Η Ευρωπαϊκή Ένωση επιδιώκει να αυξήσει την ...
ιδιωτική σφαίρα των πολιτών της, με την ενίσχυση της νομοθεσίας για την προστασία των δεδομένων στο Διαδίκτυο. Οι μεγάλες επιχειρήσεις στο Internet και οι ομάδες συμφερόντων αντιτίθενται στα σχέδια. Το Der Spiegel σχολιάζει τη διαμάχη.
Όταν πρόκειται για την υστερία σχετικά με τους νέους κανόνες προστασίας των δεδομένων στην Ευρώπη, οι πιο εξτρεμιστικές προειδοποιήσεις από τα λόμπι αυτές τις μέρες προέρχονται από το δικηγορικό γραφείο Field Fisher Waterhouse. Ο επικεφαλής της ομάδας που είναι υπεύθυνη για την ιδιωτική ζωή και την πληροφόρηση, Eduardo Ustaran, δήλωσε πρόσφατα στο αμερικανικό ZDNet ότι αν το σχέδιο της ΕΕ για την προστασία της ιδιωτικής ζωής και των δεδομένων δεν αλλάξει, το Gmail και το Facebook μπορεί να αναγκαστούν να εγκαταλείψουν τα διαφημιστικά τους μοντέλα τους και να αρχίσουν να χρεώνου τους πελάτες τους στην Ευρώπη, ή να διακόψουν την παροχή των δημοφιλών υπηρεσιών τους συνολικά.
«Αν δεν ήταν σε θέση να χρησιμοποιήσουν τα δεδομένα σας με τρόπο που να είναι κερδοφόρος ή χρήσιμος για τους διαφημιστικούς σκοπούς τους, τότε είτε ο χρήστης πρέπει να πληρώσει γι ‘αυτό ή να σταματήσει τη χρήση της υπηρεσίας» είπε ο Ustaran, του οποίου η εταιρεία αντιπροσωπεύει τα Facebook, Google και Zynga, μεταξύ άλλων εταιρειών.
Ούτε καν οι ενώσεις του κλάδου IT δεν ήταν τόσο επικριτικές με το σχέδιο ευρωπαϊκού κανονισμού Προστασίας Δεδομένων. Τα μελανά χρώματα με τα οποία περιγράφει ο Ustaran την κατάσταση δείχνου πόσο σκληρή είναι η μάχη μεταξύ των κολοσσών του Διαδικτύου και των ρυθμιστικών αρχών.
Η ιστορία μέχρι τώρα
Η Ευρωπαία Επίτροπος για την Δικαιοσύνη Βίβιαν Ρέντινγκ παρουσίασε μια νέα οδηγία της ΕΕ για μια νέα ρύθμιση της προστασίας των προσωπικών δεδομένων στις αρχές του 2012. Η οδηγία έχει ως στόχο να ενημερώσει τη νομοθεσία περί προστασίας των δεδομένων ώστε να είναι κατάλληλη για την εποχή του Διαδικτύου. Εκείνη την εποχή, η Ρέντινγκ υποσχέθηκε το «δικαίωμα να λησμονηθούν» στους καταναλωτές που παρουσιάζουν προσωπικές πληροφορίες στις διαδικτυακές πλατφόρμες. Όλες αυτές οι ενοχλητικές φωτογραφίες στο Facebook, υποσχέθηκε, θα μπορούσαν να σβηστούν μόνο με ένα κλικ.
Ταυτόχρονα, η Ρέντινγκ υποσχέθηκε μια «υπηρεσία μιας στάσης» για την αποσαφήνιση των ζητημάτων σχετικά με την προστασία των δεδομένων – μια ενιαία πολιτική της ΕΕ και ένα σαφές σημείο επαφής για κάθε εταιρεία. Από τότε, ο Γιαν Φίλιπ Άλμπρεχτ, μέλος των Πράσινων και εισηγητής των Πολιτικών Ελευθεριών του Ευρωπαϊκού Κοινοβουλίου, της Επιτροπής Δικαιοσύνης και Εσωτερικών Υποθέσεων, παρουσίασε επίσης μια τροποποιημένη έκδοση, αντανακλώντας τις ανησυχίες του δημοκρατικά εκλεγμένου νομοθετικού σώματος της Ευρωπαϊκής Ένωσης.
Οι προτεινόμενες αλλαγές που περιλαμβάνονται στο σχέδιο Άλμπρεχτ βασίζονται εν μέρει στην εκτενή ανατροφοδότηση από τις εταιρείες, τις ενώσεις του κλάδου, τις οργανώσεις ανθρωπίνων δικαιωμάτων και άλλων κατά τη διάρκεια του περασμένου έτους. Τα μέλη των διαφόρων κομμάτων στο Ευρωπαϊκό Κοινοβούλιο υπέβαλαν επίσης τις δικές τους προτάσεις και παρατηρήσεις.
Πού βρίσκονται προς το παρόν τα πράγματα;
Οι αιτήσεις για αλλαγές στην οδηγία μπορεί ακόμη να υποβληθούν στην Επιτροπή Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων, μέχρι τις 27 Φεβρουαρίου. Η επιτροπή αναμένεται να ψηφίσει ανιχνευτικά για ένα ολοκληρωμένο σχέδιο στα τέλη Απριλίου ή στις αρχές Μαΐου. Παράλληλα, μια ομάδα εργασίας του ισχυρού Ευρωπαϊκού Συμβουλίου, του σώματος που καθοδηγείται από τους ηγέτες των 27 κρατών μελών της ΕΕ, θα προσθέσει τις αναθεωρήσεις της στο σχέδιο. Το Κοινοβούλιο πιθανόν να ψηφίσει επί του τελικού κειμένου, τον Ιούνιο ή τον Ιούλιο. Η τελική ρύθμιση πρέπει να εγκριθεί τόσο από το Ευρωπαϊκό Κοινοβούλιο όσο και από το Ευρωπαϊκό Συμβούλιο, αλλά ο Άλμπρεχτ πιστεύει ότι αυτό θα συμβεί μέχρι το τέλος του έτους.
Ποιος είναι εναντίον ποιου;
Οι βασικοί αντίπαλοι στη διαμάχη είναι οι επιχειρήσεις, οι υποστηρικτές πολιτικών δικαιωμάτων και οι αξιωματούχοι της προστασίας των δεδομένων στα κράτη μέλη της ΕΕ. Οι τελευταίοι θέλουν να αποτρέψουν μια κατάσταση κατά την οποία θα χαθεί η επιρροή από τις Βρυξέλλες και θα περάσει ένας κανονισμός που θα μπορούσε να κάνει ευκολότερο για τις επιχειρήσεις να ερμηνεύουν τη νομοθεσία για την προστασία των δεδομένων προς όφελός τους. Εν τω μεταξύ, οι εταιρείες και οι ακτιβιστές των πολιτικών δικαιωμάτων διαφωνούν για τον ορισμό των προσωπικών δεδομένων και το πώς θα πρέπει να αντιμετωπιστούν. Οι εταιρείες θα ήθελαν όσο το δυνατόν μεγαλύτερη ευελιξία και λίγους αυστηρούς κανονισμούς. Υποστηρίζουν ότι η επικάλυψη των ρυθμίσεων θα μπορούσε να λειτουργήσει ως ένας βρόχος που στραγγαλίζει την καινοτομία και την ανάπτυξη. Αλλά οι υποστηρικτές της ιδιωτικής ζωής υποστηρίζουν ότι η αξιόπιστη προστασία των δεδομένων είναι η απαραίτητη βάση για να κερδίσουμε την εμπιστοσύνη των χρηστών και την εξασφάλιση της ανάπτυξης.
Ποια δεδομένα θεωρούνται προσωπικά;
Ο Γιαν Φίλιπ Άλμπρεχτ δεν είναι ικανοποιημένος με τον ορισμό της Ευρωπαϊκής Επιτροπής για τα προσωπικά δεδομένα, όπως ορίζεται στο σχέδιο Ρέντινγκ. Ο λόγος είναι ότι, κατά περίπτωση, πολλά κομμάτια των δεδομένων δεν μπορεί να θεωρηθούν ότι είναι προσωπικά. Εάν συνδυαστούν, ωστόσο, μπορεί να είναι δυνατόν να προσδιοριστούν με σαφήνεια για τον χρήστη. Πρόκειται για «online αναγνωριστικά που παρέχονται από συσκευές, τις εφαρμογές τους, τα εργαλεία και τα πρωτόκολλα, όπως οι διευθύνσεις IP ή αναγνωριστικά των cookie».
Αλλά το σχέδιο Άλμπρεχτ προχωρά κι άλλο, συμπεριλαμβάνοντας τον όρο «και άλλα μοναδικά αναγνωριστικά» στον ορισμό των εν δυνάμει προσωπικών δεδομένων. «Δεδομένου ότι τα αναγνωριστικά αφήνουν ίχνη και μπορεί να χρησιμοποιηθούν για να ξεχωρίσουν φυσικά πρόσωπα, ο παρών κανονισμός θα πρέπει να εφαρμόζεται στις επεξεργασίες των δεδομένων αυτών, εκτός αν αυτά τα αναγνωριστικά αποδεδειγμένα δεν αφορούν φυσικά πρόσωπα, όπως για παράδειγμα οι διευθύνσεις IP που χρησιμοποιούνται από τις εταιρείες, οι οποίες δεν μπορούν να θεωρηθούν προσωπικές, όπως ορίζονται στον παρόντα κανονισμό». Η συζήτηση εξακολουθεί να μαίνεται για τον ακριβή ορισμό του τι μπορεί να θεωρηθεί προσωπικό δεδομένο.
Πότε πρέπει να ζητείται η συναίνεση του χρήστη;
Η αρχή του νέου κανονισμού είναι ότι οι επιχειρήσεις μπορούν να χρησιμοποιήσουν τα προσωπικά δεδομένα, εφόσον έχουν λάβει τη συγκατάθεση του χρήστη ή αν ο νόμος επιτρέπει ρητά την επεξεργασία των εν λόγω δεδομένων – και τόσο η Ευρωπαϊκή Επιτροπή όσο και ο Άλμπρεχτ συμφωνούν σε αυτό το σημείο. Αλλά ποιες εξαιρέσεις επιτρέπονται και τι είδους συναίνεση του χρήστη θα απαιτηθεί;
Το σχέδιο Ρέντινγκ περιλαμβάνει μια εξαίρεση που είναι σαρωτική αλλά και ασαφής: δηλαδή ότι «τα έννομα συμφέροντα που επιδιώκονται» από αυτούς που επεξεργάζονται τα δεδομένα μπορεί να κάνουν τη συγκατάθεση περιττή. Σύμφωνα με την εξαίρεση, η επεξεργασία προσωπικών δεδομένων μπορεί επίσης να θεωρηθεί νόμιμη, αρκεί και τα συμφέροντα να μην «προέχουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων».
Τι θεωρείται συναίνεση;
Το σχέδιο Άλμπρεχτ προχωρεί σε μεγάλο βαθμό στην τιθάσευση της γλώσσας της Ρέντινγκ, η οποία αφήνει ευρύ περιθώρια ερμηνείας. Προσφέρει ένα πιο συγκεκριμένο ορισμό των «συγκεκριμένων συμφερόντων» του «ελεγκτή», ή αυτού που επεξεργάζεται τα δεδομένα. Πιο συγκεκριμένα, για παράδειγμα, αναφέρει την επεξεργασία των προσωπικών δεδομένων που υπάρχουν ως μέρος της «άσκησης του δικαιώματος στην ελευθερία της έκφρασης, στα μέσα μαζικής ενημέρωσης και στις τέχνες». Επίσης προσδιορίζει ρητά το «άμεσο μάρκετινγκ», μια σαφής προσπάθεια από τον Άλμπρεχτ που ανήκει στους Πράσινους να διατυπώσει έναν συμβιβασμό που δεν θα απορριφθεί αμέσως από τα μεγάλα λόμπι.
Το σχέδιο Άλμπρεχτ προβλέπει επίσης έναν πιο σταθερή ορισμό του τι θα μπορούσε να θεωρηθεί συναίνεση. Μια τυπική προτροπή που συχνά συναντάμε σε δικτυακούς τόπους και είναι τσεκαρισμένη αυτόματα δεν θα επιτρέπεται υπό τη δική του εκδοχή, εκτός και αν ο χρήστης την ξετσεκάρει. Έχει, επίσης, συμπεριλάβει επιπλέον κριτήρια για τον προσδιορισμό του τι είναι μια έγκυρη συγκατάθεση: η θέση στην αγορά αυτού που επεξεργάζεται τα δεδομένα. Εάν μια εταιρεία έχει μια «δεσπόζουσα θέση στην αγορά σε σχέση με το προϊόν ή τις υπηρεσίες που προσφέρονται στο υποκείμενο των δεδομένων», τότε η συναίνεση «δεν παρέχει μια έγκυρη νομική βάση» για την επεξεργασία προσωπικών δεδομένων».
Η πρόταση του Ευρωπαϊκού Κοινοβουλίου πηγαίνει ένα ακόμα βήμα πιο πέρα στο θέμα από την πρόταση της Επιτροπής. Θέτει κανόνες σχετικά με το ότι η συγκατάθεση δεν θα ισχύει στις περιπτώσεις όπου μια εταιρεία αλλάζει τους όρους υπηρεσίας της κατά τέτοιο τρόπο που δεν θα δίνει σε ένα πρόσωπο «καμία επιλογή εκτός από το να αποδεχθεί την αλλαγή ή να εγκαταλείψει μια online πηγή στην οποία έχει επενδύσει σημαντικό χρόνο». Αυτό θα μπορούσε να είναι μια αναφορά στη στρατηγική του Facebook, που συνεχώς δηλώνει ότι αυξάνει τις περιοχές των δεδομένων των χρηστών του, ως «κοινά», χωρίς να έχει λάβει τη ρητή συγκατάθεση των χρηστών.
Ποιος θα ρυθμίζει τις εταιρείες στην ΕΕ;
Η Ευρωπαϊκή Επιτροπή θα προτιμούσε, σε περιπτώσεις όπου οι εταιρείες του Διαδικτύου έχουν αρκετά γραφεία στην Ευρώπη, η εποπτική αρχή για τις επιχειρήσεις να βρίσκεται στο κράτος μέλος όπου έχουν την έδρα τους. Πάρτε το Facebook, για παράδειγμα, το οποίο έχει την ευρωπαϊκή του έδρα στην Ιρλανδία. Ο επίτροπος για την προστασία προσωπικών δεδομένων της ιρλανδικής κυβέρνησης θα είναι υπεύθυνος για τις ανησυχίες όλων των πολιτών της ΕΕ σχετικά με την πολιτική προστασίας προσωπικών δεδομένων της εταιρείας.
Είναι μια συγκέντρωση της εποπτικής αρχής που ο Άλμπρεχτ απορρίπτει. Σύμφωνα με το σχέδιο του για τη νέα νομοθεσία για την προστασία δεδομένων, οι πολίτες της ΕΕ θα είναι σε θέση να αντιμετωπίσουν τα προβλήματά τους με την εξουσία στη δική τους χώρα και στη δική τους γλώσσα. Αλλά η τοπική εποπτική αρχή θα είναι «αρμόδια» για την αντιμετώπιση τυχόν προβλημάτων, αλλά όχι η μόνη «υπεύθυνη». Δεν θα έχει τον τελευταίο λόγο και θα πρέπει να διαβουλεύεται με τους συναδέλφους σε άλλες χώρες, πριν προβεί σε οποιεσδήποτε τελικές αποφάσεις.
Σύμφωνα με το σχέδιο Άλμπρεχτ, η σχεδιαζόμενη ευρωπαϊκή επιτροπή προστασίας δεδομένων, η οποία θα διαθέτει κορυφαία στελέχη της προστασίας των δεδομένων από κάθε κράτος μέλος, θα πρέπει επίσης να έχει δικαίωμα βέτο. Αν, για παράδειγμα, ένας γερμανός επίτροπος προστασίας δεδομένων παραπονεθεί για τον ιρλανδό ομόλογό του για μια εταιρεία που εδρεύει στην Ιρλανδία και ο αξιωματούχος στο Βερολίνο δεν θεωρεί ότι η Ιρλανδία έχει χειριστεί σωστά την υπόθεση, η σύγκρουση στη συνέχεια θα επιλυθεί από ένα συμβούλιο σε επίπεδο Ευρωπαϊκής Ένωσης. Το διοικητικό συμβούλιο θα μπορούσε να παρακάμψει την απόφαση της Ιρλανδίας, εάν συγκεντρώσει μια πλειοψηφία δύο τρίτων. Σύμφωνα με το σχέδιο Ρέντινγκ, η Ευρωπαϊκή Επιτροπή θα είχε τον τελευταίο λόγο σε ανεπίλυτες διαφωνίες.
Το σχέδιο της Ευρωπαϊκής Επιτροπής προσφέρει πολλά πλεονεκτήματα για τις επιχειρήσεις. Τους προσφέρει ένα κοινό σημείο επαφής για την επίλυση των προβλημάτων και μεγαλύτερη νομική ασφάλεια. Αλλά θα έχει πολλά μειονεκτήματα για όλους τους άλλους. Αν οι χρήστες θα πρέπει να ζητήσουν βοήθεια εκτός των χωρών όπου ζουν, ο ανταγωνισμός των ιδεών στο σχεδιασμό και την εφαρμογή των κανονισμών της ΕΕ μειώνεται. Θα μπορούσε επίσης να οδηγήσει σε μια κατάσταση κατά την οποία οι εταιρείες θα επιλέγουν την ευρωπαϊκή έδρα των ιστοχώρων τους με βάση το πόσο ισχυρή ή μη είναι η εποπτεία της προστασίας δεδομένων σε αυτή τη χώρα. Αυτού του είδους ο ανταγωνισμός μεταξύ των χωρών για την προσέλκυση εταιρειών υπάρχει ήδη στην ΕΕ εδώ και αρκετό καιρό. Η Apple και η Amazon, για παράδειγμα, πωλούν όλα τα e-books τους και ορισμένα άλλα προϊόντα τους από το Λουξεμβούργο, ένα κράτος της ΕΕ με χαμηλούς φόρους.
http://www.antinews.gr/2013/01/19/199964/
Data Protection: All You Need to Know about the EU Privacy Debate
The European Union is seeking to increase the private sphere of its citizens by strengthening data protection laws for the web. Large Internet firms and lobbyists are fighting the plans. Here's an overview of the debate in Brussels.
When it comes to hysteria over coming data protection rules in Europe, the most extremist warnings from lobbyists these days are coming out of the law firm Field Fisher Waterhouse. The head of the firm's privacy and information law group, Eduardo Ustaran, recently told the American technology news service ZDNet that if the EU's draft privacy and data protection law isn't changed, Gmail and Facebook may be forced to abandon their ad-supported models and start charging their customers in Europe or stop providing them with these popular services altogether.
"If they weren't able to use your data in the way that is profitable or useful for them for advertising purposes, then either the user has to pay for it or stop using the service," Ustaran, whose company represents Facebook, Google and Zynga among other companies, told ZDNet. Not even industry associations representing the IT industry, who have been particularly critical of the draft European Data Protection Regulation, have gone that far. The demonstratively dark picture Ustaran paints of the regulations shows just how tough the fight between Web giants and regulators is growing over the issue of data protection reform.
So why has the debate grown so shrill? SPIEGEL ONLINE takes a stab at the most pressing questions.
The Story So Far?
European Commissioner for Justice Viviane Reding presented a draft (the Reding draft) for a new EU data protection regulation at the beginning of 2012. The draft is intended to update EU data protection laws to make them fit for the Internet age. At the time, Reding promised the "right to be forgotten" for consumers who post personal information on Internet platforms. All those embarrassing Facebook photos, she promised, could be gone with just a few mouse clicks.
At the same time, Reding pledged a "one-stop shop" for the clarification of data protection questions -- a unified EU policy and a clear point of contact for every company. Since then, Jan Philipp Albrecht, a Green Party member and the rapporteur for the European Parliament's Civil Liberties, Justice and Home Affairs Committee, has also presented a modified version (the Albrecht draft), reflecting the concerns of the EU's democratically elected legislative body.
The suggested changes included in the Albrecht draft are based in part on the extensive feedback submitted by companies, industry associations, civil rights organizations and others during the past year. Members of the different party groups in the European Parliament also submitted their own suggestions and remarks.
Where Do Things Stand Now?
Requests for changes to the draft can still be submitted to the Civil Liberties, Justice and Home Affairs Committee until Feb. 27. The committee is tentatively expected to vote on a completed draft in late April or early May. In parallel, a working group of the powerful European Council, the body that is led by the leaders of the 27 EU member states, will add its revisions to the draft. Parliament could then vote on the final text in June or July. The final regulation needs to be approved by both the European Parliament and the European Council, but Albrecht believes this will happen by the end of the year.
Who Is Fighting against Whom?
The main parties in the debate are companies, civil rights proponents and data protection officials in the EU member states. The latter want to prevent a situation in which they lose influence to Brussels and a regulation is passed that might make it easier for companies to interpret the data protection regulation to their own advantage. Meanwhile, companies and civil rights activists are arguing over the definition of private data and how it should be dealt with. Companies would like as much flexibility as possible and little by way of strict regulations. They argue that a surfeit of regulations would act as a corset that strangles innovation and growth. But privacy advocates argue that reliable data protection is the necessary foundation for gaining the trust of users and ensuring growth.
Which Data Is Considered Private?
Jan Philipp Albrecht isn't pleased with the European Commission definition of personal data as laid out in Reding's draft. The reason is that, taken individually, many pieces of data may not be considered to be personal. If combined, however, it may be possible to clearly identify the end user using these bits of data. These are defined as "online identifiers provided by their devices, applications, tools and protocols, such as IP addresses or cookie identifiers."
But Albrecht's draft goes further, including the term "and other unique identifiers" in its definition of potentially private data. "Since such identifiers leave traces and can be used to single out natural persons, this regulation should be applicable to processing involving such data, unless those identifiers demonstrably do not relate to natural persons, such as for example the IP addresses used by companies, which cannot be considered 'personal' as defined in this regulation."
The debate is still raging over the precise definition of what can be considered personal data.
When Must User Consent Be Sought?
The precept of the new regulation is that firms can use personal data if they have obtained the consent of the user in question or if the law explicitly permits the processing of that data -- and both the European Commission and parliament rappateur Albrecht are also in agreement here.
But what exceptions to this principle are allowed and what kind of user consent will be required?
The Reding draft includes an exception that is as sweeping as it is vague: namely that the "legitimate interests pursued by" the party processing the data may make consent unnecessary. Under the exception, the processing of personal data can also be considered legal as long as such interests are not "overridden by the interests or fundamental rights and freedoms of the data subject."
What Is Considered to Be Consent?
The Albrecht draft goes a long way in reining in Reding's language, which leaves broad room for interpretation. It offers a more concrete definition of the "concrete interests" of the "controller," or party processing the data. More specifically, for example, it cites processing of personal data that takes places as part of "the exercise of the right to freedom of expression, the media and the arts." It also explicitly identifies "direct marketing," a clear attempt by Green Party member Albrecht to formulate a compromise that will not get immediately rejected by the large lobby groups.
The Albrecht draft also provides a firmer definition of what would be considered consent. The standard prompt often seen on websites today that is automatically checked unless a user unchecks it would not be permitted under his version. He has also included an additional criteria for the determination of what is a valid consent: the market position of the party processing the data. If a company is in a "dominant market position with respect to the product or services offered to the data subject," then consent "does not provide a valid legal ground" for the processing of personal data.
The European Parliament committee version also goes another step further on the issue than the Commission proposal. It regulates that consent would not be valid in cases where a company changes its service terms in a way that gives a person "no option other than to accept the change or abandon an online resource in which they have invested significant time." This could be a reference to Facebook's strategy of constantly declaring increasing areas of its user's data as "public" without obtaining the explicit consent of users.
Who Will Regulate Companies in the EU?
The European Commission would prefer that in situations where Internet companies have several offices in Europe that supervisory authority for those firms would be handled by the member state in which they have their European headquarters. Take Facebook, for example, which has its European headquarters in Ireland. The Irish government's data protection commissioner would then be responsible for the concerns of all EU citizens relating to the company's privacy policies.
It's a centralization of supervisory authority that Albrecht rejects. Under his draft for the new data protection regulation, EU citizens would still be able to address their problems with the authority in their own country and in their own language. But the local supervisory authority would be "competent" for addressing any problems but not solely "responsible". They wouldn't have the last word and they would have to consult with their colleagues in other countries before making any final decisions.
Under the Albrecht draft, the planned European Data Protection Board, which would feature top data protection officials from each member state, would be also be equipped with a veto power. If, for example, a German data protection commissioner complained to his or her Irish counterpart about a company that is based in Ireland and the official in Berlin didn't believe the Irish had handled the case correctly, the conflict would then be resolved by the board at the EU level. The board could overrule an Irish decision if it mustered a two-thirds majority. Under the Reding draft, the European Commission would have had the last word in unresolved disputes.
The European Commission's draft itself offers several advantages to companies. They are given a single point of contact for resolving issues and greater legal certainty. But it would have plenty of disadvantages for everyone else. Users would have to seek help outside the countries they live in, the competition of ideas in the design and implementation of EU regulations is diminished. It could also lead to a situation in which corporations choose the sites of their European headquarters based on the strength, or lack thereof, of data protection supervision in that country. That kind of competition between countries in attracting companies to locate their offices there has already been a phenomenon in the EU for some time now. Apple and Amazon for example, sell all of their e-books and some other goods from Luxembourg, an EU state with lower taxes.
How Much Power Will the European Commission Have?
Under existing privacy regulations, data protection supervision in EU countries must be conducted entirely independently of public authorities, and data protection controllers are not under the supervision of the European Commission. But the EU wants to weaken this policy and install itself as the data protection agencies' supervisory authority.
In Reding's draft, the European Commission establishes for itself the right to suspend planned measures by member state data protection authorities. In certain cases, the Commission is also seeking to provide itself with "implementing acts" that would give it power over data protection authorities.
There is resistance to these plans within the European Parliament. Under the Albrecht draft, the Commission would not be permitted to suspend measures. According the draft, it would only be permitted to demand detailed information on the reasoning behind the authority's decision. As a last resort, it could challenge binding decisions of the European Data Protection Board before the EU Court of Justice in Luxembourg, the bloc's highest legal authority.
http://www.spiegel.de/international/europe/the-european-union-closes-in-on-data-privacy-legislation-a-877973.html
http://id-ont.blogspot.gr/2013/01/blog-post_20.html
Πηγή: http://www.afipnisoy.com/2013/01/blog-post_5109.html#ixzz2IXMWV597
Under Creative Commons License: Attribution Share Alike
Όταν πρόκειται για την υστερία σχετικά με τους νέους κανόνες προστασίας των δεδομένων στην Ευρώπη, οι πιο εξτρεμιστικές προειδοποιήσεις από τα λόμπι αυτές τις μέρες προέρχονται από το δικηγορικό γραφείο Field Fisher Waterhouse. Ο επικεφαλής της ομάδας που είναι υπεύθυνη για την ιδιωτική ζωή και την πληροφόρηση, Eduardo Ustaran, δήλωσε πρόσφατα στο αμερικανικό ZDNet ότι αν το σχέδιο της ΕΕ για την προστασία της ιδιωτικής ζωής και των δεδομένων δεν αλλάξει, το Gmail και το Facebook μπορεί να αναγκαστούν να εγκαταλείψουν τα διαφημιστικά τους μοντέλα τους και να αρχίσουν να χρεώνου τους πελάτες τους στην Ευρώπη, ή να διακόψουν την παροχή των δημοφιλών υπηρεσιών τους συνολικά.
«Αν δεν ήταν σε θέση να χρησιμοποιήσουν τα δεδομένα σας με τρόπο που να είναι κερδοφόρος ή χρήσιμος για τους διαφημιστικούς σκοπούς τους, τότε είτε ο χρήστης πρέπει να πληρώσει γι ‘αυτό ή να σταματήσει τη χρήση της υπηρεσίας» είπε ο Ustaran, του οποίου η εταιρεία αντιπροσωπεύει τα Facebook, Google και Zynga, μεταξύ άλλων εταιρειών.
Ούτε καν οι ενώσεις του κλάδου IT δεν ήταν τόσο επικριτικές με το σχέδιο ευρωπαϊκού κανονισμού Προστασίας Δεδομένων. Τα μελανά χρώματα με τα οποία περιγράφει ο Ustaran την κατάσταση δείχνου πόσο σκληρή είναι η μάχη μεταξύ των κολοσσών του Διαδικτύου και των ρυθμιστικών αρχών.
Η ιστορία μέχρι τώρα
Η Ευρωπαία Επίτροπος για την Δικαιοσύνη Βίβιαν Ρέντινγκ παρουσίασε μια νέα οδηγία της ΕΕ για μια νέα ρύθμιση της προστασίας των προσωπικών δεδομένων στις αρχές του 2012. Η οδηγία έχει ως στόχο να ενημερώσει τη νομοθεσία περί προστασίας των δεδομένων ώστε να είναι κατάλληλη για την εποχή του Διαδικτύου. Εκείνη την εποχή, η Ρέντινγκ υποσχέθηκε το «δικαίωμα να λησμονηθούν» στους καταναλωτές που παρουσιάζουν προσωπικές πληροφορίες στις διαδικτυακές πλατφόρμες. Όλες αυτές οι ενοχλητικές φωτογραφίες στο Facebook, υποσχέθηκε, θα μπορούσαν να σβηστούν μόνο με ένα κλικ.
Ταυτόχρονα, η Ρέντινγκ υποσχέθηκε μια «υπηρεσία μιας στάσης» για την αποσαφήνιση των ζητημάτων σχετικά με την προστασία των δεδομένων – μια ενιαία πολιτική της ΕΕ και ένα σαφές σημείο επαφής για κάθε εταιρεία. Από τότε, ο Γιαν Φίλιπ Άλμπρεχτ, μέλος των Πράσινων και εισηγητής των Πολιτικών Ελευθεριών του Ευρωπαϊκού Κοινοβουλίου, της Επιτροπής Δικαιοσύνης και Εσωτερικών Υποθέσεων, παρουσίασε επίσης μια τροποποιημένη έκδοση, αντανακλώντας τις ανησυχίες του δημοκρατικά εκλεγμένου νομοθετικού σώματος της Ευρωπαϊκής Ένωσης.
Οι προτεινόμενες αλλαγές που περιλαμβάνονται στο σχέδιο Άλμπρεχτ βασίζονται εν μέρει στην εκτενή ανατροφοδότηση από τις εταιρείες, τις ενώσεις του κλάδου, τις οργανώσεις ανθρωπίνων δικαιωμάτων και άλλων κατά τη διάρκεια του περασμένου έτους. Τα μέλη των διαφόρων κομμάτων στο Ευρωπαϊκό Κοινοβούλιο υπέβαλαν επίσης τις δικές τους προτάσεις και παρατηρήσεις.
Πού βρίσκονται προς το παρόν τα πράγματα;
Οι αιτήσεις για αλλαγές στην οδηγία μπορεί ακόμη να υποβληθούν στην Επιτροπή Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων, μέχρι τις 27 Φεβρουαρίου. Η επιτροπή αναμένεται να ψηφίσει ανιχνευτικά για ένα ολοκληρωμένο σχέδιο στα τέλη Απριλίου ή στις αρχές Μαΐου. Παράλληλα, μια ομάδα εργασίας του ισχυρού Ευρωπαϊκού Συμβουλίου, του σώματος που καθοδηγείται από τους ηγέτες των 27 κρατών μελών της ΕΕ, θα προσθέσει τις αναθεωρήσεις της στο σχέδιο. Το Κοινοβούλιο πιθανόν να ψηφίσει επί του τελικού κειμένου, τον Ιούνιο ή τον Ιούλιο. Η τελική ρύθμιση πρέπει να εγκριθεί τόσο από το Ευρωπαϊκό Κοινοβούλιο όσο και από το Ευρωπαϊκό Συμβούλιο, αλλά ο Άλμπρεχτ πιστεύει ότι αυτό θα συμβεί μέχρι το τέλος του έτους.
Ποιος είναι εναντίον ποιου;
Οι βασικοί αντίπαλοι στη διαμάχη είναι οι επιχειρήσεις, οι υποστηρικτές πολιτικών δικαιωμάτων και οι αξιωματούχοι της προστασίας των δεδομένων στα κράτη μέλη της ΕΕ. Οι τελευταίοι θέλουν να αποτρέψουν μια κατάσταση κατά την οποία θα χαθεί η επιρροή από τις Βρυξέλλες και θα περάσει ένας κανονισμός που θα μπορούσε να κάνει ευκολότερο για τις επιχειρήσεις να ερμηνεύουν τη νομοθεσία για την προστασία των δεδομένων προς όφελός τους. Εν τω μεταξύ, οι εταιρείες και οι ακτιβιστές των πολιτικών δικαιωμάτων διαφωνούν για τον ορισμό των προσωπικών δεδομένων και το πώς θα πρέπει να αντιμετωπιστούν. Οι εταιρείες θα ήθελαν όσο το δυνατόν μεγαλύτερη ευελιξία και λίγους αυστηρούς κανονισμούς. Υποστηρίζουν ότι η επικάλυψη των ρυθμίσεων θα μπορούσε να λειτουργήσει ως ένας βρόχος που στραγγαλίζει την καινοτομία και την ανάπτυξη. Αλλά οι υποστηρικτές της ιδιωτικής ζωής υποστηρίζουν ότι η αξιόπιστη προστασία των δεδομένων είναι η απαραίτητη βάση για να κερδίσουμε την εμπιστοσύνη των χρηστών και την εξασφάλιση της ανάπτυξης.
Ποια δεδομένα θεωρούνται προσωπικά;
Ο Γιαν Φίλιπ Άλμπρεχτ δεν είναι ικανοποιημένος με τον ορισμό της Ευρωπαϊκής Επιτροπής για τα προσωπικά δεδομένα, όπως ορίζεται στο σχέδιο Ρέντινγκ. Ο λόγος είναι ότι, κατά περίπτωση, πολλά κομμάτια των δεδομένων δεν μπορεί να θεωρηθούν ότι είναι προσωπικά. Εάν συνδυαστούν, ωστόσο, μπορεί να είναι δυνατόν να προσδιοριστούν με σαφήνεια για τον χρήστη. Πρόκειται για «online αναγνωριστικά που παρέχονται από συσκευές, τις εφαρμογές τους, τα εργαλεία και τα πρωτόκολλα, όπως οι διευθύνσεις IP ή αναγνωριστικά των cookie».
Αλλά το σχέδιο Άλμπρεχτ προχωρά κι άλλο, συμπεριλαμβάνοντας τον όρο «και άλλα μοναδικά αναγνωριστικά» στον ορισμό των εν δυνάμει προσωπικών δεδομένων. «Δεδομένου ότι τα αναγνωριστικά αφήνουν ίχνη και μπορεί να χρησιμοποιηθούν για να ξεχωρίσουν φυσικά πρόσωπα, ο παρών κανονισμός θα πρέπει να εφαρμόζεται στις επεξεργασίες των δεδομένων αυτών, εκτός αν αυτά τα αναγνωριστικά αποδεδειγμένα δεν αφορούν φυσικά πρόσωπα, όπως για παράδειγμα οι διευθύνσεις IP που χρησιμοποιούνται από τις εταιρείες, οι οποίες δεν μπορούν να θεωρηθούν προσωπικές, όπως ορίζονται στον παρόντα κανονισμό». Η συζήτηση εξακολουθεί να μαίνεται για τον ακριβή ορισμό του τι μπορεί να θεωρηθεί προσωπικό δεδομένο.
Πότε πρέπει να ζητείται η συναίνεση του χρήστη;
Η αρχή του νέου κανονισμού είναι ότι οι επιχειρήσεις μπορούν να χρησιμοποιήσουν τα προσωπικά δεδομένα, εφόσον έχουν λάβει τη συγκατάθεση του χρήστη ή αν ο νόμος επιτρέπει ρητά την επεξεργασία των εν λόγω δεδομένων – και τόσο η Ευρωπαϊκή Επιτροπή όσο και ο Άλμπρεχτ συμφωνούν σε αυτό το σημείο. Αλλά ποιες εξαιρέσεις επιτρέπονται και τι είδους συναίνεση του χρήστη θα απαιτηθεί;
Το σχέδιο Ρέντινγκ περιλαμβάνει μια εξαίρεση που είναι σαρωτική αλλά και ασαφής: δηλαδή ότι «τα έννομα συμφέροντα που επιδιώκονται» από αυτούς που επεξεργάζονται τα δεδομένα μπορεί να κάνουν τη συγκατάθεση περιττή. Σύμφωνα με την εξαίρεση, η επεξεργασία προσωπικών δεδομένων μπορεί επίσης να θεωρηθεί νόμιμη, αρκεί και τα συμφέροντα να μην «προέχουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων».
Τι θεωρείται συναίνεση;
Το σχέδιο Άλμπρεχτ προχωρεί σε μεγάλο βαθμό στην τιθάσευση της γλώσσας της Ρέντινγκ, η οποία αφήνει ευρύ περιθώρια ερμηνείας. Προσφέρει ένα πιο συγκεκριμένο ορισμό των «συγκεκριμένων συμφερόντων» του «ελεγκτή», ή αυτού που επεξεργάζεται τα δεδομένα. Πιο συγκεκριμένα, για παράδειγμα, αναφέρει την επεξεργασία των προσωπικών δεδομένων που υπάρχουν ως μέρος της «άσκησης του δικαιώματος στην ελευθερία της έκφρασης, στα μέσα μαζικής ενημέρωσης και στις τέχνες». Επίσης προσδιορίζει ρητά το «άμεσο μάρκετινγκ», μια σαφής προσπάθεια από τον Άλμπρεχτ που ανήκει στους Πράσινους να διατυπώσει έναν συμβιβασμό που δεν θα απορριφθεί αμέσως από τα μεγάλα λόμπι.
Το σχέδιο Άλμπρεχτ προβλέπει επίσης έναν πιο σταθερή ορισμό του τι θα μπορούσε να θεωρηθεί συναίνεση. Μια τυπική προτροπή που συχνά συναντάμε σε δικτυακούς τόπους και είναι τσεκαρισμένη αυτόματα δεν θα επιτρέπεται υπό τη δική του εκδοχή, εκτός και αν ο χρήστης την ξετσεκάρει. Έχει, επίσης, συμπεριλάβει επιπλέον κριτήρια για τον προσδιορισμό του τι είναι μια έγκυρη συγκατάθεση: η θέση στην αγορά αυτού που επεξεργάζεται τα δεδομένα. Εάν μια εταιρεία έχει μια «δεσπόζουσα θέση στην αγορά σε σχέση με το προϊόν ή τις υπηρεσίες που προσφέρονται στο υποκείμενο των δεδομένων», τότε η συναίνεση «δεν παρέχει μια έγκυρη νομική βάση» για την επεξεργασία προσωπικών δεδομένων».
Η πρόταση του Ευρωπαϊκού Κοινοβουλίου πηγαίνει ένα ακόμα βήμα πιο πέρα στο θέμα από την πρόταση της Επιτροπής. Θέτει κανόνες σχετικά με το ότι η συγκατάθεση δεν θα ισχύει στις περιπτώσεις όπου μια εταιρεία αλλάζει τους όρους υπηρεσίας της κατά τέτοιο τρόπο που δεν θα δίνει σε ένα πρόσωπο «καμία επιλογή εκτός από το να αποδεχθεί την αλλαγή ή να εγκαταλείψει μια online πηγή στην οποία έχει επενδύσει σημαντικό χρόνο». Αυτό θα μπορούσε να είναι μια αναφορά στη στρατηγική του Facebook, που συνεχώς δηλώνει ότι αυξάνει τις περιοχές των δεδομένων των χρηστών του, ως «κοινά», χωρίς να έχει λάβει τη ρητή συγκατάθεση των χρηστών.
Ποιος θα ρυθμίζει τις εταιρείες στην ΕΕ;
Η Ευρωπαϊκή Επιτροπή θα προτιμούσε, σε περιπτώσεις όπου οι εταιρείες του Διαδικτύου έχουν αρκετά γραφεία στην Ευρώπη, η εποπτική αρχή για τις επιχειρήσεις να βρίσκεται στο κράτος μέλος όπου έχουν την έδρα τους. Πάρτε το Facebook, για παράδειγμα, το οποίο έχει την ευρωπαϊκή του έδρα στην Ιρλανδία. Ο επίτροπος για την προστασία προσωπικών δεδομένων της ιρλανδικής κυβέρνησης θα είναι υπεύθυνος για τις ανησυχίες όλων των πολιτών της ΕΕ σχετικά με την πολιτική προστασίας προσωπικών δεδομένων της εταιρείας.
Είναι μια συγκέντρωση της εποπτικής αρχής που ο Άλμπρεχτ απορρίπτει. Σύμφωνα με το σχέδιο του για τη νέα νομοθεσία για την προστασία δεδομένων, οι πολίτες της ΕΕ θα είναι σε θέση να αντιμετωπίσουν τα προβλήματά τους με την εξουσία στη δική τους χώρα και στη δική τους γλώσσα. Αλλά η τοπική εποπτική αρχή θα είναι «αρμόδια» για την αντιμετώπιση τυχόν προβλημάτων, αλλά όχι η μόνη «υπεύθυνη». Δεν θα έχει τον τελευταίο λόγο και θα πρέπει να διαβουλεύεται με τους συναδέλφους σε άλλες χώρες, πριν προβεί σε οποιεσδήποτε τελικές αποφάσεις.
Σύμφωνα με το σχέδιο Άλμπρεχτ, η σχεδιαζόμενη ευρωπαϊκή επιτροπή προστασίας δεδομένων, η οποία θα διαθέτει κορυφαία στελέχη της προστασίας των δεδομένων από κάθε κράτος μέλος, θα πρέπει επίσης να έχει δικαίωμα βέτο. Αν, για παράδειγμα, ένας γερμανός επίτροπος προστασίας δεδομένων παραπονεθεί για τον ιρλανδό ομόλογό του για μια εταιρεία που εδρεύει στην Ιρλανδία και ο αξιωματούχος στο Βερολίνο δεν θεωρεί ότι η Ιρλανδία έχει χειριστεί σωστά την υπόθεση, η σύγκρουση στη συνέχεια θα επιλυθεί από ένα συμβούλιο σε επίπεδο Ευρωπαϊκής Ένωσης. Το διοικητικό συμβούλιο θα μπορούσε να παρακάμψει την απόφαση της Ιρλανδίας, εάν συγκεντρώσει μια πλειοψηφία δύο τρίτων. Σύμφωνα με το σχέδιο Ρέντινγκ, η Ευρωπαϊκή Επιτροπή θα είχε τον τελευταίο λόγο σε ανεπίλυτες διαφωνίες.
Το σχέδιο της Ευρωπαϊκής Επιτροπής προσφέρει πολλά πλεονεκτήματα για τις επιχειρήσεις. Τους προσφέρει ένα κοινό σημείο επαφής για την επίλυση των προβλημάτων και μεγαλύτερη νομική ασφάλεια. Αλλά θα έχει πολλά μειονεκτήματα για όλους τους άλλους. Αν οι χρήστες θα πρέπει να ζητήσουν βοήθεια εκτός των χωρών όπου ζουν, ο ανταγωνισμός των ιδεών στο σχεδιασμό και την εφαρμογή των κανονισμών της ΕΕ μειώνεται. Θα μπορούσε επίσης να οδηγήσει σε μια κατάσταση κατά την οποία οι εταιρείες θα επιλέγουν την ευρωπαϊκή έδρα των ιστοχώρων τους με βάση το πόσο ισχυρή ή μη είναι η εποπτεία της προστασίας δεδομένων σε αυτή τη χώρα. Αυτού του είδους ο ανταγωνισμός μεταξύ των χωρών για την προσέλκυση εταιρειών υπάρχει ήδη στην ΕΕ εδώ και αρκετό καιρό. Η Apple και η Amazon, για παράδειγμα, πωλούν όλα τα e-books τους και ορισμένα άλλα προϊόντα τους από το Λουξεμβούργο, ένα κράτος της ΕΕ με χαμηλούς φόρους.
http://www.antinews.gr/2013/01/19/199964/
Data Protection: All You Need to Know about the EU Privacy Debate
The European Union is seeking to increase the private sphere of its citizens by strengthening data protection laws for the web. Large Internet firms and lobbyists are fighting the plans. Here's an overview of the debate in Brussels.
When it comes to hysteria over coming data protection rules in Europe, the most extremist warnings from lobbyists these days are coming out of the law firm Field Fisher Waterhouse. The head of the firm's privacy and information law group, Eduardo Ustaran, recently told the American technology news service ZDNet that if the EU's draft privacy and data protection law isn't changed, Gmail and Facebook may be forced to abandon their ad-supported models and start charging their customers in Europe or stop providing them with these popular services altogether.
"If they weren't able to use your data in the way that is profitable or useful for them for advertising purposes, then either the user has to pay for it or stop using the service," Ustaran, whose company represents Facebook, Google and Zynga among other companies, told ZDNet. Not even industry associations representing the IT industry, who have been particularly critical of the draft European Data Protection Regulation, have gone that far. The demonstratively dark picture Ustaran paints of the regulations shows just how tough the fight between Web giants and regulators is growing over the issue of data protection reform.
So why has the debate grown so shrill? SPIEGEL ONLINE takes a stab at the most pressing questions.
The Story So Far?
European Commissioner for Justice Viviane Reding presented a draft (the Reding draft) for a new EU data protection regulation at the beginning of 2012. The draft is intended to update EU data protection laws to make them fit for the Internet age. At the time, Reding promised the "right to be forgotten" for consumers who post personal information on Internet platforms. All those embarrassing Facebook photos, she promised, could be gone with just a few mouse clicks.
At the same time, Reding pledged a "one-stop shop" for the clarification of data protection questions -- a unified EU policy and a clear point of contact for every company. Since then, Jan Philipp Albrecht, a Green Party member and the rapporteur for the European Parliament's Civil Liberties, Justice and Home Affairs Committee, has also presented a modified version (the Albrecht draft), reflecting the concerns of the EU's democratically elected legislative body.
The suggested changes included in the Albrecht draft are based in part on the extensive feedback submitted by companies, industry associations, civil rights organizations and others during the past year. Members of the different party groups in the European Parliament also submitted their own suggestions and remarks.
Where Do Things Stand Now?
Requests for changes to the draft can still be submitted to the Civil Liberties, Justice and Home Affairs Committee until Feb. 27. The committee is tentatively expected to vote on a completed draft in late April or early May. In parallel, a working group of the powerful European Council, the body that is led by the leaders of the 27 EU member states, will add its revisions to the draft. Parliament could then vote on the final text in June or July. The final regulation needs to be approved by both the European Parliament and the European Council, but Albrecht believes this will happen by the end of the year.
Who Is Fighting against Whom?
The main parties in the debate are companies, civil rights proponents and data protection officials in the EU member states. The latter want to prevent a situation in which they lose influence to Brussels and a regulation is passed that might make it easier for companies to interpret the data protection regulation to their own advantage. Meanwhile, companies and civil rights activists are arguing over the definition of private data and how it should be dealt with. Companies would like as much flexibility as possible and little by way of strict regulations. They argue that a surfeit of regulations would act as a corset that strangles innovation and growth. But privacy advocates argue that reliable data protection is the necessary foundation for gaining the trust of users and ensuring growth.
Which Data Is Considered Private?
Jan Philipp Albrecht isn't pleased with the European Commission definition of personal data as laid out in Reding's draft. The reason is that, taken individually, many pieces of data may not be considered to be personal. If combined, however, it may be possible to clearly identify the end user using these bits of data. These are defined as "online identifiers provided by their devices, applications, tools and protocols, such as IP addresses or cookie identifiers."
But Albrecht's draft goes further, including the term "and other unique identifiers" in its definition of potentially private data. "Since such identifiers leave traces and can be used to single out natural persons, this regulation should be applicable to processing involving such data, unless those identifiers demonstrably do not relate to natural persons, such as for example the IP addresses used by companies, which cannot be considered 'personal' as defined in this regulation."
The debate is still raging over the precise definition of what can be considered personal data.
When Must User Consent Be Sought?
The precept of the new regulation is that firms can use personal data if they have obtained the consent of the user in question or if the law explicitly permits the processing of that data -- and both the European Commission and parliament rappateur Albrecht are also in agreement here.
But what exceptions to this principle are allowed and what kind of user consent will be required?
The Reding draft includes an exception that is as sweeping as it is vague: namely that the "legitimate interests pursued by" the party processing the data may make consent unnecessary. Under the exception, the processing of personal data can also be considered legal as long as such interests are not "overridden by the interests or fundamental rights and freedoms of the data subject."
What Is Considered to Be Consent?
The Albrecht draft goes a long way in reining in Reding's language, which leaves broad room for interpretation. It offers a more concrete definition of the "concrete interests" of the "controller," or party processing the data. More specifically, for example, it cites processing of personal data that takes places as part of "the exercise of the right to freedom of expression, the media and the arts." It also explicitly identifies "direct marketing," a clear attempt by Green Party member Albrecht to formulate a compromise that will not get immediately rejected by the large lobby groups.
The Albrecht draft also provides a firmer definition of what would be considered consent. The standard prompt often seen on websites today that is automatically checked unless a user unchecks it would not be permitted under his version. He has also included an additional criteria for the determination of what is a valid consent: the market position of the party processing the data. If a company is in a "dominant market position with respect to the product or services offered to the data subject," then consent "does not provide a valid legal ground" for the processing of personal data.
The European Parliament committee version also goes another step further on the issue than the Commission proposal. It regulates that consent would not be valid in cases where a company changes its service terms in a way that gives a person "no option other than to accept the change or abandon an online resource in which they have invested significant time." This could be a reference to Facebook's strategy of constantly declaring increasing areas of its user's data as "public" without obtaining the explicit consent of users.
Who Will Regulate Companies in the EU?
The European Commission would prefer that in situations where Internet companies have several offices in Europe that supervisory authority for those firms would be handled by the member state in which they have their European headquarters. Take Facebook, for example, which has its European headquarters in Ireland. The Irish government's data protection commissioner would then be responsible for the concerns of all EU citizens relating to the company's privacy policies.
It's a centralization of supervisory authority that Albrecht rejects. Under his draft for the new data protection regulation, EU citizens would still be able to address their problems with the authority in their own country and in their own language. But the local supervisory authority would be "competent" for addressing any problems but not solely "responsible". They wouldn't have the last word and they would have to consult with their colleagues in other countries before making any final decisions.
Under the Albrecht draft, the planned European Data Protection Board, which would feature top data protection officials from each member state, would be also be equipped with a veto power. If, for example, a German data protection commissioner complained to his or her Irish counterpart about a company that is based in Ireland and the official in Berlin didn't believe the Irish had handled the case correctly, the conflict would then be resolved by the board at the EU level. The board could overrule an Irish decision if it mustered a two-thirds majority. Under the Reding draft, the European Commission would have had the last word in unresolved disputes.
The European Commission's draft itself offers several advantages to companies. They are given a single point of contact for resolving issues and greater legal certainty. But it would have plenty of disadvantages for everyone else. Users would have to seek help outside the countries they live in, the competition of ideas in the design and implementation of EU regulations is diminished. It could also lead to a situation in which corporations choose the sites of their European headquarters based on the strength, or lack thereof, of data protection supervision in that country. That kind of competition between countries in attracting companies to locate their offices there has already been a phenomenon in the EU for some time now. Apple and Amazon for example, sell all of their e-books and some other goods from Luxembourg, an EU state with lower taxes.
How Much Power Will the European Commission Have?
Under existing privacy regulations, data protection supervision in EU countries must be conducted entirely independently of public authorities, and data protection controllers are not under the supervision of the European Commission. But the EU wants to weaken this policy and install itself as the data protection agencies' supervisory authority.
In Reding's draft, the European Commission establishes for itself the right to suspend planned measures by member state data protection authorities. In certain cases, the Commission is also seeking to provide itself with "implementing acts" that would give it power over data protection authorities.
There is resistance to these plans within the European Parliament. Under the Albrecht draft, the Commission would not be permitted to suspend measures. According the draft, it would only be permitted to demand detailed information on the reasoning behind the authority's decision. As a last resort, it could challenge binding decisions of the European Data Protection Board before the EU Court of Justice in Luxembourg, the bloc's highest legal authority.
http://www.spiegel.de/international/europe/the-european-union-closes-in-on-data-privacy-legislation-a-877973.html
http://id-ont.blogspot.gr/2013/01/blog-post_20.html
Πηγή: http://www.afipnisoy.com/2013/01/blog-post_5109.html#ixzz2IXMWV597
Under Creative Commons License: Attribution Share Alike
Προστασία προσωπικών δεδομένων: η νέα διαμάχη στην ΕΕ
Reviewed by junior
on
22:20
Rating:
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου