Ο εντοπισμός της θέσης της συσκευής και η άσκοπη συλλογή και διατήρηση δεδομένων όπως βιντεοσκοπημένα αποσπάσματα και ηχογραφήσεις, συνιστούν σοβαρές απειλές για την ιδιωτική ζωή των χρηστών. Ο γενικός κανονισμός για την προστασία των δεδομένων (ΓΚΠΔ) τονίζει ότι η συλλογή και αποθήκευση δεδομένων μπορούν να πραγματοποιούνται μόνο για σαφώς καθορισμένους σκοπούς, και ότι ο εντοπισμός ευρύτερων προτύπων εκτός των σκοπών αυτών παρουσιάζει προβλήματα, καθώς τα πρότυπα αυτά θα μπορούσαν να οδηγήσουν στην κατάρτιση προφίλ και σε διακρίσεις. Προκειμένου να ελαχιστοποιηθούν οι κίνδυνοι αυτοί, δεν θα πρέπει να επιτρέπεται η εξ ορισμού πρόσβαση σε συσκευές που μπορούν να χρησιμοποιηθούν για καταγραφή, αλλά μόνον εφόσον οι πολίτες δίνουν τη ρητή συγκατάθεσή τους. Η αρχή της «διαρκούς λειτουργίας» («always on») έχει συχνά αποτελέσει αντικείμενο κατάχρησης, δεδομένου ότι μεγάλες εταιρείες τεχνολογίας έχουν εμπλακεί σε υποθέσεις όπου δεν έγινε σεβαστή η ιδιωτική ζωή των καταναλωτών, με αποτέλεσμα να παρακολουθούνται στην ουσία πολίτες της ΕΕ στο όνομα της παροχής μιας υπηρεσίας.

Βάσει των ανωτέρω, ερωτάται η Επιτροπή:

1. Πώς προτίθεται να επιβάλει την ισχύουσα νομοθεσία ώστε να μην επιτρέπεται η εξ ορισμού πρόσβαση στις συσκευές των χρηστών που διαθέτουν λειτουργίες καταγραφής, και να προωθήσει την προσφορά περισσότερων επιλογών στους χρήστες, όπως «να επιτρέπεται κατά τη διάρκεια χρήσης της εφαρμογής»;

2. Πώς προτίθεται να εξασφαλίσει την επιβολή του καθεστώτος ευθύνης για παραβιάσεις της ιδιωτικής ζωής εάν τα δεδομένα χρησιμοποιούνται εκτός του πεδίου των προβλεπόμενων σκοπών (π.χ. πραγματοποίηση κλήσεων, λήψη φωτογραφιών, χρήση χαρτών);

3. Πώς προτίθεται να σημειώσει πρόοδο όσον αφορά τον κανονισμό για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες προκειμένου να αντιμετωπιστούν παρόμοια ζητήματα, και να συμπληρώσει την ισχύουσα πράξη για την ασφάλεια στον κυβερνοχώρο, τον κώδικα ηλεκτρονικών τηλεπικοινωνιών και τον ΓΚΠΔ;


Απάντηση του κ. Breton
εξ ονόματος της Ευρωπαϊκής Επιτροπής
Αριθμός αναφοράς της ερώτησης: E-003837/2019

Σύμφωνα με το άρθρο 5 παράγραφος 3 της οδηγίας 2002/58/ΕΚ (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες)(1), η συγκατάθεση του χρήστη είναι απαραίτητη για την αποθήκευση πληροφοριών ή την απόκτηση πρόσβασης σε πληροφορίες αποθηκευμένες στον τερματικό εξοπλισμό, πλην δύο εξαιρέσεων (αποθήκευση ή πρόσβαση που έχει ως αποκλειστικό σκοπό τη διαβίβαση μιας επικοινωνίας ή που είναι απολύτως αναγκαία για την παροχή υπηρεσίας της κοινωνίας των πληροφοριών την οποία έχει ζητήσει ρητά ο χρήστης).

Δυνάμει της εν λόγω διάταξης, πρέπει να παρέχονται εκ των προτέρων στους χρήστες σαφείς και εκτενείς πληροφορίες για τον σκοπό της επεξεργασίας. Η συγκατάθεση πρέπει να είναι ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει(2).

Η οδηγία υποχρεώνει επίσης τους παρόχους να γνωστοποιούν τις παραβιάσεις προσωπικών δεδομένων στις αρμόδιες εθνικές αρχές (και σε ορισμένες περιπτώσεις σε φυσικά πρόσωπα)(3). Για να εξασφαλιστεί η συνεκτική εφαρμογή της γνωστοποίησης σε ολόκληρη την ΕΕ, εκδόθηκε ο εκτελεστικός κανονισμός για τις παραβιάσεις ασφάλειας και προσωπικών δεδομένων(4).

Οι διατάξεις της οδηγίας πρέπει να μεταφερθούν στο εθνικό δίκαιο. Οι αρμόδιες αρχές των κρατών μελών είναι υπεύθυνες για την παρακολούθηση της εφαρμογής και της επιβολής της νομοθεσίας για την προστασία της ιδιωτικής ζωής και των δεδομένων.

Το 2017 η Επιτροπή πρότεινε κανονισμό για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες(5) (κανονισμός για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών), με στόχο να εξασφαλιστούν εναρμονισμένη προστασία της ιδιωτικής ζωής και το απόρρητο των επικοινωνιών, προσαρμογή στις νέες τεχνολογίες και ευθυγράμμιση με τον Γενικό Κανονισμό για την Προστασία Δεδομένων. Στο άρθρο 8 της πρότασης προβλέπεται η προστασία του τερματικού εξοπλισμού. Βάσει του άρθρου 10, απαιτούνται προϊόντα λογισμικού (π.χ. προγράμματα περιήγησης) που προσφέρουν τη δυνατότητα στους χρήστες να αποτρέπουν την αποθήκευση πληροφοριών από τρίτους στον τερματικό εξοπλισμό των χρηστών.

Η πρόταση αυτή συζητείται τώρα από το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο. Η Επιτροπή είναι πρόθυμη να στηρίξει τους δύο συννομοθέτες με στόχο την ταχεία έγκριση της πρότασης κανονισμού.

(1) Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες).
(2) Άρθρο 4 σημείο 11 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), σε συνδυασμό με το άρθρο 2 στοιχείο στ) της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.
(3) Άρθρο 4 της οδηγίας 2002/58/ΕΚ.
(4) Κανονισμός (ΕΕ) αριθ. 611/2013 της Επιτροπής σχετικά με τα εφαρμοστέα μέτρα για την κοινοποίηση παραβιάσεων προσωπικών δεδομένων βάσει της οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.
(5) Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες και την κατάργηση της οδηγίας 2002/58/ΕΚ (Κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες), COM /2017/010 final — 2017/03 ( COD ).