Διατήρηση Δεδομένων Ηλεκτρονικών Επικοινωνιών

ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ ΔΙΑΤΜΗΜΑΤΙΚΟ ΠΡΟΓΡΑΜΜΑ ΜΕΤΑΠΤΥΧΙΑΚΩΝ ΣΠΟΥΔΩΝ «ΠΛΗΡΟΦΟΡΙΚΗ ΚΑΙ ΔΙΟΙΚΗΣΗ» ΤΜΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΚΩΝ ΕΠΙΣΤΗΜΩΝ Διατήρηση Δεδομένων Ηλεκτρονικών Επικοινωνιών Διπλωματική Εργασία της Τσιγγενοπούλου Βέρας (ΑΕΜ: 469) Στο μάθημα Δίκαιο Πληροφορικής Εξεταστική Επιτροπή Επιβλέπων: Ιγγλεζάκης Ιωάννης Μέλη: Βασιλειάδης Νικόλαος, Παπαδόπουλος Χρυσολέων ΘΕΣΣΑΛΟΝΙΚΗ Μάρτιος 2015

Πρόλογος Η τρομοκρατία δεν είναι ένα πρόσφατο φαινόμενο, ωστόσο αποτελεί ένα από τα σημαντικότερα προβλήματα του σύγχρονου κόσμου. Τα τελευταία χρόνια οι τρομοκρατικές επιθέσεις έχουν αυξηθεί παγκοσμίως με αποκορύφωμά τις επιθέσεις της 9/11, 11/3 και 7/7. Τα στοιχεία που βρέθηκαν μετά τις επιθέσεις αυτές αποκάλυψαν ότι οι τρομοκράτες χρησιμοποίησαν το Διαδίκτυο για να επικοινωνούν μεταξύ τους και να οργανώνουν τα σχέδιά τους. Έτσι, οι κυβερνήσεις όσο και η Ευρωπαϊκή Ένωση, συνειδητοποίησε τη σημασία των δεδομένων επικοινωνίας για την καταπολέμηση της τρομοκρατίας και άρχισαν να λαμβάνουν μέτρα και κανόνες σχετικά με τη διατήρηση των δεδομένων αυτών. Στο πλαίσιο αυτό, η παρούσα διπλωματική εργασία έχει ως στόχο να αναλύσει τους κανόνες που έχουν θεσπιστεί για τη διατήρηση των δεδομένων ηλεκτρονικών επικοινωνιών, την αξιολόγησή τους, καθώς και για τη θέση των μελών κρατών ως προς το θέμα αυτό. Η εκπόνηση της παρούσας μελέτης βασίστηκε στην βιβλιογραφική και διαδικτυακή έρευνα. Στο σημείο αυτό, θα ήθελα να ευχαριστήσω θερμά τον καθηγητή μου, κ. Ιγγλεζάκη Ιωάννη, Επίκουρο Καθηγητή του τμήματος Νομικής του ΑΠΘ, για την ευκαιρία που μου έδωσε να ασχοληθώ με το συγκεκριμένο θέμα και να διευρύνω τους ορίζοντες μου καθώς και για την καθοδήγηση, τις πολύτιμες συμβουλές και γνώσεις που μου προσέφερε σε όλη την διάρκεια συγγραφής της παρούσας διπλωματικής εργασίας. Ένα μεγάλο ευχαριστώ απευθύνεται ξεχωριστά στους γονείς μου και στον σύντροφό μου, που με στήριξαν καθ όλη τη διάρκεια των σπουδών μου.

Περιεχόμενα ΠΡΟΛΟΓΟΣ... I ΠΕΡΙΕΧΟΜΕΝΑ... III 1 ΕΙΣΑΓΩΓΗ... 7 2 ΤΟ ΕΥΡΩΠΑΪΚΟ ΝΟΜΙΚΟ ΠΛΑΙΣΙΟ... 14 2.1 Η ΟΔΗΓΙΑ 95/46/ΕΚ... 14 2.1.1 Γενικές Διατάξεις... 15 2.1.2 Γενικές προϋποθέσεις σχετικά με τη θεμιτή επεξεργασία δεδομένων προσωπικού χαρακτήρα... 16 2.1.3 Ένδικα μέσα, ευθύνη και κυρώσεις... 17 2.1.4 Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες 18 2.1.5 Κώδικες δεοντολογίας... 18 2.1.6 Αρχή ελέγχου και ομάδα για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα... 18 2.1.7 Κοινοτικά μέτρα εκτέλεσης... 19 2.1.8 Τελικές διατάξεις... 19 2.2 Η ΟΔΗΓΙΑ 2002/58/ΕΚ... 19 2.2.1 Πεδίο εφαρμογής και στόχος... 20 2.2.2 Σχετικές Υπηρεσίες... 20 2.2.3 Ασφάλεια της Επεξεργασίας... 20 2.2.4 Απόρρητο των Επικοινωνιών... 21 2.2.5 Δεδομένα κίνησης... 22 2.2.6 Αναλυτική χρέωση... 22 2.2.7 Ένδειξη της ταυτότητας και περιορισμός της αναγνώρισης καλούσας και συνδεδεμένης γραμμής... 22 2.2.8 Δεδομένα θέσης εκτός των δεδομένων κίνησης... 22 2.2.9 Εξαιρέσεις... 23 2.2.10 Αυτόματη προώθηση κλήσεων... 23 -iii-

2.2.11 Τηλεφωνικοί κατάλογοι συνδρομητών... 23 2.2.12 Αυτόματες κλήσεις... 23 2.2.13 Τεχνικά χαρακτηριστικά και τυποποίηση... 24 2.2.14 Εφαρμογή ορισμένων διατάξεων της Οδηγίας 95/46/ΕΚ... 24 2.2.15 Μεταβατικές διατάξεις... 25 2.2.16 Μεταφορά στο Εθνικό δίκτυο... 25 2.2.17 Αναθεώρηση... 25 2.3 Η ΟΔΗΓΙΑ 2006/24/ΕΚ... 25 2.3.1 Αντικείμενο και πεδίο εφαρμογής... 27 2.3.2 Υποχρέωση διατήρησης δεδομένων... 27 2.3.3 Πρόσβαση στα δεδομένα... 28 2.3.4 Κατηγορίες διατηρούμενων δεδομένων... 28 2.3.5 Χρονικό διάστημα διατήρησης... 29 2.3.6 Προστασία και ασφάλεια των δεδομένων... 29 2.3.7 Απαιτήσεις αποθήκευσης για τα διατηρούμενα δεδομένα... 30 2.3.8 Στατιστικά στοιχεία... 30 2.3.9 Τροποποίηση της Οδηγίας 2002/58/ΕΚ... 30 2.3.10 Μελλοντικά μέτρα... 30 2.3.11 Ένδικα μέσα, ευθύνη και κυρώσεις... 31 2.3.12 Αξιολόγηση... 31 2.3.13 Μεταφορά... 31 2.4 ΧΑΡΤΗΣ ΤΩΝ ΘΕΜΕΛΙΩΔΩΝ ΔΙΚΑΙΩΜΑΤΩΝ ΤΗΣ ΕΕ... 31 2.5 Η ΑΡΧΗ ΤΗΣ ΑΝΑΛΟΓΙΚΟΤΗΤΑΣ... 32 3 ΤΟ ΕΛΛΗΝΙΚΟ ΝΟΜΙΚΟ ΠΛΑΙΣΙΟ... 34 3.1 Ο ΝΟΜΟΣ 3917/2011... 34 3.2 ΑΡΧΗ ΔΙΑΣΦΑΛΙΣΗΣ ΤΟΥ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ... 38 3.3 ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ... 38 3.4 ΑΝΤΙΔΡΑΣΕΙΣ ΚΑΤΑ ΤΗΝ ΕΝΑΡΜΟΝΙΣΗ ΤΗΣ ΟΔΗΓΙΑΣ 2006/24/ΕΚ ΣΤΟ ΕΘΝΙΚΟ ΔΙΚΑΙΟ ΤΗΣ ΕΛΛΑΔΑ... 38 4 ΤΟ ΝΟΜΙΚΟ ΠΛΑΙΣΙΟ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΧΩΡΩΝ... 40 4.1 ΓΑΛΛΙΑ... 40 4.2 ΙΤΑΛΙΑ... 40 -iv-

4.3 ΗΝΩΜΕΝΟ ΒΑΣΙΛΕΙΟ... 41 4.4 ΓΕΡΜΑΝΙΑ... 41 4.5 ΚΟΙΝΗ ΠΡΟΤΑΣΗ ΓΑΛΛΙΑΣ ΙΡΛΑΝΔΙΑΣ ΣΟΥΗΔΙΑΣ ΗΝΩΜΕΝΟΥ ΒΑΣΙΛΕΙΟΥ... 43 4.6 ΒΟΥΛΓΑΡΙΑ... 43 4.7 ΟΥΓΓΑΡΙΑ... 44 4.8 ΡΟΥΜΑΝΙΑ... 44 4.9 ΚΥΠΡΟΣ... 45 4.10 ΔΗΜΟΚΡΑΤΙΑ ΤΗΣ ΤΣΕΧΙΑΣ... 46 4.11 ΣΛΟΒΑΚΙΑ... 46 4.12 ΣΟΥΗΔΙΑ... 47 4.13 ΠΡΟΔΙΚΑΣΤΙΚΑ ΕΡΩΤΗΜΑΤΑ ΙΡΛΑΝΔΙΑΣ ΚΑΙ ΑΥΣΤΡΙΑΣ... 48 4.14 ΟΙ ΜΗ ΚΥΒΕΡΝΗΤΙΚΕΣ ΟΡΓΑΝΩΣΕΙΣ (ΜΚΟ)... 48 4.15 ΈΚΘΕΣΗ ΑΞΙΟΛΟΓΗΣΗΣ ΤΗΣ ΟΔΗΓΙΑΣ ΓΙΑ ΤΗ ΔΙΑΤΗΡΗΣΗ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΣΥΜΒΟΥΛΙΟ ΚΑΙ ΣΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ (ΟΔΗΓΙΑ 2006/24/EΚ)... 49 4.15.1 Χρονικό διάστημα διατήρησης των δεδομένων... 51 4.15.2 Πρόσβαση στα δεδομένα... 52 4.15.3 Αποφάσεις συνταγματικών δικαστηρίων μελών κρατών σχετικά με νόμους μεταφοράς... 53 4.16 ΥΠΟΘΕΣΕΙΣ ΣΤΗΝ ΕΥΡΩΠΑΪΚΗ ΚΟΙΝΟΤΗΤΑ... 54 4.16.1 Υπόθεση C-301/2006... 54 4.16.2 Υποθέσεις C-293/12 και C-594/12... 56 4.16.3 Ακύρωση Ολλανδικού νόμου για την διατήρηση των δεδομένων... 66 5 ΣΥΜΠΕΡΑΣΜΑΤΑ... 67 6 ΠΑΡΑΠΟΜΠΕΣ... 71 -v-

1 Εισαγωγή Η εξέλιξη της τεχνολογίας 1, εκτός από τα θετικά που προσφέρει, εγκυμονεί πάντα κινδύνους από την κατάχρησή της. Ένας τέτοιος κίνδυνος είναι η αξιοποίηση των επικοινωνιών, για σκοπούς της τρομοκρατίας, η οποία αποτελεί ένα από τα σημαντικότερα προβλήματα του σύγχρονου κόσμου και δεν είναι ούτε καινούργιο, ούτε προσωρινό φαινόμενο. Οι τρομοκρατικές επιθέσεις έχουν αυξηθεί σε όλο τον κόσμο με αποκορύφωμα τις επιθέσεις της 9/11, 11/3 και 7/7. Τα στοιχεία που βρέθηκαν μετά τις επιθέσεις αυτές αποκάλυψαν ότι οι τρομοκράτες χρησιμοποίησαν το Διαδίκτυο για να επικοινωνούν μεταξύ τους και να προετοιμάσουν τα σχέδιά τους. Έτσι, οι κυβερνήσεις όσο και η Ευρωπαϊκή Ένωση, συνειδητοποίησαν τη σημασία των δεδομένων επικοινωνίας για την καταπολέμηση της τρομοκρατίας και άρχισαν να λαμβάνουν μέτρα σχετικά με τη διατήρηση αυτών. [1] Ενώ στο παρελθόν η κατεύθυνση 2 του νομοθέτη ήταν προς την επαύξηση του επιπέδου προστασίας για το άτομο, η πλάστιγγα έγειρε μετά το 2001 αποφασιστικά υπέρ της δημόσιας ασφάλειας. [2] Όλες οι χώρες και ειδικά οι χώρες της Ευρωπαϊκής Ένωσης δεν θα μπορούσαν να μείνουν άπραγες. Τα τελευταία χρόνια γίνονται πολλές προσπάθειες από την Ευρωπαϊκή Ένωση για τη δημιουργία νομοθετικού πλαισίου όσον αφορά την αξιοποίηση των δεδομένων ηλεκτρονικών επικοινωνιών από τις διωκτικές αρχές. Ωστόσο, η δημιουργία ενός σωστού και ικανού νομοθετικού πλαισίου που θα γινόταν αποδεκτό από όλες τις ευρωπαϊκές χώρες, μόνο εύκολο δεν ήταν. Η συζήτηση για την προστασία, χρήση και διατήρηση δεδομένων τηλεπικοινωνιών 3 απασχολεί την Ευρωπαϊκή Ένωση από την δεκαετία του 1990. Η Ευρωπαϊκή Ένωση με 1 T. A. Beydoğan, Does the Data Retention Directive Demonstrate a Proportionate Response to Terrorism, Ankara Law Review Vol. 7 No. 2 (Summer 2010), σελ. 75 2 Α. Τσιφτσόγλου, Η διατήρηση δεδομένων στην Ελληνική Βουλή (Σχόλιο στον Ν.3917/2010), Εφημερίδα Διοικητικού Δικαίου, τόμ. Ανάτυπο, αρ. 1/2011, σελ. 56 3 Β. Σωτηρόπουλος και Ζ. Ταλίδου, Η προληπτική διατήρηση των τηλεπικοινωνιακών δεδομένων για σκοπούς καταπολέμησης του εγκλήματος (Οδηγία 2006/24/ΕΚ), ΔiΜΕΕ 2006, σελ. 185-7-

διάφορες οδηγίες, όπως η 95/46/ΕΚ και η 2002/58/ΕΚ για την προστασία των προσωπικών δεδομένων καθώς και η 2006/24/ΕΚ για τη διατήρηση των δεδομένων έκανε προσπάθεια να καταθέσει ένα νομοθετικό πλαίσιο με απώτερο στόχο την προστασία των πολιτών της. Οι αντιδράσεις ήταν ποικίλες, πολλές από τις οποίες ήταν έντονες και κάθετες σε κάθε σκέψη διατήρησης οποιοδήποτε δεδομένου. [3] Ώθηση στη ρητορική για τη διατήρηση των δεδομένων 4, δημιουργήθηκε μετά από τις τρομοκρατικές επιθέσεις στη Νέα Υόρκη το 2001, τη Μαδρίτη το 2004 και το Λονδίνο το 2005. Συγκεκριμένα ήταν επιτακτική η ανάγκη για θέσπιση μέτρων για την αποτροπή εγκληματικών πράξεων με τη χρήση δεδομένων που αφορούν τη χρήση γενικά των ηλεκτρονικών επικοινωνιών, όπως είναι ειδικότερα, τα δεδομένα κίνησης και θέσης, στα οποία θα έχουν πρόσβαση οι διωκτικές αρχές. [4] Ωστόσο, κατά τη διαδικασία εναρμόνισης των εθνικών νομοθεσιών σημειώθηκαν οξύτατες αντιδράσεις σε πολλά κράτη μέλη τόσο από τους πολίτες που αντέδρασαν μαζικά και δυναμικά όσο και από μη Κυβερνητικές Οργανώσεις που ανέλαβαν συντονισμένες δράσεις κατά της διατήρησης των δεδομένων και των διατάξεων του νέου ρυθμιστικού πλαισίου. [2] Στο κεφάλαιο 2 παρουσιάζεται και αναλύεται το Ευρωπαϊκό Νομικό Πλαίσιο. Πιο συγκεκριμένα, παρουσιάζεται η Οδηγία 95/46/ΕΚ, η Οδηγία 2002/58/ΕΚ καθώς επίσης, η Οδηγία 2006/24/ΕΚ, ο Χάρτης των Θεμελιωδών Δικαιωμάτων και η Αρχή της Αναλογικότητας. Στο κεφάλαιο 3 παρουσιάζεται το Νομικό πλαίσιο της Ελλάδας σε σχέση με τη διατήρηση των δεδομένων στις επικοινωνίες. Πιο συγκεκριμένα η οδηγία 2006/24/ΕΚ μεταφέρθηκε στο ελληνικό δίκαιο με τον ν. 3917/2011, o οποίος προβλέπει τη διατήρηση των τηλεπικοινωνιακών δεδομένων με σκοπό τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων. Επιπρόσθετα παρουσιάζεται η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ), η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και περιγράφεται ο ρόλος τους. Στο κεφάλαιο 4 παρουσιάζεται το Νομικό πλαίσιο των Ευρωπαϊκών χωρών και ποια είναι η θέση τους για τη διατήρηση των δεδομένων στις επικοινωνίες. Πιο συγκεκριμένα γίνεται μια σύντομη αναφορά της θέσης των Ευρωπαϊκών χωρών όσον 4 Ι. Δ. Ιγγλεζάκης, Δίκαιο της Πληροφορικής, Β' επιμ., ΑΘΗΝΑ-ΘΕΣΣΑΛΟΝΙΚΗ, ΕΚΔΟΣΕΙΣ ΣΑΚΚΟΥΛΑ, 2008, σελ. 264-8-

αφορά την επεξεργασία και διατήρηση των δεδομένων, ποιες χώρες έθεσαν προδικαστικά ερωτήματα στο Δικαστήριο της Ευρωπαϊκής Ένωσης καθώς επίσης και ποια είναι η θέση των Μη Κυβερνητικών Οργανώσεων. Επίσης, παρουσιάζονται αποφάσεις υποθέσεων Ευρωπαϊκών χωρών για την επεξεργασία και τη διατήρηση των δεδομένων στις επικοινωνίες καθώς επίσης και αποφάσεις υποθέσεων εταιριών που απευθύνθηκαν στην Αρχή Προστασίας Προσωπικών Δεδομένων. Πριν όμως συνεχίσουμε, θα πρέπει να αναφέρουμε και να αναλύσουμε όρους 56 όπως αναφέρονται στο άρθρο 2 της Οδηγίας 95/46/ΕΚ και στο άρθρο 2 της Οδηγίας 2002/58/ΕΚ που έχουν σχέση με την προστασία προσωπικών δεδομένων και τη διατήρηση αυτών, έτσι ώστε να γίνει πιο κατανοητό το ζήτημα που εξετάζουμε: [5] [6] Δεδομένα Προσωπικού Χαρακτήρα : Κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί -το πρόσωπο στο οποίο αναφέρονται τα δεδομένα-, ως πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί λογίζεται το πρόσωπο εκείνο που μπορεί να προσδιοριστεί, άμεσα ή έμμεσα, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από φυσική, βιολογική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική άποψη. Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα: Με τον όρο «επεξεργασία» εννοείται κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώρηση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η ανακοίνωση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή 5 Σύμφωνα με το Άρθρο 2, Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24 ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. 6 Σύμφωνα με το Άρθρο 2, Οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα της προστασίας της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών. -9-

διάθεσης, η εναρμόνιση ή ο συνδυασμός, καθώς και το κλείδωμα, η διαγραφή ή η καταστροφή. Αρχείο Δεδομένων Προσωπικού Χαρακτήρα: Με τον όρο «αρχείο» εννοείται κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα προσιτών με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση. Υπεύθυνος της Επεξεργασίας: Υπεύθυνος επεξεργασίας θεωρείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που μόνος ή από κοινού με άλλους, καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Όταν οι στόχοι και ο τρόπος της επεξεργασίας καθορίζονται από νομοθετικές ή κανονιστικές διατάξεις, εθνικές ή κοινοτικές, ο υπεύθυνος της επεξεργασίας ή τα ειδικά κριτήρια για τον ορισμό του μπορούν να καθορίζονται από το εθνικό ή το κοινοτικό δίκαιο. Εκτελών την Επεξεργασία: Εκτελών την επεξεργασία θεωρείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας. Τρίτοι: Με τον όρο Τρίτοι νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας, εκτός από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα, ο εκτελών την επεξεργασία καθώς και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία ή για λογαριασμό του υπευθύνου της επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα. -10-

Αποδέκτης: Με τον όρο Αποδέκτης νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή οποιοσδήποτε άλλος φορέας στον οποίο ανακοινώνονται τα δεδομένα, είτε πρόκειται για τρίτο είτε όχι. Ωστόσο, οι αρχές στις οποίες ενδέχεται να ανακοινωθούν δεδομένα στα πλαίσια ειδικής ερευνητικής αποστολής δεν θεωρούνται ως αποδέκτες. Συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα: Κάθε δήλωση βουλήσεως, ελευθέρας, ρητής και εν πλήρη επίγνωση, με την οποία το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Χρήστης: Κάθε φυσικό πρόσωπο που χρησιμοποιεί διαθέσιμη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών, για προσωπικούς ή επαγγελματικούς σκοπούς, χωρίς να είναι απαραίτητα συνδρομητής της εν λόγω υπηρεσίας. Δεδομένα κίνησης: Δεδομένα κίνησης θεωρούνται τα δεδομένα που υποβάλλονται σε επεξεργασία για τους σκοπούς της διαβίβασης μιας επικοινωνίας σε δίκτυο ηλεκτρονικών επικοινωνιών ή της χρέωσής της. Δεδομένα θέσης: Δεδομένα θέσης θεωρούνται τα δεδομένα που υποβάλλονται σε επεξεργασία σε δίκτυο ηλεκτρονικών επικοινωνιών ή από υπηρεσία ηλεκτρονικών επικοινωνιών και που υποδεικνύουν τη γεωγραφική θέση του τερματικού εξοπλισμού του χρήστη μιας διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών. Επικοινωνία: Κάθε πληροφορία που ανταλλάσσεται ή διαβιβάζεται μεταξύ ενός πεπερασμένου αριθμού μερών, μέσω μίας διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών θεωρείται επικοινωνία. Δεν περιλαμβάνονται πληροφορίες που διαβιβάζονται ως τμήμα ραδιοτηλεοπτικών υπηρεσιών στο κοινό μέσω δικτύου -11-

ηλεκτρονικών επικοινωνιών, εκτός από τις περιπτώσεις κατά τις οποίες οι πληροφορίες μπορούν να αφορούν αναγνωρίσιμο συνδρομητή ή χρήστη που τις λαμβάνει. Υπηρεσία Προστιθέμενης Αξίας: Κάθε υπηρεσία η οποία επιβάλλει την επεξεργασία δεδομένων κίνησης ή δεδομένων θέσης πέραν εκείνων που απαιτούνται για τη μετάδοση μιας επικοινωνίας και τη χρέωση της ονομάζεται Υπηρεσία Προστιθέμενης Αξίας. Ηλεκτρονικό Ταχυδρομείο: Ηλεκτρονικό Ταχυδρομείο νοείται κάθε μήνυμα με κείμενο, φωνή με ήχο ή εικόνα που αποστέλλεται μέσω δημοσίου δικτύου επικοινωνιών, το οποίο μπορεί να αποθηκεύεται στο δίκτυο ή στον τερματικό εξοπλισμό του παραλήπτη έως ότου ληφθεί από τον παραλήπτη. Παραβίαση Προσωπικών Δεδομένων: Η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ άδειας κοινολόγηση ή προσπέλαση προσωπικών δεδομένων που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ άλλο τρόπο σε επεξεργασία, σε συνδυασμό με την παροχή διαθέσιμης στο κοινό ηλεκτρονικής υπηρεσίας επικοινωνιών στην Κοινότητα ονομάζεται Παραβίαση Προσωπικών Δεδομένων. Δεδομένα: Με τον όρο δεδομένα νοούνται τα δεδομένα κίνησης και θέσης και τα συναφή δεδομένα που είναι αναγκαία για την αναγνώριση του συνδρομητή ή χρήστη. Χρήστης: Κάθε νομική οντότητα ή φυσικό πρόσωπο που χρησιμοποιεί διαθέσιμη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών, για ιδιωτικούς ή εμπορικούς σκοπούς χωρίς απαραίτητα να είναι συνδρομητής της εν λόγω υπηρεσίας ονομάζεται Χρήστης. -12-

Τηλεφωνική υπηρεσία: Με τον όρο τηλεφωνική υπηρεσία νοούνται οι κλήσεις (συμπεριλαμβανομένων των φωνητικών μηχανημάτων, του φωνητικού τηλεταχυδρομείου, των τηλεδιασκέψεων και της τηλεφωνικής μεταφοράς δεδομένων), συμπληρωματικές υπηρεσίες (συμπεριλαμβανομένης της προώθησης και της εκτροπής κλήσεων), υπηρεσίες μηνυμάτων και πολυμέσων (συμπεριλαμβανομένων των υπηρεσιών γραπτών μηνυμάτων, ενισχυμένων μέσων και πολυμέσων). Κωδικός ταυτότητας χρήστη: Ο μοναδικός αναγνωριστικός κωδικός που αποδίδεται σε κάθε άνθρωπο όταν καθίσταται συνδρομητής ή εγγράφεται σε κάποια υπηρεσία πρόσβασης στο Διαδίκτυο ή επικοινωνίας μέσω του Διαδικτύου ονομάζεται κωδικός ταυτότητας χρήστη. Κωδικός ταυτότητας κυψέλης: Η ταυτότητα του κυψελοειδούς κυττάρου από το οποίο ξεκινά ή στο οποίο καταλήγει συγκεκριμένη κλήση κινητής τηλεφωνίας ονομάζεται κωδικός ταυτότητας κυψέλης. Ανεπιτυχής κλήση: Κλήση κατά την οποία επιτυγχάνεται μεν σύνδεση με τον αριθμό προορισμού, ή κλήση που παραμένει αναπάντητη ή σημειώνεται επέμβαση της διαχείρισης του δικτύου ονομάζεται ανεπιτυχής κλήση. -13-

2 Το Ευρωπαϊκό Νομικό Πλαίσιο Στο κεφάλαιο αυτό παρουσιάζονται οι Ευρωπαϊκές Οδηγίες που αφορούν την προστασία και διατήρηση δεδομένων. Πιο συγκεκριμένα παρουσιάζεται η Οδηγία 95/46/ΕΚ, η Οδηγία 2002/58/ΕΚ καθώς επίσης και η Οδηγία 2006/24/ΕΚ. Η Οδηγία 95/46/ΕΚ αφορά την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών. Η Οδηγία 2002/58/ΕΚ συμπληρώνει την Οδηγία 95/46/ΕΚ όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών και η οδηγία 2006/24/ΕΚ ρυθμίζει τη διατήρηση δεδομένων ηλεκτρονικών επικοινωνιών για τους σκοπούς της διερεύνησης, διαπίστωσης και δίωξης σοβαρών ποινικών αδικημάτων. Ωστόσο, όπως θα δούμε στη συνέχεια, στις 8 Απριλίου 2014 το Δικαστήριο της ΕΕ έκρινε άκυρη την οδηγία 2006/24/ΕΚ για τη διατήρηση δεδομένων, καθώς δέχθηκε πως παραβιάζει τα θεμελιώδη δικαιώματα της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα. Στον ίδιο προσανατολισμό, αναλύονται ο Χάρτης των θεμελιωδών δικαιωμάτων της Ευρωπαϊκής Ένωσης καθώς και η Αρχή της αναλογικότητας. 2.1 Η Οδηγία 95/46/ΕΚ Το Ευρωπαϊκό Κοινοβούλιο, εξέδωσε την οδηγία για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, με το σκεπτικό ότι: [5] Στόχος της Ευρωπαϊκής Κοινότητας είναι η ανάπτυξη στενότερων σχέσεων μεταξύ των Ευρωπαϊκών λαών, μέσω μιας κοινής προσπάθειας, οικονομική και κοινωνική πρόοδο χωρίς φραγμούς, καλύτερη διαβίωση των λαών, εδραίωση της ειρήνης, της ελευθερίας και προώθηση της Δημοκρατίας. Τα συστήματα επεξεργασίας δεδομένων θα πρέπει να υπηρετούν τον άνθρωπο, να σέβονται τις ελευθερίες και τα δικαιώματά τους. Η προσφυγή στην επεξεργασία των δεδομένων, έχοντας και την βοήθεια της πληροφορικής, γίνονται όλο και πιο συχνή. Υπάρχει αισθητή αύξηση διασυνοριακής ροής δεδομένων, προσωπικών δεδομένων μεταξύ όλων των εμπλεκόμενων (Ιδιώτες ή Δημόσιο). Οι διοικήσεις των κρατών καλούνται να συνεργαστούν και να ανταλλάξουν -14-

δεδομένα προσωπικού χαρακτήρα προκειμένου να εκπληρώσουν την αποστολή τους, εισάγοντας νέα δίκτυα τηλεπικοινωνιών στην Κοινότητα. Οι διαφορές που υπάρχουν στα κράτη μέλη εμποδίζουν την ασφαλή διαβίβαση των δεδομένων τους. Για την εξάλειψη των εμποδίων αυτών πρέπει να υπάρχει ίσος βαθμός προστασίας των δικαιωμάτων και ελευθεριών του ατόμου έναντι στην επεξεργασία των δεδομένων σε όλα τα κράτη μέλη, έτσι ώστε η διακίνηση των δεδομένων να μην εμποδίζεται και να γίνεται πιο εύκολα (παράγραφος 1 9). Ο στόχος των εθνικών νομοθεσιών είναι η προστασία των θεμελιωδών δικαιωμάτων και της ιδιωτικής ζωής. Η προσέγγισή τους δεν πρέπει να εξασθενήσει την προστασία των λαών. Οι αρχές προστασίας θα πρέπει να εφαρμόζονται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η επεξεργασία δεδομένων καλύπτει μόνο τα δεδομένα τα οποία έχουν συγκεκριμένη δομή και επεξεργάζονται με αυτοματοποιημένο τρόπο (παράγραφος 10 15). Έχοντας υπόψη τα παραπάνω, η ΕΕ εξέδωσε την Οδηγία 95/46/ΕΚ της 24ης Οκτωβρίου 1995 που αναλύεται παρακάτω. 2.1.1 Γενικές Διατάξεις Ο στόχος της οδηγίας είναι η εξασφάλιση της προστασίας των θεμελιωδών ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων καθώς και ότι τα κράτη μέλη δεν μπορούν να απαγορεύσουν την ελεύθερη μετακίνηση των δεδομένων μεταξύ αυτών. (Άρθρο 1). Η επεξεργασία, όλη ή μερική, μπορεί να είναι αυτοματοποιημένη ή μη. Η επεξεργασία δεν ισχύει για δεδομένα προσωπικού χαρακτήρα, η οποία πραγματοποιείται για λόγους εθνικής ασφάλειας, εθνικής άμυνας, ασφάλειας του κράτους καθώς επίσης και όταν η επεξεργασία πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο προσωπικών ή οικιακών δραστηριοτήτων (Άρθρο 3). Το κάθε κράτος μέλος της Ευρωπαϊκής Κοινότητας εφαρμόζει την εθνική του νομοθεσία δυνάμει της οδηγίας εφόσον η επεξεργασία εκτελείται από υπεύθυνο σε έδαφος του κράτους μέλους ή σε έδαφος όπου εφαρμόζεται η εθνική νομοθεσία. (Άρθρο 4) -15-

2.1.2 Γενικές προϋποθέσεις σχετικά με τη θεμιτή επεξεργασία δεδομένων προσωπικού χαρακτήρα Τα κράτη μέλη προβλέπουν ότι τα δεδομένα προσωπικού χαρακτήρα υφίστανται σύννομη και θεμιτή επεξεργασία, να συλλέγονται για συγκεκριμένο σκοπό και να είναι κατάλληλα και συναφή για τον σκοπό που συλλέγονται. Μπορούν να ενημερώνονται εφόσον ληφθούν όλα τα αναγκαία μέτρα και να διατηρούνται με τέτοιο τρόπο έτσι ώστε να επιτρέπει τον προσδιορισμό της ταυτότητας των προσώπων για την περίοδο που έχουν συλλεχθεί. (Άρθρο 6). Όλα τα δεδομένα που συλλέγονται θα πρέπει να έχουν την συγκατάθεση του ατόμου που αφορούν. Είναι απαραίτητη η διαφύλαξη των προσωπικών δεδομένων και η προστασία του ατόμου από τον υπεύθυνο επεξεργασίας καθώς και από τρίτους στους οποίους ανακοινώνονται τα δεδομένα. (Άρθρο 7). Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτός και αν το πρόσωπο έχει δώσει την συγκατάθεσή του και στο βαθμό που το επιτρέπει η εθνική νομοθεσία. Η επεξεργασία πραγματοποιείται από Ίδρυμα, σωματείο ή άλλο μη κερδοσκοπικό φορέα ο οποίος επιδιώκει πολιτικούς, φιλοσοφικούς, θρησκευτικούς ή συνδικαλιστικούς σκοπούς. Τα παραπάνω δεν ισχύουν για ιατρικούς σκοπούς που έχουν ως σκοπό την πρόληψη, διάγνωση, παροχή ιατροφαρμακευτικής αγωγής. Η επεξεργασία για ιατρικούς σκοπούς πραγματοποιείται μόνο από κατ επάγγελμα θεράποντα της υγείας, ο οποίος διακατέχεται από το επαγγελματικό απόρρητο. Η επεξεργασία δεδομένων που αφορούν δικαστικά θέματα ή μέτρα ασφαλείας και ειδικά του ποινικού μητρώου επιτρέπεται μόνο από τον έλεγχο δημόσιας αρχής. (Άρθρο 8). Το ενδιαφερόμενο πρόσωπο, για το οποίο γίνεται η επεξεργασία δεδομένων, έχει το δικαίωμα να ενημερωθεί για το ποιος κάνει την επεξεργασία, για τον σκοπό συλλογής τους, τους αποδέκτες των αποτελεσμάτων καθώς και αν είναι υποχρεωτική ή μη η παροχή τους για επεξεργασία. (Άρθρο 10, 11). Στην περίπτωση που τα πρόσωπα, στα οποία αναφέρονται τα δεδομένα, ζητήσουν να λάβουν γνώση για τα δεδομένα, όσον αφορά τον σκοπό, τις κατηγορίες δεδομένων, καθώς και άλλες πληροφορίες σχετικά με αυτά, υπάρχει η αντίστοιχη εγγύηση χορήγησής τους σε εύλογο χρονικό διάστημα και χωρίς χρέωση. (Άρθρο 12). Δεν υπάρχει υποχρέωση να παρασχεθούν τα παραπάνω, στην περίπτωση που τίθενται θέματα ασφάλειας του κράτους, άμυνας, δημόσιας ασφάλειας, σε ειδικές περιπτώσεις νομοθεσίας, οικονομικά συμφέροντα κρατών, σε ειδικές περιπτώσεις άσκησης -16-

δημόσιας εξουσίας καθώς και για την προστασία του προσώπου που αναφέρονται τα δεδομένα. (Άρθρο 13). Το πρόσωπο για το οποίο αποθηκεύονται τα δεδομένα μπορεί να επικαλεστεί επιτακτικούς και νόμιμους λόγους και να αντιταθεί στην συλλογή τους. (Άρθρο 14). Το πρόσωπο έχει το δικαίωμα να μην συμμορφωθεί στα νομικά αποτελέσματα που παράγονται από την αυτοματοποιημένη επεξεργασία των δεδομένων εκτός εάν έχει σύμβαση που προβλέπει τα παραπάνω ή εάν καθορίζεται από νομοθετική διάταξη. (Άρθρο 15) Ισχύει το απόρρητο της επεξεργασίας. (Άρθρο 16). Ο υπεύθυνος της επεξεργασίας έχει υποχρέωση να λάβει όλα τα τεχνικά και οργανωτικά μέτρα για την προστασία από οποιαδήποτε μορφής αλλοίωσης, απώλειας και αθέμιτης επεξεργασίας από τρίτους. (Άρθρο 17). Ο υπεύθυνος επεξεργασίας δεδομένων έχει υποχρέωση να κοινοποιεί στη δημόσια αρχή ελέγχου πριν από την εκτέλεση της επεξεργασίας την αιτιολογία επεξεργασίας των δεδομένων. (Άρθρο 18). Η κοινοποίηση περιέχει όνομα και διεύθυνση του υπεύθυνου της επεξεργασίας, τον σκοπό, την κατηγορία των προσώπων, τους αποδέκτες, την περίπτωση διαβίβασης σε τρίτες χώρες. (Άρθρο 19). Γίνονται έλεγχοι από την Αρχή όσον αφορά τον τρόπο της επεξεργασίας πριν γίνει η επεξεργασία. (Άρθρο 20). Λαμβάνονται μέτρα και τηρείται μητρώο επεξεργασίας δεδομένων από την Αρχή ελέγχου. (Άρθρο 21). 2.1.3 Ένδικα μέσα, ευθύνη και κυρώσεις Κάθε άτομο έχει δικαίωμα να προσφύγει ενώπιον του δικαστηρίου σε περίπτωση που παραβιασθούν τα προσωπικά του δεδομένα. (Άρθρο 22). Επίσης έχει το δικαίωμα να ζητήσει την αποκατάστασης της ζημιάς που προκύπτει από διαρροή δεδομένων. (Άρθρο 23). Τα κράτη μέλη λαμβάνουν όλα τα μέτρα για την εφαρμογή της οδηγίας. (Άρθρο 24) -17-

2.1.4 Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες Η διαβίβαση δεδομένων σε τρίτες χώρες επιτρέπεται μόνο εάν προβλέπεται από τις εθνικές διατάξεις. Λαμβάνεται υπόψη η προστασία δεδομένων της τρίτης χώρας. Γίνεται ενημέρωση και λαμβάνονται όλα τα μέτρα από τα κράτη μέλη σε περίπτωση που η Τρίτη χώρα δεν τηρεί ικανοποιητικό επίπεδο προστασίας των προσωπικών δεδομένων. Τα δεδομένα δεν διαβιβάζονται εάν δεν λυθεί η προστασία των δεδομένων. (Άρθρο 25) Κατά παρέκκλιση του προηγούμενου άρθρου, μπορούν να διαβιβασθούν σε Τρίτη χώρα, ανεξάρτητα εάν εξασφαλίζεται η προστασία η όχι των δεδομένων, εφόσον το πρόσωπο έχει συναινέσει, σε ειδικές περιπτώσεις συμβάσεων του προσώπου, για σημαντικό δημόσιο συμφέρον, για την διασφάλιση ζωτικού συμφέροντος στο οποίο αναφέρονται τα δεδομένα. (Άρθρο 26) 2.1.5 Κώδικες δεοντολογίας Προβλέπεται η ενθάρρυνση των επαγγελματικών σωματείων και λοιπών οργανώσεων για την εκπόνηση κωδικών δεοντολογίας που αποσκοπούν και θα συμβάλλουν στην καλύτερη εναρμόνιση της οδηγίας με την εθνική νομοθεσία. (Άρθρο 27) 2.1.6 Αρχή ελέγχου και ομάδα για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα Σε κάθε κράτος μέλος προβλέπεται η δημιουργία δημόσιας ανεξάρτητης εποπτικής Αρχής η οποία έχει ως ευθύνη τον έλεγχο τήρησης της εθνικής νομοθεσίας στην επεξεργασία δεδομένων. (Άρθρο 28) Συνίσταται ομάδα προστασίας προσώπων δεδομένων προσωπικού χαρακτήρα, η οποία είναι ανεξάρτητη και έχει συμβουλευτικό χαρακτήρα. (Άρθρο 29) Η Ομάδα έχει ως σκοπό την εφαρμογή της κοινοτικής οδηγίας, να παρέχει στην Επιτροπή τη γνώμη της σε επίπεδα προστασίας, να τη συμβουλεύει για επιπρόσθετα μέτρα όπου κρίνει αναγκαία, να την ενημερώνει σε περίπτωση αποκλίσεων της νομοθεσίας των μελών κρατών με την οδηγία και να εκδίδει συστάσεις για καλύτερη εφαρμογή της προστασίας επεξεργασίας δεδομένων. (Άρθρο 30) -18-

2.1.7 Κοινοτικά μέτρα εκτέλεσης Η Επιτροπή απαρτίζεται από εκπροσώπους των κρατών μελών και έχει ως σκοπό να λαμβάνει μέτρα, σχετικά με προβλήματα που εμφανίζονται, τα οποία εφαρμόζονται αμέσως. (Άρθρο 31) 2.1.8 Τελικές διατάξεις Τα κράτη μέλη έχουν υποχρέωση να εναρμονίσουν την οδηγία στην εθνική νομοθεσία τους μέχρι την 24 Οκτωβρίου 1998. Όσες επεξεργασίες έχουν ήδη ξεκινήσει θα εφαρμοστεί και σε αυτές η νομοθεσία. (Άρθρο 32) Η Επιτροπή έχει υποχρέωση μέχρι την παραπάνω ημερομηνία να υποβάλλει έκθεση στο Ευρωπαϊκό κοινοβούλιο και Συμβούλιο σχετικά με την εφαρμογή της οδηγίας. Επίσης θα πρέπει να γίνει εξέταση ως προς την εφαρμογή της οδηγίας στην επεξεργασία ήχου και εικόνας φυσικών προσώπων. (Άρθρο 33) 2.2 Η Οδηγία 2002/58/ΕΚ Το Ευρωπαϊκό Κοινοβούλιο έχοντας υπόψη την Οδηγία 95/46/ΕΚ καθώς και την ανάγκη να διορθώσει και να συμπληρώσει τη νομοθεσία όσον αφορά την προστασία των προσώπων από την επεξεργασία δεδομένων ηλεκτρονικών επικοινωνιών, εκτίμησε ότι : [6] Η Οδηγία 95/46/ΕΚ επιβάλλει ήδη στα κράτη μέλη την υποχρέωση να διασφαλίζουν τα δικαιώματα και την ελευθερία των προσώπων από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και ειδικά της ιδιωτικής ζωής. Σκοπός είναι να διασφαλιστούν τα θεμελιώδη δικαιώματα που αναγνωρίζονται από τον Χάρτη Θεμελιωδών Δικαιωμάτων. Το απόρρητο των επικοινωνιών κατοχυρώνεται από τις διεθνείς πράξεις για τα ανθρώπινα δικαιώματα. Η Οδηγία 97/66/ΕΚ που εκδόθηκε έδωσε στις Αρχές (Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών και Αρχή Προστασίας Προσωπικών Δεδομένων) τους κατάλληλους κανόνες για την διαχείριση θεμάτων προστασίας στις τηλεπικοινωνίες. Η Οδηγία 97/66/ΕΚ θα αντικατασταθεί από την παρούσα (2002/58/ΕΚ). Η είσοδος νέων τεχνολογιών στα δημόσια δίκτυα επικοινωνιών δημιουργούν ειδικές απαιτήσεις προστασίας των δεδομένων προσωπικού χαρακτήρα. Η παροχή μεγάλου φάσματος υπηρεσιών του διαδικτύου δημιουργούν νέους κινδύνους για την ασφάλεια αυτών. Για τον παραπάνω λόγο και σε ένα δημόσιο δίκτυο ήταν απαραίτητο να θεσπιστεί νέα νομοθεσία που να προβλέπει την προστασία των -19-

δεδομένων από την αυξανόμενη δυνατότητα αυτόματης αποθήκευσης και επεξεργασίας. Η νομοθεσία των μελών κρατών θα πρέπει να εναρμονιστεί με τέτοιο τρόπο έτσι ώστε να μην εμποδίζεται η προαγωγή και η ανάπτυξη νέων υπηρεσιών. Στην ανάπτυξη και εγκατάσταση των νέων τεχνολογιών θα πρέπει να υπάρχει συνεργασία μεταξύ ενδιαφερόμενων προμηθευτών, χρηστών και κοινοτικών οργανισμών όπου είναι απαραίτητο. Η παρούσα Οδηγία δεν θα πρέπει να θίγει την δυνατότητα παρακολούθησης ηλεκτρονικών επικοινωνιών όταν αυτό είναι αναγκαίο. Τα μέτρα θα πρέπει να είναι όμως ανάλογα για την διασφάλιση και την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών. (παράγραφος 1-12) Έχοντας υπόψη τα παραπάνω, η ΕΕ εξέδωσε την Οδηγία 2002/58/ΕΚ της 12ης Ιουλίου 2002 που αναλύεται παρακάτω. 2.2.1 Πεδίο εφαρμογής και στόχος Η Οδηγία προβλέπει στην εναρμόνιση των εθνικών διατάξεων και διασφαλίζει ισοδύναμο επίπεδο προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών της ιδιωτικής ζωής, της επεξεργασίας προσωπικών δεδομένων καθώς και την διασφάλιση της ελεύθερης κυκλοφορίας (Άρθρο 1, αντικαταστάθηκε σύμφωνα με την Οδηγία 2009/136/ΕΚ). 2.2.2 Σχετικές Υπηρεσίες Η Οδηγία εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα σε υπηρεσίες ηλεκτρονικών επικοινωνιών συμπεριλαμβανομένων των δημοσίων δικτύων. (Άρθρο 3, αντικαταστάθηκε βάση της Οδηγίας 2009/136/ΕΚ) 2.2.3 Ασφάλεια της Επεξεργασίας Τα μέτρα θα πρέπει να εξασφαλίζουν την πρόσβαση σε προσωπικά δεδομένα από εξουσιοδοτημένο προσωπικό. Επίσης, η αποθήκευση και διαβίβαση των δεδομένων αυτών θα πρέπει να προστατεύονται από τυχαία ή παράνομη καταστροφή ή απώλεια ή αλλοίωση, καθώς και από παράνομη αποθήκευση, επεξεργασία, πρόσβαση ή αποκάλυψη. Επιπρόσθετα, διασφαλίζουν την πολιτική ασφαλείας όσον αφορά την επεξεργασία. Οι αρμόδιες Αρχές θα πρέπει να ελέγχουν τα μέτρα ασφαλείας και να εκδίδουν συστάσεις σχετικά με πρακτικές ασφαλείας. Ο Φορέας παροχής υπηρεσιών θα πρέπει να λαμβάνει τα τεχνικά και οργανωτικά μέτρα για την προστασία των υπηρεσιών του, τα οποία μέτρα πρέπει να είναι ανάλογα των -20-

απειλών σήμερα. Σε περίπτωση κινδύνου παραβίασης της ασφάλειας του δικτύου θα πρέπει να υπάρχει ανάλογη ενημέρωση από τον Φορέα. Σε περίπτωση παραβίασης ο πάροχος έχει υποχρέωση, χωρίς καθυστέρηση, να γνωστοποιήσει στην αρμόδια Αρχή την παραβίαση. Στην περίπτωση που η παραβίαση των προσωπικών δεδομένων μπορεί να έχει επίπτωση στην ιδιωτική ζωή ενός ατόμου, θα πρέπει να ενημερωθεί και ο ενδιαφερόμενος. Οι αρμόδιες Αρχές μπορούν να καθορίζουν κατευθυντήριες γραμμές καθώς και να εκδίδουν οδηγίες σχετικά με την περίπτωση ανάγκης του παρόχου να γνωστοποιεί την παραβίαση. Επίσης μπορούν να παρακολουθούν εάν οι πάροχοι πληρούν αυτές τις υποχρεώσεις. Επίσης οι πάροχοι έχουν υποχρέωση να τηρούν αρχείο παραβιάσεων και να το γνωστοποιούν στις αρμόδιες Αρχές. Για την εφαρμογή των παραπάνω μέτρων μπορεί να γίνει διαβούλευση με τον Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), με την Ομάδα εργασίας για την προστασία των ατόμων κατά την επεξεργασία δεδομένων (συστάθηκε με το άρθρο 29 της Οδηγίας 95/46/ΕΚ) και με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Η επιτροπή εξασφαλίζει με τη θέσπιση αυτών των μέτρων, την συμμετοχή όλων των άμεσα ενδιαφερόμενων καθώς και την ενημέρωσή τους για τα σχετικά βέλτιστα τεχνικά μέτρα και οικονομικά μέσα. (Άρθρο 4, Αντικαταστάθηκε βάση της Οδηγίας 2009/136/ΕΚ) 2.2.4 Απόρρητο των Επικοινωνιών Τα κράτη μέλη, μέσω της εθνικής τους νομοθεσίας, κατοχυρώνουν το απόρρητο των επικοινωνιών μέσω του δημοσίου δικτύου και των διαθέσιμων ηλεκτρονικών επικοινωνιών. Απαγορεύουν την ακρόαση, υποκλοπή, αποθήκευση, κάθε είδους παρακολούθησης και επιτήρησης, χωρίς την συγκατάθεση των ενδιαφερομένων χρηστών, εκτός και αν υπάρχει η σχετική άδεια. Επιτρέπεται η αποθήκευση η οποία είναι αναγκαία για την διαβίβαση της επικοινωνίας καθώς και επίσης η αποθήκευση στοιχείων που επιτρέπουν την απόδειξη εμπορικής συναλλαγής. Η αποθήκευση πληροφοριών και η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες, με μέριμνα των κρατών μελών, επιτρέπεται μόνο με την συγκατάθεση των συνδρομητών. (Άρθρο 5, Αντικαταστάθηκε βάση της Οδηγίας 2009/136/ΕΚ) -21-

2.2.5 Δεδομένα κίνησης Τα δεδομένα κίνησης που χρειάζονται για τον σκοπό μετάδοσης της επικοινωνίας, πρέπει να απαλείφονται όταν δεν είναι πλέον αναγκαία. Τα δεδομένα κίνησης που είναι αναγκαία για την πληρωμή των συνδιαλέξεων επιτρέπεται μέχρι την χρονική περίοδο επιδίωξης της πληρωμής. Εφόσον υπάρχει συγκατάθεση από τους συνδρομητές μπορεί να συνεχιστεί η επεξεργασία δεδομένων για την εμπορική προώθηση των υπηρεσιών ηλεκτρονικών επικοινωνιών. Ο φορέας παροχής υπηρεσιών πρέπει να ενημερώνει τον συνδρομητή για τα δεδομένα που πρόκειται να επεξεργαστούν. Η επεξεργασία δεδομένων πρέπει να περιορίζεται σε πρόσωπα που είναι υπό την εποπτεία του φορέα. (Άρθρο 6, Αντικαταστάθηκε βάση της Οδηγίας 2009/136/ΕΚ) 2.2.6 Αναλυτική χρέωση Οι συνδρομητές έχουν το δικαίωμα να δέχονται μη αναλυτικούς λογαριασμούς. Οι διατάξεις των καρτών μελών δίνουν το δικαίωμα της προστασίας της ιδιωτικής ζωής δίνοντας τους την δυνατότητα επιλογής εναλλακτικών τρόπων επικοινωνίας και πληρωμής. (Άρθρο 7) 2.2.7 Ένδειξη της ταυτότητας και περιορισμός της αναγνώρισης καλούσας και συνδεδεμένης γραμμής Ο πάροχος έχει υποχρέωση να δίνει την δυνατότητα στο χρήστη ανά κλήση, να καλεί χωρίς ένδειξη της ταυτότητας του με απλά μέσα και ατελώς. Αυτός που καλείται έχει την δυνατότητα απόρριψης της γραμμής με απλό τρόπο. Τα παραπάνω ισχύουν και για Τρίτες χώρες. (Άρθρο 8) 2.2.8 Δεδομένα θέσης εκτός των δεδομένων κίνησης Η επεξεργασία δεδομένων θέσης, επιτρέπεται μόνο όταν αυτά είναι ανώνυμα και με την συγκατάθεση των χρηστών. Ο πάροχος έχει υποχρέωση να ενημερώσει τον συνδρομητή σχετικά με τον τύπο των δεδομένων που θα αποθηκευτούν και θα επεξεργαστούν καθώς και για τον σκοπό που θα χρησιμοποιηθούν. Ο συνδρομητής θα πρέπει να έχει την δυνατότητα ανάκλησης αυτής της επεξεργασίας δεδομένων θέσης οποιαδήποτε στιγμή και χωρίς κόστος. Η επεξεργασία δεδομένων θέσης πρέπει να περιορίζεται στα απολύτως απαραίτητα. (Άρθρο 9) -22-

2.2.9 Εξαιρέσεις Τα κράτη μέλη εξασφαλίζουν διαφανείς διαδικασίες με τις οποίες ο φορέας παροχής δημοσίου δικτύου μπορεί να απαλείφει τη δυνατότητα μη αναγραφής της καλούσας γραμμής έπειτα από αίτημα του συνδρομητή. Τα δεδομένα παρόλο αυτά αποθηκεύονται και είναι διαθέσιμα. Επίσης μπορεί να απαλείψει την δυνατότητα ένδειξης της ταυτότητας της καλούσας γραμμής και την προσωρινή άρνηση ανεξάρτητα εάν αρνήθηκε ο συνδρομητής κατά την περίπτωση κλήσεων έκτακτης ανάγκης, όπως διωκτικές αρχές, υπηρεσίες πρώτων βοηθειών και της πυροσβεστικής. (Άρθρο 10) 2.2.10 Αυτόματη προώθηση κλήσεων Ο συνδρομητής πρέπει να έχει τη δυνατότητα με απλά μέσα και τεχνικές να σταματά την αυτόματη προώθηση κλήσεων από τρίτους. (Άρθρο 11) 2.2.11 Τηλεφωνικοί κατάλογοι συνδρομητών Οι συνδρομητές πρέπει να ενημερώνονται ατελώς για την περίπτωση που θα συμπεριληφθούν στον τηλεφωνικό κατάλογο, ο οποίος είναι διαθέσιμος στο κοινό, κατά την οποία θα περιλαμβάνονται τα προσωπικά τους δεδομένα. Είναι στην ευχέρεια των συνδρομητών να καθορίζουν εάν και ποια δεδομένα θέλουν να συμπεριληφθούν στους καταλόγους. Δίνεται η δυνατότητα της μη εγγραφής, της επαλήθευσης, της διόρθωσης καθώς και της απόσυρσης των δεδομένων. Όλα αυτά γίνονται ατελώς. Πρέπει να υπάρχει πρόσθετη συγκατάθεση, κατά την κρίση των κρατών μελών, για οποιοδήποτε άλλο σκοπό του καταλόγου. Όλα τα παραπάνω αφορούν φυσικά πρόσωπα. Όσοι συνδρομητές δεν είναι φυσικά πρόσωπα, θα πρέπει να προστατεύονται επαρκώς από την αναγραφή των στοιχείων τους στου δημόσιους καταλόγους. (Άρθρο 12) 2.2.12 Αυτόματες κλήσεις Η χρήση αυτόματων κλήσεων (συσκευές αυτόματων κλήσεων, φαξ κλπ) για εμπορικούς σκοπούς επιτρέπεται μόνο με προηγούμενη συγκατάθεση των συνδρομητών. Ανεξάρτητα από τα παραπάνω, επιτρέπεται η εμπορική προώθηση προϊόντος μέσω ηλεκτρονικού ταχυδρομείου, όταν ένα φυσικό ή νομικό πρόσωπο αποκτά τα στοιχεία -23-

από τους πελάτες του. Φυσικά οι πελάτες μπορούν να αντιτάσσονται σε αυτή τη συλλογή και χρήση. Τα κράτη μέλη πρέπει να λαμβάνουν μέτρα για την ισχύ των παραπάνω. Καθορίζονται βάση της εθνικής νομοθεσίας. Το φυσικό ή νομικό πρόσωπο έχει την δυνατότητα να προσβάλλει την αποστολή μηνυμάτων εμπορικής διαφήμισης ενώπιων των δικαστηρίων. Τα κράτη μέλη μπορούν να θεσπίσουν ειδικούς κανόνες και κυρώσεις. (Άρθρο 13, αντικαταστάθηκε βάση της Οδηγίας 2009/136/ΕΚ) 2.2.13 Τεχνικά χαρακτηριστικά και τυποποίηση Δεν υπάρχει υποχρέωση για ειδικά τεχνικά χαρακτηριστικά στις τερματικές συσκευές ή άλλο εξοπλισμό ηλεκτρονικών επικοινωνιών. Σε περίπτωση που κρίνεται αναγκαία η χρήση ειδικών τεχνικών σε δίκτυα ηλεκτρονικών επικοινωνιών θα πρέπει να υπάρξει πληροφόρηση της επιτροπής του Ευρωπαϊκού Κοινοβουλίου σύμφωνα με την Οδηγία 98/34/ΕΚ. Κατά περίπτωση, μπορεί να χρησιμοποιηθεί τεχνικός εξοπλισμός ο οποίος θα είναι κατασκευασμένος με τρόπο που δεν θα θίγει τα δικαιώματα των χρηστών. (Άρθρο 14) 2.2.14 Εφαρμογή ορισμένων διατάξεων της Οδηγίας 95/46/ΕΚ Τα κράτη μέλη έχουν τη δυνατότητα να διασφαλίσουν την εθνική ασφάλεια, την εθνική άμυνα, τη δημόσια ασφάλεια καθώς και τη διερεύνηση, διαπίστωση και δίωξη ποινικών αδικημάτων, λαμβάνοντας νομοθετικά μέτρα που να προβλέπουν την φύλαξη των δεδομένων για ορισμένο χρονικό διάστημα. Κατόπιν αιτήματος των αρχών ο πάροχος με εσωτερικές διαδικασίες παρέχει της αιτούμενες πληροφορίες. Τα κράτη μέλη καθορίζουν σύστημα κυρώσεων που επιβάλλονται σε παραβιάσεις των εθνικών διατάξεων. Οι ποινές πρέπει να είναι αποτελεσματικές, αναλογικές και αποτρεπτικές. Η αρμόδια Αρχή πρέπει να έχει τη δύναμη καθώς και τις ελεγκτικές εξουσίες και μέσα, έτσι ώστε να μπορεί να παρακολουθεί, να επιβάλλει κυρώσεις και να διακόψει των τερματισμό των παραβάσεων που τελούνται. Οι αρμόδιες κανονιστικές Αρχές μπορούν να λαμβάνουν μέτρα για την παροχή υπηρεσιών σε διασυνοριακές ροές δεδομένων. Οι Αρχές παρέχουν στην Επιτροπή στοιχεία για την δράση τους. Η Επιτροπή μπορεί, εάν κριθεί αναγκαίο, να έλθει σε διαβούλευση με το Ευρωπαϊκό δίκτυο και τον Οργανισμό Ασφάλειας και Πληροφοριών (ENISA). Οι εθνικές κανονιστικές Αρχές όταν λαμβάνουν μέτρα, λαμβάνουν υπόψη στο μέγιστο τις -24-

παρατηρήσεις ή τις συστάσεις της Επιτροπής. (Άρθρο 15, προστέθηκε βάση της Οδηγίας 2009/136/ΕΚ) 2.2.15 Μεταβατικές διατάξεις Ότι αναφέρθηκε στην παράγραφο 2.2.11 δεν ισχύει για τους έντυπους καταλόγους που υπάρχουν ήδη. Τα υπόλοιπα δεδομένα που υπάρχουν ήδη, σύμφωνα με τις διατάξεις τις Οδηγίας 95/46/ΕΚ και του άρθρου 97/66/ΕΚ μπορούν να εξακολουθούν να υπάρχουν εκτός και εάν οι συνδρομητές ζητήσουν το αντίθετο. (Άρθρο 16) 2.2.16 Μεταφορά στο Εθνικό δίκτυο Τα κράτη μέλη οφείλουν να συμμορφωθούν με την παρούσα μέχρι την 31 Οκτωβρίου 2003. Έχουν υποχρέωση να ενημερώσουν στην Επιτροπή τις διατάξεις του εσωτερικού δικαίου που θεσπίζουν στον τομέα που διέπεται από την παρούσα οδηγία. (Άρθρο 17) 2.2.17 Αναθεώρηση Η Επιτροπή υποβάλλει στο Ευρωπαϊκό Κοινοβούλιο έκθεση, σχετικά με την εφαρμογή της οδηγίας και τις συνέπειές τις, μέσα σε τρία χρόνια. Η Επιτροπή μπορεί να ζητήσει πληροφορίες από τα κράτη μέλη οι οποίες πρέπει να παρέχονται χωρίς καθυστέρηση. Η Επιτροπή μπορεί να υποβάλλει προτάσεις για βελτίωση της παρούσας Οδηγίας. Η Οδηγία 97/66/ΕΚ καταργείται. (Άρθρο 18) 2.3 Η Οδηγία 2006/24/ΕΚ Το Ευρωπαϊκό Κοινοβούλιο έχοντας υπόψη την Οδηγία 95/46/ΕΚ, την Οδηγία 2002/58/ΕΚ, καθώς και την ανάγκη να διορθώσει και να συμπληρώσει τη νομοθεσία όσον αφορά την προστασία των προσώπων από τη διατήρηση και επεξεργασία δεδομένων προσωπικού χαρακτήρα, εκτίμησε ότι : [7] Οι Οδηγίες 95/46/ΕΚ και 2002/58/ΕΚ θεσπίστηκαν για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των προσωπικών δεδομένων προσωπικού χαρακτήρα. Τα κράτη μέλη πρέπει να διασφαλίζουν την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων, καθώς και το απόρρητο της ιδιωτικής ζωής έναντι της επεξεργασίας των προσωπικών δεδομένων. Ιδιαίτεροι κανόνες θεσπίστηκαν στον τομέα των ηλεκτρονικών επικοινωνιών. Οι κανόνες επεξεργασίας δεδομένων καθορίζονται στα άρθρα 5, 6, και 9 της Οδηγίας 2002/58/ΕΚ. Επίσης αναφέρονται οι περιπτώσεις κατά τις οποίες τα δεδομένα πρέπει να απαλείφονται ή να καθίστανται ανώνυμα, εκτός -25-

φυσικά των δεδομένων που χρειάζονται για την χρέωση των συνδρομητών. Στην παράγραφο 1 του άρθρου 15 της Οδηγίας 2002/58/ΕΚ δίνεται η ευχέρεια στα κράτη μέλη να μπορούν να περιορίσουν τα δικαιώματα και τις υποχρεώσεις που προβλέπουν τα άρθρα 5, 6, 8 και 9, άρθρα τα οποία αναφέρονται στην Εθνική και δημόσια ασφάλεια του κράτους καθώς και για την πρόληψη ποινικών αδικημάτων. Υπάρχουν νομικές και τεχνικές διαφορές των εθνικών διατάξεων στα κράτη μέλη διότι οι πάροχοι έχουν να αντιμετωπίσουν διαφορετικές απαιτήσεις σχετικά με τα δεδομένα κίνησης. Το Συμβούλιο Δικαιοσύνης και Εσωτερικών Υποθέσεων έκρινε την 19η Δεκεμβρίου 2002 ότι η σημαντική αύξηση των δυνατοτήτων στις ηλεκτρονικές επικοινωνίες αποτελεί ένα πολύτιμο εργαλείο για την πρόληψη, διερεύνηση, διαπίστωση και δίωξη εγκλημάτων. Το Ευρωπαϊκό Συμβούλιο κλήθηκε να εξετάσει μέτρα σχετικά με τη θέσπιση κανόνων στη διατήρηση δεδομένων για την καταπολέμηση της τρομοκρατίας. Κάθε άνθρωπος απολαμβάνει το δικαίωμα σεβασμού της προσωπικής του ζωής και της αλληλογραφίας του σύμφωνα με το άρθρο 8 της ευρωπαϊκής σύμβασης των δικαιωμάτων του ανθρώπου (ΕΣΔΑ). Η δημόσια Αρχή έχει ανάμειξη μόνο όταν υπάρχει εθνικό συμφέρον ή για θέμα δημόσιας ασφάλειας καθώς και για την πρόληψη εγκληματικών πράξεων. Η διατήρηση δεδομένων είναι ένα αποτελεσματικό εργαλείο στα χέρια των υπηρεσιών επιβολής του νόμου και γι αυτό θα πρέπει τα δεδομένα αυτά να διατηρούνται με ασφάλεια για ορισμένο χρονικό διάστημα. Στις 13 Ιουλίου 2005, μετά από τις τρομοκρατικές υποθέσεις του Λονδίνου και της Μαδρίτης, η ανάγκη θέσπισης κοινών μέτρων για την διατήρηση δεδομένων αποτέλεσε μεγαλύτερη ανάγκη. Από έρευνα και πείρα των κρατών μελών αποδείχθηκε ότι η διατήρηση δεδομένων κίνησης και θέσης πρέπει να διατηρούνται για ορισμένο χρονικό διάστημα. Η παρούσα Οδηγία αφορά δεδομένα που παράγονται κατά την επικοινωνία και όχι το περιεχόμενο της κοινοποιούμενης πληροφορίας. Κατά τη διατήρηση δεδομένων τα οποία αφορούν την τηλεφωνία και το ηλεκτρονικό ταχυδρομείο μέσω διαδικτύου, η υποχρέωση διατήρησης μπορεί να εφαρμόζεται μόνο σε δεδομένα των υπηρεσιών των παρόχων. Λόγω των γρήγορων μεταβολών των ηλεκτρονικών επικοινωνιών οι νόμιμες απαιτήσεις των αρμόδιων αρχών μπορούν να εξελιχθούν. Η ανταλλαγή εμπειριών θα πρέπει να ενθαρρύνεται και για το λόγο αυτό η Επιτροπή προτίθεται να συγκροτήσει ειδική ομάδα. Απαιτείται διαβούλευση με την ομάδα για την προστασία των προσωπικών δεδομένων του άρθρου 29 της παρούσας Οδηγίας. Οι υποχρεώσεις των παρόχων για τη διασφάλιση της ποιότητας των δεδομένων καθώς και η διασφάλιση της εμπιστευτικότητας και ασφάλειας της επεξεργασίας των δεδομένων ισχύουν πλήρως -26-

και για τα δεδομένα της παρούσας Οδηγίας. Τα μέλη κράτη θα παρέχουν στις Αρχές τα διατηρούμενα δεδομένα με πλήρη σεβασμό των θεμελιωδών δικαιωμάτων των ατόμων. Θα υπάρχουν αντίστοιχες ποινικές κυρώσεις σε παραβιάσεις των διατάξεων που θεσπίστηκαν με τις Οδηγίες. Ισχύει επίσης το δικαίωμα της αποζημίωσης σε πρόσωπα που επεξεργάστηκαν παρανόμως τα δεδομένα προσωπικού χαρακτήρα. Η σύμβαση του Συμβουλίου της Ευρώπης του 2001 και του 1981 καλύπτουν και τα δεδομένα που διατηρούνται κατά την έννοια της παρούσας Οδηγίας. Η Κοινότητα μπορεί να εγκρίνει μέτρα σύμφωνα με την αρχή της επικουρικότητας του άρθρου 5 της συνθήκης και χωρίς να υπερβαίνει τα αναγκαία όρια της αναλογικότητας. Η παρούσα Οδηγία έχει ως σκοπό την πλήρη τήρηση των θεμελιωδών δικαιωμάτων των πολιτών και τον σεβασμό της ιδιωτικής ζωής. Οι υποχρεώσεις των παρόχων πρέπει να είναι ανάλογες και τα δεδομένα που παράγονται και επεξεργάζονται. Δε χρειάζεται να διατηρούνται δεδομένα τα οποία δε χρειάζονται. Τα κράτη μέλη έχουν το δικαίωμα να θεσπίζουν νομοθετικά μέτρα όσον αφορά το δικαίωμα πρόσβασης στα δεδομένα των Αρχών. Τα μέτρα σέβονται πλήρως τα θεμελιώδη δικαιώματα. Το άρθρο 8 της ΕΣΔΑ απαιτεί η ανάμειξη δημοσίων αρχών σε θέματα που άπτονται του δικαιώματος στην ιδιωτική ζωή να τηρεί απαιτήσεις αναγκαιότητας και αναλογικότητας. Έχοντας υπόψη τα παραπάνω η ΕΕ εξέδωσε την Οδηγία 2006/24/ΕΚ της 15ης Μαρτίου 2006 που αναλύεται παρακάτω. 2.3.1 Αντικείμενο και πεδίο εφαρμογής Η Οδηγία αποβλέπει στην εναρμόνιση της εθνικής νομοθεσίας των κρατών μελών όσον αφορά τη διατήρηση και επεξεργασία δεδομένων ύστερα από διάθεση υπηρεσιών ηλεκτρονικών επικοινωνιών ή δημοσίων δικτύων επικοινωνιών. Τα δεδομένα είναι διαθέσιμα για σκοπούς διερεύνησης, διαπίστωσης και δίωξης σοβαρών ποινικών αδικημάτων. Τα δεδομένα αφορούν δεδομένα διατήρησης κίνησης και θέσης καθώς και δεδομένα αναγνώρισης του χρήστη. Δεν υπάρχει εφαρμογή στο περιεχόμενο των ηλεκτρονικών επικοινωνιών. (Άρθρο 1) 2.3.2 Υποχρέωση διατήρησης δεδομένων Τα δεδομένα του άρθρου 5 της παρούσας Οδηγίας, διατηρούνται σύμφωνα με τις διατάξεις της Οδηγίας, εφόσον επεξεργάζονται από παρόχους ή δημόσιο δίκτυο -27-

επικοινωνιών, που διαθέτουν στο κοινό ηλεκτρονικές υπηρεσίες κατά την παροχή των υπηρεσιών τους. Στην υποχρέωση διατήρησης, περιλαμβάνονται οι ανεπιτυχείς κλήσεις όταν τα δεδομένα παράγονται ή υποβάλλονται σε επεξεργασία και όταν αποθηκεύονται ή καταγράφονται. Δε διατηρούνται οι κλήσεις κατά τις οποίες δεν επιτυγχάνεται σύνδεση. (Άρθρο 3) 2.3.3 Πρόσβαση στα δεδομένα Τα κράτη μέλη διασφαλίζουν ότι τα δεδομένα παρέχονται μόνο στις αρμόδιες αρχές σε ειδικές περιπτώσεις σύμφωνα με την εθνική νομοθεσία. Η πρόσβαση γίνεται σύμφωνα με τις απαιτήσεις τις αναγκαιότητας και αναλογικότητας σύμφωνα με το εθνικό δίκτυο, με επιφύλαξη των οικείων διατάξεων του ευρωπαϊκού δικαίου, του δημοσίου διεθνές δικαίου και του ΕΣΔΑ. (Άρθρο 4) 2.3.4 Κατηγορίες διατηρούμενων δεδομένων Τα κράτη μέλη διασφαλίζουν ότι διατηρούνται οι παρακάτω κατηγορίες δεδομένων: Όσον αφορά την τηλεφωνία σταθερού δικτύου: ο τηλεφωνικός αριθμός του καλούντος, το ονοματεπώνυμο και η διεύθυνση του συνδρομητή ή του εγγεγραμμένου χρήστη, ο καλούμενος αριθμός (συμπεριλαμβάνοντας την προώθηση/εκτροπή κλήσης καθώς και τους αριθμούς αυτών), ο αριθμός στον οποίον έγινε η κλήση, τα ονοματεπώνυμα και οι διευθύνσεις των συνδρομητών-εγκεκριμένων χρηστών, ημερομηνία και ώρα έναρξης και λήξης της επικοινωνίας, η χρησιμοποιηθείσα τηλεφωνική υπηρεσία, οι τηλεφωνικοί αριθμοί καλούντος και καλούμενου. Όσον αφορά την κινητή τηλεφωνία: ο τηλεφωνικός αριθμός του καλούντος, το ονοματεπώνυμο και η διεύθυνση του συνδρομητή ή του εγγεγραμμένου χρήστη, ο καλούμενος αριθμός (συμπεριλαμβάνοντας την προώθηση/εκτροπή κλήσης καθώς και τους αριθμούς αυτών), ο αριθμός στον οποίον έγινε η κλήση, τα ονοματεπώνυμα και διευθύνσεις των συνδρομητών-εγκεκριμένων χρηστών, ημερομηνία και ώρα έναρξης και λήξης της επικοινωνίας, η χρησιμοποιηθείσα τηλεφωνική υπηρεσία, οι τηλεφωνικοί αριθμοί καλούντος και καλούμενου, η διεθνής ταυτότητα του συνδρομητή IMSI, η διεθνής ταυτότητα εξοπλισμού IMEI του καλούντος, το IMSI και IMEI του καλούμενου, καθώς -28-

και για την περίπτωση προπληρωμένων ανώνυμων υπηρεσιών, η ημερομηνία και ώρα της αρχικής ενεργοποίησης της υπηρεσίας και ο κωδικός θέσης από την οποία πραγματοποιήθηκε η ενεργοποίηση, ο κωδικός θέσης κατά την έναρξη και λήξη της επικοινωνίας καθώς και δεδομένα από τα οποία προσδιορίζεται η θέση των κυψελών κατά την διάρκεια της επικοινωνίας. όσον αφορά την πρόσβαση στο διαδίκτυο και τις υπηρεσίες ηλεκτρονικού ταχυδρομείου και τηλεφωνίας μέσω διαδικτύου: οι κωδικοί χρήστη, τηλεφωνικοί αριθμοί που δίνονται στο δημόσιο δίκτυο, ονοματεπώνυμα και διευθύνσεις χρήστη, διευθύνσεις IP, όλα τα προηγούμενα του παραλήπτη της επικοινωνίας, χρονικά σημεία σύνδεσης και αποσύνδεσης στο διαδίκτυο, η χρησιμοποιηθείσα διαδικτυακή υπηρεσία, η ψηφιακή συνδρομητική γραμμή (DSL). (Άρθρο 5) 2.3.5 Χρονικό διάστημα διατήρησης Τα κράτη μέλη μπορούν να διατηρούν τα δεδομένα από έξι μήνες έως δύο χρόνια. (Άρθρο 6) 2.3.6 Προστασία και ασφάλεια των δεδομένων Σύμφωνα με την παρούσα Οδηγία και έχοντας την επιφύλαξη των Οδηγιών 95/46/ΕΚ και 2002/58/ΕΚ, τα κράτη μέλη πρέπει να εφαρμόζουν τις παρακάτω αρχές ασφαλείας : τα διατηρούμενα δεδομένα είναι της ίδιας ποιότητας και έχουν την ίδια προστασία και ασφάλεια με αυτά του δικτύου. λαμβάνονται τα τεχνικά και οργανωτικά μέτρα προστασίας δεδομένων από τυχαία ή παράνομη καταστροφή ή τυχαία ή παράνομη απώλεια, αλλοίωσης, μη εξουσιοδότησης ή παράνομης αποθήκευσης, επεξεργασίας, πρόσβασης ή αποκάλυψης. τα δεδομένα καταστρέφονται στο τέλος του χρονικού διαστήματος διατήρησης, εκτός από εκείνα στα οποία έχει αποκτηθεί πρόσβαση και τα οποία έχουν φυλαχθεί. (Άρθρο 7) -29-

2.3.7 Απαιτήσεις αποθήκευσης για τα διατηρούμενα δεδομένα Τα δεδομένα διατηρούνται με τέτοιο τρόπο έτσι ώστε η διαβίβαση πληροφοριών, κατόπιν αιτήματος, στις αρμόδιες αρχές να είναι χωρίς αδικαιολόγητη καθυστέρηση. (Άρθρο 8) 2.3.8 Στατιστικά στοιχεία Στατιστικά στοιχεία της διατήρησης δεδομένων παρέχονται στην Επιτροπή ανά έτος. Τα στατιστικά στοιχεία περιλαμβάνουν : τις περιπτώσεις στις οποίες παρασχέθηκαν πληροφορίες στις Αρχές. το χρονικό διάστημα μεταξύ της ημερομηνίας διατήρησης των δεδομένων και της ημερομηνίας υποβολής του αιτήματος από την αρμόδια Αρχή για τη διαβίβαση δεδομένων. τις υποθέσεις στις οποίες δεν κατέστη δυνατόν να ικανοποιηθούν τα αιτήματα για δεδομένα. Τα παραπάνω στοιχεία δεν περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα. (Άρθρο 9) 2.3.9 Τροποποίηση της Οδηγίας 2002/58/ΕΚ Στο άρθρο 15 της Οδηγίας 2002/58 παρεμβάλλεται η παράγραφος : «1α. Η παράγραφος 1 δεν ισχύει για δεδομένα των οποίων τη διατήρηση προβλέπει ρητά η οδηγία 2006/24/ΕΚ του Ευρωπαϊκού κοινοβουλίου και του Συμβουλίου, της 15ης Μαρτίου 2006, για τη διατήρηση δεδομένων που παράγονται ή υποβάλλονται σε εξεργασία σε συνάρτηση με την παροχή διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ή δημοσίου δικτύου επικοινωνιών, όσον αφορά τους σκοπούς του άρθρου 1 παράγραφος 1 της εν λόγω οδηγίας». (Άρθρο 11) 2.3.10 Μελλοντικά μέτρα Τα κράτη μέλη μπορούν, κάτω από ιδιαίτερες συνθήκες, να παρατείνουν τον χρόνο αποθήκευσης των δεδομένων. Το κράτος μέλος έχει υποχρέωση να ενημερώσει την Επιτροπή και τα λοιπά κράτη μέλη, καθώς και τους λόγους για τους οποίους χρειάζεται παράταση. (Άρθρο 12) Η Επιτροπή εγκρίνει ή απορρίπτει, μέσα σε ένα εξάμηνο, τα σχετικά εθνικά μέτρα. Εάν δεν υπάρξει απόφαση μέσα σε ένα εξάμηνο, θεωρείται ότι τα μέτρα έχουν εγκριθεί. -30-