Πέμπτη, Ιουλίου 03, 2008

H EE τροποποιεί την νομοθεσία για την ιδιωτικότητα στις ηλεκτρονικές επικοινωνίες

Η προστασία της ιδωτικής ζωή και των προσωπικών δεδομένων στα δημόσια δίκτυα ηλεκτρονικών επικοινωνιών ρυθμίζεται από την Οδηγία 2002/58 της Ευρωπαϊκής Κοινότητας, την οποία η Ελλάδα, τελευταία από τα κράτη της ΕΕ, κατόπιν καταδίκης από το Δικαστήριο των Ευρωπαϊκών Κοινοτήτων, ενσωμάτωσε στο εθνικό δίκαιο με το Ν.3471/2006. Βεβαίως, όταν την ενσωμάτωσε ειχε ήδη τροποποιηθεί με την κατάπτυστη Οδηγία 2006/24 για την υποχρεωτική διατήρηση των δεδομένων που συλλέγονται από τα δίκτυα επικοινωνιών για σκοπούς καταπολέμησης του εγκλήματος (μια αναλυτική παρουσίαση μπορείτε να διαβάσετε εδώ).


Tους τελευταίους μήνες, η Ευρωπαϊκή Επιτροπή έχει προτείνει την εκ νέου τροποποίηση της e-privacy Οδηγίας (όπως λένε την Οδηγία 2002/58) προκειμένου να προσαρμοστεί στις νέες τεχνολογικές συνθήκες. 


Το “πακέτο” της αρχικής Πρότασης της Ευρωπαϊκής Επιτροπής για την τροποποίηση κινείται στους εξης άξονες:


  • θέσπιση υποχρεωτικής γνωστοποίησης των παραβιάσεων ασφαλείας που έχουν ως αποτέλεσμα την απώλεια προσωπικών δεδομένων,
  • ενδυνάμωση των εναρμονιστικών διατάξεων που αφορούν την ασφάλεια των δικτύων και πληροφοριών κατόπιν προηγούμενης γνώμης της Αρχής για τις Ηλεκτρονικές Επικοινωνίες,
  • διευκρίνιση ότι η Οδηγία εφαρμόζεται και στα δημόσια παρεχόμενα δίκτυα επικοινωνιών που υποστηρίζουν τη συλλογή δεδομένων και συσκευών ταυτοποίησης (όπως οι ασύρματες συσκευές RFID), 
  • επικαιροποίηση ορισμένων διατάξεων.

Με την πρόταση της Επιτροπής ασχολήθηκε  ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων. Στη σχετική γνωμοδότησή του, ο Επόπτης υποστηρίζει γενικά την προτεινόμενη τροποποίηση της οδηγίας, αλλά ζητά βελτίωσεις:


  • η υποχρέωση κοινοποίησης των παραβιάσεων ασφαλείας πρέπει να ισχύει όχι μόνον για τους παρόχους δημόσιων δικτύων υπηρεσιών επικοινωνιών, αλά και για άλλους, ιδίως για τις υπηρεσίες κοινωνίας της πληροφορίας, όπως οι on-line τραπεζικές εργασίες, οι on-line υπηρεσίες υγείας κλπ.
  • το πεδίο εφαρμογής της Οδηγίας θα πρέπει να επεκταθεί και στα ιδιωτικά δίκτυα επικοινωνιών (λ.χ. τα εσωτερικά μιας επιχείρησης ή ενός οργανισμού). 
  • το δικαίωμα δικαστικής ενέργειας κατά των spammers σε νομικά πρόσωπα ή οργανισμούς θα πρέπει να αναγνωριστεί για κάθε πραβίαση της Οδηγίας. 


Με την πρόταση της Επιτροπής ασχολήθηκε η Ομάδα Εργασίας για την προστασία προσωπικών δεδομένων (Ομάδα του άρθρου 29 της Οδηγίας 95/46). Στη σχετική γνωμοδότησή της, η Ομάδα:


  • συντάσσεται με την σύσταση του Επόπτη για επέκταση της υποχρέωσης κοινοποίησης παραβάσεων γενικά στις υπηρεσίες κοινωνίας της πληροφορίας,
  • υποστηρίζει ότι αποδέκτες της κοινοποίησης παραβίασης πρέπει να είναι όλα τα πρόσωπα που αφορά η παραβίαση και όχι μόνον οι “συνδρομητές” των υπηρεσιών.
  • προτείνει να θεσπιστεί αρμοδιότητα των ανεξάρτητων αρχών να ειδοποιούν το κοινό σε περίπτωση παραβιάσεων ασφαλείας,
  • eπαναλαμβάνει ότι οι IP θα πρέπει να θεωρούνται “προσωπικά δεδομενα”, εκτός αν ο ISP είναι σε θέση να διαχωρίσει με απόλυτη βεβαιότητα ότι τα δεδομένα αφορούν χρήστες οι οποίοι δεν μπορούν να ταυτοποιηθούν.
H Ομάδα 29 έχει εντοπίσει στη γνωμοδότησή της και ένα θέμα που έχει απασχολήσει ιδιαίτερα και τα καθ' ημάς: την  ανάγκη διευκρίνισης των αρμοδιοτήτων ανάμεσα σε ΕΕΤΤ, ΑΠΔΠΧ και ΑΔΑΕ. Η Ομάδα επισημαίνει ότι η πρόταση της Επιτροπής, αλλού φαίνεται να αναφέρεται σε "ρυθμιστική αρχή" (δηλ. υπηρεσίες τύπου ΕΕΤΤ) και αλλού σε εποπτική αρχή (δηλ. υπηρεσίες τύπου ΑΠΔΠΧ - ΑΔΑΕ).

To θέμα της τροποποίησης της Οδηγίας βρίσκεται στο Ευρωπαϊκό Κοινοβούλιο. Η κοινοβουλευτική επιτροπή LIBE (Ελευθερίες κλπ) έχει επεξεργαστεί σχετική έκθεση (10.6.2008), στην οποία μπορεί να εντοπίσει κανείς και τη συμβολή των Ελλήνων Ευρωβουλευτών στη διαμόρφωση της προετοιμαζόμενης νομοθεσίας. 



Μια από τις αλλαγές που προτείνονται σε ευρωπαϊκό επίπεδο θεσμοθετήθηκαν ήδη στην Ελλάδα. Ο πρόσφατος νόμος για την ενίσχυση του απορρήτου περιλαμβάνει ήδη την ρητή υποχρέωση των παρόχων να γνωστοποιούν τις παραβιάσεις. 


Άρθρο 8 
Άμεσες ενέργειες σε περίπτωση παραβίασης του απορρήτου 

1.    Σε περίπτωση παραβίασης ή ιδιαίτερου κινδύνου παραβίασης του απορρήτου της επικοινωνίας, ο υπεύθυνος διασφάλισης του απορρήτου υποχρεούται να ενημερώνει αμελλητί τον πάροχο ή τον νόμιμο εκπρόσωπο αυτού, την εισαγγελική αρχή, την ΑΔΑΕ και τους κατά περίπτωση θιγόμενους συνδρομητές. Η ενημέρωση γίνεται εγγράφως και σε περίπτωση αδυναμίας άμεσης επικοινωνίας με οποιοδήποτε άλλο πρόσφορο μέσο. 
2.    Τα πρόσωπα που αναφέρονται στην παράγραφο 4 του άρθρου 3 υποχρεούνται, μέχρι την περιέλευση των εντολών της εισαγγελικής αρχής και της ΑΔΑΕ, να μην ανακοινώνουν σε οποιονδήποτε  στοιχεία που αφορούν την παραβίαση ή τον ιδιαίτερο κίνδυνο παραβίασης του απορρήτου και να λαμβάνουν τα ενδεικνυόμενα μέτρα για τη διαφύλαξη των αποδεικτικών στοιχείων. Μετά την περιέλευση των σχετικών εντολών τα ανωτέρω πρόσωπα υποχρεούνται να συμμορφώνονται προς αυτές



Την υποχρέωση αυτή εισηγήθηκε το υπουργείο Δικαιοσύνης προκειμένου να αντιμετωπισθεί ένα νομικό κενό το οποίο εντοπίσθηκε στην γνωστή υπόθεση των υποκλοπών και φυσικά επικαλέστηκε η εμπλεκόμενη εταιρία: δεν είχε τυπικά νομική υποχρέωση να ενημερώσει την αρμόδια ανεξάρτητη αρχή. Να λοιπόν μια περίπτωση στην οποία ο έλληνας νομοθέτης προηγήθηκε του ευρωπαίου, ύστερα όμως από μια οδυνηρή περιπέτεια.


Και πάλι πρόκειται για μία τμηματική λύση που αφορά μόνο το απόρρητο και όχι γενικά την προστασία προσωπικών δεδομένων. Ορθότερο θα ήταν να εισαχθεί και στην Ελλάδα ο θεσμός του Υπεύθυνου Προστασίας Δεδομένων (data protection officer) ο οποίος με ανεξαρτησία υπηρετεί στο χώρο του υπεύθυνου επεξεργασίας και είναι αρμόδιος για την κοινοποίηση των παραβιάσεων κλπ στις ανεξάρτητες αρχές.

Δεν υπάρχουν σχόλια:

Καταδίκη για εξύβριση στο Instagram

“Fuck you rapist bastard”, έγραψε κάποιος ως σχόλιο στο Instagram κάτω από τη φωτογραφία ενός γνωστού μπλόγκερ της Ισλανδίας, την ημέρα πο...