Τι σημαίνει το GDPR

GDPR ή αλλιώς General Data Protection Regulation.
Στις 25 Μαΐου 2018 ξεκίνησε η εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων γνωστού και ως GDPR.

Η Ευρωπαϊκή Επιτροπή λαμβάνοντας το αυτό υπόψιν όπως και τις ραγδαίες τεχνολογικές εξελίξεις στο διαδίκτυο με πάνω από 250 εκατομμύρια χρήστες στην Ευρώπη, αλλά και την συνεχώς αυξανόμενη χρήση των κινητών συσκευών η ακόμα και των Social Media, κατέληξε στη δημιουργία του GDPR  (General Data protection Regulation) Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων για όλα τα κράτη μέλη της ΕΕ προς όλους τους χρήστες.

Ο σκοπός αυτής της κίνησης είναι η διασφάλιση και προστασία των προσωπικών δεδομένων των πολιτών.

Συνοπτική παρουσίαση της γνωμοδότησης του ΕΕΠΔ για την πρόταση κανονισμού σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ

(Το πλήρες κείμενο της παρούσας γνωμοδότησης είναι διαθέσιμο στην αγγλική, γαλλική και γερμανική γλώσσα στον δικτυακό τόπο του ΕΕΠΔ www.edps.europa.eu)

(2017/C 164/02)

Μια νέα γενιά προτύπων προστασίας των δεδομένων προωθείται από την Ευρωπαϊκή Ένωση. Η έγκριση, σχεδόν έναν χρόνο πριν, του γενικού κανονισμού για την προστασία δεδομένων και της οδηγίας για τους τομείς της αστυνομίας και της δικαιοσύνης αποτέλεσε το πλέον φιλόδοξο εγχείρημα του νομοθέτη της ΕΕ, μέχρι σήμερα, για τη διασφάλιση των θεμελιωδών δικαιωμάτων του ατόμου στην ψηφιακή εποχή. Τώρα ήρθε η στιγμή τα ίδια τα θεσμικά όργανα της ΕΕ να αποτελέσουν παράδειγμα όσον αφορά τους κανόνες που εφαρμόζουν ως υπεύθυνοι ελέγχου και επεξεργασίας δεδομένων. Τους τελευταίους 18 μήνες, ο ΕΕΠΔ έχει ξεκινήσει διάλογο με τα θεσμικά όργανα της ΕΕ στο υψηλότερο επίπεδο, προκειμένου να τα προετοιμάσει για τις νέες προκλήσεις στη συμμόρφωση με την προστασία των δεδομένων, δίνοντας έμφαση στη νέα αρχή της λογοδοσίας για τον τρόπο επεξεργασίας των δεδομένων. Με την παρούσα γνωμοδότηση ο ΕΕΠΔ σκοπό έχει να αξιοποιήσει τη δωδεκαετή εμπειρία ανεξάρτητης εποπτείας, παροχής συμβουλών και υποστήριξης πολιτικής, προτείνοντας βελτιώσεις στον προτεινόμενο κανονισμό για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της ΕΕ.

Ο κανονισμός 45/2001 έχει ανοίξει τον δρόμο προβλέποντας άμεσα εφαρμόσιμες υποχρεώσεις για τους υπευθύνους επεξεργασίας, δικαιώματα για τα υποκείμενα των δεδομένων και μια σαφώς ανεξάρτητη εποπτική αρχή. Η ΕΕ πρέπει τώρα να εξασφαλίσει συνοχή με τον γενικό κανονισμό για την προστασία των δεδομένων, δίνοντας έμφαση στη λογοδοσία και στις διασφαλίσεις για τα πρόσωπα αντί για τις διαδικασίες. Κάποια απόκλιση από τους κανόνες που ισχύουν για την επεξεργασία δεδομένων από τα θεσμικά όργανα της ΕΕ είναι δικαιολογημένη, κατά τον ίδιο τρόπο που οι εξαιρέσεις του δημόσιου τομέα έχουν συμπεριληφθεί στον γενικό κανονισμό, αλλά αυτή πρέπει να διατηρηθεί σε ένα ελάχιστο επίπεδο.

Είναι ουσιώδες, ωστόσο, από την πλευρά του προσώπου, να εφαρμόζονται με συνέπεια οι κοινές αρχές σε όλο το ενωσιακό πλαίσιο προστασίας των δεδομένων, ανεξάρτητα από το ποιος τυγχάνει να είναι υπεύθυνος επεξεργασίας των δεδομένων. Είναι επίσης ουσιώδες να τεθεί σε εφαρμογή ολόκληρο το πλαίσιο συγχρόνως, δηλαδή τον Μάιο του 2018, προθεσμία πλήρους εφαρμογής του γενικού κανονισμού.

Η Επιτροπή ζήτησε τη γνώμη του ΕΕΠΔ σχετικά με το σχέδιο πρότασης, σύμφωνα με έναν μακρόχρονο διακανονισμό μεταξύ των οργάνων μας. Θεωρούμε ότι η Επιτροπή έχει επιτύχει συνολικά μια ικανοποιητική ισορροπία των διαφόρων συμφερόντων που διακυβεύονται. Η παρούσα γνωμοδότηση παραθέτει μια σειρά τομέων στους οποίους η πρόταση θα μπορούσε να βελτιωθεί περαιτέρω. Υποστηρίζουμε ότι θα πρέπει να γίνουν βελτιώσεις στον προτεινόμενο κανονισμό, ιδίως όσον αφορά τους περιορισμούς στα δικαιώματα του υποκειμένου των δεδομένων και την πρόβλεψη για χρήση μηχανισμών πιστοποίησης από τα θεσμικά όργανα της ΕΕ σε ορισμένα πλαίσια. Όσον αφορά τα δικά μας καθήκοντα και τις αρμοδιότητες ως ανεξάρτητος φορέας, η πρόταση φαίνεται να επιτυγχάνει μια λογική ισορροπία και να αντικατοπτρίζει τις κανονικές λειτουργίες μιας ανεξάρτητης αρχής προστασίας δεδομένων στο πλαίσιο του Χάρτη Θεμελιωδών Δικαιωμάτων και σύμφωνα με την πρόσφατη νομολογία του Δικαστηρίου, είτε ως αρχή επιβολής της νομοθεσίας, φορέας διαχείρισης καταγγελιών ή σύμβουλος του νομοθέτη για τις πολιτικές που επηρεάζουν την προστασία των δεδομένων και την ιδιωτική ζωή.

Ενθαρρύνουμε τον νομοθέτη της ΕΕ να επιτύχει συμφωνία σχετικά με την πρόταση το ταχύτερο δυνατόν, ούτως ώστε να μπορέσουν τα όργανα της ΕΕ να επωφεληθούν από μια εύλογη μεταβατική περίοδο πριν από την έναρξη εφαρμογής του νέου κανονισμού.

1.   ΕΙΣΑΓΩΓΗ ΚΑΙ ΠΛΑΙΣΙΟ

1.1   Πλαίσιο

1.

Στις 10 Ιανουαρίου 2017, η Ευρωπαϊκή Επιτροπή ενέκρινε μια πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισμούς της Κοινότητας και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (1) («η πρόταση»).

2.

Το θεμελιώδες δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα κατοχυρώνεται στο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («ο Χάρτης») και στο άρθρο 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης («ΣΛΕΕ»).

3.

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων («ΕΕΠΔ») είναι η ανεξάρτητη αρχή εποπτείας που είναι υπεύθυνη να διασφαλίζει ότι τα ευρωπαϊκά θεσμικά όργανα και οι οργανισμοί («όργανα της ΕΕ») συμμορφώνονται με τη νομοθεσία για την προστασία των δεδομένων όταν επεξεργάζονται προσωπικά δεδομένα (2). Η απαίτηση πρόβλεψης ανεξάρτητου ελέγχου στο σύστημα προστασίας δεδομένων της ΕΕ κατοχυρώνεται στο πρωτογενές δίκαιο, τόσο στο άρθρο 16 παράγραφος 2 της ΣΛΕΕ όσο και στο άρθρο 8 παράγραφος 3 του Χάρτη. Το Δικαστήριο έχει τονίσει επανειλημμένα ότι ο έλεγχος από μια ανεξάρτητη αρχή αποτελεί ουσιώδη συνιστώσα του δικαιώματος στην προστασία δεδομένων και έχει καθορίσει τα κριτήρια αυτής της ανεξαρτησίας (3). Ειδικότερα, η εποπτική αρχή πρέπει να δρα με πλήρη ανεξαρτησία, πράγμα που συνεπάγεται εξουσία λήψης αποφάσεων ανεξάρτητη από οποιαδήποτε άμεση ή έμμεση εξωτερική επιρροή (4) και απαλλαγμένη από κάθε υποψία μεροληψίας (5).

4.

Το κύριο νομικό μέσο που ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα όργανα της ΕΕ είναι ο κανονισμός (ΕΚ) αριθ. 45/2001 (6) («κανονισμός 45/2001»), που συμπληρώνεται από την απόφαση αριθ. 1247/2002/ΕΚ (7).

5.

Μετά την ολοκλήρωση, στις 27 Απριλίου 2016, των παρατεταμένων διαπραγματεύσεων σχετικά με το νέο πλαίσιο προστασίας δεδομένων της ΕΕ -γενικός κανονισμός για την προστασία δεδομένων («ΓΚΠΔ») και οδηγία για τους τομείς της αστυνομίας και της δικαιοσύνης- η παρούσα πρόταση, παράλληλα με την πρόταση κανονισμού της Επιτροπής σχετικά με την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες («κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες» (8)) σηματοδοτεί την αρχή μιας κρίσιμης φάσης στη διαδικασία ολοκλήρωσης αυτού του ενωσιακού πλαισίου προστασίας των δεδομένων. Σκοπό έχει να ευθυγραμμίσει τις διατάξεις του κανονισμού 45/2001 με τους κανόνες που προβλέπει ο ΓΚΠΔ, προκειμένου να δημιουργηθεί ένα ισχυρότερο και συνεκτικότερο πλαίσιο προστασίας των δεδομένων στην Ένωση και να μπορούν να εφαρμόζονται και τα δύο μέσα ταυτόχρονα (9). Επιπροσθέτως, η πρόταση ενσωματώνει τους νέους κανόνες για την προστασία του τερματικού εξοπλισμού των τελικών χρηστών που καθορίζει η πρόταση νέου κανονισμού για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες την οποία υπέβαλε η Επιτροπή.

6.

Στη στρατηγική 2015-2019, ο ΕΕΠΔ δεσμεύτηκε να συνεργαστεί με το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και την Επιτροπή για να εξασφαλίσει ότι οι ισχύοντες κανόνες που προβλέπει ο κανονισμός 45/2001 θα εναρμονιστούν με τον ΓΚΠΔ και ότι ένα αναθεωρημένο πλαίσιο θα τεθεί σε ισχύ ως τις αρχές του 2018 το αργότερο. Ο ΕΕΠΔ επιδοκιμάζει το γεγονός ότι ζητήθηκε ανεπίσημα η γνώμη του από την Επιτροπή πριν από την έγκριση της πρότασης και ότι η πρόταση φαίνεται να έχει λάβει υπόψη πολλά στοιχεία που τέθηκαν στις ανεπίσημες εισηγήσεις του έως σήμερα. Θεωρεί την παρούσα πρόταση ιδιαίτερα ικανοποιητική από πλευράς μέγιστης ευθυγράμμισης με τον ΓΔΚΠ, εκτός εάν στενά προσδιορισμένες ιδιαιτερότητες του δημόσιου τομέα της ΕΕ δικαιολογούν κάτι διαφορετικό, και εκτιμά ιδιαίτερα την ισορροπία των διαφόρων διακυβευόμενων συμφερόντων που πέτυχε η Επιτροπή.

7.

Αν και η παρούσα γνωμοδότηση αναφέρει μια σειρά τομέων στους οποίους η πρόταση θα μπορούσε να βελτιωθεί περαιτέρω, ο ΕΕΠΔ ενθαρρύνει τον νομοθέτη της ΕΕ να επιτύχει συμφωνία σχετικά με την πρόταση το ταχύτερο δυνατό, ούτως ώστε να μπορέσουν τα όργανα της ΕΕ να επωφεληθούν από μια εύλογη μεταβατική περίοδο πριν από την πλήρη εφαρμογή του νέου κανονισμού.

1.2   Στόχοι της πρότασης και χρονοδιάγραμμα

8.

Στο παρελθόν, ο ΕΕΠΔ έχει συστήσει να ενσωματωθούν οι ουσιαστικοί κανόνες για τα όργανα της ΕΕ στο (τότε) σχέδιο ΓΚΠΔ (10). Ο νομοθέτης της ΕΕ επέλεξε μια άλλη εναλλακτική λύση: ένα χωριστό νομικό μέσο που θα ισχύει για τα όργανα της ΕΕ, εναρμονισμένο και εφαρμοστέο ταυτόχρονα με τον ΓΚΠΔ. Ο ΕΕΠΔ υποστηρίζει αυτή την προσέγγιση: θα ήταν απαράδεκτο εάν η Ευρωπαϊκή Επιτροπή και τα άλλα όργανα της ΕΕ δεν δεσμεύονταν από κανόνες ισοδύναμους με αυτούς που σύντομα θα ισχύσουν σε επίπεδο κρατών μελών. Επιπλέον, ο ΕΕΠΔ δεν θα επιθυμούσε να εποπτεύει τη συμμόρφωση των οργάνων της ΕΕ με ουσιαστικούς κανόνες που θα ήταν κατώτεροι των κανόνων που εποπτεύουν οι ομόλογοί του σε εθνικό επίπεδο, ειδικά δεδομένου ότι ο ΕΕΠΔ θα είναι μέλος του μελλοντικού Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων («ΕΣΠΔ») (11).

9.

Οι μελλοντικοί κανόνες που θα εφαρμοστούν για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα όργανα της ΕΕ θα πρέπει επομένως να ευθυγραμμιστούν με τις διατάξεις του ΓΚΠΔ, εκτός εάν συσταλτικά ερμηνευόμενες ιδιαιτερότητες του δημόσιου τομέα δικαιολογούν κάτι διαφορετικό. Στο πλαίσιο αυτό, ο ΕΕΠΔ επιδοκιμάζει την αιτιολογική σκέψη 5 της πρότασης, που τονίζει την ανάγκη για μέγιστη δυνατή ευθυγράμμιση και διευκρινίζει ότι «[ό]ποτε οι διατάξεις του παρόντος κανονισμού βασίζονται στην ίδια έννοια με τις διατάξεις του [ΓΚΠΔ], αυτές οι δύο διατάξεις θα πρέπει να ερμηνεύονται ομοιογενώς, ιδιαίτερα επειδή το σύστημα του παρόντος κανονισμού θα πρέπει να νοείται ως ισοδύναμο του συστήματος του [ΓΚΠΔ].».

10.

Συγχρόνως, η ευθυγράμμιση με τον ΓΚΠΔ δεν μπορεί να είναι ούτε πλήρης ούτε αυτόματη. Ο ΓΚΠΔ περιλαμβάνει πολυάριθμες ρήτρες που επιτρέπουν στα κράτη μέλη να διατηρούν ή να εισάγουν ειδική νομοθεσία σε ορισμένους τομείς, μεταξύ άλλων για τις δημόσιες αρχές. (12) Σε αυτές τις περιπτώσεις όπου ο ΓΚΠΔ προβλέπει ειδικούς κανόνες για τις δημόσιες αρχές (13) ή αφήνει περιθώριο για την εφαρμογή των διατάξεών του από τα κράτη μέλη, η πρόταση μπορεί να θεωρηθεί ότι παίζει ρόλο συγκρίσιμο με ένα εθνικό δίκαιο που «εφαρμόζει» τον ΓΚΔΠ, όπως για παράδειγμα στο άρθρο 9 «Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτες άλλους εκτός από τα όργανα και τους οργανισμούς της Κοινότητας» ή το άρθρο 66 «Διοικητικά πρόστιμα» της πρότασης (βλέπε ενότητα 2.8.1 κατωτέρω). Επιπροσθέτως, είναι σημαντικό να εξασφαλιστεί η διατήρηση του υψηλού επιπέδου προστασίας που ισχύει επί του παρόντος για τα όργανα της ΕΕ. Ως εκ τούτου, είναι αναγκαίο να διατηρηθούν ορισμένες ιδιαιτερότητες του κανονισμού 45/2001, όπως στο άρθρο 25 Περιορισμοί (βλέπε ενότητα 2.3.1 κατωτέρω) και το άρθρο 44 Διορισμός υπευθύνου προστασίας δεδομένων (βλέπε ενότητα 2.4.5.1 κατωτέρω).

11.

Εκτός από την ουσιαστική ευθυγράμμιση με τον ΓΚΠΔ, είναι απαραίτητο να καταστούν πλήρως εφαρμοστέοι οι αναθεωρημένοι κανόνες ταυτόχρονα με τον ΓΚΠΔ, δηλαδή στις 25 Μαΐου 2018. Το υπάρχον δίκτυο υπευθύνων προστασίας δεδομένων («ΥΠΔ») παρέχει μια αποτελεσματική δίαυλο ανταλλαγής πληροφοριών και συνεργασίας. Κατά συνέπεια, ο ΕΕΠΔ πιστεύει ότι θα μπορούσε να επιτευχθεί συμμόρφωση μετά από μια σχετικά σύντομη μεταβατική περίοδο, π.χ. τριών μηνών.

12.

Η αρχή της λογοδοσίας στην οποία βασίζεται ο ΓΚΠΔ -καθώς και η παρούσα πρόταση- υπερβαίνει την απλή συμμόρφωση με τους κανόνες και συνεπάγεται μια αλλαγή νοοτροπίας. Προκειμένου να διευκολύνει τη μετάβαση, ο ΕΕΠΔ δρομολόγησε ένα «σχέδιο λογοδοσίας». Σε αυτό το πλαίσιο, ο ΕΕΠΔ επικοινώνησε στη διάρκεια του 2016 και του 2017 με επτά βασικά όργανα και οργανισμούς της ΕΕ για να τα βοηθήσει να προετοιμαστούν εγκαίρως για την εφαρμογή του ΓΚΠΔ.

1.3   Πεδίο εφαρμογής και σχέση με άλλα νομικά μέσα

13.

Ο ΕΕΠΔ έχει σε αρκετές περιστάσεις στο παρελθόν ζητήσει από την Επιτροπή να προτείνει ένα ισχυρό και ολοκληρωμένο σύστημα που θα ήταν φιλόδοξο και θα ενίσχυε την αποτελεσματικότητα και τη συνοχή της προστασίας των δεδομένων στην ΕΕ, ούτως ώστε να εξασφαλιστεί ένα κατάλληλο περιβάλλον για περαιτέρω ανάπτυξη τα επόμενα χρόνια (14). Η Επιτροπή επέλεξε μια διαφορετική προσέγγιση και πρότεινε ένα χωριστό νομικό μέσο για την προστασία των δεδομένων στον τομέα της επιβολής του νόμου (15). Ακολούθησε μια σειρά προτάσεων για νομικές πράξεις που εισήγαγαν χωριστά «αυτόνομα» καθεστώτα προστασίας δεδομένων (16).

14.

Ο ΕΕΠΔ αναγνωρίζει ότι το ισχύον νομικό πλαίσιο για την προστασία των δεδομένων προσωπικού χαρακτήρα, παρότι κατακερματισμένο, είναι το καλύτερο αποτέλεσμα που θα μπορούσε να επιτευχθεί σήμερα (17). Ο ΕΕΠΔ αντιλαμβάνεται ότι η παρούσα πρόταση θα συνέχιζε να εφαρμόζεται σε εκείνα τα όργανα της ΕΕ που εμπίπτουν στο πεδίο εφαρμογής του κανονισμού 45/2001 σήμερα (18) (ουσιαστικά, όλα τα πρώην όργανα και οι οργανισμοί του 1ου και του 2ου «πυλώνα» (19)), αλλά δεν θα επηρέαζε, ως έχει, τα υπάρχοντα ή εκκρεμή «αυτόνομα» καθεστώτα (20). Αυτά τα καθεστώτα θα επηρεαστούν από την παρούσα πρόταση μόνο εάν και εφόσον αυτό προβλέπεται ρητώς στο σχετικό νομικό μέσο. Ο ΕΕΠΔ λαμβάνει υπό σημείωση αυτή την προσέγγιση, αλλά προτείνει να δηλωθεί αυτό με μεγαλύτερη σαφήνεια στο προοίμιο της πρότασης και, πιθανώς, επίσης στο άρθρο 2 Πεδίο εφαρμογής. Συγχρόνως, ο ΕΕΠΔ τονίζει ότι ο κατακερματισμός και η αυξανόμενη πολυπλοκότητα του νομικού πλαισίου για την επεξεργασία δεδομένων από τα διάφορα όργανα της ΕΕ που δραστηριοποιούνται στον πρώην πρώτο και τρίτο «πυλώνα» δεν είναι ένα απόλυτα ικανοποιητικό αποτέλεσμα και ενδεχομένως χρειάζεται να αντιμετωπιστεί από τον νομοθέτη της ΕΕ μεσοπρόθεσμα.

15.

Ο κανονισμός 45/2001 προβλέπει μέτρα που στοχεύουν στην προστασία της ιδιωτικής ζωής και της εμπιστευτικότητας των επικοινωνιών στις περιπτώσεις όπου τα όργανα της ΕΕ έχουν τον έλεγχο των υποδομών που χρησιμοποιούνται για την επικοινωνία. Για τον σκοπό αυτό, περιλαμβάνει ορισμένες διατάξεις που καλύπτουν τμήματα του ρυθμιστικού πλαισίου της οδηγίας 2002/58/ΕΚ («οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες») (21), και θεσπίζει την αρχή ότι οι κανόνες για την προστασία των θεμελιωδών δικαιωμάτων θα πρέπει να εφαρμόζονται με συνεπή και αρμονικό τρόπο σε όλη την Ένωση, κάνοντας αναφορά σε σχετικά μέσα όπως η οδηγία για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες (22). Η ανάγκη εξασφάλισης του ίδιου επιπέδου ιδιωτικότητας και εμπιστευτικότητας των επικοινωνιών στις οποίες έχουν ανάμειξη τα όργανα της ΕΕ παραμένει αμετάβλητη, και συνεπώς η αρχή της συνεπούς και αρμονικής εφαρμογής θα πρέπει να διατηρηθεί. Ο ΕΕΠΔ θεωρεί συνεπώς ότι η πρόταση θα πρέπει να εξασφαλίζει ότι οι σχετικοί κανόνες του ΓΚΔΠ και ο μελλοντικός κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες θα ισχύουν για τα όργανα της ΕΕ κατ’ αναλογία. Αυτό θα πρέπει να περιλαμβάνει τη διατήρηση της εμπιστευτικότητας και της ιδιωτικότητας όσον αφορά τις υπηρεσίες επικοινωνίας που ελέγχονται από τα όργανα της ΕΕ, καθώς και άλλων αρχών του μελλοντικού κανονισμού για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, όπως η προστασία των τερματικών συσκευών και άλλοι κανόνες, π.χ. σχετικά με τον εντοπισμό και τα ανεπιθύμητα μηνύματα.

16.

Τέλος, ενώ η ενωσιακή νομοθεσία περί προστασίας των δεδομένων εφαρμόζεται επίσης στον Ευρωπαϊκό Οικονομικό Χώρο και οι συμμετέχουσες χώρες της ΕΖΕΣ υποχρεούνται να συγκροτούν ανεξάρτητες εποπτικές αρχές σύμφωνα με τον ΓΔΚΠ, τα όργανα της ΕΖΕΣ δεν υπόκεινται σε κανέναν ειδικό κανόνα προστασίας δεδομένων ούτε σε εποπτεία, παρότι ανταλλάσσουν δεδομένα προσωπικού χαρακτήρα με όργανα της ΕΕ. Ο ΕΕΠΔ θεωρεί ότι η παρούσα πρόταση μπορεί να αποτελεί μια ευκαιρία αντιμετώπισης αυτού του ζητήματος.

3.   ΣΥΜΠΕΡΑΣΜΑΤΑ

90.

Συνολικά, ο ΕΕΠΔ θεωρεί την πρόταση επιτυχημένη όσον αφορά την ευθυγράμμιση των κανόνων που αφορούν τα όργανα της ΕΕ με τον ΓΚΠΔ, λαμβάνοντας ταυτόχρονα υπόψη τις ιδιαιτερότητες του δημόσιου τομέα της ΕΕ. Το υψηλό επίπεδο προστασίας όσον αφορά τα δεδομένα που επεξεργάζονται τα όργανα της ΕΕ διατηρείται γενικά στην πρόταση. Ο ΕΕΠΔ εκτιμά ιδιαίτερα την ισορροπία των διαφόρων διακυβευόμενων συμφερόντων που επιτυγχάνει η Επιτροπή.

91.

Ο ΕΕΠΔ θεωρεί ότι η πρόταση θα πρέπει να βελτιωθεί περαιτέρω, ιδίως όσον αφορά τις λεπτομέρειες των περιορισμών βάσει του άρθρου 25. Προκειμένου να εξασφαλιστεί συμμόρφωση με την ποιότητα των νομικών απαιτήσεων που αναφέρονται ανωτέρω, το άρθρο 25 παράγραφος 1 της πρότασης θα πρέπει να τροποποιηθεί, ώστε μόνο νομικές πράξεις που εγκρίνονται με βάση τις Συνθήκες να μπορούν να περιορίζουν θεμελιώδη δικαιώματα, επιβάλλοντας κατ’ αυτόν τον τρόπο στα όργανα της ΕΕ τα ίδια πρότυπα που ισχύουν για τα κράτη μέλη δυνάμει του ΓΚΠΔ. Στον βαθμό που εξετάζονται περιορισμοί του άρθρου 34 Εμπιστευτικότητα των ηλεκτρονικών επικοινωνιών, ο ΕΕΠΔ καλεί τον νομοθέτη της ΕΕ να εξασφαλίσει ότι οι πιθανοί περιορισμοί του θεμελιώδους δικαιώματος στην ιδιωτικότητα των επικοινωνιών από τα όργανα της ΕΕ στις επεξεργασίες τους ακολουθούν τα ίδια πρότυπα που καθορίζονται στο δίκαιο της Ένωσης, όπως ερμηνεύονται από το Δικαστήριο σε αυτόν τον τομέα.

92.

Ο ΕΕΠΔ επιδοκιμάζει το γεγονός ότι η πρόταση περιλαμβάνει χωριστό άρθρο αφιερωμένο στον ρόλο του ΕΕΠΔ ως συμβούλου των οργάνων της ΕΕ (άρθρο 42 της πρότασης). Ανησυχεί, ωστόσο, για τη διατύπωση «[μ]ετά την έγκριση προτάσεων» (σε αντιδιαστολή με το «[ο]σάκις εγκρίνει νομοθετική πρόταση» στο άρθρο 28 παράγραφος 2 του κανονισμού 45/2001), η οποία μπορεί να θέσει υπό αμφισβήτηση τη μακρόχρονη δέσμευση της Ευρωπαϊκής Επιτροπής να συμβουλεύεται ανεπίσημα τον ΕΕΠΔ για σχέδια προτάσεων, συνήθως στο στάδιο της διυπηρεσιακής διαβούλευσης. Δεδομένης της σημασίας της ανεπίσημης διαβούλευσης, ο ΕΕΠΔ θα επιδοκίμαζε μια αιτιολογική σκέψη στην οποία η Επιτροπή θα επαναλάμβανε τη δέσμευσή της όσον αφορά τη συγκεκριμένη μακρόχρονη πρακτική. Θα υποστήριζε επίσης τη διατήρηση της διατύπωσης του άρθρου 28 παράγραφος 2 του κανονισμού 42/2001 («οσάκις εγκρίνει»), που παρέχει εν προκειμένω ευρύτερο περιθώριο ελιγμού. Θεωρεί ότι το άρθρο 42, όπως προτείνεται, παρέχει επαρκή αποσαφήνιση των αντίστοιχων καθηκόντων του ΕΕΠΔ και του ΕΣΠΔ για να αποφευχθεί η περιττή αλληλεπικάλυψη στο μέλλον.

93.

Ο ΕΕΠΔ θεωρεί ότι η δυνατότητα εξωτερικής ανάθεσης των καθηκόντων ενός ΥΠΔ δεν είναι κατάλληλη για τα όργανα της ΕΕ που ασκούν δημόσια εξουσία. Κατά συνέπεια, η δεύτερη εναλλακτική του άρθρου 44 παράγραφος 4 («ή να εκτελεί τα καθήκοντα βάσει σύμβασης παροχής υπηρεσίας») θα πρέπει να διαγραφεί.

94.

Ο ΕΕΠΔ επιδοκιμάζει το άρθρο 66 της πρότασης που παραχωρεί στον ΕΕΠΔ την εξουσία να επιβάλλει διοικητικά πρόστιμα. Θεωρεί ότι εάν η εποπτική αρχή της ΕΕ στερούνταν τη δυνατότητα να επιβάλλει διοικητικά πρόστιμα, όπου είναι σκόπιμο, αυτό θα είχε ως αποτέλεσμα τα όργανα της ΕΕ να απολαμβάνουν μια προνομιακή θέση σε σύγκριση με τα όργανα του δημόσιου τομέα σε πολλά κράτη μέλη.

95.

Ο ΕΕΠΔ θεωρεί ότι οι μηχανισμοί πιστοποίησης μπορεί να είναι ένα πολύ χρήσιμο εργαλείο για τα όργανα της ΕΕ και ήδη χρησιμοποιούνται σε ορισμένα πλαίσια, π.χ. πιστοποίηση της συμμόρφωσης με γενικά αποδεκτά πρότυπα. Αναφορές στη χρήση της πιστοποίησης (αλλά όχι στους κώδικες δεοντολογίας) θα πρέπει συνεπώς να προστεθούν στο άρθρο 26 Ευθύνη του υπευθύνου επεξεργασίας, στο άρθρο 27 Προστασία των δεδομένων από τον σχεδιασμό και εξ ορισμού, καθώς και στο άρθρο 33 Ασφάλεια.

96.

Αν και η παρούσα γνωμοδότηση αναφέρει μια σειρά τομέων στους οποίους η πρόταση θα μπορούσε να βελτιωθεί περαιτέρω, ο ΕΕΠΔ ενθαρρύνει τον νομοθέτη της ΕΕ να επιτύχει συμφωνία σχετικά με την πρόταση το ταχύτερο δυνατό, ούτως ώστε να μπορέσουν τα όργανα της ΕΕ να επωφεληθούν από μια εύλογη μεταβατική περίοδο πριν από την εφαρμογή του νέου κανονισμού ταυτόχρονα με τον ΓΚΔΠ, τον Μάιο του 2018.

Βρυξέλλες, 15 Μαρτίου 2017.

Giovanni BUTTARELLI

Ευρωπαίος Επόπτης Προστασίας Δεδομένων