Γνωμοδότηση 01/2012 σχετικά με τις προτάσεις μεταρρύθμισης της προστασίας των δεδομένων

Transcript

1 ΟΜΑΔΑ ΕΡΓΑΣΙΑΣ ΤΟΥ ΑΡΘΡΟΥ 29 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ 00530/12/EL WP 19 Γνωμοδότηση 01/2012 σχετικά με τις προτάσεις μεταρρύθμισης της προστασίας των δεδομένων Εγκρίθηκε στις 23 Μαρτίου 2012 Η παρούσα ομάδα εργασίας συστάθηκε δυνάμει του άρθρου 29 της οδηγίας 95/46/ΕΚ. Συνιστά ανεξάρτητο ευρωπαϊκό συμβουλευτικό όργανο για την προστασία των δεδομένων και της ιδιωτικής ζωής. Τα καθήκοντά της περιγράφονται στο άρθρο 30 της οδηγίας 95/46/ΕΚ και στο άρθρο 15 της οδηγίας 2002/58/ΕΚ. Γραμματειακή υποστήριξη παρέχεται από τη ιεύθυνση Γ (Θεμελιώδη δικαιώματα και ιθαγένεια της Ένωσης) της Ευρωπαϊκής Επιτροπής, Γενική ιεύθυνση ικαιοσύνης, B-1049 Brussels, Belgium, Office No MO-59 02/013 ικτυακός τόπος:

2 Πίνακας περιεχομένων Εισαγωγή... 4 Γενικές παρατηρήσεις... 5 Σχετικά με τον κανονισμό... 6 Θετικές πτυχές...6 Ρόλος της Επιτροπής...7 Ρόλος των ευρωπαϊκών αρχών προστασίας δεδομένων στη χάραξη πολιτικών...8 Κατώτατα όρια για τις ΜΜΕ...9 Επιπτώσεις στον προϋπολογισμό και στους πόρους...9 Γενικές διατάξεις...10 Η αρχή της πρόσβασης του κοινού σε πληροφορίες...13 Περαιτέρω μη συμβατή χρήση...13 Εξαιρέσεις που εισάγονται για τις δημόσιες αρχές...13 Ανήλικοι...15 Δικαίωμα στη λήθη...15 Ενεργητική εμπορική προώθηση...16 Κατάρτιση προφίλ...16 Εκπρόσωπος...17 Λογοδοσία...17 Κοινοποίηση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα...19 Όσον αφορά το ρόλο και τη λειτουργία των ΑΠΔ...19 Δικαιοδοσία και αρμοδιότητα των ΑΠΔ (υπηρεσία μίας στάσης)...21 Αμοιβαία συνδρομή...22 Συνεκτικότητα...23 «Ενιαία υπηρεσία» για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα...24 Θεσμική δομή του ΕΣΠΔ...25 Διεθνείς διαβιβάσεις...25 Κοινοποιήσεις που δεν επιτρέπονται από το δίκαιο της ΕΕ...26 Δικαίωμα αποζημίωσης και ευθύνη...27 Πρόστιμα...27 Δικαστικές προσφυγές...28 Εκκλησίες και θρησκευτικές ενώσεις...30 Σχετικά με την οδηγία Επιλογή νομικής πράξης...30 Συνεκτικότητα...30 Πεδίο εφαρμογής...30

3 Αρχές της επεξεργασίας δεδομένων...31 Δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα...33 Υποχρεώσεις του υπευθύνου επεξεργασίας δεδομένων...34 Διεθνείς διαβιβάσεις...35 Εξουσίες των ΑΠΔ και συνεργασία...36 Ελλείψεις

4 Εισαγωγή H οµάδα εργασίας του άρθρου 29 για την προστασία των δεδοµένων (ομάδα εργασίας ή ΟΕ29) χαιρετίζει τις προτάσεις που θεσπίστηκαν από την Ευρωπαϊκή Επιτροπή με στόχο την ενίσχυση της θέσης των προσώπων στα οποία αναφέρονται τα δεδομένα, την αύξηση της ευθύνης των υπευθύνων της επεξεργασίας δεδομένων και την ενδυνάμωση του ρόλου των αρχών ελέγχου, τόσο σε εθνικό όσο και σε διεθνές επίπεδο. Εφόσον στους προτεινόμενους κανόνες επέλθουν περαιτέρω βελτιώσεις, μπορούν να μειώσουν σημαντικά τον υφιστάμενο κατακερματισμό και να ενισχύσουν την προστασία των δεδομένων σε ολόκληρη την Ευρώπη. Η ομάδα εργασίας χαιρετίζει συγκεκριμένα τη συμπερίληψη διατάξεων που παρέχουν κίνητρα στους υπεύθυνους της επεξεργασίας δεδομένων να επενδύσουν εξαρχής στην ορθή προστασία δεδομένων (όπως είναι οι εκτιμήσεις επιπτώσεων σχετικά με την προστασία δεδομένων, η προστασία δεδομένων ήδη από τον σχεδιασμό και η προστασία δεδομένων εξ ορισμού). Οι προτάσεις προβλέπουν σαφή ευθύνη και λογοδοσία για τους υπεύθυνους επεξεργασίας προσωπικών δεδομένων, καθόλη τη διάρκεια του κύκλου ζωής των πληροφοριών. Η ομάδα εργασίας υπογραμμίζει τη σημασία των διατάξεων που στοχεύουν στην αποσαφήνιση και την ενίσχυση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα, ιδίως μέσω της αποσαφήνισης της έννοιας της συναίνεσης, της καθιέρωσης μιας γενικής αρχής διαφάνειας και ενισχυμένων μηχανισμών προσφυγής. Επιπλέον, κρίνει πολύ θετικά την εισαγωγή μιας ρήτρας σχετικά με το καθήκον κοινοποίησης των παραβιάσεων δεδομένων που επιτυγχάνει συνεκτικότητα σε όλους τους τομείς. Επίσης, η ομάδα εργασίας χαιρετίζει το γεγονός ότι οι προτάσεις οδηγούν στην εναρμόνιση των εξουσιών και των αρμοδιοτήτων των αρχών ελέγχου για την πιο αποτελεσματική εξασφάλιση και, εφόσον κρίνεται απαραίτητο, την επιβολή της συμμόρφωσης, τόσο μεμονωμένα όσο και σε συνεργασία μεταξύ τους, για παράδειγμα μέσω της δυνατότητάς τους να επιβάλλουν πρόστιμα σημαντικού ύψους. Παρά τη γενικά θετική στάση της έναντι του προτεινόμενου κανονισμού, η ομάδα εργασίας θεωρεί ότι ορισμένα σημεία της πρότασης κανονισμού χρήζουν αποσαφήνισης και βελτιώσεων. Όσον αφορά την οδηγία για την προστασία των δεδομένων στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας, η ομάδα εργασίας δηλώνει απογοητευμένη από το επίπεδο φιλοδοξίας της Επιτροπής και υπογραμμίζει την ανάγκη αυστηρότερων διατάξεων. Η ομάδα εργασίας έχει μελετήσει ενδελεχώς και τις δύο προτάσεις και μέσω της παρούσας γνωμοδότησης παρέχει μια πρώτη γενική αντίδρασή της σε αυτές. Η γνωμοδότηση τονίζει σημεία προβληματισμού και εφόσον συντρέχει περίπτωση διατυπώνει συστάσεις για τη βελτίωσή τους. Εφόσον κριθεί απαραίτητο, η ομάδα εργασίας δύναται να εκπονήσει περαιτέρω γνωμοδοτήσεις σχετικά με συγκεκριμένες διατάξεις ή πτυχές των προτάσεων στο μέλλον. Η ομάδα εργασίας καλεί το Συμβούλιο και τα μέλη του Ευρωπαϊκού Κοινοβουλίου να εκμεταλλευτούν την ευκαιρία για να βελτιώσουν και τις δύο προτάσεις και να ενισχύσουν την προστασία των προσωπικών δεδομένων στην Ευρωπαϊκή Ένωση. 4

5 Γενικές παρατηρήσεις Ο κανονισμός πληροί το στόχο της δημιουργίας ενός κειμένου που να αντικατοπτρίζει την αυξημένη σημασία της προστασίας των δεδομένων προσωπικού χαρακτήρα στην έννομη τάξη της ΕΕ (άρθρο 16 της Συνθήκης, άρθρο 8 του Χάρτη). Διατηρεί και ενισχύει τις βασικές αρχές της προστασίας δεδομένων, επιβάλλει σαφείς και ομοιόμορφες υποχρεώσεις για τους υπεύθυνους επεξεργασίας δεδομένων και για τους εκτελούντες την επεξεργασία, διευκολύνει την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα και παρέχει ένα ενισχυμένο νομικό πλαίσιο για την ομοιόμορφη εφαρμογή της νομοθεσίας από τις αρχές προστασίας δεδομένων (ΑΠΔ), των οποίων οι εξουσίες ενισχύονται. Η ομάδα εργασίας εκφράζει την απογοήτευσή της για το γεγονός ότι οι απόψεις της περί σφαιρικότητας τελικά δεν εκφράζονται με τη μορφή ενιαίας νομικής πράξης. Η ομάδα εργασίας σημειώνει το γεγονός ότι η Επιτροπή έχει επιλέξει να υποβάλει χωριστή πρόταση οδηγίας που θα ισχύει για τον τομέα της αστυνομίας και της ποινικής δικαιοσύνης λόγω πολιτικών περιορισμών. Στον εν λόγω τομέα η ανάγκη για υψηλό επίπεδο συνεκτικών προτύπων προστασίας δεδομένων είναι ακόμη πιο επιτακτική. Σε κάθε περίπτωση, πρέπει να καταστεί σαφές ότι η νέα οδηγία δεν πρέπει να έχει ως αποτέλεσμα τα κράτη μέλη να μειώσουν τα υφιστάμενα πρότυπά τους για την προστασία δεδομένων στους τομείς της αστυνομίας και της ποινικής δικαιοσύνης. Επιπλέον, το νέο νομικό πλαίσιο πρέπει να συνάδει με άλλες διεθνείς συμφωνίες, συμπεριλαμβανομένης της Σύμβασης 108 του Συμβουλίου της Ευρώπης για την προστασία των προσώπων κατά τη μηχανογράφηση δεδομένων προσωπικού χαρακτήρα και του πρόσθετου πρωτοκόλλου της. Η ομάδα εργασίας προτείνει τη συμπερίληψη σαφούς αναφοράς στη Σύμβαση 108 και στο πρόσθετο πρωτόκολλό της στο προοίμιο του κανονισμού και της οδηγίας. Σε προηγούμενες γνωμοδοτήσεις της, η ομάδα εργασίας έχει τονίσει την ανάγκη να εξασφαλιστεί η σφαιρικότητα του νομικού πλαισίου. Από αυτή την άποψη, η έλλειψη φιλοδοξίας που παρατηρείται στην οδηγία σε σύγκριση με τον κανονισμό προκαλεί απογοήτευση. Το γεγονός ότι υποβάλλονται δύο νομικές πράξεις δεν σημαίνει απαραίτητα ότι δεν είναι πλέον δυνατή η θέσπιση ενός σφαιρικού νομικού πλαισίου, εφόσον ο στόχος είναι ο ίδιος η επίτευξη υψηλού επιπέδου προστασίας δεδομένων για τον ευρωπαίο πολίτη σε όλα τα επίπεδα και οι πράξεις υιοθετούν κοινή προσέγγιση όσον αφορά, μεταξύ άλλων, τις αρχές της προστασίας δεδομένων, τα δικαιώματα του προσώπου στο οποίο αναφέρονται τα δικαιώματα και τις υποχρεώσεις για τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Ο νομοθέτης της Ένωσης πρέπει να καταβάλει σοβαρές προσπάθειες κατά τη νομοθετική διαδικασία για τη σύγκλιση των ουσιωδών διατάξεων της οδηγίας με τις διατάξεις του κανονισμού και για τη διασφάλιση συνεκτικότητας μεταξύ των δύο κειμένων. Επιπλέον, τα θεσμικά όργανα της ΕΕ πρέπει να δεσμεύονται από τους ίδιους κανόνες που εφαρμόζονται σε επίπεδο κράτους μέλους. Κατά συνέπεια, προκειμένου η μεταρρύθμιση να έχει όντως σφαιρικό χαρακτήρα, όταν ο κανονισμός τεθεί σε ισχύ το πλαίσιο προστασίας δεδομένων που ισχύει για τα θεσμικά όργανα της Ευρωπαϊκής Ένωσης όπως προβλέπεται επί του παρόντος στον κανονισμό 45/2001 πρέπει να ευθυγραμμιστεί με αυτόν. Η ίδια λογική ισχύει για τους τρέχοντες ειδικούς κανόνες για την επεξεργασία δεδομένων στον πρώην τρίτο πυλώνα της ΕΕ, για παράδειγμα όσον αφορά οργανισμούς της ΕΕ όπως είναι η Europol και η Eurojust. Η ομάδα εργασίας αναγνωρίζει τις πρακτικές δυσκολίες που 5

6 μπορεί να συνεπάγεται μια προσπάθεια γενικής αναθεώρησης του υφιστάμενου κεκτημένου, αλλά ταυτόχρονα πιστεύει ότι τελικά πρέπει να εφαρμόζεται το ίδιο υψηλό επίπεδο προστασίας δεδομένων σε όλες τις δραστηριότητες επεξεργασίας δεδομένων σε αυτόν τον τομέα, συμπεριλαμβανομένων και των οργανισμών της ΕΕ. Παρόλα αυτά, η ομάδα εργασίας λαμβάνει υπό σημείωση τη δέσμευση της Επιτροπής να διασφαλίσει την αναθεώρηση άλλων νομικών πράξεων για τον προσδιορισμό της ανάγκης ευθυγράμμισης εντός τριών ετών. Η ομάδα εργασίας συνιστά στο νομοθέτη να ορίσει πολύ αυστηρότερη προθεσμία και καλεί την Επιτροπή να υποβάλει τέτοιου είδους προτάσεις. Ταυτόχρονα, η ομάδα εργασίας αναγνωρίζει ότι τα υπάρχοντα καθεστώτα προστασίας δεδομένων για ορισμένα υφιστάμενα εργαλεία και οργανισμούς είναι πιο αποτελεσματικά από την προτεινόμενη οδηγία. Όπως αναφέρεται για τα κράτη μέλη που βρίσκονται σε ανάλογη κατάσταση, η ευθυγράμμιση των υφιστάμενων καθεστώτων με την οδηγία δεν πρέπει σε καμία περίπτωση να συνεπάγεται την υποβάθμιση ενός υφιστάμενου προτύπου προστασίας δεδομένων. Υπό μια άλλη θεώρηση, η ομάδα εργασίας εκφράζει τη λύπη της για το γεγονός ότι ούτε ο κανονισμός ούτε και η οδηγία εξετάζουν το ζήτημα της συλλογής και διαβίβασης δεδομένων από ιδιώτες ή από δημόσιες αρχές που δεν συγκαταλέγονται στις αρχές επιβολής του νόμου για σκοπούς επιβολής του νόμου, καθώς και την επακόλουθη χρήση των εν λόγω δεδομένων από τις αρχές επιβολής του νόμου. Διάφορα παραδείγματα την τελευταία δεκαετία (για παράδειγμα καταστάσεις με ονόματα επιβατών, διατήρηση δεδομένων τηλεπικοινωνιών) έχουν καταστήσει σαφές ότι απαιτούνται αυστηρές προϋποθέσεις, ιδίως όταν η εν λόγω επεξεργασία γίνεται σε διαρθρωτική βάση. Το ίδιο ισχύει και αντιστρόφως: παράλληλα απαιτούνται κανόνες για τη διασφάλιση της προστασίας των δεδομένων κατά τη διαβίβαση δεδομένων από τις αρχές επιβολής του νόμου ή άλλες «αρμόδιες» αρχές στον ιδιωτικό τομέα ή σε άλλες δημόσιες αρχές. Τέλος, όσον αφορά και τις δύο προτεινόμενες πράξεις, η ομάδα εργασίας εκφράζει την ανησυχία της για το βαθμό στον οποίο η Επιτροπή εξουσιοδοτείται να εγκρίνει πράξεις κατ εξουσιοδότηση και εκτελεστικές πράξεις. Παρότι αναγνωρίζει την ανάγκη να διασφαλιστεί η δυνατότητα πιο λεπτομερούς αντιμετώπισης ορισμένων ζητημάτων σε μεταγενέστερο στάδιο, η ομάδα εργασίας θεωρεί ότι αυτό δεν ισχύει, για παράδειγμα, στην περίπτωση των κανόνων που αφορούν την κοινοποίηση παραβιάσεων δεδομένων. Προκειμένου να διασφαλιστεί η ασφάλεια δικαίου, πρέπει να εισαχθούν σημαντικά στοιχεία στον ίδιο τον κανονισμό, όπως προβλέπεται στο άρθρο 299 της ΣΛΕΕ. Σχετικά με τον κανονισμό Θετικές πτυχές Σε γενικές γραμμές, ο κανονισμός παρέχει μεγαλύτερη σαφήνεια μέσω ακριβέστερων ορισμών και διατάξεων με στόχο τη διασφάλιση μιας πιο εναρμονισμένης εφαρμογής της νομοθεσίας και συνεπώς τη διευκόλυνση της ελεύθερης κυκλοφορίας των δεδομένων. Όσον αφορά τα φυσικά πρόσωπα, ο κανονισμός ενισχύει τα δικαιώματά τους εισάγοντας περισσότερη διαφάνεια, μεγαλύτερο έλεγχο της επεξεργασίας, ελαχιστοποίηση των δεδομένων, ειδικές διατάξεις για την επεξεργασία των 6

7 προσωπικών δεδομένων των παιδιών, ενίσχυση του δικαιώματος πρόσβασης σε δεδομένα, ενίσχυση του δικαιώματος αντίταξης, το δικαίωμα φορητότητας των δεδομένων, ενισχυμένο δικαίωμα διαγραφής των δεδομένων («δικαίωμα στη λήθη») και ενισχυμένο δικαίωμα προσφυγής τόσο μέσω των ΑΠΔ όσο και ενώπιον των δικαστηρίων. Για τους υπεύθυνους επεξεργασίας δεδομένων ο κανονισμός συνεπάγεται απλούστευση και μεγαλύτερη συνεκτικότητα, ενισχυμένη έμφαση στη λογοδοσία τους για τα επεξεργασμένα δεδομένα και την ανάγκη απόδειξής της μέσω προστασίας δεδομένων ήδη από τον σχεδιασμό, προστασίας δεδομένων εξ ορισμού, εκτιμήσεων επιπτώσεων σχετικά με την ιδιωτικότητα, διορισμού ενός ΥΠΔ, καθηκόντων κοινοποίησης παραβιάσεων δεδομένων και της υιοθέτησης μιας προληπτικής προσέγγισης όσον αφορά τις διεθνείς διαβιβάσεις. Επιπλέον, οι δεσμευτικοί εταιρικοί κανόνες αναγνωρίζονται ρητά ως εργαλείο ρύθμισης των διεθνών διαβιβάσεων. Για τους εκτελούντες την επεξεργασία δεδομένων οι υποχρεώσεις ως προς την ασφάλεια των δεδομένων έχουν νομική βάση και εισάγεται η υποχρέωσή τους να αναλάβουν τις ευθύνες του υπευθύνου επεξεργασίας δεδομένων για μια συγκεκριμένη πράξη επεξεργασίας δεδομένων εάν το πρόσωπο που τις επεξεργάζεται υπερβεί τις οδηγίες του υπεύθυνου επεξεργασίας όσον αφορά τη συγκεκριμένη πράξη επεξεργασίας (ισχύει για τους παρόχους υπολογιστικού «νέφους») Για τις ΑΠΔ, ο κανονισμός προβλέπει ενίσχυση της ανεξαρτησίας και των εξουσιών τους, συμπεριλαμβανομένων διοικητικών προστίμων και της υποχρέωσης διαβούλευσης με αυτές σχετικά με νομοθετικά μέτρα, καθώς και διατάξεις για τη διασφάλιση της εναρμονισμένης εφαρμογής τους και, εάν συντρέχει περίπτωση, της επιβολής του νόμου, ιδίως μέσω του «μηχανισμού συνεκτικότητας». Ρόλος της Επιτροπής Η ομάδα εργασίας έχει σοβαρές επιφυλάξεις όσον αφορά το βαθμό στον οποίο εξουσιοδοτείται η Επιτροπή να θεσπίζει πράξεις κατ εξουσιοδότηση και εκτελεστικές πράξεις, κάτι που είναι ιδιαίτερα σημαντικό καθώς διακυβεύεται ένα θεμελιώδες δικαίωμα. Φυσικά, ορισμένα ζητήματα μπορεί να είναι απαραίτητο να αντιμετωπίζονται μέσω πράξεων κατ' εξουσιοδότηση και εκτελεστικών πράξεων. Ωστόσο, δεν αφορούν όλα τα ζητήματα που αναφέρονται στα άρθρα 86 και 87 λεπτομέρειες. Ορισμένες διατάξεις του κανονισμού (για παράδειγμα σχετικά με την κοινοποίηση παραβιάσεων δεδομένων, την αμοιβαία συνδρομή, τη συνεκτικότητα και την εξαίρεση από το δικαίωμα πληροφόρησης και πρόσβασης στο πλαίσιο της επεξεργασίας για ιστορικούς, στατιστικούς και επιστημονικούς ερευνητικούς σκοπούς) δεν μπορούν να εφαρμοστούν χωρίς να υφίσταται ήδη μια πράξη κατ' εξουσιοδότηση ή εκτελεστική πράξη. Επιπλέον, άλλες πράξεις κατ εξουσιοδότηση αφορούν το καθ ύλην πεδίο εφαρμογής του κανονισμού, π.χ. το άρθρο 6 παράγραφος 1 στοιχείο στ) σε συνδυασμό με το άρθρο 6 παράγραφος 5 που επιτρέπει στην Επιτροπή να ορίζει τα «έννομα συμφέροντα» του υπευθύνου επεξεργασίας σε ειδικές καταστάσεις και τομείς επεξεργασίας. Προκειμένου να διασφαλιστεί η ασφάλεια δικαίου πρέπει να εισαχθούν σημαντικά στοιχεία στον ίδιο τον κανονισμό, όπως προβλέπεται στο άρθρο 290 της ΣΛΕΕ. 7

8 Στην πράξη, η θέσπιση πράξεων κατ εξουσιοδότηση ή εκτελεστικών πράξεων για μεγάλο αριθμό άρθρων μπορεί να διαρκέσει πολλά χρόνια και ενδέχεται να συνεπάγεται νομική ανασφάλεια για τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία που αναμένουν άμεση εφαρμογή και συγκεκριμένες κατευθυντήριες γραμμές. Η ομάδα εργασίας καλεί την Επιτροπή να προσδιορίσει τουλάχιστον ποιες πράξεις κατ εξουσιοδότηση και ποιες εκτελεστικές πράξεις σκοπεύει να θεσπίσει σε βραχυπρόθεσμο, μεσοπρόθεσμο και μακροπρόθεσμο επίπεδο. Παρά τον ρόλο της Επιτροπής ως θεματοφύλακα των Συνθηκών, η ομάδα εργασίας έχει επίσης σοβαρές επιφυλάξεις όσον αφορά το ρόλο που προβλέπεται για την Επιτροπή σε μεμονωμένες περιπτώσεις οι οποίες αντιμετωπίστηκαν δυνάμει του μηχανισμού συνεκτικότητας, καθώς καταστρατηγεί την ανεξάρτητη θέση των ΑΠΔ. Όταν ένα ζήτημα έχει αντιμετωπιστεί ή αντιμετωπίζεται από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δυνάμει του μηχανισμού συνεκτικότητας, η Επιτροπή πρέπει να μπορεί να προσφέρει τη νομική αξιολόγησή της, αλλά πρέπει καταρχήν να μην επιχειρεί να παρεμβαίνει. Θα μπορούσε να προβλεφθεί μια διαδικασία που θα επιτρέπει στην Επιτροπή και στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να ζητούν τη γνωμοδότηση του Ευρωπαϊκού Δικαστηρίου σχετικά με την ερμηνεία του κανονισμού. Ρόλος των ευρωπαϊκών αρχών προστασίας δεδομένων στη χάραξη πολιτικών Η ομάδα εργασίας πιστεύει ότι ο σημαντικός ρόλος που έχει διαδραματίσει μέχρι στιγμής και που μπορεί να διαδραματίσει στο μέλλον το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) στον τομέα της χάραξης πολιτικών (για παράδειγμα μέσω της έκδοσης κατευθυντήριων γραμμών ή συστάσεων) πρέπει να αντικατοπτρίζεται στις προτάσεις. Το άρθρο 66 ορίζει ότι το ΕΣΠΔ με δική του πρωτοβουλία ή κατόπιν αιτήματος της Επιτροπής, συμβουλεύει την Επιτροπή για κάθε ζήτημα σχετικό με την προστασία των δεδομένων προσωπικού χαρακτήρα και εξετάζει κάθε ζήτημα το οποίο αφορά την εφαρμογή του παρόντος κανονισμού. Το άρθρο αυτό, όπως το αντιλαμβάνεται η ομάδα εργασίας, συμπεριλαμβάνει και άλλη νομοθεσία, και κατά συνέπεια προτείνει να προστεθεί η κατωτέρω φράση στο άρθρο 66 παράγραφος 1 στοιχείο α) «και για οποιαδήποτε πρόσθετα ή ειδικά μέτρα για τη διαφύλαξη των δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και για τυχόν άλλα προτεινόμενα μέτρα της Ένωσης που επηρεάζουν τα ανωτέρω δικαιώματα και ελευθερίες». Επιπλέον, η ομάδα εργασίας προτείνει να προβλεφθεί η δυνατότητα όχι μόνο της Ευρωπαϊκής Επιτροπής αλλά και του Ευρωπαϊκού Κοινοβουλίου να ζητά τη γνωμοδότηση του ΕΣΠΔ μέσω της προσθήκης της φράσης «και του Ευρωπαϊκού Κοινοβουλίου» στο άρθρο 66 παράγραφος 1 στοιχείο β). Επιπλέον, η ομάδα εργασίας συνιστά μετ επιτάσεως να συμπεριληφθεί η υποχρέωση της Επιτροπής να συμβουλεύεται σε κάθε περίπτωση το ΕΣΠΔ σχετικά με αποφάσεις επάρκειας (στο άρθρο 41) και σχετικά με τις πρότυπες ρήτρες προστασίας δεδομένων (στο άρθρο 42) και να συμβουλεύεται και να λαμβάνει την έγκριση του ΕΣΠΔ σχετικά με τους κώδικες δεοντολογίας σε ευρωπαϊκό επίπεδο (στο άρθρο 38). Σε κάθε περίπτωση πρέπει να συμπεριληφθεί η υποχρέωση της Επιτροπής να συμβουλεύεται το ΕΣΠΔ σχετικά με όλες τις πράξεις κατ εξουσιοδότηση και τις εκτελεστικές πράξεις (στα άρθρα 86 και 87). 8

9 Οι εθνικές αρχές πρέπει να εξακολουθούν να έχουν τη δυνατότητα κατάρτισης κατευθυντήριων γραμμών και συστάσεων που πρέπει να υποβάλλονται στο μηχανισμό συνεκτικότητας σε περίπτωση που έχουν σημαντικό αντίκτυπο σε άλλα κράτη μέλη. Πρέπει επίσης να μπορούν να παρακολουθούν την ανάπτυξη σφραγίδων και σημάτων πιστοποίησης που στοχεύουν στην προστασία των φυσικών προσώπων. Κατώτατα όρια για τις ΜΜΕ Η ομάδα εργασίας παρατηρεί ότι σε όλο το κείμενο της πρότασης κανονισμού έχουν εισαχθεί εξαιρέσεις και κατώτατα όρια για τον περιορισμό του διοικητικού φόρτου και την ελάφρυνση των συνεπειών για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις. Κατώτατα όρια εισάγονται στις διατάξεις σχετικά με την υποχρέωση διορισμού εκπροσώπου στην ΕΕ (άρθρο 25), σχετικά με την τεκμηρίωση (άρθρο 28 παράγραφος 4), σχετικά με το διορισμό ΥΠΔ (άρθρο 35 παράγραφος 1) και σχετικά με την επιβολή διοικητικών προστίμων (άρθρο 79 παράγραφος 3). Επιπλέον, η πρόταση προβλέπει πράξεις κατ εξουσιοδότηση και εκτελεστικές πράξεις που επιτρέπουν στην Επιτροπή να λαμβάνει πρόσθετα μέτρα για τις πολύ μικρές, τις μικρές και τις μεσαίες επιχειρήσεις στο άρθρο 12 παράγραφος 6 σχετικά με τις διαδικασίες και τους μηχανισμούς για την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα, στο άρθρο 14 παράγραφος 7 σχετικά με την υποχρέωση ενημέρωσης του προσώπου στο οποίο αναφέρονται τα δεδομένα, στο άρθρο 22 παράγραφος 4 σχετικά με τις υποχρεώσεις λογοδοσίας και στο άρθρο 33 παράγραφος 6 σχετικά με τη διενέργεια εκτιμήσεων επιπτώσεων σχετικά με την προστασία δεδομένων. Η ομάδα εργασίας είναι της γνώμης ότι τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να απολαμβάνουν το ίδιο επίπεδο προστασίας, ανεξάρτητα από το εάν η επεξεργασία των δεδομένων γίνεται από πολύ μικρή, μικρή ή μεσαία επιχείρηση ή από μεγάλη επιχείρηση. Εντούτοις, αναγνωρίζει ότι ορισμένες από τις προτεινόμενες υποχρεώσεις ενδέχεται να είναι επαχθείς για τις πολύ μικρές, μικρές και μεσαίες επιχειρήσεις. Συνεπώς, παρότι καταρχήν η ομάδα εργασίας αναγνωρίζει τους λόγους για την εισαγωγή των εν λόγω κατώτατων ορίων, εκφράζει την ανησυχία ότι οι εξαιρέσεις που εισάγονται ενδέχεται να οδηγήσουν σε αντιφατικά και ανεπιθύμητα αποτελέσματα τόσο στην πράξη όσο και σε σχέση με την προστασία των προσωπικών δεδομένων. Η ομάδα εργασίας κρίνει καταλληλότερη τη θέσπιση ενός κατώτατου ορίου που να λαμβάνει υπόψη τη φύση και το βαθμό της επεξεργασίας των δεδομένων. Επιπτώσεις στον προϋπολογισμό και στους πόρους Η ομάδα εργασίας εκφράζει την ικανοποίησή της για το γεγονός ότι οι προτάσεις αναγνωρίζουν το σημαντικό ρόλο που μπορούν να διαδραματίσουν οι ΑΠΔ στη διασφάλιση της συμμόρφωσης μέσω της εισαγωγής ενισχυμένων καθηκόντων τόσο για τις ΑΠΔ όσο και για το ΕΣΠΔ. Εντούτοις, η ομάδα εργασίας έχει σοβαρές αμφιβολίες για το κατά πόσο αναγνωρίζονται επαρκώς οι σημαντικές δημοσιονομικές επιπτώσεις των εν λόγω ενισχυμένων καθηκόντων. Προκειμένου να ενισχύσουν το ρόλο των ΑΠΔ και του ΕΣΠΔ ώστε να εκτελούν αποτελεσματικά τα καθήκοντά τους, συμπεριλαμβανομένης της αμοιβαίας συνδρομής και συνεργασίας στο πλαίσιο του μηχανισμού συνεκτικότητας, τα κράτη μέλη πρέπει να δεσμευτούν να παρέχουν τους αναγκαίους οικονομικούς, ανθρώπινους και τεχνικούς πόρους. 9

10 Από αυτή την άποψη η ομάδα εργασίας συνιστά μετ επιτάσεως τη διεξαγωγή ανεξάρτητης εκ βαθέων αξιολόγησης των αυξημένων δαπανών για τις ΑΠΔ και για τον ΕΕΠΔ (ως γραμματείας για το ΕΣΠΔ) βάσει των τρεχόντων προτάσεων. Μέσω των αποτελεσμάτων της εν λόγω αξιολόγησης, πρέπει να καταστεί σαφές σε τι συνίστανται οι «επαρκείς ανθρώπινοι, τεχνικοί και οικονομικοί πόροι, εγκαταστάσεις και υποδομές» για τις ΑΠΔ όπως αναφέρεται στο άρθρο 47, παράγραφος 5. Η ομάδα εργασίας σκοπεύει να απευθυνθεί στην Επιτροπή σχετικά με το σκοπό και τις παραμέτρους μιας τέτοιας εκτίμησης επιπτώσεων σε χωριστή επιστολή. Γενικές διατάξεις Πεδίο εφαρμογής Σύμφωνα με το άρθρο 3 παράγραφος 2 ο κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων που διαμένουν στην Ένωση από υπεύθυνο επεξεργασίας μη εγκαταστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με την προσφορά αγαθών και υπηρεσιών στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα στην Ένωση ή με την παρακολούθηση της συμπεριφοράς τους. Παρά τις προσπάθειες για τον προσδιορισμό της έννοιας της «προσφοράς αγαθών και υπηρεσιών» και της «παρακολούθησης της συμπεριφοράς τους» στις αιτιολογικές σκέψεις, η ομάδα εργασίας θεωρεί ότι θα ήταν χρήσιμη η περαιτέρω διευκρίνιση των ανωτέρω εννοιών. Πρέπει να καταστεί σαφές ότι η «προσφορά αγαθών και υπηρεσιών» περιλαμβάνει επίσης δωρεάν υπηρεσίες (όπου τα άτομα ουσιαστικά πληρώνουν για την υπηρεσία παρέχοντας τα προσωπικά τους δεδομένα). Συνεπώς, η ομάδα εργασίας προτείνει την προσθήκη μιας φράσης με το ακόλουθο νόημα: «συμπεριλαμβανομένων υπηρεσιών που παρέχονται χωρίς κόστος για το χρήστη». Επιπλέον, από την αιτιολογική σκέψη 21 προκύπτει ότι η «παρακολούθηση της συμπεριφοράς» συνδέεται με τον εντοπισμό στο διαδίκτυο και τη δημιουργία προφίλ. Η ομάδα εργασίας προτείνει την αλλαγή της διατύπωσης προκειμένου να διασφαλιστεί ότι ακόμα και αν ο υπεύθυνος επεξεργασίας δεν διαμορφώνει προφίλ, οι δραστηριότητες επεξεργασίας ενδέχεται κάποιες φορές να θεωρούνται «παρακολούθηση της συμπεριφοράς» εάν οδηγούν σε αποφάσεις που αφορούν ένα πρόσωπο στο οποίο αναφέρονται τα δεδομένα ή συνεπάγονται την ανάλυση ή την πρόβλεψη των προσωπικών του προτιμήσεων, συμπεριφορών και στάσεων. Πρόσωπο στο οποίο αναφέρονται τα δεδομένα και δεδομένα προσωπικού χαρακτήρα Η ομάδα εργασίας χαιρετίζει τον ορισμό του «προσώπου στο οποίο αναφέρονται τα δεδομένα» στο άρθρο 4 παράγραφος 1 του προτεινόμενου κανονισμού, το οποίο αναφέρει: «πρόσωπο στο οποίο αναφέρονται τα δεδομένα»: φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί». Ένα φυσικό πρόσωπο μπορεί να θεωρηθεί ως άτομο «του οποίου η ταυτότητα είναι γνωστή» αν, σε μια ομάδα προσώπων, «διακρίνεται» από όλα τα υπόλοιπα μέλη της ομάδας και συνεπώς μπορεί να υποστεί διαφορετική μεταχείριση. Αυτό έχει προβλεφθεί στη γνωμοδότηση που εξέδωσε παλαιότερα η ομάδα εργασίας σχετικά με την έννοια των δεδομένων προσωπικού χαρακτήρα (WP136). Κατά 10

11 συνέπεια, η αιτιολογική σκέψη 23 πρέπει να τροποποιηθεί προκειμένου να διευκρινιστεί ότι η έννοια της δυνατότητας εξακρίβωσης συμπεριλαμβάνει την ανωτέρω διάκριση. Η αιτιολογική σκέψη 24 που αφορά τον ορισμό των δεδομένων προσωπικού χαρακτήρα προβλέπει ότι οι αριθμοί ταυτότητας, τα δεδομένα θέσης, τα επιγραμμικά αναγνωριστικά ή άλλες ειδικές παράμετροι δεν πρέπει απαραίτητα να θεωρούνται δεδομένα προσωπικού χαρακτήρα σε όλες τις περιπτώσεις. Με την υφιστάμενη διατύπωση, η τελευταία πρόταση ενδέχεται να οδηγήσει σε μια περιοριστική ερμηνεία της έννοιας των δεδομένων προσωπικού χαρακτήρα, για παράδειγμα όσον αφορά τις διευθύνσεις IP ή τα αναγνωριστικά «cookies». Η ομάδα εργασίας υπενθυμίζει ότι τα δεδομένα προσωπικού χαρακτήρα είναι δεδομένα που αφορούν ένα πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί. «(Τ)α δεδομένα αναφέρονται σε ένα άτομο, aν αναφέρονται στην ταυτότητα, τα χαρακτηριστικά ή τη συμπεριφορά ενός ατόμου ή αν οι πληροφορίες αυτές χρησιμοποιούνται για να καθορισθεί ή να επηρεασθεί ο τρόπος αντιμετώπισης ή αξιολόγησης του εν λόγω προσώπου» 1. Η ομάδα εργασίας στη γνωμοδότησή της WP136 έχει ήδη αναπτύξει διάφορα σενάρια που δικαιολογούν γιατί πρέπει να θεωρείται ότι οι διευθύνσεις IP σχετίζονται με πρόσωπα των οποίων η ταυτότητα μπορεί να εξακριβωθεί, «ειδικά στις περιπτώσεις στις οποίες η επεξεργασία διευθύνσεων IP εκτελείται με σκοπό την εξακρίβωση της ταυτότητας των χρηστών του ηλεκτρονικού υπολογιστή (π.χ. από κατόχους δικαιωμάτων δημιουργού (copyright) προκειμένου να στραφούν δικαστικώς κατά των χρηστών του ηλεκτρονικού υπολογιστή για παραβίαση δικαιωμάτων πνευματικής ιδιοκτησίας) ( )». Σε αυτή την περίπτωση όπως και στην περίπτωση των «cookies», ο υπεύθυνος επεξεργασίας δεδομένων μεριμνά ώστε να είναι διαθέσιμα μέσα «που μπορούν ευλόγως να χρησιμοποιηθούν» για την εξακρίβωση της ταυτότητας των προσώπων και την αντιμετώπισή τους με συγκεκριμένο τρόπο 2. Συνεπώς, η ομάδα εργασίας προτείνει να τροποποιηθεί αναλόγως η αιτιολογική σκέψη 24. Βιομετρικά δεδομένα Η ομάδα εργασίας χαιρετίζει την εισαγωγή ορισμού των βιομετρικών δεδομένων στο άρθρο 4 παράγραφος 11 του κανονισμού. Εντούτοις, διατηρεί τις επιφυλάξεις της σχετικά με την υφιστάμενη διατύπωση που εστιάζει στη δυνατότητα αδιαμφισβήτητης ταυτοποίησης ενός φυσικού προσώπου. Τα βιομετρικά δεδομένα δεν χρησιμοποιούνται μόνο για σκοπούς εξακρίβωσης της ταυτότητας, αλλά και για επαλήθευση της ταυτότητας (για την επαλήθευση της ταυτότητας χωρίς ουσιαστικά να εξακριβωθεί η εν λόγω ταυτότητα). Ο ορισμός πρέπει να τροποποιηθεί ώστε να εστιάζει στα είδη δεδομένων που πρέπει να θεωρούνται βιομετρικά αντί να εστιάζει στις δυνατότητες που παρέχουν. Συνεπώς, η ομάδα εργασίας προτείνει την αλλαγή της διατύπωσης στο άρθρο 4 παράγραφος 11 από «επιτρέπουν την αδιαμφισβήτητη ταυτοποίησή του» σε «είναι μοναδικά για κάθε φυσικό πρόσωπο». Κύρια εγκατάσταση Ο τρόπος με τον οποίο προσδιορίζεται η χώρα στην οποία έχει την κύρια εγκατάστασή της μια πολυεθνική εταιρεία (είτε είναι ιδιοκτησίας ΕΕ είτε όχι) όπως ορίζεται στο άρθρο 4 παράγραφος 13 και στην αιτιολογική σκέψη 27 πρέπει να διευκρινιστεί περαιτέρω, ακόμα και στην περίπτωση που διαθέτει διακριτές νομικές οντότητες που δραστηριοποιούνται σε διαφορετικούς τομείς. Για παράδειγμα, μπορεί να λαμβάνεται υπόψη η «δεσπόζουσα επιρροή» μιας εγκατάστασης στις πράξεις επεξεργασίας όσον αφορά την εφαρμογή των κανόνων σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα. 1 2 WP136, σελ. 11. WP136, σελ

12 Η ομάδα εργασίας παρατηρεί ότι το άρθρο 4 του σχεδίου κανονισμού περιέχει διάφορους ορισμούς των επιχειρηματικών μονάδων, οι οποίοι δεν είναι σαφώς διακριτοί μεταξύ τους. Αφενός οι έννοιες του «υπευθύνου επεξεργασίας δεδομένων» και της «κύριας εγκατάστασης» αναφέρονται στον τόπο όπου λαμβάνονται οι αποφάσεις σχετικά με την επεξεργασία των δεδομένων και αφετέρου οι ορισμοί της «επιχείρησης» και του «ομίλου επιχειρήσεων» αναφέρονται στην οικονομική δραστηριότητα και την εταιρική δομή. Επίσης εισάγεται ένας επιπλέον όρος αναφορικά με τους εκτελούντες την επεξεργασία, σύμφωνα με τον οποίο ως κύρια εγκατάσταση θεωρείται ο τόπος της «κεντρικής διοίκησης». Επιπλέον, το κεφάλαιο VIII σχετικά με τις προσφυγές, την ευθύνη και τις κυρώσεις αναφέρεται σε οποιοδήποτε εγκατάσταση κατά τον προσδιορισμό του αρμόδιου δικαστηρίου στο πλαίσιο διαδικασιών που κινούνται κατά ενός υπευθύνου επεξεργασίας ή ενός εκτελούντος την επεξεργασία, ανεξάρτητα από το εάν η εν λόγω εγκατάσταση έχει οποιαδήποτε σχέση με την επίμαχη επεξεργασία (ενδέχεται μάλιστα να είναι τελείως ανεξάρτητη από νομικής άποψης από άλλες εγκαταστάσεις του υπεύθυνου επεξεργασίας/ του εκτελούντος την επεξεργασία εντός της ΕΕ). Κατά την άποψη της ομάδας εργασίας, οι ανωτέρω ορισμοί αλληλοεπικαλύπτονται και συνεπώς χρήζουν περαιτέρω αποσαφήνισης. Σε κάθε περίπτωση πρέπει να καταστεί σαφής η φύση της σχέσης μεταξύ της κύριας εγκατάστασης και των ευθυνών του υπευθύνου επεξεργασίας δεδομένων. Σκοπός του ορισμού της κύριας εγκατάστασης φαίνεται να είναι κυρίως να προσδιοριστεί ποια εθνική ΑΠΔ πρέπει να είναι η επικεφαλής ΑΠΔ σε μια συγκεκριμένη υπόθεση ή για μια συγκεκριμένη εταιρεία. Η πλήρης κατανόηση του όρου «κύρια εγκατάσταση» είναι κρίσιμη, καθώς διαδραματίζει αποφασιστικό ρόλο στον προσδιορισμό της αρχής που είναι επικεφαλής υπό την έννοια του άρθρου 51, παράγραφος 2, σε περιπτώσεις που λαμβάνει χώρα επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή ενός εκτελούντος την επεξεργασία στην Ένωση, και που ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε περισσότερα από ένα κράτη μέλη (βλ. περισσότερα στη σελ. 25). Χρήση ψευδωνύμων Η ομάδα εργασίας πιστεύει ότι η χρήση ψευδωνύμων πρέπει να συμπεριληφθεί με πιο ρητό τρόπο στη νομική πράξη (για παράδειγμα με τη συμπερίληψη ενός ορισμού των ψευδώνυμων δεδομένων, ο οποίος να συνάδει με τον ορισμό των δεδομένων προσωπικού χαρακτήρα), καθώς μπορεί να συμβάλει στην επίτευξη πιο αποτελεσματικής προστασίας των δεδομένων, για παράδειγμα στο πλαίσιο της προστασίας δεδομένων ήδη από το σχεδιασμό και εξ ορισμού. Συνεπώς, η ομάδα εργασίας προτείνει την εισαγωγή μιας γενικής υποχρέωσης χρήσης ανώνυμων ή ψευδώνυμων δεδομένων προσωπικού χαρακτήρα εφόσον κρίνεται εφικτό και αναλογικό ανάλογα με τους σκοπούς της επεξεργασίας. Μια τέτοια αρχή πρέπει να συμπεριληφθεί στο άρθρο 5 και στην έννοια της προστασίας δεδομένων ήδη από το σχεδιασμό και εξ ορισμού στο άρθρο 23. Προστασία δεδομένων ήδη από το σχεδιασμό και εξ ορισμού Η ομάδα εργασίας χαιρετίζει την εισαγωγή της έννοιας της προστασίας δεδομένων ήδη από το σχεδιασμό και εξ ορισμού στο άρθρο 23, αλλά συνιστά την περαιτέρω αποσαφήνιση της 12

13 εν λόγω έννοιας μέσω αιτιολογικής σκέψης, στην οποία μπορεί να αναφέρεται για παράδειγμα ότι τα χαρακτηριστικά προϊόντων και υπηρεσιών που ευνοούν την ιδιωτικότητα πρέπει να ενεργοποιούνται αυτόματα και ότι πρέπει να υλοποιούνται κατάλληλες διαδικασίες κατά το σχεδιασμό της επεξεργασίας δεδομένων ή ενός προϊόντος. Φυσικά εναπόκειται στον υπεύθυνο επεξεργασίας να αποδείξει ότι οι δραστηριότητες επεξεργασίας που εκτελεί λαμβάνουν υπόψη τις έννοιες της προστασίας δεδομένων ήδη από το σχεδιασμό και εξ ορισμού, που συνιστούν κατάλληλα μέτρα υπό την έννοια του άρθρου 22, παράγραφος 1. Η ομάδα εργασίας σημειώνει ότι η Επιτροπή εξουσιοδοτείται να θεσπίζει τεχνικά πρότυπα σε αυτόν τον τομέα. Η ομάδα εργασίας πιστεύει ακράδαντα ότι η Επιτροπή πρέπει να συμβουλεύεται το ΕΣΠΔ και διεθνείς οργανισμούς τυποποίησης και να τους καλεί να συμμετάσχουν στις διαδικασίες κατάρτισης των εν λόγω τεχνικών προτύπων. Η αρχή της πρόσβασης του κοινού σε πληροφορίες Η αιτιολογική σκέψη 18 ορίζει ότι ο κανονισμός επιτρέπει να λαμβάνεται υπόψη η αρχή της πρόσβασης του κοινού στα επίσημα έγγραφα κατά την εφαρμογή των διατάξεων που ορίζονται στον κανονισμό. Επειδή η αρχή της πρόσβασης του κοινού στα επίσημα έγγραφα είναι ένα καθιερωμένο και σημαντικό θεμελιώδες δικαίωμα, δεν πρέπει να αναφέρεται μόνο σε μια αιτιολογική σκέψη, αλλά πρέπει να εκφράζεται και μέσω άρθρου του κανονισμού. Περαιτέρω μη συμβατή χρήση Το άρθρο 6 παράγραφος 4 εισάγει τη δυνατότητα περαιτέρω επεξεργασίας δεδομένων για μη συμβατούς σκοπούς σε περιπτώσεις που μπορεί να βρεθεί μια άλλη νομική βάση (εκτός από το έννομο συμφέρον του υπευθύνου επεξεργασίας). Παρότι η ομάδα εργασίας δεν αμφισβητεί την ανάγκη πρόβλεψης δυνατοτήτων περαιτέρω επεξεργασίας για άλλους σκοπούς, η διάταξη όπως διατυπώνεται επί του παρόντος αφήνει περιθώριο για περαιτέρω χρήση των δεδομένων για μη συμβατές χρήσεις οι οποίες θα μπορούσαν να οδηγήσουν σε ιδιαίτερα ανεπιθύμητα αποτελέσματα, τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα, ιδίως εάν βασίζονται σε β) (εκτέλεση σύμβασης) και ε) (δημόσιο συμφέρον). Κατά την άποψη της ομάδας εργασίας, η εν λόγω διάταξη αντίκειται στη γενική αρχή περιορισμού που αποτελεί μία από τις βασικές έννοιες της προστασίας δεδομένων στην Ευρώπη και συνεπώς συνιστά μετ επιτάσεως είτε τη διαγραφή του άρθρου 6 παράγραφος 4 είτε την αναδιατύπωσή του με πιο ακριβή τρόπο και παραπομπή στο άρθρο 21. Σε αυτό το πλαίσιο, η ομάδα εργασίας επιθυμεί επίσης να τονίσει ότι θα εξετάσει σε μεγαλύτερο βάθος το ζήτημα της μη συμβατής χρήσης σε ειδική γνωμοδότηση εντός του 2012, όπως αναφέρει στο πρόγραμμα εργασίας της για το Εξαιρέσεις που εισάγονται για τις δημόσιες αρχές Ένας από τους λόγους για τους οποίους αναθεωρείται το πλαίσιο προστασίας δεδομένων είναι η διασφάλιση της σφαιρικότητάς του. Παρέχοντας ένα ενιαίο σύνολο κανόνων που πρέπει να εφαρμόζονται τόσο από τον δημόσιο όσο και από τον ιδιωτικό τομέα, το νομικό πλαίσιο πρέπει να ενισχύει την ασφάλεια δικαίου όσον αφορά τις εγγυήσεις της προστασίας δεδομένων που παρέχονται σε διάφορους τομείς, ιδίως για τα φυσικά πρόσωπα. Η ομάδα εργασίας έχει ήδη εκφράσει την απογοήτευσή της όσον αφορά την έλλειψη φιλοδοξίας στους τομείς της αστυνομίας και της δικαιοσύνης. Ωστόσο, στο πλαίσιο του ίδιου 13

14 του κανονισμού προβλέπεται ιδιαίτερη αντιμετώπιση για τον δημόσιο τομέα. Η ομάδα εργασίας ανησυχεί για το γεγονός ότι σε κάποια σημεία του κανονισμού έχουν προβλεφθεί ευρείες εξαιρέσεις για τις δημόσιες αρχές για λόγους δημόσιου συμφέροντος. Η ομάδα εργασίας πιστεύει ότι οι ευρείες και γενικόλογες εξαιρέσεις, που στερούνται επίσης επαρκών εγγυήσεων για την προστασία των φυσικών προσώπων, είναι αδικαιολόγητες. Συνεπώς προτείνει να προσδιοριστούν όσο το δυνατόν περισσότερο τα ειδικά δημόσια συμφέροντα στο πλαίσιο του κανονισμού. Αυτό θα συνεισφέρει επίσης στην εναρμόνιση στο πλαίσιο της ΕΕ. Όπως αναφέρεται ανωτέρω, το άρθρο 6 παράγραφος 4 προβλέπει μια πολύ ευρεία δυνατότητα αλλαγής του αρχικού σκοπού της επεξεργασίας για μη συμβατούς σκοπούς και για τις δημόσιες αρχές. Επιπλέον, το άρθρο 9 παράγραφος 2 στοιχείο ζ) επιτρέπει την επεξεργασία ευαίσθητων δεδομένων για την άσκηση καθηκόντων «δημόσιου συμφέροντος». Το ίδιο ισχύει και για τις εξαιρέσεις που προβλέπονται στο άρθρο 17 παράγραφος 5, συγκεκριμένα για το δημόσιο συμφέρον και τα συμφέροντα τρίτων. Η ομάδα εργασίας προτείνει να περιοριστεί αυτή η εξαίρεση με τη διατύπωση «για λόγους ουσιώδους δημόσιου συμφέροντος». Επιπλέον, το άρθρο 21 προβλέπει τη δυνατότητα περιορισμού των αρχών προστασίας δεδομένων και των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα, διευρύνοντας έτσι τη δυνατότητα περιορισμών σε σύγκριση με την τρέχουσα κατάσταση, χωρίς να προβλέπει επαρκείς εγγυήσεις που θα πρέπει να τηρούνται όταν γίνεται επίκληση του άρθρου. Επίσης, το άρθρο 21 παράγραφος 1 στοιχείο γ) μπορεί να χρησιμοποιηθεί για να διασφαλιστεί η ύπαρξη μιας ανοιχτής κατηγορίας «άλλων δημόσιων συμφερόντων». Η ομάδα εργασίας θεωρεί ότι αυτή η κατηγορία είναι υπερβολικά ευρεία και συνεπώς συνιστά να διαγραφεί η φράση «άλλων δημόσιων συμφερόντων της Ένωσης ή κράτους μέλους» από το άρθρο 21 παράγραφος 1 στοιχείο γ) και το στοιχείο γ) να ξεκινά με τη φράση «...σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος...». Το άρθρο 33 παράγραφος 5 εισάγει εξαίρεση των δημόσιων αρχών από την υποχρέωση διενέργειας εκτιμήσεων επιπτώσεων σχετικά με την προστασία δεδομένων όταν η επεξεργασία απορρέει από νομική υποχρέωση. Η ομάδα εργασίας έχει την άποψη ότι η μοναδική εξαίρεση που θα μπορούσε να δικαιολογηθεί σε αυτό το πλαίσιο είναι όταν η εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων έχει ήδη διενεργηθεί στο πλαίσιο της νομοθετικής διαδικασίας. Η ομάδα εργασίας είναι πεπεισμένη ότι οι γενικές εξαιρέσεις για τον δημόσιο τομέα είναι αδικαιολόγητες και ότι υπονομεύουν την σφαιρικότητα του νομικού πλαισίου και συνιστά μετ επιτάσεως να υπάρχει όσο το δυνατόν πιο ισότιμη μεταχείριση του δημόσιου και του ιδιωτικού τομέα, οι οποίοι πρέπει να υποχρεούνται να συμμορφώνονται με το ίδιο σύνολο βασικών κανόνων. Ωστόσο, πρέπει επίσης να αποφευχθεί το ενδεχόμενο το νέο νομικό πλαίσιο να οδηγήσει σε υποβάθμιση του επιπέδου της προστασίας δεδομένων που έχει ήδη επιτευχθεί στα κράτη μέλη σε διάφορους τομείς. Συγκεκριμένα, στο δημόσιο τομέα, το επίπεδο της προστασίας δεδομένων διαφέρει ως αποτέλεσμα συνταγματικών και νομικών παραδόσεων και εξελίξεων. Το νέο νομικό πλαίσιο πρέπει συνεπώς να προβλέπει ένα εναρμονισμένο υψηλό επίπεδο προτύπων στον εν λόγω τομέα, επιτρέποντας παράλληλα στα κράτη μέλη να παρέχουν περαιτέρω εξειδίκευση (όπως προβλέπεται ήδη στο κεφάλαιο ΙΧ), αλλά με την επιφύλαξη του κανονισμού. Αυτό σημαίνει επίσης ότι θα μπορούσαν να δρουν συμπληρωματικά ως προς τον κανονισμό. 14

15 Ανήλικοι Η ομάδα εργασίας αναγνωρίζει τη σημασία της αρχής του «ύψιστου συμφέροντος των παιδιών» και της έννοιας της προοδευτικής προστασίας ανάλογα με το επίπεδο ωριμότητας 3. Παρότι ο κανονισμός δεν παρεμβαίνει στους κανόνες σχετικά με την ισχύ, την κατάρτιση ή τα αποτελέσματα μιας σύμβασης που αφορά ένα παιδί στο γενικό συμβατικό δίκαιο των κρατών μελών, η ομάδα εργασίας χαιρετίζει το γεγονός ότι, σε σχέση με την προσφορά υπηρεσιών της κοινωνίας της πληροφορίας απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού ηλικίας κάτω των 13 ετών είναι σύννομη μόνον εάν και εφόσον η συγκατάθεση παρέχεται ή εγκρίνεται από τον γονέα ή τον κηδεμόνα του παιδιού. Η ομάδα εργασίας αναγνωρίζει τις δυσκολίες της εναρμόνισης των ηλικιακών ορίων σε μια τέτοια πράξη και κατανοεί ότι σε περιπτώσεις που έχουν καθαρά εθνικό χαρακτήρα πρέπει να εφαρμόζεται το δίκαιο των κρατών μελών. Ωστόσο, η ομάδα εργασίας προτείνει τη διεύρυνση του πεδίου εφαρμογής του ελάχιστου κανόνα που προβλέπει ο κανονισμός όσον αφορά τον τρόπο μεταχείρισης των ανηλίκων και σε άλλα ζητήματα, εκτός από την προσφορά υπηρεσιών της κοινωνίας της πληροφορίας, καθώς υπάρχουν περισσότερες καταστάσεις στις οποίες μπορούν να προβλεφθούν ειδικοί κανόνες. Σε γενικές γραμμές, ο κανονισμός στερείται διατάξεων που αφορούν τον τρόπο με τον οποίο μπορούν να ασκούνται τα δικαιώματα μέσω εκπροσώπου, όχι μόνο στην περίπτωση των ανηλίκων, αλλά και στην περίπτωση της εκπροσώπησης ατόμων με αναπηρίες και από δικηγόρους. Δικαίωμα στη λήθη Η ομάδα εργασίας χαιρετίζει τη συμπερίληψη στον κανονισμό του ειδικού δικαιώματος στη λήθη και στη διαγραφή ως μέσου ενίσχυσης του ελέγχου που ασκούν τα φυσικά πρόσωπα στα προσωπικά δεδομένα τους. Εντούτοις, ο τρόπος με τον οποίο ρυθμίζονται τα εν λόγω δικαιώματα στον κανονισμό και ο τρόπος με τον οποίο λειτουργεί το διαδίκτυο στην πραγματικότητα ενδέχεται να περιορίζουν σημαντικά την αποτελεσματικότητά τους. Ο υπεύθυνος επεξεργασίας δεν είναι υπεύθυνος μόνο για τη διαγραφή των δεδομένων, αλλά και για την ενημέρωση τρίτων που επεξεργάζονται τα εν λόγω δεδομένα μέσω συνδέσμων, αντιγράφων ή αναπαραγωγών σχετικά με το αίτημα του προσώπου στο οποίο αναφέρονται τα δικαιώματα. Η θέσπιση της εν λόγω υποχρέωσης μόνο για τον υπεύθυνο επεξεργασίας είναι προβληματική, καθώς ενδέχεται να υπάρχουν περιπτώσεις όπου ο υπεύθυνος επεξεργασίας έχει λάβει όλα τα εύλογα μέτρα για την ενημέρωση τρίτων, αλλά δεν γνωρίζει όλα τα διαθέσιμα αντίγραφα ή τις αναπαραγωγές ή εάν προκύψουν νέα αντίγραφα ή αναπαραγωγές αφού ο υπεύθυνος επεξεργασίας έχει ενημερώσει όλους τους γνωστούς σε αυτόν τρίτους. Ακόμα σημαντικότερο είναι το πρόβλημα που προκύπτει από το γεγονός ότι καμία από τις διατάξεις του κανονισμού δεν υποχρεώνει τους τρίτους να συμμορφώνονται με το αίτημα του προσώπου στο οποίο αναφέρονται τα δικαιώματα, εκτός εάν οι ίδιοι θεωρούνται επίσης υπεύθυνοι επεξεργασίας. Ο κανονισμός δεν παρέχει καμία κατεύθυνση σχετικά με το πώς μπορούν τα πρόσωπα στα οποία αναφέρονται τα δεδομένα να ασκούν τα δικαιώματά τους εάν δεν υπάρχει πλέον 3 Βλ. Γνωμοδότηση 2/2009 για την προστασία προσωπικών δεδομένων παιδιών (WP 160) και Έγγραφο εργασίας 1/2008 για την προστασία των δεδομένων προσωπικού χαρακτήρα των παιδιών (WP 147) 15

16 υπεύθυνος επεξεργασίας, εάν έχει εξαφανιστεί, ή εάν δεν είναι δυνατή η εξακρίβωση της ταυτότητάς του ή η επικοινωνία με αυτόν. Συνεπώς, η θέση των τρίτων που επεξεργάζονται δεδομένα πρέπει να διευκρινιστεί προκειμένου να προσδιοριστούν οι όροι και η ιδιότητα υπό την οποία υποχρεούνται να σέβονται το αίτημα του προσώπου στο οποίο αναφέρονται τα δεδομένα, καθώς και οι συνέπειες της μη συμμόρφωσής τους με αυτό. Στο ίδιο πλαίσιο, πρέπει να υπάρχει μέριμνα για την επέκταση του δικαιώματος των προσώπων στα οποία αναφέρονται τα δεδομένα ώστε να μπορούν να απευθύνουν απευθείας αιτήματα διαγραφής σε τρίτους σε περιπτώσεις που τούτο δεν είναι δυνατό μέσω του υπευθύνου επεξεργασίας. Τέλος, δεν υφίσταται μηχανισμός που να προβλέπει τη διαγραφή συνδέσμων προς δεδομένα, αντιγράφων ή αναπαραγωγών δεδομένων, τα οποία δεν έχουν διαγραφεί σύμφωνα με το άρθρο 17 παράγραφος 3 αλλά που από μόνα τους δεν εμπίπτουν στο πεδίο εφαρμογής του άρθρου. Οι εν λόγω σύνδεσμοι, τα αντίγραφα ή οι αναπαραγωγές ενδέχεται ωστόσο να παρέχουν πρόσβαση στο αρχικό περιεχόμενο, παρότι αυτό μπορεί να μην δικαιολογείται απαραίτητα δυνάμει του ανωτέρω άρθρου. Φυσικά η ομάδα εργασίας αναγνωρίζει την ανάγκη εξισορρόπησης του δικαιώματος στην ιδιωτικότητα με το δικαίωμα ελευθερίας της έκφρασης. Ο κανονισμός πρέπει να διευκρινίζει τη σχέση μεταξύ του άρθρου 17 παράγραφος 3 και της υποχρέωσης που προβλέπεται στο άρθρο 17 παράγραφος 2. Ενεργητική εμπορική προώθηση Κατά παρέκκλιση του άρθρου 19 παράγραφος 2 του κανονισμού που προβλέπει το δικαίωμα αντίταξης στην επεξεργασία δεδομένων για σκοπούς ενεργητικής εμπορικής προώθησης, η ομάδα εργασίας υπογραμμίζει ότι οι διατάξεις της οδηγίας 2002/58/ΕΚ παραμένουν πλήρως ισχυρές, όπως προβλέπεται και στο άρθρο 89 του κανονισμού. Αυτό ισχύει συγκεκριμένα στο πλαίσιο της επιγραμμικής συμπεριφορικής διαφήμισης και της εμπορικής προώθησης μέσω ηλεκτρονικού ταχυδρομείου, όπου προβλέπεται η συγκατάθεση του παραλήπτη. Κατάρτιση προφίλ Η ομάδα εργασίας υποστηρίζει τη διάταξη του κανονισμού που αναφέρεται στην κατάρτιση προφίλ. Εντούτοις, διατηρεί αμφιβολίες σχετικά με το κατά πόσο η προσέγγιση που υιοθετείται είναι επαρκής για να καλύψει τα ζητήματα της κατάρτισης και χρήσης προφίλ, ιδίως στο διαδικτυακό περιβάλλον. Επιπλέον, η ομάδα εργασίας σημειώνει ότι ο όρος «επηρεάζει σημαντικά» στο άρθρο 20 παράγραφος 1 είναι ανακριβής. Πρέπει να διευκρινιστεί ότι αυτός ο όρος καλύπτει επίσης την εφαρμογή, για παράδειγμα, διαδικτυακών εργαλείων ανάλυσης, την παρακολούθηση για την αξιολόγηση της συμπεριφοράς των χρηστών, τη δημιουργία προφίλ κίνησης μέσω εφαρμογών για κινητά τηλέφωνα ή τη δημιουργία προσωπικών προφίλ από κοινωνικά δίκτυα. Επιπλέον, η διάταξη δεν πρέπει να περιορίζεται αποκλειστικά στην αυτόματη επεξεργασία, αλλά πρέπει να καλύπτει και τις μεθόδους επεξεργασίας που είναι μερικώς αυτόματες. Κατά την άποψη της ομάδας εργασίας, πρέπει να υιοθετηθεί μια προσέγγιση που ορίζει σαφώς τους σκοπούς για τους οποίους επιτρέπεται η δημιουργία και χρήση προφίλ, συμπεριλαμβανομένων ειδικών υποχρεώσεων ενημέρωσης του προσώπου στο οποίο αναφέρονται τα δεδομένα, ιδίως ως προς το δικαίωμά του/της να αντιταχθεί στη δημιουργία και χρήση προφίλ. 16

17 Εκπρόσωπος Η ομάδα εργασίας πιστεύει ότι ο ρόλος και οι υποχρεώσεις του εκπροσώπου όπως ορίζονται στο άρθρο 25 χρήζουν περαιτέρω αποσαφήνισης. Πρέπει να καταστεί σαφής ο ρόλος του εκπροσώπου έναντι των προσώπων στα οποία αναφέρονται τα δεδομένα, των δικαστηρίων και των ΑΠΔ, ιδίως εάν ληφθεί υπόψη το γεγονός ότι το άρθρο 79 παράγραφος 6 στοιχείο στ) προβλέπει το υψηλότερο δυνατό πρόστιμο σε περίπτωση μη ορισμού εκπροσώπου. Πρέπει να διευκρινιστεί η εντολή του εκπροσώπου προκειμένου να προσδιοριστεί σαφώς το πεδίο εφαρμογής της αποστολής, του ρόλου και της ευθύνης του. Το άρθρο 78 παράγραφος 2 ορίζει ότι εάν ο υπεύθυνος επεξεργασίας έχει ορίσει εκπρόσωπο, οι ενδεχόμενες ποινικές κυρώσεις εφαρμόζονται στον εκπρόσωπο. Η ίδια σαφήνεια πρέπει να προβλέπεται στην περίπτωση των διοικητικών κυρώσεων σύμφωνα με το άρθρο 79. Η διατύπωση «μπορεί να απευθύνεται κάθε αρχή ελέγχου» που χρησιμοποιείται στην αιτιολογική σκέψη 63 και στο άρθρο 4 παράγραφος 14 δεν καθιστά επαρκώς σαφές ότι ένας εκπρόσωπος μπορεί επίσης να είναι το αντικείμενο διοικητικής κύρωσης υπό την έννοια του άρθρου 79. Πρέπει επίσης να καταστεί σαφές ότι η εγκατάσταση ενός εκπροσώπου στην ΕΕ όπως ορίζεται στο άρθρο 25 παράγραφος 3 «είναι εγκαταστημένος σε ένα από τα κράτη μέλη» δεν ενεργοποιεί το μηχανισμό της κύριας εγκατάστασης όπως προβλέπεται στο άρθρο 4 παράγραφος 13 υπό την έννοια ότι δεν διαδραματίζει αποφασιστικό ρόλο στον προσδιορισμό της επικεφαλής ΑΠΔ από το άρθρο 51 παράγραφος 2. Όσον αφορά τις εξαιρέσεις στην υποχρέωση ορισμού εκπροσώπου, η ομάδα εργασίας δεν θεωρεί ότι υπάρχει κάποιος σημαντικός λόγος για τον αποκλεισμό ενός υπευθύνου επεξεργασίας από τρίτη χώρα που προσφέρει επαρκές επίπεδο προστασίας. Το γεγονός ότι μια τρίτη χώρα διαθέτει επαρκές επίπεδο προστασίας δεδομένων δεν μεταβάλλει την ανάγκη ύπαρξης ενός σημείου επαφής στην Ευρωπαϊκή Ένωση και συνεπώς η ομάδα εργασίας προτείνει τη διαγραφή του άρθρου 25 παράγραφος 2 στοιχείο α). Εάν προβλεφθούν εξαιρέσεις στην υποχρέωση ορισμού εκπροσώπου, πρέπει να βασίζονται στη φύση και την έκταση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και στον (δυνητικό) αριθμό των θιγόμενων προσώπων στα οποία αναφέρονται τα δεδομένα στην ΕΕ. Το υφιστάμενο κατώτατο όριο του αριθμού των προσώπων που απασχολεί ο υπεύθυνος επεξεργασίας ενέχει τον κίνδυνο αποκλεισμού μικρών οργανισμών που εκτελούν επεξεργασία που συνεπάγεται κινδύνους για τα φυσικά πρόσωπα. Επίσης, παρά την ερμηνεία που περιλαμβάνεται στην αιτιολογική σκέψη 64, η διατύπωση «προσφέρει μόνον περιστασιακά αγαθά ή υπηρεσίες σε πρόσωπα στα οποία αναφέρονται τα δεδομένα» είναι υπερβολικά ασαφής και στην πράξη θα μπορούσε να οδηγεί συχνά σε παρερμηνείες. Λογοδοσία Η ομάδα εργασίας χαιρετίζει με ενθουσιασμό την εισαγωγή της αρχής της λογοδοσίας στον κανονισμό, ιδίως στο άρθρο 22, και συμφωνεί ανεπιφύλακτα με τον στόχο της θέσπισης αποτελεσματικών διαδικασιών και μηχανισμών που να εστιάζουν σε εκείνες τις πράξεις επεξεργασίας που ενδέχεται να συνεπάγονται συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα. Παρόλα αυτά, η ομάδα εργασίας διατηρεί κάποιες αμφιβολίες σχετικά με τα άρθρα που στοχεύουν στη διευκρίνιση αυτής της γενικής αρχής. 17

18 Κατά πρώτον, πρέπει να διασφαλιστεί η δυνατότητα κλιμάκωσης. Κατά την εφαρμογή της αρχής της λογοδοσίας, πρέπει να μπορεί να λαμβάνεται υπόψη το μέγεθος του υπευθύνου επεξεργασίας και η φύση των δραστηριοτήτων επεξεργασίας. Επίσης, οι εποπτικές αρχές πρέπει να μπορούν να εξετάζουν τους υλοποιημένους μηχανισμούς λογοδοσίας κατά την έκδοση κυρώσεων και προστίμων. Επιπλέον, το άρθρο 28 προβλέπει την υποχρέωση του υπευθύνου επεξεργασίας να διατηρεί την τεκμηρίωση όλων των πράξεων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το άρθρο 28 παράγραφος 2 διευκρινίζει σε ποια συγκεκριμένη τεκμηρίωση αναφέρεται η εν λόγω υποχρέωση. Η ανωτέρω υποχρέωση αλληλεπιδρά με τις γενικές υποχρεώσεις λογοδοσίας του άρθρο 22, σύμφωνα με τις οποίες οι υπεύθυνοι επεξεργασίας υποχρεούνται να μπορούν να αποδείξουν ποιες πολιτικές θεσπίζονται και ποια μέτρα υλοποιούνται για τη διασφάλιση της συμμόρφωσης. Καταρχήν, κάθε υπεύθυνος επεξεργασίας, εκτελών την επεξεργασία και, εάν συντρέχει περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας πρέπει να υποχρεούται να διατηρεί τη βασική τεκμηρίωση των πράξεων επεξεργασίας δεδομένων που εκτελεί. Παρότι η ομάδα εργασίας χαιρετίζει την υποχρέωση διενέργειας εκτίμησης επιπτώσεων σχετικά με την προστασία δεδομένων όπως προβλέπεται στο άρθρο 33, θεωρεί ότι η εκτίμηση επιπτώσεων πρέπει φυσικά να διενεργείται και σε περιπτώσεις που δεν είναι σαφές εάν η επεξεργασία ενέχει συγκεκριμένους κινδύνους για τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα. Συνεπώς η ομάδα εργασίας προτείνει την ευθυγράμμιση του άρθρου 33 παράγραφος 1 με την αιτιολογική σκέψη 70 και την προσθήκη της φράσης «είναι πιθανόν να», ούτως ώστε η πρώτη πρόταση του άρθρου να είναι: «Εάν οι πράξεις επεξεργασίας είναι πιθανόν να ενέχουν συγκεκριμένους κινδύνους». Η ομάδα εργασίας πιστεύει ότι οι εξαιρέσεις που προβλέπονται στο άρθρο 28 παράγραφος 4 στοιχείο β) σχετικά με την τεκμηρίωση και στο άρθρο 35 παράγραφος 1 στοιχείο β) σχετικά με τον ορισμό υπευθύνων προστασίας δεδομένων μπορεί να έχουν ανεπιθύμητες συνέπειες, ιδιαίτερα εάν ένας μικρός οργανισμός με λιγότερους από 250 εργαζόμενους επεξεργάζεται πολλά δεδομένα προσωπικού χαρακτήρα ή εάν η επεξεργασία είναι εκ φύσεως επικίνδυνη. Ταυτόχρονα, η τρέχουσα διατύπωση επηρεάζει δυσανάλογα τους μεγάλους οργανισμούς που επεξεργάζονται περιορισμένο όγκο δεδομένων προσωπικού χαρακτήρα. Η ομάδα εργασίας πιστεύει ότι αντί για το συνολικό αριθμό των εργαζομένων σε μια εταιρεία θα ήταν προτιμότερο να λαμβάνεται υπόψη η φύση και η έκταση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και ο αριθμός των εργαζομένων που εμπλέκονται άμεσα στην επεξεργασία δεδομένων προσωπικού χαρακτήρα ή/και ο αριθμός των προσώπων στα οποία αναφέρονται τα δεδομένα. Η ομάδα εργασίας πιστεύει ότι οι δραστηριότητες επεξεργασίας που αφορούν τις κατηγορίες ευαίσθητων δεδομένων δυνάμει του άρθρου 9 του κανονισμού πρέπει να υπόκεινται σε εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων. Συνεπώς όλα τα στοιχεία των ευαίσθητων δεδομένων πρέπει να συμπεριληφθούν στο άρθρο 33 παράγραφος 2 στοιχείο β). Επιπλέον, ο περιορισμός των πράξεων επεξεργασίας δυνάμει του άρθρου 33 (β), γ) και δ)) στις πράξεις επεξεργασία «μεγάλης κλίμακας» πρέπει να διαγραφεί, καθώς η ομάδα εργασίας πιστεύει ότι απαιτείται εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων για τέτοιου είδους πράξεις επεξεργασίας ακόμα και σε μικρή κλίμακα. Αυτό ισχύει ιδιαίτερα για την επεξεργασία βιομετρικών δεδομένων, η οποία κατά την άποψη της ομάδας εργασίας πρέπει να θεωρείται επικίνδυνη υπό ορισμένες περιστάσεις και συνεπώς 18

19 πρέπει να διενεργείται εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων ανεξάρτητα από οποιαδήποτε κατώτατα όρια προβλέπονται στο άρθρο 33. Επίσης, όπως αναφέρθηκε προηγουμένως, η εξαίρεση των δημόσιων αρχών από την υποχρέωση να διενεργούν εκτίμηση επιπτώσεων δυνάμει του άρθρου 33 παράγραφος 5 είναι αδικαιολόγητη, εκτός εάν η εν λόγω εκτίμηση έχει ήδη πραγματοποιηθεί κατά τη διάρκεια της νομοθετικής διαδικασίας. Κοινοποίηση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα Η ομάδα εργασίας χαιρετίζει την εισαγωγή του καθήκοντος κοινοποίησης παραβιάσεων δεδομένων προσωπικού χαρακτήρα που εξασφαλίζει συνεκτικότητα σε όλους τους τομείς. Εντούτοις, η ομάδα εργασίας έχει αμφιβολίες σχετικά με το κατά πόσο ο τρόπος με τον οποίο ορίζεται το καθήκον κοινοποίησης θα οδηγήσει σε ικανοποιητικά αποτελέσματα. Συγκεκριμένα, το πεδίο εφαρμογής του καθήκοντος κοινοποίησης της αρχής ελέγχου πρέπει να είναι πιο συγκεκριμένο και πιο περιορισμένο. Πρέπει να αποφευχθεί ο περισπασμός και η αύξηση του φόρτου των αρχών ελέγχου που προκύπτει από την επεξεργασία κοινοποιήσεων μικρών παραβιάσεων δεδομένων οι οποίες δεν είναι πιθανόν να επηρεάσουν αρνητικά τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα. Επιπλέον, ο ρόλος και οι ευθύνες των ΑΠΔ σε περίπτωση κοινοποίησης (και μετά από αυτήν) χρήζουν αποσαφήνισης. Η ομάδα εργασίας έχει συναίσθηση του γεγονότος ότι υπό ορισμένες περιστάσεις ενδέχεται να μην είναι εφικτή η τήρηση της 24ωρης προθεσμίας για την κοινοποίηση. Στο άρθρο 31 παράγραφος 1, το πρόβλημα αυτό αντιμετωπίζεται μέσω της πρόβλεψης της δυνατότητας κοινοποίησης μετά την πάροδο των 24 ωρών από τη στιγμή που γίνεται αντιληπτή η παραβίαση. Παρόλα αυτά, είναι σημαντικό η κοινοποίηση να γίνεται έγκαιρα. Συνεπώς η ομάδα εργασίας προτείνει την εφαρμογή μιας προσέγγισης δύο σταδίων, όπου η κοινοποίηση της παραβίασης από τον υπεύθυνο επεξεργασίας πρέπει καταρχήν να λαμβάνει χώρα εντός 24 ωρών από τη στιγμή που αυτή γίνεται αντιληπτή. Σε περίπτωση που δεν είναι δυνατόν να παρασχεθούν όλες οι πληροφορίες εντός της προθεσμίας των 24 ωρών, ο υπεύθυνος επεξεργασίας θα έχει τη δυνατότητα να ολοκληρώσει την κοινοποίηση σε δεύτερη φάση. Απαιτείται περαιτέρω διευκρίνιση όσον αφορά τα κριτήρια προσδιορισμού μιας παραβίασης δεδομένων προσωπικού χαρακτήρα και τις περιστάσεις υπό τις οποίες πρέπει να κοινοποιείται μια παραβίαση στην ΑΠΔ και στα πρόσωπα στα οποία αναφέρονται τα δεδομένα (για παράδειγμα εάν συντρέχει συγκεκριμένος κίνδυνος ή εάν υπάρχει κίνδυνος ζημίας των προσώπων στα οποία αναφέρονται τα δεδομένα). Η ομάδα εργασίας πιστεύει ότι το ΕΣΠΔ πρέπει σε κάθε περίπτωση να συμμετάσχει στον προσδιορισμό των ανωτέρω κριτηρίων και περιστάσεων. Προκειμένου το έντυπο κοινοποίησης να αντικατοπτρίζει τις συστάσεις της ομάδας εργασίας και του ENISA, πρέπει να περιέχει αξιολόγηση της σοβαρότητας της παραβίασης των δεδομένων προσωπικού χαρακτήρα βάσει αντικειμενικών κριτηρίων. Όσον αφορά το ρόλο και τη λειτουργία των ΑΠΔ Ανεξαρτησία Το υφιστάμενο κείμενο προβλέπει ότι τα μέλη της ΑΠΔ μπορούν να διορίζονται αποκλειστικά από το κοινοβούλιο ή την κυβέρνηση. Ωστόσο, η ομάδα εργασίας επιθυμεί να 19

20 επιτρέπεται στα κράτη μέλη να παρέχουν τη δυνατότητα και σε άλλους ανεξάρτητους φορείς, όπως το Ανώτατο Δικαστικό Συμβούλιο, να ορίζουν ή/και να διορίζουν μέλη της ΑΠΔ. Εξουσίες Εκτός από τη δυνατότητα τους να διεξάγουν έρευνες, οι ΑΠΔ πρέπει επίσης να έχουν τη ρητή δυνατότητα διενέργειας ελέγχων. Προϋπολογισμός Για την αποτελεσματική εκτέλεση των ενισχυμένων καθηκόντων και εξουσιών των ΑΠΔ από τον κανονισμό, συμπεριλαμβανομένων όσων πρέπει να διεξάγονται στο πλαίσιο της αμοιβαίας συνδρομής, συνεργασίας και συμμετοχής στο ΕΣΠΔ, ο κανονισμός ορίζει ότι τα κράτη μέλη πρέπει να διασφαλίζουν επαρκείς ανθρώπινους, τεχνικούς και οικονομικούς πόρους, εγκαταστάσεις και υποδομές για τις ΑΠΔ. Όπως αναφέρθηκε προηγουμένως, η ομάδα εργασίας συνιστά μετ επιτάσεως να προσδιοριστεί πιο συγκεκριμένα τι σημαίνει επαρκής προϋπολογισμός, για παράδειγμα μετά την πραγματοποίηση μιας ανεξάρτητης εκ βαθέων αξιολόγησης του αυξημένου κόστους για τις ΑΠΔ βάσει των τρεχουσών προτάσεων. Ένας επαρκής προϋπολογισμός μπορεί να βασίζεται σε ένα πάγιο ποσό για την κάλυψη των βασικών λειτουργιών που πρέπει να αναλαμβάνουν εξίσου όλες οι ΑΠΔ, το οποίο μπορεί να συμπληρώνεται από ένα ποσό που θα προκύπτει βάσει ενός τύπου που θα λαμβάνει υπόψη τον πληθυσμό ενός κράτους μέλους και το ΑΕγχΠ του. Μπορεί επίσης να υπάρχει και ένα στοιχείο που να αντιπροσωπεύει τον αριθμό των πολυεθνικών που έχουν την έδρα τους στο εν λόγω κράτος μέλος. Μια από τις αιτιολογικές σκέψεις πρέπει να ενθαρρύνει ρητά τα κράτη μέλη να λαμβάνουν υπόψη τους διάφορες επιλογές χρηματοδότησης της ΑΠΔ, ούτως ώστε να εξασφαλίζεται ότι μπορεί να τηρεί την απαίτηση να διαθέτει η αρχή επαρκείς πόρους. Περιθώριο διακριτικής ευχέρειας Οι ΑΠΔ πρέπει να μπορούν να είναι επιλεκτικές ώστε να είναι αποτελεσματικές. Πρέπει να μπορούν να ορίζουν οι ίδιες τις προτεραιότητές τους και να ξεκινούν ενέργειες, όπως για παράδειγμα έρευνες, με δική τους πρωτοβουλία, ανεξάρτητα από τις υποχρεώσεις που αφορούν τη συνεργασία, την αμοιβαία συνδρομή και τη συνεκτικότητα δυνάμει του κεφαλαίου VII. Οι ΑΠΔ πρέπει να μπορούν να κατανέμουν τους πόρους τους σύμφωνα με το στρατηγικό χαρακτήρα και την πολυπλοκότητα των επίμαχων ζητημάτων, για παράδειγμα λαμβάνοντας υπόψη την πραγματική ή ενδεχόμενη ζημία για την προστασία δεδομένων, τον αριθμό των προσώπων που αφορούν και τη τεχνολογία που χρησιμοποιείται. Η παραχώρηση της δυνατότητας στις ΑΠΔ να ορίζουν τις προτεραιότητές τους συμβάλλει επίσης στην αντιμετώπιση οικονομικών και δημοσιονομικών περιορισμών. Τα καθήκοντα δυνάμει του άρθρου 52 παράγραφος 2 και 3 που αναφέρουν ότι η ΑΠΔ «προωθεί» και «κατόπιν αιτήματος [ ] συμβουλεύει το πρόσωπο στο οποίο αναφέρονται τα δεδομένα», περιορίζουν το περιθώριο διακριτικής ευχέρειας που είναι αναγκαίο για την αποτελεσματική λειτουργία των ΑΠΔ. Επιπλέον, προκειμένου να δοθεί η δυνατότητα διακριτικής ευχέρειας στις ΑΠΔ, η ομάδα εργασίας προτείνει τη συμπερίληψη της λέξης - «μπορεί» στο άρθρο 34 παράγραφος 3 ως εξής: «μπορεί να διατυπώνει κατάλληλες προτάσεις για την επανόρθωση της μη συμμόρφωσης». 20