EΓΓΡΑΦΟ ΕΡΓΑΣΙΑΣ ΤΩΝ ΥΠΗΡΕΣΙΩΝ ΤΗΣ ΕΠΙΤΡΟΠΗΣ

ΣΥΝΟΨΗ ΤΗΣ ΕΚΤΙΜΗΣΗΣ ΑΝΤΙΚΤΥΠΟΥ

που συνοδεύει το έγγραφο

Κανονισμός του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία δεδομένων) και Οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, και για την ελεύθερη κυκλοφορία των δεδομένων αυτών

1. Εισαγωγή

Από τη θέσπιση του υφιστάμενου νομικού πλαισίου της ΕΕ για την προστασία δεδομένων το 1995 και εφεξής, οι ταχείες τεχνολογικές και επιχειρηματικές εξελίξεις δημιούργησαν νέες προκλήσεις για την προστασία δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της ανταλλαγής και συλλογής δεδομένων έχει αυξηθεί σε πολύ μεγάλο βαθμό. Η τεχνολογία επιτρέπει τόσο στις ιδιωτικές εταιρείες όσο και στις δημόσιες αρχές να χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα σε μια άνευ προηγουμένου κλίμακα στο πλαίσιο της άσκησης των δραστηριοτήτων τους. Τα φυσικά πρόσωπα όλο και περισσότερο παρέχουν πληροφορίες προσωπικού χαρακτήρα δημοσίως και παγκοσμίως, χωρίς να συνειδητοποιούν πλήρως τους κινδύνους που ελλοχεύουν.

Η οικοδόμηση εμπιστοσύνης στο επιγραμμικό περιβάλλον είναι σημαντική για την οικονομική ανάπτυξη. Η έλλειψη εμπιστοσύνης έχει ως αποτέλεσμα οι καταναλωτές να διστάζουν να κάνουν επιγραμμικές αγορές και να υιοθετούν νέες υπηρεσίες, συμπεριλαμβανομένων των υπηρεσιών της ηλεκτρονικής διακυβέρνησης. Εάν δεν αντιμετωπισθεί, η εν λόγω έλλειψη εμπιστοσύνης θα εξακολουθήσει να επιβραδύνει την ανάπτυξη καινοτόμων χρήσεων των νέων τεχνολογιών, να αποτελεί εμπόδιο στην οικονομική ανάπτυξη και να αποκλείει τον δημόσιο τομέα από την αξιοποίηση των πιθανών οφελών από την ψηφιοποίηση των υπηρεσιών του.

Επιπρόσθετα, η συνθήκη της Λισαβόνας δημιούργησε, με το άρθρο 16 της ΣΛΕΕ, μια νέα νομική βάση για την υιοθέτηση εκσυγχρονισμένης και σφαιρικής προσέγγισης σε σχέση με την προστασία των δεδομένων και την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα, η οποία καλύπτει επίσης την αστυνομική και δικαστική συνεργασία σε ποινικές υποθέσεις.

2. Ορισμός του προβλήματος

Η εκτίμηση αντικτύπου παρουσιάζει και εξετάζει τρεις κύριους προβληματικούς τομείς:

2.1. Πρόβλημα 1: Φραγμοί για τις επιχειρήσεις και τις δημόσιες αρχές λόγω του κατακερματισμού, της έλλειψης ασφάλειας δικαίου και της μη συνεκτικής εκτέλεσης

Παρά το γεγονός ότι η οδηγία έχει ως στόχο να διασφαλίσει ισοδύναμο επίπεδο προστασίας δεδομένων εντός της ΕΕ, υπάρχει ακόμα σημαντική απόκλιση των κανόνων μεταξύ των κρατών μελών. Ως εκ τούτου, οι υπεύθυνοι προστασίας δεδομένων ενδεχομένως έχουν να αντιμετωπίσουν 27 διαφορετικές εθνικές νομοθεσίες και απαιτήσεις. Το αποτέλεσμα είναι ένα κατακερματισμένο νομικό περιβάλλον, το οποίο έχει δημιουργήσει έλλειψη ασφάλειας δικαίου και άνιση προστασία των φυσικών προσώπων. Αυτή η κατάσταση έχει προκαλέσει περιττές δαπάνες και διοικητικά βάρη (που ανέρχονται σε περίπου 3 δισεκ. ευρώ ανά έτος σύμφωνα με το βασικό σενάριο) για τις επιχειρήσεις και συνιστά αντικίνητρο για τις επιχειρήσεις, συμπεριλαμβανομένων των ΜΜΕ, που λειτουργούν στην ενιαία αγορά και οι οποίες ενδεχομένως ενδιαφέρονται να επεκτείνουν τις δραστηριότητές τους πέρα από τα σύνορα.

Εξάλλου, οι πόροι και οι εξουσίες των εθνικών αρχών που είναι υπεύθυνες για την προστασία δεδομένων ποικίλλουν σημαντικά μεταξύ των κρατών μελών. Σε ορισμένες περιπτώσεις, αυτό σημαίνει οι εν λόγω αρχές δεν δύνανται να εκτελέσουν ικανοποιητικά τα καθήκοντα επιβολής του νόμου που τους έχουν ανατεθεί. Η συνεργασία μεταξύ των αρχών αυτών σε ευρωπαϊκό επίπεδο – μέσω της υφιστάμενης συμβουλευτικής ομάδας (της ομάδας εργασίας του άρθρου 29) – δεν οδηγεί πάντα σε συνεκτική εφαρμογή και, επομένως, πρέπει επίσης να βελτιωθεί.

2.2. Πρόβλημα 2: Δυσκολίες των φυσικών προσώπων ως προς τη διατήρηση ελέγχου επί των δεδομένων που τα αφορούν

Λόγω της έλλειψης εναρμόνισης των εθνικών νομοθεσιών για την προστασία δεδομένων και των αποκλινουσών εξουσιών των εθνικών αρχών προστασίας δεδομένων, η άσκηση από τα φυσικά πρόσωπα των δικαιωμάτων αυτών είναι περισσότερο δυσχερής σε ορισμένα κράτη μέλη από ό,τι σε άλλα, ιδίως σε επιγραμμικό πλαίσιο.

Επίσης, τα φυσικά πρόσωπα έχουν χάσει τον έλεγχο επί των δεδομένων τους, λόγω του τεράστιου όγκου των δεδομένων που ανταλλάσσονται καθημερινά και λόγω του ότι τα φυσικά πρόσωπα συχνά δεν έχουν πλήρη επίγνωση της συλλογής των δεδομένων τους. Μολονότι πολλοί Ευρωπαίοι εκτιμούν ότι η κοινολόγηση δεδομένων προσωπικού χαρακτήρα αποτελεί όλο και περισσότερο τμήμα της σύγχρονης ζωής[1], ποσοστό 72% των χρηστών του διαδικτύου στην Ευρώπη ανησυχεί ακόμα ότι τους ζητούνται επιγραμμικά υπερβολικά δεδομένα προσωπικού χαρακτήρα, και συχνά, δεν γνωρίζουν τον τρόπο άσκησης των δικαιωμάτων τους επιγραμμικά.

2.3. Πρόβλημα 3: Κενά και ασυνέπειες στην προστασία δεδομένων προσωπικού χαρακτήρα στον τομέα της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις

Το πεδίο εφαρμογής της οδηγίας, που βασίζεται σε νομική βάση της εσωτερικής αγοράς, απέκλειε ειδικά την αστυνομική και δικαστική συνεργασία σε ποινικές υποθέσεις. Η απόφαση πλαίσιο που εκδόθηκε το 2008 για τη ρύθμιση της επεξεργασίας δεδομένων στον τομέα της αστυνομικής και της δικαστικής συνεργασίας σε ποινικές υποθέσεις αντανακλά τις ιδιαιτερότητες της προ Λισαβόνας δομής της ΕΕ με βάση τους «πυλώνες» και χαρακτηρίζεται από περιορισμένο πεδίο εφαρμογής και διάφορα άλλα κενά, που συχνά συνεπάγονται έλλειψη ασφάλειας δικαίου για τα φυσικά πρόσωπα και τις αρχές επιβολής του νόμου, καθώς και σε πρακτικές δυσκολίες εφαρμογής. Επιπλέον, η απόφαση πλαίσιο προβλέπει ευρείες δυνατότητες παρέκκλισης από τις γενικές αρχές προστασίας δεδομένων σε εθνικό επίπεδο και, επομένως, δεν εναρμονίζει τις αρχές αυτές. Με αυτόν τον τρόπο, όχι μόνο υπάρχει κίνδυνος ακύρωσης του ίδιου του σκοπού των εν λόγω αρχών – και επομένως αρνητικού επηρεασμού του θεμελιώδους δικαιώματος των φυσικών προσώπων στην προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν σ’ αυτόν τον τομέα – αλλά εμποδίζεται επίσης η ομαλή ανταλλαγή δεδομένων προσωπικού χαρακτήρα μεταξύ συναφών εθνικών αρχών.

3. Ανάλυση της επικουρικότητας και της αναλογικότητας

Με γνώμονα τα προβλήματα που περιγράφονται παραπάνω, από την ανάλυση της επικουρικότητας προκύπτει η ανάγκη ανάληψης δράσης σε επίπεδο ΕΕ για τους ακόλουθους λόγους:

· Το δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα κατοχυρώνεται στο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων. Το άρθρο 16 της ΣΛΕΕ αποτελεί τη νομική βάση για τη θέσπιση κανόνων της ΕΕ σχετικά με την προστασία δεδομένων.

· Τα δεδομένα προσωπικού χαρακτήρα μπορούν να διαβιβάζονται διαμέσου των εθνικών σύνορων, τόσο εντός των εσωτερικών συνόρων της ΕΕ όσο και προς τρίτες χώρες, με ταχέως αυξανόμενους ρυθμούς. Επιπλέον, υφίστανται πρακτικές προκλήσεις σε σχέση με την επιβολή της νομοθεσίας για την προστασία δεδομένων καθώς και ανάγκη συνεργασίας μεταξύ των κρατών μελών και των αρχών τους, η οποία πρέπει να μεθοδευθεί στο επίπεδο της ΕΕ προκειμένου να διασφαλιστεί η αναγκαία συνοχή και υψηλό επίπεδο προστασίας εντός της Ένωσης.

· Τα κράτη μέλη δεν μπορούν από μόνα τους να μειώσουν τα προβλήματα στην παρούσα κατάσταση. Αυτό ισχύει ιδίως για τα προβλήματα που απορρέουν από τον κατακερματισμό των εθνικών νομοθεσιών που αφορούν την εφαρμογή του κανονιστικού πλαισίου της ΕΕ για την προστασία δεδομένων.

· Μολονότι τα κράτη μέλη μπορούν να θεσπίσουν πολιτικές οι οποίες διασφαλίζουν τη μη παραβίαση του εν λόγω δικαιώματος, αυτό δεν θα μπορούσε να επιτευχθεί με ομοιόμορφο τρόπο ελλείψει κοινών κανόνων της ΕΕ και θα μπορούσε να δημιουργήσει προσκόμματα στις διασυνοριακές ροές δεδομένων προσωπικού χαρακτήρα.

Οι προβλεπόμενες δράσεις είναι αναλογικές, διότι εμπίπτουν στο πεδίο των αρμοδιοτήτων της Ένωσης όπως καθορίζονται από τις Συνθήκες και είναι αναγκαίες για να διασφαλιστεί η ομοιόμορφη εφαρμογή της νομοθεσίας της ΕΕ, ώστε να κατοχυρωθεί η αποτελεσματική και ίση προστασία των θεμελιωδών δικαιωμάτων των φυσικών προσώπων. Η δράση στο επίπεδο της ΕΕ έχει καθοριστική σημασία για να συνεχιστεί η διασφάλιση της αξιοπιστίας και υψηλού επιπέδου προστασίας των δεδομένων στην εποχή της παγκοσμιοποίησης, με παράλληλη διατήρηση της ελεύθερης ροής των δεδομένων. Η ορθή λειτουργία της εσωτερικής αγοράς απαιτεί την εξασφάλιση από τις διατάξεις ίσων όρων ανταγωνισμού για τους οικονομικούς φορείς.

4. Στόχοι

Οι τρεις κύριοι στόχοι πολιτικής είναι:

· η ενίσχυση της διάστασης της προστασίας δεδομένων που αφορά την εσωτερική αγορά, με τη μείωση του κατακερματισμού, την ενδυνάμωση της συνεκτικότητας και την απλούστευση του κανονιστικού περιβάλλοντος, απαλείφοντας με αυτόν τον τρόπο περιττά έξοδα και μειώνοντας τα διοικητικά βάρη·

· η αύξηση της αποτελεσματικότητας του θεμελιώδους δικαιώματος στην προστασία δεδομένων και η άσκηση ελέγχου από τα φυσικά πρόσωπα στα δεδομένα που τα αφορούν·

· η ενίσχυση της συνοχής του πλαισίου της ΕΕ για την προστασία δεδομένων, συμπεριλαμβανομένου του τομέα της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, με πλήρη συνεκτίμηση της έναρξης ισχύος της Συνθήκης της Λισαβόνας.

5. Επιλογές πολιτικής 5.1. Επιλογή 1:    Δράση μη υποχρεωτικής ισχύος

Η επιλογή αυτή θα αποτελείτο κυρίως από ερμηνευτικές ανακοινώσεις της Επιτροπής, τεχνικά εργαλεία στήριξης και χρηματοδότηση – καθώς και από την ενθάρρυνση της τυποποίησης και της αυτορύθμισης – για να ενισχυθεί η πρακτική εφαρμογή των υφιστάμενων κανόνων από τους υπεύθυνους της επεξεργασίας δεδομένων και να αυξηθεί η ενημέρωση των φυσικών προσώπων. Η Επιτροπή θα πρότεινε μόνο πολύ περιορισμένες νομοθετικές τροποποιήσεις προκειμένου να αποσαφηνισθούν υφιστάμενες έννοιες της οδηγίας και να διευθετηθούν ειδικά ζητήματα τα οποία δεν μπορούν να καλυφθούν αποτελεσματικά με οποιονδήποτε άλλο τρόπο. Αυτή η επιλογή πολιτικής θα αντιμετώπιζε μόνο τα προβλήματα 1 και 2.

Οι περιορισμένες νομοθετικές αλλαγές θα καθιέρωναν ρητά τις αρχές της διαφάνειας και της ελαχιστοποίησης δεδομένων, καθώς και μια νομική βάση για τους «δεσμευτικούς εταιρικούς κανόνες» για διεθνείς διαβιβάσεις.

5.2. Επιλογή 2:    Εκσυγχρονισμός του νομικού πλαισίου

Η Επιτροπή θα μπορούσε να υποβάλει νομοθετικές προτάσεις για την περαιτέρω εναρμόνιση ουσιαστικών κανόνων, τη διευκρίνιση ειδικών διατάξεων και την αντιμετώπιση ασυνεπειών που προκαλούνται από αποκλίνουσες προσεγγίσεις στα κράτη μέλη. Οι προτάσεις αυτές θα αντιμετώπιζαν τα προβλήματα 1 και 2 διότι, αφενός, θα διευκόλυναν τις ροές δεδομένων εντός της ΕΕ και από την ΕΕ προς τρίτες χώρες και, αφετέρου, θα διασαφήνιζαν και θα ενίσχυαν τα δικαιώματα των φυσικών προσώπων (π.χ. δικαίωμα πρόσβασης, «δικαίωμα στη λήθη», σαφέστερες ρυθμίσεις για τη συγκατάθεση και τη γνωστοποίηση παραβιάσεων δεδομένων) και θα ενδυνάμωναν την ευθύνη και τη «λογοδοσία» των υπεύθυνων της επεξεργασίας δεδομένων και των εκτελούντων την επεξεργασία (π.χ. με την καθιέρωση, όπου απαιτείται, της υποχρέωσης διορισμού Υπεύθυνων Προστασίας Δεδομένων – ΥΠΔ – ή της διενέργειας εκτίμησης αντικτύπου της προστασίας δεδομένων – ΕΑΠΔ). Η επιλογή αυτή θα δημιουργούσε, ιδίως «μονοαπευθυντική θυρίδα» για τους υπεύθυνους της επεξεργασίας δεδομένων (δηλαδή ένα μόνο δίκαιο και μία μόνο αρμόδια ΑΠΔ). Οι γενικές απαιτήσεις γνωστοποίησης θα απλουστευθούν (δηλαδή «βασική καταχώριση»). Η επιλογή αυτή θα ενίσχυε επίσης την ανεξαρτησία των ΑΠΔ και θα εναρμόνιζε τις εξουσίες τους. Η συνεργασία και η αμοιβαία συνδρομή μεταξύ των ΑΠΔ θα ενδυναμωνόταν, π.χ. μέσω νέου «μηχανισμού συνεκτικότητας» στον οποίο θα συμμετείχαν τόσο ένα νεοσύστατο «Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων» όσο και η Επιτροπή.

Όσον αφορά την προστασία δεδομένων στον τομέα της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις (πρόβλημα 3), η Επιτροπή θα μπορούσε να υποβάλει προτάσεις για την αντικατάσταση της απόφασης πλαισίου με νέο μέσο με διευρυμένο πεδίο εφαρμογής και θα αντιμετώπιζε τις πιο σημαντικές αδυναμίες και κενά, προκειμένου να ενισχύσει τα δικαιώματα των φυσικών προσώπων και να διευκολύνει τη συνεργασία μεταξύ των αρχών επιβολής του νόμου, λαμβάνοντας υπόψη παράλληλα τις ιδιαιτερότητες του τομέα της επιβολής του νόμου.

5.3. Επιλογή 3:    Λεπτομερείς νομικοί κανόνες στο επίπεδο της ΕΕ

Η επιλογή αυτή θα περιλάμβανε τα περισσότερα στοιχεία της επιλογής 2 καθώς και πολύ περισσότερο λεπτομερή νομοθεσία της ΕΕ, μεταξύ άλλων τομεακή νομοθεσία (π.χ. στον τομέα της υγείας και της ιατρικής), και κεντρική δομή εκτέλεσης στο επίπεδο της ΕΕ (δηλαδή θέσπιση Αρχής Προστασίας Δεδομένων της ΕΕ). Θα περιελάμβανε επίσης την κατάργηση των γενικών απαιτήσεων γνωστοποίησης (εκτός από τον προηγούμενο έλεγχο της επικίνδυνης επεξεργασίας), τη δημιουργία καθεστώτος πιστοποίησης για ολόκληρη της ΕΕ όσον αφορά τις διαδικασίες και τα προϊόντα που συμμορφώνονται με την προστασία δεδομένων και τον καθορισμό εναρμονισμένων ποινικών κυρώσεων, με ισχύ σε ολόκληρη την ΕΕ, για τις παραβιάσεις των κανόνων προστασίας δεδομένων. Η συναίνεση θα οριζόταν ως ο «πρωταρχικός λόγος» της επεξεργασίας δεδομένων.

Όσον αφορά την αστυνομική και δικαστική συνεργασία σε ποινικές υποθέσεις, εκτός από τα ουσιαστικά μέτρα βάσει της επιλογής 2, θα περιελάμβανε τη θέσπιση λεπτομερών κανόνων για το δικαίωμα πρόσβασης (πάντα άμεσης) των φυσικών προσώπων. Θα κάλυπτε επίσης την τροποποίηση των συναφών διατάξεων όλων των υφιστάμενων μέσων του πρώην τρίτου πυλώνα, για να τα ευθυγραμμίσει πλήρως με τους νέους και διευρυμένους εναρμονισμένους κανόνες.

6. Εκτίμηση αντικτύπου 6.1. Επιλογή πολιτικής 1: Δράση μη υποχρεωτικής ισχύος

Οι ερμηνευτικές ανακοινώσεις της Επιτροπής σχετικά με διατάξεις της οδηγίας δεν θα είναι δεσμευτικές και επομένως θα έχουν περιορισμένο μόνο αντίκτυπο στη μείωση της έλλειψης ασφάλειας δικαίου και των εξόδων. Η μεγαλύτερη αυτορύθμιση στο επίπεδο της ΕΕ θα μπορούσε να συμβάλει στην παροχή μεγαλύτερης νομικής σαφήνειας για τους υπεύθυνους της επεξεργασίας δεδομένων σε ειδικούς τομείς, αλλά δεν θα επαρκούσε για τη διασφάλιση αποτελεσματικής και συνεκτικής εφαρμογής των κανόνων ελλείψει υποκείμενου σαφούς και εναρμονισμένου νομικού πλαισίου της ΕΕ.

Οι ενημερωτικές εκστρατείες θα βοηθούσαν τα φυσικά πρόσωπα να αποκτήσουν περισσότερες πληροφορίες για τα δικαίωματά τους ως προς την προστασία δεδομένων και να κατανοήσουν καλύτερα τους πρακτικούς τρόπους άσκησής τους. Ωστόσο, αυτό δεν θα ήταν αρκετό προκειμένου τα φυσικά πρόσωπα να διεκδικούν τα δικαιώματά τους όταν τα δικαιώματα αυτά δεν καθορίζονται με σαφήνεια από τον νόμο. Με τις νομοθετικές διασαφηνίσεις σχετικά με τις αρχές της διαφάνειας, της ελαχιστοποίησης δεδομένων, της καταλληλότητας και των δεσμευτικών εταιρικών κανόνων θα αυξανόταν η εναρμόνιση και η ασφάλεια δικαίου για τα φυσικά πρόσωπα και τις επιχειρήσεις.

Όσον αφορά την επιβολή της νομοθεσίας, οι ανακοινώσεις της Επιτροπής δεν θα έδιναν λύση στο πρόβλημα της διστακτικότητας των κρατών μελών να αλλάξουν τους εθνικούς κανόνες για να προσδώσουν μεγαλύτερη ανεξαρτησία και εναρμονισμένες εξουσίες στις ΑΠΔ. Ο αυξημένος συντονισμός από την ομάδα εργασίας του άρθρου 29 και οι ανταλλαγές μεταξύ ΑΠΔ θα είχαν θετικό αντίκτυπο στη συνεκτικότερη εφαρμογή των κανόνων. Ωστόσο, οι συνεχιζόμενες αποκλίσεις των εθνικών νομοθεσιών και της ερμηνείας τους θα περιόριζαν το αποτέλεσμα της βελτιωμένης συνεργασίας μεταξύ ΑΠΔ.

Ο αναμενόμενος δημοσιονομικός και οικονομικός αντίκτυπος αυτής της επιλογής πολιτικής είναι περιορισμένος και τα διαπιστωθέντα προβλήματα σε μεγάλο βαθμό δεν θα επιλύονταν.

6.2. Επιλογή πολιτικής 2: Εκσυγχρονισμός του νομικού πλαισίου

Η έλλειψη ασφάλειας δικαίου για τις ιδιωτικές επιχειρήσεις και τις δημόσιες αρχές θα μειωνόταν σημαντικά. Οι προβληματικές διατάξεις θα αποσαφηνίζονταν και η συνεκτικότητα θα αυξανόταν λόγω του μειωμένου περιθωρίου ερμηνείας και των μέτρων εφαρμογής και/ή των κατ’ εξουσιοδότηση πράξεων που θεσπίζονται από την Επιτροπή.

Η αντικατάσταση της γενικής γνωστοποίησης των δραστηριοτήτων επεξεργασίας δεδομένων με απλουστευμένο και εναρμονισμένο σύστημα «καταχώρισης», με την παράλληλη διατήρηση προηγούμενων ελέγχων για τα ευαίσθητα δεδομένα και την επικίνδυνη επεξεργασία, θα απαλλάξει τους υπεύθυνους της επεξεργασίας δεδομένων από μια υποχρέωση που επί του παρόντος εφαρμόζεται με αποκλίνοντα τρόπο. Η ενίσχυση της ευθύνης των υπεύθυνων της επεξεργασίας δεδομένων και των εκτελούντων την επεξεργασία δεδομένων, με την καθιέρωση – σε ορισμένες περιπτώσεις και με σαφώς καθορισμένα και στοχοθετημένα κατώτατα όρια – ΥΠΔ και ΕΑΠΔ και με τη θέσπιση της αρχής της προστασίας δεδομένων από σχεδιασμού, θα διευκολύνει τη διασφάλιση και την απόδειξη της συμμόρφωσης.

Η αποσαφήνιση και απλούστευση των κανόνων με τον καθορισμό ενιαίου εφαρμοστέου δικαίου σε ολόκληρη την ΕΕ καθώς και η δημιουργία «μονοαπευθυντικής θυρίδας» για την εποπτεία της προστασίας δεδομένων θα ενισχύσουν την εσωτερική αγορά, μεταξύ άλλων, εξαλείφοντας τις διαφορές στις διοικητικές διατυπώσεις των ΑΠΔ. Αυτό θα επιτρέψει συνολική εξοικονόμηση, όσον αφορά τα διοικητικά βάρη και μόνον, περίπου 2,3 δισεκ. ευρώ ανά έτος.

Η συνεκτικότητα της εφαρμογής θα αυξηθεί επίσης με την ενίσχυση και την εναρμόνιση των εξουσιών των ΑΠΔ και τη δημιουργία στιβαρού μηχανισμού συνεργασίας και αμοιβαίας συνδρομής για περιπτώσεις με ενωσιακή διάσταση, καθώς και με την εναρμόνιση των αδικημάτων που υπόκεινται σε διοικητικές κυρώσεις.

Μια εναρμονισμένη υποχρέωση γνωστοποίησης των παραβιάσεων δεδομένων που θα ισχύει σε ολόκληρη την ΕΕ θα προστατεύει καλύτερα τα φυσικά πρόσωπα, θα διασφαλίζει τη συνεκτικότητα μεταξύ τομέων και θα αποφεύγει τα ανταγωνιστικά μειονεκτήματα.

Τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα και ο έλεγχος των φυσικών προσώπων στα δεδομένα που τα αφορούν θα ενισχυθούν σημαντικά με την εισαγωγή νέων δικαιωμάτων, καθώς και με τη βελτίωση και περαιτέρω αποσαφήνιση των υφιστάμενων. Τα παιδιά θα ωφεληθούν από μέτρα που αντιμετωπίζουν ειδικά τον ευάλωτο χαρακτήρα τους. Οι ενώσεις θα διαθέτουν μεγαλύτερες δυνατότητες στήριξης των προσώπων στα οποία αναφέρονται τα δεδομένα για την άσκηση των δικαιωμάτων τους, μεταξύ άλλων με προσφυγή στα δικαστήρια.

Η εφαρμογή των γενικών αρχών της προστασίας δεδομένων στον τομέα της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις θα βελτίωνε τη συνολική συνεκτικότητα του πλαισίου της ΕΕ για την προστασία δεδομένων και παράλληλα θα σεβόταν τις εγγενείς ιδιαιτερότητες της επιβολής του νόμου. Τα δικαιώματα των φυσικών προσώπων θα ενισχύονταν, ιδίως, με την επέκταση του πεδίου εφαρμογής των κανόνων προστασίας δεδομένων αυτού του τομέα στην «εγχώρια» επεξεργασία, με τον καθορισμό προϋποθέσεων για τη διασφάλιση του δικαιώματος πρόσβασης και με την πρόβλεψη αυστηρότερων κανόνων για τον περιορισμό σκοπού.

Όσον αφορά τον δημοσιονομικό και οικονομικό αντίκτυπο, η υποχρέωση των μεγαλύτερων οικονομικών φορέων (με περισσότερους από 250 εργαζομένους) να διορίζουν ΥΠΔ δεν θα προκαλέσει δυσανάλογα έξοδα, δεδομένου ότι οι ΥΠΔ είναι ήδη κάτι το σύνηθες σε αυτές τις επιχειρήσεις. Τα έξοδα συμμόρφωσης θα ανέλθουν σε 320 εκατ. ευρώ ανά έτος. Η υποχρέωση θα κάλυπτε ένα αναγκαίο ελάχιστο τμήμα των υπεύθυνων της επεξεργασίας δεδομένων, διότι οι ΜΜΕ θα εξαιρούνταν, κατά κανόνα, από αυτή την υποχρέωση, εκτός εάν οι δραστηριότητες επεξεργασίας δεδομένων τους συνεπάγονται σημαντικούς κινδύνους για την προστασία δεδομένων. Θα επιτρέπεται στις δημόσιες αρχές και τους οργανισμούς να διορίσουν έναν μόνο ΥΠΔ για περισσότερες οντότητες (π.χ. η αποστολή του θα καλύπτει περισσότερα υποκαταστήματα, τμήματα, υπηρεσίες), λαμβανομένης υπόψη της οργανωτικής τους δομής.

Η απλούστευση των κανόνων για τις διεθνείς διαβιβάσεις (για παράδειγμα, με την επέκταση του πεδίου εφαρμογής των «δεσμευτικών εταιρικών κανόνων») θα είχε επίσης θετικό αντίκτυπο στη διεθνή ανταγωνιστικότητα των επιχειρήσεων της ΕΕ.

Η ενίσχυση της ανεξαρτησίας και των εξουσιών των ΑΠΔ, σε συνδυασμό με την υποχρέωση των κρατών μελών να τους παρέχουν επαρκείς πόρους, θα συνεπάγονται πρόσθετα έξοδα για τις δημόσιες αρχές που επί του παρόντος δεν διαθέτουν τις δέουσες εξουσίες και τους κατάλληλους πόρους.

Ο νέος μηχανισμός συνεργασίας και αμοιβαίας συνδρομής μεταξύ ΑΠΔ θα συνεπαγόταν επίσης πρόσθετα έξοδα για τις εθνικές ΑΠΔ και τον ΕΕΠΔ. Για παράδειγμα, τα πρόσθετα καθήκοντα του ΕΕΠΔ σε σχέση με τη γραμματειακή υποστήριξη του Συμβουλίου Προστασίας Δεδομένων της ΕΕ – που αντικαθιστά την ομάδα εργασίας του άρθρου 29 – και ιδίως η συμμετοχή στον μηχανισμό συνεκτικότητας είναι πιθανόν να απαιτήσουν αύξηση των υφιστάμενων πόρων του κατά ένα πρόσθετο ποσό ύψους 3 εκατ. ευρώ ανά έτος κατά μέσο όρο για τα πρώτα έξι έτη, συμπεριλαμβανομένων πιστώσεων για 10 επιπλέον θέσεις προσωπικού.

6.3. Επιλογή πολιτικής 3: Λεπτομερείς νομικοί κανόνες στο επίπεδο της ΕΕ

Η προσθήκη περαιτέρω λεπτομερών νομικών διατάξεων, μεταξύ άλλων και τομεακών, πέρα από τα προβλεπόμενα στην επιλογή 2 μέτρα, θα οδηγούσε σε μέγιστη μείωση των διαφορών μεταξύ των κρατών μελών. Ωστόσο, ενδέχεται να μην υπάρχει αρκετή ευελιξία ώστε τα κράτη μέλη να λάβουν υπόψη τις εθνικές ιδιαιτερότητες.

Η ολική κατάργηση των γνωστοποιήσεων – εκτός από την περίπτωση των προηγούμενων ελέγχων – θα απλούστευε σε μεγάλο βαθμό το κανονιστικό περιβάλλον και θα μείωνε τα διοικητικά βάρη.

Η δημιουργία Οργανισμού Προστασίας Δεδομένων της ΕΕ θα βελτίωνε σε μεγάλο βαθμό τη συνεκτικότητα της εφαρμογής και θα επέλυε τις ασυνέπειες σε περιπτώσεις με σαφή ενωσιακή διάσταση, πλην όμως οι εξουσίες του εν λόγω οργανισμού της ΕΕ θα μπορούσαν να είναι υπερβολικές βάσει του δικαίου της ΕΕ. Ωστόσο, αυτό θα ήταν πολύ δαπανηρό για τον προϋπολογισμό της ΕΕ. Η εναρμόνιση των ποινικών κυρώσεων θα ενίσχυε επίσης τη συνεκτική εφαρμογή, αλλά θα προσέκρουε ομοίως στη σθεναρή αντίσταση των κρατών μελών.

Τα δικαιώματα των υποκειμένων των δεδομένων, συμπεριλαμβανομένων των δικαιωμάτων των παιδιών, θα ενισχύονταν περαιτέρω, για παράδειγμα με την επέκταση του ορισμού των ευαίσθητων δεδομένων ώστε να καλύπτει τα δεδομένα παιδιών, τα βιομετρικά και τα χρηματοοικονομικά δεδομένα. Η εισαγωγή δικαιώματος «συλλογικών αγωγών» θα επέτρεπε τη μεγιστοποίηση των δικαιωμάτων μέσω της προσφυγής στα δικαστήρια. Πρόσθετη ενίσχυση των ατομικών δικαιωμάτων είναι δυνατό να αναμένεται από την εναρμόνιση του επιπέδου των κυρώσεων, περιλαμβανομένων των ποινικών, στο επίπεδο της ΕΕ.

Οι ρητές τροποποιήσεις όλων των νομικών πράξεων με σκοπό την επέκταση των γενικών κανόνων προστασίας δεδομένων στον τομέα της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις θα είχαν θετικό αντίκτυπο όσον αφορά τη συνεκτικότητα και συνοχή των κανόνων στον τομέα αυτόν καθώς και την ενίσχυση των δικαιωμάτων των φυσικών προσώπων. Ωστόσο, μια τέτοια ριζοσπαστική προσέγγιση θα αντιμετώπιζε αντίσταση από την πλευρά των κρατών μελών και είναι πολιτικά δύσκολο να επιτευχθεί.

7. Σύγκριση επιλογών

Η επιλογή πολιτικής 1 θα οδηγούσε σε χαμηλά επίπεδα συμμόρφωσης και διοικητικών εξόδων, ειδικά για τους ιδιώτες υπεύθυνους επεξεργασίας δεδομένων, διότι τα περισσότερα από τα πρόσθετα έξοδα θα επιβάρυναν τις εθνικές και ενωσιακές δημόσιες αρχές. Ταυτόχρονα, η επιλογή αυτή θα είχε περιορισμένο μόνο θετικό αντίκτυπο στα διαπιστωθέντα προβλήματα και στην επίτευξη των στόχων πολιτικής.

Όσον αφορά τη σκοπιμότητα της επιλογής αυτής από πολιτική άποψη, μολονότι οι προτάσεις δεν είναι αμφιλεγόμενες, η εν λόγω επιλογή πολιτικής είναι πιθανό να αντιμετωπίσει αντίσταση από τους ενδιαφερομένους λόγω του περιορισμένου πεδίου εφαρμογής και αντικτύπου της στα προβλήματα, με αποτέλεσμα να μη θεωρηθεί αρκετά φιλόδοξη.

Η επιλογή πολιτικής 2 θα οδηγούσε σε σημαντική μείωση του κατακερματισμού και της έλλειψης ασφάλειας δικαίου. Μπορεί να αναμένεται ότι θα έχει πολύ μεγαλύτερο αντίκτυπο στην αντιμετώπιση των διαπιστωθέντων προβλημάτων και στην επίτευξη των στόχων πολιτικής. Η στάθμιση της συμμόρφωσης και των διοικητικών εξόδων που συνδέονται με αυτή την επιλογή πολιτικής αναμένεται να είναι εύλογη με βάση τα οφέλη της και την εξοικονόμηση περίπου 2,3 δισεκ. ευρώ σε διοικητικά βάρη ανά έτος, πράγμα λίαν σημαντικό για τις επιχειρήσεις. Η επιλογή αυτή θα διασφαλίσει καλύτερη και περισσότερο συνεκτική εφαρμογή συνολικά. Η κατάργηση των γνωστοποιήσεων υπέρ ενός πολύ απλούστερου «βασικού συστήματος καταχώρισης» θα απλούστευε επίσης το κανονιστικό περιβάλλον και θα μείωνε τα διοικητικά βάρη.

Όσον αφορά την αποδοχή των ενδιαφερομένων, η επιλογή αυτή θα γινόταν γενικά δεκτή θετικά από τους οικονομικούς φορείς και τις δημόσιες αρχές, διότι συνολικά θα μείωνε τα έξοδα συμμόρφωσής τους, ιδίως αυτά που συνδέονται με το τρέχον κατακερματισμένο καθεστώς. Η ενίσχυση των δικαιωμάτων προστασίας δεδομένων θα γίνει δεκτή με ικανοποίηση από την κοινότητα προστασίας δεδομένων και ιδίως από τις ΑΠΔ. Ως προς τον τρίτο γενικό στόχο, η επιλογή αυτή θα συνέβαλλε στην επίτευξη των στόχων της διασφάλισης μεγαλύτερης συνοχής και συνεκτικότητας των κανόνων προστασίας δεδομένων στον τομέα της αστυνομικής και της δικαστικής συνεργασίας σε ποινικές υποθέσεις, με την κατάργηση της απόφασης πλαισίου και την υπαγωγή της στο καθεστώς της Λισαβόνας, απαλείφοντας επομένως τα κενά της, ιδίως με την επέκταση του πεδίου εφαρμογής της στην «εγχώρια» επεξεργασία.

Η επιλογή πολιτικής 3 περιλαμβάνει τα περισσότερα από τα μέτρα της επιλογής πολιτικής 2, ενώ παράλληλα είναι περισσότερο φιλόδοξη ως προς διάφορες πτυχές. Επομένως, θα είχε εκτεταμένο και θετικό αντίκτυπο όσον αφορά τόσο τη μείωση των εξόδων που συνδέονται με τον νομικό κατακερματισμό όσο και την ενίσχυση των δικαωμάτων των φυσικών προσώπων. Επιπλέον, θα μεγιστοποιούσε τη συνεκτικότητα και τη συνοχή των κανόνων προστασίας δεδομένων στον πρώην τρίτο πυλώνα και θα αναβάθμιζε τα πρότυπα προστασίας δεδομένων στο εν λόγω πλαίσιο. Ωστόσο, μερικά από τα μέτρα που συμπεριλαμβάνονται στην επιλογή αυτή είτε απαιτούν εξαιρετικά υψηλό κόστος συμμόρφωσης είτε είναι πιθανό να αντιμετωπίσουν σθεναρή αντίσταση από τους ενδιαφερομένους. Περαιτέρω, η ταυτόχρονη τροποποίηση όλων των νομικών πράξεων του πρώην τρίτου πυλώνα θα ήταν πολύ περίπλοκη και πολιτικά αμφιλεγόμενη.

Προτιμώμενη επιλογή:

Η προτιμώμενη επιλογή είναι η επιλογή 2 σε συνδυασμό με:

– την κατάργηση των υποχρεώσεων γνωστοποίησης της επιλογής 3, και

– ορισμένα «μη υποχρεωτικά μέτρα» από την επιλογή 1: ενθάρρυνση των τεχνολογιών βελτίωσης της προστασίας της ιδιωτικής ζωής και των καθεστώτων πιστοποίησης, και ενημερωτικές εκστρατείες.

Η προτιμώμενη επιλογή είναι η πλέον πιθανή να επιτύχει τους στόχους πολιτικής χωρίς υπερβολικά έξοδα συμμόρφωσης, και με σημαντική μείωση των διοικητικών βαρών.

Οι ενισχυμένοι κανόνες προστασίας δεδομένων αναμένεται να προκαλέσουν ορισμένα πρόσθετα έξοδα συμμόρφωσης, ιδίως για τους υπεύθυνους επεξεργασίας που ασχολούνται με δραστηριότητες επικίνδυνης επεξεργασίας δεδομένων. Ωστόσο, ένα ισχυρό καθεστώς προστασίας δεδομένων μπορεί να προσφέρει ανταγωνιστικό πλεονέκτημα για την οικονομία της ΕΕ, δεδομένου ότι ένα υψηλότερο επίπεδο προστασίας και η αναμενόμενη μείωση του αριθμού συμβάντων και παραβιάσεων που αφορούν την προστασία δεδομένων μπορούν να αυξήσουν την εμπιστοσύνη των καταναλωτών. Η επιβολή στις επιχειρήσεις της υποχρέωσης να θεσπίσουν υψηλά πρότυπα προστασίας δεδομένων μπορεί επίσης να οδηγήσει σε μακροπρόθεσμες βελτιώσεις για τις ευρωπαϊκές επιχειρήσεις, οι οποίες θα μπορούσαν να καταλάβουν ηγετική θέση παγκοσμίως όσον αφορά την τεχνολογία βελτίωσης της προστασίας της ιδιωτικής ζωής ή των εκ σχεδιασμού λύσεων για την προστασία της ιδιωτικής ζωής, προσελκύοντας επιχειρήσεις, θέσεις εργασίας και κεφάλαια στην Ευρωπαϊκή Ένωση.

Εξάλλου, για τις επιχειρήσεις που δραστηριοποιούνται στην εσωτερική αγορά της ΕΕ, η αυξημένη εναρμόνιση θα καταστήσει τη διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα απλούστερη και λιγότερο δαπανηρή. Αυτό αναμένεται να παράσχει σημαντικά κίνητρα για τις επιχειρήσεις αυτές ώστε να επεκταθούν διασυνοριακά και να αξιοποιήσουν τα οφέλη της εσωτερικής αφοράς, με ευεργετικά αποτελέσματα τόσο για τους καταναλωτές όσο και για την ευρωπαϊκή οικονομία στο σύνολό της.

Η προτιμώμενη επιλογή περιλαμβάνει εξισορροπημένη λύση και στο πρόβλημα 3, διότι ενισχύει τα δικαιώματα των φυσικών προσώπων, εξαλείφει τα κενά και μειώνει τις ασυνέπειες όσον αφορά την προστασία δεδομένων στον τομέα της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις, ενώ παράλληλα διευκολύνει τη συνεργασία για την επιβολή του νόμου και σέβεται τις ιδιαιτερότητες του τομέα και τις επιχειρησιακές του ανάγκες.

8. Παρακολούθηση και αξιολόγηση

Η παρακολούθηση και η αξιολόγηση του αντικτύπου της προτιμώμενης επιλογής θα εστιαστούν σε στοιχεία όπως η χρήση των νέων μέσων που καθιερώνονται με τη μεταρρύθμιση, οι εξουσίες και οι πόροι των εθνικών ΑΠΔ, οι κυρώσεις που επιβάλλονται για παραβιάσεις της νομοθεσίας περί προστασίας δεδομένων, ο χρόνος και τα έξοδα που χρειάζονται οι υπεύθυνοι της επεξεργασίας δεδομένων για τη συμμόρφωση και, τέλος, η ενίσχυση της εμπιστοσύνης των φυσικών προσώπων στην προστασία των προσωπικών τους δεδομένων στο επιγραμμικό περιβάλλον.

[1]               Βλ. Ειδικό Ευρωβαρόμετρο 359 – Στάσεις όσον αφορά την προστασία δεδομένων και την ηλεκτρονική ταυτότητα στην Ευρωπαϊκή Ένωση, Ιούνιος 2011, σ. 23.