ΠΡΟΤΑΣΗ ΨΗΦΙΣΜΑΤΟΣ σχετικά με την έκθεση αξιολόγησης της Επιτροπής για την εφαρμογή του γενικού κανονισμού για την προστασία δεδομένων δύο έτη μετά την εφαρμογή του

B9‑0211/2021

Ψήφισμα του Ευρωπαϊκού Κοινοβουλίου σχετικά με την έκθεση αξιολόγησης της Επιτροπής για την εφαρμογή του γενικού κανονισμού για την προστασία δεδομένων δύο έτη μετά την εφαρμογή του

(2020/2717(RSP))

Το Ευρωπαϊκό Κοινοβούλιο,

– έχοντας υπόψη το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων,

– έχοντας υπόψη το άρθρο 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης,

– έχοντας υπόψη τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΓΚΠΔ))[1],

– έχοντας υπόψη τη δήλωση της Επιτροπής, της 24ης Ιουνίου 2020, σχετικά με την ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο με τίτλο «Η προστασία των δεδομένων ως πυλώνας της ενδυνάμωσης των πολιτών και της προσέγγισης της ΕΕ στην ψηφιακή μετάβαση – δύο έτη εφαρμογής του Γενικού Κανονισμού για την Προστασία Δεδομένων»,

– έχοντας υπόψη την ανακοίνωση της Επιτροπής, της 24ης Ιουνίου 2020, προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο με τίτλο «Η προστασία των δεδομένων ως πυλώνας της ενδυνάμωσης των πολιτών και της προσέγγισης της ΕΕ στην ψηφιακή μετάβαση – δύο έτη εφαρμογής του Γενικού Κανονισμού για την Προστασία Δεδομένων» (COM(2020)0264),

– έχοντας υπόψη την ανακοίνωση της Επιτροπής, της 24ης Ιουλίου 2019, με τίτλο «Οι κανόνες προστασίας των δεδομένων ως θεμέλιο της εμπιστοσύνης εντός και εκτός ΕΕ – απολογισμός» (COM(2019)0374),

– έχοντας υπόψη τη συμβολή του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ) στην αξιολόγηση του ΓΚΠΔ σύμφωνα με το άρθρο 97, που εγκρίθηκε στις 18 Φεβρουαρίου 2020[2],

– έχοντας υπόψη το έγγραφο του ΕΣΠΔ με τίτλο «First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities» (Πρώτη επισκόπηση σχετικά με την εφαρμογή του ΓΚΠΔ και τους ρόλους και τα μέσα των εθνικών εποπτικών αρχών), της 26ης Φεβρουαρίου 2019[3],

– έχοντας υπόψη τις κατευθυντήριες γραμμές που ενέκρινε το ΕΣΠΔ σύμφωνα με το άρθρο 70 παράγραφος 1 στοιχείο ε) του ΓΚΠΔ,

– έχοντας υπόψη το άρθρο 132 παράγραφος 2 του Κανονισμού του,

– έχοντας υπόψη την πρόταση ψηφίσματος της Επιτροπής Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων,

Α. λαμβάνοντας υπόψη ότι ο ΓΚΠΔ εφαρμόζεται από την 25η Μαΐου 2018· λαμβάνοντας υπόψη ότι, με εξαίρεση τη Σλοβενία, όλα τα κράτη μέλη θέσπισαν νέα νομοθεσία ή προσάρμοσαν την εθνική τους νομοθεσία για την προστασία των δεδομένων·

Β. λαμβάνοντας υπόψη ότι, σύμφωνα με την έρευνα για τα θεμελιώδη δικαιώματα που διεξήγαγε ο Οργανισμός Θεμελιωδών Δικαιωμάτων (FRA), τα άτομα γνωρίζουν όλο και περισσότερο τα δικαιώματά τους βάσει του ΓΚΠΔ· λαμβάνοντας υπόψη ότι, παρά το γεγονός ότι οι οργανισμοί έχουν θεσπίσει μέτρα για τη διευκόλυνση της άσκησης των δικαιωμάτων των υποκειμένων των δεδομένων, τα άτομα εξακολουθούν να αντιμετωπίζουν δυσκολίες όταν προσπαθούν να ασκήσουν αυτά τα δικαιώματα, ιδίως το δικαίωμα πρόσβασης, φορητότητας και αυξημένης διαφάνειας·

Γ. λαμβάνοντας υπόψη ότι, από την έναρξη εφαρμογής του ΓΚΠΔ, έχει σημειωθεί μαζική αύξηση των καταγγελιών που λαμβάνουν οι εποπτικές αρχές· λαμβάνοντας υπόψη ότι τούτο καταδεικνύει ότι τα υποκείμενα των δεδομένων έχουν μεγαλύτερη επίγνωση των δικαιωμάτων τους και επιθυμούν να προστατεύσουν τα προσωπικά τους δεδομένα σύμφωνα με τον ΓΚΠΔ· λαμβάνοντας υπόψη ότι τούτο καταδεικνύει επίσης ότι εξακολουθούν να πραγματοποιούνται πολλές παράνομες πράξεις επεξεργασίας δεδομένων·

Δ. λαμβάνοντας υπόψη ότι πολλές επιχειρήσεις έχουν χρησιμοποιήσει την περίοδο μετάβασης μεταξύ της έναρξης ισχύος του ΓΚΠΔ και της εφαρμογής του για μια «γενική εκκαθάριση» των δεδομένων, ώστε να αξιολογήσουν ποια επεξεργασία δεδομένων πραγματοποιείται πραγματικά και ποια επεξεργασία δεδομένων ενδέχεται να μην χρειάζεται ή να μην είναι πλέον δικαιολογημένη·

Ε. λαμβάνοντας υπόψη ότι πολλές αρχές προστασίας δεδομένων (ΑΠΔ) δεν είναι σε θέση να αντιμετωπίσουν τον αριθμό των καταγγελιών· λαμβάνοντας υπόψη ότι πολλές ΑΠΔ είναι ανεπαρκώς στελεχωμένες και δεν διαθέτουν επαρκείς πόρους ούτε επαρκή αριθμό εμπειρογνωμόνων στον τομέα της τεχνολογίας των πληροφοριών·

ΣΤ. λαμβάνοντας υπόψη ότι ο ΓΚΠΔ αναγνωρίζει ότι το δίκαιο των κρατών μελών θα πρέπει να συμφιλιώνει τους κανόνες που διέπουν την ελευθερία της έκφρασης και της πληροφόρησης, συμπεριλαμβανομένης της δημοσιογραφικής, ακαδημαϊκής, καλλιτεχνικής ή και λογοτεχνικής έκφρασης, με το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα· λαμβάνοντας υπόψη ότι το άρθρο 85 ορίζει ότι η νομοθεσία των κρατών μελών θα πρέπει να προβλέπει εξαιρέσεις για την επεξεργασία δεδομένων που πραγματοποιείται για δημοσιογραφικούς σκοπούς ή για σκοπούς ακαδημαϊκής καλλιτεχνικής ή λογοτεχνικής έκφρασης, εφόσον είναι αναγκαίο για τον συμβιβασμό του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα με την ελευθερία έκφρασης και πληροφόρησης·

Ζ. λαμβάνοντας υπόψη ότι, όπως τονίστηκε επίσης από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, η προστασία των δημοσιογραφικών πηγών αποτελεί τον ακρογωνιαίο λίθο της ελευθερίας του Τύπου· λαμβάνοντας υπόψη ότι ο ΓΚΠΔ δεν θα πρέπει να χρησιμοποιείται καταχρηστικά κατά δημοσιογράφων και κατά της πρόσβασης σε πληροφορίες· λαμβάνοντας υπόψη ότι δεν θα πρέπει σε καμία περίπτωση να χρησιμοποιείται από τις εθνικές αρχές για τον περιορισμό της ελευθερίας των μέσων ενημέρωσης·

Γενικές παρατηρήσεις

1. εκφράζει την ικανοποίησή του για το γεγονός ότι ο ΓΚΠΔ έχει καταστεί παγκόσμιο πρότυπο για την προστασία των δεδομένων προσωπικού χαρακτήρα και αποτελεί παράγοντα σύγκλισης για την ανάπτυξη κανόνων· εκφράζει την ικανοποίησή του για το γεγονός ότι ο ΓΚΠΔ έχει θέσει την ΕΕ στην πρώτη γραμμή των διεθνών συζητήσεων σχετικά με την προστασία των δεδομένων και για το γεγονός ότι ορισμένες τρίτες χώρες έχουν ευθυγραμμίσει τη νομοθεσία τους για την προστασία των δεδομένων με τον ΓΚΠΔ· επισημαίνει ότι η Σύμβαση αριθ. 108 του Συμβουλίου της Ευρώπης σχετικά με την προστασία των δεδομένων έχει ευθυγραμμιστεί με τον ΓΚΠΔ («Σύμβαση 108+») και έχει ήδη υπογραφεί από 42 χώρες· ζητεί από την Ευρωπαϊκή Επιτροπή και από τα κράτη μέλη να αξιοποιήσουν αυτή τη δυναμική για να προωθήσουν σε επίπεδο ΟΗΕ, ΟΟΣΑ, G8 και G20 τη δημιουργία διεθνών προτύπων που θα βασίζονται στις ευρωπαϊκές αξίες και αρχές χωρίς να υπονομεύουν τον ΓΚΠΔ· υπογραμμίζει ότι μια κυρίαρχη ευρωπαϊκή θέση σε αυτόν τον τομέα θα βοηθήσει την ήπειρό μας να υπερασπιστεί καλύτερα τα δικαιώματα των πολιτών μας, να διαφυλάξει τις αξίες και τις αρχές μας, να προωθήσει την αξιόπιστη ψηφιακή καινοτομία και να επιταχύνει την οικονομική ανάπτυξη αποφεύγοντας τον κατακερματισμό·

2. καταλήγει στο συμπέρασμα ότι, δύο έτη μετά την έναρξη εφαρμογής του, ο ΓΚΠΔ υπήρξε συνολικά επιτυχής και συμφωνεί με την Επιτροπή ότι δεν είναι αναγκαίο στο παρόν στάδιο να επικαιροποιηθεί ή να αναθεωρηθεί η νομοθεσία·

3. αναγνωρίζει ότι, μέχρι την επόμενη αξιολόγηση της Επιτροπής, η εστίαση πρέπει να εξακολουθήσει να βρίσκεται στη βελτίωση της εφαρμογής και σε δράσεις για την ενίσχυση της επιβολής του ΓΚΠΔ·

4. αναγνωρίζει την ανάγκη για ισχυρή και αποτελεσματική επιβολή του ΓΚΠΔ σε μεγάλες ψηφιακές πλατφόρμες, ενσωματωμένες εταιρείες και άλλες ψηφιακές υπηρεσίες, ειδικά στους τομείς της διαδικτυακής διαφήμισης, της μικροστόχευσης, της αλγοριθμικής κατάρτισης προφίλ, καθώς και της κατάταξης, της διάδοσης και της ενίσχυσης περιεχομένου·

Νομική βάση για την επεξεργασία

5. υπογραμμίζει ότι και οι έξι νομικές βάσεις που ορίζονται στο άρθρο 6 του ΓΚΠΔ ισχύουν εξίσου για την επεξεργασία δεδομένων προσωπικού χαρακτήρα και ότι η ίδια δραστηριότητα επεξεργασίας μπορεί να εμπίπτει σε περισσότερες από μία βάσεις· παροτρύνει τις αρχές για τη εποπτεία των δεδομένων να διευκρινίσουν ότι οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να βασίζονται σε ένα μόνο νομικό λόγο για κάθε σκοπό των δραστηριοτήτων επεξεργασίας και να προσδιορίσουν τον τρόπο επίκλησης κάθε νομικού λόγου για τις πράξεις επεξεργασίας τους· εκφράζει την ανησυχία του για το γεγονός ότι οι υπεύθυνοι επεξεργασίας αναφέρουν συχνά όλους τους νομικούς λόγους του ΓΚΠΔ στην πολιτική απορρήτου τους χωρίς περαιτέρω εξηγήσεις και χωρίς να αναφέρονται στη συγκεκριμένη διαδικασία επεξεργασίας· κατανοεί ότι μια τέτοια πρακτική παρεμποδίζει την ικανότητα των υποκειμένων των δεδομένων και των εποπτικών αρχών να εκτιμήσουν εάν αυτοί οι νομικοί λόγοι είναι κατάλληλοι· υπενθυμίζει ότι για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα πρέπει να προσδιοριστεί ένας νόμιμος λόγος σύμφωνα με το άρθρο 6 και μια χωριστή προϋπόθεση για την επεξεργασία σύμφωνα με το άρθρο 9· υπενθυμίζει στους υπευθύνους επεξεργασίας τη νομική τους υποχρέωση να διενεργούν εκτίμηση αντικτύπου για την προστασία δεδομένων, όταν η επεξεργασία δεδομένων ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων·

6. υπενθυμίζει ότι από την έναρξη εφαρμογής του ΓΚΠΔ, ως «συγκατάθεση» νοείται οποιαδήποτε ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει δήλωση βουλήσεως του υποκειμένου των δεδομένων· υπογραμμίζει ότι τούτο ισχύει και για την οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες· σημειώνει ότι η λήψη έγκυρης συγκατάθεσης εξακολουθεί να υπονομεύεται από τη χρήση «σκούρων μοτίβων», διάχυτου εντοπισμού και από άλλες αντιδεοντολογικές πρακτικές· εκφράζει την ανησυχία του για το γεγονός ότι τα άτομα συχνά υφίστανται οικονομική πίεση για να δώσουν συγκατάθεση ως αντάλλαγμα για εκπτώσεις ή άλλες εμπορικές προσφορές, ή αναγκάζονται να δώσουν συγκατάθεση ρυθμίζοντας την πρόσβαση σε μια υπηρεσία μέσω διατάξεων δέσμευσης, κατά παράβαση του άρθρου 7 του ΓΚΠΔ· υπενθυμίζει τους εναρμονισμένους κανόνες του ΕΣΠΔ σχετικά με το τι συνιστά έγκυρη συγκατάθεση, οι οποίοι αντικαθιστούν τις διαφορετικές ερμηνείες πολλών εθνικών ΑΠΔ και αποφεύγουν τον κατακερματισμό εντός της ψηφιακής ενιαίας αγοράς· υπενθυμίζει επίσης τις κατευθυντήριες γραμμές του ΕΣΠΔ και της Επιτροπής σύμφωνα με τις οποίες, σε περιπτώσεις στις οποίες το υποκείμενο των δεδομένων έχει αρχικά δώσει τη συγκατάθεσή του, αλλά τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε περαιτέρω επεξεργασία για σκοπό διαφορετικό από τον σκοπό για τον οποίο το υποκείμενο των δεδομένων έδωσε τη συγκατάθεσή του, η αρχική συγκατάθεση δεν μπορεί να νομιμοποιήσει περαιτέρω επεξεργασία, δεδομένου ότι η συγκατάθεση πρέπει να είναι εν επιγνώσει και συγκεκριμένη για να είναι έγκυρη· λαμβάνει υπό σημείωση τις επικείμενες κατευθυντήριες γραμμές του ΕΣΠΔ σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για επιστημονική έρευνα, οι οποίες θα αποσαφηνίσουν την έννοια της αιτιολογικής σκέψης 50 του ΓΚΠΔ·

7. εκφράζει την ανησυχία του για το γεγονός ότι το «έννομο συμφέρον» πολύ συχνά αναφέρεται καταχρηστικά ως νομική βάση για την επεξεργασία· επισημαίνει ότι οι υπεύθυνοι επεξεργασίας εξακολουθούν να βασίζονται στο έννομο συμφέρον χωρίς να διεξάγουν τον απαιτούμενο έλεγχο της ισορροπίας των συμφερόντων, ο οποίος περιλαμβάνει αξιολόγηση των θεμελιωδών δικαιωμάτων· εκφράζει ιδιαίτερη ανησυχία για το γεγονός ότι ορισμένα κράτη μέλη θεσπίζουν εθνική νομοθεσία για τον καθορισμό των όρων επεξεργασίας βάσει του έννομου συμφέροντος, προβλέποντας την εξισορρόπηση των αντίστοιχων συμφερόντων του υπευθύνου επεξεργασίας και των οικείων ατόμων, ενώ ο ΓΚΠΔ υποχρεώνει όλους τους υπεύθυνους επεξεργασίας να πραγματοποιούν αυτόν τον έλεγχο εξισορρόπησης μεμονωμένα και να αξιοποιούν αυτή τη νομική βάση· εκφράζει την ανησυχία του για το γεγονός ότι ορισμένες εθνικές ερμηνείες του έννομου συμφέροντος δεν τηρούν την αιτιολογική σκέψη 47 και απαγορεύουν ουσιαστικά την επεξεργασία βάσει έννομου συμφέροντος· εκφράζει την ικανοποίησή του για το γεγονός ότι το ΕΣΠΔ έχει ήδη ξεκινήσει τις εργασίες για την επικαιροποίηση της γνώμης της ομάδας εργασίας του άρθρου 29 (WP29) σχετικά με την εφαρμογή του έννομου συμφέροντος ως νομικής βάσης για την επεξεργασία, προκειμένου να αντιμετωπιστούν τα ζητήματα που επισημαίνονται στην έκθεση της Επιτροπής·

Δικαιώματα του υποκειμένου των δεδομένων

8. τονίζει ότι είναι αναγκαίο να διευκολυνθεί η άσκηση των ατομικών δικαιωμάτων που προβλέπονται στον ΓΚΠΔ, όπως η φορητότητα των δεδομένων ή τα δικαιώματα στο πλαίσιο αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ· χαιρετίζει τις κατευθυντήριες γραμμές του ΕΣΠΔ σχετικά με την αυτοματοποιημένη λήψη αποφάσεων και τη φορητότητα των δεδομένων· σημειώνει ότι το δικαίωμα στη φορητότητα των δεδομένων δεν έχει εφαρμοστεί πλήρως σε αρκετούς τομείς· καλεί το ΕΣΠΔ να ενθαρρύνει τις διαδικτυακές πλατφόρμες να δημιουργήσουν ένα ενιαίο σημείο επαφής για όλες τις υποκείμενες ψηφιακές πλατφόρμες τους, από τις οποίες τα αιτήματα των χρηστών μπορούν να διαβιβαστούν στον σωστό παραλήπτη· επισημαίνει ότι, σύμφωνα με την αρχή της ελαχιστοποίησης των δεδομένων, η εφαρμογή του δικαιώματος στην ανωνυμία αποτρέπει αποτελεσματικά την άνευ άδειας κοινοποίηση, την κλοπή ταυτότητας και άλλες μορφές κατάχρησης δεδομένων προσωπικού χαρακτήρα·

9. επισημαίνει ότι η συμμόρφωση με το δικαίωμα ενημέρωσης απαιτεί από τις εταιρείες να παρέχουν πληροφορίες με συνοπτικό, διαφανή, κατανοητό και εύκολα προσβάσιμο τρόπο και να αποφεύγουν μια νομικίστικη προσέγγιση κατά τη σύνταξη δηλώσεων προστασίας δεδομένων· εκφράζει την ανησυχία του για το γεγονός ότι ορισμένες εταιρείες εξακολουθούν να παραβιάζουν τις υποχρεώσεις τους σύμφωνα με το άρθρο 12 παράγραφος 1 του ΓΚΠΔ και δεν παρέχουν όλες τις σχετικές πληροφορίες που προτείνει το ΕΣΠΔ, μεταξύ άλλων όσον αφορά την καταχώριση των ονομάτων των οντοτήτων στις οποίες κοινοποιούν δεδομένα· υπενθυμίζει ότι η υποχρέωση παροχής πληροφοριών που να είναι απλές και προσβάσιμες είναι ιδιαίτερα αυστηρή όταν αφορά παιδιά· εκφράζει την ανησυχία του για την ευρεία έλλειψη λειτουργικών μηχανισμών πρόσβασης για τα υποκείμενα των δεδομένων· επισημαίνει ότι τα άτομα συχνά δεν είναι σε θέση να υποχρεώσουν τις διαδικτυακές πλατφόρμες να τους αποκαλύψουν τα προφίλ συμπεριφοράς τους· εκφράζει την ανησυχία του για το γεγονός ότι οι εταιρείες πολύ συχνά αγνοούν το γεγονός ότι τα δεδομένα που συνάγονται είναι και αυτά δεδομένα προσωπικού χαρακτήρα, που υπόκεινται σε όλες τις διασφαλίσεις βάσει του ΓΚΠΔ·

Μικρές επιχειρήσεις και οργανισμοί

10. υπογραμμίζει ότι ορισμένα ενδιαφερόμενα μέρη αναφέρουν ότι η εφαρμογή του ΓΚΠΔ αποτέλεσε σημαντική πρόκληση, ιδιαίτερα για τις μικρές και μεσαίες επιχειρήσεις (ΜΜΕ), τις νεοφυείς επιχειρήσεις, τις ενώσεις και τις οργανώσεις, συμπεριλαμβανομένων των σχολείων, των συλλόγων, καθώς και των σωματείων· σημειώνει, ωστόσο, ότι πολλά από τα δικαιώματα και τις υποχρεώσεις του ΓΚΠΔ δεν είναι καινούργια, αλλά ίσχυαν ήδη δυνάμει της οδηγίας 95/46/ΕΚ, αν και εφαρμόζονταν σπανίως· θεωρεί ότι ο ΓΚΠΔ και η επιβολή του δεν πρέπει να συνεπάγονται ανεπιθύμητες συνέπειες της συμμόρφωσης για τις μικρότερες εταιρείες, αλλά όχι για τις μεγάλες· πιστεύει ότι πρέπει να παρασχεθεί περισσότερη υποστήριξη, ενημέρωση και κατάρτιση από τις εθνικές αρχές και τις ενημερωτικές εκστρατείες της Επιτροπής, προκειμένου να ενισχυθεί η αύξηση των γνώσεων, η ποιότητα της εφαρμογής και η ευαισθητοποίηση όσον αφορά τις απαιτήσεις και τον σκοπό του ΓΚΠΔ·

11. επισημαίνει ότι δεν προβλέπονται παρεκκλίσεις για τις ΜΜΕ, τις νεοφυείς επιχειρήσεις, τις οργανώσεις και τις ενώσεις, συμπεριλαμβανομένων των σχολείων, των συλλόγων και των σωματείων, και ότι όλα τα ανωτέρω υπόκεινται στο πεδίο εφαρμογής του ΓΚΠΔ· καλεί το ΕΣΠΔ, επομένως, να παράσχει σαφείς πληροφορίες για την αποφυγή τυχόν σύγχυσης σχετικά με την ερμηνεία του ΓΚΠΔ και να δημιουργήσει ένα πρακτικό εργαλείο για τον ΓΚΠΔ για τη διευκόλυνση της εφαρμογής του ΓΚΠΔ από ΜΜΕ, νεοφυείς επιχειρήσεις, οργανώσεις και ενώσεις, συμπεριλαμβανομένων των σχολείων, των συλλόγων και των σωματείων με δραστηριότητες επεξεργασίας χαμηλού κινδύνου· καλεί τα κράτη μέλη να διαθέσουν επαρκή μέσα ώστε οι ΑΠΔ να καταστήσουν ευρέως γνωστά τα εν λόγω πρακτικά εργαλεία· ενθαρρύνει το ΕΣΠΔ να αναπτύξει πρότυπα πολιτικής για την προστασία της ιδιωτικής ζωής τα οποία μπορούν να χρησιμοποιούν οι οργανισμοί για να τους βοηθούν να αποδεικνύουν στην πράξη την πραγματική συμμόρφωση με τον ΓΚΠΔ χωρίς να χρειάζεται να βασίζονται σε δαπανηρές υπηρεσίες τρίτων·

Επιβολή

12. εκφράζει την ανησυχία του για την ανομοιόμορφη και ενίοτε ανύπαρκτη επιβολή του ΓΚΠΔ από τις εθνικές ΑΠΔ περισσότερο από δύο έτη μετά την έναρξη της εφαρμογής του και, ως εκ τούτου, εκφράζει τη λύπη του για το γεγονός ότι η κατάσταση όσον αφορά την επιβολή δεν έχει βελτιωθεί σημαντικά σε σύγκριση με την κατάσταση βάσει της οδηγίας 95/46/ΕΚ·

13. σημειώνει ότι υποβλήθηκαν περίπου 275 000 καταγγελίες και επιβλήθηκαν 785 διοικητικά πρόστιμα για διαφορετικές παραβάσεις κατά τους πρώτους 18 μήνες εφαρμογής του ΓΚΠΔ, αλλά επισημαίνει ότι μέχρι στιγμής έχει δοθεί συνέχεια σε πολύ μικρό ποσοστό των υποβληθεισών καταγγελιών· έχει επίγνωση των προβλημάτων που προκαλούνται από παραβιάσεις δεδομένων προσωπικού χαρακτήρα και υπενθυμίζει τις τρέχουσες κατευθυντήριες γραμμές του ΕΣΠΔ που παρέχουν σαφήνεια σχετικά με το χρονοδιάγραμμα για την κοινοποίηση, την γνωστοποίηση στα υποκείμενα των δεδομένων και τα μέσα έννομης προστασίας, μεταξύ άλλων· επισημαίνει ότι ένα ευρωπαϊκό τυποποιημένο έντυπο κοινοποίησης παραβιάσεων δεδομένων θα μπορούσε να είναι επωφελές για την εναρμόνιση των διαφορετικών εθνικών προσεγγίσεων· εκφράζει ωστόσο τη λύπη του για το γεγονός ότι το ύψος των προστίμων ποικίλλει σημαντικά μεταξύ των κρατών μελών και για το γεγονός ότι ορισμένα πρόστιμα που επιβάλλονται σε μεγάλες εταιρείες είναι υπερβολικά χαμηλά για να έχουν το επιδιωκόμενο αποτρεπτικό αποτέλεσμα κατά των παραβιάσεων της προστασίας δεδομένων· καλεί τις ΑΠΔ να ενισχύσουν την επιβολή, τη δίωξη και τις ποινές για παραβιάσεις της προστασίας των δεδομένων, καθώς και να αξιοποιήσουν πλήρως τις δυνατότητες του ΓΚΠΔ όσον αφορά την επιβολή προστίμων και τη χρήση άλλων διορθωτικών μέτρων· τονίζει ότι η απαγόρευση επεξεργασίας ή η υποχρέωση διαγραφής δεδομένων προσωπικού χαρακτήρα που αποκτήθηκαν με τρόπο ο οποίος δεν συμμορφώνεται με τον ΓΚΠΔ μπορεί να έχουν το ίδιο αν όχι περισσότερο αποτρεπτικό αποτέλεσμα σε σχέση με τα πρόστιμα· καλεί την Επιτροπή και το ΕΣΠΔ να εναρμονίσουν τις κυρώσεις, χρησιμοποιώντας κατευθυντήριες γραμμές και σαφή κριτήρια, όπως έπραξε η διάσκεψη των γερμανικών εποπτικών αρχών, προκειμένου να αυξηθεί η ασφάλεια δικαίου και να αποφευχθεί η εγκατάσταση εταιρειών σε τοποθεσίες που επιβάλλουν τις χαμηλότερες κυρώσεις·

14. εκφράζει ανησυχία για τη διάρκεια της διερεύνησης υποθέσεων από ορισμένες ΑΠΔ και τις δυσμενείς επιπτώσεις της στην αποτελεσματική επιβολή της νομοθεσίας και στην εμπιστοσύνη των πολιτών· καλεί τις εποπτικές αρχές να επιταχύνουν την επίλυση των υποθέσεων και να αξιοποιήσουν όλο το φάσμα των δυνατοτήτων που προσφέρει ο ΓΚΠΔ, ιδίως σε περίπτωση συστηματικών και επίμονων παραβιάσεων, μεταξύ άλλων με κερδοσκοπικό συμφέρον και με μεγάλο αριθμό επηρεαζόμενων υποκειμένων των δεδομένων·

15. εκφράζει ανησυχία για το γεγονός ότι οι εποπτικές αρχές 21 κρατών μελών από το σύνολο των 31 κρατών που εφαρμόζουν τον ΓΚΠΔ, δηλαδή όλων των κρατών μελών της Ευρωπαϊκής Ένωσης, του Ευρωπαϊκού Οικονομικού Χώρου, της Νορβηγίας, της Ισλανδίας και του Ηνωμένου Βασιλείου, έχουν δηλώσει ρητά ότι δεν διαθέτουν επαρκείς ανθρώπινους, τεχνικούς και οικονομικούς πόρους, εγκαταστάσεις και υποδομές για την αποτελεσματική εκτέλεση των καθηκόντων τους και την άσκηση των εξουσιών τους· εκφράζει την ανησυχία του για την έλλειψη ειδικού τεχνικού προσωπικού στις περισσότερες εποπτικές αρχές σε ολόκληρη την ΕΕ, η οποία καθιστά δύσκολη την έρευνα και την επιβολή· σημειώνει με ανησυχία ότι οι εποπτικές αρχές δέχονται πιέσεις λόγω της αυξανόμενης αναντιστοιχίας μεταξύ των αρμοδιοτήτων τους για προστασία των δεδομένων προσωπικού χαρακτήρα και των πόρων που διαθέτουν για τον σκοπό αυτό· σημειώνει ότι οι ψηφιακές υπηρεσίες θα καταστούν ολοένα και πιο περίπλοκες λόγω της αυξημένης χρήσης καινοτομιών όπως η τεχνητή νοημοσύνη (επιδεινώνοντας, επομένως, το πρόβλημα της περιορισμένης διαφάνειας στην επεξεργασία δεδομένων, ιδίως όσον αφορά την εκπαίδευση σε αλγοριθμικά συστήματα)· θεωρεί, επομένως, ότι είναι σημαντικό οι εποπτικές αρχές της ΕΕ καθώς και το ΕΣΠΔ να διαθέτουν επαρκείς οικονομικούς, τεχνικούς και ανθρώπινους πόρους, προκειμένου να είναι σε θέση να αντιμετωπίζουν γρήγορα αλλά διεξοδικά τον αυξανόμενο αριθμό υψηλής έντασης πόρων και περίπλοκων υποθέσεων και να συντονίζουν και να διευκολύνουν τη συνεργασία μεταξύ των εθνικών ΑΠΔ, να παρακολουθούν επαρκώς την εφαρμογή του ΓΚΠΔ και να προστατεύουν τα θεμελιώδη δικαιώματα και τις ελευθερίες· εκφράζει την ανησυχία του ότι οι ανεπαρκείς πόροι για τις ΑΠΔ, ιδίως όταν αυτοί οι πόροι συγκρίνονται με τα έσοδα των μεγάλων εταιρειών τεχνολογίας των πληροφοριών, ενδέχεται να οδηγήσουν σε συμφωνίες διακανονισμού, καθώς αυτό θα περιόριζε το κόστος των χρονοβόρων και επαχθών διαδικασιών·

16. καλεί την Επιτροπή να αξιολογήσει τη δυνατότητα να επιβάλει στις μεγάλες πολυεθνικές τεχνολογικές εταιρείες την υποχρέωση να πληρώνουν για την ίδια τους την εποπτεία μέσω της εισαγωγής ενός ευρωπαϊκού φόρου ψηφιακών υπηρεσιών·

17. σημειώνει με ανησυχία ότι η έλλειψη επιβολής εκ μέρους των ΑΠΔ και η αδράνεια εκ μέρους της Επιτροπής για την αντιμετώπιση της έλλειψης πόρων των ΑΠΔ επιβαρύνουν με το καθήκον της επιβολής μεμονωμένους πολίτες, οι οποίοι προσφεύγουν στο δικαστήριο με αξιώσεις προστασίας δεδομένων· εκφράζει την ανησυχία του για το γεγονός ότι τα δικαστήρια ορισμένες φορές διατάσσουν την αποζημίωση μεμονωμένων εναγόντων χωρίς να υποχρεώνουν τον οργανισμό ή την εταιρεία να επιλύσουν διαρθρωτικά προβλήματα· θεωρεί ότι η ιδιωτική επιβολή μπορεί να δημιουργήσει σημαντική νομολογία, αλλά δεν αντικαθιστά την επιβολή από τις ΑΠΔ ή τη δράση της Επιτροπής για την αντιμετώπιση της έλλειψης πόρων· εκφράζει τη λύπη του για το γεγονός ότι τα εν λόγω κράτη μέλη παραβιάζουν το άρθρο 52 παράγραφος 4 του ΓΚΠΔ· καλεί, επομένως, τα κράτη μέλη να συμμορφωθούν με τη νομική τους υποχρέωση δυνάμει του άρθρου 52 παράγραφος 4 με το να διαθέσουν επαρκή κονδύλια στις ΑΠΔ τους, ώστε να τους επιτρέψουν να εκτελούν τις εργασίες τους με τον καλύτερο δυνατό τρόπο και να διασφαλίσουν ίσους όρους ανταγωνισμού σε ευρωπαϊκό επίπεδο για την επιβολή του ΓΚΠΔ· εκφράζει τη λύπη του για το γεγονός ότι η Επιτροπή δεν έχει κινήσει ακόμη διαδικασίες επί παραβάσει κατά των κρατών μελών που δεν έχουν εκπληρώσει τις υποχρεώσεις τους βάσει του ΓΚΠΔ, και παροτρύνει την Επιτροπή να το πράξει χωρίς καθυστέρηση· καλεί την Επιτροπή και το ΕΣΠΔ να δώσουν συνέχεια στην ανακοίνωσης της Επιτροπής της 24ης Ιουνίου 2020, αξιολογώντας τη λειτουργία του ΓΚΠΔ, καθώς και την επιβολή του·

18. εκφράζει τη λύπη του για το γεγονός ότι τα περισσότερα κράτη μέλη αποφάσισαν να μην εφαρμόσουν το άρθρο 80 παράγραφος 2 του ΓΚΠΔ· καλεί όλα τα κράτη μέλη να κάνουν χρήση του άρθρου 80 παράγραφος 2 και να εφαρμόσουν το δικαίωμα υποβολής καταγγελιών και προσφυγής στο δικαστήριο χωρίς αυτό να έχει ζητηθεί από το υποκείμενο των δεδομένων· καλεί τα κράτη μέλη να αποσαφηνίσουν τη θέση των καταγγελλόντων στο πλαίσιο δικαστικών διαδικασιών ως προς τη νομοθεσία που αφορά τις ισχύουσες για τις εποπτικές αρχές εθνικές διοικητικές διαδικασίες· επισημαίνει ότι η εν λόγω νομοθεσία θα πρέπει να διευκρινίζει ότι οι καταγγέλλοντες δεν διαδραματίζουν απλώς παθητικό ρόλο κατά τη διάρκεια της διαδικασίας, αλλά θα πρέπει να μπορούν να παρέμβουν σε διαφορετικά στάδια·

Συνεργασία και συνεκτικότητα

19. επισημαίνει ότι η ανεπαρκής επιβολή είναι ιδιαίτερα εμφανής στις διασυνοριακές καταγγελίες και εκφράζει τη λύπη του για το γεγονός ότι οι ΑΠΔ σε 14 κράτη μέλη δεν διαθέτουν τους κατάλληλους πόρους για να συμβάλουν στους μηχανισμούς συνεργασίας και συνεκτικότητας· καλεί το ΕΣΠΔ να εντείνει τις προσπάθειές του για να διασφαλίσει την ορθή εφαρμογή των άρθρων 60 και 63 του ΓΚΠΔ και υπενθυμίζει στις εποπτικές αρχές ότι μπορούν να κάνουν χρήση, σε εξαιρετικές περιστάσεις, της επείγουσας διαδικασίας του άρθρου 66 του ΓΚΠΔ, ιδίως των προσωρινών μέτρων·

20. υπογραμμίζει τη σημασία του μηχανισμού ενιαίας εξυπηρέτησης για την παροχή ασφάλειας δικαίου και τη μείωση της διοικητικής επιβάρυνσης τόσο για εταιρείες όσο και για τους πολίτες· εκφράζει, ωστόσο, έντονη ανησυχία σχετικά με τη λειτουργία του μηχανισμού, ιδίως όσον αφορά τον ρόλο των ΑΠΔ της Ιρλανδίας και του Λουξεμβούργου· σημειώνει ότι οι εν λόγω ΑΠΔ είναι υπεύθυνες για τον χειρισμό μεγάλου αριθμού υποθέσεων, καθώς πολλές εταιρείες τεχνολογίας έχουν καταχωρίσει ως έδρα τους στην ΕΕ την Ιρλανδία και το Λουξεμβούργο· εκφράζει ιδιαίτερη ανησυχία για το γεγονός ότι η ιρλανδική αρχή προστασίας δεδομένων κλείνει γενικά τις περισσότερες υποθέσεις με διακανονισμό αντί επιβολής κυρώσεων και για το γεγονός ότι οι υποθέσεις που παραπέμφθηκαν στην Ιρλανδία το 2018 δεν έχουν καν φθάσει στο στάδιο του σχεδίου απόφασης σύμφωνα με το άρθρο 60 παράγραφος 3 του ΓΚΠΔ· καλεί τις εν λόγω ΑΠΔ να επισπεύσουν τις εν εξελίξει έρευνές τους για σημαντικές υποθέσεις, προκειμένου να δείξουν στους πολίτες της ΕΕ ότι η προστασία των δεδομένων αποτελεί εκτελεστό δικαίωμα στην ΕΕ· επισημαίνει ότι η επιτυχία αυτού του «μηχανισμού ενιαίας εξυπηρέτησης» εξαρτάται από τον χρόνο και την προσπάθεια που μπορούν να αφιερώσουν οι ΑΠΔ για τη διαχείριση και τη συνεργασία σε μεμονωμένες διασυνοριακές υποθέσεις στο ΕΣΠΔ, και ότι η έλλειψη πολιτικής βούλησης και πόρων έχει άμεσες συνέπειες ως προς τον βαθμό στον οποίο ο εν λόγω μηχανισμός μπορεί να λειτουργήσει σωστά·

21. παρατηρεί ασυνέπειες μεταξύ των κατευθυντήριων γραμμών των κρατών μελών και του ΕΣΠΔ· επισημαίνει ότι οι εθνικές ΑΠΔ ενδέχεται να καταλήξουν σε διαφορετικές ερμηνείες του ΓΚΠΔ, με αποτέλεσμα αποκλίσεις στην εφαρμογή μεταξύ των κρατών μελών· σημειώνει ότι αυτή η κατάσταση δημιουργεί γεωγραφικά πλεονεκτήματα καθώς και μειονεκτήματα για τις εταιρείες· παροτρύνει την Επιτροπή να αξιολογήσει κατά πόσον οι εθνικές διοικητικές διαδικασίες παρεμποδίζουν την πλήρη αποτελεσματικότητα της συνεργασίας σύμφωνα με το άρθρο 60 του ΓΚΠΔ, καθώς και την αποτελεσματική εφαρμογή του· καλεί τις ΑΠΔ να επιδιώξουν τη συνεκτική εφαρμογή και καθοδήγηση με τη βοήθεια του ΕΣΠΔ· καλεί συγκεκριμένα το ΕΣΠΔ να θεσπίσει τα βασικά στοιχεία μιας κοινής διοικητικής διαδικασίας για τον χειρισμό καταγγελιών σε διασυνοριακές υποθέσεις βάσει της συνεργασίας που προβλέπει το άρθρο 60· ζητεί να γίνει αυτό μέσω καθοδήγησης σχετικά με τον καθορισμό κοινών χρονοδιαγραμμάτων για τη διεξαγωγή ερευνών και τη λήψη αποφάσεων· καλεί το ΕΣΠΔ να ενισχύσει τον μηχανισμό συνεκτικότητας και να τον καταστήσει υποχρεωτικό για οποιοδήποτε θέμα γενικής εφαρμογής ή για κάθε υπόθεση με διασυνοριακές επιπτώσεις, προκειμένου να αποφευχθούν ασυνεπείς προσεγγίσεις και αποφάσεις από μεμονωμένες ΑΠΔ, καθώς τούτο θα έθετε σε κίνδυνο την ομοιόμορφη ερμηνεία και εφαρμογή του ΓΚΠΔ· θεωρεί ότι αυτή η κοινή ερμηνεία, εφαρμογή και καθοδήγηση θα συμβάλει στη δημιουργία και την επιτυχία της ψηφιακής ενιαίας αγοράς·

22. καλεί το ΕΣΠΔ να δημοσιεύει την ημερήσια διάταξή του πριν από τις συνεδριάσεις του και να παρέχει λεπτομερέστερες περιλήψεις των συνεδριάσεων στο κοινό και στο Κοινοβούλιο·

Κατακερματισμός της εφαρμογής του ΓΚΠΔ

23. εκφράζει τη λύπη του για το γεγονός ότι η χρήση από τα κράτη μέλη των προαιρετικών ρητρών προδιαγραφών (π.χ. επεξεργασία για λόγους δημοσίου συμφέροντος ή από δημόσιες αρχές βάσει της νομοθεσίας του κράτους μέλους και της ηλικίας των παιδιών για την παροχή συγκατάθεσης) έχει αποβεί εις βάρος της επίτευξης πλήρους εναρμόνισης της προστασίας των δεδομένων και της εξάλειψης των αποκλινουσών συνθηκών της αγοράς για τις εταιρείες σε ολόκληρη την ΕΕ, και εκφράζει την ανησυχία του για το γεγονός ότι αυτό μπορεί να οδηγήσει σε αύξηση του κόστους συμμόρφωσης με τον ΓΚΠΔ· καλεί το ΕΣΠΔ να καταρτίσει οδηγίες σχετικά με τον τρόπο αντιμετώπισης της διαφορετικής εφαρμογής των προαιρετικών ρητρών προδιαγραφών μεταξύ των κρατών μελών· καλεί την Επιτροπή να χρησιμοποιεί τις εξουσίες της για να παρεμβαίνει στα κράτη μέλη όταν τα εθνικά μέτρα, οι δράσεις και οι αποφάσεις υπονομεύουν το πνεύμα, τον στόχο και το γράμμα του ΓΚΠΔ, με σκοπό να αποφευχθούν η άνιση προστασία των πολιτών και οι στρεβλώσεις της αγοράς· επισημαίνει, εν προκειμένω, ότι τα κράτη μέλη έχουν υιοθετήσει διαφορετικό ηλικιακό φάσμα όσον αφορά τη συγκατάθεση των γονέων· καλεί, ως εκ τούτου, την Επιτροπή και τα κράτη μέλη να αξιολογήσουν τον αντίκτυπο αυτού του κατακερματισμού στις δραστηριότητες των παιδιών και στην προστασία τους στο διαδίκτυο· τονίζει ότι, σε περίπτωση σύγκρουσης νόμων μεταξύ εθνικού δικαίου κράτους μέλους και του ΓΚΠΔ, θα πρέπει να υπερισχύουν οι διατάξεις του ΓΚΠΔ·

24. εκφράζει έντονες ανησυχίες για την κατάχρηση του ΓΚΠΔ από τις δημόσιες αρχές ορισμένων κρατών μελών με σκοπό τον περιορισμό δημοσιογράφων και μη κυβερνητικών οργανώσεων· συμφωνεί απόλυτα με την Επιτροπή ότι οι κανόνες προστασίας των δεδομένων δεν θα πρέπει να επηρεάζουν την άσκηση της ελευθερίας έκφρασης και πληροφόρησης, ιδίως με τη δημιουργία κλίματος φόβου ή με την ερμηνεία τους ως τρόπου άσκησης πίεσης στους δημοσιογράφους για να αποκαλύψουν τις πηγές τους· εκφράζει, ωστόσο, την απογοήτευσή του για το γεγονός ότι η Επιτροπή δεν έχει ολοκληρώσει ακόμη την αξιολόγησή της για την εξισορρόπηση του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα με την ελευθερία έκφρασης και πληροφόρησης, όπως ορίζεται στο άρθρο 85 του ΓΚΠΔ· καλεί την Επιτροπή να ολοκληρώσει αμελλητί την αξιολόγησή της για την εθνική νομοθεσία σχετικά με αυτό το θέμα και να χρησιμοποιήσει όλα τα διαθέσιμα εργαλεία, συμπεριλαμβανομένων των διαδικασιών επί παραβάσει, για να διασφαλίσει ότι τα κράτη μέλη συμμορφώνονται με τον ΓΚΠΔ και να περιορίσει τυχόν κατακερματισμό του πλαισίου προστασίας δεδομένων·

Προστασία των δεδομένων ήδη από το στάδιο του σχεδιασμού

25. καλεί τις εποπτικές αρχές να αξιολογήσουν την εφαρμογή του άρθρου 25 σχετικά με την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, ιδίως με σκοπό να διασφαλιστεί η θέσπιση των τεχνικών και επιχειρησιακών μέτρων που απαιτούνται για την εφαρμογή των αρχών της ελαχιστοποίησης των δεδομένων και του περιορισμού του σκοπού, και για να προσδιοριστεί το αποτέλεσμα που έχει μέχρι στιγμής αυτή η διάταξη για τους κατασκευαστές τεχνολογιών επεξεργασίας· εκφράζει την ικανοποίησή του για το γεγονός ότι το ΕΣΠΔ ενέκρινε τον Οκτώβριο 2020 τις κατευθυντήριες γραμμές 04/2019 σχετικά με την προστασία των δεδομένων βάσει του άρθρου 25 ήδη από τον σχεδιασμό και εξ ορισμού, προκειμένου να συμβάλει στη νομική σαφήνεια των εννοιών· καλεί τις εποπτικές αρχές να εκτιμήσουν επίσης την ορθή χρήση των προεπιλεγμένων ρυθμίσεων, όπως προβλέπεται στο άρθρο 25 παράγραφος 2, μεταξύ άλλων και από τους μεγάλους παρόχους διαδικτυακών υπηρεσιών· συνιστά το ΕΣΠΔ να εκδώσει κατευθυντήριες γραμμές για να καθορίσει υπό ποιες συγκεκριμένες συνθήκες και σε ποιες (κατηγορίες) περιπτώσεων οι κατασκευαστές ΤΠΕ πρέπει να θεωρούνται υπεύθυνοι επεξεργασίας σύμφωνα με το άρθρο 4 παράγραφος 7, υπό την έννοια ότι είναι αυτοί που καθορίζουν τα μέσα επεξεργασίας· επισημαίνει ότι οι πρακτικές προστασίας δεδομένων εξακολουθούν να εξαρτώνται σε μεγάλο βαθμό από μη αυτοματοποιημένες ενέργειες και αυθαίρετους μορφότυπους και βρίθουν ασύμβατων συστημάτων· καλεί το ΕΣΠΔ να αναπτύξει κατευθυντήριες γραμμές που θα συνεισφέρουν στην έμπρακτη εφαρμογή των απαιτήσεων προστασίας των δεδομένων, μεταξύ άλλων και κατευθυντήριες γραμμές για τις εκτιμήσεις επιπτώσεων σχετικά με την προστασία των δεδομένων (άρθρο 35), την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού (άρθρο 25), την ενημέρωση των υποκειμένων των δεδομένων (άρθρα 12-14), την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων (άρθρα 15-18, 20-21) και τα αρχεία δραστηριοτήτων επεξεργασίας (άρθρο 30)· καλεί το ΕΣΠΔ να διασφαλίσει ότι αυτές οι κατευθυντήριες γραμμές είναι εύκολο να εφαρμοστούν και επιτρέπουν επίσης την επικοινωνία από μηχανή σε μηχανή μεταξύ υποκειμένων των δεδομένων, υπευθύνων επεξεργασίας και ΑΠΔ (αυτοματοποίηση της προστασίας δεδομένων)· καλεί την Επιτροπή να αναπτύξει τα μηχανικώς αναγνώσιμα εικονίδια σύμφωνα με το άρθρο 12 παράγραφος 8 για την ενημέρωση των υποκειμένων των δεδομένων, σε στενό συντονισμό με το ΕΣΠΔ· ενθαρρύνει το ΕΣΠΔ και τις εποπτικές αρχές να αξιοποιήσουν πλήρως τις δυνατότητες του άρθρου 21 παράγραφος 5 για τους αυτοματοποιημένους τρόπους εναντίωσης στην επεξεργασία δεδομένων προσωπικού χαρακτήρα·

Κατευθυντήριες γραμμές

26. καλεί το ΕΣΠΔ να εναρμονίσει στην πράξη την εφαρμογή των απαιτήσεων προστασίας των δεδομένων μέσω της εκπόνησης κατευθυντήριων γραμμών, μεταξύ άλλων όσον αφορά την ανάγκη αξιολόγησης των κινδύνων που σχετίζονται με την επεξεργασία πληροφοριών για τα υποκείμενα των δεδομένων (άρθρα 12-14), την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων (άρθρα 15-18, 20-21) και την εφαρμογή της αρχής της λογοδοσίας· καλεί το ΕΣΠΔ να εκδώσει κατευθυντήριες γραμμές που ταξινομούν τις διάφορες νόμιμες περιπτώσεις χρήσης για την κατάρτιση προφίλ ανάλογα με τους κινδύνους που ενέχουν για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, μαζί με συστάσεις για κατάλληλα τεχνικά και οργανωτικά μέτρα, και με σαφή οριοθέτηση των περιπτώσεων παράνομης χρήσης· καλεί το ΕΣΠΔ να επανεξετάσει τη γνώμη αριθ. 05/2014 της ομάδας εργασίας του άρθρου 29, της 10ης Απριλίου 2014, σχετικά με τις «τεχνικές ανωνυμοποίησης» και να καταρτίσει κατάλογο σαφών κριτηρίων προκειμένου να επιτευχθεί η ανωνυμοποίηση· ενθαρρύνει το ΕΣΠΔ να αποσαφηνίσει την επεξεργασία δεδομένων για σκοπούς ανθρώπινου δυναμικού· λαμβάνει υπό σημείωση το συμπέρασμα του ΕΣΠΔ ότι θα πρέπει να διατηρηθεί η ανάγκη αξιολόγησης των κινδύνων που σχετίζονται με την επεξεργασία δεδομένων, όπως προβλέπεται στον ΓΚΠΔ, καθώς οι κίνδυνοι για τα υποκείμενα των δεδομένων δεν σχετίζονται με το μέγεθος των υπευθύνων επεξεργασίας δεδομένων· ζητεί καλύτερη χρήση του μηχανισμού βάσει του οποίου η Επιτροπή μπορεί να ζητεί συμβουλές από το ΕΣΠΔ σχετικά με τα θέματα που καλύπτονται από τον ΓΚΠΔ·

27. σημειώνει ότι η πανδημία COVID-19 ανέδειξε την ανάγκη για ασφαλείς οδηγίες από τις ΑΠΔ και το ΕΣΠΔ σχετικά με την κατάλληλη εφαρμογή και επιβολή του ΓΚΠΔ στις πολιτικές δημόσιας υγείας· υπενθυμίζει, στο πλαίσιο αυτό, τις κατευθυντήριες γραμμές 03/2020 σχετικά με την επεξεργασία δεδομένων που αφορούν την υγεία για σκοπούς επιστημονικής έρευνας στο πλαίσιο της έξαρσης της νόσου COVID-19 και τις κατευθυντήριες γραμμές 04/2020 σχετικά με τη χρήση δεδομένων θέσης και εργαλείων ιχνηλάτησης επαφών στο πλαίσιο της έξαρσης της νόσου COVID-19· καλεί την Επιτροπή να διασφαλίσει την πλήρη συμμόρφωση με τον ΓΚΠΔ κατά τη δημιουργία του κοινού ευρωπαϊκού χώρου δεδομένων υγείας·

Διεθνείς ροές δεδομένων προσωπικού χαρακτήρα και συνεργασία

28. τονίζει ότι είναι σημαντικό να καταστεί δυνατή η ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα σε διεθνές επίπεδο χωρίς να μειωθεί το επίπεδο προστασίας που εγγυάται ο ΓΚΠΔ· υποστηρίζει την πρακτική της Επιτροπής να διαχειρίζεται την προστασία των δεδομένων και τις ροές δεδομένων προσωπικού χαρακτήρα χωριστά από τις εμπορικές συμφωνίες· πιστεύει ότι η διεθνής συνεργασία στον τομέα της προστασίας των δεδομένων και η σύγκλιση των σχετικών κανόνων με τον ΓΚΠΔ θα βελτιώσουν την αμοιβαία εμπιστοσύνη, θα ενισχύσουν την κατανόηση των τεχνολογικών και νομικών προκλήσεων και θα διευκολύνουν τελικά τις διασυνοριακές ροές δεδομένων που είναι καίριας σημασίας για το διεθνές εμπόριο· αναγνωρίζει την πραγματικότητα των αντικρουόμενων νομικών απαιτήσεων για τις εταιρείες που διεξάγουν δραστηριότητες επεξεργασίας δεδομένων στην ΕΕ, καθώς και σε περιοχές δικαιοδοσίας τρίτων χωρών, ιδίως στις ΗΠΑ·

29. τονίζει ότι οι αποφάσεις περί επάρκειας δεν θα πρέπει να είναι πολιτικές αλλά νομικές αποφάσεις· ενθαρρύνει τη συνέχιση των προσπαθειών για την προώθηση παγκόσμιων νομικών πλαισίων που θα καθιστούν δυνατές τις διαβιβάσεις δεδομένων βάσει του ΓΚΠΔ και της Σύμβασης 108 + του Συμβουλίου της Ευρώπης· σημειώνει, περαιτέρω, ότι οι ενδιαφερόμενοι εξακολουθούν να θεωρούν τις αποφάσεις περί επάρκειας ουσιώδες εργαλείο για τέτοιες ροές δεδομένων, δεδομένου ότι δεν τις συνδέουν με πρόσθετους όρους ή εξουσιοδοτήσεις· επισημαίνει, ωστόσο, ότι μέχρι στιγμής έχουν ληφθεί αποφάσεις περί επάρκειας μόνο για εννέα χώρες, παρόλο που πολλές πρόσθετες τρίτες χώρες έχουν υιοθετήσει πρόσφατα νέους νόμους για την προστασία δεδομένων με παρόμοιους κανόνες και αρχές με τον ΓΚΠΔ· σημειώνει ότι, μέχρι σήμερα, κανένας ενιαίος μηχανισμός που να εγγυάται τη νόμιμη διαβίβαση εμπορικών δεδομένων προσωπικού χαρακτήρα μεταξύ της ΕΕ και των ΗΠΑ δεν έχει αποτελέσει αντικείμενο προσφυγής ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ)·

30. χαιρετίζει την έγκριση της πρώτης αμοιβαίας απόφασης περί επάρκειας μεταξύ ΕΕ και Ιαπωνίας, η οποία δημιούργησε το μεγαλύτερο πεδίο ελεύθερων και ασφαλών ροών δεδομένων στον κόσμο· καλεί, ωστόσο, την Επιτροπή να λάβει υπόψη όλα τα ζητήματα που έθιξε το Κοινοβούλιο κατά την πρώτη επανεξέταση του εν λόγω μέσου και να δημοσιοποιήσει τα αποτελέσματα το συντομότερο δυνατόν, δεδομένου ότι η επανεξέταση θα έπρεπε να είχε εγκριθεί έως τον Ιανουάριο 2021·

31. καλεί την Ευρωπαϊκή Επιτροπή να δημοσιεύσει το σύνολο των κριτηρίων που χρησιμοποιούνται για να καθοριστεί κατά πόσον μια τρίτη χώρα θεωρείται ότι παρέχει «ουσιαστικά ισοδύναμο» επίπεδο προστασίας με εκείνο που παρέχεται στην ΕΕ, ιδίως όσον αφορά την πρόσβαση σε μέσα έννομης προστασίας και την κυβερνητική πρόσβαση σε δεδομένα· επιμένει στην ανάγκη διασφάλισης της αποτελεσματικής εφαρμογής και συμμόρφωσης με τις διατάξεις που σχετίζονται με διαβιβάσεις ή γνωστοποιήσεις που δεν επιτρέπονται από το δίκαιο της Ένωσης σύμφωνα με το άρθρο 48 του ΓΚΠΔ, ιδίως όσον αφορά τα αιτήματα αρχών τρίτων χωρών να αποκτήσουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα στην Ένωση, και καλεί το ΕΣΠΔ και τις ΑΠΔ να παρέχουν οδηγίες και να επιβάλλουν αυτές τις διατάξεις, μεταξύ άλλων και κατά την αξιολόγηση και ανάπτυξη των μηχανισμών διαβίβασης δεδομένων προσωπικού χαρακτήρα·

32. καλεί την Επιτροπή να εγκρίνει κατ’ εξουσιοδότηση πράξεις για τον καθορισμό των απαιτήσεων που πρέπει να λαμβάνονται υπόψη για τον μηχανισμό πιστοποίησης της προστασίας των δεδομένων σύμφωνα με το άρθρο 42 παράγραφος 1, προκειμένου να ενισχυθεί η χρήση του μηχανισμού αυτού, σε συνδυασμό με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα να εφαρμόζει τις κατάλληλες εγγυήσεις, μεταξύ άλλων όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων, ως μέσο για διεθνείς διαβιβάσεις, όπως προβλέπεται στο άρθρο 46 παράγραφος 2 στοιχείο στ)·

33. επαναλαμβάνει ότι τα προγράμματα μαζικής παρακολούθησης που περιλαμβάνουν μαζική συλλογή δεδομένων αποτρέπουν την άντληση πορισμάτων όσον αφορά την επάρκεια· παροτρύνει την Επιτροπή να εφαρμόσει τα συμπεράσματα του ΔΕΕ στις υποθέσεις Schrems I[4], II[5] και Privacy International & al (2020)[6] σε όλες τις επανεξετάσεις των αποφάσεων περί επάρκειας, καθώς και στις εν εξελίξει και μελλοντικές διαπραγματεύσεις· υπενθυμίζει ότι οι διαβιβάσεις που βασίζονται σε παρεκκλίσεις για συγκεκριμένες καταστάσεις σύμφωνα με το άρθρο 49 του ΓΚΠΔ παραμένουν εξαιρετικές· εκφράζει την ικανοποίησή του για τις κατευθυντήριες γραμμές του ΕΣΠΔ και των ΑΠΔ στο πλαίσιο αυτό και τις καλεί να διασφαλίσουν συνεπή ερμηνεία όσον αφορά την εφαρμογή και τον έλεγχο των εν λόγω παρεκκλίσεων σύμφωνα με τις κατευθυντήριες γραμμές 02/2018 του ΕΣΠΔ·

34. καλεί τις ΑΠΔ και την Επιτροπή να αξιολογούν συστηματικά κατά πόσον οι κανόνες προστασίας δεδομένων εφαρμόζονται στην πράξη σε τρίτες χώρες, σύμφωνα με τη νομολογία του ΔΕΕ·

35. παροτρύνει την Επιτροπή να δημοσιεύσει αμελλητί την επανεξέταση των αποφάσεων περί επάρκειας που εξέδωσε δυνάμει της οδηγίας του 1995· επισημαίνει ότι, ελλείψει απόφασης περί επάρκειας, οι τυποποιημένες συμβατικές ρήτρες (ΤΣΡ) είναι το ευρύτερα χρησιμοποιούμενο εργαλείο για τις διεθνείς διαβιβάσεις δεδομένων· σημειώνει ότι το ΔΕΕ διατήρησε την εγκυρότητα της απόφασης 2010/87/ΕΕ σχετικά με τις τυποποιημένες συμβατικές ρήτρες[7], απαιτώντας παράλληλα αξιολόγηση του επιπέδου προστασίας που παρέχεται για τα δεδομένα που διαβιβάζονται σε τρίτη χώρα και των σχετικών πτυχών του νομικού συστήματος της εν λόγω τρίτης χώρας όσον αφορά την πρόσβαση των δημόσιων αρχών στα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα· παροτρύνει την Επιτροπή να επισπεύσει τις εργασίες της σχετικά με τις εκσυγχρονισμένες τυποποιημένες συμβατικές ρήτρες για τις διεθνείς διαβιβάσεις δεδομένων, προκειμένου να διασφαλίσει ίσους όρους ανταγωνισμού για τις μικρές και μεσαίες επιχειρήσεις (ΜΜΕ) σε διεθνές επίπεδο· χαιρετίζει τη δημοσίευση του σχεδίου ΤΣΕ από την Επιτροπή και τον στόχο να καταστούν οι ΤΣΡ φιλικότερες προς τον χρήστη και να αντιμετωπιστούν οι ελλείψεις που εντοπίστηκαν στα ισχύοντα πρότυπα·

36. υπενθυμίζει τις κατευθυντήριες γραμμές 1/2019 του ΕΣΠΔ σχετικά με τους κώδικες δεοντολογίας και τους φορείς παρακολούθησης δυνάμει του κανονισμού 2016/679· αναγνωρίζει ότι το μέσο αυτό δεν χρησιμοποιείται επαρκώς επί του παρόντος παρά τη διασφάλιση της συμμόρφωσης με τον ΓΚΠΔ όταν χρησιμοποιείται σε συνδυασμό με δεσμευτικές και εκτελεστές υποχρεώσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία στην τρίτη χώρα όσον αφορά την εφαρμογή των κατάλληλων εγγυήσεων· επισημαίνει τις δυνατότητες που προσφέρει το μέσο αυτό για την καλύτερη στήριξη των ΜΜΕ και την παροχή μεγαλύτερης ασφάλειας δικαίου στο πλαίσιο των διεθνών διαβιβάσεων δεδομένων σε διάφορους τομείς·

Μελλοντική νομοθεσία της Ένωσης

37. εκφράζει την άποψη ότι, επειδή είναι τεχνολογικά ουδέτερος, ο ΓΚΠΔ παρέχει ένα σταθερό κανονιστικό πλαίσιο για τις αναδυόμενες τεχνολογίες· θεωρεί, ωστόσο, ότι απαιτούνται περαιτέρω προσπάθειες για την αντιμετώπιση ευρύτερων ζητημάτων ψηφιοποίησης, όπως οι μονοπωλιακές καταστάσεις και οι ανισορροπίες ισχύος μέσω ειδικών ρυθμίσεων, καθώς και για να εξεταστεί προσεκτικά η συσχέτιση του ΓΚΠΔ με κάθε νέα νομοθετική πρωτοβουλία, προκειμένου να διασφαλιστεί η συνοχή και να αντιμετωπιστούν τα νομικά κενά· υπενθυμίζει στην Επιτροπή την υποχρέωσή της να διασφαλίζει ότι οι νομοθετικές προτάσεις, όπως η διακυβέρνηση των δεδομένων, ο νόμος για τα δεδομένα, η πράξη για τις ψηφιακές υπηρεσίες ή η πράξη για την τεχνητή νοημοσύνη, πρέπει πάντα να συμμορφώνονται πλήρως με τον ΓΚΠΔ και με την οδηγία για την επιβολή του νόμου[8]· θεωρεί ότι τα τελικά κείμενα που εγκρίθηκαν από τους συννομοθέτες μέσω διοργανικών διαπραγματεύσεων πρέπει να σέβονται πλήρως το κεκτημένο στον τομέα της προστασίας των δεδομένων· εκφράζει, ωστόσο, τη λύπη του για το γεγονός ότι η ίδια η Επιτροπή δεν έχει πάντα μια συνεκτική προσέγγιση για την προστασία των δεδομένων στις νομοθετικές προτάσεις· τονίζει ότι μια αναφορά στην εφαρμογή του ΓΚΠΔ, ή η φράση «με την επιφύλαξη του ΓΚΠΔ» δεν καθιστά αυτομάτως την πρόταση συμβατή με τον ΓΚΠΔ· καλεί την Επιτροπή να διαβουλεύεται με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) και το ΕΣΠΔ όταν υπάρχει αντίκτυπος στην προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα μετά την έγκριση προτάσεων για νομοθετικές πράξεις· καλεί περαιτέρω την Επιτροπή, κατά την εκπόνηση προτάσεων ή συστάσεων, να επιδιώκει τη διαβούλευση με τον ΕΕΠΔ, προκειμένου να διασφαλίζεται η συνοχή των κανόνων προστασίας των δεδομένων σε ολόκληρη την Ένωση, και να διενεργεί πάντα εκτίμηση επιπτώσεων·

38. σημειώνει ότι η κατάρτιση προφίλ, αν και επιτρέπεται μόνον από το άρθρο 22 του ΓΚΠΔ υπό αυστηρές και περιοριστικές προϋποθέσεις, χρησιμοποιείται όλο και περισσότερο, καθώς οι διαδικτυακές δραστηριότητες των ατόμων επιτρέπουν τη βαθιά κατανόηση της ψυχολογίας και της ιδιωτικής ζωής τους· σημειώνει ότι, δεδομένου ότι η κατάρτιση προφίλ καθιστά δυνατή τη χειραγώγηση της συμπεριφοράς των χρηστών, η συλλογή και η επεξεργασία δεδομένων προσωπικού χαρακτήρα σχετικά με τη χρήση ψηφιακών υπηρεσιών θα πρέπει να περιορίζονται σε ό,τι είναι αυστηρά αναγκαίο για την παροχή και τιμολόγηση της υπηρεσίας· καλεί την Επιτροπή να προτείνει αυστηρή τομεακή νομοθεσία προστασίας δεδομένων για τις ευαίσθητες κατηγορίες δεδομένων προσωπικού χαρακτήρα για τις οποίες δεν το έχει πράξει ακόμη· απαιτεί την αυστηρή επιβολή του ΓΚΠΔ στην επεξεργασία δεδομένων προσωπικού χαρακτήρα·

39. ζητεί την ενδυνάμωση των καταναλωτών, ώστε να μπορούν να λαμβάνουν τεκμηριωμένες αποφάσεις σχετικά με τις επιπτώσεις της χρήσης νέων τεχνολογιών στην ιδιωτική τους ζωή και να διασφαλίζεται η δίκαιη και διαφανής επεξεργασία, παρέχοντας εύχρηστες επιλογές για την παροχή και ανάκληση της συγκατάθεσης στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τους αφορούν, όπως προβλέπεται από τον ΓΚΠΔ·

Η οδηγία για την επιβολή του νόμου

40. εκφράζει την ανησυχία του για το γεγονός ότι οι κανόνες προστασίας των δεδομένων που χρησιμοποιούνται για σκοπούς επιβολής του νόμου είναι σε μεγάλο βαθμό ανεπαρκείς και δεν συμβαδίζουν με τις νεοσύστατες αρμοδιότητες για την επιβολή του νόμου· καλεί, συνεπώς, την Επιτροπή να αξιολογήσει την οδηγία για την επιβολή του νόμου νωρίτερα από ό,τι προβλέπεται στην οδηγία και να δημοσιοποιήσει την επανεξέταση·

Ο κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες

41. εκφράζει τη βαθιά του ανησυχία για τη μη εφαρμογή της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες[9] από τα κράτη μέλη ενόψει των αλλαγών που εισήγαγε ο ΓΚΠΔ· καλεί την Επιτροπή να επιταχύνει την αξιολόγησή της και να κινήσει διαδικασίες επί παραβάσει κατά των κρατών μελών που δεν εφάρμοσαν ορθά την οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες· εκφράζει έντονη ανησυχία για το γεγονός ότι η μεταρρύθμιση της προστασίας της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, που έχει καθυστερήσει αρκετά χρόνια, έχει ως αποτέλεσμα τον κατακερματισμό του νομικού πλαισίου στην ΕΕ, γεγονός το οποίο είναι επιζήμιο τόσο για τις επιχειρήσεις όσο και για τους πολίτες· υπενθυμίζει ότι ο κανονισμός για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες[10] σχεδιάστηκε για να συμπληρώσει και να εξειδικεύσει τον ΓΚΠΔ και συμπίπτει με την έναρξη εφαρμογής του ΓΚΠΔ· υπογραμμίζει ότι η μεταρρύθμιση των κανόνων για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες δεν πρέπει να οδηγήσει σε υποβάθμιση του υφιστάμενου επιπέδου προστασίας που παρέχεται βάσει του ΓΚΠΔ και της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες· εκφράζει τη λύπη του για το γεγονός ότι χρειάστηκαν τέσσερα χρόνια για να εγκρίνει τελικά το Συμβούλιο τη διαπραγματευτική του θέση σχετικά με την πρόταση κανονισμού για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, ενώ το Κοινοβούλιο ενέκρινε τη διαπραγματευτική του θέση τον Οκτώβριο 2017· υπενθυμίζει τη σημασία της αναβάθμισης των κανόνων για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες του 2002 και του 2009, προκειμένου να βελτιωθεί η προστασία των θεμελιωδών δικαιωμάτων των πολιτών και η ασφάλεια δικαίου για τις εταιρείες, συμπληρώνοντας τον ΓΚΠΔ·

°

° °

42. αναθέτει στον Πρόεδρό του να διαβιβάσει το παρόν ψήφισμα στην Επιτροπή, στο Ευρωπαϊκό Συμβούλιο, στις κυβερνήσεις και τα εθνικά κοινοβούλια των κρατών μελών, στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.