The ePrivacy Saga: το χρονικό για την ψήφιση ενός κανονισμού

«Λευκός καπνός» φάνηκε να εξήλθε στις 10-02-2021 από το Συμβούλιο των κρατών-μελών της ΕΕ, όταν ανακοινώθηκε η συμφωνία επί του σχεδίου κανονισμού ePrivacy, ύστερα από τέσσερα έτη επεισοδιακών διαπραγματεύσεων. Ένα «καταραμένο κείμενο», όπως το χαρακτήρισε στέλεχος ευρωπαϊκού οργάνου και ίσως όχι άδικα αφού, παρότι το σχέδιο υπεβλήθη στο Ευρωπαϊκό Κοινοβούλιο προς διαπραγμάτευση, ο δρόμος για την ψήφισή του προβλέπεται να είναι μακρύς και δύσβατος.

Στις 10-02-2021, έπειτα από τέσσερα ολόκληρα έτη πολύ απαιτητικών διαπραγματεύσεων, τα κράτη-μέλη (με την αποχή της Γερμανίας και της Αυστρίας από την ψηφοφορία) συμφώνησαν επί της διαπραγματευτικής εντολής για το σχέδιο του κανονισμού ePrivacy, σχετικά με την προστασία της ιδιωτικής ζωής και του απορρήτου κατά τη χρήση υπηρεσιών ηλεκτρονικών επικοινωνιών (εφεξής το “σχέδιο ePrivacy” ή το “σχέδιο κανονισμού (ePrivacy)”).  Το σχέδιο κανονισμού, το οποίο διαμορφώθηκε οριστικά επί της πορτογαλικής Προεδρίας του Συμβουλίου της Ευρώπης υπεβλήθη, εν συνεχεία, στο Ευρωπαϊκό Κοινοβούλιο, ώστε να ξεκινήσουν οι συζητήσεις επί του τελικού κειμένου.

Το σχέδιο ePrivacy θα καταργήσει την Οδηγία 2002/58/ΕΚ για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες και, ως lex specialis, εξειδικεύει και συμπληρώνει τον υπ’ αριθ. 2016/679 Γενικό Κανονισμό για την Προστασία Δεδομένων (εφεξής ο “Γενικός Κανονισμός”, ή ο “ΓΚΠΔ” ή ο “GDPR”). Εν αντιθέσει, δε, με τον GDPR ορισμένες διατάξεις του κανονισμού ePrivacy θα εφαρμόζονται τόσο σε φυσικά, όσο και σε νομικά πρόσωπα.

Το επικαιροποιημένο πλαίσιο κανόνων θα ρυθμίζει τις περιπτώσεις στις οποίες οι πάροχοι υπηρεσιών επιτρέπεται να επεξεργάζονται δεδομένα ηλεκτρονικών επικοινωνιών ή να έχουν πρόσβαση σε δεδομένα αποθηκευμένα σε συσκευές τελικών χρηστών. Πρέπει να επισημανθεί ότι ο κανονισμός ePrivacy δεν αφορά μόνον τους παρόχους παραδοσιακών ηλεκτρονικών επικοινωνιών, όπως είναι οι πάροχοι σταθερής και κινητής τηλεφωνίας, αλλά και κομβικές υπηρεσίες στην εποχή της 4ης Βιομηχανικής Επανάστασης – μεταξύ άλλων – τον τρόπο διενέργειας προωθητικών επικοινωνιών, καθώς και τον τρόπο λειτουργίας και αλληλεπίδρασης με εφαρμογές IoT (Internet of Things), όπως αναφέρει ο Νικόλας Κανελλόπουλος, Διευθύνων Εταίρος Νικόλας Κανελλόπουλος-Χαρά, Ζέρβα & Συνεργάτες.

Αν και ο δρόμος μέχρι την ψήφιση και θέση σε εφαρμογή του σχεδίου κανονισμού είναι αδιαμφισβήτητα μακρύς, η συμφωνία των κρατών-μελών επί του κειμένου είναι ένα πολύ σημαντικό πρώτο βήμα. Όπως δήλωσε χαρακτηριστικά ο Pedro Nuno Santos, υπουργός Υποδομών και Στέγασης της Πορτογαλίας και Πρόεδρος του Συμβουλίου: Η θέσπιση αυστηρών κανόνων προστασίας της ιδιωτικής ζωής είναι ζωτικής σημασίας για την εξασφάλιση και τη διατήρηση της εμπιστοσύνης σε έναν ψηφιακό κόσμο. Η προετοιμασία της θέσης του Συμβουλίου δεν ήταν εύκολη, αλλά διαθέτουμε πλέον εντολή που εξισορροπεί ικανοποιητικά την ισχυρή προστασία της ιδιωτικής ζωής των ατόμων και την προώθηση της ανάπτυξης νέων τεχνολογιών και καινοτομίας. Η πορτογαλική Προεδρία επικροτεί θερμά την έναρξη συνομιλιών με το Ευρωπαϊκό Κοινοβούλιο σχετικά με την εν λόγω βασική πρόταση.

ΤΟ ΧΡΟΝΙΚΟ ΜΙΑΣ ΔΙΑΠΡΑΓΜΑΤΕΥΣΗΣ
Το κείμενο της πρότασης κανονισμού παρουσιάσθηκε για πρώτη φορά από την Ευρωπαϊκή Επιτροπή τον Ιανουάριο του 2017, μερικούς μήνες μετά την ψήφιση του Γενικού Κανονισμού για την Προστασία Δεδομένων. Μέχρι και τον Φεβρουάριο του 2021, οκτώ συνολικά χώρες «στο τιμόνι» του Συμβουλίου είχαν προσπαθήσει (και απέτυχαν) να συμβιβάσουν τα συμφέροντα των εμπλεκομένων μερών και να καταλήξουν σε μια συμφωνία, αναφορικά με το κείμενο του σχεδίου ePrivacy. Στην καθυστέρηση αυτή συνέβαλε, βεβαίως, και ο προβληματισμός επί της αλληλεπίδρασης του ePrivacy με τον GDPR, όπως αναφέρει και η Καλλιόπη Παπαντωνίου, Senior Associate, Μπαχάς, Γραματίδης και Συνεταίροι.

Αναμφίβολα, οι απαιτητικές διαπραγματεύσεις ανέδειξαν – μεταξύ άλλων – την πρόκληση επίτευξης της λεπτής ισορροπίας ανάμεσα στην προστασία προσωπικών δεδομένων και την προάσπιση των δικαιωμάτων των υποκειμένων (τελικών χρηστών) από τη μια, και την προώθηση της καινοτομίας από την άλλη. Σε αυτό, βεβαίως, συνετέλεσε και το γεγονός ότι ασκήθηκαν πολύ έντονες πιέσεις από εταιρείες τεχνολογίας, παρόχους τηλεπικοινωνιών, εκδότες τύπου κλπ., με το επιχείρημα ότι οι προτεινόμενες διατάξεις παρακωλύουν την καινοτομία και περιορίζουν τον πλουραλισμό των μέσων ενημέρωσης.

Ταυτόχρονα, άρθρα όπως αυτά που αφορούν την τήρηση των δεδομένων (data retention) για την πρόληψη, τον εντοπισμό και τη δίωξη ποινικών αδικημάτων, την καταπολέμηση της σεξουαλικής κακοποίησης των παιδιών στο διαδίκτυο, αλλά και οι διατάξεις σχετικά με την επεξεργασία μεταδεδομένων χωρίς τη συγκατάθεση των χρηστών, απετέλεσαν σημεία τριβής κατά τις διαπραγματεύσεις και καθυστέρησαν έτι περαιτέρω τη συμφωνία των κρατών-μελών επί του σχεδίου.

Είναι, μάλιστα, χαρακτηριστικό ότι ανάλογα με τη χώρα που είχε αναλάβει την Προεδρία του Συμβουλίου για την εκάστοτε χρονική περίοδο, διαγράφονταν και επανέρχονταν διατάξεις τις οποίες είχαν εισαγάγει ή, αντίστοιχα, διαγράψει οι προηγούμενες Προεδρίες, αντικατοπτρίζοντας τις διαφορετικές θέσεις που κάθε κράτος-μέλος έχει υιοθετήσει αναφορικά με την προστασία της ιδιωτικότητας και την προάσπιση των συμφερόντων της ψηφιακής αγοράς.

Όλως ενδεικτικώς η Κροατία, η οποία ανέλαβε την Προεδρία του Συμβουλίου τον Ιανουάριο του 2020, υιοθέτησε μια πιο φιλική προς την ψηφιακή βιομηχανία προσέγγιση, η οποία προέβλεπε την επεξεργασία μεταδεδομένων και τη συλλογή δεδομένων από τις συσκευές των χρηστών χωρίς τη συγκατάθεσή τους, επί τη βάσει του εννόμου συμφέροντος.

Η Γερμανία, η οποία «διαδέχθηκε» την Κροατία τον Ιούλιο του 2020, ακολούθησε την ακριβώς αντίθετη κατεύθυνση, διαγράφοντας τον όρο περί εννόμου συμφέροντος, καθώς και τη διάταξη η οποία προέβλεπε ότι οι εταιρείες έχουν τη δυνατότητα να επεξεργάζονται τα μεταδεδομένα των χρηστών χωρίς τη συγκατάθεσή τους, εάν ο σκοπός είναι συμβατός με αυτόν επί του οποίου οι χρήστες είχαν αρχικά χορηγήσει τη συγκατάθεσή τους.

Χαρακτηριστική ήταν και η έντονη απόκλιση ανάμεσα στη θέση της Γαλλίας και της Γερμανίας, με την πρώτη να επιδιώκει ένα πιο χαλαρό πλαίσιο κανόνων για τους εκδότες και τους τηλεπικοινωνιακούς παρόχους, καθώς και δικαίωμα παρακολούθησης για την αντιμετώπιση εγκλημάτων και τρομοκρατίας και τη δεύτερη να τάσσεται υπέρ μιας αυστηρότερης προσέγγισης για τη θωράκιση της ιδιωτικότητας.

Είναι, μάλιστα, ενδιαφέρον ότι δεν υπήρχε σύμπνοια ούτε και εντός της ίδιας της Γερμανίας, με το υπουργείο Οικονομικών από τη μια να επιθυμεί πιο ευέλικτες διατάξεις, οι οποίες θα ωφελήσουν την καινοτομία και την ανάπτυξη της τεχνητής νοημοσύνης και, από την άλλη, το υπουργείο Δικαιοσύνης να επιμένει σε υψηλό επίπεδο προστασίας των προσωπικών δεδομένων.

Εν τέλει, φαίνεται ότι το κείμενο που προσέγγισε περισσότερο τον στόχο ήταν αυτό της φινλανδικής Προεδρίας το φθινόπωρο του 2019, το οποίο είχε χαρακτηρισθεί ως «συμβιβαστικό» (compromise text) και στο οποίο βασίσθηκε σε μεγάλο βαθμό η Πορτογαλία κατά τη διαμόρφωση του οριστικού σχεδίου.

ΣΥΝΤΟΜΗ ΕΠΙΣΚΟΠΗΣΗ ΟΡΙΣΜΕΝΩΝ ΕΚ ΤΩΝ ΒΑΣΙΚΩΝ ΔΙΑΤΑΞΕΩΝ ΤΟΥ ΣΧΕΔΙΟΥ ePRIVACY
Όπως επισημαίνεται και στην ανακοίνωση του Συμβουλίου της ΕΕ, ο κανονισμός θα καλύπτει το περιεχόμενο ηλεκτρονικών επικοινωνιών που μεταδίδεται μέσω διαθέσιμων στο κοινό υπηρεσιών και δικτύων, καθώς και τα μεταδεδομένα (metadata) που σχετίζονται με την επικοινωνία. Στην έννοια των μεταδεδομένων, τα οποία επεξεργάζονται οι πάροχοι για σκοπούς διαβίβασης και ανταλλαγής του περιεχομένου των επικοινωνιών, περιλαμβάνονται πληροφορίες σχετικά με τη θέση, τον χρόνο και τον αποδέκτη της επικοινωνίας, οι οποίες θεωρούνται – δυνητικά – εξίσου ευαίσθητες με το περιεχόμενο.

Στο περιεχόμενο των ηλεκτρονικών επικοινωνιών περιλαμβάνονται τα δεδομένα που μεταδίδονται κατά τη χρήση επιγραμμικών υπηρεσιών, όπως είναι τα μηνύματα που ανταλλάσσονται μέσω της εφαρμογής WhatsApp και οι βιντεοκλήσεις σε πλατφόρμες όπως το Zoom και το Skype (ιδιαίτερα επίκαιρες λόγω της πανδημίας του Covid-19 και του μοντέλου της τηλεργασίας που έχει υιοθετηθεί από την πλειονότητα των επιχειρήσεων). Μάλιστα, όπως αναφέρει και ο Γρηγόρης Λαζαράκος, Διαχειριστής Εταίρος, L&L Law Firm, η ραγδαία αύξηση της χρήσης αυτών των νέων μέσων επικοινωνίας κατέστησε αδήριτη την ανάγκη τόσο «ανανοηματοδότησης» του περιεχομένου τους όσο και επέκτασης του προστατευτικού τους πεδίου για την αντιμετώπιση των κινδύνων που απορρέουν από την -αλόγιστη κυρίως- χρήση τους.

Ο κανονισμός θα εφαρμόζεται όταν ο τελικός χρήστης (ήτοι ο χρήστης που δεν παρέχει δημόσια δίκτυα ηλεκτρονικών επικοινωνιών ή υπηρεσίες ηλεκτρονικών επικοινωνιών διαθέσιμες στο κοινό)βρίσκεται εντός της Ευρωπαϊκής Ένωσης. Το πεδίο εφαρμογής καλύπτει και τις περιπτώσεις εκείνες που η επεξεργασία λαμβάνει χώρα εκτός της ΕΕ ή ο πάροχος υπηρεσιών είναι εγκατεστημένος ή βρίσκεται εκτός ΕΕ. Μεταξύ των διατάξεων του σχεδίου κανονισμού ePrivacy, ιδιαίτερο ενδιαφέρουν παρουσιάζουν οι ακόλουθες:

Whitelists: Κατάλογοι εγκεκριμένων παρόχων για τη χρήση cookies
Yes, you can have my damn cookie! should be a browser setting, έγραφε χαρακτηριστικά σε tweet του τονΝοέμβριο του 2020 ο Elon Musk. Σαν σε απάντηση στο σχόλιο του CEO της Tesla, με στόχο την αντιμετώπιση του φαινομένου της «κόπωσης» από τα cookie banners (cookie banner fatigue), η οποία οφείλεται στην επαναλαμβανόμενη συγκατάθεση που ο χρήστης καλείται  να χορηγεί για τα cookies, το σχέδιο του κανονισμού ePrivacy προβλέπει ότι οι χρήστες θα μπορούν να χορηγούν τη συγκατάθεσή τους για την εγκατάσταση και χρήση συγκεκριμένων τύπων cookies και λοιπών αναγνωριστικών κωδικών, καταχωρώντας έναν ή περισσότερους παρόχους σε κατάλογο εγκεκριμένων παρόχων στις ρυθμίσεις του φυλλομετρητή (browser).

Το σχέδιο ενθαρρύνει (χωρίς όμως να υποχρεώνει) τους παρόχους λογισμικού να διευκολύνουν τους χρήστες στην εγκατάσταση και τροποποίηση καταλόγων εγκεκριμένων παρόχων στους φυλλομετρητές τους, με δυνατότητα ανάκλησης της συγκατάθεσης ανά πάσα στιγμή. Η ρύθμιση αυτή αποσκοπεί στην υιοθέτηση ενός μηχανισμού, ο οποίος θα επιτρέπει στους τελικούς χρήστες να διαχειρίζονται, με εύκολο και διαφανή τρόπο, τη συγκατάθεση που χορηγούν για τα cookies και να λαμβάνουν συγκεκριμένες και ενημερωμένες αποφάσεις αναφορικά με την αποθήκευση και πρόσβαση στα δεδομένα που φυλάσσονται στον τερματικό εξοπλισμό τους. Έτσι, οι χρήστες θα έχουν τη δυνατότητα να καταρτίζουν και να τροποποιούν λίστες με τους εγκεκριμένους παρόχους (white-listing) και τα cookies που επιθυμούν να εγκαθίστανται, διατηρώντας τον πλήρη έλεγχο στη διαχείριση της συγκατάθεσής τους.

Cookie walls
Σύμφωνα με το σχέδιο ePrivacy, ο τελικός χρήστης θα πρέπει να έχει πραγματική επιλογή σε ό,τι αφορά την αποδοχή των cookies ή παρόμοιων αναγνωριστικών κωδικών.

Οι πάροχοι θα έχουν τη δυνατότητα να θέτουν ως όρο για την πρόσβαση των χρηστών σε έναν δικτυακό τόπο τη χορήγηση, από αυτούς, συγκατάθεσης στη χρήση cookies για πρόσθετους σκοπούς, ως εναλλακτική λύση αντί της επί πληρωμή πρόσβασης σε αυτόν. Προκειμένου, όμως, η πρακτική αυτή να είναι νόμιμη, θα πρέπει ο χρήστης να έχει πραγματική επιλογή σε ό,τι αφορά την αποδοχή των cookies – να είναι δηλαδή εις θέση να επιλέξει ανάμεσα στη συγκεκριμένη προσφορά και σε ισοδύναμη προσφορά του ίδιου παρόχου, η οποία δεν προϋποθέτει τη χορήγηση συγκατάθεσης για τα cookies.

Για παράδειγμα, δεν θεωρείται ότι υπάρχει πραγματική επιλογή στη χρήση cookies όταν ο χρήστης δεν έχει πάρα ελάχιστες ή και καμία εναλλακτική στη συγκεκριμένη υπηρεσία – ιδίως όταν ο πάροχος αυτής κατέχει δεσπόζουσα θέση στην αγορά. Σε ό,τι αφορά την προσήκουσα ενημέρωση των χρηστών για τα ανωτέρω, ο Γενικός Κανονισμός προβλέπει ήδη ότι η ενημέρωση θα πρέπει να είναι σαφής, περιεκτική και «φιλική» προς τον χρήστη.

Αξίζει στο σημείο αυτό να επισημανθεί ότι, όπως σχολιάζει ο Tommaso Ricci, Data Protection & LegalTech Specialist, IPT, DLA Piper Italy, αν και το κείμενο του νομοθετήματος δεν έχει ακόμη οριστικοποιηθεί, οι πρακτικές των μεγάλων παρόχων browser ήδη «δείχνουν» προς την κατάργηση των cookies τρίτου μέρους, αφήνοντας στους παρόχους περιεχομένου την επιλογή των first-party cookies. Από την άλλη, συνεχίζει, αν και το σχέδιο ePrivacy προβλέπει για τους παρόχους τη δυνατότητα να θέσουν ως όρο για την πρόσβαση σε μια ιστοσελίδα τη συγκατάθεση του χρήστη στην εγκατάσταση cookies, στην πράξη αυτό είναι εφικτό μόνον εφόσον υπάρχει ισοδύναμη εναλλακτική στην παροχή της υπηρεσίας χωρίς την εγκατάσταση cookies, κάτι που ενδέχεται να ταλαιπωρήσει ιδιαίτερα τους παρόχους, διαταράσσοντας το επιχειρηματικό τους μοντέλο.

Επεξεργασία μεταδεδομένων
Το κείμενο της πρότασης κανονισμού αναφέρει ότι τα μεταδεδομένα ηλεκτρονικών επικοινωνιών μπορούν να χρησιμεύσουν στις επιχειρήσεις, τους καταναλωτές, αλλά και την κοινωνία στο σύνολό της. Δεδομένου, όμως, ότι το απόρρητο των επικοινωνιών και της διαδικτυακής δραστηριότητας είναι βαρύνουσας σημασίας για τους χρήστες, η επεξεργασία των μεταδεδομένων από τους παρόχους δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών είναι, καταρχήν, επιτρεπτή μόνον κατόπιν συγκατάθεσης του χρήστη.

Παράλληλα, οι εν λόγω πάροχοι μπορούν να επεξεργάζονται τα μεταδεδομένα ηλεκτρονικών επικοινωνιών ενός χρήστη, όταν αυτό είναι απαραίτητο για την παροχή υπηρεσίας ηλεκτρονικής επικοινωνίας βάσει σύμβασης, στην οποία ο χρήστης είναι συμβαλλόμενο μέρος, καθώς και για την τιμολόγηση της υπηρεσίας.

Επιπροσθέτως των ως άνω, επαναφέροντας τη σχετική διάταξη που είχε διαγράψει η γερμανική Προεδρία, το σχέδιο κανονισμού προβλέπει τη δυνατότητα περαιτέρω επεξεργασίας των μεταδεδομένων χωρίς τη συγκατάθεση του χρήστη, για σκοπούς άλλους από τον αρχικό σκοπό συλλογής τους, υπό τον όρο ότι οι εν λόγω σκοποί επεξεργασίας είναι συμβατοί προς τον αρχικό και ότι λαμβάνονται τα κατάλληλα μέτρα για την προστασία και ασφάλεια των δεδομένων (συμπεριλαμβανομένης της ανωνυμοποίησης και της κρυπτογράφησης). Για την αξιολόγηση της συμβατότητας λαμβάνονται υπόψη, μεταξύ άλλων, τα κάτωθι:

  • Τυχόν σχέση μεταξύ του αρχικού σκοπού συλλογής και του περαιτέρω σκοπού επεξεργασίας των μεταδεδομένων ηλεκτρονικών επικοινωνιών
  • Το πλαίσιο συλλογής των μεταδεδομένων, συμπεριλαμβανομένης και της σχέσης μεταξύ των τελικών χρηστών (τους οποίους αφορά η επεξεργασία) και του παρόχου
  • Η φύση των μεταδεδομένων και οι ιδιαιτερότητες της σκοπούμενης επεξεργασίας, ειδικά στις περιπτώσεις εκείνες που η επεξεργασία ενδέχεται να οδηγήσει σε αποκάλυψη ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τα άρθρα 9 και 10 του Γενικού Κανονισμού
  • Οι πιθανές επιπτώσεις της επεξεργασίας στους τελικούς χρήστες
  • Η ύπαρξη κατάλληλων διασφαλίσεων, όπως κρυπτογράφηση και ψευδωνυμοποίηση

Εφόσον κριθεί ότι ο περαιτέρω σκοπός είναι συμβατός προς τον αρχικό και προκειμένου η επεξεργασία κατά τα ανωτέρω να είναι νόμιμη, θα πρέπει αυτή να μην μπορούσε να πραγματοποιηθεί με ανώνυμα δεδομένα και να περιορίζεται σε εκείνα τα μεταδεδομένα τα οποία έχουν ψευδωνυμοποιηθεί.

Επισημαίνεται ότι τα εν λόγω δεδομένα δεν επιτρέπεται να χρησιμοποιηθούν για τον καθορισμό της φύσης ή των χαρακτηριστικών των χρηστών, ή για την κατάρτιση προφίλ που αποσκοπεί, επί παραδείγματι, στην κατηγοριοποίηση των χρηστών, την παρακολούθηση της συμπεριφοράς τους και την εξαγωγή συμπερασμάτων για την ιδιωτική ζωή τους. Μάλιστα, για τη διασφάλιση του απορρήτου των επικοινωνιών τους, οι χρήστες θα πρέπει να ενημερώνονται για τις ανωτέρω πράξεις επεξεργασίας και να τους παρέχεται το δικαίωμα να εναντιωθούν σε αυτές.

Η επεξεργασία των μεταδεδομένων είναι επιτρεπτή και στις περιπτώσεις που κρίνεται απαραίτητη για την προστασία ζωτικών συμφερόντων των χρηστών, όπως είναι οι καταστάσεις έκτακτης ανθρωπιστικής ανάγκης (ιδίως φυσικές καταστροφές) και η παρακολούθηση των επιδημιών και της εξάπλωσής τους.

Συγκατάθεση
Το σχέδιο ePrivacy προβλέπει ότι οι διατάξεις του GDPR για τη συγκατάθεση θα ισχύουν τόσο για φυσικά πρόσωπα όσο και, mutatis mutandis, για νομικά πρόσωπα. Στο σχέδιο κανονισμού αναφέρεται χαρακτηριστικά ότι όπου είναι τεχνικά εφικτό, η συγκατάθεση μπορεί να χορηγηθεί με τη χρήση κατάλληλων τεχνικών ρυθμίσεων λογισμικού το οποίο έχει κυκλοφορήσει στην αγορά και το οποίο επιτρέπει τις ηλεκτρονικές επικοινωνίες, περιλαμβανομένης και της λήψης και παρουσίασης πληροφοριών στο διαδίκτυο. Η χορήγηση συγκατάθεσης από τον τελικό χρήστη, κατά τον προαναφερθέντα τρόπο, υπερισχύει τυχόν ρυθμίσεων λογισμικού.

Ενδιαφέρον παρουσιάζει και η διάταξη του σχεδίου, σύμφωνα με την οποία οι τελικοί χρήστες, οι οποίοι έχουν χορηγήσει τη συγκατάθεσή τους για την επεξεργασία δεδομένων ηλεκτρονικών επικοινωνιών, θα πρέπει να λαμβάνουν περιοδικές υπενθυμίσεις – και πάντως σε διάστημα όχι μεγαλύτερο από 12 μήνες – σχετικά με τη δυνατότητά τους να ανακαλέσουν τη χορηγηθείσα συγκατάθεση, εκτός εάν οι χρήστες έχουν ζητήσει να μην λαμβάνουν τέτοιες υπενθυμίσεις. Η υποχρέωση αυτή των παρόχων διατηρείται για όσο χρονικό διάστημα αυτοί επεξεργάζονται τα δεδομένα ηλεκτρονικών επικοινωνιών με τη συγκατάθεση του χρήστη.

ΒΑΣΙΚΟΙ ΠΡΟΒΛΗΜΑΤΙΣΜΟΙ ΤΩΝ ΕΚΠΡΟΣΩΠΩΝ ΤΗΣ ΑΓΟΡΑΣ ΚΑΙ ΤΩΝ ΘΕΣΜΙΚΩΝ ΟΡΓΑΝΩΝ
Όπως αναφέρθηκε και ανωτέρω, το σχέδιο του κανονισμού αποτέλεσε σημείο τριβής για τα κράτη-μέλη και, όπως αναφέρει και ο Απόστολος Βόρρας, Head of Data Protection and Privacy, KBVL Law Firm (Deloitte Legal Network), έχουν ήδη εκφραστεί σοβαρές επιφυλάξεις τόσο από θεσμικούς φορείς (σ.σ. το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και εθνικές εποπτικές αρχές), όσο και από μεγάλη μερίδα του νομικού κόσμου που κατ’ ουσίαν θέτουν υπό αμφισβήτηση πληθώρα διατάξεων του νέου πλαισίου, αλλά και την εν γένει αμφίδρομη έννομη σχέση που γεννάται ως προς τον ΓΚΠΔ. Ταυτόχρονα, πολύ έντονη κριτική και πιέσεις έχουν ασκηθεί και από εκπροσώπους της αγοράς, οι οποίοι προσπαθούν να διαφυλάξουν τα επιχειρηματικά τους μοντέλα.

Στη Δήλωση 03/2021 που εξέδωσε στις 09-03-2021, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (European Data Protection Board – EDPB) καίτοι καλωσόρισε τη διαπραγματευτική εντολή των κρατών-μελών, εξέφρασε σοβαρές ανησυχίες σχετικά με τη διασφάλιση ενός επαρκούς επιπέδου προστασίας της ιδιωτικότητας και υπογράμμισε ότι ο κανονισμός ePrivacy πρέπει να συμπληρώνει τις διατάξεις του GDPR, προάγοντας την εναρμόνιση του πλαισίου για τις ηλεκτρονικές επικοινωνίες και την προστασία προσωπικών δεδομένων.

Πιο συγκεκριμένα, το EDPB αναφέρθηκε στις διατάξεις του σχεδίου ePrivacy, οι οποίες προβλέπουν τη δυνατότητα διατήρησης μεταδεδομένων (data retention) για σκοπούς πρόληψης, έρευνας, εντοπισμού και δίωξης ποινικών αδικημάτων, εκτέλεσης ποινών, καθώς και προστασίας της δημόσιας ασφάλειας, υπογραμμίζοντας ότι τα εν λόγω άρθρα του σχεδίου δεν ευθυγραμμίζονται με τον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, τη νομολογία του ΔΕΕ και την Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου. Σύμφωνα με το EDPB, οι διατάξεις του Χάρτη θα πρέπει να ερμηνευθούν κατά τέτοιον τρόπο, ώστε να μην επιτρέπουν μέτρα πρόληψης όπως είναι μια γενική και χωρίς διακρίσεις διατήρηση δεδομένων τοποθεσίας και κίνησης.

Η ανησυχία αυτή του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων δεν αποτελεί έκπληξη, αν λάβουμε υπόψη ότι οι διατάξεις περί data retention προκάλεσαν έντονη αντιπαράθεση μεταξύ των κρατών-μελών, γεγονός που καθυστέρησε ιδιαίτερα τη συμφωνία του Συμβουλίου επί του σχεδίου ePrivacy. Μάλιστα, χώρες οι οποίες παραδοσιακά υποστηρίζουν τη λήψη μέτρων για την ασφάλεια των πολιτών – μεταξύ αυτών το Βέλγιο, η Εσθονία, η Δανία, η Γαλλία και το Ηνωμένο Βασίλειο – συνέταξαν, τον Φεβρουάριο του 2019, ένα μη δεσμευτικό έγγραφο δια του οποίου ζητούσαν να συμπεριληφθούν στο σχέδιο ePrivacyδιατάξεις που «αφήνουν χώρο» σε καθεστώτα διατήρησης δεδομένων, τα οποία είναι απαραίτητα για την πρόληψη και δίωξη ποινικών αδικημάτων. Οι πιέσεις εντάθηκαν όταν, τον Οκτώβριο του 2020, το ΔΕΕ απεφάνθη ότι το πλαίσιο διατήρησης δεδομένων που έχει υιοθετηθεί από τη Γαλλία και το Βέλγιο δεν πληροί τις προϋποθέσεις της κείμενης Ευρωπαϊκής νομοθεσίας.

Ένα άλλο σημείο, στο οποίο στάθηκε το EDPB στη Δήλωσή του ήταν η επεξεργασία δεδομένων και μεταδεδομένων ηλεκτρονικών επικοινωνιών για περαιτέρω, συμβατούς (προς τον αρχικό) σκοπούς, τονίζοντας ότι στο τελικό κείμενο που θα υιοθετηθεί θα πρέπει να επανέλθει η πρόταση της Ευρωπαϊκής Επιτροπής περί γενικής απαγόρευσης επεξεργασίας, με πολύ περιορισμένες, ρητές εξαιρέσεις και τη χρήση της συγκατάθεσης.

Το Συμβούλιο Προστασίας Δεδομένων στήριξε τη θέση του αυτή, μεταξύ άλλων, στην ανησυχία ότι ο έλεγχος περί συμβατότητας του περαιτέρω σκοπού επεξεργασίας ενέχει τον κίνδυνο υποκειμενικότητας και μπορεί να οδηγήσει σε ανεξέλεγκτες κρίσεις περί συμβατότητας από τους παρόχους, ώστε αυτοί να δικαιολογήσουν την επεξεργασία μεταδεδομένων.

Το EDPB αναφέρθηκε, επιπροσθέτως: (α) στη σημασία της κρυπτογράφησης και την υιοθέτηση αυτής ως industry standard για την ασφάλεια των δεδομένων, (β) στην ανάγκη εφαρμογής, από τους παρόχους, εύχρηστων συστημάτων για τη λήψη ελεύθερης και ενημερωμένης συγκατάθεσης των χρηστών και (γ) στην ανάγκη διασφάλισης μιας εναρμονισμένης ερμηνείας και εφαρμογής του κανονισμού ePrivacy από όλες τις χώρες της ΕΕ, τονίζοντας τον κομβικό ρόλο που διαδραματίζουν προς τούτο οι εθνικές αρχές προστασίας δεδομένων.

Αξίζει να αναφερθεί και η δήλωση του ομοσπονδιακού υπεύθυνου προστασίας δεδομένων της Γερμανίας (η οποία υπενθυμίζεται ότι απείχε της ψηφοφορίας) Ulrich Kelber, ο οποίος σημείωσε ότι αν παραμείνει το κείμενο ως έχει, θα αποτελέσει ένα γερό «χτύπημα» εις βάρος της προστασίας προσωπικών δεδομένων.

Από την άλλη, εκπρόσωποι της αγοράς αναφέρουν ότι οι διατάξεις του σχεδίου ePrivacy θα πρέπει να γίνουν πιο «φιλικές» προς τη βιομηχανία και τις επιχειρήσεις, υπογραμμίζοντας ότι – μεταξύ άλλων – στόχος του νέου κανονισμού είναι να εκσυγχρονήσει το πλαίσιο για τις ηλεκτρονικές επικοινωνίες, λαμβάνοντας υπόψη τις τεχνολογικές εξελίξεις, το μοντέλο και τα χαρακτηριστικά της ψηφιακής οικονομίας.

Ήδη και πριν τη συμφωνία των κρατών-μελών επί του σχεδίου που τελικά υπεβλήθη στο Ευρωπαϊκό Κοινοβούλιο, εταιρείες από την ψηφιακή αγορά εξέφρασαν έντονες ανησυχίες σχετικά με τις συνέπειες που θα έχει ο κανονισμός σε βάρος της επιχειρηματικής τους δραστηριότητας και της απρόσκοπτης παροχής υπηρεσιών, η οποία βασίζεται σε έναν μεγάλο βαθμό στην ελεύθερη κυκλοφορία των δεδομένων και, ειδικότερα, στην επεξεργασία μεταδεδομένων (τοποθεσίας, κίνησης κλπ.). Μάλιστα, φορείς που εκπροσωπούν τη βιομηχανία (όπως ο Digital Europe), εταιρείες τεχνολογίας αλλά και lobbiesεκδοτών και τηλεπικοινωνιακών παρόχων προσπάθησαν επανειλημμένως να σταματήσουν εξ’ ολοκλήρου τη διαδικασία ψήφισης του κανονισμού, ακριβώς για να μην αποτελέσει τροχοπέδη στην ανάπτυξη και την καινοτομία.

Η BSA | The Software Alliance, η οποία εκπροσωπεί τις εταιρείες λογισμικού παγκοσμίως, κυκλοφόρησε ένα αρκετά αναλυτικό έγγραφο συστάσεων για τη διαπραγμάτευση του σχεδίου ePrivacy, στο οποίο αναπτύσσει δέκα προτάσεις επί τη βάσει δυο κύριων πυλώνων: (α) την υιοθέτηση ενός κανονισμού ePrivacyτεχνολογικά ουδέτερου και φιλικού προς την καινοτομία και (β) τη διασφάλιση ενός συνεκτικού πλαισίου κανόνων, σύμφωνα με τo Ευρωπαϊκό Κεκτημένο (EU Acquis). Μεταξύ των παρατηρήσεων της BSA αξίζει να επισημανθούν τα ακόλουθα:

  • Να διασφαλιστεί η σαφής οριοθέτηση ανάμεσα στα δεδομένα υπό μεταφορά (data in transmission) και τα δεδομένα σε αποθήκευση (data at rest): Μια τέτοια διάκριση, σύμφωνα με την BSA, είναι απολύτως απαραίτητη προκειμένου να είναι ξεκάθαρο το πεδίο εφαρμογής καθ’ ενός εκ του GDPR και του κανονισμού ePrivacy και να αποφευχθεί τυχόν αλληλεπικάλυψη (υπενθυμίζεται ότι ο κανονισμός ePrivacy θεωρείται lex specialis έναντι του Γενικού Κανονισμού). Αν δεν ξεκαθαριστούν οι έννοιες των δεδομένων υπό μεταφορά και σε αποθήκευση, αντιστοίχως, υπάρχει σοβαρός κίνδυνος οι δυο νομοθεσίες να εφαρμόζονται στα ίδια σετ δεδομένων, δημιουργώντας ανταγωνιστικές μεταξύ τους δομές συμμόρφωσης και προκαλώντας σύγχυση τόσο τους τελικούς χρήστες, όσο και στους παρόχους υπηρεσιών, οι οποίοι θα κληθούν να εφαρμόσουν αντικρουόμενες διατάξεις.
  • Ευελιξία στις νομιμοποιητικές βάσεις επεξεργασίας: Η BSA αναφέρει ότι το σχέδιο ePrivacy, προκρίνοντας τη συγκατάθεση ως νομιμοποιητική βάση – με ελάχιστες εξαιρέσεις – παραβλέπει τον καθοριστικό ρόλο που διαδραματίζει η σύναψη συμβάσεων μεταξύ των επιχειρήσεων (B2B) σε ψηφιακό περιβάλλον. Παρά το γεγονός ότι περιλαμβάνει τη δυνατότητα περαιτέρω επεξεργασίας μεταδεδομένων για συμβατούς (προς τον αρχικό) σκοπούς, το σχέδιο δεν καλύπτει τους παρόχους υπηρεσιών, οι οποίοι δεν έχουν απευθείας επαφή με τον τελικό χρήστη και οι οποίοι είναι συχνά αδύνατο να διασφαλίσουν τη λήψη συγκατάθεσης από αυτόν. Ως εκ τούτου, η BSA προτείνει να συμπεριληφθούν διατάξεις, οι οποίες θα επιτρέπουν την απρόσκοπτη λειτουργία και επιχειρηματική δραστηριότητα των παρόχων, όταν αυτοί δεν μπορούν να λάβουν τη συγκατάθεση του τελικού χρήστη.
  • Software updates: Η BSA υπογραμμίζει ότι οι ενημερώσεις λογισμικού είναι θεμελιώδεις για την ομαλή λειτουργία των επιχειρήσεων και σχολιάζει ότι το σχέδιο ePrivacy είναι διατυπωμένο κατά τέτοιον τρόπο, ώστε να επιτρέπει την – άνευ συγκαταθέσεως – ενημέρωση του λογισμικού μόνον στις περιπτώσεις εκείνες που είναι απολύτως απαραίτητο για λόγους ασφαλείας και για την προστασία από κυβερνοαπειλές. Μια τέτοια προσέγγιση παραγνωρίζει το γεγονός ότι, ακόμα και αν η ενημέρωση δεν είναι απολύτως απαραίτητη αυστηρά για λόγους ασφαλείας, ένα μη ενημερωμένο λογισμικό μπορεί να οδηγήσει στην έκθεση και εκμετάλλευση ευπαθειών ενός συστήματος, καθώς και να προκαλέσει σοβαρά προβλήματα στην προσβασιμότητα, τη χρήση και τη λειτουργικότητα αυτού.

ΣΥΜΠΕΡΑΣΜΑΤΙΚΑ
Είναι γεγονός ότι στο σχέδιο ePrivacy το Συμβούλιο κλήθηκε να συγκεράσει αντικρουόμενα συμφέροντα και να ρυθμίσει πολύπλοκα και αμφιλεγόμενα ζητήματα, τα οποία καθυστέρησαν σημαντικά τις διαπραγματεύσεις. O κανονισμός ePrivacy αναμένεται να επηρεάσει τις επιχειρήσεις ποικιλοτρόπως, ανατρέποντας τα παραδοσιακά επιχειρηματικά μοντέλα και τις πρακτικές αλληλεπίδρασης των επιχειρήσεων με τους πελάτες και, εν γένει, τους χρήστες υπηρεσιών ηλεκτρονικών επικοινωνιών.

Όπως επισημαίνει η Λιάνα Κοσμάτου, Δικηγόρος/Εταίρος, Παπακωστόπουλος – Γρηγοριάδου και Συνεργάτες, Δικηγορική Εταιρεία και DPO της KPMG, ο κανονισμός ePrivacy αφορά “ευαίσθητους” τομείς, όπως η διαδικτυακή διαφήμιση, τα μέσα ενημέρωσης και οι τηλεπικοινωνίες και χρειάστηκε να ρυθμίσει σημαντικά θέματα όπως η επεξεργασία των μεταδεδομένων, αλλά και ζητήματα που βρίσκονται ερμηνευτικά σε “γκρίζα ζώνη” (π.χ. η διαχείριση των browsers, coοkies κλπ.), ενώ ταυτόχρονα έπρεπε να διασφαλισθεί η ευθυγράμμιση με τον Χάρτη της ΕΕ και την ΣΛΕΕ και να αξιολογηθούν οι επιπτώσεις του κανονισμού ως ειδικότερου νόμου που υπερισχύει του GDPR.

Δεν θα πρέπει, επομένως, να μας εκπλήσσει το γεγονός ότι στα πλαίσια της διαπραγμάτευσης επί του σχεδίου κατεγράφησαν από τις μεγαλύτερες καμπάνιες lobbying, τόσο από τους εκπροσώπους της ψηφιακής βιομηχανίας, όσο και από τους υπέρμαχους των ανθρωπίνων δικαιωμάτων και προστασίας της ιδιωτικότητας. Το πρώτο βήμα έγινε, ωστόσο το “έπος του ePrivacy” φαίνεται να έχει μόλις ξεκινήσει.