Οι πολίτες της ΕΕ χρησιμοποιούν καθημερινά καταναλωτικές συσκευές όπως τα έξυπνα τηλέφωνα και τα έξυπνα ηχεία. Οι εφαρμογές στις έξυπνες συσκευές παρέχουν στους χρήστες τη δυνατότητα να επικοινωνούν μεταξύ τους μέσω φωνής και κειμένου, και συνδέουν τους χρήστες με εικονικούς βοηθούς που διεκπεραιώνουν αιτήματα παροχής πληροφοριών.

Σύμφωνα με πρόσφατες εκθέσεις, μεγάλες εταιρείες τεχνολογίας, όπως η Amazon, η Google και το Facebook, συνέλεγαν ηχητικά αποσπάσματα από καταναλωτικές συσκευές. Οι εταιρείες αυτές ανέθεταν σε ανθρώπινο δυναμικό τη μεταγραφή και τον έλεγχο των εν λόγω αποσπασμάτων, προκειμένου να βελτιώσουν την ποιότητα των υπηρεσιών που παρέχουν οι εικονικοί βοηθοί τους.

Η πρακτική αυτή εγείρει ανησυχίες σχετικά με παραβιάσεις της ιδιωτικότητας στο πλαίσιο του γενικού κανονισμού για την προστασία δεδομένων (ΓΚΠΔ) όσον αφορά την επεξεργασία πληροφοριών, την απόκτηση της συγκατάθεσης των χρηστών, και τη διασφάλιση ότι τα δεδομένα συλλέγονται και αποθηκεύονται αποκλειστικά για τους προβλεπόμενους σκοπούς.

Μόλις το κοινό έλαβε γνώση αυτής της πρακτικής, η Apple και η Google έπαψαν να ελέγχουν τα ηχητικά δεδομένα των χρηστών, ενώ άλλες εταιρείες, όπως η Amazon, άρχισαν να παρέχουν στους χρήστες την επιλογή μη συμμετοχής (opt-out).

1. Με ποιον τρόπο θα διασφαλίσει η Επιτροπή ότι οι χρήστες έχουν επίγνωση τέτοιων πρακτικών και ότι γίνεται σεβαστό το δικαίωμά τους στην ιδιωτικότητα;

2. Με ποιον τρόπο θα προσδιορίσει κατά πόσον αποτέλεσαν τα προσωπικά δεδομένα των πολιτών της ΕΕ αντικείμενο συλλογής, επεξεργασίας και ελέγχου από ανθρώπους, χωρίς τη συγκατάθεση των χρηστών; Πώς θα εξασφαλίσει την παροχή ενός ευρύτερου και απλούστερου φάσματος επιλογών;

3. Με ποιον τρόπο θα διασφαλίσει την εξ ορισμού εφαρμογή της ισχύουσας νομοθεσίας, όπως ο ΓΚΠΔ;


Απάντηση του κ. Reynders
εξ ονόματος της Ευρωπαϊκής Επιτροπής
Αριθμός αναφοράς της ερώτησης: E-004264/2019

Οι οργανισμοί που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα φυσικών προσώπων στην ΕΕ πρέπει να συμμορφώνονται πλήρως με τους κανόνες που ορίζονται στον γενικό κανονισμό για την προστασία δεδομένων (ΓΚΠΔ)(1). Μεταξύ άλλων αρχών, ο ΓΚΠΔ ορίζει ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων. Το άρθρο 6 του ΓΚΠΔ προβλέπει έξι πιθανές νομικές βάσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, με τη συγκατάθεση να είναι μόνο μία από αυτές. Σε περίπτωση συγκατάθεσης, αυτή πρέπει να είναι ελεύθερη, συγκεκριμένη, ρητή και με πλήρη επίγνωση και να αποτελεί σαφή ένδειξη της συμφωνίας του υποκειμένου των δεδομένων.

Σύμφωνα με το άρθρο 25 του ΓΚΠΔ, οι οργανισμοί που ενεργούν ως υπεύθυνοι επεξεργασίας οφείλουν να εφαρμόζουν την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού τόσο κατά τον καθορισμό των μέσων επεξεργασίας όσο και κατά τον χρόνο της επεξεργασίας.

Είναι καθήκον των υπεύθυνων επεξεργασίας να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζουν και να είναι σε θέση να αποδεικνύουν ότι η επεξεργασία διενεργείται σύμφωνα με τον κανονισμό (αρχή της λογοδοσίας).

Επιπλέον, η οδηγία 2002/58/ΕΚ (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες)(2) στο άρθρο 5 παράγραφος 3 προβλέπει ότι η συγκατάθεση του χρήστη είναι απαραίτητη για την αποθήκευση πληροφοριών ή την απόκτηση πρόσβασης σε πληροφορίες αποθηκευμένες στον τερματικό εξοπλισμό των χρηστών υπό ορισμένες προϋποθέσεις(3). Η προστασία αυτή διατηρείται στο πλαίσιο της πρότασης κανονισμού για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες(4).

Με την επιφύλαξη των εξουσιών της Επιτροπής ως θεματοφύλακα των Συνθηκών, εναπόκειται στις αρμόδιες εθνικές αρχές να επαληθεύουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τους εν λόγω οργανισμούς σύμφωνα με τους κανόνες προστασίας δεδομένων. Η παρακολούθηση και η επιβολή της εφαρμογής της νομοθεσίας για την προστασία των δεδομένων εμπίπτει κατά κύριο λόγο στην αρμοδιότητα των εθνικών αρχών και, εφόσον απαιτείται, των εθνικών δικαστηρίων.
(1) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Kανονισμός για την Προστασία Δεδομένων), ΕΕ L 119 της 4.5.2016, σ. 1‐88.
(2) Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες).
(3) Εκτός εάν προορίζεται αποκλειστικά και μόνο για τη διαβίβαση μιας κοινοποίησης ή αν είναι απολύτως αναγκαίο για την παροχή υπηρεσίας της κοινωνίας της πληροφορίας που έχει ζητηθεί ρητά από τον χρήστη.
(4) Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες και την κατάργηση της οδηγίας 2002/58/ΕΚ (κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες), COM/2017/010 final — 2017/03 (COD).