26.7.2011   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 220/1

1.

Στις 24 Φεβρουαρίου 2011, η Ευρωπαϊκή Επιτροπή ενέκρινε πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την τροποποίηση των οδηγιών 89/666/ΕΟΚ, 2005/56/ΕΚ και 2009/101/ΕΚ όσον αφορά τη διασύνδεση των κεντρικών και των εμπορικών μητρώων καθώς και των μητρώων εταιρειών (3) («πρόταση») και ζήτησε ακολούθως τη γνώμη του ΕΕΠΔ.

2.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι ζητήθηκε η γνώμη του, όπως προβλέπεται στο άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001, καθώς και για την παραπομπή του προοιμίου της πρότασης στην παρούσα γνωμοδότηση.

3.

Στόχος της πρότασης είναι η διευκόλυνση και επίσπευση της διασυνοριακής συνεργασίας και της ανταλλαγής πληροφοριών μεταξύ μητρώων επιχειρήσεων στον Ευρωπαϊκό Οικονομικό Χώρο και, κατά συνέπεια, η αύξηση της διαφάνειας και της αξιοπιστίας των διαθέσιμων στο πλαίσιο της διασυνοριακής συνεργασίας πληροφοριών. Οι αποτελεσματικές διαδικασίες διοικητικής συνεργασίας σε σχέση με τα μητρώα επιχειρήσεων είναι καθοριστικής σημασίας για την ενίσχυση της εμπιστοσύνης στην ευρωπαϊκή ενιαία αγορά, καθώς εξασφαλίζουν ασφαλέστερο επιχειρηματικό περιβάλλον για τους καταναλωτές, τους πιστωτές και άλλους επιχειρηματικούς εταίρους, μειώνουν τις διοικητικές επιβαρύνσεις και αυξάνουν την ασφάλεια δικαίου. Η επίσπευση των διαδικασιών διοικητικής συνεργασίας όσον αφορά τα μητρώα επιχειρήσεων στην Ευρώπη είναι ιδιαίτερα σημαντική σε διαδικασίες διασυνοριακών συγχωνεύσεων, μεταφορών έδρας και επικαιροποίησης των καταχωρίσεων ξένων υποκαταστημάτων, όπου οι μηχανισμοί συνεργασίας είναι επί του παρόντος ανύπαρκτοι ή περιορισμένοι.

4.

Για τον σκοπό αυτό, η πρόταση αποβλέπει στην τροποποίηση τριών ισχυουσών οδηγιών ως ακολούθως:

5.

Μητρώα επιχειρήσεων υπάρχουν σε όλα τα κράτη μέλη και οργανώνονται σε εθνικό, περιφερειακό ή τοπικό επίπεδο. Το 1968 εγκρίθηκαν κοινοί κανόνες για τη θέσπιση ελάχιστων προτύπων δημοσιότητας (καταχώριση και δημοσιοποίηση) των πληροφοριών για επιχειρήσεις (7). Από την 1η Ιανουαρίου 2007, τα κράτη μέλη οφείλουν επίσης να τηρούν ηλεκτρονικά μητρώα επιχειρήσεων (8) και να επιτρέπουν την επιγραμμική πρόσβαση τρίτων στο περιεχόμενο του μητρώου.

6.

Η συνεργασία μεταξύ των μητρώων επιχειρήσεων των κρατών μελών απαιτείται ρητώς από ορισμένες ευρωπαϊκές νομικές πράξεις με σκοπό τη διευκόλυνση των διασυνοριακών συγχωνεύσεων κεφαλαιουχικών εταιρειών (9) και τη διασυνοριακή μεταφορά έδρας της ευρωπαϊκής εταιρείας (SE) (10) και της ευρωπαϊκής συνεταιριστικής εταιρείας (SCE) (11).

7.

Το 1992 συγκροτήθηκε ένας μηχανισμός εθελοντικής συνεργασίας όσον αφορά τα μητρώα επιχειρήσεων στην Ευρώπη. Επί του παρόντος, το λεγόμενο Ευρωπαϊκό Μητρώο Επιχειρήσεων («EBR») (12) συνδυάζει επίσημα μητρώα επιχειρήσεων 19 κρατών μελών και έξι άλλων ευρωπαϊκών δικαιοδοσιών. Μεταξύ των ετών 2006 και 2009, το EBR έλαβε μέρος σε ερευνητικό σχέδιο με την ονομασία BRITE (13), σκοπός του οποίου ήταν η ανάπτυξη τεχνολογικής πλατφόρμας για τη διαλειτουργικότητα των μητρώων επιχειρήσεων σε ολόκληρη την Ευρώπη. Στην εκτίμηση του αντικτύπου που συνοδεύει την πρόταση εξηγείται, ωστόσο, ότι το EBR αντιμετωπίζει σημαντικές προκλήσεις όσον αφορά την επέκταση, τη χρηματοδότηση και τη διοίκησή του: σύμφωνα με την εκτίμηση του αντικτύπου, ο ισχύων μηχανισμός συνεργασίας, στην παρούσα μορφή του, δεν ικανοποιεί πλήρως τους δυνητικούς χρήστες του.

8.

Στην αιτιολογική έκθεση που συνοδεύει την πρόταση σημειώνεται ότι η ευρωπαϊκή δικτυακή πύλη ηλεκτρονικής δικαιοσύνης (14) πρόκειται να αποτελέσει το βασικό σημείο πρόσβασης σε νομικές πληροφορίες, νομικά και διοικητικά όργανα, μητρώα, βάσεις δεδομένων και άλλες υπηρεσίες στην ΕΕ. Επιβεβαιώνεται περαιτέρω ότι η πρόταση είναι συμπληρωματική προς το έργο της ηλεκτρονικής δικαιοσύνης και θα συμβάλει στη διευκόλυνση της πρόσβασης σε πληροφορίες για τις επιχειρήσεις μέσω της δικτυακής πύλης.

9.

Σύμφωνα με την εκτίμηση του αντικτύπου, ένα άλλο συναφές σχέδιο με δυνητικές συνέργειες είναι το σύστημα πληροφόρησης της εσωτερικής αγοράς (IMI) (15). Το IMI είναι ένα ηλεκτρονικό εργαλείο σχεδιασμένο για τη στήριξη της καθημερινής διοικητικής συνεργασίας μεταξύ δημόσιων αρχών στο πλαίσιο της οδηγίας για τις υπηρεσίες (2006/123/ΕΚ) και της οδηγίας για τα επαγγελματικά προσόντα (2005/36/ΕΚ). Το IMI τελεί ήδη υπό επέκταση και θα μπορούσε, σύμφωνα με την εκτίμηση του αντικτύπου, να στηρίξει την εφαρμογή και άλλων οδηγιών, μεταξύ δε αυτών οδηγιών που ρυθμίζουν θέματα δικαίου εταιρειών.

10.

Το άρθρο 3 της πρότασης εισάγει αρκετές τροποποιήσεις στην οδηγία 2009/101/ΕΚ. Δύο από αυτές έχουν ιδιαίτερη σημασία για την προστασία των δεδομένων.

11.

Το ισχύον άρθρο 2 της οδηγίας 2009/101/ΕΚ απαιτεί ήδη τη δημοσιοποίηση ορισμένων ελάχιστων πληροφοριών στα μητρώα επιχειρήσεων κάθε κράτους μέλους, ώστε οι τρίτοι να μπορούν να επιβεβαιώσουν πληροφορίες που αφορούν εταιρείες. Όπως εξηγείται στην ενότητα 1.2 ανωτέρω, τα κράτη μέλη οφείλουν επίσης να τηρούν ηλεκτρονικά μητρώα επιχειρήσεων και να επιτρέπουν την επιγραμμική πρόσβαση τρίτων στο περιεχόμενο των εν λόγω μητρώων.

12.

Το άρθρο 2 απαριθμεί ένδεκα στοιχεία βασικών πληροφοριών για εταιρείες που πρέπει να δημοσιοποιούνται στο κοινό, περιλαμβανομένων των ακόλουθων:

13.

Από την άποψη της προστασίας των δεδομένων, είναι σημαντικό ότι το άρθρο 2 απαιτεί την περαιτέρω δημοσιοποίηση «του διορισμού, της αποχώρησης καθώς και των ατομικών στοιχείων» (η υπογράμμιση έγινε από τον συντάκτη της παρούσας γνωμοδότησης) των προσώπων τα οποία i) έχουν την εξουσία να εκπροσωπούν την εταιρεία ή/και ii) συμμετέχουν καθ’ οιονδήποτε τρόπο «στη διοίκηση, στην εποπτεία ή στον έλεγχο» της εταιρείας.

14.

Η πρόταση δεν μετέβαλε τον κατάλογο των στοιχείων των οποίων τη δημοσιοποίηση απαιτεί το άρθρο 2. Δεν συνιστά εξάλλου νέα απαίτηση η υποχρέωση κάθε κράτους μέλους να θέτει τις εν λόγω πληροφορίες στη διάθεση του κοινού με ηλεκτρονικά μέσα. Η καινοτομία της πρότασης έγκειται στο γεγονός ότι πληροφορίες η διάθεση των οποίων γινόταν μέχρι τούδε με αποσπασματικό τρόπο, συχνά μόνο σε τοπικές γλώσσες και μέσω τοπικών δικτυακών τόπων, καθίστανται πλέον εύκολα προσβάσιμες, μέσω κοινής ευρωπαϊκής πλατφόρμας/σημείου πρόσβασης, σε πολύγλωσσο περιβάλλον.

15.

Η πρόταση επιδιώκει να συμβάλει στην επίτευξη του ανωτέρω σκοπού με τη διάταξη του νέου άρθρου 3α, η οποία ορίζει τα εξής: «Τα κράτη μέλη εξασφαλίζουν ότι οι πράξεις και τα στοιχεία που αναφέρονται στο άρθρο 2 και έχουν καταχωριστεί στο μητρώο τους μπορούν να ληφθούν, κατόπιν αιτήσεως οιουδήποτε αιτούντος, με ηλεκτρονικά μέσα, μέσω ενιαίας ευρωπαϊκής ηλεκτρονικής πλατφόρμας προσβάσιμης από κάθε κράτος μέλος». Η πρόταση προβλέπει τη θέσπιση λεπτομερέστερων ρυθμίσεων με κατ’ εξουσιοδότηση πράξεις.

16.

Η πρόταση εισάγει επίσης στην οδηγία 2009/101/ΕΚ τη διάταξη του νέου άρθρου 4α, η οποία ορίζει ότι «Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα για να εξασφαλίσουν ότι τα [μητρώα επιχειρήσεων] είναι διαλειτουργικά και αποτελούν ηλεκτρονικό δίκτυο». Η πρόταση προβλέπει και πάλι τη θέσπιση λεπτομερέστερων ρυθμίσεων με κατ’ εξουσιοδότηση πράξεις.

17.

Επιδιώκοντας να διασκεδάσει τις ανησυχίες σχετικά με την προστασία των δεδομένων, η πρόταση εισάγει στο κείμενο και των τριών υπό τροποποίηση οδηγιών ένα ειδικό άρθρο για την προστασία των δεδομένων, το οποίο ορίζει ότι «[η] επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο της […] οδηγίας υπόκειται στις διατάξεις της οδηγίας 95/46/ΕΚ».

18.

Ο ΕΕΠΔ συμμερίζεται την άποψη της Επιτροπής ότι i) η χρήση των τεχνολογιών της πληροφορίας και των επικοινωνιών μπορεί να συμβάλει στην αποτελεσματικότερη συνεργασία όσον αφορά τα μητρώα επιχειρήσεων, και ii) η αύξηση της προσβασιμότητας στις πληροφορίες των μητρώων επιχειρήσεων μπορεί να συμβάλει στην αύξηση της διαφάνειας. Κατά συνέπεια, στηρίζει τους στόχους της πρότασης. Οι παρατηρήσεις του πρέπει να αξιολογηθούν υπό το πρίσμα της εποικοδομητικής αυτής προσέγγισης.

19.

Ταυτόχρονα, ο ΕΕΠΔ επισημαίνει ότι η αυξημένη δυνατότητα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα αυξάνει τους κινδύνους που συνδέονται με τα δεδομένα προσωπικού χαρακτήρα. Για παράδειγμα, ενώ η δημοσιοποίηση της διεύθυνσης κατοικίας του εκπροσώπου μιας εταιρείας μπορεί να διευκολύνει τον εντοπισμό του, το γεγονός αυτό ενδέχεται να έχει αρνητικές συνέπειες στο δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα του συγκεκριμένου φυσικού προσώπου. Η διαπίστωση αυτή ισχύει όλως ιδιαιτέρως για τα δεδομένα προσωπικού χαρακτήρα που διατίθενται στο ευρύ κοινό μέσω Διαδικτύου σε ψηφιακή μορφή, σε περισσότερες γλώσσες και μέσω μιας εύκολα προσβάσιμης ευρωπαϊκής πλατφόρμας/σημείου πρόσβασης.

20.

Στο σχετικά πρόσφατο παρελθόν, τα δεδομένα προσωπικού χαρακτήρα από μητρώα επιχειρήσεων (π.χ. το όνομα, η διεύθυνση και το δείγμα υπογραφής μέλους του διοικητικού συμβουλίου) δημοσιοποιούνταν στο κοινό σε έντυπη μορφή και στην τοπική γλώσσα, συχνά μόνο κατόπιν αυτοπρόσωπης επίσκεψης του αιτούντος στο τοπικό γραφείο του μητρώου. Είναι σημαντικό να αναγνωρίσει κανείς ότι η κατάσταση αυτή διαφέρει ποιοτικά από τη δημοσιοποίηση δεδομένων σε ψηφιακή μορφή μέσω ενός εθνικής κλίμακας ηλεκτρονικού σημείου πρόσβασης. Η δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα μέσω μιας εύκολα προσβάσιμης πανευρωπαϊκής πλατφόρμας/σημείων πρόσβασης αποτελεί βήμα προόδου και αυξάνει περαιτέρω τη δυνατότητα πρόσβασης σε πληροφορίες, αλλά και τους κινδύνους για την προστασία των δεδομένων προσωπικού χαρακτήρα των αντίστοιχων φυσικών προσώπων.

21.

Η ευκολία με την οποία καθίστανται διαθέσιμα τα δεδομένα σε ψηφιακή μορφή από ένα κοινό ηλεκτρονικό σημείο πρόσβασης συνεπάγεται υπαρκτούς κινδύνους για την ιδιωτική ζωή, όπως είναι η κλοπή ταυτότητας και άλλες αξιόποινες πράξεις, καθώς και ο κίνδυνος παράνομης συγκομιδής και χρήσης των δημοσιοποιούμενων πληροφοριών από επιχειρήσεις για εμπορικούς σκοπούς που δεν είχαν εξαρχής προβλεφθεί, συνδέονται δε με το ιδιαίτερο προφίλ των θιγόμενων φυσικών προσώπων. Εφόσον απουσιάζουν οι κατάλληλες εγγυήσεις, οι πληροφορίες ενδέχεται επίσης να πωληθούν σε άλλα πρόσωπα ή να συνδυαστούν με άλλες πληροφορίες και να μεταπωληθούν σε κυβερνήσεις που θα τις χρησιμοποιήσουν για μη συναφείς ή καλυπτόμενους από μυστικότητα σκοπούς (π.χ. για την επιβολή της φορολογικής νομοθεσίας ή για άλλες ποινικές ή διοικητικές έρευνες) χωρίς κατάλληλη νομική βάση (16).

22.

Για τους λόγους αυτούς, χρήζει ενδελεχούς εξέτασης τόσο η επιλογή των προσωπικών πληροφοριών που θα πρέπει να διατίθενται μέσω της κοινής ευρωπαϊκής πλατφόρμας/σημείου πρόσβασης όσο και ο καθορισμός των εφαρμοστέων πρόσθετων εγγυήσεων προστασίας των δεδομένων, περιλαμβανομένων των τεχνικών μέτρων για τον περιορισμό των ικανοτήτων αναζήτησης ή μεταφόρτωσης δεδομένων και της εξόρυξης δεδομένων.

23.

Σύμφωνα με τα προεκτεθέντα στις ενότητες 2.1 και 2.2 της παρούσας γνωμοδότησης, τα προτεινόμενα άρθρα 3α και 4α της οδηγίας 2009/101/ΕΚ διακρίνονται για τον γενικό χαρακτήρα των ρυθμίσεών τους και προβλέπουν τη ρύθμιση πολλών κρίσιμων ζητημάτων με κατ’ εξουσιοδότηση πράξεις.

24.

Παρότι ο ΕΕΠΔ αναγνωρίζει την αναγκαιότητα ευελιξίας και, επομένως, την ανάγκη έκδοσης κατ’ εξουσιοδότηση πράξεων, επισημαίνει ότι οι αναγκαίες εγγυήσεις προστασίας των δεδομένων αποτελούν ουσιώδη στοιχεία της ρύθμισης, τα οποία πρέπει να ορίζονται με σαφήνεια και πληρότητα στο κείμενο της προτεινόμενης οδηγίας. Επομένως, δεν μπορούν να εκληφθούν ως «μη ουσιώδη στοιχεία», ο καθορισμός των οποίων δύναται να παραπεμφθεί σε μεταγενέστερες κατ’ εξουσιοδότηση πράξεις που εγκρίνονται βάσει του άρθρου 290 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης.

25.

Ως εκ τούτου, ο ΕΕΠΔ συνιστά οι διατάξεις της πρότασης που αφορούν την προστασία των δεδομένων να διατυπωθούν με μεγαλύτερη σαφήνεια και να μην αρκεστούν σε απλή παραπομπή στην οδηγία 95/46 (βλέπε ενότητες 3.4 έως 3.13). Πρόσθετες διατάξεις σχετικά με την εφαρμογή συγκεκριμένων εγγυήσεων μπορούν να περιληφθούν εκ των υστέρων σε κατ’ εξουσιοδότηση πράξεις, αφού ζητηθεί η γνώμη του ΕΕΠΔ και, ανάλογα με την περίπτωση, των οικείων εθνικών αρχών προστασίας δεδομένων (βλέπε ενότητες 3.5, 3.6, 3.8, 3.9, 3.10, 3.12 και 3.13 κατωτέρω).

26.

Η ασάφεια της πρότασης δεν περιορίζεται στις εγγυήσεις προστασίας σημαντικών δεδομένων, αλλά εκτείνεται και σε άλλα ζητήματα. Ειδικότερα, παραπέμπει σε ρύθμιση από κατ’ εξουσιοδότηση πράξεις τον καθορισμό ουσιωδών στοιχείων που αφορούν τον τρόπο επίτευξης της προτεινόμενης i) διασύνδεσης των μητρώων επιχειρήσεων και ii) δημοσιοποίησης των δεδομένων.

27.

Η σαφήνεια ως προς τα λοιπά ουσιώδη στοιχεία της πρότασης αποτελεί αναγκαία προϋπόθεση για τη θέσπιση κατάλληλων εγγυήσεων προστασίας των δεδομένων. Κατά συνέπεια, ο ΕΕΠΔ συνιστά τα εν λόγω ουσιώδη στοιχεία να ορίζονται από την ίδια την προτεινόμενη οδηγία (βλέπε ενότητες 3.4 και 3.5 κατωτέρω).

28.

Επί του παρόντος, η πρόταση παραπέμπει σε κατ’ εξουσιοδότηση πράξεις τη διατύπωση των κανόνων που αφορούν τη διακυβέρνηση, τη διαχείριση, τη λειτουργία και την εκπροσώπηση του ηλεκτρονικού δικτύου (17).

29.

Παρότι η εκτίμηση του αντικτύπου και η αιτιολογική έκθεση υποδεικνύουν ορισμένες συνέργειες με το IMI και τη δικτυακή πύλη ηλεκτρονικής δικαιοσύνης, το κείμενο της προτεινόμενης οδηγίας δεν αποκλείει εναλλακτικές επιλογές για την υλοποίηση μερικών ή όλων των εν λόγω συνεργειών, μεταξύ δε αυτών τον επανασχεδιασμό του EBR, τη χρήση του IMI για συγκεκριμένες ανταλλαγές δεδομένων ή/και τη χρήση της δικτυακής πύλης ηλεκτρονικής δικαιοσύνης ως πλατφόρμας/σημείου πρόσβασης για την παροχή πληροφοριών από τα μητρώα επιχειρήσεων στο κοινό.

30.

Δεν αποκλείονται επίσης άλλες εναλλακτικές επιλογές, όπως η προκήρυξη διαγωνισμού για την ανάθεση του δικαιώματος σχεδιασμού και θέσης σε λειτουργία του ηλεκτρονικού δικτύου ή η ανάληψη άμεσου ρόλου από την Επιτροπή στον σχεδιασμό του συστήματος και τη θέση του σε λειτουργία. Εκπρόσωποι κρατών μελών ενδέχεται επίσης να συμμετέχουν στη δομή διακυβέρνησης του ηλεκτρονικού δικτύου.

31.

Επιπλέον, παρότι στην παρούσα μορφή της η πρόταση προβλέπει τη δημιουργία «ενιαίας ευρωπαϊκής ηλεκτρονικής πλατφόρμας» (η υπογράμμιση έγινε από τον συντάκτη της παρούσας γνωμοδότησης), δεν αποκλείεται η περαιτέρω τροποποίηση του κειμένου κατά τη νομοθετική διαδικασία ώστε να προβλέπεται μια πιο αποκεντρωμένη δομή.

32.

Ο ΕΕΠΔ επισημαίνει επίσης ότι, παρότι στην παρούσα πρόταση δεν εξετάζεται ειδικά το ζήτημα της διασύνδεσης των μητρώων επιχειρήσεων με άλλες βάσεις δεδομένων (όπως είναι, για παράδειγμα, τα κτηματολόγια και τα ληξιαρχεία), η δυνατότητα αυτή ασφαλώς υφίσταται από τεχνική άποψη, σε ορισμένα δε κράτη μέλη ήδη εφαρμόζεται στην πράξη (18).

33.

Η επιλογή της μιας ή της άλλης από τις υπό εξέταση εναλλακτικές δυνατότητες μπορεί να έχει ως αποτέλεσμα μια εντελώς διαφορετική δομή διακυβέρνησης του ηλεκτρονικού δικτύου και του ηλεκτρονικού εργαλείου που θα χρησιμοποιείται για τη δημοσιοποίηση των δεδομένων. Αυτό συνεπάγεται, με τη σειρά του, διαφορετικούς ρόλους και αρμοδιότητες για τα εμπλεκόμενα μέρη, κατά συνέπεια διαφορετικούς ρόλους και αρμοδιότητες και από την άποψη της προστασίας των δεδομένων.

34.

Από την άποψη αυτή, ο ΕΕΠΔ επισημαίνει ότι ο ορθός προσδιορισμός του «υπευθύνου επεξεργασίας» αποτελεί κρίσιμο ζήτημα σε κάθε περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Στην ίδια επισήμανση κατέληξε και η ομάδα εργασίας του άρθρου 29 για την προστασία δεδομένων στη γνώμη 1/2010 που διατύπωσε σχετικά με τις έννοιες του «υπευθύνου επεξεργασίας» και του «εκτελούντος την επεξεργασία» (19). Ο κύριος λόγος για τον οποίο ο σαφής και αναμφισβήτητος προσδιορισμός του υπευθύνου επεξεργασίας αναδεικνύεται σε ζήτημα κεφαλαιώδους σημασίας συνδέεται αφενός μεν με το γεγονός ότι ο εν λόγω αξιωματούχος είναι αρμόδιος για τον προσδιορισμό των υπευθύνων σε συμμόρφωση προς τους κανόνες προστασίας των δεδομένων, αφετέρου δε με τον προσδιορισμό του εφαρμοστέου δικαίου (20).

35.

Όπως επισημαίνεται στη γνώμη της ομάδας εργασίας του άρθρου 29, «[ε]άν δεν προσδιορίζεται με αρκετή σαφήνεια τι απαιτείται από ποιον — π.χ. κανείς δεν είναι υπεύθυνος ή υπάρχουν πολύ δυνητικοί υπεύθυνοι της επεξεργασίας — είναι εμφανής ο κίνδυνος να μην συμβούν πολλά — ίσως και να μην συμβεί τίποτε — και οι νομικές διατάξεις θα παραμείνουν αναποτελεσματικές».

36.

Ο ΕΕΠΔ τονίζει ότι σαφήνεια απαιτείται ιδίως σε περιπτώσεις συμμετοχής περισσότερων παραγόντων σε μια σχέση συνεργασίας. Αυτό συμβαίνει συχνά με τα συστήματα πληροφόρησης της ΕΕ που εξυπηρετούν σκοπούς δημόσιου συμφέροντος, ο δε σκοπός της επεξεργασίας ορίζεται στο δίκαιο της ΕΕ.

37.

Για τους λόγους αυτούς, ο ΕΕΠΔ συνιστά το κείμενο της προτεινόμενης οδηγίας να ορίζει με συγκεκριμένο, σαφή και αναμφισβήτητο τρόπο τα εξής:

38.

Από την άποψη της προστασίας των δεδομένων, οι διευκρινίσεις αυτές πρέπει επίσης να είναι συγκεκριμένες και να μην επιδέχονται αμφισβήτηση, προκειμένου να διαπιστώνεται, βάσει της ίδιας της προτεινόμενης οδηγίας, κατά πόσον ένας συγκεκριμένος παράγοντας πρέπει να θεωρείται «υπεύθυνος επεξεργασίας» ή «εκτελών την επεξεργασία».

39.

Όπως προκύπτει από το παρόν σχέδιο πρότασης στο σύνολό του, η πρόταση πρέπει καταρχήν να συμβάλει ρητά στην υπαγωγή ή μη των υπεύθυνων τήρησης των μητρώων επιχειρήσεων και του (των) υπεύθυνου (-ων) για τη λειτουργία του συστήματος στην έννοια των υπεύθυνων επεξεργασίας δεδομένων, λαμβανομένων υπόψη των ιδιαίτερων δραστηριοτήτων ενός εκάστου. Ωστόσο, δεδομένου ότι επί του παρόντος η πρόταση δεν περιγράφει τη δομή διακυβέρνησης και δεν καθορίζει ποιος (ποιοι) θα είναι ο (οι) υπεύθυνος (-οι) για τη λειτουργία του ηλεκτρονικού συστήματος, δεν μπορεί να αποκλεισθεί το ενδεχόμενο κάποιος από τους φορείς που θα φέρει τελικώς την ευθύνη λειτουργίας του συστήματος σε πρακτικό επίπεδο να ενεργεί ως εκτελών την επεξεργασία και όχι ως υπεύθυνος επεξεργασίας. Αυτό μπορεί να συμβεί, ειδικότερα, εάν η εν λόγω δραστηριότητα αποτελέσει αντικείμενο εξωτερικής ανάθεσης σε τρίτο, ο οποίος ενεργεί επί τη βάσει αυστηρών οδηγιών. Σε κάθε περίπτωση, φαίνεται ότι εξακολουθούν να υφίστανται περισσότεροι υπεύθυνοι επεξεργασίας των δεδομένων, ένας τουλάχιστον σε κάθε κράτος μέλος: οι φορείς που τηρούν τα μητρώα επιχειρήσεων. Το γεγονός ότι άλλοι (ιδιωτικοί) φορείς ενδέχεται να δραστηριοποιούνται ως υπεύθυνοι λειτουργίας, «διανομείς» ή καθ’ οιονδήποτε άλλον τρόπο δεν επηρεάζει την παρούσα πτυχή. Η προτεινόμενη οδηγία πρέπει οπωσδήποτε να αντιμετωπίζει το συγκεκριμένο ζήτημα εις τρόπον ώστε να διασφαλίζονται η σαφήνεια και η ασφάλεια δικαίου.

40.

Τέλος, η πρόταση πρέπει να περιγράφει με μεγαλύτερη σαφήνεια και περιεκτικότητα τις αρμοδιότητες που απορρέουν από τους υπό εξέταση ρόλους. Για παράδειγμα, στην πρόταση πρέπει να περιλαμβάνονται ο ρόλος του υπευθύνου λειτουργίας του συστήματος που διασφαλίζει ότι το σύστημα έχει σχεδιασθεί με γνώμονα τον σεβασμό προς την ιδιωτική ζωή καθώς και ο συντονιστικός ρόλος του σε σχέση με ζητήματα προστασίας των δεδομένων.

41.

Ο ΕΕΠΔ επισημαίνει ότι οι ανωτέρω διευκρινίσεις σχετίζονται επίσης με τον καθορισμό των αρμόδιων εποπτικών αρχών προστασίας των δεδομένων με βάση τις επιμέρους μορφές επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

42.

Φαίνεται ότι, στην παρούσα μορφή του, το ηλεκτρονικό δίκτυο δεν προβλέπεται να διαθέτει αυτομάτως σε όλα τα μητρώα επιχειρήσεων όλων των άλλων κρατών μελών όλες τις πληροφορίες που τηρούνται σε ένα μητρώο επιχειρήσεων: η πρόταση απαιτεί απλώς τη διασύνδεση και τη διαλειτουργικότητα των μητρώων επιχειρήσεων και, κατ’ αυτόν τον τρόπο, θέτει τους όρους που θα καθιστούν επιτρεπτές τις ανταλλαγές δεδομένων και την πρόσβαση στο μέλλον. Για να διασφαλιστεί η ασφάλεια δικαίου, η πρόταση πρέπει να αποσαφηνίζει κατά πόσον η συγκεκριμένη ερμηνεία είναι ορθή.

43.

Επιπλέον, η πρόταση δεν προσδιορίζει ποιες ροές δεδομένων/διαδικασίες διοικητικής συνεργασίας μπορούν να πραγματοποιηθούν μέσω των διασυνδεδεμένων μητρώων επιχειρήσεων (21). Ο ΕΕΠΔ επισημαίνει ότι η αντιμετώπιση μελλοντικών αναγκών ενδεχομένως συνεπάγεται έναν βαθμό ευελιξίας. Παρ’ όλα αυτά, ο ΕΕΠΔ θεωρεί ουσιώδες στοιχείο της πρότασης τον καθορισμό του πλαισίου που θα διέπει ροές δεδομένων και διαδικασίες διοικητικής συνεργασίας οι οποίες ενδέχεται να πραγματοποιηθούν στο μέλλον με τη χρήση του ηλεκτρονικού δικτύου. Αυτό είναι ιδιαίτερα σημαντικό προκειμένου να διασφαλίζεται ότι i) όλες οι ανταλλαγές δεδομένων επιχειρούνται επί τη βάσει ισχυρής νομικής βάσης και ότι ii) προβλέπονται κατάλληλες εγγυήσεις προστασίας των δεδομένων.

44.

Σύμφωνα με τον ΕΕΠΔ, κάθε ανταλλαγή δεδομένων ή άλλη δραστηριότητα επεξεργασίας δεδομένων με τη χρήση του ηλεκτρονικού δικτύου (π.χ. δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα μέσω της κοινής πλατφόρμας/σημείου πρόσβασης) πρέπει να βασίζεται σε δεσμευτική πράξη της ΕΕ που θα ερείδεται σε ισχυρή νομική βάση. Η εν λόγω προϋπόθεση πρέπει να προβλέπεται σαφώς στην προτεινόμενη οδηγία (22).

45.

Επιπλέον, η πρόταση ορίζει ότι κατ’ εξουσιοδότηση πράξεις καθορίζουν τα ακόλουθα ζητήματα (23):

46.

Όσον αφορά την πρώτη και τη δεύτερη από τις ανωτέρω περιπτώσεις, ο ΕΕΠΔ θεωρεί ότι ορισμένες ουσιώδεις εγγυήσεις πρέπει να προβλέπονται στην ίδια την προτεινόμενη οδηγία (βλέπε ενότητες 3.12 και 3.13 κατωτέρω). Περαιτέρω λεπτομέρειες μπορούν να καθορισθούν με κατ’ εξουσιοδότηση πράξεις.

47.

Όσον αφορά την αυτοματοποιημένη ανταλλαγή δεδομένων, ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι η πρόταση απαιτεί οι κατ’ εξουσιοδότηση πράξεις να προβλέπουν «τον καθορισμό προτύπων σχετικά με τον μορφότυπο, το περιεχόμενο και τα όρια όσον αφορά την αποθήκευση και την ανάκτηση των πράξεων και των στοιχείων, τα οποία καθιστούν δυνατή την αυτοματοποιημένη ανταλλαγή δεδομένων».

48.

Για μεγαλύτερη σαφήνεια στο θέμα αυτό, ο ΕΕΠΔ συνιστά να προσδιορίζεται σαφώς στην ίδια την προτεινόμενη οδηγία ότι το ηλεκτρονικό δίκτυο καθιστά εφικτές i) συγκεκριμένες κατά περίπτωση μη αυτοματοποιημένες ανταλλαγές δεδομένων μεταξύ μητρώων επιχειρήσεων (όπως προβλέπεται σε πράξη της ΕΕ, π.χ. στην περίπτωση συγχώνευσης ή μεταφοράς έδρας)· και ii) αυτοματοποιημένες διαβιβάσεις δεδομένων (όπως προβλέπεται σε πράξη της ΕΕ, π.χ. στην περίπτωση επικαιροποίησης πληροφοριών στο μητρώο για ξένα υποκαταστήματα).

49.

Για την περαιτέρω βελτίωση της σαφήνειας, ο ΕΕΠΔ συνιστά επίσης την τροποποίηση του προτεινόμενου κειμένου του οικείου άρθρου 4α παράγραφος 3 σημείο i) της οδηγίας 2009/101/ΕΚ ώστε να διασφαλίζεται ότι i) οι κατ’ εξουσιοδότηση πράξεις θα αφορούν συνολικά τόσο τις μη αυτοματοποιημένες όσο και τις αυτοματοποιημένες ανταλλαγές δεδομένων, ότι ii) καλύπτονται όλες οι πράξεις επεξεργασίας οι οποίες ενδέχεται να αφορούν δεδομένα προσωπικού χαρακτήρα (όχι μόνον η αποθήκευση και η ανάκτηση)· ότι iii) ειδικές διατάξεις για την προστασία των δεδομένων σε κατ’ εξουσιοδότηση πράξεις θα διασφαλίζουν επίσης την πρακτική εφαρμογή σχετικών εγγυήσεων προστασίας των δεδομένων.

50.

Ενδεικτικά, το άρθρο 4α παράγραφος 3 σημείο i) μπορεί, για παράδειγμα, να τροποποιηθεί και να διαμορφωθεί ως ακολούθως:

51.

Ως προκαταρκτική παρατήρηση, ο ΕΕΠΔ επισημαίνει ότι, παρά το γεγονός ότι τα ονόματα (και, ενδεχομένως, άλλα στοιχεία, όπως η διεύθυνση κατοικίας) των εκπροσώπων των επιχειρήσεων (και άλλων προσώπων που εμπλέκονται στη διακυβέρνηση των εταιρειών) αποτελούν αναμφίβολα τα πλέον προφανή δεδομένα προσωπικού χαρακτήρα τα οποία ενδέχεται να αποτελέσουν αντικείμενο επεξεργασίας από το ηλεκτρονικό δίκτυο ή/και να δημοσιοποιηθούν μέσω της κοινής ηλεκτρονικής πλατφόρμας/του σημείου πρόσβασης, δεν είναι σε καμία περίπτωση οι μοναδικές προσωπικές πληροφορίες που περιέχονται στα μητρώα επιχειρήσεων.

52.

Καταρχάς, ορισμένα από τα έγγραφα που απαριθμούνται στο άρθρο 2 της οδηγίας 2009/101/ΕΚ (π.χ. ιδρυτική πράξη, καταστατικό και λογιστικά έγγραφα) ενδέχεται επίσης να περιέχουν δεδομένα προσωπικού χαρακτήρα άλλων φυσικών προσώπων. Τα δεδομένα αυτά μπορεί να περιλαμβάνουν, μεταξύ άλλων, ονόματα, διευθύνσεις, ενδεχομένως αριθμούς ταυτότητας και ημερομηνίες γέννησης, ακόμη και σαρώσεις χειρόγραφων υπογραφών διάφορων φυσικών προσώπων, περιλαμβανομένων των ιδρυτών της εταιρείας, μετόχων της εταιρείας, δικηγόρων, λογιστών, υπαλλήλων ή συμβολαιογράφων.

53.

Δεύτερον, εταιρικά δεδομένα τα οποία συνδέονται με τα όνομα ενός φυσικού προσώπου (π.χ. μέλους του διοικητικού συμβουλίου) μπορούν επίσης να θεωρηθούν δεδομένα προσωπικού χαρακτήρα που σχετίζονται με το συγκεκριμένο φυσικό πρόσωπο. Για παράδειγμα, εάν τα δεδομένα του μητρώου επιχειρήσεων δείχνουν ότι ορισμένο φυσικό πρόσωπο είναι μέλος του διοικητικού συμβουλίου μιας εταιρείας η οποία τελεί υπό εκκαθάριση, η πληροφορία αυτή είναι επίσης συναφής για το συγκεκριμένο φυσικό πρόσωπο.

54.

Προκειμένου να διασφαλίζεται σαφήνεια όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, το δε εύρος των δεδομένων που υποβάλλονται σε επεξεργασία να πληροί την αρχή της αναλογικότητας εν σχέσει προς τους στόχους της πρότασης, ο ΕΕΠΔ συνιστά να αποσαφηνιστούν τα ζητήματα που παρατίθενται κατωτέρω στην παρούσα ενότητα 3.7.

55.

Το άρθρο 2 της οδηγίας 2009/101/ΕΚ δεν ορίζει ποια «ατομικά στοιχεία» των σχετικών φυσικών προσώπων (εκπρόσωποι της εταιρείας και άλλα πρόσωπα που εμπλέκονται στη διακυβέρνηση της εταιρείας) πρέπει να δημοσιοποιούνται.

56.

Πράγματι, οι διαφορετικές γλωσσικές εκδόσεις της πρότασης εμφανίζουν σημαντικές διαφορές, ακόμη και όσον αφορά τη μετάφραση της φράσης «ατομικά στοιχεία των προσώπων». Για παράδειγμα, η φράση αποδίδεται ως «l’identité des personnes» (δηλαδή ταυτότητα των προσώπων) στα γαλλικά, «le generalità delle persone» (δηλαδή προσωπικά στοιχεία , όπως όνομα και επώνυμο) στα ιταλικά, «személyek adatai» (δηλαδή δεδομένα των φυσικών προσώπων) στα ουγγρικά, «de identiteit van de personen» (δηλαδή ταυτότητα των προσώπων) στα ολλανδικά και «identitatea persoanelor» (δηλαδή ταυτότητα των προσώπων) στα ρουμανικά.

57.

Εξάλλου, σε ορισμένα κράτη μέλη οι διευθύνσεις κατοικίας των μελών του διοικητικού συμβουλίου εταιρειών ή/και άλλων προσώπων, όπως ορισμένων μετόχων, διατίθενται ευρέως στο Διαδίκτυο. Σε άλλα κράτη μέλη, οι πληροφορίες αυτές διατηρούνται ως εμπιστευτικές από το μητρώο επιχειρήσεων στο οποίο υποβάλλονται. Αυτό συμβαίνει για λόγους εμπιστευτικότητας, μεταξύ άλλων για την αποφυγή της κλοπής ταυτότητας.

58.

Ο ΕΕΠΔ συνιστά την τροποποίηση του άρθρου 2 της οδηγίας 2009/101/ΕΚ προκειμένου να αποσαφηνισθεί το επιτρεπτό της δημοσιοποίησης και το είδος των δεδομένων προσωπικού χαρακτήρα, επιπλέον των ονομάτων των αναζητούμενων φυσικών προσώπων (εκπροσώπων της εταιρείας και λοιπών προσώπων τα οποία εμπλέκονται στη διακυβέρνηση της εταιρείας), τα οποία απαιτείται να δημοσιοποιούνται. Κατά τη δημοσιοποίηση, η αναγκαιότητα διαφάνειας και ακριβούς προσδιορισμού των αναζητούμενων φυσικών προσώπων πρέπει να εξετάζεται με μεγάλη προσοχή και χωρίς να αντιστρατεύεται άλλα προστατευόμενα αγαθά, όπως την αναγκαιότητα προστασίας της ιδιωτικής ζωής των εν λόγω φυσικών προσώπων (24).

59.

Εάν οι διαφορές μεταξύ των επιμέρους εθνικών πρακτικών δεν επιτρέψουν να επιτευχθεί συμφωνία, το άρθρο 2 πρέπει να τροποποιηθεί ώστε να απαιτεί τουλάχιστον τη δημοσιοποίηση «του πλήρους ονόματος των ενδιαφερόμενων φυσικών προσώπων, και — εφόσον το εθνικό δίκαιο περιέχει σχετική ρητή απαίτηση — περαιτέρω δεδομένων αναγκαίων για τον προσδιορισμό τους». Σε μια τέτοια περίπτωση καθίσταται σαφές ότι εναπόκειται σε κάθε κράτος μέλος χωριστά να αποφασίσει, στο πλαίσιο της οικείας εθνικής νομοθεσίας, εάν και ποια «ατομικά στοιχεία», επιπλέον των ονομάτων, πρέπει να δημοσιοποιούνται, τα δε πρόσθετα δεδομένα προσωπικού χαρακτήρα θα απαιτείται να δημοσιοποιηθούν μόνον εάν αυτό είναι αναγκαίο για τον προσδιορισμό των αναζητούμενων φυσικών προσώπων.

60.

Εναλλακτικά, και λαμβάνοντας υπόψη ότι το άρθρο 2 αναφέρεται σε «ελάχιστες πληροφορίες» και όχι στην πλήρη εναρμόνιση του περιεχομένου των μητρώων επιχειρήσεων σε ολόκληρη την Ευρώπη, η φράση «ατομικά στοιχεία των προσώπων» μπορεί να αντικατασταθεί απλώς με τη φράση «πλήρη ονόματα των προσώπων». Και σε αυτή την περίπτωση, εναπόκειται σε κάθε κράτος μέλος χωριστά να αποφασίσει για το επιτρεπτό της δημοσιοποίησης και το είδος των πρόσθετων πληροφοριών που επιθυμεί να δημοσιοποιήσει.

61.

Το άρθρο 2 της οδηγίας 2009/101/ΕΚ απαιτεί επίσης τη δημοσιοποίηση πληροφοριών σχετικά με τα πρόσωπα που εμπλέκονται «στη διοίκηση, στην εποπτεία ή στον έλεγχο» της εταιρείας. Βάσει της ευρείας αυτής διατύπωσης, δεν είναι απολύτως σαφές κατά πόσον απαιτείται να δημοσιοποιούνται οι πληροφορίες που αφορούν τους μετόχους, και ειδικότερα οι πληροφορίες σχετικά με μετόχους οι οποίοι i) ασκούν σημαντική επιρροή ή ελέγχουν μερίδιο της επιχείρησης πέραν ενός ορισμένου ποσοστού ή οι οποίοι ii) δυνάμει προνομιούχων μετοχών, ειδικών συμβατικών ρυθμίσεων ή καθ’ οιονδήποτε άλλο τρόπο ασκούν αποτελεσματικό έλεγχο/επιρροή στην εταιρεία.

62.

Ο ΕΕΠΔ κατανοεί ότι απαιτείται ευρεία διατύπωση προκειμένου να καλυφθεί η μεγάλη ποικιλία των δομών εταιρικής διακυβέρνησης οι οποίες υφίστανται επί του παρόντος για τις κεφαλαιουχικές εταιρείες στα διάφορα κράτη μέλη. Ωστόσο, η ασφάλεια δικαίου σχετικά με τις κατηγορίες φυσικών προσώπων των οποίων τα δεδομένα μπορούν να δημοσιοποιηθούν είναι απαραίτητη από την άποψη της προστασίας των δεδομένων. Επομένως, ο ΕΕΠΔ συνιστά την τροποποίηση του άρθρου 2 της οδηγίας 2009/101/ΕΚ προκειμένου να αποσαφηνίζεται το επιτρεπτό της δημοσιοποίησης και το είδος των δεδομένων προσωπικού χαρακτήρα των μετόχων που απαιτείται να δημοσιοποιούνται. Για τον σκοπό αυτό, πρέπει επίσης να διενεργείται ανάλυση αναλογικότητας με γνώμονα την απόφαση του Δικαστηρίου στην υπόθεση Schecke (βλέπε ανωτέρω).

63.

Μολονότι η πρόταση δεν απαιτεί την ανταλλαγή ή τη δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα πέραν των ελάχιστων απαιτήσεων που προβλέπονται στο άρθρο 2 της οδηγίας 2009/101/ΕΚ, δεν αποκλείει επίσης το ενδεχόμενο τα κράτη μέλη να απαιτήσουν, εφόσον το επιθυμούν, την επεξεργασία ή τη δημοσιοποίηση περαιτέρω δεδομένων προσωπικού χαρακτήρα από τα μητρώα επιχειρήσεών τους καθώς και τη διάθεση τέτοιων δεδομένων μέσω της κοινής ευρωπαϊκής πλατφόρμας/σημείου πρόσβασης ή/και την ανταλλαγή τέτοιων δεδομένων με μητρώα επιχειρήσεων σε άλλα κράτη μέλη.

64.

Το ζήτημα αυτό χρήζει ιδιαίτερης προσοχής εν σχέσει προς τις λεγόμενες «μαύρες λίστες». Σε ορισμένες χώρες, το ηλεκτρονικό μητρώο λειτουργεί εκ των πραγμάτων ως ένα είδος «μαύρης λίστας»· κάθε τρίτος μπορεί να αναζητεί σε αυτό, μέσω ηλεκτρονικής πύλης, πληροφορίες σχετικά με τους εκπροσώπους της εταιρείας οι οποίοι τελούν υπό απαγόρευση άσκησης των δραστηριοτήτων τους.

65.

Για την αντιμετώπιση του ζητήματος αυτού, ο ΕΕΠΔ συνιστά να αποσαφηνίζεται στην πρόταση κατά πόσον και σε ποιο βαθμό τα κράτη μέλη μπορούν ενδεχομένως να δημοσιοποιούν περισσότερες πληροφορίες μέσω της κοινής πύλης ή/και να ανταλλάσσουν περισσότερες πληροφορίες μεταξύ τους βάσει των οικείων εθνικών νομοθεσιών, εφόσον το επιθυμούν. Στην περίπτωση αυτή, η αυστηρή αξιολόγηση αναλογικότητας (βλέπε υπόθεση Schecke ανωτέρω) πρέπει να βασίζεται στο εθνικό δίκαιο και να λαμβάνει επίσης υπόψη στις σταθμίσεις της τους στόχους της εσωτερικής αγοράς.

66.

Επιπλέον, ο ΕΕΠΔ εισηγείται τη σύνδεση της άσκησης των εξουσιών αυτών με τον ρόλο που θα διαδραματίζουν οι εθνικές αρχές προστασίας των δεδομένων, για παράδειγμα, μέσω διαβούλευσης.

67.

Τέλος, ο ΕΕΠΔ τονίζει ότι η τυχόν απαίτηση για ένα ευρωπαϊκό σύστημα το οποίο θα απαιτεί ρητά την ύπαρξη τέτοιων «μαύρων λιστών» πρέπει να προβλέπεται ρητά στην προτεινόμενη οδηγία (25).

68.

Ο ΕΕΠΔ συνιστά να προβλέπεται ρητά στην προτεινόμενη οδηγία ότι, σε όλες τις περιπτώσεις στις οποίες δημοσιοποιούνται ή καθ’ οιονδήποτε τρόπο ανταλλάσσονται δεδομένα προσωπικού χαρακτήρα μεταξύ μητρώων επιχειρήσεων, πρέπει να προβλέπονται κατάλληλες εγγυήσεις, ειδικότερα δε εγγυήσεις κατά της συγκομιδής δεδομένων, της εξόρυξης δεδομένων, του συνδυασμού δεδομένων και των υπερβολικών αναζητήσεων, οι οποίες θα διασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα που διατίθενται για σκοπούς διαφάνειας δεν θα αποτελέσουν αντικείμενο παράνομης χρήσης για αλλότριους, μη συναφείς σκοπούς (26).

69.

Ο ΕΕΠΔ τονίζει ειδικότερα την αναγκαιότητα να εξετασθούν τεχνολογικά και οργανωτικά μέτρα βάσει της αρχής της προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό (βλέπε ενότητα 3.14 κατωτέρω). Η πρακτική εφαρμογή των εν λόγω εγγυήσεων μπορεί να ρυθμίζεται με κατ’ εξουσιοδότηση πράξεις. Ωστόσο, οι αρχές που θα τις διέπουν πρέπει να ορίζονται από την ίδια την προτεινόμενη οδηγία.

70.

Ο ΕΕΠΔ συνιστά να περιέχεται στην προτεινόμενη οδηγία ειδική ρύθμιση η οποία θα απαιτεί την αποτελεσματική και πλήρη ενημέρωση, βάσει των άρθρων 10 και 11 της οδηγίας 95/46/ΕΚ (και των αντίστοιχων διατάξεων του κανονισμού (ΕΚ) αριθ. 45/2001, όπου απαιτείται), των υποκειμένων των δεδομένων. Επιπλέον, και ανάλογα με τη δομή διακυβέρνησης που θα συμφωνηθεί καθώς και τους ρόλους και τις αρμοδιότητες των διάφορων εμπλεκόμενων μερών, η προτεινόμενη οδηγία ενδέχεται να απαιτεί ρητά από τον υπεύθυνο για τη λειτουργία του συστήματος να ενημερώνει και να παρέχει πληροφορίες σε προληπτική βάση προς τα υποκείμενα των δεδομένων σχετικές με δεδομένα που τηρούνται στον δικτυακό τόπο του, καθώς και πληροφορίες «εξ ονόματος» των μητρώων επιχειρήσεων. Πιο λεπτομερείς ρυθμίσεις μπορούν να θεσπιστούν, εφόσον κριθεί αναγκαίο, με κατ’ εξουσιοδότηση πράξεις, ή να καθοριστούν στο πλαίσιο μιας πολιτικής προστασίας των δεδομένων.

71.

Η πρόταση πρέπει να αναφέρεται, έστω ακροθιγώς, στην ανάγκη να θεσπιστεί (με κατ’ εξουσιοδότηση πράξεις) ρυθμιστικό πλαίσιο που θα διευκολύνει τα υποκείμενα των δεδομένων να ασκούν τα δικαιώματά τους. Πρέπει επίσης να περιέχει αναφορά στο ενδεχόμενο κατασκευής μιας σχετικής με την προστασία των δεδομένων δομικής ενότητας διασύνδεσης, καθώς και στο ενδεχόμενο προώθησης λύσεων για την προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό, δεδομένου ότι αμφότερα θα συμβάλουν στην ανάπτυξη της συνεργασίας μεταξύ των αρχών όσον αφορά τα δικαιώματα πρόσβασης, καθώς και στη «μεταβίβαση εξουσιών στα υποκείμενα των δεδομένων», ανάλογα με την περίπτωση.

72.

Καθώς ακόμη και η Επιτροπή ή άλλο θεσμικό όργανο ή οργανισμός της ΕΕ ενδέχεται να προβαίνουν σε επεξεργασία δεδομένων προσωπικού χαρακτήρα στο ηλεκτρονικό δίκτυο (π.χ. ενεργώντας ως υπεύθυνος για τη λειτουργία του δικτύου ή ανακτώντας δεδομένα προσωπικού χαρακτήρα από αυτό), χρήζει αναφοράς στο κείμενο της οδηγίας ο κανονισμός (ΕΚ) αριθ. 45/2001.

73.

Πρέπει να διευκρινίζεται ότι η οδηγία 95/46/ΕΚ εφαρμόζεται στα μητρώα επιχειρήσεων καθώς και σε άλλους φορείς που λειτουργούν στο πλαίσιο των οικείων εθνικών νομοθεσιών των κρατών μελών, ενώ ο κανονισμός (ΕΚ) αριθ. 45/2001 εφαρμόζεται στην Επιτροπή και στα άλλα θεσμικά όργανα και στους οργανισμούς της ΕΕ.

74.

Όσον αφορά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από τον υπεύθυνο τήρησης ενός μητρώου επιχειρήσεων στην ΕΕ στον υπεύθυνο τήρησης ενός μητρώου επιχειρήσεων σε τρίτη χώρα, η οποία δεν παρέχει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, ο ΕΕΠΔ τονίζει, καταρχάς, ότι είναι σημαντικό να γίνεται διάκριση μεταξύ δύο περιπτώσεων:

75.

Στην πρώτη περίπτωση, το άρθρο 26 παράγραφος 1 στοιχείο στ) της οδηγίας 95/46/ΕΚ επιτρέπει μια εξαίρεση όταν «η διαβίβαση πραγματοποιείται από δημόσιο μητρώο», με την επιφύλαξη της συνδρομής ορισμένων προϋποθέσεων. Για παράδειγμα, εάν ο υπεύθυνος τήρησης ενός μητρώου επιχειρήσεων σε μια ευρωπαϊκή χώρα επιθυμεί να διαβιβάσει συγκεκριμένο σύνολο δεδομένων προσωπικού χαρακτήρα (π.χ. σε σχέση με την καταχώριση ξένων υποκαταστημάτων) στον υπεύθυνο τήρησης ενός μητρώου επιχειρήσεων σε τρίτη χώρα, τα δε δεδομένα είναι ήδη διαθέσιμα στο ευρύ κοινό, η διαβίβαση πρέπει να είναι εφικτή σε κάθε περίπτωση, ακόμη και εάν η εν λόγω τρίτη χώρα δεν παρέχει επαρκές επίπεδο προστασίας.

76.

Στη δεύτερη περίπτωση, ο ΕΕΠΔ συνιστά να αποσαφηνίζεται στην πρόταση ότι οι διαβιβάσεις δεδομένων που δεν διατίθενται στο ευρύ κοινό μπορούν να πραγματοποιούνται σε νομικά ή φυσικά πρόσωπα τρίτης χώρας που δεν διαθέτει επαρκή προστασία μόνον εφόσον ο υπεύθυνος επεξεργασίας παρουσιάζει επαρκείς εγγυήσεις όσον αφορά την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, καθώς και την άσκηση των εν λόγω δικαιωμάτων. Οι σχετικές εγγυήσεις μπορεί να απορρέουν, ειδικότερα, στο πλαίσιο συμβατικών υποχρεώσεων που αναλήφθηκαν επί τη βάσει του άρθρου 26 παράγραφος 2 της οδηγίας 95/46/EK (27). Σε περιπτώσεις στις οποίες οι διαβιβάσεις δεδομένων σε τρίτες χώρες αφορούν κατά κανόνα δεδομένα που ανταλλάσσονται μεταξύ μητρώων επιχειρήσεων δύο ή περισσότερων χωρών της ΕΕ ή η λήψη μέτρων σε επίπεδο ΕΕ είναι επιθυμητή για οποιονδήποτε άλλο λόγο, οι σχετικές συμβατικές υποχρεώσεις πρέπει να αποτελέσουν αντικείμενο διαπραγμάτευσης σε επίπεδο ΕΕ (άρθρο 26 παράγραφος 4).

77.

Ο ΕΕΠΔ τονίζει ότι άλλες παρεκκλίσεις, όπως η διάταξη του άρθρου 26 παράγραφος 1 στοιχείο δ), η οποία ορίζει ότι «η διαβίβαση είναι αναγκαία ή απαιτείται εκ του νόμου για τη διασφάλιση σημαντικού δημοσίου συμφέροντος ή για την αναγνώριση, άσκηση ή υπεράσπιση ενός δικαιώματος ενώπιον του δικαστηρίου», δεν πρέπει να χρησιμοποιούνται προκειμένου να δικαιολογούνται συστηματικές διαβιβάσεις δεδομένων με τη χρήση του ηλεκτρονικού δικτύου σε τρίτες χώρες.

78.

Ο ΕΕΠΔ συνιστά όπως η πρόταση αναφέρεται ρητώς στην αρχή της λογοδοσίας (28), επιδιώκει την εφαρμογή της και θεσπίζει σαφές πλαίσιο κατάλληλων εσωτερικών μηχανισμών και συστημάτων ελέγχου, το οποίο θα διασφαλίζει τη συμμόρφωση προς την υποχρέωση προστασίας των δεδομένων και θα παρέχει σχετικές αποδείξεις, όπως:

79.

Η πρόταση πρέπει να περιέχει ρητή αναφορά στην αρχή της προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό (29), η δε σχετική δέσμευση πρέπει να υλοποιείται με συγκεκριμένες ενέργειες. Ειδικότερα, στην πρόταση πρέπει να προβλέπεται ότι το ηλεκτρονικό δίκτυο πρέπει να είναι κατασκευασμένο με ασφαλή και ορθό τρόπο, ώστε να ενσωματώνει από τον σχεδιασμό ευρύ φάσμα εγγυήσεων προστασίας της ιδιωτικής ζωής. Μερικά ενδεικτικά παραδείγματα προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό είναι τα ακόλουθα:

80.

Ο ΕΕΠΔ στηρίζει τους στόχους της πρότασης, οι δε παρατηρήσεις του πρέπει να αξιολογηθούν υπό το πρίσμα της εποικοδομητικής αυτής προσέγγισης.

81.

Ο ΕΕΠΔ τονίζει ότι οι αναγκαίες εγγυήσεις προστασίας των δεδομένων πρέπει να προβλέπονται ρητά και ειδικά στο ίδιο το κείμενο της οδηγίας, καθώς θεωρεί ότι πρόκειται για ουσιώδη στοιχεία. Πρόσθετες διατάξεις σχετικά με την εφαρμογή των συγκεκριμένων εγγυήσεων μπορούν να θεσπιστούν εκ των υστέρων με κατ’ εξουσιοδότηση πράξεις.

82.

Η προτεινόμενη οδηγία πρέπει να ρυθμίζει τα ζητήματα της διακυβέρνησης, των ρόλων, των καθηκόντων και των αρμοδιοτήτων. Για τον σκοπό αυτό, πρέπει να καθορίζει τα εξής:

83.

Κάθε δραστηριότητα επεξεργασίας δεδομένων με τη χρήση του ηλεκτρονικού δικτύου πρέπει να βασίζεται σε δεσμευτική νομική πράξη, όπως είναι ορισμένη πράξη της Ένωσης που ερείδεται σε ισχυρή νομική βάση. Η σχετική πρόνοια πρέπει να ορίζεται ρητά στην προτεινόμενη οδηγία.

84.

Οι διατάξεις για το εφαρμοστέο δίκαιο πρέπει να αποσαφηνισθούν και να περιλαμβάνουν παραπομπή στον κανονισμό (ΕΚ) αριθ. 45/2001.

85.

Όσον αφορά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, η πρόταση πρέπει να αποσαφηνίζει ότι, καταρχήν και με την εξαίρεση των περιπτώσεων που εμπίπτουν στο άρθρο 26 παράγραφος 1 στοιχείο στ) της οδηγίας 95/46/EK, διαβιβάσεις μπορούν να πραγματοποιούνται σε φυσικά ή νομικά πρόσωπα τρίτης χώρας που δεν διαθέτει επαρκή προστασία μόνον εφόσον ο υπεύθυνος επεξεργασίας παραθέτει επαρκείς εγγυήσεις όσον αφορά την προστασία της ιδιωτικής ζωής και των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, καθώς και την άσκηση των αντίστοιχων δικαιωμάτων. Τέτοιες εγγυήσεις μπορεί να προκύπτουν ειδικότερα από κατάλληλες συμβατικές υποχρεώσεις οι οποίες θεσπίζονται βάσει του άρθρου 26 της οδηγίας 95/46/EK.

86.

Επιπλέον, η Επιτροπή πρέπει να αξιολογήσει προσεκτικά τα τεχνικά και οργανωτικά μέτρα τα οποία πρέπει να ληφθούν προκειμένου να διασφαλίζεται ότι η ιδιωτική ζωή και η προστασία των δεδομένων ενσωματώνονται από τον σχεδιασμό στην αρχιτεκτονική του ηλεκτρονικού δικτύου («προστασία της ιδιωτικής ζωής ήδη από τον σχεδιασμό») και ότι θεσπίζονται κατάλληλοι έλεγχοι προκειμένου να διασφαλίζεται η συμμόρφωση προς την προστασία των δεδομένων και να παρέχονται σχετικές αποδείξεις («λογοδοσία»).

87.

Άλλες συστάσεις του ΕΕΠΔ:

26.7.2011   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 220/12

26.7.2011   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 220/16

26.7.2011   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 220/17