Γνώμη 01/2017 της Ομάδας Εργασίας του Άρθρου 29 σχετικά με την πρόταση κανονισμού για τον κανονισμό για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες (2002/58/ΕΚ)

Η ΟΜΑΔΑ ΕΡΓΑΣΙΑΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΩΝ ΕΝΑΝΤΙ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

που συστάθηκε με την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995,

έχοντας υπόψη τα άρθρα 29 και 30 της εν λόγω οδηγίας,

έχοντας υπόψη τον εσωτερικό κανονισμό της,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΓΝΩΜΗ:

 

ΣΥΝΟΨΗ

Η ομάδα εργασίας επικροτεί την πρόταση της Ευρωπαϊκής Επιτροπής, η οποία υποβλήθηκε στις 10 Ιανουαρίου 2017, σχετικά με έναν κανονισμό για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες. Η ομάδα εργασίας επικροτεί το γεγονός ότι ως κανονιστικό μέσο επελέγη ο κανονισμός. Με τον τρόπο αυτό διασφαλίζεται η ομοιομορφία των κανόνων σε ολόκληρη την ΕΕ και παρέχεται σαφήνεια για τις εποπτικές αρχές και τους οργανισμούς. Επιπλέον, διευκολύνεται η εξασφάλιση συνοχής με τον γενικό κανονισμό για την προστασία δεδομένων (ΓΚΠΔ). Η εν λόγω συνοχή υποστηρίζεται περαιτέρω με την επιλογή να διοριστεί ως αρμόδια αρχή για την επιβολή των κανόνων σχετικά με την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες η ίδια αρχή που είναι αρμόδια για την παρακολούθηση της συμμόρφωσης με τον ΓΚΠΔ.

Ταυτόχρονα, είναι θετική η επιλογή (της διατήρησης) μιας συμπληρωματικής νομοθετικής πράξης. Η προστασία του απορρήτου των επικοινωνιών και του τερματικού εξοπλισμού έχει ιδιαίτερα χαρακτηριστικά τα οποία δεν εξετάζονται στον ΓΚΠΔ. Ως εκ τούτου, απαιτούνται συμπληρωματικές διατάξεις σχετικά με αυτά τα είδη υπηρεσιών, προκειμένου να διασφαλιστεί η επαρκής προστασία του θεμελιώδους δικαιώματος στην προστασία της ιδιωτικής ζωής και του απορρήτου των επικοινωνιών, συμπεριλαμβανομένου του απορρήτου του τερματικού εξοπλισμού. Εν προκειμένω, η ομάδα εργασίας τάσσεται σθεναρά υπέρ της βασισμένης σε αρχές προσέγγισης που επελέγη στην πρόταση κανονισμού και που προβλέπει ευρείες απαγορεύσεις και περιορισμένες εξαιρέσεις, καθώς και υπέρ της στοχευμένης εφαρμογής της έννοιας της συγκατάθεσης.

Η ομάδα εργασίας επικροτεί την επέκταση του πεδίου εφαρμογής της πρότασης κανονισμού ώστε να συμπεριληφθούν οι πάροχοι επιφυών υπηρεσιών (Over-The-Top — OTT), δηλαδή υπηρεσιών που είναι λειτουργικά ισοδύναμες με πιο παραδοσιακά μέσα επικοινωνίας και, συνεπώς, έχουν παρόμοιες δυνατότητες να επηρεάσουν την ιδιωτική ζωή και το δικαίωμα στο απόρρητο των επικοινωνιών των ατόμων στην ΕΕ. Είναι επίσης θετικό το γεγονός ότι η πρόταση κανονισμού καλύπτει σαφώς το περιεχόμενο και τα συναφή μεταδεδομένα και αναγνωρίζει ότι τα μεταδεδομένα μπορεί να αποκαλύπτουν πολύ ευαίσθητα δεδομένα.

Ωστόσο, η ομάδα εργασίας επισημαίνει επίσης τέσσερα ζητήματα που προκαλούν ιδιαίτερη ανησυχία. Όσον αφορά την παρακολούθηση της θέσης του τερματικού εξοπλισμού, τις προϋποθέσεις υπό τις οποίες επιτρέπεται η ανάλυση περιεχομένου και μεταδεδομένων, τις προεπιλεγμένες ρυθμίσεις του τερματικού εξοπλισμού και λογισμικού, καθώς και την πρόσβαση υπό την προϋπόθεση αποδοχής cookies («τείχη παρακολούθησης» — tracking walls), η πρόταση κανονισμού υποβαθμίζει το επίπεδο προστασίας που παρέχει ο ΓΚΠΔ. Στην παρούσα γνώμη, η ομάδα εργασίας διατυπώνει συγκεκριμένες προτάσεις ώστε να διασφαλιστεί ότι ο κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες θα εγγυάται το ίδιο ή υψηλότερο επίπεδο προστασίας, το οποίο συνάδει με τον ευαίσθητο χαρακτήρα των δεδομένων επικοινωνιών (περιεχόμενο και μεταδεδομένα).

Όσον αφορά την παρακολούθηση μέσω WiFi, ανάλογα με τις περιστάσεις και τους σκοπούς της συλλογής δεδομένων, βάσει του ΓΚΠΔ, η εν λόγω παρακολούθηση είναι πιθανό είτε να υπόκειται σε συγκατάθεση είτε να επιτρέπεται μόνον εφόσον τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται είναι ανωνυμοποιημένα. Στην τελευταία αυτή περίπτωση, πρέπει να πληρούνται οι ακόλουθες τέσσερις προϋποθέσεις: ο σκοπός της συλλογής δεδομένων από τον τερματικό εξοπλισμό περιορίζεται στην απλή στατιστική καταμέτρηση, η παρακολούθηση περιορίζεται χρονικά και χωρικά στον βαθμό που είναι αυστηρά απαραίτητη για τον συγκεκριμένο σκοπό, τα δεδομένα διαγράφονται ή ανωνυμοποιούνται αμέσως μετά και προβλέπονται αποτελεσματικές δυνατότητες αυτοεξαίρεσης. Η Ευρωπαϊκή Επιτροπή καλείται να προωθήσει ένα τεχνικό πρότυπο για τις κινητές συσκευές προκειμένου να γνωστοποιείται αυτομάτως τυχόν αντίρρηση σε αυτή την παρακολούθηση.

Όσον αφορά την ανάλυση του περιεχομένου και των μεταδεδομένων, σημείο αφετηρίας θα πρέπει να αποτελεί η απαγόρευση της επεξεργασίας δεδομένων επικοινωνιών χωρίς τη συγκατάθεση όλων των τελικών χρηστών (αποστολέων και παραληπτών). Προκειμένου οι πάροχοι να είναι σε θέση να παρέχουν υπηρεσίες που ζητούνται ρητά από τον χρήστη, όπως για παράδειγμα λειτουργίες αναζήτησης και ευρετηρίασης ή υπηρεσίες μετατροπής κειμένου σε ομιλία, θα πρέπει να προβλέπεται εξαίρεση οικιακής χρήσης σχετικά με την επεξεργασία περιεχομένου και μεταδεδομένων για αμιγώς προσωπικούς σκοπούς του ίδιου του χρήστη.

Όσον αφορά τη συγκατάθεση στην παρακολούθηση, η ομάδα εργασίας ζητεί τη ρητή απαγόρευση των «τειχών παρακολούθησης» (tracking walls), δηλαδή των επιλογών τύπου «όλα ή τίποτα» που αναγκάζουν του χρήστες να συναινέσουν στην παρακολούθηση εάν επιθυμούν να έχουν πρόσβαση στην υπηρεσία.

Τέλος, η ομάδα εργασίας συνιστά ο τερματικός εξοπλισμός και το λογισμικό να παρέχουν εξ ορισμού ρυθμίσεις προστασίας της ιδιωτικής ζωής, καθώς και σαφείς επιλογές στους χρήστες για την επιβεβαίωση ή την αλλαγή των προεπιλεγμένων αυτών ρυθμίσεων κατά την εγκατάσταση. Οι ρυθμίσεις πρέπει να είναι εύκολα προσβάσιμες κατά τη χρήση. Οι χρήστες πρέπει να έχουν τη δυνατότητα να παρέχουν ειδική συγκατάθεση μέσω των ρυθμίσεων του φυλλομετρητή τους. Οι προτιμήσεις όσον αφορά την ιδιωτική ζωή δεν θα πρέπει να περιορίζονται στην παρέμβαση τρίτων ή στα cookies. Η ομάδα εργασίας συνιστά θερμά να καταστεί υποχρεωτική η τήρηση του προτύπου απαγόρευσης της παρακολούθησης (Do Not Track).

Η ομάδα εργασίας έχει εντοπίσει και άλλα σημεία που προκαλούν ανησυχία και αφορούν, για παράδειγμα, το πεδίο εφαρμογής, την προστασία του τερματικού εξοπλισμού και την άμεση εμπορική προώθηση. Τέλος, η ομάδα εργασίας έχει εντοπίσει ζητήματα που χρήζουν διευκρίνησης για την καλύτερη προστασία των τελικών χρηστών και τη διασφάλιση μεγαλύτερης ασφάλειας δικαίου για όλους τους ενδιαφερόμενους.

 

ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ

1. ΕΙΣΑΓΩΓΗ

2. ΘΕΤΙΚΕΣ ΠΤΥΧΕΣ ΤΗΣ ΠΡΟΤΑΣΗΣ ΚΑΝΟΝΙΣΜΟΥ

Εναρμόνιση σε επίπεδο ΕΕ, ευθυγράμμιση των προστίμων και αποκλειστικός έλεγχος της εφαρμογής από τις αρχές προστασίας δεδομένων (ΑΠΔ)

Επέκταση του πεδίου εφαρμογής σε σύγκριση με την οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες

Στοχευμένη εφαρμογή της έννοιας της συγκατάθεσης

3. ΖΗΤΗΜΑΤΑ ΠΟΥ ΠΡΟΚΑΛΟΥΝ ΣΟΒΑΡΗ ΑΝΗΣΥΧΙΑ

Η προστασία βάσει του ΓΚΠΔ υπονομεύεται από την πρόταση κανονισμού

4. ΑΛΛΑ ΖΗΤΗΜΑΤΑ ΠΟΥ ΠΡΟΚΑΛΟΥΝ ΑΝΗΣΥΧΙΑ

Το εδαφικό και ουσιαστικό πεδίο εφαρμογής πρέπει να επεκταθεί

Η προστασία του τερματικού εξοπλισμού πρέπει να ενισχυθεί

Άμεση εμπορική προώθηση

Χρονοδιάγραμμα

Άλλοι προβληματισμοί

5. ΠΡΟΤΑΣΕΙΣ ΓΙΑ ΔΙΕΥΚΡΙΝΙΣΕΙΣ ΩΣΤΕ ΝΑ ΕΞΑΣΦΑΛΙΣΤΕΙ ΑΣΦΑΛΕΙΑ ΔΙΚΑΙΟΥ

Διευκρινίσεις σχετικά με το πεδίο εφαρμογής 

Διευκρινίσεις σχετικά με την έννοια και την εφαρμογή της συγκατάθεσης 

Διευκρινίσεις σχετικά με τα δεδομένα θέσης και άλλα μεταδεδομένα 

Διευκρινίσεις σχετικά με τις μη ζητηθείσες επικοινωνίες 

Διευκρινίσεις σχετικά με την εφαρμογή των πράξεων περί ανθρωπίνων δικαιωμάτων 

Άλλες διευκρινίσεις 

 

1. ΕΙΣΑΓΩΓΗ

1. Η ομάδα εργασίας του άρθρου 29 για την προστασία των δεδομένων (στο εξής «ομάδα εργασίας») επικροτεί την πρόταση κανονισμού της Ευρωπαϊκής Επιτροπής για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες1 (στο εξής «πρόταση κανονισμού» ή «κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες»), η οποία προορίζεται να αντικαταστήσει την οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες2.

2. Πολλές πτυχές της πρότασης κανονισμού είναι θετικές και η Ευρωπαϊκή Επιτροπή έχει κάνει ένα σημαντικό βήμα προόδου με την υποβολή της εν λόγω πρότασης. Ωστόσο, η πρόταση κανονισμού μπορεί να βελτιωθεί περαιτέρω. Με τον τρόπο αυτό, όχι μόνο θα προστατευτούν καλύτερα οι τελικοί χρήστες, αλλά θα εξασφαλιστεί παράλληλα μεγαλύτερη ασφάλεια δικαίου για όλους τους ενδιαφερόμενους.

3. Ως εκ τούτου, η ομάδα εργασίας εφιστά την προσοχή σε διάφορα ζητήματα που προκαλούν ανησυχία και διατυπώνει συστάσεις για διευκρινίσεις που θα πρέπει να ληφθούν υπόψη από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο Υπουργών στο πλαίσιο της συζήτησής τους σχετικά με την πρόταση κανονισμού. Στην παρούσα γνώμη θα εξεταστούν αρχικά οι θετικές πτυχές της πρότασης κανονισμού και στη συνέχεια θα επισημανθούν τα ζητήματα που προκαλούν ανησυχία και τα σημεία που χρήζουν διευκρίνισης.

 

2. ΘΕΤΙΚΕΣ ΠΤΥΧΕΣ ΤΗΣ ΠΡΟΤΑΣΗΣ ΚΑΝΟΝΙΣΜΟΥ

ΕΝΑΡΜΟΝΙΣΗ ΣΕ ΕΠΙΠΕΔΟ ΕΕ, ΕΥΘΥΓΡΑΜΜΙΣΗ ΤΩΝ ΠΡΟΣΤΙΜΩΝ ΚΑΙ ΑΠΟΚΛΕΙΣΤΙΚΟΣ ΕΛΕΓΧΟΣ ΤΗΣ ΕΦΑΡΜΟΓΗΣ ΑΠΟ ΤΙΣ ΑΡΧΕΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (ΑΠΔ)

4. Η ομάδα εργασίας επικροτεί το γεγονός ότι ως κανονιστικό μέσο επελέγη ο κανονισμός. Με τον τρόπο αυτό διασφαλίζεται η ομοιομορφία των κανόνων σε ολόκληρη την ΕΕ (με ορισμένες εξαιρέσεις, οι οποίες θα εξεταστούν κατωτέρω). Παράλληλα, παρέχεται σαφήνεια για τις εποπτικές αρχές και τους οργανισμούς. Επιπλέον, δεδομένου του καίριου ρόλου που διαδραματίζει ο γενικός κανονισμός για την προστασία δεδομένων (ΓΚΠΔ)3 στην πρόταση κανονισμού, με τον τρόπο αυτό διασφαλίζεται η συνοχή μεταξύ των δύο αυτών πράξεων. Ταυτόχρονα, είναι θετική η επιλογή (της διατήρησης) μιας συμπληρωματικής νομοθετικής πράξης. Η προστασία του απορρήτου των επικοινωνιών και του τερματικού εξοπλισμού έχει ιδιαίτερα χαρακτηριστικά τα οποία δεν εξετάζονται στον ΓΚΠΔ. Ως εκ τούτου, απαιτούνται συμπληρωματικές διατάξεις σχετικά με αυτά τα είδη υπηρεσιών, προκειμένου να διασφαλιστεί η επαρκής προστασία του θεμελιώδους αυτού δικαιώματος. Στο πλαίσιο αυτό, η ομάδα εργασίας τάσσεται επίσης υπέρ της βασισμένης σε αρχές προσέγγισης που επελέγη στην πρόταση κανονισμού και που προβλέπει ευρείες απαγορεύσεις και περιορισμένες εξαιρέσεις, και θεωρεί ότι θα πρέπει να αποφευχθεί η εισαγωγή ανοικτών εξαιρέσεων κατά το πρότυπο του άρθρου 6 του ΓΚΠΔ, και ιδίως του άρθρου 6 παράγραφος 1 στοιχείο στ) του ΓΚΠΔ (σκοπός έννομου συμφέροντος).

5. Η επιβολή των κανόνων αυτών από την ίδια αρχή που είναι αρμόδια για την παρακολούθηση της συμμόρφωσης με τον ΓΚΠΔ θα συμβάλει περαιτέρω στη συνοχή μεταξύ των δύο πράξεων. Δεδομένης της σχέσης μεταξύ της προστασίας των δεδομένων προσωπικού χαρακτήρα και της προστασίας του απορρήτου των επικοινωνιών και του τερματικού εξοπλισμού, είναι χρήσιμο ο έλεγχος της εφαρμογής των διατάξεων που προβλέπονται στην πρόταση κανονισμού να ανατεθεί στην ίδια εποπτική αρχή που είναι αρμόδια για τον έλεγχο της εφαρμογής του ΓΚΠΔ (αιτιολογική σκέψη 38 και άρθρο 18 της πρότασης κανονισμού). Επιπλέον, η νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης4 επιβεβαιώνει ότι είναι απαραίτητο η εποπτική αρχή να είναι ανεξάρτητη, όπως προβλέπεται στο άρθρο 7 του Χάρτη. Ωστόσο, από πρακτική σκοπιά, αυτό θα οδηγούσε σε σημαντικό επιπλέον φόρτο εργασίας για τις ΑΠΔ, χωρίς εγγύηση επιτυχίας εάν δεν εξασφαλιστεί επιπλέον προϋπολογισμός. Ως εκ τούτου, οι ΑΠΔ επικροτούν την αιτιολογική σκέψη 38 της πρότασης κανονισμού, στην οποία επισημαίνεται ότι σε κάθε εποπτική αρχή θα πρέπει να παρέχονται οι πρόσθετοι οικονομικοί και ανθρώπινοι πόροι, οι εγκαταστάσεις και η υποδομή που απαιτούνται για την αποτελεσματική άσκηση των καθηκόντων της δυνάμει του νέου κανονισμού. Επικροτείται επίσης το γεγονός ότι το άρθρο 18 παράγραφος 2 παρέχει τη νομική βάση για συνεργασία μεταξύ των εποπτικών αρχών της πρότασης κανονισμού και των εθνικών ρυθμιστικών αρχών της πρότασης οδηγίας για τη θέσπιση του Ευρωπαϊκού Κώδικα Ηλεκτρονικών Επικοινωνιών (ΕΚΗΕ)5.

6. Δεδομένης της στενής σχέσης μεταξύ της πρότασης κανονισμού και του ΓΚΠΔ, επικροτείται επίσης η ευθυγράμμιση των προστίμων που προβλέπονται στην πρόταση κανονισμού με τον ΓΚΠΔ. Οι δραστηριότητες που εμπίπτουν στο πεδίο εφαρμογής της πρότασης κανονισμού είναι αρκετά ευαίσθητου χαρακτήρα και σε αυτές περιλαμβάνονται, μεταξύ άλλων, η παρέμβαση στο απόρρητο των επικοινωνιών και του τερματικού εξοπλισμού. Το επίπεδο των προστίμων θα πρέπει να είναι ανάλογο προς το ευαίσθητο αυτό πλαίσιο. Το πλαίσιο αυτό αποτελεί επίσης τον λόγο για τον οποίο είναι σημαντική η εναρμόνιση σε ολόκληρη την ΕΕ, προκειμένου να παρέχεται το ίδιο υψηλό επίπεδο προστασίας σε ολόκληρη την περιοχή. Το άρθρο 23 της πρότασης κανονισμού προβλέπει αποτελεσματικά πρόστιμα για παραβάσεις των διατάξεων του κανονισμού, των οποίων το επίπεδο είναι παρόμοιο με αυτό των προστίμων που προβλέπονται για την παραβίαση των κανόνων του ΓΚΠΔ, με εξαίρεση ορισμένα σημεία (βλέπε σημείο 38).

7. Η παράλειψη ειδικών κανόνων σχετικά με τη γνωστοποίηση παραβίασης δεδομένων στη συγκεκριμένη νομοθετική πράξη είναι επίσης ευπρόσδεκτη, προκειμένου να αποφευχθεί η περιττή αλληλεπικάλυψη με τις απαιτήσεις του ΓΚΠΔ σχετικά με τις περιπτώσεις παραβίασης δεδομένων.

8. Επικροτείται επίσης το γεγονός ότι πλέον το ενδιαφέρον εστιάζεται στην παροχή ισοδύναμου επιπέδου προστασίας σε όλους τους τελικούς χρήστες, δεδομένου ότι στην πρόταση κανονισμού παραλείπεται η έννοια της διαφοροποίησης μεταξύ «συνδρομητών» και άλλων χρηστών υπηρεσιών ηλεκτρονικών επικοινωνιών.

 

ΕΠΕΚΤΑΣΗ ΤΟΥ ΠΕΔΙΟΥ ΕΦΑΡΜΟΓΗΣ ΣΕ ΣΥΓΚΡΙΣΗ ΜΕ ΤΗΝ ΟΔΗΓΙΑ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΗΣ ΙΔΙΩΤΙΚΗΣ ΖΩΗΣ ΣΤΙΣ ΗΛΕΚΤΡΟΝΙΚΕΣ ΕΠΙΚΟΙΝΩΝΙΕΣ

9. Η ομάδα εργασίας επικροτεί την επέκταση του πεδίου εφαρμογής της πρότασης κανονισμού ώστε να συμπεριληφθούν οι πάροχοι επιφυών υπηρεσιών (Over- The-Top — OTT), δηλαδή υπηρεσιών που είναι λειτουργικά ισοδύναμες με πιο παραδοσιακά μέσα επικοινωνίας και, συνεπώς, έχουν παρόμοιες δυνατότητες να επηρεάσουν την ιδιωτική ζωή και το δικαίωμα στο απόρρητο των επικοινωνιών των πολιτών της ΕΕ. Η ομάδα εργασίας επιδοκιμάζει ιδιαίτερα το γεγονός ότι όλες οι κατηγορίες επιφυών υπηρεσιών (OTT0, OTT1 και ορισμένες OTT2)6 εμπίπτουν πλέον στο πεδίο εφαρμογής του κανονισμού, δεδομένου ότι δεν καλύπτει μόνο παραδοσιακά μέσα επικοινωνίας (OTT0), αλλά και λειτουργικά ισοδύναμες υπηρεσίες (OTT1), όπως αναφέρεται στο άρθρο 8 παράγραφος 1 στοιχείο γ) της πρότασης κανονισμού. Είναι επίσης θετικό το γεγονός ότι, πέραν των ορισμών βάσει του ΕΚΗΕ, περιλαμβάνονται επίσης ορισμένες υπηρεσίες OTT2 όταν παρέχουν παρεπόμενη διαπροσωπική και διαδραστική επικοινωνία που συνδέεται άρρηκτα με την υπηρεσία τους, όπως σε παιχνίδια, εφαρμογές ραντεβού και δικτυακούς τόπους αξιολόγησης (άρθρο 4 παράγραφος 2 της πρότασης κανονισμού). Ομοίως, πρέπει να επικροτηθεί επίσης η διευκρίνιση ότι η προστασία καλύπτει επίσης την αλληλεπίδραση μηχανής προς μηχανή. Στην αιτιολογική σκέψη 12 καθίσταται σαφές ότι οι συσκευές που επικοινωνούν μεταξύ τους εμπίπτουν στο πεδίο προστασίας που παρέχεται βάσει της πρότασης κανονισμού. Τούτο είναι επιθυμητό, δεδομένου ότι οι επικοινωνίες αυτές συχνά περιέχουν πληροφορίες που προστατεύονται από δικαιώματα σεβασμού της ιδιωτικής ζωής. Ωστόσο, θα μπορούσε να αποσαφηνιστεί το πεδίο εφαρμογής [βλέπε σημείο 40 στοιχείο η)].

10. Είναι επίσης θετικό το γεγονός ότι η πρόταση κανονισμού καλύπτει σαφώς το περιεχόμενο και τα συναφή μεταδεδομένα. Στην αιτιολογική σκέψη 14 καθίσταται σαφές ότι ο ορισμός των «δεδομένων ηλεκτρονικών επικοινωνιών» που περιλαμβάνεται στο άρθρο 4 παράγραφος 3 στοιχείο α) προορίζεται να είναι επαρκώς ευρύς ώστε να καλύπτει κάθε περιεχόμενο, καθώς και τα συναφή μεταδεδομένα, ανεξαρτήτως, για παράδειγμα, των μέσων μεταφοράς των σημάτων. Ωστόσο, η ομάδα εργασίας επισημαίνει στο σημείο 39 ως ζήτημα που εγείρει ανησυχία το γεγονός ότι ο τρέχων αυτός ορισμός των «δεδομένων ηλεκτρονικών επικοινωνιών» εξακολουθεί να αποτελεί αντικείμενο συζήτησης. Σύμφωνα με αυτή την επέκταση του πεδίου εφαρμογής, η ομάδα εργασίας θεωρεί ότι η αναγνώριση ότι τα μεταδεδομένα μπορεί να αποκαλύπτουν πολύ ευαίσθητα δεδομένα (βλέπε σημείο 2.2 της αιτιολογικής έκθεσης, αιτιολογική σκέψη 2) συνιστά απαραίτητη προσθήκη. Η ομάδα εργασίας επικροτεί το γεγονός ότι η Ευρωπαϊκή Επιτροπή ενσωματώνει με τον τρόπο αυτό τις σκέψεις του Δικαστηρίου στις αποφάσεις επί των υποθέσεων Digital Rights Ireland και Tele2/Watson. Η ομάδα εργασίας του άρθρου 29 επιδοκιμάζει επίσης την αναγνώριση ότι η ανάλυση του περιεχομένου αποτελεί επεξεργασία υψηλού κινδύνου. Στην αιτιολογική σκέψη 19 και στο άρθρο 6 παράγραφος 3 στοιχείο β) διατυπώνεται το λογικό νομικό τεκμήριο ότι η σάρωση περιεχομένου αποτελεί επεξεργασία υψηλού κινδύνου σύμφωνα με το άρθρο 35 του ΓΚΠΔ και, προφανώς, ανεξάρτητα από την ύπαρξη υπολειπόμενου υψηλού κινδύνου, απαιτείται πάντοτε προηγούμενη διαβούλευση με την (επικεφαλής) αρχή προστασίας δεδομένων. Παράλληλα, η ομάδα εργασίας διατηρεί επιφυλάξεις σχετικά με το πεδίο εφαρμογής του ορισμού των «μεταδεδομένων» και το γεγονός ότι η ανάλυση των μεταδεδομένων δεν υπόκειται στην ίδια απαίτηση υποχρεωτικής διενέργειας εκτίμησης επιπτώσεων στην προστασία των δεδομένων (ΕΕΠΔ) (βλέπε σημεία 33 και 46).

11. Επικροτείται επίσης η εξακολούθηση της αναγνώρισης της σημασίας της ανωνυμοποίησης. Στην οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, τα μέτρα ανωνυμοποίησης διαδραμάτιζαν ήδη ρόλο στη διασφάλιση της συμβατότητας (για παράδειγμα, το άρθρο 6 παράγραφος 1 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες ορίζει ότι τα δεδομένα κίνησης πρέπει να απαλείφονται ή να καθίστανται ανώνυμα όταν δεν είναι πλέον απαραίτητα για τον σκοπό της μετάδοσης μιας επικοινωνίας). Στο άρθρο 6 παράγραφος 2 στοιχείο γ) και στο άρθρο 6 παράγραφος 3 στοιχείο β) της πρότασης κανονισμού προβλέπεται εξαίρεση στην απαγόρευση επεξεργασίας μεταδεδομένων και περιεχομένου βάσει συγκατάθεσης, εφόσον ο σχετικός σκοπός ή οι σκοποί «δεν μπορούν να επιτευχθούν μέσω της επεξεργασίας πληροφοριών που έχουν καταστεί ανώνυμες». Η απαίτηση λήψης αυτών των μέτρων προστασίας της ιδιωτικής ζωής, επιπλέον της συγκατάθεσης των χρηστών, προστατεύει τους χρήστες από την αυθαίρετη επεξεργασία. Ωστόσο, η ομάδα εργασίας εκφράζει παράλληλα τη σοβαρή ανησυχία ότι η υιοθέτηση τέτοιων τεχνικών ανωνυμοποίησης δεν θα απαιτείται κατά την παρακολούθηση της θέσης των χρηστών μέσω του κινητού εξοπλισμού τους (βλέπε σημείο 17). Επιπλέον, ακόμη και όταν προβλέπεται η εφαρμογή μέτρων ανωνυμοποίησης, οι πάροχοι θα πρέπει πάντοτε να διενεργούν εκτίμηση επιπτώσεων στην προστασία των δεδομένων (ΕΕΠΔ) (βλέπε σημεία 33 και 46) και η ομάδα εργασίας ζητεί να προβλεφθεί πρόσθετη υποχρέωση δημοσιοποίησης του τρόπου ανωνυμοποίησης και συγκέντρωσης των δεδομένων [βλέπε σημείο 42 στοιχείο β)].

12. Ένα ακόμη θετικό στοιχείο είναι η ευρεία διατύπωση της προστασίας του τερματικού εξοπλισμού. Στην αιτιολογική σκέψη 20 και στο άρθρο 8 ορίζεται ότι οι τεχνολογίες που χρησιμοποιούνται για την πρόσβαση σε τερματικό εξοπλισμό δεν είναι συναφείς: για κάθε παρέμβαση στον τερματικό εξοπλισμό, συμπεριλαμβανομένης της χρήσης των επεξεργαστικών του δυνατοτήτων, απαιτείται η συγκατάθεση του τελικού χρήστη (με ορισμένες εξαιρέσεις). Η Ευρωπαϊκή Επιτροπή έχει πλέον προβεί στη χρήσιμη επιβεβαίωση ότι «η καταγραφή αποτυπώματος συσκευής» εμπίπτει στη συγκεκριμένη διάταξη. Επιπλέον, η ομάδα εργασίας επικροτεί το γεγονός ότι οι προτιμήσεις που εκφράζονται στις ρυθμίσεις φυλλομετρητή ενός προσώπου επιβάλλονται σε κάθε τρίτο μέρος που δεν συμμορφώνεται με αυτές, όπως περιγράφεται στην αιτιολογική σκέψη 22. Αυτό είναι χρήσιμο σε περιπτώσεις στις οποίες ένα τρίτο μέρος (π.χ. δίκτυο διαφήμισης) δεν σέβεται τις συγκεκριμένες ρυθμίσεις. Ωστόσο, θα πρέπει να διατυπωθεί και σε σχετική διάταξη της πρότασης κανονισμού.

13. Τέλος, πρέπει να επικροτηθεί η εξακολούθηση της συμπερίληψης των νομικών προσώπων στο πεδίο εφαρμογής της πρότασης κανονισμού (βλέπε σημείο 2.2 της αιτιολογικής έκθεσης· αιτιολογικές σκέψεις 3, 33 και 42· άρθρο 1, άρθρο 15 και άρθρο 16 παράγραφος 5). Αυτό ισχύει ήδη βάσει της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, αλλά δεδομένου ότι οι αρχές προστασίας των δεδομένων θα επιφορτιστούν με την επιβολή των νέων κανόνων, είναι χρήσιμο να γίνει ειδική επισήμανση. Με τον τρόπο αυτό οι αρχές προστασίας των δεδομένων μπορούν να λαμβάνουν μέτρα σε περιπτώσεις στις οποίες νομικά πρόσωπα έχουν πέσει θύματα παραβίασης, για παράδειγμα όταν εταιρείες λαμβάνουν ανεπιθύμητα μηνύματα ή γίνεται κρυφή παρακολούθηση των επικοινωνιών τους. Ωστόσο, η ομάδα εργασίας επισημαίνει επίσης ως ζήτημα που εγείρει ανησυχία το γεγονός ότι η εφαρμογή της συγκατάθεσης στα νομικά πρόσωπα δεν είναι σαφής [βλέπε σημείο 41 στοιχείο α)] και δεν είναι σαφές τι σημαίνει «έννομο συμφέρον» των νομικών προσώπων σε περίπτωση άμεσης εμπορικής προώθησης [βλέπε σημείο 43 στοιχείο γ)].

 

ΣΤΟΧΕΥΜΕΝΗ ΕΦΑΡΜΟΓΗ ΤΗΣ ΕΝΝΟΙΑΣ ΤΗΣ ΣΥΓΚΑΤΑΘΕΣΗΣ

14. Η ομάδα εργασίας επικροτεί άλλη μια κατηγορία βελτιώσεων που σχετίζονται με την εφαρμογή και την ερμηνεία της έννοιας της συγκατάθεσης. Πρώτον, επικροτείται η διευκρίνιση ότι η πρόσβαση στο διαδίκτυο και η (κινητή) τηλεφωνία συνιστούν θεμελιώδεις υπηρεσίες και ότι οι πάροχοι των υπηρεσιών αυτών δεν πρέπει να «αναγκάζουν» τους πελάτες τους να συναινούν σε οποιαδήποτε επεξεργασία δεδομένων η οποία δεν είναι αναγκαία για την παροχή της ίδιας της θεμελιώδους υπηρεσίας. Ειδικότερα, στην αιτιολογική σκέψη 18 σημειώνεται ότι οι βασικές υπηρεσίες ευρυζωνικής πρόσβασης στο διαδίκτυο και φωνητικών επικοινωνιών πρέπει να θεωρούνται θεμελιώδεις, γεγονός που σημαίνει, δεδομένης της εξάρτησης των προσώπων από την πρόσβαση στις εν λόγω υπηρεσίες, ότι η συγκατάθεση για την επεξεργασία των δεδομένων επικοινωνιών τους για τους συγκεκριμένους πρόσθετους σκοπούς (π.χ. επεξεργασία για σκοπούς διαφήμισης ή εμπορικής προώθησης) δεν μπορεί να είναι έγκυρη. Παράλληλα, η ομάδα εργασίας εκφράζει την ανησυχία ότι η διευκρίνιση αυτή είναι υπερβολικά περιορισμένη. Οι υπηρεσίες που παρέχονται από ορισμένους παρόχους επιφυών υπηρεσιών (ΟΤΤ) μπορούν επίσης να θεωρηθούν θεμελιώδεις και ο κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες θα πρέπει επίσης να απαγορεύσει ειδικά τις επιλογές τύπου «όλα ή τίποτα» σε άλλες περιστάσεις (βλέπε σημείο 20).

15. Επιπλέον, θετικό στοιχείο αποτελεί η εναρμόνιση της απαίτησης συγκατάθεσης για τη συμπερίληψη δεδομένων προσωπικού χαρακτήρα φυσικών προσώπων σε καταλόγους. Βάσει του άρθρου 15 της πρότασης κανονισμού, η επεξεργασία δεδομένων σε δημόσιους καταλόγους επιτρέπεται μόνο με τη συγκατάθεση των φυσικών προσώπων και με την παροχή στα νομικά πρόσωπα της δυνατότητας να αντιτεθούν στην εν λόγω επεξεργασία. Τούτο αναπτύσσεται περαιτέρω στην αιτιολογική σκέψη 31, στην οποία επισημαίνεται ότι η συγκατάθεση αυτή πρέπει να είναι συγκεκριμένη όσον αφορά τις συγκεκριμένες κατηγορίες δεδομένων προσωπικού χαρακτήρα που θα συμπεριληφθούν στον κατάλογο. Ωστόσο, η ομάδα εργασίας επισημαίνει ότι η πρόταση κανονισμού θα μπορούσε να είναι σαφέστερη και να προβλέπει ότι θα απαιτείται χωριστή συγκατάθεση για την πραγματοποίηση αναζήτησης ή αντίστροφης αναζήτησης (βλέπε σημείο 37).

16. Επιδοκιμάζεται επίσης η νέα στοχευμένη εξαίρεση για την ήπια παρέμβαση στον τερματικό εξοπλισμό. Η ομάδα εργασίας του άρθρου 29 θεωρεί χρήσιμο ότι στην πρόταση κανονισμού διευκρινίζεται ότι η απαγόρευση δεν εφαρμόζεται στη μέτρηση της διαδικτυακής κυκλοφορίας (με την περιορισμένη εξαίρεση η εν λόγω μέτρηση να διενεργείται από τον πάροχο της υπηρεσίας της κοινωνίας της πληροφορίας που έχει ζητήσει ο τελικός χρήστης, πρβλ. άρθρο 8 παράγραφος 1 στοιχείο δ) της πρότασης κανονισμού). Βλέπε, επίσης, αιτιολογική σκέψη 21. Ωστόσο, η ομάδα εργασίας συνιστά τη χρήση ενός πιο τεχνολογικά ουδέτερου ορισμού και την αποσαφήνιση  του πεδίου εφαρμογής αυτής της εξαίρεσης (βλέπε σημείο 25).

 

3. ΖΗΤΗΜΑΤΑ ΠΟΥ ΠΡΟΚΑΛΟΥΝ ΣΟΒΑΡΗ ΑΝΗΣΥΧΙΑ

Η ΠΡΟΣΤΑΣΙΑ ΒΑΣΕΙ ΤΟΥ ΓΚΠΔ ΥΠΟΝΟΜΕΥΕΤΑΙ ΑΠΟ ΤΗΝ ΠΡΟΤΑΣΗ ΚΑΝΟΝΙΣΜΟΥ

Όπως αναφέρθηκε ανωτέρω, η πρόταση κανονισμού επιφέρει διάφορες βασικές βελτιώσεις. Ωστόσο, υπάρχουν επίσης ζητήματα που προκαλούν ανησυχία, το καθένα διαφορετικού επιπέδου σοβαρότητας. Στην παρούσα ενότητα, η ομάδα εργασίας εξετάζει τα τέσσερα ζητήματα για τα οποία ανησυχεί ιδιαίτερα. Πρόκειται για διατάξεις που υπονομεύουν το επίπεδο προστασίας που παρέχεται από τον ΓΚΠΔ:

17. Οι υποχρεώσεις που προβλέπονται στον κανονισμό σχετικά με την παρακολούθηση της θέσης τερματικού εξοπλισμού θα πρέπει να συμμορφώνονται με τις απαιτήσεις που προβλέπονται στον ΓΚΠΔ. Το άρθρο 8 παράγραφος 2 στοιχείο β) της πρότασης κανονισμού απαιτεί απλώς την παροχή ανακοίνωσης και την εφαρμογή μέτρων ασφάλειας προκειμένου να πραγματοποιείται συλλογή πληροφοριών που εκπέμπονται από τερματικό εξοπλισμό. Στο άρθρο 8 παράγραφος 2 στοιχείο β) επισημαίνεται επίσης ότι ο υπεύθυνος για την εν λόγω συλλογή πρέπει να αναφέρει τυχόν μέτρα που μπορούν να λάβουν οι τελικοί χρήστες για την ελαχιστοποίηση ή τη διακοπή της συλλογής. Με τη συγκεκριμένη διατύπωση, το άρθρο 8 παράγραφος 2 στοιχείο β) δίνει την εντύπωση ότι οι οργανισμοί μπορούν να συλλέγουν πληροφορίες που εκπέμπονται από τερματικό εξοπλισμό με σκοπό την παρακολούθηση των μετακινήσεων προσώπων (όπως «παρακολούθηση μέσω WiFi» ή «παρακολούθηση μέσω Bluetooth») χωρίς τη συγκατάθεση του οικείου προσώπου. Το μέρος που συλλέγει τα εν λόγω δεδομένα θα μπορούσε κατά τα φαινόμενα να συμμορφωθεί μέσω ανακοίνωσης η οποία ενημερώνει τους χρήστες να απενεργοποιήσουν τις συσκευές τους όταν δεν επιθυμούν να παρακολουθούνται. Μια τέτοια προσέγγιση θα αντέβαινε σε έναν βασικό στόχο της πολιτικής της Ευρωπαϊκής Επιτροπής για τις τηλεπικοινωνίες, ο οποίος συνίσταται στην παροχή υψηλής ταχύτητας διασυνδεσιμότητας σε κινητό διαδίκτυο με ισχυρή προστασία της ιδιωτικής ζωής και σε χαμηλό κόστος για όλους τους Ευρωπαίους, σε διασυνοριακό επίπεδο.

Επιπλέον, η πρόταση κανονισμού δεν επιβάλλει σαφείς περιορισμούς όσον αφορά το πεδίο εφαρμογής της συλλογής δεδομένων ή των επακόλουθων δραστηριοτήτων επεξεργασίας. Στο πλαίσιο αυτό, θα πρέπει να σημειωθεί ότι αυτές οι διευθύνσεις MAC αποτελούν δεδομένα προσωπικού χαρακτήρα, ακόμη και μετά τη λήψη μέτρων ασφάλειας όπως ο κατακερματισμός. Χωρίς την επιβολή περαιτέρω απαιτήσεων ή περιορισμών, το επίπεδο προστασίας των συγκεκριμένων δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της πρότασης κανονισμού  είναι  σημαντικά  χαμηλότερο  απ’ ό,τι στο πλαίσιο του ΓΚΠΔ, βάσει του οποίου η παρακολούθηση θα πρέπει να είναι δίκαιη και σύννομη, καθώς και διαφανής. Επιπλέον, στην αιτιολογική σκέψη 25 διατυπώνεται η άσκοπη επισήμανση ότι ορισμένες λειτουργίες παρακολούθησης μέσω WiFi δεν ενέχουν υψηλούς κινδύνους για την ιδιωτική ζωή, ενώ άλλες –όπως η μακροπρόθεσμη παρακολούθηση ατόμων– συνεπάγονται τέτοιους κινδύνους. Παρότι η ομάδα εργασίας επιδοκιμάζει την αναγνώριση ότι οι τελευταίες λειτουργίες  ενέχουν υψηλούς κινδύνους για την ιδιωτική ζωή, δεν είναι χρήσιμο να αποφασιστεί ήδη εκ των προτέρων ότι άλλες λειτουργίες δεν ενέχουν τέτοιους κινδύνους, χωρίς τη διενέργεια περαιτέρω αξιολόγησης των περιστάσεων και της αναλογικότητας της επεξεργασίας. Η εν λόγω αξιολόγηση θα πρέπει να διενεργείται λαμβάνοντας υπόψη τις ακόλουθες προϋποθέσεις σχετικά με τη μη ανωνυμοποιημένη παρακολούθηση μέσω WiFi.

Ανάλογα με τις περιστάσεις και τους σκοπούς της συλλογής δεδομένων, βάσει του ΓΚΠΔ, η παρακολούθηση είναι πιθανό είτε να υπόκειται σε συγκατάθεση είτε να επιτρέπεται μόνον εφόσον τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται είναι ανωνυμοποιημένα. Είναι προτιμότερο η ανωνυμοποίηση αυτή να εκτελείται αμέσως μετά τη συλλογή. Εάν δεν είναι δυνατή η άμεση ανωνυμοποίηση λόγω των σκοπών για τους οποίους συλλέγονται τα δεδομένα, τα δεδομένα αυτά μπορούν να υποβάλλονται σε επεξεργασία ενόσω δεν είναι ανωνυμοποιημένα μόνον υπό τις ακόλουθες προϋποθέσεις: i) ο σκοπός της συλλογής δεδομένων πρέπει να περιορίζεται στην απλή στατιστική καταμέτρηση (βλέπε παραδείγματα κατωτέρω),

ii) η παρακολούθηση περιορίζεται χρονικά και χωρικά στον βαθμό που είναι αυστηρά απαραίτητη για τον σκοπό αυτό, iii) τα δεδομένα διαγράφονται ή ανωνυμοποιούνται αμέσως μετά και iv) πρέπει να προβλέπεται αποτελεσματική δυνατότητα αυτοεξαίρεσης. Σε κάθε περίπτωση, οι υπεύθυνοι επεξεργασίας πρέπει ασφαλώς να συμμορφώνονται με την απαίτηση παροχής επαρκών πληροφοριών.

Η ομάδα εργασίας εκφράζει την ανησυχία ότι τυχόν παροχή δυνατότητας ατομικής αυτοεξαίρεσης ανά οργανισμό που συλλέγει τα δεδομένα αυτά θα δημιουργούσε απαράδεκτη επιβάρυνση για τους πολίτες, δεδομένης της αύξησης στην ανάπτυξη τέτοιων τεχνολογιών παρακολούθησης από οργανισμούς τόσο του ιδιωτικού όσο και του δημόσιου τομέα. Ως εκ τούτου, η ομάδα εργασίας καλεί τον Ευρωπαίο νομοθέτη να προωθήσει την ανάπτυξη τεχνικών προτύπων ώστε οι συσκευές να γνωστοποιούν αυτομάτως τυχόν αντίρρηση στην παρακολούθηση και να διασφαλίζεται η επιβολή της συμμόρφωσης με τη γνωστοποίηση αυτή.

Για παράδειγμα, ενδέχεται να απαιτείται η χορήγηση συγκατάθεσης βάσει του ΓΚΠΔ όταν ο υπεύθυνος επεξεργασίας δεδομένων συλλέγει και αποθηκεύει τις έμμεσα αναγνωρίσιμες (μέσω WiFi ή Bluetooth) διευθύνσεις MAC συσκευών και υπολογίζει τη θέση του χρήστη, προκειμένου να παρακολουθεί τη θέση του μακροπρόθεσμα, για παράδειγμα σε διάφορα καταστήματα. Αυτό συμβαίνει ιδίως όταν η παρακολούθηση λαμβάνει χώρα σε δημόσιους χώρους, όπου οι χρήστες έχουν τη θεμιτή προσδοκία ότι δεν θα αναγνωρίζονται ούτε θα παρακολουθούνται, αλλά συλλέγονται οι διευθύνσεις MAC περαστικών. Η συγκατάθεση αυτή μπορεί για παράδειγμα να εξασφαλίζεται με τη βοήθεια εφαρμογής η οποία καλεί τους χρήστες να επιτρέψουν την παρακολούθηση της θέσης τους σε συγκεκριμένους χώρους με αντάλλαγμα εμπορικές προσφορές, ή με την παροχή σημείων ελέγχου εντός συγκεκριμένων τοποθεσιών, ή μέσω δομοστοιχείου συγκατάθεσης σε σημεία πρόσβασης WiFi.

Σε περιορισμένες μόνο περιπτώσεις μπορεί να επιτραπεί σε υπεύθυνους επεξεργασίας δεδομένων να επεξεργαστούν τις πληροφορίες που εκπέμπονται από τον τερματικό εξοπλισμό για τον σκοπό της παρακολούθησης των μετακινήσεών τους χωρίς τη συγκατάθεση του οικείου προσώπου. Για παράδειγμα, αυτό μπορεί να συμβαίνει όταν γίνεται καταμέτρηση του αριθμού των πελατών εντός μιας συγκεκριμένης τοποθεσίας ή όταν γίνεται συλλογή των δεδομένων που εκπέμπονται και στις δύο πλευρές ενός σημείου ελέγχου ασφαλείας για την εμφάνιση του χρόνου αναμονής. Ωστόσο, και στα δύο παραδείγματα τα δεδομένα θα πρέπει να διαγράφονται ή να ανωνυμοποιούνται αμέσως μόλις επιτευχθεί ο στατιστικός σκοπός. Αυτό σημαίνει ότι οι διευθύνσεις MAC των συσκευών επισκεπτών εντός μιας συγκεκριμένης τοποθεσίας, όπως ένα κατάστημα, πρέπει να ανωνυμοποιούνται αμέσως μετά τη συλλογή, χωρίς να γίνεται μόνιμη αποθήκευση των διευθύνσεων MAC και κατά τέτοιο τρόπο ώστε να αποκλείεται τεχνικώς η εκ νέου αναγνωρισιμότητα. Στην περίπτωση υπολογισμού του χρόνου αναμονής, οι διευθύνσεις MAC θα πρέπει να διαγράφονται ή να ανωνυμοποιούνται αμέσως μόλις τα δεδομένα δεν είναι πλέον χρήσιμα για τον υπολογισμό του χρόνου αναμονής (για παράδειγμα, διότι ο επισκέπτης έφθασε στην άλλη πλευρά του ελέγχου ασφαλείας ή διότι έχει φύγει από την ουρά αναμονής).

Επιπλέον, ο υπεύθυνος επεξεργασίας δεδομένων θα πρέπει να συμμορφώνεται με τις απαιτήσεις ελαχιστοποίησης των δεδομένων (για παράδειγμα, όχι 24ωρη παρακολούθηση 7 ημέρες την εβδομάδα όταν ο σκοπός περιορίζεται στο ωράριο λειτουργίας του καταστήματος και/ή στη δειγματοληψία κατά διαστήματα). Οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει επίσης να λαμβάνουν και άλλα μέτρα μετριασμού των επιπτώσεων ώστε να διασφαλίζεται ότι οι επιπτώσεις στα δικαιώματα προστασίας της ιδιωτικής ζωής των χρηστών είναι μηδενικές ή πολύ περιορισμένες, για παράδειγμα για την προστασία της ιδιωτικής ζωής ατόμων που ζουν δίπλα σε σημείο συλλογής.

Η επιλογή που γίνεται στο άρθρο 8 παράγραφος 2 της πρότασης κανονισμού όσον αφορά την απαίτηση απλής ανακοίνωσης είναι ακόμη πιο αξιοσημείωτη δεδομένου του συμπεράσματος που διατυπώνεται στην αιτιολογική σκέψη 20, βάσει του οποίου είναι επίσης δυνατή η απομακρυσμένη συλλογή πληροφοριών σχετικών με τη συσκευή των τελικών χρηστών για σκοπούς προσδιορισμού και εντοπισμού, καθώς και ότι η επεξεργασία αυτή –σύμφωνα με την πρόταση κανονισμού– συνιστά ενδεχόμενη σοβαρή παραβίαση της ιδιωτικής ζωής των συγκεκριμένων τελικών χρηστών. Επιπλέον, η υποχρέωση δεν βαίνει πέραν της υποχρέωσης ενημέρωσης που ήδη προβλέπεται στα άρθρα 13 και 14 του ΓΚΠΔ. Η σοβαρή παραβίαση της ιδιωτικής ζωής λόγω της παρακολούθησης επιτείνεται περαιτέρω από την ενδεχόμενη πρόσβαση άλλων στα συλλεγόμενα δεδομένα, όπως η δυνατότητα των αρχών επιβολής του νόμου να εντοπίζουν τελικούς χρήστες με βάση τις αποθηκευμένες διευθύνσεις MAC που εκπέμπονται από τις κινητές συσκευές τους.

18. Οι προϋποθέσεις υπό τις οποίες επιτρέπεται η ανάλυση περιεχομένου και μεταδεδομένων πρέπει να αναπτυχθούν περαιτέρω.

Στο άρθρο 6 της πρότασης κανονισμού χορηγούνται διαφορετικά επίπεδα προστασίας στα μεταδεδομένα και το περιεχόμενο. Η ομάδα εργασίας του άρθρου 29 δεν συμφωνεί με αυτή τη διαφορά: και οι δύο κατηγορίες δεδομένων είναι άκρως ευαίσθητες. Για τον λόγο αυτό, στα μεταδεδομένα και το περιεχόμενο θα πρέπει να παρέχεται ίδιο επίπεδο προστασίας. Ως εκ τούτου, σημείο αφετηρίας θα πρέπει να αποτελεί η απαγόρευση επεξεργασίας μεταδεδομένων, καθώς και περιεχομένου, χωρίς τη συγκατάθεση όλων των τελικών χρηστών (δηλαδή, αποστολέα και παραλήπτη).

Ωστόσο, ανάλογα με τους σκοπούς, μπορεί να επιτρέπεται κάποια επεξεργασία χωρίς συγκατάθεση, εφόσον είναι αυστηρά απαραίτητη για τους σκοπούς αυτούς:

• Οι πάροχοι μπορούν να επεξεργάζονται δεδομένα ηλεκτρονικών επικοινωνιών για τους σκοπούς που αναφέρονται στο άρθρο 6 παράγραφος 1 στοιχεία α) και β) και στο άρθρο 6 παράγραφος 2 στοιχεία α) και β) της πρότασης κανονισμού7.
• Θα πρέπει να διευκρινιστεί ότι ορισμένες τεχνικές ανίχνευσης/φιλτραρίσματος ανεπιθύμητων μηνυμάτων και περιορισμού των δικτύων προγραμμάτων ρομπότ («botnet») μπορούν επίσης να θεωρηθούν απολύτως απαραίτητες για τον εντοπισμό ή τον τερματισμό δόλιας ή καταχρηστικής χρήσης των υπηρεσιών ηλεκτρονικών επικοινωνιών [άρθρο 6 παράγραφος 2 στοιχείο β)]. Όσον αφορά το φιλτράρισμα ανεπιθύμητων μηνυμάτων, στους τελικούς χρήστες που λαμβάνουν ανεπιθύμητα μηνύματα θα πρέπει να παρέχονται, όπου αυτό είναι τεχνικά εφικτό, αναλυτικές επιλογές αυτοεξαίρεσης.
• Θα πρέπει να διευκρινιστεί ότι η ανάλυση δεδομένων ηλεκτρονικών επικοινωνιών για σκοπούς εξυπηρέτησης πελατών μπορεί επίσης να εμπίπτει στην εξαίρεση «απαραίτητη για την τιμολόγηση» [πρβλ. άρθρο 6 παράγραφος 2 στοιχείο β)]. Τα σχετικά μεταδεδομένα μπορούν να διατηρούνται έως το τέλος της χρονικής περιόδου εντός της οποίας δύναται να αμφισβητείται νομίμως ο λογαριασμός ή να επιδιώκεται η πληρωμή σύμφωνα με το εθνικό δίκαιο. Τα σχετικά δεδομένα (όπως οι διευθύνσεις URL) μπορούν να διατηρούνται μόνο με αίτημα του τελικού χρήστη και μόνο για τη χρονική περίοδο που είναι απολύτως απαραίτητη για την επίλυση διαφοράς σχετικά με λογαριασμό (αυτό σημαίνει ότι το άρθρο 7 παράγραφος 3 θα πρέπει να τροποποιηθεί).
• Θα πρέπει να καταστεί δυνατή η επεξεργασία δεδομένων ηλεκτρονικών επικοινωνιών για τον σκοπό της παροχής υπηρεσιών που έχουν ζητηθεί ρητά από τελικό χρήστη, όπως λειτουργίας αναζήτησης ή ευρετηρίασης με χρήση λέξεων-κλειδιών, εικονικών βοηθών, μηχανών μετατροπής κειμένου σε ομιλία και υπηρεσιών μετάφρασης. Στο πλαίσιο αυτό απαιτείται η θέσπιση εξαίρεσης για την ανάλυση των δεδομένων αυτών για αμιγώς ατομική (οικιακή) χρήση, καθώς και για ατομική χρήση που σχετίζεται με την εργασία8. Ως εκ τούτου, η σχετική ενέργεια θα είναι δυνατή χωρίς τη συγκατάθεση όλων των τελικών χρηστών, αλλά θα μπορεί να εκτελεστεί μόνο με τη συγκατάθεση του τελικού χρήστη που ζητεί την υπηρεσία. Η εν λόγω ειδική συγκατάθεση θα εμποδίζει παράλληλα τον πάροχο να χρησιμοποιεί τα δεδομένα αυτά για διαφορετικούς σκοπούς. 

Αυτό σημαίνει ότι για την ανάλυση περιεχομένου και/ή μεταδεδομένων για κάθε άλλο σκοπό, όπως τη διενέργεια αναλύσεων, την κατάρτιση προφίλ, τη συμπεριφορική διαφήμιση ή άλλους σκοπούς προς (εμπορικό) όφελος του παρόχου, απαιτείται συγκατάθεση όλων των τελικών χρηστών των οποίων τα δεδομένα θα υποβληθούν σε επεξεργασία. Όσον αφορά τις περιπτώσεις αυτές, η πρόταση κανονισμού θα πρέπει να εξηγεί ότι η απλή πράξη της αποστολής μηνύματος ηλεκτρονικού ταχυδρομείου ή άλλου είδους προσωπικής επικοινωνίας από άλλη υπηρεσία σε τελικό χρήστη ο οποίος έχει συναινέσει προσωπικά στην επεξεργασία του περιεχομένου και των μεταδεδομένων του (για παράδειγμα, στο πλαίσιο της εγγραφής του σε υπηρεσία αλληλογραφίας) δεν συνιστά έγκυρη συγκατάθεση από τον αποστολέα.

Τέλος, θα πρέπει να διευκρινιστεί ότι η επεξεργασία δεδομένων προσώπων εκτός των εμπλεκόμενων τελικών χρηστών (π.χ. η εικόνα ή η περιγραφή τρίτου σε μια ανταλλαγή μεταξύ δύο προσώπων) πρέπει επίσης να συμμορφώνεται με όλες τις σχετικές διατάξεις του ΓΚΠΔ.

19. Ο τερματικός εξοπλισμός και το λογισμικό πρέπει εξ ορισμού να αποθαρρύνουν, να αποτρέπουν και να απαγορεύουν την παράνομη παρέμβαση σε αυτά και να παρέχουν πληροφορίες σχετικά με τις παρεχόμενες επιλογές. Παρότι η πρόταση κανονισμού υποχρεώνει τους παρόχους λογισμικού που προσφέρει τη δυνατότητα ηλεκτρονικών επικοινωνιών να «παρέχουν επιλογή» που αποτρέπει μια περιορισμένης μορφής παρέμβαση στον τερματικό εξοπλισμό και υποχρεώνει τους παρόχους λογισμικού να ζητούν, κατά την εγκατάσταση, από τον τελικό χρήστη να χορηγήσει τη συγκατάθεσή του για κάποια ρύθμιση (άρθρο 10 παράγραφοι 1 και 2), η επιλογή αυτή δεν ισοδυναμεί με προστασία της ιδιωτικής ζωής εξ ορισμού. Εξάλλου, η «επιλογή» αποτροπής μιας παρέμβασης υπάρχει ήδη επί του παρόντος και μέχρι στιγμής δεν έχει καταστήσει δυνατή την επαρκή αντιμετώπιση του προβλήματος της αδικαιολόγητης παρακολούθησης. Για αυτόν ακριβώς τον λόγο, στο πλαίσιο του ΓΚΠΔ, έγινε μια συνειδητή επιλογή πολιτικής για τη θέσπιση των αρχών της προστασίας των δεδομένων και της ιδιωτικής ζωής ήδη από τον  σχεδιασμό και εξ ορισμού (άρθρο 25 ΓΚΠΔ). Η πρόταση κανονισμού υπονομεύει τις αρχές αυτές όσον αφορά τα δεδομένα επικοινωνιών και συσκευών. Στο μεταξύ, η οδηγία 2014/53/ΕΕ για τον ραδιοεξοπλισμό9 (που αναφέρεται στην αιτιολογική σκέψη 10) προβλέπει μόνο μια πολύ περιορισμένη υποχρέωση ασφάλειας, βάσει της οποίας απαιτείται ο ραδιοεξοπλισμός να ενσωματώνει «διασφαλίσεις για την εξασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικότητας των χρηστών και του συνδρομητή» [άρθρο 3 παράγραφος 3 στοιχείο ε)]. Η υποχρέωση αυτή δεν μπορεί να αντικαταστήσει τις ειδικές ρυθμίσεις προστασίας της ιδιωτικής ζωής εξ ορισμού βάσει της πρότασης κανονισμού. Εν προκειμένω, αξίζει επίσης να σημειωθεί ότι στην έρευνα του Ευρωβαρόμετρου σχετικά με την ιδιωτική ζωή στις ηλεκτρονικές επικοινωνίες, η οποία δημοσιεύθηκε τον Δεκέμβριο του 2016, επισημαίνεται ότι «[σ]χεδόν οι επτά στους δέκα (69 %) συμφωνούν απολύτως ότι οι προεπιλεγμένες ρυθμίσεις του φυλλομετρητή τους θα πρέπει να εμποδίζουν την κοινοποίηση των πληροφοριών τους»10. Η ομάδα εργασίας διατηρεί επιφυλάξεις ειδικά για τις ρυθμίσεις φυλλομετρητή και τον ορισμό των «τρίτων» (βλέπε σημείο 24). Επιπλέον, θα πρέπει να λαμβάνεται υπόψη ότι η διάταξη αυτή δεν αφορά μόνο φυλλομετρητές που χρησιμοποιούνται σε υπολογιστές, αλλά εκτείνεται και σε άλλα είδη λογισμικού που επιτρέπουν την επικοινωνία (συμπεριλαμβανομένων λειτουργικών συστημάτων, εφαρμογών και διεπαφών λογισμικού για συσκευές συνδεδεμένες με το διαδίκτυο των πραγμάτων). Εν ολίγοις, ο τερματικός εξοπλισμός και το λογισμικό πρέπει να παρέχουν εξ ορισμού ρυθμίσεις προστασίας της ιδιωτικής ζωής και να καθοδηγούν τους χρήστες στο μενού διαμόρφωσης για να αποκλίνουν από τις προεπιλεγμένες αυτές ρυθμίσεις κατά την εγκατάσταση. Το εν λόγω μενού διαμόρφωσης θα πρέπει να είναι πάντοτε εύκολα προσβάσιμο κατά τη χρήση. Η ομάδα εργασίας παροτρύνει τον Ευρωπαίο νομοθέτη να αποσαφηνίσει το πεδίο εφαρμογής του άρθρου 10 για τον σκοπό αυτό.

20. Ο κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες θα πρέπει να απαγορεύει ρητά τα «τείχη παρακολούθησης» (tracking walls), δηλαδή την πρακτική βάσει της οποίας δεν χορηγείται πρόσβαση σε έναν δικτυακό τόπο ή υπηρεσία εκτός εάν τα άτομα συμφωνήσουν να αποτελούν αντικείμενο παρακολούθησης σε άλλους δικτυακούς τόπους ή υπηρεσίες. Όπως έχει ήδη επισημανθεί σε προηγούμενες γνώμες της ομάδας εργασίας σχετικά με την οδηγία  για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες11, τέτοιες προσεγγίσεις τύπου «όλα ή τίποτα» σπανίως είναι νόμιμες12. Όταν η χρήση των ικανοτήτων επεξεργασίας και αποθήκευσης του τερματικού εξοπλισμού ή η συλλογή πληροφοριών από τον τερματικό εξοπλισμό τελικών χρηστών καθιστά δυνατή την παρακολούθηση των δραστηριοτήτων του χρήστη μακροπρόθεσμα ή σε διάφορες υπηρεσίες (π.χ. σε διάφορους δικτυακούς τόπους ή εφαρμογές), αυτές οι δραστηριότητες επεξεργασίας μπορεί να συνιστούν σοβαρή παραβίαση της ιδιωτικής ζωής των συγκεκριμένων χρηστών. Δεδομένης της θεμελιώδους σημασίας του διαδικτύου για την πραγμάτωση του θεμελιώδους δικαιώματος της ελευθερίας της έκφρασης, συμπεριλαμβανομένου του δικαιώματος πρόσβασης στις πληροφορίες, η δυνατότητα πρόσβασης των ατόμων σε διαδικτυακό περιεχόμενο δεν θα πρέπει να εξαρτάται από την αποδοχή της παρακολούθησης των δραστηριοτήτων σε συσκευές και δικτυακούς τόπους/εφαρμογές. Για τον λόγο αυτό, ο μελλοντικός κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες θα πρέπει να ορίζει ότι η πρόσβαση στο περιεχόμενο, για παράδειγμα, δικτυακών τόπων και εφαρμογών δεν πρέπει να εξαρτάται από την αποδοχή τέτοιων οχληρών δραστηριοτήτων επεξεργασίας, ανεξάρτητα από την τεχνολογία παρακολούθησης που εφαρμόζεται, όπως cookies, καταγραφή αποτυπώματος συσκευής, χρήση  μοναδικών αναγνωστικών ή άλλες τεχνικές παρακολούθησης. Η αναγκαιότητα της απαγόρευσης αυτής αναδεικνύεται στην πρόσφατη έρευνα του Ευρωβαρόμετρου σχετικά με την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες, στην οποία επισημαίνεται ότι «[σ]χεδόν τα δύο τρίτα των συμμετεχόντων δηλώνουν ότι είναι απαράδεκτο να παρακολουθούνται οι διαδικτυακές τους δραστηριότητες με αντάλλαγμα την απεριόριστη πρόσβαση σε κάποιον δικτυακό τόπο (64 %)».

21. Εν ολίγοις, όσον αφορά τα τέσσερα προαναφερόμενα σημεία, η πρόταση κανονισμού θα πρέπει να εκπληρώνει την υπόσχεσή της για παροχή ίσου ή υψηλότερου επιπέδου προστασίας από τον ΓΚΠΔ. Στην αιτιολογική σκέψη 5 σημειώνεται ως γεγονός ότι η πρόταση κανονισμού δεν υποβαθμίζει το επίπεδο προστασίας που παρέχεται από τον ΓΚΠΔ. Ωστόσο, με την τωρινή μορφή της αυτό δεν ισχύει, ιδίως όσον αφορά την παρακολούθηση των συσκευών (σημείο 17), τη μη συμπερίληψη της αρχής της προστασίας της ιδιωτικής ζωής εξ ορισμού (σημείο 19) και τη συγκατάθεση (σημείο 18). Αυτό είναι ιδιαίτερα σημαντικό δεδομένου ότι, όπως επισημαίνεται στην ίδια αιτιολογική σκέψη, η πρόταση κανονισμού αποτελεί «πρόταση ειδικού νόμου (lex specialis) σχετικά με τον ΓΚΠΔ, και θα εξειδικεύσει και θα συμπληρώσει τον εν λόγω κανονισμό όσον αφορά τα δεδομένα ηλεκτρονικών επικοινωνιών που ανταποκρίνονται στον ορισμό των δεδομένων προσωπικού χαρακτήρα». Η ομάδα εργασίας συνιστά στο κείμενο του κανονισμού για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες να διευκρινίζεται τουλάχιστον ότι:

i) οι απαγορεύσεις που προβλέπονται στον κανονισμό για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες υπερισχύουν των αδειών  που προβλέπονται στον ΓΚΠΔ [π.χ. η απαγόρευση παρέμβασης βάσει του άρθρου 5 του κανονισμού για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες υπερισχύει των δικαιωμάτων των παρόχων υπηρεσιών ηλεκτρονικών επικοινωνιών για περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα βάσει του άρθρου 5 παράγραφος 1 στοιχείο β) και του άρθρου 6 παράγραφος 4 του ΓΚΠΔ]·

ii) όταν η επεξεργασία επιτρέπεται βάσει οποιασδήποτε εξαίρεσης (συμπεριλαμβανομένης της συγκατάθεσης) στις απαγορεύσεις που προβλέπονται στον κανονισμό για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες, η εν λόγω επεξεργασία, εφόσον αφορά δεδομένα προσωπικού χαρακτήρα, πρέπει παρόλα αυτά να συμμορφώνεται με όλες τις σχετικές διατάξεις του ΓΚΠΔ·

iii) όταν η επεξεργασία επιτρέπεται βάσει οποιασδήποτε εξαίρεσης στις απαγορεύσεις που προβλέπονται στον κανονισμό για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες, οποιαδήποτε άλλη επεξεργασία με βάση τον ΓΚΠΔ απαγορεύεται, συμπεριλαμβανομένης της επεξεργασίας για άλλο σκοπό με βάση το άρθρο 6 παράγραφος 4 του ΓΚΠΔ. Με τον τρόπο αυτό δεν θα εμποδίζονται οι υπεύθυνοι επεξεργασίας από το να ζητούν πρόσθετη συγκατάθεση για νέες πράξεις επεξεργασίας. Ούτε θα εμποδίζονται οι νομοθέτες από το να προβλέψουν πρόσθετες, περιορισμένες και ειδικές εξαιρέσεις στον κανονισμό για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες προκειμένου, για παράδειγμα, να επιτρέπεται η επεξεργασία για επιστημονικούς ή στατιστικούς σκοπούς βάσει του άρθρου 89 του ΓΚΠΔ ή για τη διαφύλαξη «ζωτικού συμφέροντος» των ατόμων σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο δ) του ΓΚΠΔ.

Επιπλέον, ο κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες θα πρέπει να ερμηνεύεται κατά τρόπο ώστε να διασφαλίζεται ότι παρέχει τουλάχιστον ίδιο και, κατά περίπτωση, υψηλότερο επίπεδο προστασίας απ’ ό,τι ο ΓΚΠΔ.

 

4. ΑΛΛΑ ΖΗΤΗΜΑΤΑ ΠΟΥ ΠΡΟΚΑΛΟΥΝ ΑΝΗΣΥΧΙΑ

Πέραν των προαναφερόμενων ζητημάτων, η ομάδα εργασίας του άρθρου 29 εκφράζει την ανησυχία της σχετικά με τα εξής:

 

ΤΟ ΕΔΑΦΙΚΟ ΚΑΙ ΟΥΣΙΑΣΤΙΚΟ ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ ΠΡΕΠΕΙ ΝΑ ΕΠΕΚΤΑΘΕΙ

22. Ο όρος «μεταδεδομένα» ορίζεται υπερβολικά συσταλτικά. Επί του παρόντος, στο άρθρο 4 παράγραφος 3 στοιχείο γ) ο όρος αυτός ορίζεται ως «τα δεδομένα που υποβάλλονται σε επεξεργασία σε δίκτυο ηλεκτρονικών επικοινωνιών για τους σκοπούς της μετάδοσης, της διανομής ή της ανταλλαγής περιεχομένου ηλεκτρονικών επικοινωνιών» (η υπογράμμιση του συντάκτη). Η χρήση του όρου «δίκτυο» φαίνεται να υποδηλώνει ότι μόνο τα δεδομένα που παράγονται κατά τη διάρκεια της παροχής υπηρεσιών στο «χαμηλότερο» στρώμα του δικτύου μπορούν να χαρακτηριστούν «μεταδεδομένα». Αυτό θα μπορούσε να σημαίνει ότι τα δεδομένα που παράγονται κατά τη διάρκεια της παροχής μιας επιφυούς υπηρεσίας (OTT) εξαιρούνται από το πεδίο του εν λόγω όρου. Αυτό δεν θα ήταν επιθυμητό και, πιθανόν, δεν αποτελεί επιδίωξη της πρότασης κανονισμού, δεδομένης της πρόθεσης επέκτασης του πεδίου εφαρμογής της στους παρόχους επιφυών υπηρεσιών (ΟΤΤ). Προκειμένου να αντιμετωπιστεί το ζήτημα αυτό, ο ορισμός των «μεταδεδομένων ηλεκτρονικών επικοινωνιών» θα πρέπει να τροποποιηθεί ώστε να συμπεριληφθούν όλα τα δεδομένα που υποβάλλονται σε επεξεργασία για τους σκοπούς της μετάδοσης, της διανομής ή της ανταλλαγής περιεχομένου ηλεκτρονικών επικοινωνιών.

23. Επιπλέον, ανησυχία προκαλεί το γεγονός ότι το εδαφικό πεδίο εφαρμογής της πρότασης κανονισμού όσον αφορά οργανισμούς που δεν είναι εγκατεστημένοι στην ΕΕ καλύπτει μόνο τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών. Βάσει της πρότασης κανονισμού, ο πάροχος υπηρεσίας ηλεκτρονικών επικοινωνιών που δεν εγκατεστημένος στην ΕΕ ορίζει εγγράφως εκπρόσωπο στην Ένωση (άρθρο 3 παράγραφος 2). Επιπλέον, στην αιτιολογική σκέψη 9 αναφέρεται ότι ο κανονισμός  θα εφαρμόζεται στην επεξεργασία που πραγματοποιείται από παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών ανεξαρτήτως της τοποθεσίας της επεξεργασίας. Η ομάδα εργασίας επιδοκιμάζει αυτή τη διευκρίνιση. Ωστόσο, δεδομένου ότι η διατύπωση περιορίζεται σε παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, δεν είναι βέβαιο σε ποιον βαθμό εφαρμόζεται το συγκεκριμένο εδαφικό πεδίο εφαρμογής σε άλλα είδη μερών [για παράδειγμα, σε μέρη που παρεμβαίνουν ή συλλέγουν πληροφορίες που εκπέμπονται από τον τερματικό εξοπλισμό τελικών χρηστών, πρβλ. άρθρο 3 παράγραφος 1 στοιχείο γ), άρθρο 8 της πρότασης κανονισμού]. Ως εκ τούτου, η ομάδα εργασίας συνιστά την τροποποίηση του άρθρου 3 παράγραφος 2 και του άρθρου 3 παράγραφος 5 ώστε να συμπεριληφθούν οι πάροχοι καταλόγων διαθέσιμων στο κοινό, οι πάροχοι προϊόντων λογισμικού τα οποία προσφέρουν τη δυνατότητα ηλεκτρονικών επικοινωνιών και τα πρόσωπα που αποστέλλουν κοινοποιήσεις άμεσης εμπορικής προώθησης ή συλλέγουν (άλλες) πληροφορίες που σχετίζονται με τον τερματικό εξοπλισμό του τελικού χρήστη ή βρίσκονται αποθηκευμένες σε αυτόν, όποτε οι δραστηριότητές τους στοχεύουν χρήστες στην ΕΕ (πρβλ. αιτιολογική σκέψη 8 της πρότασης κανονισμού)13.

 

Η ΠΡΟΣΤΑΣΙΑ ΤΟΥ ΤΕΡΜΑΤΙΚΟΥ ΕΞΟΠΛΙΣΜΟΥ ΠΡΕΠΕΙ ΝΑ ΕΝΙΣΧΥΘΕΙ

Ακόμη μια πηγή ανησυχίας αποτελεί η ανεπαρκής προστασία του τερματικού εξοπλισμού στην πρόταση κανονισμού.

24. Πρώτον, η πρόταση κανονισμού προβλέπει εσφαλμένα τη δυνατότητα χορήγησης έγκυρης συγκατάθεσης μέσω μη ειδικών ρυθμίσεων φυλλομετρητή. Η ομάδα εργασίας αναγνωρίζει ότι οι τελικοί χρήστες βομβαρδίζονται επί του παρόντος από αιτήματα χορήγησης συγκατάθεσης (αιτιολογική σκέψη 22). Οι ρυθμίσεις φυλλομετρητή (και συγκρίσιμου λογισμικού) μπορούν να διαδραματίσουν κάποιο ρόλο στην αντιμετώπιση του προβλήματος αυτού. Ωστόσο, δεδομένου ότι οι γενικές ρυθμίσεις φυλλομετρητή δεν προορίζονται να εφαρμόζονται στην εφαρμογή μιας τεχνολογίας παρακολούθησης σε μια επιμέρους περίπτωση, δεν είναι κατάλληλες για τη χορήγηση συγκατάθεσης βάσει του άρθρου 7 και της αιτιολογικής σκέψης 32 του ΓΚΠΔ (διότι η συγκατάθεση δεν χορηγείται εν επιγνώσει και δεν είναι επαρκώς συγκεκριμένη).

Ο τελικός χρήστης πρέπει να είναι σε θέση να χορηγήσει χωριστή συγκατάθεση ανά δικτυακό τόπο ή εφαρμογή όσον αφορά την παρακολούθηση για διάφορους σκοπούς (όπως κοινοποιήσεις στα μέσα κοινωνικής δικτύωσης ή διαφήμιση). Ένας υπεύθυνος επεξεργασίας δεδομένων που είναι αρμόδιος για διάφορους δικτυακούς τόπους ή εφαρμογές μπορεί επίσης να ζητήσει συγκατάθεση για όλους τους υπόλοιπους δικτυακούς τόπους εφαρμογών που τελούν υπό τον έλεγχό του, εφόσον το αίτημα χορήγησης συγκατάθεσης υποβάλλεται χωριστά.

Επιπλέον, ο υπεύθυνος επεξεργασίας πρέπει να συμμορφώνεται με όλες τις άλλες υποχρεώσεις που σχετίζονται με τη συγκατάθεση, συμπεριλαμβανομένης της υποχρέωσης παροχής επαρκών πληροφοριών στους χρήστες. Τόσο για τους φυλλομετρητές όσο και για τους υπεύθυνους επεξεργασίας δεδομένων, αυτό σημαίνει ότι θα ήταν άκυρη η παροχή μόνο της επιλογής «αποδοχή όλων των cookies», διότι δεν θα ήταν δυνατόν για τους χρήστες να χορηγούν την απαιτούμενη συγκεκριμένη συγκατάθεση. Ωστόσο, θα πρέπει να παρέχεται η δυνατότητα οι φυλλομετρητές να επιτρέπουν στους χρήστες να προβαίνουν σε ενημερωμένη και συνειδητή επιλογή αποδοχής όλων των cookies, με αποτέλεσμα να αποτρέπονται τυχόν μελλοντικά αιτήματα χορήγησης ειδικής συγκατάθεσης από δικτυακούς τόπους τους οποίους επισκέπτονται.

Η ομάδα εργασίας συνιστά μετ᾽ επιτάσεως να καταστεί, στο πλαίσιο του κανονισμού για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες, υποχρεωτικό για τους φυλλομετρητές να εφαρμόζουν τεχνικούς μηχανισμούς, όπως το πρότυπο «χωρίς παρακολούθηση», ώστε να διασφαλίζεται ότι παρέχεται στους χρήστες πραγματική επιλογή και έλεγχος επί των παρεμβάσεων στις συσκευές τους14.

Ακόμη πιο σημαντικό είναι ότι ο κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες θα πρέπει να διασφαλίζει ότι τόσο η επιλογή όσον αφορά την αποθήκευση πληροφοριών στη συσκευή όσο και ένα σήμα «χωρίς παρακολούθηση» (DNT) από φυλλομετρητή γίνονται αποδεκτά από όλους τους υπεύθυνους επεξεργασίας δεδομένων ως νομικά δεσμευτική ένδειξη συγκατάθεσης ή μη συγκατάθεσης. Τούτο ισχύει με την επιφύλαξη περαιτέρω καθοδήγησης από την ομάδα εργασίας σχετικά με τη συμμόρφωση του προτύπου DNT, μεταξύ άλλων, με την αρχή του περιορισμού του σκοπού, όταν το πρότυπο θα έχει οριστικοποιηθεί (έχει προγραμματιστεί για το τέλος του 2017).

Έμμεσα είδη «συγκατάθεσης», όπως το κλικ στον δικτυακό τόπο ή κύλιση στη σελίδα, δεν μπορούν να παρακάμπτουν τις επιλογές όσον αφορά την αποθήκευση και το σήμα DNT. Σημαντικό πλεονέκτημα της χρήσης του προτύπου αυτού είναι ότι δεν περιορίζεται στην τεχνολογία παρακολούθησης των cookies, αλλά καλύπτει επίσης άλλα είδη παρακολούθησης, όπως την καταγραφή αποτυπώματος.

Η θέσπιση ως νομικά υποχρεωτικής της τήρησης του προτύπου αυτού θα επιλύσει επίσης το πρόβλημα που αφορά την τρέχουσα χρήση του όρου «τρίτοι» στο άρθρο 10. Μια ιστοσελίδα ή εφαρμογή περιέχει συνήθως πολλά στοιχεία, τόσο του ίδιου του δικτυακού τόπου όσο και εξωτερικά. Στο πλαίσιο του επισκεπτόμενου δικτυακού τόπου μπορεί επίσης να λειτουργεί εξωτερικός κωδικός ο οποίος δίνει αναφορά σε εξυπηρετητή τρίτου. Ένα cookie παρακολούθησης μπορεί να διαβιβάζεται από πρώτο μέρος όταν ένας χρήστης επισκέπτεται, για παράδειγμα, ένα δίκτυο κοινωνικής δικτύωσης. Το εν λόγω δίκτυο κοινωνικής δικτύωσης μπορεί να αποτελεί επίσης τρίτο όταν ο χρήστης επισκέπτεται άλλον δικτυακό τόπο ο οποίος περιλαμβάνει αλληλεπίδραση με το συγκεκριμένο δίκτυο κοινωνικής δικτύωσης. Σε όλες αυτές τις περιπτώσεις, ανεξάρτητα από το αν πρόκειται για «πρόσβαση» ή «αποθήκευση» πληροφοριών στη συσκευή του τελικού χρήστη, η ενέργεια αυτή συνιστά παρέμβαση στη συσκευή, για την οποία απαιτείται συγκατάθεση (εκτός εάν εφαρμόζεται κάποια από τις εξαιρέσεις). Στο πρότυπο DNT, το ζήτημα αυτό αντιμετωπίζεται με τη χρήση των όρων «σε επίπεδο δικτυακού τόπου» και «σε επίπεδο διαδικτύου». Ως εκ τούτου, για να βελτιωθεί η ασφάλεια δικαίου για όλους τους ενδιαφερόμενους, η αναφορά που γίνεται στον κανονισμό για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες σε «τρίτους» θα πρέπει να αναδιατυπωθεί ώστε να καλύπτει όλες τις οντότητες με τις οποίες αλληλεπιδρά μια συσκευή (διότι αποθηκεύουν ή έχουν πρόσβαση σε πληροφορίες στη συσκευή).

Προκειμένου το πρότυπο DNT να συνάδει με το υψηλό επίπεδο προστασίας του απόρρητου των επικοινωνιών και προστασίας των δεδομένων που κατοχυρώνεται από τον Χάρτη, ο κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες θα πρέπει να διευκρινίζει ότι τα αιτήματα παρακολούθησης σε επίπεδο διαδικτύου, σε αντίθεση με την παρακολούθηση σε επίπεδο δικτυακού τόπου, πρέπει να υποβάλλονται χωριστά και ότι οι χρήστες θα πρέπει να είναι ελεύθεροι να αποδεχθούν ή να απορρίψουν τα αιτήματα αυτά. Επιπλέον, για την προστασία των χρηστών από τα συχνά αιτήματα χορήγησης συγκατάθεσης, ο κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες θα πρέπει να διασφαλίζει ότι τυχόν άρνηση αποδοχής της παρακολούθησης σε επίπεδο διαδικτύου από έναν συγκεκριμένο οργανισμό (μέσω του προτύπου DNT ή μέσω χωριστής λίστας αποκλεισμού) εμποδίζει τον εν λόγω οργανισμό να υποβάλει μελλοντικά αιτήματα χορήγησης συγκατάθεσης για τουλάχιστον έξι μήνες. Ο κανόνας αυτός δεν εμποδίζει τον εν λόγω οργανισμό, όταν ο χρήστης τον επισκέπτεται απευθείας (δηλαδή ως πρώτο μέρος), από το να ζητεί συγκατάθεση στον δικό του δικτυακό τόπο (δηλαδή αίτημα χορήγησης συγκατάθεσης σε επίπεδο δικτυακού τόπου). Στην πράξη, αυτό σημαίνει ότι, για παράδειγμα, ένας δικτυακός τόπος αναμετάδοσης βίντεο που αποστέλλει cookies μπορεί να ζητήσει συγκατάθεση όταν ο χρήστης επισκέπτεται τον δικτυακό τόπο αναμετάδοσης βίντεο, αλλά δεν μπορεί να ζητήσει ξανά συγκατάθεση για περίοδο 6 μηνών σε περίπτωση που ο εν λόγω χρήστης δεν έχει χορηγήσει συγκατάθεση και επισκέπτεται άλλους δικτυακούς τόπους που περιέχουν βίντεο τα οποία αποστέλλονται από τον δικτυακό τόπο αναμετάδοσης.

25. Επιπλέον, η εξαίρεση για «μέτρηση της ιστοθέασης» δεν είναι διατυπωμένη με ακρίβεια. Το άρθρο 8 παράγραφος 1 στοιχείο δ) της πρότασης κανονισμού προβλέπει εξαίρεση για μέτρηση της ιστοθέασης. Το πρώτο ζήτημα που προκαλεί ανησυχία είναι ότι ο όρος αυτός δεν ορίζεται και μπορεί να συγχέεται με την κατάρτιση προφίλ των χρηστών. Στον ορισμό θα πρέπει να καθίσταται σαφές ότι η εξαίρεση αυτή δεν μπορεί να χρησιμοποιείται για σκοπούς κατάρτισης προφίλ. Η εξαίρεση θα πρέπει να εφαρμόζεται μόνο στην ανάλυση χρήσης που είναι  απαραίτητη για την ανάλυση της εκτέλεσης της υπηρεσίας που ζητείται από τον χρήστη, αλλά όχι στην ανάλυση χρήστη (δηλαδή στην ανάλυση της συμπεριφοράς των αναγνωρίσιμων χρηστών ενός δικτυακού τόπου, μιας εφαρμογής ή μιας συσκευής). Ως εκ τούτου, η εξαίρεση δεν μπορεί να χρησιμοποιείται σε περιπτώσεις στις οποίες τα δεδομένα μπορούν να συνδεθούν με δεδομένα αναγνωρίσιμου χρήστη τα οποία υποβάλλονται σε επεξεργασία από τον πάροχο ή άλλους υπεύθυνους επεξεργασίας δεδομένων. Επιπλέον, η περιγραφή υποδηλώνει μια πολύ ειδική από τεχνολογική άποψη εφαρμογή. Ως εκ τούτου, ο όρος «μέτρηση της ιστοθέασης» θα πρέπει να οριστεί εκ νέου με τεχνολογικά ουδέτερο τόπο, προκειμένου να περιλαμβάνει επίσης παρόμοιες αναλυτικές πληροφορίες χρήσης που λαμβάνονται από εφαρμογές, συσκευές που φοριούνται και συσκευές του διαδικτύου των πραγμάτων.

Η ομάδα εργασίας συνιστά να αντληθεί έμπνευση από την ολλανδική εξαίρεση, η οποία εφαρμόζεται εφόσον είναι απολύτως απαραίτητο για τη λήψη πληροφοριών σχετικά με την τεχνική ποιότητα ή την αποτελεσματικότητα μιας παρεχόμενης υπηρεσίας της κοινωνίας της πληροφορίας και έχει μηδενικές ή περιορισμένες επιπτώσεις στην ιδιωτική ζωή του εμπλεκόμενου συνδρομητή ή τελικού χρήστη [πρβλ. άρθρο 11.7α παράγραφος 3 στοιχείο β) του ολλανδικού νόμου για τις τηλεπικοινωνίες]. Η εν λόγω εξαίρεση λαμβάνει υπόψη το γεγονός ότι η πλειονότητα των δεδομένων που συλλέγονται μέσω ανάλυσης δεδομένων ιστού ή εφαρμογών εξακολουθούν να αποτελούν δεδομένα προσωπικού χαρακτήρα, πράγμα που σημαίνει ότι η επεξεργασία των συγκεκριμένων δεδομένων υπόκειται επίσης στον ΓΚΠΔ. Αυτό συνεπάγεται, για παράδειγμα, ότι η ανάλυση της χρήσης θα μπορούσε να εκτελείται επίσης από εξωτερικό οργανισμό, αλλά μόνον εφόσον:

i) ο συγκεκριμένος οργανισμός ενεργεί ως εκτελών την επεξεργασία δεδομένων·

ii) συνάπτεται συμφωνία επεξεργασίας που συμμορφώνεται με τον ΓΚΠΔ·

iii) η τεχνολογία ανάλυσης που χρησιμοποιείται εμποδίζει την εκ νέου αναγνώριση, συμπεριλαμβανομένης, μεταξύ άλλων, της ανωνυμοποίησης των διευθύνσεων IP των χρηστών·

iv) τα συγκεκριμένα cookies ή άλλα δεδομένα που χρησιμοποιούνται για την ανάλυση μπορούν να χρησιμοποιηθούν μόνο για τον συγκεκριμένο δικτυακό τόπο, εφαρμογή ή συσκευή που φοριέται και δεν μπορούν να συνδεθούν με άλλα αναγνωρίσιμα δεδομένα·

v) οι χρήστες έχουν το δικαίωμα της αυτοεξαίρεσης (βλέπε επίσης σημεία 17 και 50 της παρούσας γνώμης).

Παρότι δεν απαιτείται συγκατάθεση εφόσον πληρούνται οι ανωτέρω προϋποθέσεις, οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να παρέχουν επαρκείς πληροφορίες στους χρήστες, για παράδειγμα μέσω των πεδίων απεικόνισης της κατάστασης παρακολούθησης στο πρότυπο DNT15.

26. Ο κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες θα πρέπει να διασφαλίζει συσταλτικές και με ακρίβεια διατυπωμένες εξαιρέσεις στις απαιτήσεις συγκατάθεσης. Η διατύπωση της εξαίρεσης στην απαίτηση συγκατάθεσης για την παρέμβαση σε συσκευές στο άρθρο 8 παράγραφος 1 στοιχείο γ) είναι σχεδόν όμοια με την τρέχουσα διατύπωση στο άρθρο 5 παράγραφος 3 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες («που είναι απολύτως αναγκαία για να μπορεί ο πάροχος υπηρεσίας της κοινωνίας της πληροφορίας την οποία έχει ζητήσει ρητά ο συνδρομητής ή ο χρήστης να παρέχει τη συγκεκριμένη υπηρεσία»), αλλά η κρίσιμη λέξη «απολύτως» παραλείπεται, χωρίς καμία εξήγηση. Αυτό αποτελεί πηγή ανησυχίας για δύο λόγους. Πρώτον, η διάταξη της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες έχει ήδη οδηγήσει σε ευρεία συζήτηση σχετικά με το πεδίο εφαρμογής της μεταξύ εποπτικών αρχών και οργανισμών, και η διαγραφή της λέξης «απολύτως» θα παράσχει ακόμα λιγότερη ασφάλεια δικαίου. Το γεγονός αυτό αποτελεί επίσης πηγή ανησυχίας διότι η ομάδα εργασίας έχει ήδη παράσχει καθοδήγηση σχετικά με την ερμηνεία του όρου «απολύτως» στο πλαίσιο αυτό. Η ομάδα εργασίας πρότεινε την ακόλουθη διευκρίνιση στη γνώμη σχετικά με την απαλλαγή που ισχύει σε σχέση με τη συναίνεση για τα cookies (WP194):

Η χρήση ενός cookie είναι αναγκαία για την παροχή μιας συγκεκριμένης λειτουργικής δυνατότητας στον χρήστη (ή τον συνδρομητή)· αυτό σημαίνει ότι σε περίπτωση απενεργοποίησης   των  cookies,  η   λειτουργική  δυνατότητα   δεν  είναι  διαθέσιμη. Η συγκεκριμένη λειτουργική δυνατότητα έχει ζητηθεί ρητώς από τον χρήστη (ή τον συνδρομητή), ως στοιχείο μιας υπηρεσίας της κοινωνίας της πληροφορίας»16.

Επιπλέον, η ομάδα εργασίας διευκρίνισε ότι:

τα cookies «τρίτου μέρους» συνήθως δεν είναι «απολύτως αναγκαία» στον χρήστη που επισκέπτεται έναν δικτυακό τόπο, δεδομένου ότι τα συγκεκριμένα cookies σχετίζονται συνήθως με μια υπηρεσία η οποία δεν συμπίπτει με την υπηρεσία που έχει «ζητηθεί ρητώς» από τον χρήστη17.

Η ομάδα εργασίας πρόσθεσε ότι ούτε η χρήση υπομονάδων ανταλλαγής κοινωνικού περιεχομένου που στοχεύουν σε μη χρήστες μιας πλατφόρμας ή ενός δικτυακού τόπου μπορεί να θεωρηθεί απολύτως αναγκαία.

Επιπλέον, ενώ το άρθρο 6 παράγραφος 1 στοιχείο β) της πρότασης κανονισμού επιτρέπει την επεξεργασία δεδομένων ηλεκτρονικών επικοινωνιών εάν είναι

«απαραίτητη» για σκοπούς ασφάλειας, στην αιτιολογική σκέψη 49 του ΓΚΠΔ απαιτείται να είναι αυστηρά αναγκαία. Η παράλειψη της λέξης «απολύτως» μπορεί να μην ήταν σκόπιμη, δεδομένου ότι στην αιτιολογική σκέψη 21 της πρότασης κανονισμού αναφέρεται ότι δεν θα πρέπει να ζητείται συγκατάθεση για την παρέμβαση σε περιπτώσεις που αυτή είναι «απολύτως» αναγκαία. Μολαταύτα, η πρόταση κανονισμού αποτελεί ευκαιρία να αποσαφηνιστεί περαιτέρω ότι το κριτήριο της αναγκαιότητας στο πλαίσιο του εν λόγω κανονισμού θα πρέπει να ερμηνεύεται συσταλτικά όσον αφορά όλες τις εξαιρέσεις. Ως εκ τούτου, η ομάδα εργασίας συνιστά, όσον αφορά όλες τις εξαιρέσεις που προβλέπονται στο άρθρο 6 και στο άρθρο 8 παράγραφος 1 της πρότασης κανονισμού, να προστεθεί η λέξη «απολύτως» πριν από τη λέξη «απαραίτητη» ή «αναγκαίο», αντίστοιχα.

Από την άλλη πλευρά, ο κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες θα πρέπει να επιτρέπει ρητά την παρέμβαση στον εξοπλισμό για την εγκατάσταση ενημερώσεων ασφαλείας. Η αποστολή ενημερώσεων ασφαλείας μέσω διαδικτύου συνιστά την προτιμώμενη μέθοδο εγκατάστασης ενημερώσεων ασφαλείας στην πλειονότητα των συσκευών τελικών χρηστών. Η εγκατάσταση ενημερώσεων θεωρείται παρέμβαση στον τερματικό εξοπλισμό. Υπάρχει έννομο συμφέρον στο να τηρείται ενημερωμένη η ασφάλεια των συσκευών αυτών. Ως εκ τούτου, ένας πάροχος διορθωτικών εκδόσεων λογισμικού ασφαλείας θα πρέπει γενικά να είναι σε θέση να εγκαθιστά τις απολύτως αναγκαίες ενημερώσεις ασφαλείας χωρίς τη λήψη συγκατάθεσης από τον τελικό χρήστη. Ωστόσο, είναι αβέβαιο κατά πόσον η συγκεκριμένη παρέμβαση μπορεί να επωφεληθεί από την εξαίρεση περί «κοινωνίας της πληροφορίας» στην απαγόρευση παρέμβασης [άρθρο 8 παράγραφος 1 στοιχείο γ)]. Θα πρέπει να διευκρινιστεί ότι η εγκατάσταση ενημερώσεων ασφαλείας επιτρέπεται βάσει της ανωτέρω εξαίρεσης μόνο στον βαθμό που i) οι ενημερώσεις ασφαλείας συνιστούν διακριτή δέσμη και σε καμία περίπτωση δεν μεταβάλλουν τη λειτουργικότητα του λογισμικού στον εξοπλισμό (συμπεριλαμβανομένης της αλληλεπίδρασης με άλλα λογισμικά ή ρυθμίσεις που έχει επιλέξει ο χρήστης), ii) ο τελικός χρήστης ενημερώνεται εκ των προτέρων κάθε φορά που εγκαθίσταται ενημέρωση και iii) ο τελικός χρήστης έχει τη δυνατότητα να απενεργοποιήσει την αυτόματη εγκατάσταση αυτών των ενημερώσεων.

 

ΑΜΕΣΗ ΕΜΠΟΡΙΚΗ ΠΡΟΩΘΗΣΗ

Ακόμη μια πηγή ανησυχίας αποτελεί η ανεπαρκής προστασία έναντι της άμεσης εμπορικής προώθησης.

27. Πρώτον, ανησυχία προκαλεί το γεγονός ότι ο ορισμός της άμεσης εμπορικής προώθησης είναι υπερβολικά περιορισμένος. Στο άρθρο 4 παράγραφος 3 στοιχείο στ) της πρότασης κανονισμού, οι «κοινοποιήσεις άμεσης εμπορικής προώθησης» ορίζονται ως «κάθε μορφή διαφήμισης, έγγραφης ή προφορικής, που αποστέλλεται σε έναν ή περισσότερους τελικούς χρήστες υπηρεσιών ηλεκτρονικών επικοινωνιών η ταυτότητα των οποίων είναι γνωστή ή μπορεί να εξακριβωθεί ...». Η χρήση της λέξης «αποστέλλεται» υποδηλώνει τη χρήση τεχνολογικών μέσων επικοινωνίας τα οποία συνεπάγονται απαραιτήτως τη μεταφορά μιας κοινοποίησης, ενώ η πλειονότητα των διαφημίσεων στο διαδίκτυο (μέσω πλατφορμών μέσων κοινωνικής δικτύωσης ή σε δικτυακούς τόπους) δεν περιλαμβάνει την «αποστολή» διαφημίσεων με την αυστηρή έννοια του όρου. Αυτό καταδεικνύεται περαιτέρω από τα παραδείγματα που ακολουθούν στον εν λόγω ορισμό (σύντομα γραπτά μηνύματα, μηνύματα ηλεκτρονικού ταχυδρομείου) και στην αιτιολογική σκέψη 33. Τα παραδείγματα αυτά αναφέρονται στο σύνολό τους σε παραδοσιακές μορφές επικοινωνίας για σκοπούς εμπορικής προώθησης, ενώ, ακόμη και στο πλαίσιο αυτό, η χρήση των –αρκετά παραδοσιακών– συστημάτων κλήσης είναι πιθανόν ότι δεν εμπίπτει στον ανωτέρω ορισμό. Το άρθρο και η αιτιολογική σκέψη θα πρέπει να τροποποιηθούν ώστε να περιλαμβάνουν κάθε μορφή διαφήμισης που αποστέλλεται, απευθύνεται ή παρουσιάζεται σε έναν ή περισσότερους τελικούς χρήστες των οποίων η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί. Επιπλέον, θα πρέπει να διασφαλίζεται ότι οι συμπεριφορικές διαφημίσεις (με βάση το προφίλ των τελικών χρηστών) θεωρούνται επίσης κοινοποιήσεις άμεσης εμπορικής προώθησης οι οποίες απευθύνονται σε «έναν ή περισσότερους τελικούς χρήστες των οποίων η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί» (δεδομένου ότι οι διαφημίσεις αυτές στοχεύουν σε συγκεκριμένους χρήστες των οποίων η ταυτότητα μπορεί να εξακριβωθεί).

Επίσης, βάσει του προτεινόμενου ορισμού των «κοινοποιήσεων άμεσης εμπορικής προώθησης», η προστασία του άρθρου 16 παράγραφος 1 θα περιοριζόταν σε μηνύματα που περιέχουν διαφημιστικό υλικό και δεν θα προστάτευε τα άτομα από άλλα μηνύματα τα οποία αποστέλλονται, απευθύνονται ή παρουσιάζονται σε αυτά για σκοπούς εμπορικής προώθησης [όπως τα μηνύματα ανάπτυξης πελατολογίου (lead generation) που ζητούν συγκατάθεση, προώθηση πολιτικών απόψεων ή προτιμήσεων ψήφου, προώθηση φιλανθρωπικών οργανώσεων και άλλων μη κερδοσκοπικών οργανώσεων ή γενική προώθηση μιας οργάνωσης]. Επιπλέον, τα μηχανήματα τηλεομοιοτυπίας εξακολουθούν να χρησιμοποιούνται ως μέθοδος άμεσης εμπορικής προώθησης, αν και δεν αναφέρονται στον ορισμό. Ως εκ τούτου, το άρθρο 4 παράγραφος 3 στοιχείο στ) θα πρέπει να περιλαμβάνει κάθε μορφή διαφήμισης, προσέλκυσης πελατείας ή προώθησης, μεταξύ άλλων και για μη κερδοσκοπικές οργανώσεις, και θα πρέπει να περιλαμβάνει ρητά τα μηχανήματα τηλεομοιοτυπίας, μαζί με τα μηνύματα ηλεκτρονικού ταχυδρομείου και τα σύντομα γραπτά μηνύματα [βλέπε επίσης τη σύσταση για διευκρίνιση που διατυπώνεται στο σημείο 43 στοιχείο α)]. Τέλος, στην αιτιολογική σκέψη 32 αναφέρεται ότι στην άμεση εμπορική προώθηση περιλαμβάνονται τα μηνύματα που αποστέλλονται από πολιτικά κόμματα για την προώθηση των αντίστοιχων κομμάτων. Η εν λόγω αιτιολογική σκέψη θα πρέπει να επικαιροποιηθεί ώστε να περιλαμβάνει τους πολιτικούς και τους υποψηφίους σε εκλογές που προωθούν την υποψηφιότητά τους.

28. Δεύτερον, η ανάκληση της συγκατάθεσης στην άμεση εμπορική προώθηση δεν πραγματοποιείται δωρεάν ούτε τόσο εύκολα όσο η χορήγηση συγκατάθεσης. Η δυνατότητα ανάκλησης της συγκατάθεσης βάσει της πρότασης κανονισμού πρέπει να αποσαφηνιστεί ώστε να διασφαλιστεί η συνοχή και να βελτιωθεί η προστασία των παραληπτών. Το άρθρο 16 παράγραφος 6 της πρότασης κανονισμού προβλέπει επί του παρόντος ότι πρέπει να παρέχονται «οι πληροφορίες που χρειάζονται οι παραλήπτες για να ασκήσουν εύκολα το δικαίωμα ανάκλησης της συγκατάθεσής τους για τη λήψη περαιτέρω κοινοποιήσεων εμπορικής προώθησης» (η υπογράμμιση του συντάκτη). Αυτό επιβεβαιώνεται στην αιτιολογική σκέψη 34. Ωστόσο, από την αιτιολογική σκέψη 70 του ΓΚΠΔ συνάγεται ότι τα υποκείμενα των δεδομένων στο πλαίσιο του ΓΚΠΔ θα πρέπει όχι μόνο να έχουν το δικαίωμα να αντιτεθούν εύκολα στην επεξεργασία για σκοπούς άμεσης εμπορικής προώθησης, αλλά και να το πράττουν «χωρίς χρέωση». Το ίδιο προβλέπεται και στο άρθρο 16 παράγραφος 2 της πρότασης κανονισμού, αλλά μόνον όσον αφορά την αυτοεξαίρεση από την άμεση εμπορική προώθηση με βάση στοιχεία επαφής που λαμβάνονται στο πλαίσιο μιας πώλησης.

Το άρθρο 7 παράγραφος 3 του ΓΚΠΔ προβλέπει ότι η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της και ότι τα πρόσωπα μπορούν να ανακαλέσουν τη συγκατάθεσή τους ανά πάσα στιγμή. Επιπλέον, στη γνώμη 04/2010 σχετικά με τη FEDMA (WP174), η ομάδα εργασίας αναγνώρισε ήδη τη σημασία του να έχει ο αποδέκτης στη διάθεσή του «έναν απλό, αποτελεσματικό, ανέξοδο, άμεσο και εύκολα προσβάσιµο τρόπο για να δηλώσει ότι επιθυμεί να θέσει τέλος» στη λήψη κοινοποιήσεων άμεσης εμπορικής προώθησης18. Το συγκεκριμένο πρότυπο ανάκλησης της συγκατάθεσης θα πρέπει να ενσωματωθεί στους κανόνες σχετικά με την άμεση εμπορική προώθηση στην πρόταση κανονισμού. Το ίδιο ισχύει για την απαίτηση του άρθρου 7 παράγραφος 3 του ΓΚΠΔ, βάσει της οποίας η ανάκληση της συγκατάθεσης θα πρέπει να είναι εξίσου εύκολη με την παροχή της και να μπορεί να πραγματοποιηθεί ανά πάσα στιγμή.

29. Σε σχέση με αυτό, θα πρέπει να αποσαφηνιστεί ο τρόπος ανάκλησης της συγκατάθεσης ή αυτοεξαίρεσης από τις φωνητικές κλήσεις για σκοπούς άμεσης εμπορικής προώθησης. Με βάση το άρθρο 16 παράγραφος 4 της πρότασης κανονισμού, τα κράτη μέλη μπορούν να επιλέξουν ένα καθεστώς αυτοεξαίρεσης από τις φωνητικές κλήσεις για σκοπούς άμεσης εμπορικής προώθησης. Ο κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες θα πρέπει να ορίσει τις ρυθμίσεις για την ανάκληση της συγκατάθεσης και την αυτοεξαίρεση από τις φωνητικές κλήσεις για σκοπούς εμπορικής προώθησης. Στην αιτιολογική σκέψη 36 ορίζεται ότι τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να θεσπίζουν ή/και να διατηρούν εθνικά συστήματα αυτοεξαίρεσης. Με βάση την εν λόγω διάταξη, τα κράτη μέλη θα μπορούσαν ως εκ τούτου να επιτρέπουν ακόμη και μια κατάσταση κατά την οποία ο χρήστης θα πρέπει να προβαίνει σε αυτοεξαίρεση έναντι μεμονωμένων παρόχων επικοινωνίας. Ο συγκεκριμένος τρόπος εφαρμογής της διάταξης δεν προστατεύει τους χρήστες από οχληρές αδικαιολόγητες επικοινωνίες19 ούτε παρέχει μηχανισμό  για την εύκολη και ανά πάσα στιγμή ανάκληση της συγκατάθεσης ο οποίος να συνάδει με τον ΓΚΠΔ. Ως εκ τούτου, στον κανονισμό θα πρέπει να οριστεί ότι κάθε κράτος μέλος πρέπει να δημιουργήσει ένα εθνικό μητρώο φραγής κλήσεων. Επιπλέον, ο κανονισμός θα πρέπει να ορίσει ότι στους αποδέκτες φωνητικών κλήσεων θα πρέπει να παρέχονται δύο δυνατότητες ανάκλησης της συγκατάθεσής τους: για μελλοντικές κλήσεις από τη συγκεκριμένη εταιρεία ή οργανισμό και τη δυνατότητα εγγραφής, στο πλαίσιο των συγκεκριμένων κλήσεων, σε εθνικό μητρώο φραγής κλήσεων.

30. Ένα ακόμη ζήτημα που προκαλεί ανησυχία είναι ότι δεν απαγορεύεται ρητά η χρήση ψευδών στοιχείων ταυτότητας κατά την αποστολή κοινοποιήσεων άμεσης εμπορικής προώθησης. Στην αιτιολογική σκέψη 34 αναφέρεται ότι απαγορεύεται «η απόκρυψη της ταυτότητας και η χρησιμοποίηση ψευδών στοιχείων ταυτότητας ή ψευδών διευθύνσεων ή αριθμών επιστροφής κατά την αποστολή εμπορικών επικοινωνιών με σκοπό την άμεση εμπορική προώθηση». Ωστόσο, στο άρθρο 16 παράγραφος 4 αναφέρεται απλώς ότι οι τελικοί χρήστες ενημερώνονται για «την ταυτότητα του νομικού ή φυσικού προσώπου για λογαριασμό του οποίου μεταδίδεται η κοινοποίηση». Η υποχρέωση ενημέρωσης των παραληπτών σχετικά με την ταυτότητα θα πρέπει να συμπληρωθεί με σαφή απαγόρευση της χρήσης συγκεκαλυμμένων ή ψευδών διευθύνσεων επικοινωνίας για σκοπούς άμεσης εμπορικής προώθησης.

31. Το σημείο αυτό συνδέεται με ένα άλλο ζήτημα που προκαλεί ανησυχία: η απαίτηση προθέματος για τις κλήσεις άμεσης εμπορικής προώθησης παρουσιάζεται ως εναλλακτική στην απαίτηση εμφάνισης της ταυτότητας της γραμμής επικοινωνίας. Βάσει του άρθρου 16 παράγραφος 3, οι κλήσεις άμεσης εμπορικής προώθησης επιτρέπονται εφόσον ο καλών είτε i) παρέχει ένδειξη της ταυτότητας γραμμής επικοινωνίας με το φυσικό ή νομικό πρόσωπο που πραγματοποιεί  την κλήση [άρθρο 16 παράγραφος 3 στοιχείο α)], είτε ii) παρέχει ένδειξη ειδικού κωδικού/προθέματος που δηλώνει ότι η κλήση είναι κλήση εμπορικής προώθησης19 Για παράδειγμα, στο Ηνωμένο Βασίλειο ο φορέας εκμετάλλευσης τηλεπικοινωνιών ΒΤ κατέγραψε 31 εκατομμύρια οχληρές κλήσεις σε μία εβδομάδα. Βλέπε: http://www.bbc.com/news/business-38635921 [άρθρο 16 παράγραφος 3 στοιχείο β)]. Παρότι η ομάδα εργασίας επιδοκιμάζει την υποχρέωση χρήσης προθέματος που επιβάλλει το άρθρο 16 παράγραφος 3 στοιχείο β), θεωρεί ότι η απαίτηση αυτή δεν αφορά το ίδιο ζήτημα με αυτό που αφορά η υποχρέωση ένδειξης της ταυτότητας της γραμμής επικοινωνίας, η οποία προβλέπεται στο άρθρο 16 παράγραφος 3 στοιχείο α). Ενώ σκοπός της απαίτησης προθέματος είναι να δίνει στον αποδέκτη τη δυνατότητα να αναγνωρίζει εκ των προτέρων μια κλήση ως κλήση για σκοπούς εμπορικής προώθησης (και να εφαρμόζει μέτρα  φραγής τέτοιων κλήσεων), σκοπός της απαίτησης ένδειξης της ταυτότητας της γραμμής επικοινωνίας είναι να παρέχονται στους αποδέκτες (και τις εποπτικές αρχές) μέσα εντοπισμού και επικοινωνίας με τον αυτουργό της εμπορικής προώθησης. Αυτό ισχύει ιδιαίτερα για τις αυτοματοποιημένες κλήσεις, όπου υπάρχει έντονη ανισορροπία μεταξύ των δυνατοτήτων της εταιρείας εμπορίας να πραγματοποιεί οχληρές κλήσεις και των δυνατοτήτων του αποδέκτη να αποφεύγει αυτές τις κλήσεις. Ως εκ τούτου, οι απαιτήσεις δεν πρέπει να εφαρμόζονται εναλλακτικά, αλλά να αλληλοσυμπληρώνονται.

 

ΧΡΟΝΟΔΙΑΓΡΑΜΜΑ

32. Η ομάδα εργασίας του άρθρου 29 επαινεί την Ευρωπαϊκή Επιτροπή για την αναγνώριση της ανάγκης να τεθεί σε ισχύ η πρόταση κανονισμού μαζί με τον ΓΚΠΔ τον Μάιο του 2018, προκειμένου να αποφευχθούν ανακολουθίες μεταξύ των δύο νομοθετικών πράξεων. Ωστόσο, εξακολουθεί να προκαλεί προβληματισμό το  γεγονός ότι πρόκειται για φιλόδοξο χρονοδιάγραμμα, το οποίο προϋποθέτει επίσης την ολοκλήρωση του σχεδίου του ΕΚΗΕ. Ως εκ τούτου, η ομάδα εργασίας του άρθρου 29 ζητεί από όλους τους συμμετέχοντες στη νομοθετική διαδικασία να δεσμευτούν για την τήρηση της προθεσμίας του Μαΐου του 2018.

 

ΑΛΛΟΙ ΠΡΟΒΛΗΜΑΤΙΣΜΟΙ

Στην παρούσα ενότητα εξετάζονται διάφοροι πρόσθετοι προβληματισμοί.

33. Πρώτον, η ομάδα εργασίας του άρθρου 29 εκφράζει τον προβληματισμό της σχετικά με την πρόταση να είναι αποδεκτά τα μη στοχευμένα μέτρα διατήρησης των δεδομένων. Στην αιτιολογική έκθεση αναφέρεται ότι, βάσει της πρότασης κανονισμού, τα κράτη μέλη είναι ελεύθερα να διατηρήσουν ή να δημιουργήσουν εθνικά πλαίσια διατήρησης των δεδομένων που παρέχουν, μεταξύ άλλων, στοχευμένα μέτρα για τη διατήρηση (παρ. 1.3). Μετά την απόφαση στην υπόθεση Tele2/Watson20, είναι σαφές ότι τα πλαίσια διατήρησης που προβλέπουν οτιδήποτε άλλο εκτός από στοχευμένη διατήρηση δεν επιτρέπονται βάσει του Χάρτη (και ακόμη και τότε υπόκεινται σε σημαντικές προϋποθέσεις, όπως η εποπτεία), καθώς και ότι η γενικευμένη πρόσβαση σε μεταδεδομένα θα πρέπει να θεωρείται ότι παραβιάζει την ουσία του άρθρου 7 κατά τον ίδιο τρόπο που την παραβιάζει η γενικευμένη πρόσβαση στο περιεχόμενο των ηλεκτρονικών επικοινωνιών (πρβλ. απόφαση του Δικαστηρίου στην υπόθεση Schrems και αιτιολογική σκέψη 94). Ως εκ τούτου, ο τρόπος διατύπωσης της συγκεκριμένης φράσης υπαινίσσεται την ύπαρξη περιθωρίου για τα κράτη μέλη όσον αφορά τα μέτρα διατήρησης δεδομένων, περιθώριο το οποίο δεν υπάρχει. Συναφώς προς αυτό, τα μεταδεδομένα δεν τυγχάνουν επαρκούς επιπέδου προστασίας στην πρόταση κανονισμού. Όπως επισημαίνεται στο σημείο 10, η ομάδα εργασίας του άρθρου 29 επιδοκιμάζει την αναγνώριση ότι τα μεταδεδομένα μπορεί να αποκαλύπτουν πολύ ευαίσθητα δεδομένα. Ωστόσο, στην πρόταση κανονισμού τα μεταδεδομένα δεν τυγχάνουν της προστασίας που θα έπρεπε να προκύπτει από αυτή την αναγνώριση. Δεδομένου του ευαίσθητου χαρακτήρα των μεταδεδομένων, ειδικότερα, πριν από τη διενέργεια ανάλυσης βάσει του άρθρου 6 παράγραφος 2 στοιχείο γ), θα πρέπει να διενεργείται ΕΕΠΔ (βλέπε επίσης σημείο 46).

34. Δεύτερον, η πρόταση κανονισμού θα διευρύνει αδικαιολόγητα τις δυνατότητες διατήρησης δεδομένων. Το άρθρο 11 της πρότασης κανονισμού αναφέρεται στο άρθρο 23 παράγραφος 1 στοιχεία α) έως ε) του ΓΚΠΔ περιγράφοντας τους σκοπούς για τους οποίους τα κράτη μέλη μπορούν να περιορίσουν τις υποχρεώσεις και τα δικαιώματα που προβλέπονται στα άρθρα 5 έως 8 του κανονισμού. Ο ΓΚΠΔ δεν προβλέπει τέτοιους περιορισμούς όσον αφορά τις ειδικές κατηγορίες δεδομένων, λαμβάνοντας υπόψη τους υψηλούς κινδύνους για τα υποκείμενα των δεδομένων. Παρότι το άρθρο 15 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες επιτρέπει επί του παρόντος παρόμοιο περιορισμό, οι σκοποί είναι περισσότερο περιορισμένοι. Η πρόταση νέου κανονισμού θα  καταστήσει δυνατούς νέους περιορισμούς για τους σκοπούς της διασφάλισης της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών» [άρθρο 23 παράγραφος 1 στοιχείο δ) του ΓΚΠΔ] και «άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης» [άρθρο 23 παράγραφος 1 στοιχείο ε) του ΓΚΠΔ]. Όχι μόνο οι σκοποί αυτοί είναι νέοι σε σύγκριση με την οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, αλλά, παράλληλα, η διατύπωση του τελευταίου σκοπού του άρθρου 23 παράγραφος 1 στοιχείο δ) και ολόκληρου του σκοπού του άρθρου 23 παράγραφος 1 στοιχείο ε) είναι υπερβολικά ευρεία. Ως εκ τούτου, συνιστάται να διαγραφεί η αναφορά στο άρθρο 23 παράγραφος 1 στοιχεία α) έως ε) του ΓΚΠΔ και, αντί αυτής, να αναφέρονται μόνο οι σκοποί που αναφέρονται επί του παρόντος στο άρθρο 15 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.

35. Η υποχρέωση ενημέρωσης των χρηστών σχετικά με τους κινδύνους για την ασφάλεια έχει πολύ περιορισμένο πεδίο εφαρμογής. Η ομάδα εργασίας επιδοκιμάζει το γεγονός ότι οι πάροχοι υπηρεσιών πρέπει να ενημερώνουν τους χρήστες σχετικά με τους κινδύνους για την ασφάλεια και τα μέτρα αντιμετώπισης των κινδύνων αυτών, όπως η κρυπτογράφηση (άρθρο 17 και αιτιολογική σκέψη 37). Ωστόσο, ο τίτλος της διάταξης είναι «Πληροφορίες για κινδύνους για την ασφάλεια που έχουν εντοπιστεί». Το γεγονός ότι ο τίτλος αναφέρεται σε κινδύνους που έχουν εντοπιστεί υποδηλώνει ότι η διάταξη αυτή αφορά μόνο (δυνητικές) παραβιάσεις της ασφάλειας, ενώ η διατύπωση της διάταξης και η αιτιολογική σκέψη υποδεικνύουν περισσότερο μια γενική ενημέρωση των τελικών χρηστών. Για παράδειγμα, εάν ένας πάροχος υπηρεσιών διαπιστώσει ότι η συσκευή ενός χρήστη έχει μολυνθεί από κακόβουλο λογισμικό και έχει γίνει μέρος ενός botnet, η εν λόγω διάταξη φαίνεται να επιβάλλει στον πάροχο την άμεση υποχρέωση να ενημερώσει τον χρήστη σχετικά με τους επακόλουθους κινδύνους. Ωστόσο, το πεδίο εφαρμογής της εν λόγω διάταξης θα μπορούσε να αποσαφηνιστεί και δεν θα πρέπει να περιορίζεται στο συγκεκριμένο σενάριο. Η διάταξη θα πρέπει να καλύπτει τουλάχιστον τους κινδύνους για την ασφάλεια που έχουν εντοπιστεί στο σύνολο του εξοπλισμού που παρέχεται στον τελικό χρήστη από τον πάροχο στο πλαίσιο της συνδρομής, όπως για παράδειγμα σε δρομολογητές και κινητές συσκευές, και να περιλαμβάνει ενημέρωση σχετικά με τους κινδύνους που συνεπάγεται η αλλαγή των ρυθμίσεων που έχουν οριστεί για την προστασία της ιδιωτικής ζωής σύμφωνα με την αρχή της προστασίας της ιδιωτικής ζωής ήδη από τον σχεδιασμό.

Η ομάδα εργασίας συνιστά την επέκταση του πεδίου εφαρμογής ώστε να συμπεριληφθούν οι πάροχοι προϊόντων λογισμικού τα οποία προσφέρουν τη δυνατότητα ηλεκτρονικών επικοινωνιών (βλ. αιτιολογική σκέψη 8), καθώς και πιθανόν μια νέα κατηγορία: οι πάροχοι τεχνολογιών που είναι απαραίτητες για ασφαλείς επικοινωνίες, οι οποίοι δεν είναι πάροχοι υπηρεσιών (π.χ. οι πάροχοι τεχνολογίας κρυπτογράφησης). Στην περίπτωση της εν λόγω επέκτασης, θα πρέπει να ληφθεί μέριμνα ώστε η συγκεκριμένη υποχρέωση να μην επικαλύπτει τις υποχρεώσεις κοινοποίησης παραβιάσεων ασφαλείας που προβλέπονται σε άλλες πράξεις, όπως στην οδηγία για την ασφάλεια δικτύων και πληροφοριών (ΑΔΠ)21 και τις νομικές πράξεις που αφορούν τους παρόχους πιστοποιητικών. Δεδομένου ότι οι πάροχοι τεχνολογιών της τελευταίας κατηγορίας συνήθως δεν έχουν άμεση επαφή με τους τελικούς χρήστες, πρέπει επίσης να εξηγηθεί με ποιον τρόπο μπορούν να συμμορφώνονται με την υποχρέωσή τους για παροχή πληροφοριών βάσει της συγκεκριμένης διάταξης.

36. Η ομάδα εργασίας επιδοκιμάζει τις διατάξεις των άρθρων 2 και 13, οι οποίες θα εφαρμόζονται σε υπηρεσίες διαπροσωπικών επικοινωνιών που βασίζονται σε αριθμούς. Ωστόσο, δεν είναι άμεσα προφανής ο λόγος για τον οποίο δεν θα πρέπει να παρέχεται παρόμοιο επίπεδο προστασίας της ιδιωτικής ζωής και σε λειτουργικά ισοδύναμες επιφυείς υπηρεσίες κλήσεων (OTT).

37. Η ομάδα εργασίας εκφράζει επίσης την ανησυχία της για την έλλειψη σαφήνειας σχετικά με τη συγκεκριμένη συγκατάθεση για την αντίστροφη αναζήτηση σε καταλόγους. Το άρθρο 15 παράγραφος 2 της πρότασης κανονισμού απαιτεί οι πάροχοι να λαμβάνουν τη συγκατάθεση των τελικών χρηστών πριν από την ενεργοποίηση των λειτουργιών αναζήτησης που αφορούν τα δεδομένα (βλέπε επίσης αιτιολογική σκέψη 31). Η ομάδα εργασίας επικροτεί την εναρμόνιση της απαίτησης συγκατάθεσης όσον αφορά την ένταξη σε καταλόγους, αλλά εκφράζει τη λύπη της για την έλλειψη επαρκούς επιπέδου λεπτομέρειας όσον αφορά τα διάφορα είδη αναζήτησης. Η ισχύουσα οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες επιτρέπει στα κράτη μέλη να απαιτούν χωριστή συγκατάθεση για την αντίστροφη αναζήτηση με βάση το άρθρο 12 παράγραφος 3. Το εν λόγω άρθρο ορίζει ότι «τα κράτη μέλη μπορούν να απαιτήσουν να ζητείται η πρόσθετη συγκατάθεση των συνδρομητών για οποιοδήποτε άλλο σκοπό δημόσιου καταλόγου, εκτός της έρευνας των στοιχείων επαφής προσώπων βάσει του ονόματός τους και, εάν απαιτείται, ενός ελάχιστου αριθμού άλλων στοιχείων ταυτότητας». Με βάση τη διάταξη αυτή, σε πολλά κράτη μέλη απαιτείται χωριστή συγκατάθεση για τις λειτουργίες αντίστροφης αναζήτησης, λαμβανομένων υπόψη των διαφορετικών επιπέδων αναγνωρισιμότητας και, συνεπώς, παρεμβατικότητας των δύο λειτουργιών.

38. Από μια πιο τυπική πλευρά, το επίπεδο των προστίμων δεν είναι εναρμονισμένο για όλες τις παραβάσεις του κανονισμού. Βάσει της πρότασης κανονισμού, τα κράτη μέλη θεσπίζουν κανόνες σχετικά με τις κυρώσεις για παραβιάσεις του άρθρου 23 παράγραφος 4, του άρθρου 23 παράγραφος 6 και του άρθρου 24 της πρότασης κανονισμού. Είναι πιο εύλογο να πραγματοποιηθεί η εν λόγω θέσπιση με τον ίδιο τον κανονισμό για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες.

39. Τέλος, η πρόταση κανονισμού βασίζεται σε ορισμούς που μπορεί να καταστούν «κινούμενοι στόχοι». Όσον αφορά διάφορες βασικές της έννοιες, η πρόταση κανονισμού παραπέμπει σε διαφορετική νομική πράξη η οποία επί του παρόντος βρίσκεται υπό μορφή σχεδίου: στην προτεινόμενη οδηγία για τον ΕΚΗΕ [βλέπε για παράδειγμα άρθρο 4 παράγραφος 1 στοιχείο β)]. Δύο σημαντικά παραδείγματα είναι ο ορισμός του «τελικού χρήστη», ο οποίος περιλαμβάνει επί του παρόντος τα φυσικά και νομικά πρόσωπα, και οι ορισμοί των όρων «υπηρεσίες ηλεκτρονικών επικοινωνιών» και «υπηρεσίες διαπροσωπικών επικοινωνιών», οι οποίοι  αναφέρονται στο άρθρο 4 παράγραφος 1 στοιχείο β) της πρότασης κανονισμού, ενώ ο δεύτερος όρος συγκεκριμενοποιείται στο άρθρο 4 παράγραφος 2 και περιλαμβάνει είδη υπηρεσιών που εξαιρούνται ρητά στον ΕΚΗΕ22. Η παρούσα γνώμη βασίζεται στους ορισμούς με την τωρινή τους μορφή, ωστόσο είναι αρκετά πιθανό να αλλάξουν ο προτεινόμενος ΕΚΗΕ και/ή οι βασικές του έννοιες. Αυτό θα είχε άμεσες  επιπτώσεις και στον κανονισμό για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες. Ιδανικά, όλοι οι όροι που προέρχονται από τον ΕΚΗΕ θα πρέπει να ορίζονται ανεξάρτητα στον κανονισμό για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες· ή, τουλάχιστον, η πρόταση κανονισμού θα πρέπει να περιλαμβάνει διευκρίνιση σε περίπτωση όρων των οποίων οι ορισμοί αποκλίνουν από αυτούς που περιέχονται στον ΕΚΗΕ (π.χ. η προαναφερόμενη συμπερίληψη των «παρεπόμενων υπηρεσιών» στον ορισμό των «υπηρεσιών διαπροσωπικών επικοινωνιών»). Ωστόσο, αν αυτό δεν είναι εφικτό, η ομάδα εργασίας επιθυμεί να συστήσει σε όλα τα μέρη που εμπλέκονται στη νομοθετική διαδικασία να μεριμνήσουν ώστε η πρόταση κανονισμού και ο ΕΚΗΕ να συζητηθούν και να ψηφιστούν ταυτόχρονα, προκειμένου τα ενδιαφερόμενα μέρη να μπορέσουν να αξιολογήσουν ορθά το πεδίο εφαρμογής και τις συνέπειες των νέων πράξεων.

 

5. ΠΡΟΤΑΣΕΙΣ ΓΙΑ ΔΙΕΥΚΡΙΝΙΣΕΙΣ ΩΣΤΕ ΝΑ ΕΞΑΣΦΑΛΙΣΤΕΙ ΑΣΦΑΛΕΙΑ ΔΙΚΑΙΟΥ

Πέραν των ζητημάτων που εξετάστηκαν ανωτέρω, η ομάδα εργασίας επιθυμεί επίσης να επισημάνει ορισμένες διατάξεις της πρότασης κανονισμού για τις οποίες θα ήταν χρήσιμο να υπάρξουν διευκρινίσεις. Οι εν λόγω διευκρινίσεις θεωρούνται αναγκαίες για τη βελτίωση της ασφάλειας δικαίου που παρέχεται σε όλα τα ενδιαφερόμενα μέρη ότι θα υπάρχει ομοιόμορφη ερμηνεία και εφαρμογή του κανονισμού για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες σε ολόκληρη την ΕΕ.

 

ΔΙΕΥΚΡΙΝΙΣΕΙΣ ΣΧΕΤΙΚΑ ΜΕ ΤΟ ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ

40. Όσον αφορά το πεδίο εφαρμογής της πρότασης κανονισμού, η ομάδα εργασίας του άρθρου 29 προτείνει τις ακόλουθες διευκρινίσεις:

α) Ο όρος «τελικός χρήστης» θα πρέπει να περιλαμβάνει όλους τους μεμονωμένους χρήστες. Στο άρθρο 2 σημείο 14) του ΕΚΗΕ ο «τελικός χρήστης» ορίζεται ως χρήστης που δεν παρέχει δημόσια δίκτυα επικοινωνιών ή υπηρεσίες ηλεκτρονικών επικοινωνιών διαθέσιμες στο κοινό. Θα πρέπει να διευκρινιστεί ότι πρόσωπα που συμβάλλουν στα δίκτυα –για παράδειγμα σε βροχωτά δίκτυα με τον δρομολογητή τους WiFi– δεν εξαιρούνται από το πεδίο προστασίας της πρότασης κανονισμού.

β) Θα πρέπει να διευκρινιστεί ότι το εδαφικό πεδίο  εφαρμογής εκτείνεται  σε όλους τους τελικούς χρήστες στην Ένωση. Το άρθρο 3 παράγραφος 1 στοιχείο α) ορίζει ότι ο προτεινόμενος κανονισμός εφαρμόζεται στην παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών σε τελικούς χρήστες «στην Ένωση», ενώ το άρθρο 3 παράγραφος 1 στοιχείο γ) ορίζει ότι εφαρμόζεται στην προστασία των πληροφοριών που σχετίζονται με τον τερματικό εξοπλισμό των τελικών χρηστών «που βρίσκονται στην Ένωση» (η υπογράμμιση του συντάκτη). Αυτό διαφέρει στις διάφορες μεταφράσεις. Η μετάφραση στη γερμανική γλώσσα δεν περιέχει αυτήν τη διάκριση, ενώ άλλες, όπως οι μεταφράσεις στη γαλλική, την ισπανική και την ολλανδική γλώσσα την περιέχουν. Είναι σαφές από την αιτιολογική σκέψη 9 ότι το εδαφικό πεδίο εφαρμογής επιδιώκεται να είναι ευρύ, ανεξάρτητα από το αν οι υπηρεσίες παρέχονται από εκτός της Ένωσης ή το αν η επεξεργασία πραγματοποιείται εντός της Ένωσης. Ως εκ τούτου, συνιστάται να αφαιρεθεί η φράση «που βρίσκονται» από το άρθρο 3 παράγραφος 1 στοιχείο γ) ώστε να υπογραμμιστεί το ευρύ αυτό πεδίο εφαρμογής.

γ) Η πρόταση  κανονισμού φαίνεται να προστατεύει  μόνο τις εμπιστευτικές επικοινωνίες που βρίσκονται σε διακίνηση, και όχι όταν είναι αποθηκευμένες. Η τρέχουσα προσέγγιση στην πρόταση κανονισμού είναι να υπάρξει εστίαση στην προστασία της μετάδοσης των επικοινωνιών. Βλέπε, για  παράδειγμα,  την  αιτιολογική  σκέψη  15, στην  οποία  αναφέρεται  ότι η απαγόρευση της υποκλοπής δεδομένων επικοινωνιών θα πρέπει να εφαρμόζεται κατά τη μεταφορά των δεδομένων, δηλαδή έως την παραλαβή του περιεχομένου της ηλεκτρονικής επικοινωνίας από τον παραλήπτη για τον οποίο προορίζεται. Το πεδίο εφαρμογής της προστασίας αυτής βασίζεται σε ένα παρωχημένο εννοιολογικό πλαίσιο των επικοινωνιών. Τα περισσότερα δεδομένα επικοινωνιών παραμένουν αποθηκευμένα σε παρόχους υπηρεσιών, ακόμη και μετά την παραλαβή τους. Θα πρέπει να εξασφαλιστεί ότι το απόρρητο των δεδομένων αυτών παραμένει προστατευμένο. Επιπλέον, η επικοινωνία μεταξύ συνδρομητών της ίδιας υπηρεσίας υπολογιστικού νέφους (για παράδειγμα, ενός παρόχου υπηρεσιών webmail) συχνά περιλαμβάνει πολύ περιορισμένη μεταφορά: η αποστολή μηνύματος ηλεκτρονικού ταχυδρομείου συνίσταται ως επί το πλείστον στην αντανάκλαση της ενέργειας στη βάση δεδομένων του παρόχου, και όχι σε μια πραγματική αποστολή επικοινωνιών μεταξύ δύο μερών. Το επιχείρημα ότι το ζήτημα αυτό καλύπτεται ήδη από τον ΓΚΠΔ δεν είναι πειστικό: σκοπός της πρότασης κανονισμού είναι η προστασία όλων των εμπιστευτικών επικοινωνιών, ανεξάρτητα από τα τεχνικά μέσα των επικοινωνιών αυτών. Είναι πιθανό να πρόκειται απλώς για συντακτικό σφάλμα, δεδομένου ότι η απαγόρευση που προβλέπεται στο άρθρο 5 αφορά την «αποθήκευση» και την «επεξεργασία».

δ) Όλα τα δημόσια ασύρματα σημεία πρόσβασης στο  διαδίκτυο θα  πρέπει να εμπίπτουν στο πεδίο εφαρμογής. Δεδομένου ότι η χρήση ασύρματων σημείων πρόσβασης είναι συνήθης, δεν θα πρέπει να υπάρχει αμφιβολία ως προς το αν προστατεύεται το απόρρητο των επικοινωνιών που πραγματοποιούνται μέσω αυτών των σημείων πρόσβασης. Ωστόσο, η απόπειρα διευκρίνισης του ζητήματος αυτού στον κανονισμό αποτυγχάνει, διότι το πεδίο εφαρμογής εκτείνεται μόνο σε δίκτυα που είναι διαθέσιμα σε «απροσδιόριστη  ομάδα τελικών  χρηστών» (αιτιολογική σκέψη  13). Οι όροι «απροσδιόριστη ομάδα τελικών χρηστών» και «κλειστή ομάδα τελικών χρηστών» πρέπει να οριστούν. Ειδικότερα, θα πρέπει να διευκρινιστεί ότι τα ασφαλή ασύρματα δίκτυα (δηλαδή με κωδικό πρόσβασης) εμπίπτουν επίσης στο πεδίο εφαρμογής εάν ο εν λόγω κωδικός πρόσβασης παρέχεται σε μια θεωρητικά απροσδιόριστη ομάδα χρηστών των οποίων η ταυτότητα δεν μπορεί να προσδιοριστεί εκ των προτέρων (π.χ. πελάτες καφετέριας, επισκέπτες αεροδρομίου). Η υποκείμενη αρχή στο πλαίσιο αυτό είναι ότι, σύμφωνα με την προγενέστερη γνώμη της ομάδας εργασίας του άρθρου 29 σχετικά με την αναθεώρηση της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες «μόνο οι υπηρεσίες που παρέχονται στο πλαίσιο επίσημης κατάστασης ή κατάστασης απασχόλησης αποκλειστικά για σκοπούς που σχετίζονται με εργασία ή επίσημους σκοπούς, ή τεχνικές επικοινωνίες μεταξύ μη δημόσιων φορέων ή δημόσιων φορέων με αποκλειστικό σκοπό τον έλεγχο εργασιακών ή επιχειρηματικών διαδικασιών, καθώς και η χρήση υπηρεσιών για αποκλειστικά οικιακούς σκοπούς, μπορούν να εξαιρούνται από το μέσο για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες.» (σ. 8).

ε) Τα δεδομένα που συλλέγονται κατά την παροχή υπηρεσιών ψηφιακής μετάδοσης θα πρέπει να καλύπτονται από την πρόταση κανονισμού. Δεδομένου του ευαίσθητου χαρακτήρα της συμπεριφοράς θέασης, καθώς αποκαλύπτει τα προσωπικά ενδιαφέροντα και χαρακτηριστικά των θεατών, ο κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες θα πρέπει να διευκρινίζει (ίσως σε αιτιολογική σκέψη) ότι ο αποκλεισμός των υπηρεσιών που παρέχουν «περιεχόμενο μεταδιδόμενο με χρήση δικτύων ηλεκτρονικών επικοινωνιών» από τον ορισμό των «υπηρεσιών ηλεκτρονικών επικοινωνιών» δεν σημαίνει ότι οι πάροχοι υπηρεσιών που παρέχουν τόσο υπηρεσίες ηλεκτρονικών επικοινωνιών όσο και υπηρεσίες περιεχομένου δεν εμπίπτουν στο πεδίο εφαρμογής των διατάξεων του κανονισμού για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες, ο οποίος επικεντρώνεται στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών. Αυτό είναι ιδιαίτερα σημαντικό δεδομένου ότι η παροχή υπηρεσιών που παρέχουν «περιεχόμενο μεταδιδόμενο με χρήση δικτύων ηλεκτρονικών επικοινωνιών» εξαιρείται από τον ορισμό των «υπηρεσιών ηλεκτρονικών επικοινωνιών» βάσει της προτεινόμενης οδηγίας για τον ΕΚΗΕ [άρθρο 2 σημείο 4)].

στ) Τα δεδομένα επικοινωνιών είναι κατά κανόνα δεδομένα προσωπικού χαρακτήρα. Στην αιτιολογική σκέψη 4 σημειώνεται ότι τα δεδομένα επικοινωνιών μπορεί να περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα. Ωστόσο, η πλειονότητα των δεδομένων επικοινωνιών είναι δεδομένα προσωπικού χαρακτήρα22 και ως επί το πλείστον δεδομένα μάλλον προσωπικού και ευαίσθητου χαρακτήρα· για τον λόγο αυτό, η αιτιολογική σκέψη θα πρέπει να τροποποιηθεί ώστε να αναφέρει ότι τα εν λόγω δεδομένα είναι κατά κανόνα δεδομένα προσωπικού χαρακτήρα.

ζ) Στις εμπιστευτικές επικοινωνίες περιλαμβάνονται τα μηνύματα σε πλατφόρμες. Η αιτιολογική σκέψη 1 εξηγεί ότι η αρχή του απορρήτου εφαρμόζεται «τόσο στα υπάρχοντα όσο και στα μελλοντικά μέσα επικοινωνίας». Στη συνέχεια παρατίθεται κατάλογος παραδειγμάτων τέτοιων μέσων, στα οποία συμπεριλαμβάνονται τα «προσωπικά μηνύματα που ανταλλάσσονται με τη χρήση μέσων κοινωνικής δικτύωσης». Σκοπός της αιτιολογικής σκέψης είναι μάλλον να συμπεριληφθούν τα ιδιωτικά μηνύματα μεταξύ χρηστών ενός κοινωνικού δικτύου (π.χ. Facebook ή Twitter) ή τα μηνύματα που αναρτώνται σε χρονολόγιο και που είναι προσβάσιμα σε πεπερασμένο αριθμό προσώπων, αλλά η διατύπωση δεν είναι επαρκώς σαφής.

η) Πώς   ο   κανονισμός   για   την   ιδιωτική   ζωή   και   τις   ηλεκτρονικές επικοινωνίες εφαρμόζεται στην αλληλεπίδραση μεταξύ μηχανών. Όπως αναφέρεται στο σημείο 9, η ομάδα εργασίας επιδοκιμάζει την επέκταση της προστασίας στην αλληλεπίδραση μεταξύ μηχανών. Ωστόσο, η εν λόγω επέκταση αναφέρεται μόνο στην αιτιολογική σκέψη 12 και όχι σε αντίστοιχο άρθρο. Η προστασία αυτή είναι επιθυμητή, δεδομένου ότι αυτού του είδους οι  επικοινωνίες  συχνά  περιέχουν  πληροφορίες  που  προστατεύονται  από δικαιώματα σεβασμού της ιδιωτικής ζωής. Από την άλλη πλευρά, μια περιορισμένη κατηγορία επικοινωνιών αμιγώς μεταξύ μηχανών θα πρέπει να εξαιρεθεί εάν οι εν λόγω επικοινωνίες δεν έχουν επιπτώσεις στην ιδιωτική ζωή ή στο απόρρητο των επικοινωνιών, όπως για παράδειγμα οι περιπτώσεις στις οποίες οι επικοινωνίες αυτές πραγματοποιούνται κατ’ εκτέλεση πρωτοκόλλου μετάδοσης μεταξύ στοιχείων ενός δικτύου (π.χ. εξυπηρετητές, μεταγωγείς) ώστε να αλληλοενημερώνονται σχετικά με την κατάσταση δραστηριότητάς τους.

Ένα ειδικότερο πλαίσιο στο οποίο η εφαρμογή του κανονισμού για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες χρήζει διευκρίνισης είναι ο τομέας των ευφυών συστημάτων μεταφορών. Προβλέπεται ότι τα οχήματα θα μεταδίδουν συνεχώς δεδομένα που περιέχουν ένα μοναδικό αναγνωριστικό, μέσω ραδιοσημάτων. Χωρίς την πρόβλεψη στον κανονισμό για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες πρόσθετης προστασίας σχετικά με τα δεδομένα επικοινωνιών, αυτό μπορεί να οδηγήσει σε συνεχή παρακολούθηση των συνηθειών οδήγησης, των διαδρομών και της ταχύτητας των οδηγών. Ωστόσο, το άρθρο 2 σημείο 1) του ΕΚΗΕ περιλαμβάνει έναν νέο και διευρυμένο ορισμό των δικτύων επικοινωνιών. Στα δίκτυα επικοινωνίας συμπεριλαμβάνονται τα συστήματα μετάδοσης που δεν διαθέτουν χωρητικότητα κεντρικής διαχείρισης και επιτρέπουν τη μεταφορά σημάτων μέσω ραδιοσημάτων. Στην αιτιολογική σκέψη 14 του κανονισμού για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες προσδιορίζεται ότι τα δεδομένα αυτά αποτελούν δεδομένα ηλεκτρονικών επικοινωνιών. Με βάση το άρθρο 5 της πρότασης κανονισμού, απαγορεύεται κάθε είδους υποκλοπή, παρακολούθηση ή αποθήκευση αυτών των  δεδομένων επικοινωνιών, εκτός εάν εφαρμόζεται κάποια από τις εξαιρέσεις. Εντούτοις, είναι σκόπιμη η επεξεργασία των δεδομένων αυτών ώστε αντικείμενα όπως αυτοοδηγούμενα αυτοκίνητα και συσκευές να μπορούν να αλληλοπροειδοποιούνται για τη μεταξύ τους εγγύτητα ή άλλους κινδύνους. Το ερώτημα εν προκειμένω είναι ποια εξαίρεση εφαρμόζεται σε αυτή την περίπτωση. Η συγκατάθεση των τελικών χρηστών δεν συνιστά εφικτή εξαίρεση διότι μπορεί να είναι απαραίτητο να είναι πάντοτε δυνατή η επεξεργασία αυτών των δεδομένων. Ως εκ τούτου, οι πάροχοι θα πρέπει να είναι σε θέση να βασιστούν σε μια ειδική εξαίρεση, η οποία θα επιτρέπει σε αντικείμενα όπως αυτοοδηγούμενα αυτοκίνητα και συσκευές να μπορούν να αλληλοπροειδοποιούνται για τη μεταξύ τους εγγύτητα ή άλλους κινδύνους.

 

ΔΙΕΥΚΡΙΝΙΣΕΙΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΕΝΝΟΙΑ ΚΑΙ ΤΗΝ ΕΦΑΡΜΟΓΗ ΤΗΣ ΣΥΓΚΑΤΑΘΕΣΗΣ

41. Όσον αφορά την έννοια και την εφαρμογή της συγκατάθεσης στην τρέχουσα πρόταση κανονισμού, η ομάδα εργασίας του άρθρου 29 προτείνει τις ακόλουθες διευκρινίσεις:

α) Με ποιον τρόπο πρέπει να εφαρμόζεται η έννοια της συγκατάθεσης στο πλαίσιο των νομικών προσώπων. Στην αιτιολογική σκέψη 3 επισημαίνεται ότι ο κανονισμός θα πρέπει να διασφαλίζει την εφαρμογή των διατάξεων του ΓΚΠΔ και στους τελικούς χρήστες που είναι νομικά πρόσωπα. Στο πλαίσιο αυτό περιλαμβάνεται, σύμφωνα με την εν λόγω αιτιολογική σκέψη, ο ορισμός της συγκατάθεσης βάσει του ΓΚΠΔ (βλέπε επίσης αιτιολογική σκέψη 18). Όπως επισημαίνεται στο σημείο 13, η ομάδα εργασίας επιδοκιμάζει τη ρητή συμπερίληψη των νομικών προσώπων στο πεδίο εφαρμογής του κανονισμού. Ωστόσο, η πρακτική εφαρμογή της αρχής αυτής δεν είναι σαφής. Ο ορισμός της συγκατάθεσης στον ΓΚΠΔ απαιτεί να είναι αυτή «εν πλήρει επιγνώσει» και η ένδειξη βουλήσεως του υποκειμένου των δεδομένων πρέπει να εκδηλώνεται «με δήλωση ή με σαφή θετική ενέργεια» [άρθρο 4 σημείο 11) του ΓΚΠΔ]. Πρέπει να διευκρινιστεί πότε ένα νομικό πρόσωπο μπορεί πράγματι να θεωρηθεί ότι έχει «πλήρη επίγνωση» και πότε υπάρχει τέτοια εκδήλωση βουλήσεως από νομικό πρόσωπο.

β) Στο πλαίσιο αυτό, αξίζει να σημειωθεί ότι ο εργοδότης δεν μπορεί στις περισσότερες περιπτώσεις να χορηγήσει συγκατάθεση εξ ονόματος των υπαλλήλων του, διότι όπου απαιτείται η συγκατάθεση εργαζομένου και υπάρχει πραγματική ή δυνητική συναφής ζημία η οποία απορρέει από τη μη χορήγηση συγκατάθεσης, η συγκατάθεση δεν είναι έγκυρη διότι δεν δίνεται ελεύθερα23. Όσον αφορά τις εταιρείες που παρέχουν συσκευές ή εξοπλισμό σε πρόσωπα, η πρόταση κανονισμού δεν περιλαμβάνει (κατάλληλη) εξαίρεση στην απαγόρευση παρέμβασης. Ένα πρώτο παράδειγμα είναι όταν ένας εργοδότης επιθυμεί να αναβαθμίσει τηλέφωνο που έχει παρασχεθεί από την εταιρεία. Δεύτερο παράδειγμα είναι όταν ένας εργοδότης παρέχει σε υπαλλήλους μισθωμένα αυτοκίνητα και για διαχειριστικούς σκοπούς επιτρέπει σε τρίτο να συλλέγει δεδομένα θέσης μέσω της μονάδας επί του αυτοκινήτου. Και στις δύο περιπτώσεις, ο εργοδότης έχει συμφέρον να παρέμβει σε αυτές τις συσκευές.

Η παρέμβαση αυτή δεν μπορεί να θεωρηθεί αναγκαία για την παροχή υπηρεσίας της κοινωνίας της πληροφορίας [άρθρο 8 παράγραφος 1 στοιχείο γ)] ή αναγκαία για τη μέτρηση της ιστοθέασης [άρθρο 8 παράγραφος 1 στοιχείο δ)]. Το ζήτημα αυτό θα μπορούσε να επιλυθεί με τη δημιουργία νέας εξαίρεσης, η οποία θα περιλαμβάνει την περίπτωση στην οποία i) ο εργοδότης παρέχει κάποιον εξοπλισμό στο πλαίσιο σχέσης απασχόλησης,

ii) ο υπάλληλος είναι ο χρήστης αυτού του εξοπλισμού και iii) η παρέμβαση είναι απολύτως αναγκαία για τη λειτουργία του εξοπλισμού από τον υπάλληλο (κάτι που συνεπάγεται την εφαρμογή των αρχών της αναλογικότητας και της επικουρικότητας όσον αφορά τη συλλογή δεδομένων). Μόνον εφόσον πληρούνται οι προϋποθέσεις αυτές, θα μπορεί ο εργοδότης να παρέμβει στη συσκευή τελικών χρηστών.

γ) Βελτίωση των ελέγχων για τη διακοπή της αυτόματης προώθησης κλήσεων. Το άρθρο 14 παρέχει στους τελικούς χρήστες έναν σημαντικό έλεγχο για τη διακοπή της αυτόματης προώθησης κλήσεων από τρίτο. Η προστασία αυτή μπορεί να βελτιωθεί περαιτέρω με την πρόβλεψη απαίτησης

συγκατάθεσης του τελικού χρήστη για την αρχική έναρξη της προώθησης κλήσεων.

 

ΔΙΕΥΚΡΙΝΙΣΕΙΣ ΣΧΕΤΙΚΑ ΜΕ ΤΑ ΔΕΔΟΜΕΝΑ ΘΕΣΗΣ ΚΑΙ ΑΛΛΑ ΜΕΤΑΔΕΔΟΜΕΝΑ

42. Η ομάδα εργασίας συνιστά να διευκρινιστούν τα ακόλουθα σχετικά με τα δεδομένα θέσης και άλλα μεταδεδομένα:

α) Θα πρέπει να διευκρινιστεί η έννοια των «δεδομένων γεωγραφικής θέσης που δημιουργούνται εκτός του πλαισίου της παροχής υπηρεσιών ηλεκτρονικών επικοινωνιών» στην αιτιολογική σκέψη 17. Δεν είναι  σαφές αν η έννοια αυτή αφορά δεδομένα γεωγραφικής θέσης τα οποία συλλέγονται μέσω, για παράδειγμα, εφαρμογών οι οποίες χρησιμοποιούν τα δεδομένα από τη λειτουργία GPS σε έξυπνες συσκευές και/ή δημιουργούν δεδομένα γεωγραφικής θέσης με βάση κοντινούς δρομολογητές WiFi και/ή δεδομένα γεωγραφικής θέσης που συλλέγονται με χρήση βοηθών πλοήγησης επί του οχήματος και/ή άλλους τρόπους δημιουργίας δεδομένων γεωγραφικής θέσης. Αυτή η έλλειψη σαφήνειας δημιουργεί ανασφάλεια δικαίου ως προς το πεδίο εφαρμογής της υποχρέωσης. Σε κάθε περίπτωση, τα δεδομένα γεωγραφικής θέσης της τερματικής συσκευής ενός φυσικού προσώπου είναι δεδομένα προσωπικού χαρακτήρα και, συνεπώς, η επεξεργασία των δεδομένων αυτών υπόκειται στις υποχρεώσεις που απορρέουν από τον ΓΚΠΔ.

β) Θα πρέπει να διευκρινιστεί ότι για τις περισσότερες εργασίες νόμιμης επεξεργασίας δεδομένων γεωγραφικής θέσης και άλλων μεταδεδομένων δεν απαιτείται μοναδικό αναγνωριστικό. Στην αιτιολογική σκέψη 17 αναφέρονται οι θερμικοί χάρτες ως παράδειγμα εμπορικής χρήσης των μεταδεδομένων ηλεκτρονικών επικοινωνιών από παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών. Ωστόσο, για τη δημιουργία απλού θερμικού χάρτη δεν απαιτούνται μοναδικά αναγνωριστικά, αλλά αρκεί η στατιστική καταμέτρηση. Ένα ακόμη παράδειγμα που αναφέρεται στην εν λόγω αιτιολογική σκέψη, η χρήση –και η άσκηση πίεσης επί– υποδομών μπορεί επίσης να μετράται από ορισμένα σημεία μέτρησης, για παράδειγμα με τη δημιουργία συγκεντρωτικών στατιστικών στοιχείων σχετικά τη χρήση πύργων κυκλοφορίας για την παροχή ένδειξης όσον αφορά την πίεση που ασκείται σε μια τοποθεσία μια δεδομένη χρονική στιγμή, χωρίς να είναι απαραίτητο να καθίσταται επίσης γνωστή η ταυτότητα των συνδεδεμένων προσώπων.

Επιπλέον, στην ίδια αιτιολογική σκέψη αναφέρεται ως παράδειγμα η εμφάνιση των κινήσεων προς ορισμένες κατευθύνσεις για ορισμένο χρονικό διάστημα, στο πλαίσιο της οποίας είναι απαραίτητη η χρήση αναγνωριστικού που συνδέει τις θέσεις των ατόμων σε συγκεκριμένα χρονικά διαστήματα. Με το παράδειγμα αυτό, η αιτιολογική σκέψη φαίνεται να νομιμοποιεί την περαιτέρω  επεξεργασία  των  δεδομένων  για  την  υποστήριξη της ανάλυσης «μαζικών δεδομένων». Η μόνη προϋπόθεση που προβλέπεται στην πρόταση κανονισμού για αυτού του είδους την επεξεργασία είναι η υποχρέωση διενέργειας   εκτίμησης   επιπτώσεων   στην   προστασία   δεδομένων   εάν  η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Η προϋπόθεση αυτή δεν αρκεί. Επιπλέον, αντιβαίνει στην υποχρέωση που ορίζεται στο άρθρο 6, βάσει της οποίας το συγκεκριμένο είδος επεξεργασίας μπορεί να εκτελείται μόνο με τη συγκατάθεση των χρηστών και μόνο εφόσον τα δεδομένα δεν μπορούν να ανωνυμοποιηθούν, δηλαδή χωρίς μοναδικά αναγνωριστικά. Συχνά, οι χρήστες δεν μπορούν να αρνηθούν τη συλλογή των δεδομένων τους γεωγραφικής θέσης από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών όταν η συλλογή αυτή είναι τεχνικώς αναγκαία για τη μεταφορά της επικοινωνίας στον χρήστη ή όταν η επεξεργασία είναι απαραίτητη για την παροχή της υπηρεσίας (π.χ. πλοήγησης) που έχει ζητηθεί. Σε προηγούμενες γνώμες, η ομάδα εργασίας κατέληξε στο συμπέρασμα ότι τα εν λόγω δεδομένα θέσης από έξυπνες συσκευές αποτελούν ευαίσθητα δεδομένα προσωπικού χαρακτήρα και ότι τα οφέλη της ανάλυσης των δεδομένων αυτών δεν υπερισχύουν των δικαιωμάτων των χρηστών στην προστασία του απορρήτου των μεταδεδομένων των επικοινωνιών τους ούτε των γενικών τους δικαιωμάτων στην προστασία δεδομένων βάσει του ΓΚΠΔ. Ως εκ τούτου, στην εν λόγω αιτιολογική σκέψη θα πρέπει τουλάχιστον να ορίζεται ότι οι πάροχοι πρέπει να συμμορφώνονται με τις υποχρεώσεις που απορρέουν από το άρθρο 25 του ΓΚΠΔ σε περίπτωση περαιτέρω επεξεργασίας των δεδομένων θέσης ή άλλων μεταδεδομένων. Αυτό συνεπάγεται, τουλάχιστον, τη λήψη των ακόλουθων μέτρων:

i) χρήση προσωρινών ψευδωνύμων·

ii) διαγραφή τυχόν πίνακα αντίστροφης αναζήτησης μεταξύ αυτών των ψευδωνύμων και των αρχικών ταυτοποιητικών δεδομένων·

iii) συγκέντρωση σε επίπεδο στο οποίο να μην είναι πλέον δυνατή η ταυτοποίηση μεμονωμένων χρηστών μέσω των συγκεκριμένων διαδρομών τους, και

iv) διαγραφή ακραίων τιμών σε σχέση με τις οποίες είναι ακόμη δυνατή η ταυτοποίηση (όλα αυτά τα μέτρα πρέπει να εφαρμόζονται από κοινού).

Τέλος, ο κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες πρέπει να επιβάλλει στα μέρη που συμμετέχουν στην επεξεργασία δεδομένων θέσης και άλλων μεταδεδομένων την υποχρέωση να δημοσιοποιούν τις μεθόδους ανωνυμοποίησης και περαιτέρω συγκέντρωσης τις οποίες χρησιμοποιούν, χωρίς να θίγεται το απόρρητο που διαφυλάσσεται από τον νόμο. Με τον τρόπο αυτό, τόσο οι εποπτικές αρχές όσο και το ευρύ κοινό θα έχουν τη δυνατότητα να ελέγχουν εύκολα αν η επιλεγείσα μέθοδος είναι επαρκής.

 

ΔΙΕΥΚΡΙΝΙΣΕΙΣ ΣΧΕΤΙΚΑ ΜΕ ΤΙΣ ΜΗ ΖΗΤΗΘΕΙΣΕΣ ΕΠΙΚΟΙΝΩΝΙΕΣ

43. Η ομάδα εργασίας συνιστά να διευκρινιστούν τα ακόλουθα σχετικά με τις μη ζητηθείσες επικοινωνίες:

α)   Η διατύπωση της απαγόρευσης της άμεσης εμπορικής προώθησης χωρίς συγκατάθεση. Στο άρθρο 16 παράγραφος 1 της πρότασης κανονισμού επισημαίνεται επί του παρόντος ότι οι υπηρεσίες ηλεκτρονικών επικοινωνιών «μπορούν» να χρησιμοποιούνται για την αποστολή κοινοποιήσεων άμεσης εμπορικής προώθησης (με συγκατάθεση), αλλά δεν περιλαμβάνεται ρητή απαγόρευση της αποστολής (απεύθυνσης ή παρουσίασης) υλικού άμεσης εμπορικής προώθησης χωρίς συγκατάθεση. Αυτό έρχεται σε αντίθεση με την προσέγγιση που ακολουθείται στις άλλες διατάξεις, όπου πρώτα διατυπώνεται απαγόρευση και στη συνέχεια ακολουθούν ορισμένες εξαιρέσεις. Η τρέχουσα διατύπωση υποδηλώνει μια επιεικέστερη προσέγγιση (κάτι που μάλλον δεν ήταν ο σκοπός). Η ομάδα εργασίας προτείνει μια ελαφρώς τροποποιημένη διατύπωση του τρέχοντος άρθρου 13 παράγραφος 1 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες: «Η χρήση από φυσικά ή νομικά πρόσωπα υπηρεσιών ηλεκτρονικών επικοινωνιών, συμπεριλαμβανομένων φωνητικών κλήσεων, αυτόματων συστημάτων κλήσης και επικοινωνίας, συμπεριλαμβανομένων ημιαυτόματων συστημάτων που συνδέουν τον καλούμενο με κάποιο πρόσωπο, τηλεομοιοτυπικών συσκευών, ηλεκτρονικού ταχυδρομείου ή άλλη χρήση υπηρεσιών ηλεκτρονικών επικοινωνιών για σκοπούς παρουσίασης κοινοποιήσεων άμεσης εμπορικής προώθησης σε τελικούς χρήστες επιτρέπεται μόνο σε σχέση με τελικούς χρήστες οι οποίοι έχουν δώσει εκ των προτέρων τη συγκατάθεσή τους».

β) Το πεδίο εφαρμογής των διατάξεων σχετικά με τις κοινοποιήσεις εμπορικής προώθησης και τις κλήσεις σε υφιστάμενες επαφές. Το άρθρο 16 παράγραφος 2 ορίζει ότι όταν ένα πρόσωπο λαμβάνει στοιχεία επαφής ηλεκτρονικού ταχυδρομείου από υφιστάμενο πελάτη του, μπορεί να χρησιμοποιεί τα εν λόγω στοιχεία για την περαιτέρω άμεση εμπορική προώθηση των δικών του προϊόντων ή υπηρεσιών, υπό την προϋπόθεση ότι, κατά τη στιγμή της συλλογής των στοιχείων επαφής και με κάθε μήνυμα που αποστέλλεται, παρέχεται σαφώς στο οικείο πρόσωπο η δυνατότητα να αντιτάσσεται δωρεάν και εύκολα. Η δυνατότητα αυτή περιορίζεται επί του παρόντος σε εμπορικές επαφές που λαμβάνονται «στο πλαίσιο της πώλησης ενός προϊόντος ή μιας υπηρεσίας» και για την περαιτέρω εμπορική προώθηση των παρόμοιων προϊόντων ή υπηρεσιών του ίδιου προσώπου. Δεδομένου ότι οι διατάξεις σχετικά με την άμεση εμπορική προώθηση εφαρμόζονται επίσης σε μη εμπορικές δραστηριότητες προώθησης (π.χ. φιλανθρωπικών οργανώσεων ή πολιτικών κομμάτων), η διάταξη αυτή θα πρέπει να τροποποιηθεί ώστε να εφαρμόζεται επίσης σε μη εμπορικούς οργανισμούς, παρέχοντάς τους τη δυνατότητα να επικοινωνούν με προηγούμενους υποστηρικτές κατά την προώθηση των δικών τους παρόμοιων σκοπών ή ιδανικών, ενώ παράλληλα το ίδιο δικαίωμα αντίταξης θα πρέπει να εφαρμόζεται στο πλαίσιο κλήσεων άμεσης εμπορικής προώθησης. Επιπλέον, θα πρέπει να καθοριστεί χρονικό όριο όσον αφορά την εγκυρότητα των «υφιστάμενων επαφών πελατών» στο πλαίσιο ηλεκτρονικών επικοινωνιών για εμπορικό, φιλανθρωπικό ή πολιτικό σκοπό και αυτό το χρονικό όριο θα πρέπει επίσης να εφαρμόζεται στις κλήσεις άμεσης εμπορικής προώθησης. Όταν τα κράτη μέλη έχουν επιλέξει σύστημα αντίταξης στις φωνητικές κλήσεις εμπορικής προώθησης, η ύπαρξη σχέσης «υφιστάμενης επαφής πελάτη» υπερισχύει της εγγραφής σε μητρώο φραγής κλήσεων. Σε αυτές τις περιπτώσεις, οι τελικοί χρήστες δεν έχουν πραγματική δυνατότητα να εμποδίσουν τις οχληρές κλήσεις από εταιρείες ή οργανισμούς με τους οποίους είχαν κάποτε επικοινωνία, αλλά με τους οποίους δεν επιθυμούν πλέον να έχουν σχέση. Ως εκ τούτου, κατά γενικό κανόνα, ο κανονισμός θα πρέπει να ορίζει περίοδο ισχύος της συγκεκριμένης εξαίρεσης του «υφιστάμενου πελάτη», για παράδειγμα ένα ή δύο έτη, σε σχέση με τις θεμιτές προσδοκίες των οικείων τελικών χρηστών.

γ) Η εφαρμογή των κανόνων άμεσης εμπορικής προώθησης σε νομικά πρόσωπα. Το άρθρο 16 παράγραφος 5 της πρότασης κανονισμού ορίζει ότι τα κράτη μέλη διασφαλίζουν την επαρκή προστασία του έννομου συμφέροντος των τελικών χρηστών που είναι νομικά πρόσωπα σε σχέση με τις μη ζητηθείσες επικοινωνίες. Στο άρθρο 13 παράγραφος 5 της ισχύουσας οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες περιγράφονται τα έννομα συμφέροντα των συνδρομητών που δεν είναι φυσικά πρόσωπα. Δεν είναι σαφές ποιες είναι οι συνέπειες αυτής της αλλαγής στη διατύπωση. Θα πρέπει να διευκρινιστεί στις αιτιολογικές σκέψεις ότι η αλλαγή αυτή δεν αντανακλά πρόθεση παροχής χαμηλότερου επιπέδου προστασίας. Ως προς αυτό, η απαγόρευση της άμεσης εμπορικής προώθησης χωρίς συγκατάθεση αφορά «τελικούς χρήστες που είναι φυσικά πρόσωπα εφόσον οι τελευταίοι έχουν χορηγήσει σχετικώς τη συγκατάθεσή τους» (η υπογράμμιση του συντάκτη). Θα πρέπει να διευκρινιστεί ότι συμπεριλαμβάνονται τα φυσικά πρόσωπα που εργάζονται για νομικά πρόσωπα. Από την άλλη πλευρά, δεν απαιτείται συγκατάθεση για την προσέγγιση νομικών προσώπων μέσω γενικών στοιχείων επικοινωνίας τα οποία έχουν δημοσιοποιήσει για τον σκοπό αυτό (όπως «info@companyname.eu»).

δ) Η εφαρμογή των κανόνων για την άμεση εμπορική προώθηση σε  πρόσωπα που ενεργούν υπό την ιδιότητα του (πολιτικού) αντιπροσώπου: Το άρθρο 16, ως έχει, μπορεί να εμποδίσει την αποστολή σε εκλεγμένους αντιπροσώπους ορισμένων επικοινωνιών στις οποίες περιγράφονται εμπορικές ανησυχίες ή συμφέροντα, Θα πρέπει να διευκρινιστεί ότι ο κανονισμός δεν εμποδίζει τέτοιου είδους επικοινωνίες.

 

ΔΙΕΥΚΡΙΝΙΣΕΙΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΕΦΑΡΜΟΓΗ ΤΩΝ ΠΡΑΞΕΩΝ ΠΕΡΙ ΑΝΘΡΩΠΙΝΩΝ ΔΙΚΑΙΩΜΑΤΩΝ

44. Η εφαρμογή του Χάρτη και της Ευρωπαϊκής Σύμβασης για την Προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών (ΕΣΔΑ) θα πρέπει να αποσαφηνιστεί περαιτέρω. Η αιτιολογική σκέψη 26 προβλέπει ότι τυχόν μέτρα που λαμβάνονται από τα κράτη μέλη για τη διαφύλαξη του δημοσίου συμφέροντος, όπως νόμιμα μέτρα υποκλοπής, πρέπει να είναι σύμφωνα με τον Χάρτη (επιπλέον της ΕΣΔΑ). Αυτό είναι επιθυμητό, διότι συνάδει με το σκεπτικό της απόφασης στην υπόθεση Tele2/Watson, βάσει του οποίου τυχόν εθνικές εξαιρέσεις στην προστασία που παρέχεται βάσει του δικαίου της ΕΕ στο πλαίσιο της επεξεργασίας δεδομένων υπόκεινται στον Χάρτη (και οι παραβιάσεις μέσω της εθνικής νομοθεσίας μπορούν, ως εκ τούτου, να παραπεμφθούν ενώπιον του Δικαστηρίου της ΕΕ). Ωστόσο, το άρθρο 11 της πρότασης κανονισμού απλώς επισημαίνει ότι οι περιορισμοί του πεδίου εφαρμογής των άρθρων 5-8 της εν λόγω πρότασης πρέπει να σέβονται το περιεχόμενο των θεμελιωδών δικαιωμάτων και ελευθεριών και να συνιστούν αναγκαίο και αναλογικό μέτρο. Στο εν λόγω άρθρο θα πρέπει επίσης να συμπεριληφθεί ρητή αναφορά στον Χάρτη και την ΕΣΔΑ.

45. Αναφορά στο γεγονός ότι το απόρρητο των επικοινωνιών προστατεύεται επίσης από το άρθρο 8 της ΕΣΔΑ. Στο σημείο 1.1 της αιτιολογικής έκθεσης και στην αιτιολογική σκέψη 1 εξηγείται ότι ο προτεινόμενος κανονισμός εφαρμόζει το άρθρο 7 του Χάρτη. Αυτό επαναλαμβάνεται στην αιτιολογική σκέψη 19. Ωστόσο, το θεμελιώδες δικαίωμα στο απόρρητο των επικοινωνιών δεν προστατεύεται μόνο από την εν λόγω διάταξη, αλλά και από το άρθρο 8 της ΕΣΔΑ. Με τη συμπερίληψη ρητής αναφοράς σε άρθρο της πρότασης κανονισμού θα επιβεβαιωθεί περαιτέρω ότι κάθε σχετική νομολογία του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου θα πρέπει επίσης να ληφθεί υπόψη κατά την αξιολόγηση του (τελικού) κανονισμού. Η αναφορά αυτή περιλαμβάνεται ήδη στην αιτιολογική σκέψη 20 (σχετικά με τον τερματικό εξοπλισμό) και στην αιτιολογική σκέψη 26 (σχετικά με τη νόμιμη υποκλοπή) και υποστηρίζεται περαιτέρω από τις σκέψεις στο σημείο 2.1 της αιτιολογικής έκθεσης (σχετικά με τη σχέση μεταξύ του Χάρτη και της ΕΣΔΑ όσον αφορά τα νομικά πρόσωπα), αλλά δεν περιλαμβάνεται σε κανένα από τα σχετικά άρθρα, όπως το άρθρο 11 παράγραφος 1.

 

ΑΛΛΕΣ ΔΙΕΥΚΡΙΝΙΣΕΙΣ

46. Θα πρέπει να διευκρινιστεί ότι οι υποχρεώσεις βάσει του ΓΚΠΔ, για παράδειγμα όσον αφορά το καθεστώς παραβίασης δεδομένων και την ΕΕΠΔ, παραμένουν εφαρμοστέες όταν τα μέρη επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο δεδομένων ηλεκτρονικών επικοινωνιών. Δεδομένου ότι στην αιτιολογική σκέψη 5 αναφέρεται ότι η πρόταση κανονισμού αποτελεί πρόταση «ειδικού νόμου» (lex specialis) σε σχέση με τον ΓΚΠΔ και ότι η επεξεργασία δεδομένων ηλεκτρονικών επικοινωνιών θα πρέπει να επιτρέπεται μόνο σύμφωνα με τις διατάξεις της πρότασης κανονισμού, θα μπορούσε να τεθεί το ερώτημα κατά πόσον ορισμένες υποχρεώσεις που απορρέουν από τον ΓΚΠΔ ισχύουν επίσης και στο πλαίσιο της πρότασης κανονισμού. Αυτό ισχύει ιδίως στην περίπτωση που η πρόταση κανονισμού θα μπορούσε να ερμηνευθεί ως επιβάλλουσα μια υποχρέωση η οποία καλύπτεται και από τον ΓΚΠΔ. Ενδεικτικά παραδείγματα αποτελούν τα εξής:

i) η πρόταση κανονισμού απαιτεί τη γνωστοποίηση κινδύνων για την ασφάλεια «που έχουν εντοπιστεί» (άρθρο 17) (βλέπε επίσης σημείο 35), ενώ ο ΓΚΠΔ περιλαμβάνει καθεστώς γνωστοποίησης παραβίασης δεδομένων (άρθρα 33 και 34)·

ii) στην πρόταση κανονισμού αναφέρεται ότι η διενέργεια ΕΕΠΔ και διαβούλευσης με την εποπτική αρχή σύμφωνα με τον ΓΚΠΔ είναι υποχρεωτική σε ορισμένες περιπτώσεις [αιτιολογικές σκέψεις 17 και 19 και άρθρο 6 παράγραφος 3 στοιχείο β)], ενώ ο ΓΚΠΔ ορίζει ήδη πότε πρέπει να διενεργείται ΕΕΠΔ και πότε απαιτείται διαβούλευση (άρθρα 35 και 36)· και 

iii) δεν διευκρινίζεται ότι, ακόμη και αν ένα πρόσωπο πληροί τις απαραίτητες προϋποθέσεις μιας εξαίρεσης στην απαγόρευση επεξεργασίας βάσει του άρθρου 5 της πρότασης κανονισμού, πρέπει ωστόσο να συμμορφώνεται με όλες τις σχετικές υποχρεώσεις βάσει του ΓΚΠΔ όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, και κάθε άλλη επεξεργασία βάσει του ΓΚΠΔ απαγορεύεται. Θα πρέπει να διευκρινιστεί ότι, ως εκ τούτου, δεν εφαρμόζεται το κριτήριο συμβατότητας που προβλέπεται στο άρθρο 6 παράγραφος 4 του ΓΚΠΔ.

iv) Η πρόταση κανονισμού για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες δεν προβλέπει μηχανισμούς πιστοποίησης παρόμοιους με αυτούς που προβλέπονται στα άρθρα 42 και 43 του ΓΚΠΔ. Δεδομένου ότι το πεδίο εφαρμογής του άρθρου 42 του ΓΚΠΔ περιορίζεται στη δημιουργία μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων με σκοπό την απόδειξη της συμμόρφωσης προς τον ΓΚΠΔ, θα πρέπει να εξεταστεί αν θα πρέπει να εισαχθεί συγκρίσιμη διάταξη η οποία θα επιτρέπει την πιστοποίηση πράξεων, προτύπων, προϊόντων ή υπηρεσιών επεξεργασίας ως προς τη συμμόρφωσή τους με τον κανονισμό για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες.

Προκειμένου να διασφαλιστεί ότι αυτή η έλλειψη σαφήνειας δεν θα χρησιμοποιείται ως επιχείρημα για την υποβάθμιση του επιπέδου προστασίας βάσει της πρότασης κανονισμού, θα πρέπει να καταστεί σαφές ότι σε όλες αυτές τις περιπτώσεις οι υπεύθυνοι επεξεργασίας πρέπει επίσης να συμμορφώνονται με τον ΓΚΠΔ.

47. Επιπλέον, θα πρέπει να διευκρινιστεί ότι η απαίτηση ανάκλησης της συγκατάθεσης εφαρμόζεται επίσης στο πλαίσιο της παρέμβασης σε τερματικό εξοπλισμό. Το άρθρο 8 παράγραφος 1 στοιχείο β) της πρότασης κανονισμού προβλέπει τη δυνατότητα παρέμβασης στον τερματικό εξοπλισμό των τελικών χρηστών με τη χορήγηση συγκατάθεσης. Το άρθρο 9 παράγραφος 3 απαιτεί να παρέχεται στους τελικούς χρήστες η δυνατότητα να ανακαλέσουν τη συγκατάθεσή τους ανά πάσα στιγμή, αλλά αυτό ισχύει μόνο για τη συγκατάθεση για την ανάλυση μεταδεδομένων και περιεχομένου. Θα πρέπει να διευκρινιστεί ότι η υποχρέωση αυτή εκτείνεται στην παρέμβαση σε τερματικό εξοπλισμό.

48. Σε σχέση με αυτό, θα πρέπει να διευκρινιστεί ότι η υπενθύμιση της δυνατότητας ανάκλησης της συγκατάθεσης ισχύει επίσης για τη συγκατάθεση που χορηγείται μέσω ρυθμίσεων του φυλλομετρητή. Το άρθρο 9 παράγραφος 3 απαιτεί να υπενθυμίζεται στους τελικούς χρήστες ανά περιοδικά διαστήματα 6 μηνών η δυνατότητα να ανακαλέσουν τη συγκατάθεσή τους ανά πάσα στιγμή. Μολονότι η ομάδα εργασίας θεωρεί ότι οι γενικές ρυθμίσεις φυλλομετρητών και άλλου λογισμικού, συμπεριλαμβανομένων λειτουργικών συστημάτων, εφαρμογών και διεπαφών λογισμικού για συσκευές που συνδέονται με το διαδίκτυο των πραγμάτων (δηλαδή όχι με βάση ειδικούς αναλυτικούς ελέγχους) δεν μπορούν να αποτελέσουν έγκυρο μέτρο για τη χορήγηση συγκατάθεσης, δεδομένου ότι οι γενικές ρυθμίσεις  δεν ενδείκνυνται για τη χορήγηση ειδικής συγκατάθεσης για συγκεκριμένα σενάρια (βλέπε σημείο 24), οι προεπιλεγμένες ρυθμίσεις θα πρέπει να είναι φιλικές προς τον χρήστη (βλέπε σημείο 19). Εάν το ανωτέρω παραμείνει στην πρόταση κανονισμού, οι ρυθμίσεις πρέπει να είναι επαρκώς αναλυτικές ώστε να ελέγχεται το σύνολο της επεξεργασίας δεδομένων στην οποία συναινεί ο χρήστης και να καλύπτεται κάθε λειτουργική δυνατότητα του εξοπλισμού η οποία μπορεί να οδηγήσει σε επεξεργασία δεδομένων. Επιπλέον, στον τελικό χρήστη θα πρέπει να υπενθυμίζεται τουλάχιστον ανά περιοδικά διαστήματα (6 μηνών) η δυνατότητα αλλαγής αυτών των ρυθμίσεων.

49. Επικροτείται το γεγονός ότι στην πρόταση κανονισμού απαιτείται το λογισμικό που διατίθεται ήδη στην αγορά να ενημερώνει τον τελικό χρήστη σχετικά με τις επιλογές του για τις ρυθμίσεις απορρήτου (άρθρο 10). Ωστόσο, δεν είναι σαφές με ποιον τρόπο μπορεί αυτό να εφαρμοστεί αποτελεσματικά σε κληροδοτημένα προϊόντα και σε άλλα προϊόντα που δεν υποστηρίζονται πλέον. Επιπλέον, θα πρέπει να παρασχεθούν περαιτέρω διευκρινίσεις ως προς τον τρόπο με τον οποίο αυτή η υποχρέωση θα εφαρμόζεται στο λογισμικό ανοικτού κώδικα, το οποίο αναπτύσσεται με ανοικτό και αποκεντρωμένο τρόπο.

50. Θα πρέπει να διευκρινιστεί ότι η παροχή της δυνατότητας φραγής των cookies (τρίτων) βάσει του άρθρου 10 της πρότασης κανονισμού υπερισχύει της εξαίρεσης για μέτρηση της ιστοθέασης βάσει του άρθρου 8 παράγραφος 1 στοιχείο δ). Ή με άλλα λόγια: παρόλο που ένας δικτυακός τόπος μπορεί να χρησιμοποιεί αναλυτικά στοιχεία για μέτρηση της ιστοθέασης βάσει του άρθρου 8 παράγραφος 1 στοιχείο δ), οι χρήστες θα πρέπει να έχουν το δικαίωμα φραγής αυτών των τεχνολογιών παρακολούθησης στον φυλλομετρητή τους.

51. Ο ορισμός των (ημι)αυτοματοποιημένων συστημάτων κλήσεων και επικοινωνιών θα πρέπει να διευκρινιστεί. Ο ορισμός του όρου αυτού στο άρθρο 4 παράγραφος 3 στοιχείο η) της πρότασης κανονισμού περιλαμβάνει αναφορά στον ίδιο τον όρο στο δεύτερο μέρος της περιόδου («συμπεριλαμβανομένων κλήσεων που πραγματοποιούνται με τη χρήση αυτοματοποιημένων συστημάτων κλήσης και επικοινωνίας μέσω των οποίων ο καλούμενος συνδέεται με κάποιο πρόσωπο»). Συνιστάται η διαγραφή της τελευταίας αυτής φράσης από τον ορισμό και η τροποποίηση του ορισμού στο άρθρο 4 παράγραφος 3 στοιχείο ζ) ώστε να συμπεριλαμβάνει τις κλήσεις που πραγματοποιούνται με τη βοήθεια ημιαυτοματοποιημένων συστημάτων επικοινωνίας, όπως οι αυτόματοι επιλογείς κλήσεων, μέσω των οποίων ο καλούμενος συνδέεται με κάποιο πρόσωπο.

52. Οι πληροφορίες που «είναι μέρος της σύμβασης συνδρομής στην υπηρεσία» θα πρέπει να διευκρινιστούν. Στην αιτιολογική σκέψη 14 αναφέρεται ότι τα μεταδεδομένα ηλεκτρονικών επικοινωνιών «μπορεί να περιλαμβάνουν πληροφορίες που είναι μέρος της σύμβασης συνδρομής στην υπηρεσία, όταν οι πληροφορίες αυτές υποβάλλονται σε επεξεργασία για τους σκοπούς της μετάδοσης, της διανομής ή της ανταλλαγής περιεχομένου ηλεκτρονικών επικοινωνιών». Δεν είναι σαφές ποιος είναι ο σκοπός αυτής της διατύπωσης.

53. Θα πρέπει να διευκρινιστεί η δυνατότητα εφαρμογής των μηχανισμών συνεκτικότητας και συνεργασίας. Στην αιτιολογική σκέψη 38 επισημαίνεται ότι ο προτεινόμενος κανονισμός βασίζεται στον ίδιο μηχανισμό συνεκτικότητας με τον ΓΚΠΔ. Επιπλέον, το άρθρο 18 παράγραφος 1 ορίζει ότι εφαρμόζονται κατ’ αναλογία τα κεφάλαια VI και VII του ΓΚΠΔ. Στο άρθρο 19 επισημαίνεται περαιτέρω ότι το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εκτελεί τα καθήκοντα που ορίζονται στο άρθρο 70 του ΓΚΠΔ. Παρότι η εφαρμογή των εν λόγω διατάξεων είναι σχετικά σαφής, δεν μπορεί να αποκλειστεί η εμφάνιση ζητημάτων ερμηνείας όσον αφορά τις βασικές έννοιες των μηχανισμών συνεκτικότητας και συνεργασίας που προβλέπονται στον ΓΚΠΔ. Για παράδειγμα, ο μηχανισμός της επικεφαλής αρχής εφαρμόζεται στις «διασυνοριακές πράξεις επεξεργασίας» (άρθρο 56 παράγραφος 1 του ΓΚΠΔ): δεν είναι βέβαιο πώς ο μηχανισμός αυτός εφαρμόζεται στην περίπτωση της παρέμβασης στον τερματικό εξοπλισμό ή της ανάλυσης περιεχομένου ή μεταδεδομένων βάσει της πρότασης κανονισμού. Ως εκ τούτου, συνιστάται να διευκρινιστεί η εφαρμογή των βασικών αυτών εννοιών σε μια αιτιολογική σκέψη και να υπογραμμιστεί ότι τυχόν εναπομένοντα ερωτήματα σχετικά με τη δυνατότητα εφαρμογής των συγκεκριμένων κεφαλαίων του ΓΚΠΔ στο πλαίσιο της πρότασης κανονισμού θα απαντώνται με ερμηνεία των διατάξεων των κεφαλαίων αυτών σύμφωνα με τον σκοπό τους. Επιπλέον, είναι σκόπιμο να διευκρινιστεί ότι το άρθρο 70 εφαρμόζεται κατ’ αναλογία στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων στο πλαίσιο της πρότασης κανονισμού (το στοιχείο αυτό λείπει επί του παρόντος από την αιτιολογική σκέψη).

• 1. Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες και την κατάργηση της οδηγίας 2002/58/ΕΚ (κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες), 2017/0003 (COD), διεύθυνση URL: http://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:52017PC0010....
• 2. Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες), ΕΕ L 201 της 31.7.2002, σ. 37-47, διεύθυνση URL: http://eur-lex.europa.eu/legal- content/EL/TXT/?uri=celex:32002L0058.
• 3. Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), ΕΕ L 119/1 της 4.5.2016, σ. 1-88, διεύθυνση URL: http://eur-lex.europa.eu/legal- content/EL/TXT/?uri=CELEX%3A32016R0679.
• 4. Βλέπε, π.χ., απόφαση του Δικαστηρίου της 6ης Οκτωβρίου 2015 στην υπόθεση C-362/14 (Safe Harbour), σκέψη 41, και απόφαση του Δικαστηρίου της 21ης Δεκεμβρίου 2016 στις συνεκδικασθείσες υποθέσεις C-203/15 και C-698/15 (Tele2/Watson), σκέψη 123.
• 5. Πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τη θέσπιση του Ευρωπαϊκού Κώδικα Ηλεκτρονικών Επικοινωνιών (Αναδιατύπωση), 2016/0288 (COD), 12.10.2016, διεύθυνση URL: http://eur- lex.europa.eu/legal-content/EL/ALL/?uri=comnat:COM_2016_0590_FIN.
• 6. Βλέπε, για περαιτέρω επεξήγηση των όρων αυτών, BEREC, Report on OTT Services, BoR (16) 35, 29 Ιανουαρίου 2016, σ. 15 και 16, διεύθυνση URL: http://berec.europa.eu/eng/document_register/subject_matter/berec/report.... Επισημαίνεται επίσης το σχόλιο που διατυπώνεται στην έκθεση ότι οι κατηγορίες προορίζονται να χρησιμοποιηθούν ως έννοιες στο πλαίσιο της συζήτησης σχετικά με την αναθεώρηση, και όχι ως νομικές έννοιες.
• 7. Όσον αφορά την ανάγκη ικανοποίησης των υποχρεωτικών απαιτήσεων ποιότητας των υπηρεσιών, όπως αναφέρεται στο άρθρο 6 παράγραφος 2 στοιχείο α) της πρότασης κανονισμού, οι πάροχοι θα πρέπει να λαμβάνουν υπόψη τις προϋποθέσεις που περιγράφονται στον κανονισμό (ΕΕ) 2015/2120, και συγκεκριμένα στο άρθρο 3 και στις αιτιολογικές σκέψεις 10 και 13-15. Με βάση την εν λόγω διάταξη, μπορεί να απαιτείται από τους παρόχους να επεξεργάζονται δεδομένα επικοινωνιών για τον εντοπισμό και το φιλτράρισμα κακόβουλου και κατασκοπευτικού λογισμικού, ενώ παράλληλα μπορεί να τους επιτρέπεται να συμπιέζουν δεδομένα.
• 8. Αν και η αιτιολογική σκέψη 13 της πρότασης κανονισμού αποκλείει ρητά τα εταιρικά δίκτυα από το πεδίο εφαρμογής του κανονισμού, η νέα αυτή εξαίρεση για ατομική χρήση θα πρέπει να καλύπτει επίσης τη χρήση υπηρεσιών υπολογιστικού νέφους από υπαλλήλους για χρήση που σχετίζεται με την εργασία, όπως πραγματοποίηση αναζήτησης στην ηλεκτρονική τους αλληλογραφία.
• 9. Οδηγία 2014/53/ΕΕ για τον ραδιοεξοπλισμό.
• 10. Βλέπε Έκτακτο Ευρωβαρόμετρο 443, έκθεση για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες (δημοσιεύθηκε τον Δεκέμβριο του 2016), σ. 5.
• 11. Βλέπε, π.χ., WP240 (αναθεώρηση της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες), σ. 16· WP208 (εξαίρεση συγκατάθεσης), σ. 5.
• 12. Η θέση αυτή ισχύει χωρίς να θίγεται το άρθρο 7 παράγραφος 4 του ΓΚΠΔ, το οποίο μπορεί επίσης να αποκλείει επιλογές τύπου «όλα ή τίποτα» σε άλλες δέουσες περιπτώσεις.
• 13. Βλ. άρθρο 3 παράγραφος 2 του ΓΚΠΔ: «Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με: α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή β) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.» Στην υποχρέωση αυτή θα μπορούσαν να συμπεριληφθούν επίσης εξαιρέσεις κατά το πρότυπο του άρθρου 27 παράγραφος 2 του ΓΚΠΔ.
• 14. Βλ. URL: https://www.w3.org/TR/tracking-compliance/. Στην παράγραφο 7 εξηγείται το μοντέλο εξαίρεσης και η διάκριση μεταξύ εξαιρέσεων σε επίπεδο δικτυακού τόπου και σε επίπεδο διαδικτύου. Στην παράγραφο 6 περιλαμβάνονται οι μηχαναγνώσιμες πληροφορίες τις οποίες μπορούν να παρέχουν οι υπεύθυνοι επεξεργασίας δεδομένων όσον αφορά την απαίτηση πληροφόρησης για την εξασφάλιση της συγκατάθεσης.
• 15. Βλέπε: Tracking Preference Expression (DNT), Editor's draft, 7 Μαρτίου 2016.
• 16. Ομάδα εργασίας του άρθρου 29, WP194, γνώμη 04/2012 σχετικά με την απαλλαγή που ισχύει σε σχέση με τη συναίνεση για τα cookies, η οποία εκδόθηκε στις 7 Ιουνίου 2012, διεύθυνση URL: http://ec.europa.eu/justice/data-protection/article-29/documentation/opi... recommendation/files/2012/wp194_el.pdf.
• 17. Ό.π.
• 18. Ομάδα εργασίας του άρθρου 29, WP174, γνώμη 04/2010 σχετικά µε τον ευρωπαϊκό κώδικα δεοντολογίας της FEDMA για τη χρήση προσωπικών δεδομένων στην απευθείας εμπορική προώθηση, εκδόθηκε στις 13 Ιουλίου 2010, διεύθυνση URL: http://ec.europa.eu/justice/data-protection/article- 29/documentation/opinion-recommendation/files/2010/wp174_el.pdf
• 19. Για παράδειγμα, στο Ηνωμένο Βασίλειο ο φορέας εκμετάλλευσης τηλεπικοινωνιών ΒΤ κατέγραψε 31 εκατομμύρια οχληρές κλήσεις σε μία εβδομάδα. Βλέπε: http://www.bbc.com/news/business-38635921
• 20. ECLI:EU:C:2016:970, διεύθυνση URL: http://curia.europa.eu/juris/celex.jsf?celex=62015CJ0203.
• 21. Οδηγία (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση, ΕΕ L 194 της 19.7.2016, σ. 1-30, διεύθυνση URL: http://eur-lex.europa.eu/legal- content/EL/TXT/?uri=CELEX:32016L1148
• 22. Βλέπε, για παράδειγμα, απόφαση του Δικαστηρίου της 6ης Νοεμβρίου 2003 στην υπόθεση C- 101/01, σκέψη 24 (σχετικά με αριθμό τηλεφώνου), απόφαση του Δικαστηρίου της 19ης Οκτωβρίου 2016 στην υπόθεση C-582/14 (Breyer), σκέψη 49 (σχετικά με δυναμικές διευθύνσεις IP), και απόφαση του Δικαστηρίου της 8ης Απριλίου 2014 στις συνεκδικασθείσες υποθέσεις C-239/12 και C-594/12 (Digital Rights Ireland), σκέψεις 26-27 (σχετικά με τον ευαίσθητο χαρακτήρα των μεταδεδομένων).
• 23. Βλέπε γνώμη 15/2011 σχετικά µε τον ορισμό της συγκατάθεσης (WP187), γνώμη 8/2001 σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης (WP48) και τη νέα γνώμη σχετικά με την επεξεργασία δεδομένων στην εργασία (εκδίδεται ταυτόχρονα με την παρούσα γνώμη).