Η προστασία της ιδωτικής ζωή και των προσωπικών δεδομένων στα δημόσια δίκτυα ηλεκτρονικών επικοινωνιών ρυθμίζεται από την Οδηγία 2002/58 της Ευρωπαϊκής Κοινότητας, την οποία η Ελλάδα, τελευταία από τα κράτη της ΕΕ, κατόπιν καταδίκης από το Δικαστήριο των Ευρωπαϊκών Κοινοτήτων, ενσωμάτωσε στο εθνικό δίκαιο με το Ν.3471/2006. Βεβαίως, όταν την ενσωμάτωσε ειχε ήδη τροποποιηθεί με την κατάπτυστη Οδηγία 2006/24 για την υποχρεωτική διατήρηση των δεδομένων που συλλέγονται από τα δίκτυα επικοινωνιών για σκοπούς καταπολέμησης του εγκλήματος (μια αναλυτική παρουσίαση μπορείτε να διαβάσετε εδώ).
Tους τελευταίους μήνες, η Ευρωπαϊκή Επιτροπή έχει προτείνει την εκ νέου τροποποίηση της e-privacy Οδηγίας (όπως λένε την Οδηγία 2002/58) προκειμένου να προσαρμοστεί στις νέες τεχνολογικές συνθήκες.
Το “πακέτο” της αρχικής Πρότασης της Ευρωπαϊκής Επιτροπής για την τροποποίηση κινείται στους εξης άξονες:
- θέσπιση υποχρεωτικής γνωστοποίησης των παραβιάσεων ασφαλείας που έχουν ως αποτέλεσμα την απώλεια προσωπικών δεδομένων,
- ενδυνάμωση των εναρμονιστικών διατάξεων που αφορούν την ασφάλεια των δικτύων και πληροφοριών κατόπιν προηγούμενης γνώμης της Αρχής για τις Ηλεκτρονικές Επικοινωνίες,
- διευκρίνιση ότι η Οδηγία εφαρμόζεται και στα δημόσια παρεχόμενα δίκτυα επικοινωνιών που υποστηρίζουν τη συλλογή δεδομένων και συσκευών ταυτοποίησης (όπως οι ασύρματες συσκευές RFID),
- επικαιροποίηση ορισμένων διατάξεων.
Με την πρόταση της Επιτροπής ασχολήθηκε ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων. Στη σχετική γνωμοδότησή του, ο Επόπτης υποστηρίζει γενικά την προτεινόμενη τροποποίηση της οδηγίας, αλλά ζητά βελτίωσεις:
- η υποχρέωση κοινοποίησης των παραβιάσεων ασφαλείας πρέπει να ισχύει όχι μόνον για τους παρόχους δημόσιων δικτύων υπηρεσιών επικοινωνιών, αλά και για άλλους, ιδίως για τις υπηρεσίες κοινωνίας της πληροφορίας, όπως οι on-line τραπεζικές εργασίες, οι on-line υπηρεσίες υγείας κλπ.
- το πεδίο εφαρμογής της Οδηγίας θα πρέπει να επεκταθεί και στα ιδιωτικά δίκτυα επικοινωνιών (λ.χ. τα εσωτερικά μιας επιχείρησης ή ενός οργανισμού).
- το δικαίωμα δικαστικής ενέργειας κατά των spammers σε νομικά πρόσωπα ή οργανισμούς θα πρέπει να αναγνωριστεί για κάθε πραβίαση της Οδηγίας.
Με την πρόταση της Επιτροπής ασχολήθηκε η Ομάδα Εργασίας για την προστασία προσωπικών δεδομένων (Ομάδα του άρθρου 29 της Οδηγίας 95/46). Στη σχετική γνωμοδότησή της, η Ομάδα:
- συντάσσεται με την σύσταση του Επόπτη για επέκταση της υποχρέωσης κοινοποίησης παραβάσεων γενικά στις υπηρεσίες κοινωνίας της πληροφορίας,
- υποστηρίζει ότι αποδέκτες της κοινοποίησης παραβίασης πρέπει να είναι όλα τα πρόσωπα που αφορά η παραβίαση και όχι μόνον οι “συνδρομητές” των υπηρεσιών.
- προτείνει να θεσπιστεί αρμοδιότητα των ανεξάρτητων αρχών να ειδοποιούν το κοινό σε περίπτωση παραβιάσεων ασφαλείας,
- eπαναλαμβάνει ότι οι IP θα πρέπει να θεωρούνται “προσωπικά δεδομενα”, εκτός αν ο ISP είναι σε θέση να διαχωρίσει με απόλυτη βεβαιότητα ότι τα δεδομένα αφορούν χρήστες οι οποίοι δεν μπορούν να ταυτοποιηθούν.
Μια από τις αλλαγές που προτείνονται σε ευρωπαϊκό επίπεδο θεσμοθετήθηκαν ήδη στην Ελλάδα. Ο πρόσφατος νόμος για την ενίσχυση του απορρήτου περιλαμβάνει ήδη την ρητή υποχρέωση των παρόχων να γνωστοποιούν τις παραβιάσεις.
Την υποχρέωση αυτή εισηγήθηκε το υπουργείο Δικαιοσύνης προκειμένου να αντιμετωπισθεί ένα νομικό κενό το οποίο εντοπίσθηκε στην γνωστή υπόθεση των υποκλοπών και φυσικά επικαλέστηκε η εμπλεκόμενη εταιρία: δεν είχε τυπικά νομική υποχρέωση να ενημερώσει την αρμόδια ανεξάρτητη αρχή. Να λοιπόν μια περίπτωση στην οποία ο έλληνας νομοθέτης προηγήθηκε του ευρωπαίου, ύστερα όμως από μια οδυνηρή περιπέτεια.
Και πάλι πρόκειται για μία τμηματική λύση που αφορά μόνο το απόρρητο και όχι γενικά την προστασία προσωπικών δεδομένων. Ορθότερο θα ήταν να εισαχθεί και στην Ελλάδα ο θεσμός του Υπεύθυνου Προστασίας Δεδομένων (data protection officer) ο οποίος με ανεξαρτησία υπηρετεί στο χώρο του υπεύθυνου επεξεργασίας και είναι αρμόδιος για την κοινοποίηση των παραβιάσεων κλπ στις ανεξάρτητες αρχές.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου