Η παρακολούθηση μέσω υπερήχων σε περισσότερες από μία συσκευές αποτελεί μια τεχνολογία που βρίσκεται ακόμη σε σχετικά ανώριμο στάδιο και αφορά την εκπομπή τόνων υψηλής συχνότητας από διαφημίσεις, πίνακες διαφημιστικών αφισών, ιστοσελίδες και καταστήματα λιανικής.

Το ανθρώπινο αυτί αδυνατεί να αντιληφθεί αυτούς σχεδόν ανεπαίσθητους τόνους, αλλά οι εφαρμογές που έχουν πρόσβαση στο μικρόφωνο μιας συσκευής μπορούν να τους εντοπίσουν και να τους χρησιμοποιήσουν για να δημιουργήσουν ένα προφίλ με βάση τη θέση του χρήστη, τις συνήθειές του όσον αφορά την τηλεθέαση και την κατανάλωση, ή τους ιστοτόπους που επισκέπτεται (1) .

Η τεχνολογία αυτή συνιστά σοβαρή απειλή για την προστασία της ιδιωτικότητας των χρηστών, δεδομένου ότι καθιστά δυνατή την παρακολούθηση της θέσης, της συμπεριφοράς και των συσκευών των χρηστών, χωρίς οι ίδιοι να το γνωρίζουν. Δίνει στις εταιρίες τη δυνατότητα να συνδέουν τις καταναλωτικές συνήθειες με την ταυτότητα ενός προσώπου, πράγμα που θα μπορούσε να οδηγήσει στη στοχοποίηση και την κατάρτιση προφίλ χωρίς τη συγκατάθεση του χρήστη.

Πέρυσι, 234 εφαρμογές για Android είχαν την ικανότητα να αφουγκράζονται για υπερηχητικούς τόνους, χωρίς τις γνώση του χρήστη, διάφορα δε καταστήματα σε δύο ευρωπαϊκές πόλεις εγκατέστησαν τους σχετικούς υπερηχητικούς εκπομπούς (2) .

Υπό το φως των ανωτέρω, ερωτάται η Επιτροπή:

1. Με ποιον τρόπο θα διασφαλίσει ότι εντοπίζονται οι αναδυόμενες τεχνολογικές εφαρμογές που συνιστούν απειλή για την ιδιωτικότητα των χρηστών και καλύπτονται από το επικαιροποιημένο πεδίο εφαρμογής της ισχύουσας νομοθεσίας για την προστασία της ιδιωτικότητας;

2. Με ποιον τρόπο θα προστατέψει τους χρήστες από τη μη ανιχνευμένη κατάρτιση προφίλ και στοχοποίηση λόγω παρακολούθησης μέσω υπερήχων σε συσκευή, και θα θεσπίσει ένα «πλαίσιο συγκατάθεσης» ώστε να έχουν πάντα οι χρήστες επίγνωση των εν λόγω πρακτικών;
(1) Arp, D., Quiring, E., Wressnegger, C., και Rieck, K. ‘Privacy Threats through Ultrasonic Side Channels on Mobile Devices’ (Απειλές κατά της ιδιωτικότητας μέσω πλευρικών καναλιών υπερήχων σε φορητές συσκευές), IEEE European Symposium on Security and Privacy 2017(Ευρωπαϊκό Συμπόσιο του IEEE για την Ασφάλεια και την Ιδιωτικότητα 2017), Technische Universität Braunschweig.
(2) Αυτόθι.


Απάντηση του κ. Breton
εξ ονόματος της Ευρωπαϊκής Επιτροπής
Αριθμός αναφοράς της ερώτησης: E-004263/2019

Στο άρθρο 5 παράγραφος 3 της οδηγίας 2002/58/ΕΚ («οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες»)(1) προβλέπεται η προστασία του τερματικού εξοπλισμού του χρήστη. Η συγκατάθεση του χρήστη είναι απαραίτητη για την αποθήκευση πληροφοριών ή την απόκτηση πρόσβασης σε πληροφορίες που είναι αποθηκευμένες στον τερματικό εξοπλισμό του χρήστη, ανεξάρτητα από την τεχνική που χρησιμοποιείται(2), εκτός εάν πρόκειται για τον αποκλειστικό σκοπό της διαβίβασης μιας επικοινωνίας ή εάν είναι απολύτως αναγκαίο για την παροχή υπηρεσίας της κοινωνίας των πληροφοριών που έχει ζητηθεί ρητά από τον χρήστη. Οι διατάξεις της οδηγίας έπρεπε να μεταφερθούν στο εθνικό δίκαιο των κρατών μελών, οι αρμόδιες εθνικές αρχές των οποίων είναι υπεύθυνες για την επιβολή τους.

Το 2017, η Επιτροπή πρότεινε κανονισμό για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες (κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες)(3) με σκοπό να εκσυγχρονιστούν οι ισχύοντες κανόνες στο πλαίσιο της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, ώστε να διασφαλιστούν η εναρμόνιση της προστασίας της ιδιωτικής ζωής και του απορρήτου των επικοινωνιών, η προσαρμογή στις νέες τεχνολογίες και η ευθυγράμμιση με τον κανονισμό 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων — ΓΚΠΔ)(4). Η προστασία του άρθρου 5 παράγραφος 3 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες διατηρείται στο πλαίσιο της πρότασης κανονισμού για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Επιπλέον, στο άρθρο 8 παράγραφος 2 της πρότασης προβλέπεται ότι απαγορεύεται η συλλογή πληροφοριών που εκπέμπει τερματικός εξοπλισμός, εκτός εάν η συλλογή διενεργείται αποκλειστικά με σκοπό την επίτευξη σύνδεσης ή παρέχεται σαφής και ευδιάκριτη ανακοίνωση η οποία ενημερώνει τουλάχιστον σχετικά με τις λεπτομέρειες της συλλογής, τον σκοπό της, τον υπεύθυνο για αυτήν και παρέχει τις υπόλοιπες πληροφορίες που απαιτούνται βάσει του ΓΚΠΔ και με την επιφύλαξη ορισμένων απαιτήσεων ασφαλείας(5). Τόσο η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες όσο και η πρόταση κανονισμού της Επιτροπής για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες βασίζονται στον ορισμό της συγκατάθεσης ο οποίος περιλαμβάνεται στον ΓΚΠΔ(6).

Η Επιτροπή παραμένει προσηλωμένη στον γενικό στόχο του προτεινόμενου κανονισμού για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Η Επιτροπή θα συνεχίσει τις συζητήσεις με τα κράτη μέλη και θα στηρίξει την κροατική Προεδρία με σκοπό τον καθορισμό κοινής θέσης του Συμβουλίου και, στη συνέχεια, την επίτευξη συμφωνίας μεταξύ των δύο συννομοθετών σχετικά με ένα πλαίσιο για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες που να είναι κατάλληλο για τον σκοπό για τον οποίο προορίζεται.
(1) Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες).
(2) Άρθρο 5 παράγραφος 3 της οδηγίας 2002/58/ΕΚ.
(3) Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες και την κατάργηση της οδηγίας 2002/58/ΕΚ (κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες), COM/2017/010 final — 2017/03 (COD).
(4) Κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων).
(5) Άρθρα 13 και 32 του κανονισμού 2016/679.
(6) Άρθρο 4 παράγραφος 11 και άρθρο 7 παράγραφος 4 του κανονισμού 2016/679.