERGER-REGISTRY@ec.europa.eu ή ταχυδρομικά στην ακόλουθη διεύθυνση:

22.6.2011   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 181/39

1.

Στις 14 Ιουνίου 2011, η Επιτροπή έλαβε γνωστοποίηση μιας σχεδιαζόμενης συγκέντρωσης σύμφωνα με το άρθρο 4 του κανονισμού (ΕΚ) αριθ. 139/2004 του Συμβουλίου (1) με την οποία η επιχείρηση CSN Steel S.L., («CSN», Ισπανία) η οποία ανήκει στον όμιλο επιχειρήσεων Companhia Siderúrgica Nacional αποκτά κατά την έννοια του άρθρου 3 παράγραφος 1 στοιχείο β) του κοινοτικού κανονισμού συγκεντρώσεων έλεγχο του συνόλου των επιχειρήσεων:

2.

Οι επιχειρηματικές δραστηριότητες των εν λόγω επιχειρήσεων είναι:

3.

Κατόπιν προκαταρκτικής εξέτασης, η Επιτροπή διαπιστώνει ότι η γνωστοποιηθείσα πράξη θα μπορούσε να εμπίπτει στο πεδίο εφαρμογής του κοινοτικού κανονισμού συγκεντρώσεων. Εντούτοις, επιφυλάσσεται να λάβει τελική απόφαση επί του σημείου αυτού. Σύμφωνα με την ανακοίνωση της Επιτροπής σχετικά με μια απλοποιημένη διαδικασία αντιμετώπισης ορισμένων συγκεντρώσεων βάσει του κοινοτικού κανονισμού συγκεντρώσεων (2) σημειώνεται ότι η παρούσα υπόθεση είναι υποψήφια για να αντιμετωπιστεί βάσει της διαδικασίας που προβλέπεται στην ανακοίνωση.

4.

Η Επιτροπή καλεί τους ενδιαφερόμενους τρίτους να υποβάλουν στην Επιτροπή ενδεχόμενες παρατηρήσεις για τη σχεδιαζόμενη συγκέντρωση.

Οι παρατηρήσεις πρέπει να φθάσουν στην Επιτροπή το αργότερο εντός δέκα ημερών από την ημερομηνία της παρούσας δημοσίευσης, με την ένδειξη COMP/M.6265 — CSN/AG Cementos Balboa/Corrugados Azpeitia/Corrugados Lasao/Stahlwerk Thuringen. Οι παρατηρήσεις μπορούν να σταλούν στην Επιτροπή με φαξ (+32 22964301), ηλεκτρονικά στην COMP-MERGER-REGISTRY@ec.europa.eu ή ταχυδρομικά στην ακόλουθη διεύθυνση:

22.6.2011   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 181/40

1.

Στις 14 Ιουνίου 2011, η Ευρωπαϊκή Επιτροπή έλαβε γνωστοποίηση μιας σχεδιαζόμενης συγκέντρωσης σύμφωνα με το άρθρο 4 του κανονισμού (ΕΚ) αριθ. 139/2004 του Συμβουλίου (1) με την οποία η επιχείρηση Talis International Holding GmbH (Γερμανία), εταιρεία χαρτοφυλακίου των επιχειρήσεων που απαρτίζουν τον όμιλο Talis Group («Talis»), αποκτά κατά την έννοια του άρθρου 3 παράγραφος 1 στοιχείο β) του κανονισμού συγκεντρώσεων έλεγχο του συνόλου της Raphael Valves Industries (1975) («Raphael») (Ισραήλ), με αγορά μετοχών.

2.

Οι επιχειρηματικές δραστηριότητες αμφότερων των Talis και Raphael, είναι η ανάπτυξη, παραγωγή και διανομή βαλβίδων και άλλων προϊόντων και εξοπλισμού για τον κλάδο των υδάτων, περιλαμβανομένης της παραγωγής, μεταφοράς, διανομής υδάτων και της αποχέτευσης.

3.

Κατόπιν προκαταρκτικής εξέτασης, η Ευρωπαϊκή Επιτροπή διαπιστώνει ότι η γνωστοποιηθείσα πράξη θα μπορούσε να εμπίπτει στο πεδίο εφαρμογής του κανονισμού συγκεντρώσεων. Εντούτοις, επιφυλάσσεται να λάβει τελική απόφαση επί του σημείου αυτού. Σύμφωνα με την ανακοίνωση της Ευρωπαϊκής Επιτροπής σχετικά με μια απλοποιημένη διαδικασία αντιμετώπισης ορισμένων συγκεντρώσεων βάσει του κανονισμού συγκεντρώσεων (2) σημειώνεται ότι η παρούσα υπόθεση είναι υποψήφια για να αντιμετωπιστεί βάσει της διαδικασίας που προβλέπεται στην ανακοίνωση.

4.

Η Ευρωπαϊκή Επιτροπή καλεί τους ενδιαφερόμενους τρίτους να υποβάλουν στην Ευρωπαϊκή Επιτροπή ενδεχόμενες παρατηρήσεις για τη σχεδιαζόμενη συγκέντρωση.

Οι παρατηρήσεις πρέπει να φθάσουν στην Ευρωπαϊκή Επιτροπή το αργότερο εντός 10 ημερών από την ημερομηνία της παρούσας δημοσίευσης, με την αναφορά COMP/M.6253 — Talis International Holding/Raphael Valves Industries. Οι παρατηρήσεις μπορούν να σταλούν στην Ευρωπαϊκή Επιτροπή με φαξ (αριθμός φαξ +32 22964301), ηλεκτρονικά στην COMP-MERGER-REGISTRY@ec.europa.eu ή ταχυδρομικά στην ακόλουθη διεύθυνση: