Σάββατο, Φεβρουαρίου 02, 2013

Η αναθεώρηση του θεσμικού πλαισίου προστασίας δεδομένων από την ΕΕ

Η έναρξη

Στις 25.1.2012 η Ευρωπαϊκή Επιτροπή ανακοίνωσε την πρόταση αναθεώρησης των κανόνων του 1995 για την προστασία των προσωπικών δεδομένων, προκειμένου να ενισχύσει τα δικαιώματα ιδιωτικότητας στον ψηφιακό κόσμο και να ενισχύσει την ψηφιακή οικονομία στην Ευρώπη. Η τεχνολογική εξέλιξη και η παγκοσμιοποίηση έχουν μεταβάλει τον τρόπο συλλογής των δεδομένων, καθώς και την πρόσβαση και την χρήση τους. Επιπλέον, τα 27 κράτη μέλη της ΕΕ έχουν εφαρμόσει τους ευρωπαϊκούς κανόνες με αποκλίσεις, έχοντας ως αποτέλεσμα ένα ανομοιογενές πλαίσιο. Ένας ενιαίος ευρωπαϊκός νόμος θα εναρμόνιζε πλήρως το σχετικό πλαίσιο, αποτρέποντας απώλειες που κατά την Ευρωπαϊκή Επιτροπή ανέρχονται σε περίπου 2,3 δισεκατομμύρια ευρώ τον χρόνο. Η πρωτοβουλία της Επιτροπής θα ενισχύσει την αξιοπιστία των διαδικτυακών υπηρεσιών απέναντι στους καταναλωτές, προωθώντας την ανάπτυξη, την απασχόληση και την καινοτομία στην Ευρώπη. 

Πρακτικά, η Ευρωπαϊκή Επιτροπή προτείνει την θέσπιση ενός Κανονισμού άμεσης εφαρμογής σε όλα τα κράτη μέλη που θα αντικαταστήσει τους εθνικούς νόμους. Πρόκειται για τον Γενικό Κανονισμό Προστασίας Δεδομένων.  Παράλληλα, προτείνει την ψήφιση μιας Οδηγίας "για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και για την ελεύθερη κυκλοφορία των δεδομένων αυτών". Ο Κανονισμός θα αντικαταστήσει την Οδηγία 95/46 και η Οδηγία θα αντικαταστήσει την Απόφαση - πλαίσιο του 2008.

Η αναθεωρητική πρόταση

Μερικά από τα νέα στοιχεία που προστίθενται με τον προτεινόμενο Κανονισμό είναι
- η αρχή της διαφάνειας της επεξεργασίας,
- η διευκρίνιση της αρχής της ελαχιστοποίησης των δεδομένων,
- όροι νομιμότητας της επεξεργασίας προσωπικών δεδομένων παιδιών,
- υποχρεώσεις των υπεύθυνων να δημιουργήσουν μηχανισμούς ενάσκησης των δικαιωμάτων των υποκειμένων των δεδομένων
- το "δικαίωμα στη λήθη", δηλαδή ένα διευρυμένο δικαίωμα διαγραφής προσωπικών δεδομένων, κατά το οποίο ο υπεύθυνος επεξεργασίας που δημοσιοποίησε στοιχεία ενημερώνει για το αίτημα διαγραφής κάθε τρίτον που έχει προβεί σε αναπαραγωγή των στοιχείων
- το "δικαίωμα φορητότητας των δεδομένων", δηλαδή το δικαίωμα του υποκειμένου για μεταφορά των δεδομένων του από ένα μέσο σε άλλο, χωρίς εμπόδια από τον υπεύθυνο επεξεργασίας
- την απαγόρευση επιβολής μέτρων που βασίζονται στην δημιουργία προφίλ, μια διεύρυνση του δικαιώματος αντίταξης σε αποφάσεις που εκδίδονται με αυτοματοποιημένη επεξεργασία δεδομένων,
- την υποχρέωση των υπεύθυνων επεξεργασίας να διεξάγουν εκτιμήσεις επιπτώσεων πριν την θέση σε εφαρμογή επικίνδυνων επεξεργασιών δεδομένων
- τον διορισμό Υπεύθυνου Προστασίας Δεδομένων στις δημόσιες υπηρεσίες και σε ιδιωτικές επιχειρήσεις που απασχολούν συγκεκριμένο αριθμό προσώπων
- την αντικατάσταση της Ομάδας εργασίας του άρθρου 29 με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων



Η πρώτη αντίδραση

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, με δελτίο τύπου στις 25.1.2012 χαιρέτισε την πρόταση ως ένα "τεράστιο βήμα μπροστά, για την προστασία δεδομένων στην Ευρώπη", ενώ ταυτόχρονα έκρινε τους προτεινόμενους κανόνες ανεπαρκείς όσον αφορά τον τομέα της αστυνομίας και της δικαιοσύνης. Ο ΕΕΠΔ επικεντρώνει την κριτική του επί της Οδηγίας σε τρία σημεία: α) δεν υπάρχουν αυστηρότεροι κανόνες για την διαβίβαση προσωπικών δεδομένων εκτός της ΕΕ, β) δεν δίνονται υποχρεωτικές αρμοδιότητες για τον αποτελεσματικό έλεγχο από τις Αρχές Προστασίας Δεδομένων, γ) δεν ρυθμίζονται οι δυνατότητες της αστυνομίας να αντλεί δεδομένα από τον ιδιωτικό τομέα. Σε επόμενο στάδιο, ο ΕΕΠΔ εξέδωσε και αναλυτική γνωμοδότηση για τις δύο νομοθετικές προτάσεις.

Η Ομάδα εργασίας του άρθρου 29 

Στις 23.3.2012, η Ομάδα Εργασίας για την Προστασία Δεδομένων του άρθρου 29 της Οδηγίας 95/46 εξέδωσε την γνωμοδότησή της επί των προτεινόμενων ρυθμίσεων. Η Ομάδα χαιρετίζει το γεγονός ότι οι κανόνες εφαρμόζονται για τα προσωπικά δεδομένα ατόμων που βρίσκονται στην ΕΕ, ακόμη κι όταν ο υπεύθυνος επεξεργασίας δεν έχει την έδρα του στην ΕΕ, εφόσον σε αυτά τα άτομα παρέχονται υπηρεσίες ή αγαθά ή παρακολουθείται η συμπεριφορά τους. Η Ομάδα ζητά να διευκρινιστεί ότι οι εν λόγω υπηρεσίες μπορεί να είναι και δωρεάν παρεχόμενες. καθώς και  ότι η παρακολούθηση συμπεριφοράς δεν αφορά μόνο τις περιπτώσεις που δημιουργείται ένα 'προφίλ'. Η Ομάδα ζητά επίσης να αναθεωρηθεί ο άρ.24 του Προοιμίου, κατά τον οποίο δεν θεωρούνται εξ ορισμού προσωπικά δεδομένα διάφοροι αριθμοί που σχηματίζονται στις ηλεκτρονικές επικοινωνίες. Η Ομάδα θυμίζει ότι τα στοιχεία αυτά μπορεί να χρησιμοποιηθούν για την ταυτοποίηση χρηστών και ζητά την σχετική τροποποίηση. Η Ομάδα χαιρετίζει την εισαγωγή ορισμού για τα βιομετρικά δεδομένα, αλλά διαφωνεί με την διατύπωση, ζητώντας την τροποποίησή της από δεδομένα που "επιτρέπουν την μοναδική ταυτοποίηση" σε δεδομένα που "είναι μοναδικά για κάθε συγκεκριμένο άτομο". H Oμάδα υποβάλλει πρόταση για την βελτίωση του καθορισμού της "κύριας έδρας" των υπεύθυνων επεξεργασίας. Ως προς την ανωνυμοποίηση των δεδομένων, η Ομάδα προτείνει την εισαγωγή μιας γενικής αρχής κατά την οποία τα δεδομένα θα πρέπει να ανωνυμοποιούνται όταν επιβάλλεται από την φύση της επεξεργασίας τους. H Oμάδα χαιρετίζει την καθιέρωση της "προστασίας δεδομένων βάσει σχεδιασμού" και της "προστασίας δεδομένων εξ ορισμού", αλλά ζητά να διευκρινιστεί, λ.χ. στο Προοίμιο του Κανονισμού, ο όρος με την παραδοχή ότι οι φιλικές για την ιδιωτικότητα ρυθμίσεις ενεργοποιούνται αυτόματα και ότι κατά τον σχεδιασμό μιας επεξεργασίας δεδομένων ή ενός  προϊόντος λαμβάνονται υπόψη σχετικά πρότυπα. Η Ευρωπαϊκή Επιτροπή εξουσιοδοτείται να καθορίσει τα σχετικά πρότυπα, αλλά η Ομάδα συμβουλεύει να οριστεί ότι η Επιτροπή διαβουλεύεται σχετικά με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και τους διεθνείς οργανισμούς τυποποίησης προτύπων. Ο αρ. 18 του Προοιμίου του Κανονισμού ορίζει ότι πρέπει να λαμβάνεται υπόψη η αρχή της ελεύθερης πρόσβασης στα δημόσια έγγραφα, ενώ η Ομάδα εργασίας αναφέρει ότι καθώς η αρχή αντιστοιχεί σε ατομικό δικαίωμα θα πρέπει η διάταξη να αποτελέσει άρθρο του Κανονισμού και όχι μνεία στο Προοίμιο. Το άρθρο 6 παρ. 4 επιτρέπει την χρήση δεδομένων για ασύμβατους με την αρχική συλλογή σκοπούς, εάν υπάρχει επαρκής νομική βάση, αλλά η Ομάδα εργασίας επισημαίνει ότι αυτό αποτελεί κατάργηση της αρχής του αρχικά καθορισμένου σκοπού και ζητά είτε την απάλειψη της διάταξης είτε την επαναδιατύπωσή της με πιο περιορισμένο εύρος. Όσον αφορά την πρόβλεψη για επιτρεπόμενη επεξεργασία δεδομένων για σκοπούς δημόσιου συμφέροντος, η Ομάδα εργασίας προτείνει να περιοριστεί η εξαίρεση αυτή με αναφορά σε λόγους ουσιώδους δημόσιου συμφέροντος. Ως προς το "δικαίωμα στη λήθη", η Ομάδα διατυπώνει αμφιβολίες για την αποτελεσματική εφαρμογή του, καθώς είναι άγνωστο πώς θα ασκείται εάν ο υπεύθυνος επεξεργασίας δεν είναι εύκολο να εντοπιστεί ή εκλείψει.

Από την πλευρά του Ευρωπαϊκού Κοινοβουλίου, παρατηρήσεις έχουν υποβάλει τα μέλη της Επιτροπής Πολιτικών Ελευθεριών (LIBE) ευρωβουλευτές κ. Δρούτσας ως προς την πρόταση Οδηγίας κι ο κ. Albrecht ως προς τον Κανονισμό.

Οι προτάσεις θα τεθούν σε ψηφοφορία τους επόμενους μήνες στο Ευρωκοινοβούλιο.


Δεν υπάρχουν σχόλια:

Απόφαση Αρχής Προσωπικών Δεδομένων για εκλογές αρχηγού στην Κεντροαριστερά

Με μια πολύ ενδιαφέρουσα απόφαση που δημοσιεύθηκε σήμερα, η Αρχή έδωσε άδεια στην Ανεξάρτητη Επιτροπή Διαδικασιών και Δεοντολογίας που λειτ...